当前位置:首页 > 工程建设  
详细信息
保密知识问答(三)
发布日期:2017-06-20 16:19:32   来源:
 第三部分  涉密计算机和网络
 
29、涉密计算机如何设置口令?
涉密计算机应严格按照国家保密规定和标准设置口令。
处理秘密级信息的计算机,口令长度不少于8位,更换周期不超过1个月;设置口令时,要采用多种字符和数字混合编制。
处理机密级信息的计算机,应采用IC卡或USBKey与口令相结合的方式,且口令长度不少于4位;如仅使用口令方式,则长度不少于10位,更换周期不超过1个星期;设置口令时,要采用多种字符和数字混合编制。
处理绝密级信息的计算机,应采用生理特征(如指纹、虹膜)等强身份鉴别方式。
知识链接
口令破解难度与口令长度及强度(即口令编制的规律性)有关:口令越长越不易破解,若使用暴力破解法,口令破解难度随口令长度基本呈几何级数增长,8位以下的口令,几天甚至几分钟即可破解。口令若采用有规律的字母或数字组合,如adminlll,beijing2008等,易被黑客字典收录,使用字典破解法瞬间即可破解。
口令设置技巧:
1.不要以个人信息(如姓名、生日、手机号、计算机用户名)、单位信息、英文单词等作为口令,易被破解。
2.要设计好记的口令,可用一句自己喜欢且容易记住的话来设定口令,如名言警句、歌词、口头禅等,取每个字汉语拼音的首字母或英文单词首字母,然后进行个性化改造。如“春眠不觉晓,处处闻啼鸟”,取其汉语拼音首字母连起来得到cmbjxccwtn,然后利用音似、形似、英文表述等进行个性化改造,如可将上述口令中x变为*,cc变为c2,将第一个字母大写,最后得到Cmbj*c2wtn。
3.更换口令,可用循环的方式。如选4句诗词,每周用1句,每个月循环1轮。
30、涉密计算机安全保密防护软件和设备为什么不得擅自卸载?
涉密计算机的安全保密防护软件和设备,为涉密计算机存储、处理涉密信息提供安全保障。如防病毒软件可防范计算机感染病毒、“木马”等恶意程序;主机监控与审计软件可对主机非法或入侵操作进行检查;保密技术防护专用系统可监控涉密计算机违规外联,管控移动存储介质交叉使用,并提供外部非涉密信息单向导入涉密计算机的安全通道。擅自卸载涉密计算机的安全保密防护软件和设备,将使涉密计算机失去安全保密保障,带来泄密隐患。
知识链接
不得擅自卸载涉密计算的安全保密防护软件和设备,也不得擅自在涉密计算机上安装软件,尤其是从互联网下载的软件,否则可能同时将病毒、“木马”等恶意程序安装到计算机中,带来泄密隐患。
31、涉密算机为什么不得接入互联网等公共信息网络?
涉密计算机接入互联网、有线电视网、固定电话网、移动通信网等公共信息网络,可能被境外情报机构植入“木马”窃密程序,带来泄密隐患。
涉密计算机与公共信息网络必须实行物理隔离,即与这些公共信息网络之间没有任何信息传输通道。
知识链接
安全保密防护软件和设备基于逻辑机制对计算机进行防护,由于这些技术的复杂性和有限性,无法提供绝对的信息安全保障,易被黑客操纵。而物理隔离可真正保障涉密计算机及信息系统不受来自互联网等公共信息网络的黑客攻击,同时也为涉密计算机及信息系统划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。
物理隔离概念不是中国特有的,一些国家早就有这方面的规定。有的国家早在1999年底就强制规定军方涉密网络必须与互联网断开,实现物理隔离看,并投入巨资建设与互联网物理隔离的政府专网。
32、涉密计算机为什么不得使用无线网卡、无线鼠标、无线键盘?
涉密计算机使用无线网卡,在开机状态可自动与无线网络连接,为境外情报机构进行远程控制提供渠道。即使关闭联网程序,也可使用技术手段通过无线网络将其激活并实现联网,窃取信息。
涉密计算机使用无线鼠标、无线键盘等无线设备,涉密信息会以无线信号形式在空中传递,极易被他人利用相关设备截获,造成泄密;同时,计算机与无线设备之间的无线信道可能被利用,成为窃密网络通道。
知识链接
有的国家要求在涉密单位限制无线设备的使用,包括禁止雇员将无线设备与涉密网络或者计算机相连接,禁止未经批准将无线设备与IT设备进行同步,禁止将无线设备用于涉密行动的主要通信方式和软件下载,禁止将无线设备用于关键任务系统的任何一部分。
33、携带涉密笔记本电脑及其他涉密存储介质外出应当遵守哪些保密要求?
