辦公自動化保密管理
辦公自動化保密管理

第一部分 辦公自動化簡介

第二部分 非涉密辦公自動化的保密管理

第三部分 涉密辦公自動化的保密管理

第四部分 通信設備與輔助設備的保密管理
第一部分 辦公自動化簡介

辦公自動化概念
偏見
功能
技術
辦公自動化的必要性
應用類型
辦公自動化概念

辦公自動化是一個過程、一種境界。它隨技術的發(fā)展而發(fā)展，隨人們辦公方式和習慣以及管理思想的變化而變化。在技術發(fā)展過程中的每一個階段，人們給辦公自動化賦予了不同的內(nèi)容和新的想象，技術與管理的進步給辦公自動化打下了每一步發(fā)展的歷史烙印。同時，不同行業(yè)、不同層次的人對辦公自動化的看法和理解也各有不同。
偏見

認為辦公自動化僅僅是諸如公文流轉、收發(fā)文管理、檔案管理、會議安排、文獻檢索、電子表格、電子郵件等等這些非結構化數(shù)據(jù)的處理和交換過程，面向的用戶群也只是機關辦公室或企業(yè)的職能部門、文秘部門。
功能
辦公自動化應該是一個企業(yè)除了生產(chǎn)控制之外的一切信息處理與管理的集合，我們稱之為辦公自動化與情報系統(tǒng)。它面向不同層次的使用者，便有不同的功能表現(xiàn)：
對企業(yè)領導：辦公自動化是決策支持系統(tǒng)（DSS）。辦公自動化運用科學的數(shù)學模型，結合企業(yè)內(nèi)部／外部的信息為條件，為企業(yè)領導提供決策參考和依據(jù)；
對中層管理者：辦公自動化是信息管理系統(tǒng)（IMS），辦公自動化利用業(yè)務各環(huán)節(jié)提供的基礎“數(shù)據(jù)”，提煉出有用的管理“信息”，把握業(yè)務進程，降低經(jīng)營風險，提高經(jīng)營效率；
對員工：辦公自動化是事務／業(yè)務處理系統(tǒng)。辦公自動化為辦公室人員提供良好的辦公手段和環(huán)境，使之準確、高效，愉快地工作。
技術
辦公自動化是計算機技術在辦公業(yè)務中的合理應用。計算機技術是辦公自動化的前提。如果脫離計算機技術而談辦公自動化，無異于癡人說夢。
辦公自動化是利用通信技術來實現(xiàn)人與機器、機器與機器及人與人的交流。通信技術是辦公自動化的基礎。沒有通信技術的支持，辦公自動化便成空中樓閣。
辦公自動化是科學的管理思想在先進的技術手段下的物化。科學的管理思想是實現(xiàn)辦公自動化的核心。計算機技術和通信技術僅僅是為實現(xiàn)辦公自動化提供了可能。要真正實現(xiàn)辦公自動化，還需物化人類思維中科學管理的內(nèi)容。不體現(xiàn)人類管理智慧，就不會有真正的辦公自動化，如果有，也只是技術的堆砌和擺設。
辦公自動化是計算機技術、通信技術與科學的管理思想完美結合的一種境界和理想。我們一直在為實現(xiàn)辦公自動化而努力，但與真正的辦公自動化尚有差距，差距的根本在于應用系統(tǒng)對管理思想的實現(xiàn)方面。
辦公自動化的必要性
中國企業(yè)在管理手段與管理思想方面已經(jīng)落后于發(fā)達國家企業(yè)，迫切需要通過推行辦公自動化來改善經(jīng)營管理手段，提高管理水平，增強企業(yè)競爭力。
推行辦公自動化，能給中國企業(yè)的經(jīng)營者和管理者在行為方式和思維方式上帶來革命性進步。在企業(yè)中做IT工作都深受一個共同的難題長期困擾：企業(yè)經(jīng)營和管理方式太不規(guī)范、太不嚴謹，缺乏全局觀和系統(tǒng)觀，人為因素太多，而且變化不定；這不僅為企業(yè)的經(jīng)營和管理帶來盲目性，而且為推進信息管理設置了障礙。
企業(yè)辦公日益從過去的文秘型向自我服務型轉變。辦公自動化為用戶提供的正是自我服務的支持，這正說明了辦公自動化已成為一種潮流，一種趨勢、一種更好的企業(yè)辦公方式。
很多中國企業(yè)早在80年代初就著手建立企業(yè)的管理信息系統(tǒng)（MIS）。近20年過去了，我們沒有看到中國企業(yè)管理水平質的飛躍，主要原因是觀念、認識方面的問題。過去的MIS更多地注重了用先進的技術手段模擬手工操作，它不會有管理水平的提高。辦公自動化所面向的對象是企業(yè)經(jīng)營過程中所有可能產(chǎn)生的數(shù)據(jù)，所直指的目標是物化科學的管理思想。
應用類型
面向個人通信的應用：如電子郵件。最大程度地用電子郵件方式收發(fā)信息，不僅方便了辦公、節(jié)約了費用，而且記錄了業(yè)務進程的軌跡，提高了對業(yè)務監(jiān)督、管理水平。
面向信息共享的應用：這類應用的功能是收集、整理、發(fā)布、檢索信息，向不同權限的人發(fā)布不同層次的信息。我們既是信息的使用者，也是信息的提供者，公司的Web站點向外界提供了一個了解公司的窗口，為公司贏得了更多的商機，也為實現(xiàn)電子商務打下了基礎。
面向工作流的應用：這類應用主要是用以控制、監(jiān)督、加速業(yè)務進程，使得業(yè)務執(zhí)行者和管理者都能清楚業(yè)務的進展，解決業(yè)務進程中所出現(xiàn)的阻塞和差錯，促進經(jīng)營業(yè)務的正常運行。
面向決策支持的應用：這是信息技術中最高層次的應用，它通過采集、處理、分析前三類應用產(chǎn)生的結果，讓企業(yè)決策層了解企業(yè)的運營狀況，預測經(jīng)營風險，提出決策參考。
應用類型
第二部分 非涉密辦公自動化的保密管理

