【正文】 所謂加密，就是將正常情況下可懂的文件數(shù)據(jù)輸入密碼機(jī)，由密碼機(jī)變成不可懂的亂碼，即將“明文”變成“密文”；所謂解密，就是上述過(guò)程的逆過(guò)程，即將“密文” 變成“明文”。在內(nèi)部網(wǎng)中，應(yīng)該確定合法用戶(hù)對(duì)系統(tǒng)資源有何種權(quán)限，可以進(jìn)行什么類(lèi)型的訪(fǎng)問(wèn)操作，防止合法用戶(hù)對(duì)系統(tǒng)資源的越權(quán)使用。打個(gè)比方，用一個(gè)你非常喜歡的小說(shuō)名字和一個(gè)你難以忘記的球賽記錄，將這個(gè)名字和這個(gè)記錄分別分成幾段，然后交叉組合成一個(gè)口令。對(duì)外統(tǒng)一由局域網(wǎng)網(wǎng)管中心負(fù)責(zé)連接。各系統(tǒng)還應(yīng)根據(jù)各自的情況制定相應(yīng)的管理制度，如“系統(tǒng)安全員管理制度”、“涉密媒體管理制度”、“口令制管理制度”等。 72 辦公自動(dòng)化保密管理 信息的安全保密 信息的安全保密是指在計(jì)算機(jī)系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)男畔⒉槐环欠ㄔL(fǎng)問(wèn)、截收、更改、復(fù)制、破壞、刪除。 《 中共中央關(guān)于加強(qiáng)新形勢(shì)下保密工作的決定 》 中提出：“今后涉及國(guó)家秘密的通信、辦公自動(dòng)化和計(jì)算機(jī)信息系統(tǒng)的建設(shè)，必須與保密設(shè)施的建設(shè)同步進(jìn)行，報(bào)經(jīng)地（市）級(jí)以上保密部門(mén)審批后，才能投入使用。為了有效而迅速的破譯，竊密者一般是尋找加密機(jī)制的安全漏洞或繞開(kāi)密鑰另辟捷徑去破解密碼。 ④ 蠕蟲(chóng)（ Worms） ：是一種包含的一個(gè)或一組程序，它可以從一臺(tái)機(jī)器向另一臺(tái)機(jī)器傳播。 58 辦公自動(dòng)化保密管理 泄密渠道之三： 非法訪(fǎng)問(wèn)泄密（網(wǎng)絡(luò)受攻擊泄密） 防范措施： 非法訪(fǎng)問(wèn)的手段 常用的攻擊手段（ 1） ② 口令攻擊 就是指用一些軟件解開(kāi)已經(jīng)得到但被人加密的口令文檔。他們不僅影響了歐洲議會(huì)與外界電腦用戶(hù)之間的信息交流，還竊取了大量的政治和經(jīng)濟(jì)機(jī)密，使歐盟在 1995年與美國(guó)的貿(mào)易談判中蒙受損失。”王某不甘心，約人找該單位的財(cái)務(wù)人員算帳，結(jié)果此事傳出，王某被判４年徒刑。對(duì)于一些重要或秘密的軟件和數(shù)據(jù)信息，如無(wú)采取特別的安全保密措施，一些有意或無(wú)意的非法訪(fǎng)問(wèn)將會(huì)充滿(mǎn)危險(xiǎn)性，這些訪(fǎng)問(wèn)可能來(lái)自本系統(tǒng)網(wǎng)絡(luò)的某個(gè)工作站，也可能來(lái)自因特網(wǎng)上不可知的某個(gè)終端。不得將存儲(chǔ)過(guò)國(guó)家秘密信息的磁盤(pán)與存儲(chǔ)普通信息的磁盤(pán)混用，必須嚴(yán)格管理。在許多計(jì)算機(jī)操作系統(tǒng)中，用DEL命令刪除一個(gè)文件，僅僅是刪除該文件的文件指針，也就是刪除了該文件的標(biāo)記，釋放了該文件的存儲(chǔ)空間，而并無(wú)真正將該文件刪除或覆蓋 。 