政府内网 物理隔离 [内网物理隔离并不安全]

　　 随着信息化工作的开展， 　　 网络在给政府的行政行为和提供公共服务等方面带来巨大便利的同时，也带来了很多严重的安全隐患，一旦出现内部信息泄露，造成的损失将无法估量。因此，和互联网物理隔离的政府内网该怎么强化管理，以达到既能保证内网安全运行，又能使政府为公众提供更好更多的服务，把互联网对涉密内网的威胁降到最低，是一个值得深思和研究的问题。
　　为此，本期沙龙邀请了国家信息化专家咨询委员会委员曲成义，就内网安全问题，跟与会嘉宾进行了深入的交流和探讨。
　　内网泄密三大元凶与十大途径
　　记者：曲老师，从我国政务内网的定位看，内网安全的重要保障是与互联网的物理隔离。但是，近年来，重大失泄密事件却呈现增长的趋势，网络电子泄密的比例已大于泄密总量的70%。那么，在物理隔离的内网上，这些涉密文件和信息是怎么泄漏出去的？
　　曲成义：近几年，随着信息化工作的开展，国家秘密和公众隐私的安全保密问题也随之突出，特别是重大失泄密事件的发生和成倍增长。如 2008年多起重大泄密事件一度成为国家严重关注的焦点，当年发现了大量涉密文件违规流转到互联网，严重影响国家安全。
　　内网最大的一个特点是物理隔离。如果不是物理隔离，就不叫内网。那么，在物理隔离的内网上，为什么还会出事？那就是物理隔离的边界通过很多途径，已经事实被突破。
　　这些突破源头归结起来有三个，即保密局称之为泄密三元凶的介质、端机和网络。而互联网也包括大量与政府系统的违规接口。
　　这三大元凶经内部人员的误操作、违规操作，以及违法操作，通过各种渠道，在事实上已经突破了涉密内网采用的物理隔离的边界保障。
　　举个例子：一个已经被盯梢的人，当他的内网介质在外网上下载文件时，人家就从网上把一个碟件下载到他的介质上。等他回到内网再使用这个介质，除了把他从外网上下载的文件拷到端机上之外，碟件也拷到他的端机，而且这个碟件还能在他的端机里开辟一个自己的小空间，遇到涉密文件，它就往里收集。等他下次再做介质交叉使用时，碟件就会把收集到的文件发到互联网上对方的电脑。
　　类似这种违规交叉使用介质导致泄密的途径还有9种：端机违规外联和开启非法端口；内网非法开启外部网络接口；电子文档流转中各环节的脆弱点；内外网信息交换中存在的隐通道；清除和销毁涉密文件中的重大隐患；无自主可控权的 IT 产品中潜在的威胁，包括隐通道、嵌入式病毒、深层次木马、恶意后门、可恢复密码、运行探测等六种威胁；“安全距离”内的空间电磁泄露；公开网站的严重失职造成电子文件公开泄密等等。
　　必须提升全民信息安全意识
　　记者：在号称世界IT技术包括信息安全技术最发达的美国，一名情报员竟能将几十万份战争密文和上万份外交电文流传到网上，将诸多美国外交内幕和盘托出！全球哗然。这一“维基解密”事件暴露了美国在涉密内网安全上的重大隐患，也给我国的涉密内网安全敲响了一次新的警钟。
　　曲成义：您说得很对。在一个开放、互联、共享的互联网时代，维基事件的教训是惨重的、启示是严肃的、保密使命是艰巨的。特别是网络空间对抗的今天，安全保密任务的严重性、尖锐性、艰巨性，值得深思。
　　信息网络已成为重要的国家基础设施，掌控网络空间对抗中的安全就成为保卫国家安全的重要使命。从90年代美国成立“空军信息作战中心”开始，到2011年成立网络战争司令部，北约、欧盟、俄罗斯、以色列、韩国、印度、日本、德国 等国家都在加紧筹备应对一场随时都可能来临的“网络空间战争”。
　　“网络空间战”的三大使命是“情报战”、“系统战”、“心理战”。情报战即态势感知，通过信息武器进行窃密与反窃密。系统战即网络交战，对信息系统进行破坏与防护，达到破坏国家重要基础设施的目的，比如数字武器、数字战场和数字城市的重要基础设施。心理战即军事威摄，通过网络进行舆论煽动或渗透、篡改与控治，达到威慑和动摇的目的。
　　情报窃取是网络战的前导。反窃密是网络战中的核心内容之一，因此窃密与反窃密斗争日显突出，电子窃密是其重要手段。2009年，美国发布“国家情报战略”，其目的就是防止网络间谍和窃密。其中，包括情报预警、情报获取、反信息间谍、网络安全等。
　　系统战是网络空间战的核心。通过网络对抗手段向敌对国家的重要基础设施（水、电、气、油、交通、网络、金融、国防等）进行网络攻击，致使其信息系统瘫痪。
