刘昊 张海涛
[内容摘要]随着计算机网络技术的不断进步和广泛应用及电子商务、电子政务的迅速发展,网络安全问题亦更加突出。检察专线网是涉密网络,其安全和保密工作十分重要,在设计、建设、使用涉密信息网络系统时,应在遵守检察机关信息网络安全保密系统的原则下进行,做到网络使用与信息涉密同步实施,从整体上增加检察保密技术防范和检查能力,让基层检察机关办公自动化网络发挥更大作用,促进和推动检察业务工作更快更好的发展。
[关 键 词]网络安全 保密 策略
依照高检院“科技强检”的战略思想,目前检察机关基本上实现了专线电话、视频会议和数据传输的“三网合一”,而且全国的三级专线网建设已完成。基层检察院的内部局域网络已经能够将检察业务、办公事务和文件检索等应用系统运用于实际的检察工作中。同时,依靠网络系统和数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,满足了与兄弟院之间进行广泛数据交换的互联要求。我们在感受网络带来诸多好处的同时,一个新的问题摆在我们面前,就是网络安全问题。检察专线网是涉密网络,其安全和保密工作十分重要,因此,加强和提高检察机关网络的安全防范能力,是摆在每位信息技术人员乃至全体干警面前的一项重要任务。
一、基层检察院网络安全存在的问题
(一)操作系统非正规。目前,在基层检察院信息设备中被广泛使用的网络操作系统主要是WINDOWS2003、WINDOWS XP和VISTA等。由于正版操作系统软件价格过于昂贵,绝大部分电脑都装的是非正版操作系统,这些操作系统存在来源不明,无正规的售后服务,有些原文件缺失等各种各样的漏洞,因此系统很难及时更新,各种补丁难以下载,计算机即使安装了防毒软件也会反复感染各种计算机病毒。
(二)杀毒软件杂乱,病毒库更新不及时。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪。检察院机关局域网是一个相对封闭、独立的专线网络,是一个从最高人民检察院到省级院、市级院、基层检察院的直线型检察系统专网,期间任何一个环节都可能遭到黑客、病毒的攻击和侵入,从而使整个局域网络陷入瘫痪。目前基层检察院单机杀毒软件各自为阵,来源比较混乱,又因检察机关专线网及局域网相对独立,所以杀毒软件的病毒库不能及时更新,各种病毒在局域网内横行,经常有终端系统崩溃,甚至是硬件被破坏,网管人员维修电脑也疲于奔命。
(三)安全保密知识和专业技术缺乏。检察机关专线网与外网系物理隔绝,理论上有着一个相对安全运行的环境。但由于大多数干警没有接受过系统的计算机安全培训,缺少信息安全方面的基本常识,所以检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节存在安全隐患。而且在日常工作中,常把存有保密信息的存储介质或计算机在外网和内网之间混用而不采取任何保密措施,使一些保密信息暴露于公共网络中,容易被窃取而造成泄密事件。同时,也会把外网中的病毒传染到内网,导致专线网内的计算机感染病毒。另外,一些基层检察院缺乏具有专业知识的管理人员,很多时候是由非专业人员代管,缺乏必要的岗位信息安全理论培训、岗位职能培训与操作技能培训,导致网络得不到日常维护,或面对突发事件,管理人员束手无策,力不从心。
(四)网络管理与相关制度不健全。检察机关网络的安全有效运行需要一套完整严格的管理制度进行规范。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但事实上,一些基层检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准。一些制度的制定对网络安全保密还停留在感性认识上,存在一些漏洞,人为操作的随意性较大,导致网络信息处于一种危险状态。
(五)硬件建设不规范。信息化安全系统一个必不可少的组成部分,就是物理安全。当前,一些基层检察机关在计算机机房设计、安装达不到国家规定的有关标准;存在安全防患不够、供电系统不稳、电磁干扰等对计算机系统资源带来危害的隐患,对网络安全均可造成一定影响。
二、基层检察院网络安全预防对策
(一)建立健全计算机网络系统保密制度。
制订一系列计算机网络系统安全、保密制度,使计算机信息系统安全、保密工作系统化、制度化,做到有章可循。一是规范操作涉密计算机。设置计算机登录口令。对上机人员都确定相应的口令,经审批后报院保密委员会备案。上机人员必须严格执行口令制度,严禁多名上机人员共同使用一个口令或将口令转告他人代替自己操作。口令必须定期更换。二是规范处理光盘和移动存储等涉密设备。要求本院所需光盘和移动存储设备均由技术科专职人员统一购置,存有秘密文件的光盘和移动存储设备要有涉密标识,并编号,由专人保管;硬盘更换须在院保密委员会成员和技术科人员的监督下,由专职技术人员负责实施,被更换或损坏的硬盘交由办公室保管或技术科粉碎销毁;涉密计算机网络设备报废,要彻底清除其中的涉密信息;记录有重要信息的软盘、光盘如无保存价值的,由管理、经办人员统一销毁。三是建立信息上网审批制度。为防止保密信息在网上传播,确保网站规范,有序及正确的舆论导向,应建立信息上网审批制度,上网信息发布前须经院分管领导同意审批后,科室负责人和办公室主任签字后,才能统一由技术部门的计算机专职管理人员或网站管理员发送,从而保证上网信息依法、真实、保密,防止发生网络泄密事件。
(二)建立健全网络运行管理机制。