40 辦公自動(dòng)化保密管理 泄密渠道之二： 媒體介質(zhì)失控泄密及保密措施 (1) 計(jì)算機(jī)磁盤(pán)是最主要和最常用的計(jì)算機(jī)信息載體，磁盤(pán)存儲(chǔ)信息的密度極高，如普通 量為 ，可記載 70萬(wàn)個(gè)漢字（約一千面紙的內(nèi)容），一個(gè) 100M容量的硬磁盤(pán)可記載 5000萬(wàn)個(gè)漢字，目前常用的硬磁盤(pán)都是幾個(gè) G容量的，可記載十幾部大部頭著作。 相關(guān)干擾技術(shù)的原理是使用相關(guān)干擾器發(fā)出能自動(dòng)跟蹤計(jì)算機(jī)電磁輻射信號(hào)的相關(guān)干擾信號(hào)，使電磁輻射信號(hào)被擾亂，起到亂數(shù)加密的效果，使接收方接收到電磁輻射信號(hào)也無(wú)法解調(diào)出信號(hào)所攜帶的真實(shí)信息。涉密網(wǎng)絡(luò)容易通過(guò)電磁波輻射使秘密散發(fā)出去，被敵對(duì)勢(shì)力接收；涉密網(wǎng)絡(luò)容易與其它的信息設(shè)備或載體相連接，使秘密信息通過(guò)其它傳輸渠道擴(kuò)散出去；涉密信息網(wǎng)絡(luò)不可能象紙介質(zhì)涉密文件那樣用鐵柜子封閉起來(lái)，暴露的部位多，接觸的人員廣，很容易受到攻擊或通過(guò)技術(shù)手段竊取其載有的秘密，且一旦泄密，擴(kuò)散的速度快、范圍寬；我國(guó)目前信息網(wǎng)絡(luò)所使用的設(shè)備和應(yīng)用軟件大都是進(jìn)口的，很難設(shè)想在保密技術(shù)防范上不存在泄密隱患。這是當(dāng)前唯一有效的辦法。對(duì)于信息上網(wǎng)行為本身必須嚴(yán)格管理，對(duì)上網(wǎng)的信息內(nèi)容必須進(jìn)行保密審查。在因特網(wǎng)上，黑客組織有公開(kāi)網(wǎng)址，提供免費(fèi)的黑客工具軟件，介紹黑客手法，出版網(wǎng)上雜志。這都給漏洞的產(chǎn)生提供了可能。這樣一機(jī)兩用會(huì)給整個(gè)內(nèi)部 OA網(wǎng)帶來(lái)泄密隱患。 ?四是上網(wǎng)方式多種多樣，出口不統(tǒng)一。 面向信息共享的應(yīng)用：這類(lèi)應(yīng)用的功能是收集、整理、發(fā)布、檢索信息，向不同權(quán)限的人發(fā)布不同層次的信息。計(jì)算機(jī)技術(shù)和通信技術(shù)僅僅是為實(shí)現(xiàn)辦公自動(dòng)化提供了可能。 它 隨技術(shù)的發(fā)展而發(fā)展 ， 隨人們辦公方式和習(xí)慣以及管理思想的變化而變化 。沒(méi)有通信技術(shù)的支持，辦公自動(dòng)化便成空中樓閣。辦公自動(dòng)化所面向的對(duì)象是企業(yè)經(jīng)營(yíng)過(guò)程中所有可能產(chǎn)生的數(shù)據(jù)，所直指的目標(biāo)是物化科學(xué)的管理思想。 11 辦公自動(dòng)化保密管理 現(xiàn)狀 網(wǎng)絡(luò)安全保密方面存在的一些問(wèn)題： ?一是安全意識(shí)淡薄。 國(guó)際互聯(lián)網(wǎng)就好象一個(gè)大的超市，一旦接入了它，就相當(dāng)把自己的信息擺上了貨架，剩下的就不是別人能不能拿到你的信息，而是別人愿不愿意拿和什么時(shí)候拿的問(wèn)題了。