什么是非密計算機信息系統(tǒng)
現(xiàn)狀
計算機互聯(lián)網(wǎng)的隱憂
保密管理的方法
什么是非密計算機信息系統(tǒng)

    不涉及國家秘密的計算機信息系統(tǒng)；包括黨政機關用于處理對外職能事務的或用于政府上網(wǎng)工程的計算機單機或網(wǎng)絡；企事業(yè)單位不涉及國家秘密的計算機單機或網(wǎng)絡；電信、科研、教育等部門向全社會提供的聯(lián)接因特網(wǎng)的公眾信息網(wǎng)絡。
   非密計算機信息系統(tǒng)的范圍很廣。在我國，只有四個網(wǎng)絡可以接入國際互聯(lián)網(wǎng)，即中國科學技術網(wǎng)(CSTNET)、中國教育科研網(wǎng)(CERNET)、中國公眾網(wǎng)(Chinanet)、中國金橋信息網(wǎng)（Chinagbn）。也只有這四個網(wǎng)有權提供接入國際互聯(lián)網(wǎng)服務，其它各個公眾信息網(wǎng)都是通過這四個網(wǎng)接入國際互聯(lián)網(wǎng)的。不論是直接或是間接接入公眾信息網(wǎng)，一旦接入就與全世界聯(lián)成了一體，網(wǎng)上的信息就等于向全世界公開了。
現(xiàn)狀

網(wǎng)絡安全保密方面存在的一些問題：
一是安全意識淡薄。
二是防范技術落后。
三是內(nèi)外網(wǎng)互聯(lián)，存在泄密隱患。
四是上網(wǎng)方式多種多樣，出口不統(tǒng)一。
五是信息共享，缺乏保密意識。
現(xiàn)狀：安全意識淡薄
有的單位認為網(wǎng)上安全問題是公安部門的事，與已無關；
有的心存僥幸，認為本單位上網(wǎng)已多年，未見有人攻擊，防不防范都無所謂。我國計算機網(wǎng)絡建設相對西方發(fā)達國家起步較晚，在建網(wǎng)初期，人們往往容易忽視網(wǎng)絡安全保密問題，只想著如何聯(lián)上、如何與國際接軌，不知道還要安全保密。
有的對安全保密還有錯誤認識，認為安全保密會防礙網(wǎng)絡的發(fā)展，不合改革開放的潮流，影響數(shù)據(jù)傳送速度，影響帶寬。這些都是網(wǎng)絡建設初期的“幼稚病”。
現(xiàn)狀：防范技術落后
這種情況是我國目前存在的一種普遍現(xiàn)象，許多單位上網(wǎng)不設防，對如何進行防范知之甚少。由于國產(chǎn)設備目前相對比較落后，有些單位采用進口設備設防，達不到有效防范的目的。
建議只能采用按國家有關主管部門（公安部、安全部、國家保密局）的要求經(jīng)檢測、認證和許可的國內(nèi)生產(chǎn)的安全保密產(chǎn)品。不能采用未經(jīng)國家有關主管部門檢測、認證和許可的國內(nèi)或國外生產(chǎn)的產(chǎn)品，也最好不要采用通過國際計算機安全協(xié)會（ICSA）認證的國外生產(chǎn)的信息安全產(chǎn)品。
現(xiàn)狀：內(nèi)外網(wǎng)互聯(lián)，存在泄密隱患
有的單位，建立了本單位辦公自動化計算機網(wǎng)絡以后，又將這個網(wǎng)聯(lián)上電信局的163、169網(wǎng)，一網(wǎng)兩用，既用于辦公自動化，又用于網(wǎng)上瀏覽交換信息。這樣上網(wǎng)固然方便，但卻存在泄密隱患。
因為163、169網(wǎng)都與國際互聯(lián)網(wǎng)相聯(lián)，我們將單位內(nèi)部網(wǎng)接上后，就等于接上了國際互聯(lián)網(wǎng)，我們內(nèi)部的信息就等于向全世界公開了。
國際互聯(lián)網(wǎng)就好象一個大的超市，一旦接入了它，就相當把自己的信息擺上了貨架，剩下的就不是別人能不能拿到你的信息，而是別人愿不愿意拿和什么時候拿的問題了。
現(xiàn)狀：上網(wǎng)方式多樣，出口不統(tǒng)一
上網(wǎng)出口統(tǒng)一問題，是網(wǎng)絡整體結構安全問題。我們有的單位內(nèi)部OA網(wǎng)，本身沒有上網(wǎng)，但單位內(nèi)有的領導或有的處室想上網(wǎng)，就在本人或本處室的已連在內(nèi)部OA網(wǎng)上的電腦里加一塊modem卡，接上電話線就上網(wǎng)了。這樣一機兩用會給整個內(nèi)部OA網(wǎng)帶來泄密隱患。
還有一種情況，有的單位建立了本系統(tǒng)的辦公信息交換網(wǎng)，雖然主網(wǎng)沒有上網(wǎng)，但下屬單位的子網(wǎng)終端上卻有電腦上網(wǎng)，這也會給整個系統(tǒng)網(wǎng)帶來泄密隱患。
現(xiàn)狀：上網(wǎng)方式多樣，出口不統(tǒng)一

