摘  要：本文针对国防科技工业信息安全面临的威胁，如何利用信息安全技术防止敏感信息泄露以及加强保密管理，建立信息安全保密管理体系进行了阐述。提出只有促进信息安全与保密管理相融合，才是实现国防科技工业信息安全保密的唯一可靠手段。
    关键词：国防科技   信息安全   保密管理

    1、引  言
    信息技术的快速发展，给我们的日常工作、生活带来日新月异的变化。国际上，发达国家正向信息社会转型，越来越多的发展中国家主动迎接信息化发展带来的新机遇，信息化水平的高低已经成为衡量一个国家整体实力的重要标志。在我国，《2006 -2020年国家信息化发展战略》指出，大力推进企业信息化，是覆盖我国信息化建设全局的战略举措。因此，大力发展国防科技工业信息化，也是国家信息化的重点任务。近年来，国防科技工业信息化进程随着国内、外形势，以“信息化带动工业化，工业化促进信息化”为方针不断发展，更新和改造着国防科技工业的生产工艺设备与流程，信息化推进同时也在重组国防科技工业的生产管理模式，从而提高了国防科技工业核心竞争力、抗风险能力和可持续发展能力。

    2、国防科技工业信息安全面临威胁
    目前，国防科技工业信息安全形势严峻，境外情报机构和敌对势力通过计算机网络进行窃密的活动十分猖獗，网络泄密和网络攻击事件屡有发生，成为影响和制约着国防科技工业持续稳定发展的极其重要因素。随着国防科技工业生产、经营对其信息系统不断增长的依赖性，信息安全成为国防科技工业保密管理越来越关键的一部分，一旦国防科技工业的信息系统遭到攻击而瘫痪或者信息泄露，所造成的损失是不可估量的。
    由于计算机网络开放性、互联性的特征，致使计算机网络易受黑客与恶意软件和其他不法行为的攻击，如：窃取数据、服务不能正常启动等，而且，国防科技工业很多计算机网络是涉密网络，存放着国防尖端产品重要的科研、生产数据，需要严格保护，笔者依靠多年从事计算机信息网络建设及网络安全运行经验，认为当前国防科技工业网络信息安全主要威胁有如下几个方面：
    ①  来自外部威胁口令窃取，通过破解账户口令或者网络监听得到用户口令，如：当前流行的网络钓鱼等欺骗手段；
    ②  计算机病毒，利用计算机软、硬件系统自身漏洞，通过恶意病毒窃取信息或者取得系统控制权使服务瘫痪，目前流行的各种木马病毒如：磁碟机、灰鸽子病毒即为此类；
    ③  来自内部的威胁，在一些单位内部，非法人员冒用授权用户合法身份登录涉密信息系统，窃取敏感信息或破坏信息系统；
    ④ 信息安全意识和认识不足，网络安全基础设施利用和资金投入不足等非技术层面也构成网络信息安全缺陷。
    信息安全产品技术标准不断发展和完善，信息安全威胁也是不断地升级换代，面对这些新旧威胁，笔者认为：促进信息安全和保密管理相融合，是解决这些威胁的唯一手段。任何信息系统没有100％的安全，信息安全是一个相对动态的过程，随着国防科技工业信息化程度的进一步加深，国防科技工业核心业务对信息系统依赖度的不断加强，信息安全问题会相对越来越多，这是一个不可扭转的趋势和现实。