所謂“漏洞”，也可以說(shuō)是能為攻擊者提供的“后門(mén)”。據(jù)估計(jì)，世界上已有兩千萬(wàn)人具有進(jìn)行網(wǎng)絡(luò)攻擊的能力。 26 辦公自動(dòng)化保密管理 保密管理的方法 ? 控制源頭，建立上網(wǎng)信息保密審批制度和責(zé)任人制度，確保國(guó)家秘密不上網(wǎng) ? 物理隔離，涉密單機(jī)或網(wǎng)絡(luò)不能上公眾網(wǎng) ? 統(tǒng)一出口，提高整體安全性 ? 自覺(jué)接受保密工作部門(mén)的備案與檢查 27 辦公自動(dòng)化保密管理 保密管理的方法：控制源頭 控制源頭，就是保密管理應(yīng)從源頭抓起。我們前面講的“控制源頭”是在上網(wǎng)信息上把關(guān)，這里講的“物理隔離”是在上網(wǎng)系統(tǒng)上把關(guān)。在一機(jī)兩用問(wèn)題上，推薦使用網(wǎng)絡(luò)安全隔離計(jì)算機(jī)： 33 辦公自動(dòng)化保密管理 第三部分 涉密計(jì)算機(jī)信息系統(tǒng)的保密管理 ? 什么是涉密計(jì)算機(jī)信息系統(tǒng) ? 泄密渠道與防范措施 ? 保密管理的依據(jù)與工作要點(diǎn) ? 幾點(diǎn)認(rèn)識(shí)問(wèn)題 34 辦公自動(dòng)化保密管理 什么是涉密計(jì)算機(jī)信息系統(tǒng) 涉及國(guó)家秘密和黨政機(jī)關(guān)工作秘密的計(jì)算機(jī)信息系統(tǒng)。這種方法有一定的作用，但由于要靠掩蓋方式進(jìn)行干擾，所以發(fā)射的功率必須夠強(qiáng)，而太強(qiáng)的白噪聲功率會(huì)造成空間的電磁波污染；另外白噪聲干擾也容易被接收方使用較為簡(jiǎn)單的方法進(jìn)行濾除或抑制解調(diào)接收。 如美國(guó)軍隊(duì)在開(kāi)赴海灣戰(zhàn)爭(zhēng)前線(xiàn)之前，就將所有的計(jì)算機(jī)更換成低輻射計(jì)算機(jī)。這使涉密和重要磁介質(zhì)的管理，廢棄磁介質(zhì)的處理，都成為很重要的問(wèn)題。從而使保密室（打字室）在軟件磁盤(pán)使用方面起到監(jiān)督的作用，減少泄密事件發(fā)生。 對(duì)于一些經(jīng)消磁后仍達(dá)不到保密要求的磁盤(pán)，或已損壞需廢棄的涉密磁盤(pán)，以及曾記載過(guò)絕密信息的磁盤(pán)，必須作銷(xiāo)毀處理。 1993年，某銀行計(jì)算機(jī)網(wǎng)絡(luò)管理員王某偷改計(jì)算機(jī)程序，使計(jì)算機(jī)帳戶(hù)上兩個(gè)單位的存款數(shù)增加了２億元，致使銀行在進(jìn)行計(jì)算機(jī)自動(dòng)結(jié)算時(shí)，多付給這兩個(gè)單位利息 。 54 辦公自動(dòng)化保密管理 泄密渠道之三： 非法訪(fǎng)問(wèn)泄密（網(wǎng)絡(luò)受攻擊泄密） 防范措施： 非法訪(fǎng)問(wèn)的人 ③ 青少年與大學(xué)學(xué)生 55 辦公自動(dòng)化保密管理 泄密渠道之三： 非法訪(fǎng)問(wèn)泄密（網(wǎng)絡(luò)受攻擊泄密） 防范措施： 非法訪(fǎng)問(wèn)的人 ④ 敵對(duì)分子和境外情報(bào)機(jī)構(gòu)的間諜 美國(guó)在冷戰(zhàn)后的戰(zhàn)略就是希望完全控制高度發(fā)達(dá)的電信和信息網(wǎng)。 