在一般情况下,不允许携带涉密笔记本电脑及其他涉密存储介质外出。确需携带外出的,要严格履行审批手续,采取有效管理措施,确保涉密笔记本电脑及其他涉密存储介质始终处于有效监控之下。同时采取身份认证、涉密信息加密等保密技术防护措施。
典型案例
2006年2月,某涉密单位职工何某携带存有国家秘密文件的私人移动硬盘,在回家途中被抢。报案时,何某隐瞒硬盘涉密的实情。公安机关追回硬盘后,发现其中存有大量国家秘密文件、资料。事件发生后,何某因非法持有国家秘密罪和过失泄露国家秘密罪,被判处有期徒刑1年2个月。
34、涉密计算机改作非涉密计算机应当注意哪些保密问题?
涉密计算机改作非涉密计算机使用,应当经过机关、单位批准,并采取拆除信息存储部件(如硬盘、内存)等安全技术处理措施。不得将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
拆除的部件如作淘汰处理,应严格履行清点、登记手续,交由保密行政管理部门销毁工作机构或者保密行政管理部门指定的承销单位销毁;自行销毁的,应当使用符合国家保密标准的销毁设备和方法。
知识链接
通过删除文件、格式化硬盘、硬盘分区等方式销毁数据是不安全的,数据仍可被恢复。
1.删除文件:删除操作不能真正擦除磁盘数据区信息。用户所使用的删除命令,只是将文件名称的第一个字母改成一个特殊字符,然后把该文件占用的簇标记为空,但文件包含的数据仍在磁盘上,下次将新的文件保存到磁盘时,这些簇可能被新的文件使用,从而覆盖原来的数据。因此,只要不保存新的文件,被删除文件的数据实际上仍旧完整无缺地保存在磁盘上,通过EasyRecovery等数据恢复工具即可直接恢复。理论上,要彻底清除文件,必须反复覆盖数据7次以上,每次都用随机生成的数据覆盖。
2.格式化硬盘:“格式化”分高级格式化、低级格式化、快速格式化、分区格式化等多种类型。大多数情况下,普通用户采用的格式化不会影响到硬盘上的数据区。格式化仅仅是为操作系统创建一个全新的空文件索引,将所有的扇区标记为"未使用"状态,让操作系统认为硬盘上没有文件。因此,采用数据恢复工具也可以恢复格式化后数据区中的数据。
3.硬盘分区:操作系统仅修改硬盘主引导记录和系统引导扇区,绝大部分的数据区并没有被修改。
数据销毁作为信息安全的一个重要分支,早已引起世界各国的重视。早在1985年,有的国家就发布了数据销毁标准,要求数据必须覆盖三次:第一次用一个8位的字符覆盖,第二次用该字符的补码(O和1全反转的字符)覆盖,最后用一个随机字符覆盖。但此方法不适用于存储过机密信息的介质,这类介质必须进行消磁处理,或者销毁其物理载体。
典型案例
2008年1月,某涉密单位干部唐某将涉密笔记本电脑进行数据删除和格式化处理后,作为非涉密电脑接入互联网。该计算机被境外机构植入特种“木马”并远程控制,涉密文件、资料被恢复后窃取,其中包括大量国家秘密和重要敏感信息。事件发生后,唐某因过失泄露国家秘密罪,被判处有期徒刑2年6个月。
35、移动存储介质为什么不得在涉密计算机和非涉密计算机之间交叉使用?
移动存储介质在非涉密计算机上使用时,有可能被植入"木马"等窃密程序。当这个移动存储介质又在涉密计算机上使用时,“木马”窃密程序会自动复制到涉密计算机中,并将涉密计算机中的涉密信息打包存储到移动存储介质上。当移动存储介质再次接入到连接互联网的计算机时,涉密信息就会被自动发往指定主机上,造成泄密。
将非涉密信息复制到涉密计算机,应对复制的数据进行病毒查杀,并采取必要的技术防护措施,使用一次性光盘或经过国家保密行政管理部门批准的信息单向导入设备。
知识链接
2010年年底,某国下令禁止在连接国防部涉密网络的计算机上使用移动存储介质,并采取技术手段限制涉密计算机向移动设备复制文件,同时禁止全军使用CD光盘及USB移动存储介质,违者将以军法论处。
36、非涉密计算机为什么不得存储、处理和传输涉密信息?
非涉密计算机缺乏保密技术防护措施,如果存储、处理涉密信息,很可能通过互联网等公共信息网络或其他移动存储介质泄露,为他人特别是境外情报机构获取涉密信息提供可乘之机。
37、机关、单位涉密网络安全保密技术防护有哪些保密要求?
机关、单位应当采取下列措施,加强涉密网络安全保密技术防护:
 (1)采取身份鉴别措施,有效防范非授权用户登录服务器、终端、应用系统以及安全保密设备;
 (2)采取访问控制措施,有效防范用户对信息的越权访问;
 (3)采取安全审计措施,准确记录用户和管理人员的操作行为,有效监控违规操作;
 (4)采取边界安全防护措施,有效防范违规接入、违规外联和移动存储介质交叉使用等行为;
 (5)采取信息流转控制措施,防止高密级信息流人低密级网络或者安全域。
38、机关、单位规划建设涉密网络有哪些保密要求?