    3、国防科技工业信息系统安全关键技术建立及防护
    首先，建立国防科技工业企事业单位网络安全，必须严格按照有关标准规定，进行全方位信息安全立体防护。作为研制国家重要型号产品的军工企事业单位，承担着武器装备科研生产任务，信息安全管理既具有通常企事业单位信息安全管理的一些特点，又具有其自身的特殊性，信息安全防护要求更高。
综上所述，笔者认为国防科技工业信息安全防护主要涉及标准如下：
    《信息技术  信息系统安全管理要求》GB/T 20269 - 2006
    国家保密局标准：BMZ1-2000、BMZ2-2001、BMZ3-2001、
    BMB17-2006、BMB20－2007、BMB22-2007
    此外，还可以参考《保密资格审查认证评分标准》，《武器装备科研、生产保密资格审查认证工作指导手册》。根据国防科技工业网络信息安全敏感性特点，依照《武器装备科研、生产保密资格审查认证工作指导手册》，在一般计算机网络中部署防火墙、入侵检测、漏洞扫描、防病毒以及主机审计网络安全产品，涉密信息系统必须配置信息加密机、身份鉴别认证CA/RA系统，可以有效阻止敏感信息泄露。
    在物理安全上，保护计算机网络设备、设施以及其他辅助设施免遭自然灾害以及人为操作失误和各种非法行为的破坏和攻击；确保网络系统有个良好的电磁兼容环境，采用电磁屏蔽、网络隔离、防雷接地、滤波等措施；对敏感计算机采用电磁干扰器掩盖计算机系统产生的工作频率和信息特征。
    面对网络中种种潜在威胁，为最大限度保护网络中敏感信息，在部署如上网络安全产品同时，还应采取有效的网络访问安全策略来确保网络系统的安全运行。在访问控制策略上，做好网络边界防护。主要保证网络资源不被非法使用和网络上的非法访问，访问控制是保证网络安全最重要的核心策略。主要包括：入网访问控制，即控制那些用户能登录到服务器并获取网络资源；网络权限控制，即用户登录网络后，可以访问服务器上那些资源，那些资源不能访问；通过网络日志分析检测和锁定控制，对非法的网络访问，以图形、文字、声音等形式报警，并锁定非法账户，主动防御。
    对涉密信息系统传输加密信息。采用信息加密机、CA/RA等密钥产品对重要敏感信息进行有效加密，防止窃取和破解传输信息。在产品选择上，应严格采用国内网络安全产品。加强数据备份。对数据库文件和系统文件都要进行多种备份，一旦系统瘫痪，可以迅速恢复。

    4、国防科技工业网络运行中安全保密管理与控制
    首先，依照保密标准管理规定，在涉密网络运行管理过程中，要设置：网络管理员、网络安全员、网络审计员。而实际工作中，由于存在效率、资源、系统关联性等众多因素，事实上往往一个人要负责多个系统维护。这就违背了内部安全管理原则，原本应该建立的授权有限、职责分离、相互制约的管理机制。
其次，依照国家保密局和国防科技工业保密相关标准制定相应管理制度和管理规范。严格控制信息资源的管理和使用，在向外提供各类图文资料、通过互联网传递发布信息、以及进入保密、要害部位人员的保密审查中，认真落实“先审后用”、“先审后发”以及“先审后进”原则，加强监督检查，严把涉密信息出口关。保密管理人员跟踪“科研设计、试验、会议”等重大涉密活动，落实保密责任制，实行过程监督控制，防止泄密，对重要涉密活动实行全方位、立体化保密管理，使保密工作贯穿于涉密活动全过程，使重大涉密活动始终处于可靠的保密安全环境中。
    国防科技工业在处理敏感涉密信息管理上，要从“落实责任制，提高素质，健全预防机制，规范制度管理，加强技术防范”入手，积极探索保密工作新思路、新途径、新举措，构建了长效保密管理机制。贯彻落实“业务谁主管，保密谁负责”原则，“积极防范，突出重点”的方针，注重事前预防、过程控制。
以人为本，尊重人性。在国防科技工业的信息安全管理体系中，除了产品和技术外，人员的因素也是非常重要。人员的无意泄密可以通过培训提高安全意识来改善，即使可以管住邮件、纸面文档复印打印、USB等外设使用，但人凭大脑把信息记录后再向外传播出去却无法通过技术来控制的。技术手段是可以实现诸多的监控，为未来可能发生的信息安全事件提供证据，即使日后通过保密协议或通过司法手段调查取证可以追究当事人的法律责任，也不过是事后补救。事前预防的唯一可行和有效的手段就是组织保证相关人员得到充分的培训，并严格执行信息安全管理中有关人员安全管理部分，将人为信息安全问题减少乃至杜绝，其有效的手段就是加强军工企业员工对国防事业的荣誉感和忠诚度，让每位职工认识到安全保密工作的深刻含义，做到主动提高保密意识，认真学习保密制度、自觉遵守保密纪律。