57 辦公自動(dòng)化保密管理 泄密渠道之三： 非法訪(fǎng)問(wèn)泄密（網(wǎng)絡(luò)受攻擊泄密） 防范措施： 非法訪(fǎng)問(wèn)的手段 常用的攻擊手段（ 1） ① 搭線(xiàn)竊聽(tīng) 通常在通信線(xiàn)路上進(jìn)行搭線(xiàn)竊聽(tīng)可以截獲電話(huà)號(hào)碼。四千多年前，當(dāng)希臘士兵藏在木馬中偷偷地進(jìn)入特洛伊城時(shí)，特洛伊城便陷落了。 ⑨ 密碼攻擊 ：計(jì)算機(jī)系統(tǒng)里存儲(chǔ)的涉密信息一般都是加了密的，其保密程度取決于密鑰量，一般較低級(jí)的密鑰位數(shù)在 56位（美國(guó)政府允許出口的加密產(chǎn)品）以下，較高級(jí)的密鑰位數(shù)在 128位以上。這樣做看起來(lái)費(fèi)時(shí)費(fèi)力，但如果系統(tǒng)不符合保密要求，建成后再修改重建，二次投入花費(fèi)的代價(jià)可能更大。這已是公開(kāi)的秘密。 技術(shù)手段與管理、教育相結(jié)合是做好系統(tǒng)安全保密工作的重要環(huán)節(jié) 。 78 辦公自動(dòng)化保密管理 建立防范性網(wǎng)絡(luò)結(jié)構(gòu) 在單位內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)上， 中央某部的作法是：在本單位內(nèi)部局域網(wǎng)基礎(chǔ)上再建獨(dú)立存在的核心網(wǎng)。所以，如果讓用戶(hù)自己自由地選擇口令，就會(huì)增大口令泄露的機(jī)會(huì)。 81 辦公自動(dòng)化保密管理 利用操作系統(tǒng)的訪(fǎng)問(wèn)控制技術(shù)建立三道防線(xiàn) B、訪(fǎng)問(wèn)權(quán)限控制 這就是計(jì)算機(jī)安全保密防范的第二道防線(xiàn)。如某個(gè)節(jié)點(diǎn)的多次登錄嘗試； ⑧ 拒絕服務(wù)。 k是自變量，C是因變量。 82 辦公自動(dòng)化保密管理 利用操作系統(tǒng)的訪(fǎng)問(wèn)控制技術(shù)建立三道防線(xiàn) C、審計(jì)跟蹤技術(shù) 計(jì)算機(jī)安全保密防范的第三道防線(xiàn)是審計(jì)跟蹤技術(shù)，審計(jì)跟蹤是一種事后追查手段，它對(duì)涉及計(jì)算機(jī)系統(tǒng)安全保密的操作進(jìn)行完整的記錄，以便事后能有效地追查事件發(fā)生的用戶(hù)、時(shí)間、地點(diǎn)和過(guò)程。由用戶(hù)自己選擇一個(gè)短口令，然后由計(jì)算機(jī)自動(dòng)生成一個(gè)幾百字的隨機(jī)長(zhǎng)口令并記載在磁盤(pán)上。不要多方連接上網(wǎng)，否則容易給入侵者提供多條路徑和機(jī)會(huì)。國(guó)家保密局下發(fā)的 《 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 》 （國(guó)保發(fā) [1998]1號(hào)）是我們建立各種管理制度的依據(jù)。 對(duì)信息加密后再存儲(chǔ)或傳輸才能確保信息的安全。降低了標(biāo)準(zhǔn)，就意味著給國(guó)家秘密安全留下了隱患。 