机关、单位规划建设涉密网络,应当按照同步规划、同步建设、同步运行的要求,根据国家保密规定和标准,制定分级保护方案,采取身份鉴别、访问控制、安全审计、密码保护等技术措施。涉密网络建设项目评估,应当有保密行政管理部门人员参加。
项目审批部门应当将涉密网络建设项目的批复文件抄送同级保密行政管理部门。
涉密网络建设完成后,应当经保密行政管理部门审批,方可报项目审批部门组织竣工验收。
39、机关、单位涉密网络使用管理有哪些保密要求?
机关、单位应当采取下列措施,加强涉密网络使用保密管理: 
 (1)与互联网及其他公共信息网络实行物理隔离;
 (2)统一采购、登记、标识、配备信息设备,并明确使用管理责任人;
 (3)依据岗位职责严格设定用户权限,按照最高密级防护和最小授权管理的原则,控制国家秘密信息知悉范围;
 (4)严格规范文件打印、存储介质使用等行为,严格控制信息输出;
 (5)加强对用户操作记录的综合分析,及时发现违规或异常行为,并采取相应处置措施;
 (6)将互联网及其他公共信息网络上的数据复制到涉密网络,应当采取病毒查杀、单向导入等防护措施;
 (7)指定在编人员担任系统管理员、安全保密管理员、安全审计员,分别负责系统运行维护、安全保密管理和安全审计工作;
 (8)涉密网络建设和运行维护服务外包的,应当选择具有相应涉密信息系统集成资质的单位,签订保密协议,落实保密管理措施。
知识链接
2010年7月到11月,专门揭露大公司和政府机密的“维基揭秘”网站,先后获取了数十万份阿富汗、伊拉克战争中的相关军事文件和外交电文,并陆续公布,引爆最大泄密事件,泄密内容、涉及多个国家。
在“维基揭秘”事件中泄露的美军涉密文件,是由美军的一名情报分析员曼宁,以其合法身份进入内部涉密网,利用网络缺陷和管理漏洞大量下载涉密信息,并传给了“维基揭秘”网站。而美军对超出访问授权、网络异常流量、信息异常下载、数据异常导出等诸多情况未能及时发现,导致这起严重泄密事件的发生。
40、机关、单位互联网使用管理有哪些保密要求?
机关、单位互联网使用管理有以下保密要求:
 (1)建立互联网接入审批和登记制度,严格控制互联网接入口数量和接入终端数量。中央和国家机关各部门互联网接入口数量原则上不超过两个,省级以下党政机关逐步实现互联网集中接入。
 (2)建立健全信息发布保密审查制度,指定机构和人员负责拟在互联网发布信息的保密审查,并建立审查记录档案。
保密审查应当坚持一事一审、全面审查,确保发布的信息不涉及国家秘密,并综合分析信息关联性,防止因数据汇聚涉及国家秘密。
 (3)指定机构和人员负责本机关、本单位网站的信息发布、留言评论、博客信息等的保密管理,发现涉及国家秘密的信息,应当立即予以删除,并向同级保密行政管理部门报告。
 (4)严禁通过互联网电子邮箱、即时通信工具等办理涉密业务,或者存储、处理、传递国家秘密信息。
知识链接
有的国家早在2005年4月就公布首份政策备忘录,宣布对军人上网发布信息实行管制。规定军人在博客中不得发表任何有可能造成不良影响的信息,尤其是涉及政治、军事的敏感信息,甚至不能提及当前发生、正在调查研究中的事件,或者泄露伤亡军人的姓名。士兵在互联网上发布信息前须向上级指挥官报告。
59、涉密工程确认和管理有哪些保密要求?
涉密工程的保密管理涉及环节较多,包括涉密工程的确认、设计、建设、使用等整个过程。
涉密工程应先经过本机关、本单位保密工作机构的审查,认为属于涉密工程的,提请有确认权的保密行政管理部门确认。经确认属于涉密工程的,应当采取严格的保密管理措施:不得公开招标;对涉密工程的勘察、设计、施工和监理单位应进行保密审查;建设单位应制定具体的保密管理措施和方案,并与工程的勘察、设计、施工和监理单位签订保密协议;建设单位应进行全过程的保密监督管理;工程竣工后,建设单位应收回涉密图纸、资料等涉密载体,并办理移交手续,清除计算机储存的信息;涉密工程启用前必须通过安全保密检查检测。
知识链接
涉密工程,是指用途、功能或关键部位涉及国家秘密事项,公开后会危害国家安全和利益的建筑物的新建、改建、扩建、装修、拆除、修缮工程等。
 
版权所有@安阳市人民防空办公室 主办单位:安阳市人民防空办公室
地址:河南省安阳市东区民防路2号 电话:0372-3720100 邮编:455000
最佳浏览状态:1440*900分辨率 IE7.0以上浏览器浏览 管理登录

豫公网安备 41050202000110号