【正文】 所謂加密，就是將正常情況下可懂的文件數(shù)據(jù)輸入密碼機，由密碼機變成不可懂的亂碼，即將“明文”變成“密文”；所謂解密，就是上述過程的逆過程，即將“密文” 變成“明文”。在內(nèi)部網(wǎng)中，應該確定合法用戶對系統(tǒng)資源有何種權限，可以進行什么類型的訪問操作，防止合法用戶對系統(tǒng)資源的越權使用。打個比方，用一個你非常喜歡的小說名字和一個你難以忘記的球賽記錄，將這個名字和這個記錄分別分成幾段，然后交叉組合成一個口令。對外統(tǒng)一由局域網(wǎng)網(wǎng)管中心負責連接。各系統(tǒng)還應根據(jù)各自的情況制定相應的管理制度，如“系統(tǒng)安全員管理制度”、“涉密媒體管理制度”、“口令制管理制度”等。 72 辦公自動化保密管理 信息的安全保密 信息的安全保密是指在計算機系統(tǒng)中存儲、處理、傳輸?shù)男畔⒉槐环欠ㄔL問、截收、更改、復制、破壞、刪除。 《 中共中央關于加強新形勢下保密工作的決定 》 中提出：“今后涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)的建設，必須與保密設施的建設同步進行，報經(jīng)地（市）級以上保密部門審批后，才能投入使用。為了有效而迅速的破譯，竊密者一般是尋找加密機制的安全漏洞或繞開密鑰另辟捷徑去破解密碼。 ④ 蠕蟲（ Worms） ：是一種包含的一個或一組程序，它可以從一臺機器向另一臺機器傳播。 58 辦公自動化保密管理 泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密） 防范措施： 非法訪問的手段 常用的攻擊手段（ 1） ② 口令攻擊 就是指用一些軟件解開已經(jīng)得到但被人加密的口令文檔。他們不僅影響了歐洲議會與外界電腦用戶之間的信息交流，還竊取了大量的政治和經(jīng)濟機密，使歐盟在 1995年與美國的貿(mào)易談判中蒙受損失?！蓖跄巢桓市模s人找該單位的財務人員算帳，結果此事傳出，王某被判４年徒刑。對于一些重要或秘密的軟件和數(shù)據(jù)信息，如無采取特別的安全保密措施，一些有意或無意的非法訪問將會充滿危險性，這些訪問可能來自本系統(tǒng)網(wǎng)絡的某個工作站，也可能來自因特網(wǎng)上不可知的某個終端。不得將存儲過國家秘密信息的磁盤與存儲普通信息的磁盤混用，必須嚴格管理。在許多計算機操作系統(tǒng)中，用DEL命令刪除一個文件，僅僅是刪除該文件的文件指針，也就是刪除了該文件的標記，釋放了該文件的存儲空間，而并無真正將該文件刪除或覆蓋 。 40 辦公自動化保密管理 泄密渠道之二： 媒體介質失控泄密及保密措施 (1) 計算機磁盤是最主要和最常用的計算機信息載體，磁盤存儲信息的密度極高，如普通 量為 ，可記載 70萬個漢字（約一千面紙的內(nèi)容），一個 100M容量的硬磁盤可記載 5000萬個漢字，目前常用的硬磁盤都是幾個 G容量的，可記載十幾部大部頭著作。 相關干擾技術的原理是使用相關干擾器發(fā)出能自動跟蹤計算機電磁輻射信號的相關干擾信號，使電磁輻射信號被擾亂，起到亂數(shù)加密的效果，使接收方接收到電磁輻射信號也無法解調出信號所攜帶的真實信息。涉密網(wǎng)絡容易通過電磁波輻射使秘密散發(fā)出去，被敵對勢力接收；涉密網(wǎng)絡容易與其它的信息設備或載體相連接，使秘密信息通過其它傳輸渠道擴散出去；涉密信息網(wǎng)絡不可能象紙介質涉密文件那樣用鐵柜子封閉起來，暴露的部位多，接觸的人員廣，很容易受到攻擊或通過技術手段竊取其載有的秘密，且一旦泄密，擴散的速度快、范圍寬；我國目前信息網(wǎng)絡所使用的設備和應用軟件大都是進口的，很難設想在保密技術防范上不存在泄密隱患。