科学严格的网络管理制度是保证网络安全、有序运行的必要保障,要以制度化促进管理的规范化。首先要建立完善的安全管理组织体系,设置相应的领导机构,机构以院主管领导、技术部门负责人、网络管理员和操作员组成,全面负责局域网的日常维护、管理工作。其次应结合检察工作的特点,制定符合实际、科学规范、操作性强的规章制度,如机房管理制度、计算机使用制度、三级机要通道制度、涉密计算机标识管理制度、移动存储介质管理制度等。对因工作需要上外网的计算机要严格实行审查审批制度,坚决杜绝内外网混用,一旦发现计算机信息泄密,应及时采取补救措施,并按有关规定及时向上级报告。此外,要在执行制度上下功夫,严格按照网络安全保密工作责任制的要求,采取积极有效措施,狠抓规章制度落实,充分发挥检务督查的作用,对违反规定的行为,坚决追查处理,切实做到用制度规范行为,按职责实施管理,形成制度化、规范化的网络安全保密管理秩序。
(三)完善技术手段和物理安全设备配套
1、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。因此,防火墙是一种行之有效且应用广泛的网络安全机制。根据不同网络的安装需求,做好防火墙内服务器及客户端的各种规则配置,可更加有效地利用好防火墙。
2、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品,需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件以及一套基于邮件服务器平台的邮件防病毒软件。通过全方位、多层次的防病毒系统的配置,定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
3、内外网实行物理隔离。按照高检院的有关规定,检察系统信息网络不得直接或间接地与互联网或其它公共信息网络相联接,必须实行物理隔离。从而要求在网络化建设的布线工作中,应做到检察机关内部局域网与国际互联网之间采取物理隔断。加强对服务器的合理化配置,专门分配一台服务器用于内部网络的管理,同时为保证内部网络信息的实时性,又独立出另一台服务器连接外部网络用于进行信息地发布和收集以及企业版杀毒软件的在线升级。通过对服务器的使用控制,从而达到了检察机关内部局域网与国际互联网之间的物理隔断,对一些需同时连接局域网和因特网的部们或个人,可再添置一台电脑,分别连接局域网和因特网,或安装一张物理隔离卡,最大程度地杜绝黑客访问或病毒入侵。与外部网相连的计算机上不得存储、处理和传递内部信息,在因特网上提取的信息也必须经杀毒处理后再在局域网内供内部使用。确保机密信息内部循环而不致泄露,同时遏制了病毒的感染和传播。
4、对涉密数据信息加密。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。它是网络安全最有效的技术之一。信息加密不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。信息加密常用的方法有链路加密、端点加密和节点加密三种,它是由各种加密算法来具体实施。日常工作中,检察机关应尽可能的使用好的加密办法对涉密数据信息全程进行加密,使非法用户即使越权入网浏览和下载网上信息,也无法阅知信息内容。
5、采用入侵检测系统。试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDeteetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。在网络中同时采用基于网络和基于主机的入侵检测系统,可形成一套完整立体的主动防御体系,并可与防火墙进行联动设置。
6、加强备份数据和日志管理。检察信息数据具有高度敏感性,一旦发生意外,如系统瘫痪、硬件损坏或其他机器故障,损失往往无法挽回。为此,检察机关应定期使用刻录光盘或制作镜像文件来保存和备份重要数据。同时,网络管理人员严格遵守管理制度,建立网络管理台帐,对局域网每一次的重要修改,即使在权限范围内,也认真地记录修改过程及更改内容,保证数据出现问题时能及时挽救以及查找原因。
(四)加强应急策略下的物理安全体系。
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等自然灾害、人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、服务器、各种辅助设备和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。各级检察机关应严格按照高检院有关标准,切实消除物理安全隐患。
(五)加强干警职业技能培训。
1、增强计算机操作人员的保密意识。计算机是一种具有高技术特点的信息处理工具,所存贮的信息不如传统信息那样直观,尤其是检察机关,涉密信息较多,有些操作人员的信息保密意识不强,很容易造成信息泄密。因此首先应抓好教育,提高计算机管理员及操作员对检察信息安全、保密工作特殊性、重要性、必要性和紧迫性的认识,增强保密意识,进而在工作中养成良好的保密习惯和工作警觉性。
2、提高操作人员应用水平。计算机应用的培训工作是保证信息安全保密的重要一环。上机、上网人员必须具备相应的操作技能和专业知识,否则信息的安全保密就无从谈起。同时,不断提高使用和管理人员的信息技术水平,使其真正熟悉所有设备的性能,基本掌握防止泄密的知识和防范措施,如开机加密、屏幕保护加密、目录加密、文件加密,网络传输加密等技术,从根本上防止操作人员因操作问题而造成的泄密。
网络环境的复杂性,多变性、以及信息系统的脆弱性,决定了网络安全威胁的客观存在,不能仅依靠杀毒软件,防火墙、漏洞检测等硬件设备的防护,还要意识到计算机网络系统是一个人机系统,安全保护的对象是计算机,而安全保护的主体则是人。所以基层检察院应重视对计算机网络安全的硬件产品的升级换代,建立一个好的计算机网络安全系统,也应注重树立人的计算机意识,才能防微杜渐,把可能出现的损失降低到最低点,才能生成一个高效,安全的检察网络系统。
|