论文部分内容阅读
摘要:本文分析了当前计算机信息系统的泄密途径,并提出了有效的防范措施,供大家参考。
关键词:计算机信息;安全泄密;防范措施
中图分类号:TP309文献标识码:A文章编号:1009-3044(2007)05-11222-01
1 引言
现在,与计算机有关的犯罪活动屡见不鲜,西方发达国家甚至把他们的社会由于广泛使用计算机而称为“脆弱的社会”。计算机的脆弱性一般表现在计算机犯罪、敌对国家的破坏、意外事故和自然灾害、电磁波干扰、工作人员的失误以及计算机本身的缺陷等许多方面,突出表现是容易泄密和被窃密。随着计算机成为标志着一种高科技、高效率和高水平的使用丁具,已经渗透到企业日常工作的诸多方面,都为企业的创先和发展以及经济效益,做出了显著的贡献。计算机及其网络应用中的泄密隐患及如何加强管理成为当今企业信息化管理的一项首要任务。
2 泄密途径
2.1 磁辐射泄密
主要有四个部位:显示器、主机、传输线外部设。其中显示器的辐射最强,用稍加改装的普通黑白电视机,在3O米内可以非常清晰地接收到正在工作的计算机显示屏上的视频信号。国外用专用设备,在lO00米之外都能接收、复原计算机显示屏上的信息。防范措施:一是配置干扰器对计算机辐射信号进行电磁干扰(低投入)。二是使用低辐射计算机设备(中投入)。三是对计算机设备实行屏蔽(高投入)。
2.2 联网泄密
计算机系统一旦联网,就可以互通有无,共享彼此信息,这就意味着涉密计算机巾的信息对所有网络用户都是公开的。即使采取加密、鉴别与验证、方问控制、防火墙等技术防范措施,一些“黑客”仍能用各种技术手段窃取网络内计算机系统的秘密信息。
防范措施:一是严禁涉及国家秘密的计算机系统接人局域网、社会公用网和国际互联网。二是对于处理内部工作秘密、商业秘密的计算机是否上网,要从维护本单位切身利益出发,做到内外有别,严格把关,防止造成经济上的损失和丁作上的被动。三是即使对不涉密计算机的上网,也要采取加密、鉴别与验证、访问控制、防火墙等技术防范措施,并经常用杀毒软件查杀病毒,以确保网络安全。
2.3 进口计算机设备泄密
目前已发现进口计算机设备主要存在以下3种泄密隐患:(1)留有“工程师检测口”和隐蔽程序,以便制造商远程监控计算机的运行情况和维修;(2)进口软件、硬件一般都留有“后门”,可以解开国内用户加密的密码。出现问题只有在外商协助下才得以解决;(3)在有的进El计算机或软件中,可能会嵌入窃密元件或埋下“逻辑炸弹”。为了防止受制于人,一是要优先选用国产设备、软件和国内技术;二是在进口计算机投入使用前,要进行认真彻底的检测,发现多余或可疑的程序立即删除;三是对进口的加密设备,只能用于分析研究,不能用于处理涉密信息。
3 防范措施
3.1 对计算机电磁波辐射泄密的防范措施
(1)使用低辐射计算机设备(即具有TEMPEST防护的设备)。这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施,把设备的信息辐射抑制到最低限度。另外,对于处理保密信息的计算机系统,建议使用液晶显示器来代替CRT显示器。因为液晶显示器的电磁辐射要比CRT显示器的弱得多。
(2)电磁屏蔽。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机工作。将计算机和辅助设备用金属屏蔽笼(法拉第笼)封闭起来,并将屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。建立屏蔽室时,要特别注意对门、窗、通风孔等部位的处理,以防电磁辐射泄漏。不具备屏蔽条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。
(3)“电子烟雾”干扰。根据电子对抗原理,采用一定的技术措施,利用干扰器产生电磁噪声与计算机设备产生的信息辐射一起向外辐射,对计算机的辐射信号进行干扰,可以增加接收还原解读的难度,保护计算机辐射的秘密信息。
(4)线路滤波。对进、出屏蔽室内易传导电磁波的电源线、电话线、报警信号线等线路,必须进行适当的屏蔽或滤波,或者两种办法都用。设置RF旁路滤波器(选择RF旁路滤波器使得从大约两倍工频到990MHz频段的所有电磁噪声接地)的最佳点应在线路穿过计算机房的边界处。
3.2 对联网泄密的技术防范措施
(1)防火墙技术。防火墙是位于两个网络之间的屏障,一个是内部网络可信赖的网络,另一个是外部网络不可信赖的网络。防火墙按照系统管理员预先定义好的规则来控制数据包的进出。
(2)入侵检测、攻击防御技术。防火墙是系统的第一道防线,用以防止非法数据的进入。但是防火墙并不是万能的,它只能被动的防止外部网络对内部网络的破坏,只能按照预先的设定一成不变的阻止网络数据传送。