這是當前唯一有效的辦法。對于信息上網(wǎng)行為本身必須嚴格管理，對上網(wǎng)的信息內(nèi)容必須進行保密審查。在因特網(wǎng)上，黑客組織有公開網(wǎng)址，提供免費的黑客工具軟件，介紹黑客手法，出版網(wǎng)上雜志。這都給漏洞的產(chǎn)生提供了可能。這樣一機兩用會給整個內(nèi)部 OA網(wǎng)帶來泄密隱患。 ?四是上網(wǎng)方式多種多樣，出口不統(tǒng)一。 面向信息共享的應用：這類應用的功能是收集、整理、發(fā)布、檢索信息，向不同權限的人發(fā)布不同層次的信息。計算機技術和通信技術僅僅是為實現(xiàn)辦公自動化提供了可能。 它 隨技術的發(fā)展而發(fā)展 ， 隨人們辦公方式和習慣以及管理思想的變化而變化 。沒有通信技術的支持，辦公自動化便成空中樓閣。辦公自動化所面向的對象是企業(yè)經(jīng)營過程中所有可能產(chǎn)生的數(shù)據(jù)，所直指的目標是物化科學的管理思想。 11 辦公自動化保密管理 現(xiàn)狀 網(wǎng)絡安全保密方面存在的一些問題： ?一是安全意識淡薄。 國際互聯(lián)網(wǎng)就好象一個大的超市，一旦接入了它，就相當把自己的信息擺上了貨架，剩下的就不是別人能不能拿到你的信息，而是別人愿不愿意拿和什么時候拿的問題了。所謂“漏洞”，也可以說是能為攻擊者提供的“后門”。據(jù)估計，世界上已有兩千萬人具有進行網(wǎng)絡攻擊的能力。 26 辦公自動化保密管理 保密管理的方法 ? 控制源頭，建立上網(wǎng)信息保密審批制度和責任人制度，確保國家秘密不上網(wǎng) ? 物理隔離，涉密單機或網(wǎng)絡不能上公眾網(wǎng) ? 統(tǒng)一出口，提高整體安全性 ? 自覺接受保密工作部門的備案與檢查 27 辦公自動化保密管理 保密管理的方法：控制源頭 控制源頭，就是保密管理應從源頭抓起。我們前面講的“控制源頭”是在上網(wǎng)信息上把關，這里講的“物理隔離”是在上網(wǎng)系統(tǒng)上把關。在一機兩用問題上，推薦使用網(wǎng)絡安全隔離計算機： 33 辦公自動化保密管理 第三部分 涉密計算機信息系統(tǒng)的保密管理 ? 什么是涉密計算機信息系統(tǒng) ? 泄密渠道與防范措施 ? 保密管理的依據(jù)與工作要點 ? 幾點認識問題 34 辦公自動化保密管理 什么是涉密計算機信息系統(tǒng) 涉及國家秘密和黨政機關工作秘密的計算機信息系統(tǒng)。這種方法有一定的作用，但由于要靠掩蓋方式進行干擾，所以發(fā)射的功率必須夠強，而太強的白噪聲功率會造成空間的電磁波污染；另外白噪聲干擾也容易被接收方使用較為簡單的方法進行濾除或抑制解調接收。 如美國軍隊在開赴海灣戰(zhàn)爭前線之前，就將所有的計算機更換成低輻射計算機。這使涉密和重要磁介質的管理，廢棄磁介質的處理，都成為很重要的問題。從而使保密室（打字室）在軟件磁盤使用方面起到監(jiān)督的作用，減少泄密事件發(fā)生。 對于一些經(jīng)消磁后仍達不到保密要求的磁盤，或已損壞需廢棄的涉密磁盤，以及曾記載過絕密信息的磁盤，必須作銷毀處理。 1993年，某銀行計算機網(wǎng)絡管理員王某偷改計算機程序，使計算機帳戶上兩個單位的存款數(shù)增加了２億元，致使銀行在進行計算機自動結算時，多付給這兩個單位利息 。 54 辦公自動化保密管理 泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密） 防范措施： 非法訪問的人 ③ 青少年與大學學生 55 辦公自動化保密管理 泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密） 防范措施： 非法訪問的人 ④ 敵對分子和境外情報機構的間諜 美國在冷戰(zhàn)后的戰(zhàn)略就是希望完全控制高度發(fā)達的電信和信息網(wǎng)。 