攻擊的主要目的： 非法使用資源 ，包括對(duì)計(jì)算機(jī)資源、電話(huà)服務(wù)、網(wǎng)絡(luò)連接服務(wù)等的濫用和盜用； 惡意破壞 ，包括毀壞數(shù)據(jù)、修改頁(yè)面、破壞系統(tǒng)等； 盜竊文件數(shù)據(jù) ，盜竊各種有價(jià)值的數(shù)據(jù)包括國(guó)家秘密、金融數(shù)據(jù)和個(gè)人敏感信息等； 敲詐勒索 ，通過(guò)安置破壞程序勒索對(duì)方。這一般指一些內(nèi)部程序人員為了特殊的目的，在所編制的程序中潛伏代碼或保留漏洞。 猜口令的方法有很多種，最容易猜到的是原始口令。深圳有家個(gè)體咨詢(xún)公司，通過(guò)因特網(wǎng)向美、英信息咨詢(xún)機(jī)構(gòu)發(fā)出30多封電子郵件，推銷(xiāo)其電腦磁盤(pán)資料中存貯的有關(guān)我內(nèi)部機(jī)構(gòu)設(shè)置及經(jīng)濟(jì)、資源情報(bào)。 一個(gè)計(jì)算機(jī)系統(tǒng)不能設(shè)太多的超級(jí)用戶(hù)，一般的單位內(nèi)部計(jì)算機(jī)系統(tǒng)只能設(shè)一個(gè)超級(jí)用戶(hù)，否則將降低計(jì)算機(jī)的安全保密性能。 另?yè)?jù)金融部門(mén)統(tǒng)計(jì)：近年來(lái)發(fā)現(xiàn)利用電腦作案的經(jīng)濟(jì)犯罪案件達(dá)100多宗，涉及工商行，農(nóng)行、中國(guó)銀行、建行、交行。 磁盤(pán)信息一旦使用信息加密技術(shù)進(jìn)行加密，即具有很高的保密強(qiáng)度，可使磁盤(pán)即使被竊或被復(fù)制，其記載的信息也難以被讀懂泄露。他只要查閱一下磁盤(pán)上最近刪除的文件目錄，就可以輕而易舉地找到和恢復(fù)對(duì)他有價(jià)值的信息。 41 辦公自動(dòng)化保密管理 泄密渠道之二： 媒體介質(zhì)失控泄密及保密措施 (例 ) 42 辦公自動(dòng)化保密管理 泄密渠道之二： 媒體介質(zhì)失控泄密及保密措施 (2) （ 1） 防止媒體介質(zhì)泄密主要是管理問(wèn)題，管理不善，很容易發(fā)生泄密。我國(guó)現(xiàn)在已能生產(chǎn)出這種相關(guān)干擾器。尤其是顯示器，由于顯示的信息是給人閱讀的，是不加任何保密措施的，所以其產(chǎn)生的輻射是最容易造成泄密的。在與公共信息網(wǎng)相連的信息設(shè)備上，不得存儲(chǔ)、處理和傳遞國(guó)家秘密信息。 單位上網(wǎng)信息應(yīng)建立保密審批制度。 黑客攻擊的方法手段據(jù)說(shuō)不下 1500種。 CCC在聲明中聲稱(chēng)：“由于上周加拿大的 Cryptonym公司程序設(shè)計(jì)師發(fā)現(xiàn)微軟的 Windows操作系統(tǒng)中有一個(gè)后門(mén)，這個(gè)后門(mén)可以讓美國(guó)國(guó)家安全部（ NSA）秘密訪(fǎng)問(wèn)用戶(hù)的 Windows程序”。 ? 1998年 4月 13日廣東省某報(bào)披露我國(guó)研制某機(jī)密工程的情況， 4月 14日，香港報(bào)紙轉(zhuǎn)載， 4月 16日臺(tái)灣報(bào)紙轉(zhuǎn)載，屬于嚴(yán)重泄密事件。