(3)安全检查(身份验证)技术。计算机对用户识别,主要是核查用户输入的口令,网内合法用户使用资源信息也有使用权限问题,因此对口令的使用要严格管理。当然,对用户的识别还有其它方法,如使用磁性卡片、指纹、声音、视网膜图像等对用户进行鉴别。
(4)加密技术。将信息加密后存贮在计算机里,并注上特殊调用口令。这样,窃密者突破一般口令进入计算机后,也无法将信息调出。在信息传输过程中,对信息进行加密(一次或二次伪装),窃密者即使截收到信号也一无所知。
(5)数字签名技术。如今,大多数电子交易 ,采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能成为未来电子商业中首选的安全技术。
3.3 对媒体泄密技术防范措施
(1)防拷贝。防拷贝技术实际上是给媒体做特殊的标记,如在磁盘上产生激光点、穿孔、指纹等特殊标记,这个特殊标记可由被加密程序加以识别,但不能轻易地被复制。
(2)加密。对媒体中的文件进行加密,使其以常规的办法不能调出。由于密文加密在理论上还没有形成完善的体系,所以其加密方法繁多,没有一定的规律可循,通常可以分为代替密码、换位密码和条件密码方法。
(3)消磁。若保存过机密信息的磁盘、磁带、软盘等磁性介质需要释放给他人使用,必须进行彻底消磁处理。由于一般消磁后仍有一定的剩磁,对于窃密能手仍然可将这样的磁盘中的信息恢复,因此为了保险,经消磁后的磁盘还应用非机密信息对其重写,且重写的次数一般不能少于3次。
4 结束语
计算机工作人员泄密及防范措施为防止计算机管理及操作人员由于无知、工作失误、违反规章制度泄密和被渗透利用故意泄密等事件的发生,一是要抓好人员的“入口关”,从严考察选配,在具备相应的技术业务水平的条件下,做到不合格的坚决不用。对现有工作人员中发现不适宜从事涉密工作的,要尽快调离,以保证队伍的纯洁。二是要实行领导责任制。要有一名领导分工负责,建立健全管理组织;制定并严格实行专门的计算机保密管理规章制度;对管理和操作人员进行经常性的保密教育培训和检查考核,切实增强防范意识。三是要实行“人防”和“技防”相结合,抓紧配置必要的技术装备,掌握必备的防范手段,不断提高管理和操作人员的业务水平和技术防范能力。
参考文献:
[1]韩毅.计算机泄密的主要途径与防范[J].教育信息化,2005,2.
[2]朱宇文. 计算机泄密信息安全保护浅议[J]. 中国电力教育, 2000,5.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:计算机信息;安全泄密;防范措施
中图分类号:TP309文献标识码:A文章编号:1009-3044(2007)05-11222-01
1 引言
现在,与计算机有关的犯罪活动屡见不鲜,西方发达国家甚至把他们的社会由于广泛使用计算机而称为“脆弱的社会”。计算机的脆弱性一般表现在计算机犯罪、敌对国家的破坏、意外事故和自然灾害、电磁波干扰、工作人员的失误以及计算机本身的缺陷等许多方面,突出表现是容易泄密和被窃密。随着计算机成为标志着一种高科技、高效率和高水平的使用丁具,已经渗透到企业日常工作的诸多方面,都为企业的创先和发展以及经济效益,做出了显著的贡献。计算机及其网络应用中的泄密隐患及如何加强管理成为当今企业信息化管理的一项首要任务。
2 泄密途径
2.1 磁辐射泄密
主要有四个部位:显示器、主机、传输线外部设。其中显示器的辐射最强,用稍加改装的普通黑白电视机,在3O米内可以非常清晰地接收到正在工作的计算机显示屏上的视频信号。国外用专用设备,在lO00米之外都能接收、复原计算机显示屏上的信息。防范措施:一是配置干扰器对计算机辐射信号进行电磁干扰(低投入)。二是使用低辐射计算机设备(中投入)。三是对计算机设备实行屏蔽(高投入)。
2.2 联网泄密
计算机系统一旦联网,就可以互通有无,共享彼此信息,这就意味着涉密计算机巾的信息对所有网络用户都是公开的。即使采取加密、鉴别与验证、方问控制、防火墙等技术防范措施,一些“黑客”仍能用各种技术手段窃取网络内计算机系统的秘密信息。
防范措施:一是严禁涉及国家秘密的计算机系统接人局域网、社会公用网和国际互联网。二是对于处理内部工作秘密、商业秘密的计算机是否上网,要从维护本单位切身利益出发,做到内外有别,严格把关,防止造成经济上的损失和丁作上的被动。三是即使对不涉密计算机的上网,也要采取加密、鉴别与验证、访问控制、防火墙等技术防范措施,并经常用杀毒软件查杀病毒,以确保网络安全。
2.3 进口计算机设备泄密
目前已发现进口计算机设备主要存在以下3种泄密隐患:(1)留有“工程师检测口”和隐蔽程序,以便制造商远程监控计算机的运行情况和维修;(2)进口软件、硬件一般都留有“后门”,可以解开国内用户加密的密码。出现问题只有在外商协助下才得以解决;(3)在有的进El计算机或软件中,可能会嵌入窃密元件或埋下“逻辑炸弹”。为了防止受制于人,一是要优先选用国产设备、软件和国内技术;二是在进口计算机投入使用前,要进行认真彻底的检测,发现多余或可疑的程序立即删除;三是对进口的加密设备,只能用于分析研究,不能用于处理涉密信息。