    5、大力促进信息安全和保密管理相融合
    越来越多的信息安全问题，是仅仅依靠产品和技术根本无法解决的。统计数字表明， 70%的信息安全事件产生的原因并不是来自外界的病毒和黑客，而是来自内部的未授权访问，而解决这些问题的主要出路要依靠管理。1999年开始，以BS7799为代表的国际信息安全管理标准开始引入我国，产品、技术和标    准——决定信息安全管理水平的三要素全部到位，国内信息安全管理进入了真正意义的信息安全管理阶段
    所谓“三分技术，七分管理”，就是为了解决愈来愈多的信息安全问题而提出的。技术只是帮助实现管理的手段，就ISO27001而言，它的11个控制区域中，只有3个区域是完全和技术相关，其它8个都是要求如何进行信息安全管理，比如物理安全、内部管理安全、业务管理这些都无法纯粹依靠技术来实现，更多的是要靠管理来实现。“三分技术，七分管理”，要充分认识到信息安全技术无法替代保密管理规章，更无法替代管理监管和控制。在计算机网络信息保密管理中，信息安全技术确实为实现信息安全保密提供了广泛、高效而且快捷的风险管理手段。然而，我们不能忽视一种倾向，那就是过分依赖信息安全技术。任何一种技术措施和手段都存在缺陷，都存在不适应性或者失效的场合。保密管理的本质在于对敏感信息的控制，在涉密信息系统和非涉密信息系统之间的关联，授权控制体系之间的关联，往往存在监管不到的灰色地带，给信息系统安全带来风险和漏洞。
    在实际的保密管理工作中，由于国防科技工业主要敏感信息处理依赖其使用的信息系统，而这些信息系统主要由信息管理部门负责。相当多的企事业单位的保密管理部门和信息管理部门分属两个不同部门。因此，在安全保密人员对信息化知识掌握和运用不足，信息化人员对安全保密政策掌握不透彻的情况下，加强安全保密管理和信息化技术的联合是非常必要的。国防科技工业一些单位，已经从熟知信息安全防护的技术人员中选拔担任保密干部，极大的加强了保密管理的力度。
    信息安全是自上而下的过程。这也是最很重要的一点，任何管理的推行都需要单位最高管理层的绝对支持和身为表率并持之以恒，最高管理层可能没有时间去详细了解每一项安全策略的内容，没有时间去参与具体的每一项实施工作，实践中这也是不可能的也不必要的，但最高管理层必须要很清楚他们的相关言行必须与单位信息安全的终级要求相一致，如果相背离，不但影响下级部门相关做法，作为实施信息安全管理部门也会处于无序被动工作的尴尬境况。

    6、存在的问题
一些信息系统管理部门购买很多信息系统安全产品，也建立了很多安全管理制度，甚至做了信息安全管理体系并通过了认证，投入了很多，但整体信息安全管理水平并没有明显提升，信息安全问题还是屡屡发生，主要存在安全防护意识问题。计算机和网络使用中的安全风险，并非所有人员对其有较全面的认识，从最基本的口令设置、USB移动硬盘保存、移动介质的不合理使用到非授权软件的配置安装、非法拨号上网，以及出于好奇对网络病毒的恶意传播和攻击破坏，都将给网络带来严重的安全隐患
    在国防科技工业信息安全管理体系的实践过程中，无论是管理层还是具体实施的基层部门员工，在信息安全理念上都不同程度的存在着一些困惑和误区。职工的安全意识无法提升，有很多原因：“工作忙”，“没时间看那些安全策略”，“请相信我，我不会泄密”等等。没有时间是问题吗？明显不是，真正的问题是对信息安全不重视，不想把它当回事。不仅一般职工如此，在国防科技工业系统管理层人员乃至核心管理层人员都不同程度有如此想法。
    此外，信息安全最重要的是落实保密管理的规章制度。各项安全制度和安全体系要不断完善，完善后要持续改进。各单位实施信息安全体系，经常是开始信心很足，文档制度一大堆，大家都认真执行，但过了几个月就基本上束之高阁，一切又回到旧轨道上。主要原因是做事的不到位与不彻底。这个问题不能很好地解决，即使有再好的产品、技术或标准，信息安全管理水平也很难从根本上有所提高，上再好的产品、技术和标准最多是升级一下信息管理部门的装备水平。
    根据军工集团各行业特点，信息系统安全防护具体情况不同，防护体系技术要求也不尽相同，因此，必须依照具体实际情况，急需制定各军工集团的信息安全行业标准、规范。在国防科技工业系统中，由于经费紧张或者意识不够，信息安全产品没有更新配置，或者有更新但不全面，信息系统同样存在着诸多安全漏洞，造成产品技术防护安全漏洞。

    7、结束语
    国防科技工业信息安全和保密管理由于其涉及国家安全特殊性，具有严格的要求。近年来随着上级领导的重视以及基层部门信息安全意识不断提高，其信息安全防护不断加强，管理体系已逐步规范，各单位先后制定了适合本单位保密管理规定，使保密工作有法可依、管理科学规范、有章可循。随着办公自动化及信息技术应用的发展普及，国防军工企事业单位在保密管理工作中通过人防、物防、技防相结合手段，努力打造坚实可靠的国防科技工业保密“盾牌”。
    参考文献：
    1、ISO 17799  信息安全管理体系规范
    2、沈昌祥  信息安全工程导论   电子工业出版社  2003
 

(责任编辑：)