57 辦公自動化保密管理 泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密） 防范措施： 非法訪問的手段 常用的攻擊手段（ 1） ① 搭線竊聽 通常在通信線路上進行搭線竊聽可以截獲電話號碼。四千多年前，當希臘士兵藏在木馬中偷偷地進入特洛伊城時，特洛伊城便陷落了。 ⑨ 密碼攻擊 ：計算機系統(tǒng)里存儲的涉密信息一般都是加了密的，其保密程度取決于密鑰量，一般較低級的密鑰位數(shù)在 56位（美國政府允許出口的加密產(chǎn)品）以下，較高級的密鑰位數(shù)在 128位以上。這樣做看起來費時費力，但如果系統(tǒng)不符合保密要求，建成后再修改重建，二次投入花費的代價可能更大。這已是公開的秘密。 技術手段與管理、教育相結合是做好系統(tǒng)安全保密工作的重要環(huán)節(jié) 。 78 辦公自動化保密管理 建立防范性網(wǎng)絡結構 在單位內(nèi)部的網(wǎng)絡結構上， 中央某部的作法是：在本單位內(nèi)部局域網(wǎng)基礎上再建獨立存在的核心網(wǎng)。所以，如果讓用戶自己自由地選擇口令，就會增大口令泄露的機會。 81 辦公自動化保密管理 利用操作系統(tǒng)的訪問控制技術建立三道防線 B、訪問權限控制 這就是計算機安全保密防范的第二道防線。如某個節(jié)點的多次登錄嘗試； ⑧ 拒絕服務。 k是自變量，C是因變量。 82 辦公自動化保密管理 利用操作系統(tǒng)的訪問控制技術建立三道防線 C、審計跟蹤技術 計算機安全保密防范的第三道防線是審計跟蹤技術，審計跟蹤是一種事后追查手段，它對涉及計算機系統(tǒng)安全保密的操作進行完整的記錄，以便事后能有效地追查事件發(fā)生的用戶、時間、地點和過程。由用戶自己選擇一個短口令，然后由計算機自動生成一個幾百字的隨機長口令并記載在磁盤上。不要多方連接上網(wǎng)，否則容易給入侵者提供多條路徑和機會。國家保密局下發(fā)的 《 計算機信息系統(tǒng)保密管理暫行規(guī)定 》 （國保發(fā) [1998]1號）是我們建立各種管理制度的依據(jù)。 對信息加密后再存儲或傳輸才能確保信息的安全。降低了標準，就意味著給國家秘密安全留下了隱患。 攻擊的主要目的： 非法使用資源 ，包括對計算機資源、電話服務、網(wǎng)絡連接服務等的濫用和盜用； 惡意破壞 ，包括毀壞數(shù)據(jù)、修改頁面、破壞系統(tǒng)等； 盜竊文件數(shù)據(jù) ，盜竊各種有價值的數(shù)據(jù)包括國家秘密、金融數(shù)據(jù)和個人敏感信息等； 敲詐勒索 ，通過安置破壞程序勒索對方。這一般指一些內(nèi)部程序人員為了特殊的目的，在所編制的程序中潛伏代碼或保留漏洞。 猜口令的方法有很多種，最容易猜到的是原始口令。深圳有家個體咨詢公司，通過因特網(wǎng)向美、英信息咨詢機構發(fā)出30多封電子郵件，推銷其電腦磁盤資料中存貯的有關我內(nèi)部機構設置及經(jīng)濟、資源情報。 一個計算機系統(tǒng)不能設太多的超級用戶，一般的單位內(nèi)部計算機系統(tǒng)只能設一個超級用戶，否則將降低計算機的安全保密性能。 另據(jù)金融部門統(tǒng)計：近年來發(fā)現(xiàn)利用電腦作案的經(jīng)濟犯罪案件達100多宗，涉及工商行，農(nóng)行、中國銀行、建行、交行。 磁盤信息一旦使用信息加密技術進行加密，即具有很高的保密強度，可使磁盤即使被竊或被復制，其記載的信息也難以被讀懂泄露。