军工企业网络安全技术研究综述

2021-03-07

网络安全技术与应用 2021年4期

（航天人才北京 100830）

目前，军工企业普遍使用计算机进行科研设计和生产工作，同时，为了满足科研生产的需要，军工企业也建立了面向企业内部的局域网和必要的外部互联网接口。计算机网络的构建大大促进了科研生产的进度，使我国的军事装备不断发展创新，增强了我国的国防力量。但随着计算机网络技术的发展，来自网络安全方面的问题也日益严重，由此造成的失泄密事件也时有发生。因此，军工企业的网络安全问题一直是计算机网络安全技术研究的重点内容。

本文对我国军工企业网络安全研究的现状、内容及解决措施进行了简要概述，并对各种解决方法进行了比较。最后，对我国军工企业网络安全的发展做了简要总结。

1 军工企业网络安全研究内容及现状

近年来，各军工厂所都建立了各自的内部网络和专用的外部互联网络。军工企业网络技术普及的同时也为军工企业的保密工作提出了更高的要求，从最初的对人员保密安全教育发展到对信息安全技术的提高。

军工企业作为我国国防科工委的下属单位，其进行的科研生产项目都是国家的保密项目，一旦某个环节发生失泄密事件，将对我国的国防外交造成潜在的危害和恶劣的影响。所以保密工作是军工企业各项工作中极其重要的一部分。

1.1 军工企业网络安全面临的问题

目前，我国军工企业网络安全面临的问题主要集中在以下几方面：

（1）人员的保密安全意识不强[1]

人员因素是造成失泄密首要因素。现今军工科研生产相关人员大多使用计算机进行科研生产工作，个别人员在涉密信息的产生、交换、处理上保密意识淡薄，导致失泄密事件的发生。更有极个别人员借工作便利有意窃取、泄露国家秘密，致使我国的科研工作遭受不利影响。

（2）保密及网络管理部门保密措施不完善

这里的措施不完善包括两个方面：一是制度的不完善，在对涉密人员进行保密教育、检查及日常行为准则方面要求的不够严格；二是对计算机、网络设备的管理及安全防范措施不完善。

1.2 军工企业网络安全研究的内容

现阶段我国军工企业网络安全研究主要集中在以下几个方面：

1.2.1 网络安全保密制度

（1）人员的保密安全教育[2]；

（2）入网审批制度；

（3）计算机及网络信息交换设备使用规定；

（4）涉密信息的产生、交换、处理规定。

1.2.2 网络安全防护技术措施[3]

（1）网络终端的安全防护技术措施；

（2）网络设备的安全防护技术措施；

（3）网络安全的审计与监督。

2 军工企业网络安全技术

本文主要对军工企业网络安全的技术研究作探讨，军工企业网络安全其他方面（如制度、管理规定等）的研究在此不作重点讨论。

根据对军工企业网络安全研究的现状分析，本文对军工企业网络安全的技术措施作了以下综述性研究。

2.1 物理隔离技术

本地涉密计算机上存储着重要的科研生产涉密信息，在没有实现本地计算机与外部互联网物理隔离的情况下，一些有意窃取、攻击本地计算机的人员很可能对本地计算机造成伤害。尤其使涉密资料遭受破坏或被窃取。

为此，涉密计算机必须从根源上隔断与外部网络的连接[4]。实现物理隔离的技术措施包含以下几个方面：

（1）本地计算机电源采用红黑隔离电源

红黑隔离电源是一种具有隔离屏蔽作用的插座，是为本地计算机配备的专用插座。该插座只允许本地涉密终端连接供电，一旦有其他未知电子设备（如无线及电子信息存储设备）连接到该电源上，该隔离电源会屏蔽外接电子设备的信息交互行为。

（2）拆除光驱、USB 等外部连接端口

本地涉密计算机实现物理隔离的另一项重要措施是切断本地计算机与外部信息交互的接口（合规要求接口除外）。为了防止涉密资料从本地计算机通过硬件拷贝手段流失，涉密计算机在使用审批前就要将光驱、无线网卡、多余的USB 端口进行拆除处理，本地计算机仅保留必要的网卡及用于身份认证的USB 端口。

