技术资料

局域网及计算机终端防泄密研究

June 02, 2018 |

8 min

局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用计算机及其外部设备和网络部件。它的泄密渠道主要有四个：(1)电磁泄露。计算机设备工作时辐射出电磁波，任何人都可以借助仪器设备在一定范围内收到它，尤其是利用高灵敏度的仪器可以稳定、清晰地看到计算机正在处理的信息。另外，网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄露。实验表明，未加控制的电脑设施开始工作后，用普通电脑加上截线装置，可以在1km内抄收其内容。(2)非法终端。非法用户有可能在现有终端上并接一个终端，或趁合法用户从网上断开时乘机接人，使信息传到非法终端。(3)搭线窃取。局域网与外界连通后，通过未受保护的外部线路，可以从外界访问到系统内部的据，而内部通讯线路也有被搭线窃取信息的可能。(4)介质的剩磁效应。存储介质中的信息被擦除后有时仍会留下可读信息的痕迹。另外，在大多数的信息系统中，删除文件仅仅是删掉文件名，而原文还原封不荡地保留在存储介质中，一旦被利用，就会泄密。

所谓信息泄露，就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息，特别是秘密信息和敏感信息，从而造成泄密事件。局域网在保密防护方面有三点脆弱性：一是数据的可访问性。数据信息可以很容易被终端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时，其价值往往不大，一旦网络将大量关联信息聚集在一起时，其价值就相当可观了。三是设防的困难性。尽管可以层层设防，但对一个熟悉网络技术的人来说，下些功夫就可能突破这些关卡，给保密工作带来极大的困难。

正常情况下，由信源发送探测信号给信宿证明其身份，尔后发送回执告知可以发送信息，信源接收到信号后确认，发送信息，信宿接收信息完毕后发送回执。但是如果有敌对分子进行破坏或者窃密，就会在信号发送的过程中发生变化。(1)信源和信宿互相证明完毕身份以后，由信源发送信息给信宿，途中他人将信号截获，篡改之后再发送给信宿。导致信息的真实性受到破坏。(2)信源并没有给信宿发送信号，而是途中由他人伪造信号后发送给信宿，造成接收方的信息来源有误。(3)在信源向信宿发送信息的过程中，他人利用干扰的方法进行破坏，导致双方无法进行正常通信，致使信息不能正确传出。

二、局域网实体保密措施

对局域网实体，采取的相应保密措施一般有以下三种：防电磁泄露措施。如选用低辐射设备。显示器是计算机保密的薄弱环节，而窃取显示的内容已是一项“成熟”的技术，因此，选用低辐射显示器十分必要。此外，还可以采用距离防护、噪声干扰、屏蔽等措施，把电磁泄露抑制到最低限度。定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及其他外设进行保密检查，防止非法侵人。第三加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施，对废弃的磁盘要有专人销毁等。

三、局域网及计算机终端的内部防范措施

(一)终端计算机防护。一般来说，终端计算机上必然需要安装的防护软件就是杀毒软件了，基本要求就是能实时防护(特别在上外网的时候)、数据库更新快，以及占用系统资源小。个人强烈推荐使用kaspersky，技术实力没的说，俄国技术，病毒数据库每天更新两次，并承诺对新病毒的响应时间为30分钟，使用起来也比较方便，又有汉化版，好处说不完。

定期备份重要数据也是非常重要的。一方面，硬盘数据恢复的价格一般要高于购买硬盘的价格，而且未必能够恢复出来；另一方面，若误操作将重要数据删除，这时候备份的重要性就体现出来了。

(二)口令安全。最好使用大小写的字母和数字混合和没有规律的密码作为口令，并定期改变各系统的口令。另外，个人私用密码最好与工作时使用的密码分开。采用现代密码技术，对数据进行加密，将重要秘密信息由明文变为密文，加大保密强度。为了保障网络的安全，也可以利用网络操作系统所提供的保以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。为安全见，还可对主机的网络属性进行设置，去掉TCP/IP协议和其他协议中的“Microsoft网络上的文件与打印机共享”和“Microsoft网络用户”的绑定，其他计算机也可同样的设置，且可去掉TCP/IP协议中的绑定。若使用Windows2000，可使用其自带的一个Routingamp；RemoteAccess工具，设定输入ICMP代码255丢弃可防ICMP的风暴攻击和碎片攻击。

(三)采用防火墙。采用防火墙技术，防止局域网与外部网连通后秘密信息的外泄。局域网最安全的保密方法莫过于不与外部联网(国家规定涉及国家秘密的局域网不得与外部联网)，但除了一些重点单位和要害部门，局域网与广域网的连接是大势所趋。防火墙是建立在局域网与外部网络之间的电子系统，用于实现访问控制，即阻止外部人侵者进人局域网内部，又允许局域网内部用户访问外部网络。

(四)加强数据库的信息保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性，现已成为网络存储数据的主要形式。操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密需采取另外的方法。