3 防范措施
3.1 对计算机电磁波辐射泄密的防范措施
(1)使用低辐射计算机设备(即具有TEMPEST防护的设备)。这是防止计算机辐射泄密的根本措施,这些设备在设计和生产时,已对可能产生信息辐射的元器件、集成电路、连接线和CRT等采取了防辐射措施,把设备的信息辐射抑制到最低限度。另外,对于处理保密信息的计算机系统,建议使用液晶显示器来代替CRT显示器。因为液晶显示器的电磁辐射要比CRT显示器的弱得多。
(2)电磁屏蔽。根据辐射量的大小和客观环境,对计算机机房或主机内部件加以屏蔽,检测合格后,再开机工作。将计算机和辅助设备用金属屏蔽笼(法拉第笼)封闭起来,并将屏蔽笼接地,能有效地防止计算机和辅助设备的电磁波辐射。建立屏蔽室时,要特别注意对门、窗、通风孔等部位的处理,以防电磁辐射泄漏。不具备屏蔽条件的,可将计算机辐射信号的区域控制起来,不许外部人员接近。
(3)“电子烟雾”干扰。根据电子对抗原理,采用一定的技术措施,利用干扰器产生电磁噪声与计算机设备产生的信息辐射一起向外辐射,对计算机的辐射信号进行干扰,可以增加接收还原解读的难度,保护计算机辐射的秘密信息。
(4)线路滤波。对进、出屏蔽室内易传导电磁波的电源线、电话线、报警信号线等线路,必须进行适当的屏蔽或滤波,或者两种办法都用。设置RF旁路滤波器(选择RF旁路滤波器使得从大约两倍工频到990MHz频段的所有电磁噪声接地)的最佳点应在线路穿过计算机房的边界处。
3.2 对联网泄密的技术防范措施
(1)防火墙技术。防火墙是位于两个网络之间的屏障,一个是内部网络可信赖的网络,另一个是外部网络不可信赖的网络。防火墙按照系统管理员预先定义好的规则来控制数据包的进出。
(2)入侵检测、攻击防御技术。防火墙是系统的第一道防线,用以防止非法数据的进入。但是防火墙并不是万能的,它只能被动的防止外部网络对内部网络的破坏,只能按照预先的设定一成不变的阻止网络数据传送。
(3)安全检查(身份验证)技术。计算机对用户识别,主要是核查用户输入的口令,网内合法用户使用资源信息也有使用权限问题,因此对口令的使用要严格管理。当然,对用户的识别还有其它方法,如使用磁性卡片、指纹、声音、视网膜图像等对用户进行鉴别。
(4)加密技术。将信息加密后存贮在计算机里,并注上特殊调用口令。这样,窃密者突破一般口令进入计算机后,也无法将信息调出。在信息传输过程中,对信息进行加密(一次或二次伪装),窃密者即使截收到信号也一无所知。
(5)数字签名技术。如今,大多数电子交易 ,采用两个密钥加密:密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。这种组合加密被称为数字签名,它有可能成为未来电子商业中首选的安全技术。
3.3 对媒体泄密技术防范措施
(1)防拷贝。防拷贝技术实际上是给媒体做特殊的标记,如在磁盘上产生激光点、穿孔、指纹等特殊标记,这个特殊标记可由被加密程序加以识别,但不能轻易地被复制。
(2)加密。对媒体中的文件进行加密,使其以常规的办法不能调出。由于密文加密在理论上还没有形成完善的体系,所以其加密方法繁多,没有一定的规律可循,通常可以分为代替密码、换位密码和条件密码方法。
(3)消磁。若保存过机密信息的磁盘、磁带、软盘等磁性介质需要释放给他人使用,必须进行彻底消磁处理。由于一般消磁后仍有一定的剩磁,对于窃密能手仍然可将这样的磁盘中的信息恢复,因此为了保险,经消磁后的磁盘还应用非机密信息对其重写,且重写的次数一般不能少于3次。
4 结束语
计算机工作人员泄密及防范措施为防止计算机管理及操作人员由于无知、工作失误、违反规章制度泄密和被渗透利用故意泄密等事件的发生,一是要抓好人员的“入口关”,从严考察选配,在具备相应的技术业务水平的条件下,做到不合格的坚决不用。对现有工作人员中发现不适宜从事涉密工作的,要尽快调离,以保证队伍的纯洁。二是要实行领导责任制。要有一名领导分工负责,建立健全管理组织;制定并严格实行专门的计算机保密管理规章制度;对管理和操作人员进行经常性的保密教育培训和检查考核,切实增强防范意识。三是要实行“人防”和“技防”相结合,抓紧配置必要的技术装备,掌握必备的防范手段,不断提高管理和操作人员的业务水平和技术防范能力。
参考文献:
[1]韩毅.计算机泄密的主要途径与防范[J].教育信息化,2005,2.
[2]朱宇文. 计算机泄密信息安全保护浅议[J]. 中国电力教育, 2000,5.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。