2.2 信息绑定技术

本地涉密计算机入网（内部局域网）实行入网申请审批制度，网络管理部门要对入网的用户基本信息（用户名、ID、所属部门等）、计算机基本信息（标识码、处理器、操作系统类型、网卡信息等）和网络绑定信息（ip、网络接入端口、操作权限等）进行详细登记。

这里需要特别说明的是，每一台涉密计算机接入内网的ip 地址是网络管理部门为其分配的固定的ip，并与入网人员的基本信息进行绑定，实行一人一机，固定人员、固定地点登录[5]。这样既有利于本地计算机的管理，也便于对本地计算机进行实时监测控制。

2.3 身份认证技术

目前，涉密人员登录本地计算机一般采用硬件密钥与口令相结合的方式。

硬件密钥（通常是Ukey）是指计算机进入操作系统时需要认证的密码存储设备，认证正确才能登入操作系统。首先通过 PKI 系统生成用户的私钥存储在UKey 中，然后将对应的用户登录密码及联网密码存储在与该密钥对应的计算机特定位置上[6]。

计算机口令采取两级口令方式，即Bios 口令和操作系统登入口令。计算机口令只能由操作该计算机的本人设置和知悉，同时为了防止破译，密码的设置不允许是简单的纯数字或纯字母形式。

用户每次登录计算机时，均需要先插入硬件UKey，然后输入Bios口令，计算机认证正确后运行Windows 登入程序，用户需再次输入Windows 登录密码，计算机认证Ukey 信息和登录密码均正确才能登录操作系统。

此种两级密码加硬件Ukey的身份认证方式大大降低了计算机被非法用户入侵的可能，增强了涉密计算机的安全性。

2.4 日志及审计技术

军工单位根据涉密人员的职责权限及工作内容的不同，对涉密人员可操作的涉密信息内容实行分级管理。涉密网络在对人员进行权限设置时，只对与操作权限相对应的模块进行授权。

涉密资料的产生包括电子资料及纸质资料。对于电子资料，刻录光盘需进行集中刻录，刻录机对刻录的信息进行记录并存档。纸质资料的产生同样进行集中打印，打印机系统对打印的信息进行记录并存档。

在涉密信息交换时，涉密邮件必须标明相应密级，涉密邮件在内网或专网之间传送时，网络监测系统实时检测涉密信息内容及操作情况[7]。

2.5 网络监督及防护技术

网络监督和防护包括涉密信息流转和外部入侵监控两方面内容。

一是涉密信息流转监控。军工企业内部建立实时网络监控系统，对涉密信息的流转进行日志记录和审计。本地计算机通过内网或专网对涉密信息进行流转时，网络监控系统会对涉密信息流转的路径和内容进行监控，一旦发现有可疑现象，监控系统立即对该信息进行拦截，并向信息管理部门发出报警。

二是外部入侵监控。针对外部入侵的威胁，每一台本地涉密计算机都要安装病毒查杀及监测软件。同时，网络安全防护系统对外部恶意攻击进行实时监测和拦截[8]。

2.6 各技术措施的比较

本地计算机物理隔离是从物理隔离角度采取的措施，其技术实施难度低，易于操作；涉密计算机入网对用户、本地计算机及ip 等进行绑定是控制用户网络操作权限的一项重要措施；身份认证技术使得特定用户登录指定的计算机，规范了计算机的使用和管理，能够有效防止恶意窃取、修改涉密信息的行为；涉密信息的产生、交换所采取的监测及自动登记措施，能够有效规范涉密信息的流转，防止涉密信息的泄露；网络监督防护措施能够防止内部涉密信息违规流转和外部恶意攻击。

上述网络安全技术措施从不同方面对军工企业网络安全进行了防护，几种措施的结合使用能够极大提高军工企业内部网络的安全性。