我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)相對(duì)西方發(fā)達(dá)國(guó)家起步較晚，在建網(wǎng)初期，人們往往容易忽視網(wǎng)絡(luò)安全保密問(wèn)題，只想著如何聯(lián)上、如何與國(guó)際接軌，不知道還要安全保密。 面向決策支持的應(yīng)用：這是信息技術(shù)中最高層次的應(yīng)用，它通過(guò)采集、處理、分析前三類(lèi)應(yīng)用產(chǎn)生的結(jié)果，讓企業(yè)決策層了解企業(yè)的運(yùn)營(yíng)狀況，預(yù)測(cè)經(jīng)營(yíng)風(fēng)險(xiǎn)，提出決策參考。 辦公自動(dòng)化是計(jì)算機(jī)技術(shù)、通信技術(shù)與科學(xué)的管理思想完美結(jié)合的一種境界和理想。 3 辦公自動(dòng)化保密管理 偏見(jiàn) 認(rèn)為辦公自動(dòng)化僅僅是諸如公文流轉(zhuǎn) 、 收發(fā)文管理 、 檔案管理 、 會(huì)議安排 、 文獻(xiàn)檢索 、 電子表格 、 電子郵件等等這些非結(jié)構(gòu)化數(shù)據(jù)的處理和交換過(guò)程 ， 面向的用戶(hù)群也只是機(jī)關(guān)辦公室或企業(yè)的職能部門(mén) 、 文秘部門(mén) 。如果脫離計(jì)算機(jī)技術(shù)而談辦公自動(dòng)化，無(wú)異于癡人說(shuō)夢(mèng)。 很多中國(guó)企業(yè)早在 80年代初就著手建立企業(yè)的管理信息系統(tǒng)（ MIS）。在我國(guó)，只有四個(gè)網(wǎng)絡(luò)可以接入國(guó)際互聯(lián)網(wǎng)，即中國(guó)科學(xué)技術(shù)網(wǎng)(CSTNET)、中國(guó)教育科研網(wǎng) (CERNET)、中國(guó)公眾網(wǎng)(China)、中國(guó)金橋信息網(wǎng)（ Chinagbn）。 14 辦公自動(dòng)化保密管理 現(xiàn)狀：內(nèi)外網(wǎng)互聯(lián)，存在泄密隱患 有的單位，建立了本單位辦公自動(dòng)化計(jì)算機(jī)網(wǎng)絡(luò)以后，又將這個(gè)網(wǎng)聯(lián)上電信局的 16 169網(wǎng)，一網(wǎng)兩用，既用于辦公自動(dòng)化，又用于網(wǎng)上瀏覽交換信息。今年 7月，信息產(chǎn)業(yè)部針對(duì)奔騰 Ⅲ 和 WIN98存在的安全隱患，建議各級(jí)政府機(jī)關(guān)和各要害部門(mén)慎用。 23 辦公自動(dòng)化保密管理 互聯(lián)網(wǎng)隱憂(yōu)：網(wǎng)絡(luò)攻擊猖獗 黑客是一群在因特網(wǎng)上專(zhuān)門(mén)挑戰(zhàn)網(wǎng)絡(luò)安全系統(tǒng)的電腦高手。該程序功能強(qiáng)大、使用簡(jiǎn)單、危害性極強(qiáng)。也就是說(shuō)：“凡是涉密的計(jì)算機(jī)及其系統(tǒng)不能上網(wǎng)，凡是用于上網(wǎng)發(fā)布信息或查閱信息的計(jì)算機(jī)及其系統(tǒng)不能涉密”。兩套網(wǎng)之間信息轉(zhuǎn)換工作只有人工進(jìn)行了。據(jù)有關(guān)報(bào)道，國(guó)外已研制出能在一公里之外接收還原計(jì)算機(jī)電磁輻射信息的設(shè)備， 這種信息泄露的途徑使敵對(duì)者能及時(shí)、準(zhǔn)確、廣泛、連續(xù)而且隱蔽地