　　因此，一定要站在“网络战”的高度来看待“信息安全保密”。信息安全保密已不再是个人和部门的问题，而是网络战争的重要使命，是关系着国家安全和命运的大局。必须提升全民信息安全意识，要高度重视、规范管理、提高警惕、严密防护、遏制破获、追溯反击。
　　《下一场战争》一书中曾写道：“在未来的战争中，计算机本身就是武器，前线无处不在，争夺作战空间控制权的不仅是炮弹和子弹，而是计算机网络里流动的比特和字节。”国际网络空间对抗态势已经明朗，“网络空间战”不再只是一种空谈。未来战争将由物理空间扩展到虚拟空间，信息武器已经清晰可见，局部案例也已经出现。因此，必须从网络空间对抗的高度来看待信息安全保密。
　　涉密内网安全应对策略
　　记者：在内网安全建设中，既然核心是物理隔离，那么我们采取什么样的措施来保证物理隔离不被突破？如何在被突破的第一时间被发现，第一时间被阻断？
　　曲成义：显然，围绕着内网边界的物理隔离，我们要采取大量技术上和管理上的信息安全手段，保证与互联网的物理隔离是落实的、可信的、有效的，而且是不能被事实突破的，这是内网安全的核心。
　　刚才提到的“维基解密”事件，至少暴露出美国在涉密内网安全上的三大隐患，即授权粗放、强审计和实时监控不到位、互联网接入的失控。
　　从引以为戒的角度，我们至少要在以下几方面下功夫：
　　首先，要提升“涉密内网”边界安全的理念。互联网威胁日益严峻的形势，边界物理隔离在“内网”防外中发挥了关键作用。但是内网边界安全理念还需要提升，防止内网被变相突破。这些变相突破包括：内部违规造成外部威胁的引入；内部违法直接嵌入外部威胁；外部威胁一旦侵入考验内网保密的坚固性。其实，有些人并没有泄密的主观意图，只不过因其安全意识或者安全手段的不到位，而导致了一些违规行为的出现。由此可见，培训是一个提升安全意识和安全技术的重要的手段。
　　其次，要建立涉密内网的信息安全保密体系。该体系建设包括四个方面：一是内网的信任体系的建设，包括有强的身份认证，细粒度的授权，严格的审计；二是严谨的动态防御机制，包括防病毒、防黑客、防内部违规等等安全防护手段；三是强化审计监控，对内部所有的端机、所有的接口、所有行为情况进行实时监控，第一时间发现违规违法行为，并且加以拒绝。做到事前预警、事中监控、事后取证；四是严密的安全管理，包括管理的机制、手段、条例、标准、培训等。当然，每一条都需要一系列的安全手段、机制和产品来保证。
　　第三，强化涉密电子文件流转中关键环节的管控。涉密电子文件在它起草、定密、批准、授权、流转、交换、下载、打印、解密、存档、销毁的全流程监管中，抓住流转中的薄弱环节，狠抓泄密源头（端机、介质、网络）。
　　第四，认真落实“涉密内网”的六大要素。这六大要素是针对保障涉密信息及其服务具有的六个性，即保密性、完整性、可用性、真实性、可核查性和可控性。
　　要素一：以信息“保密性”为核心的信息安全保密体系部署，转来转去不要忘了内网是以保密为核心。
　　要素二：以“物理隔离”为要素的边界控制。包括实体的物理隔离和逻辑上被突破的手段，要防止“物理隔离”的任何变相突破。
　　要素三：以“强化监控与审计”为抓手的安全保密内控机制。要能做到在下载第一份文件的时候就有所察觉，并能立即发挥实时监控的作用加以制止。同时，强的审计还能给每一个内部人员造成威慑力。
　　要素四：以“最小特权”与“重教育严管理”为策略的保密管理体制建设。目前很多单位只有内容的授权，没有行为的授权，因而存在漏洞。授权应包括内容授权和行为授权两种。所谓行为授权，就是你有权到内网上去看文件，还是能下载，还是能交换、转移文件等，都要有明确的授权。
　　要素五：以内容“密级标识”与“强制访问控制”为特征的跨域信息交换。内网里有很多不同等级的安全域，对于电子文件在跨域流转时，只标识一个机密章、绝密词是没用的。对于涉密文件的密级标识，必须嵌入到正文里，而且不可以删除、修改和下调。在流动过程中，强的身份认证，强的密级标识加上强的安全网关，在边界上就能够有效地保证高密级的文件在涉密内网中不至于流向低密级区域，秘密文件也不能流向非涉密域。
　　要素六：以加强“保密分级测评”与推进“PDCA”模型为手段的风险控制。做得再好的安全保密，也不可能没有漏洞，不可能把风险降到零。既然还有残余风险，还存在可能的漏洞，通过分级保护测评，就可以及早发现漏洞、发现问题，及时修补。
　　当然，以上的每一条都需要一系列的安全手段、机制和产品来保证。如果这6条都做好了，我想内网就更安全和更可信。