他只要查閱一下磁盤上最近刪除的文件目錄，就可以輕而易舉地找到和恢復對他有價值的信息。 41 辦公自動化保密管理 泄密渠道之二： 媒體介質失控泄密及保密措施 (例 ) 42 辦公自動化保密管理 泄密渠道之二： 媒體介質失控泄密及保密措施 (2) （ 1） 防止媒體介質泄密主要是管理問題，管理不善，很容易發(fā)生泄密。我國現(xiàn)在已能生產(chǎn)出這種相關干擾器。尤其是顯示器，由于顯示的信息是給人閱讀的，是不加任何保密措施的，所以其產(chǎn)生的輻射是最容易造成泄密的。在與公共信息網(wǎng)相連的信息設備上，不得存儲、處理和傳遞國家秘密信息。 單位上網(wǎng)信息應建立保密審批制度。 黑客攻擊的方法手段據(jù)說不下 1500種。 CCC在聲明中聲稱：“由于上周加拿大的 Cryptonym公司程序設計師發(fā)現(xiàn)微軟的 Windows操作系統(tǒng)中有一個后門，這個后門可以讓美國國家安全部（ NSA）秘密訪問用戶的 Windows程序”。 ? 1998年 4月 13日廣東省某報披露我國研制某機密工程的情況， 4月 14日，香港報紙轉載， 4月 16日臺灣報紙轉載，屬于嚴重泄密事件。我國計算機網(wǎng)絡建設相對西方發(fā)達國家起步較晚，在建網(wǎng)初期，人們往往容易忽視網(wǎng)絡安全保密問題，只想著如何聯(lián)上、如何與國際接軌，不知道還要安全保密。 面向決策支持的應用：這是信息技術中最高層次的應用，它通過采集、處理、分析前三類應用產(chǎn)生的結果，讓企業(yè)決策層了解企業(yè)的運營狀況，預測經(jīng)營風險，提出決策參考。 辦公自動化是計算機技術、通信技術與科學的管理思想完美結合的一種境界和理想。 3 辦公自動化保密管理 偏見 認為辦公自動化僅僅是諸如公文流轉 、 收發(fā)文管理 、 檔案管理 、 會議安排 、 文獻檢索 、 電子表格 、 電子郵件等等這些非結構化數(shù)據(jù)的處理和交換過程 ， 面向的用戶群也只是機關辦公室或企業(yè)的職能部門 、 文秘部門 。如果脫離計算機技術而談辦公自動化，無異于癡人說夢。 很多中國企業(yè)早在 80年代初就著手建立企業(yè)的管理信息系統(tǒng)（ MIS）。在我國，只有四個網(wǎng)絡可以接入國際互聯(lián)網(wǎng)，即中國科學技術網(wǎng)(CSTNET)、中國教育科研網(wǎng) (CERNET)、中國公眾網(wǎng)(China)、中國金橋信息網(wǎng)（ Chinagbn）。 14 辦公自動化保密管理 現(xiàn)狀：內(nèi)外網(wǎng)互聯(lián)，存在泄密隱患 有的單位，建立了本單位辦公自動化計算機網(wǎng)絡以后，又將這個網(wǎng)聯(lián)上電信局的 16 169網(wǎng)，一網(wǎng)兩用，既用于辦公自動化，又用于網(wǎng)上瀏覽交換信息。今年 7月，信息產(chǎn)業(yè)部針對奔騰 Ⅲ 和 WIN98存在的安全隱患，建議各級政府機關和各要害部門慎用。 23 辦公自動化保密管理 互聯(lián)網(wǎng)隱憂：網(wǎng)絡攻擊猖獗 黑客是一群在因特網(wǎng)上專門挑戰(zhàn)網(wǎng)絡安全系統(tǒng)的電腦高手。該程序功能強大、使用簡單、危害性極強。也就是說：“凡是涉密的計算機及其系統(tǒng)不能上網(wǎng)，凡是用于上網(wǎng)發(fā)布信息或查閱信息的計算機及其系統(tǒng)不能涉密”。兩套網(wǎng)之間信息轉換工作只有人工進行了。據(jù)有關報道，國外已研制出能在一公里之外接收還原計算機電磁輻射信息的設備， 這種信息泄露的途徑使敵對者能及時、準確、廣泛、連續(xù)而且隱蔽地