現(xiàn)狀：信息共享，缺乏保密意識
單位上網(wǎng)，對外交流，信息共享，但千萬不要忘記保守國家秘密，不要在網(wǎng)上發(fā)生泄密事件。
   1998年4月13日廣東省某報披露我國研制某機密工程的情況，4月14日，香港報紙轉載，4月16日臺灣報紙轉載，屬于嚴重泄密事件。中央和省里都很重視，經(jīng)查，材料是廣州地區(qū)某大學一名學生從互聯(lián)網(wǎng)上獲取的。江總書記還對此專門作了批示。
計算機互聯(lián)網(wǎng)的隱憂

互聯(lián)網(wǎng)協(xié)議是開放的、面向大眾的，安全性能差
操作系統(tǒng)、網(wǎng)絡硬件、應用程序漏洞多
網(wǎng)上魚龍混雜，網(wǎng)絡攻擊者猖獗
黑客程序繁多，功能強大，操作簡便
互聯(lián)網(wǎng)隱憂：互聯(lián)網(wǎng)協(xié)議安全性能差

國際互聯(lián)網(wǎng)（Internet）是六十年代美國發(fā)明的，三十多年來發(fā)展迅速，已接入這個網(wǎng)的國家有175個，已連上的各種不同的網(wǎng)絡超過62萬個，接入的計算機超過1000萬臺，全世界使用這個網(wǎng)的用戶將近一億人。這個網(wǎng)成了事實上的互聯(lián)網(wǎng)標準，其網(wǎng)絡協(xié)議（TCP/IP、HTTP等）由于便于連接、方便使用，已成為開放的、面向大眾的網(wǎng)絡協(xié)議，協(xié)議在安全方面考慮得很少，而且創(chuàng)建的比較早，被“黑客”發(fā)現(xiàn)的漏洞愈來愈多，安全性能愈來愈差。
互聯(lián)網(wǎng)隱憂：系統(tǒng)、硬件、程序漏洞多（1）

我們在報紙上經(jīng)常會看到某某網(wǎng)絡受到“黑客”的攻擊，還會看到一些統(tǒng)計數(shù)字說明“黑客”攻擊網(wǎng)絡的成功率有多么高。是什么原因使“黑客”成功率這么高呢？有個主要原因就是操作系統(tǒng)、網(wǎng)絡硬件、應用程序漏洞多，為“黑客”攻擊帶來可趁之機。今年7月，信息產(chǎn)業(yè)部針對奔騰Ⅲ和WIN98存在的安全隱患，建議各級政府機關和各要害部門慎用。就說明奔騰Ⅲ和WIN98有安全方面的漏洞。
這些漏洞要么是用網(wǎng)絡監(jiān)測軟件測出來的，要么是“黑客”攻擊時發(fā)現(xiàn)并在網(wǎng)頁上公布出來的，這里面的數(shù)字，不反映軟件或產(chǎn)品真實的安全程度，僅供大家參考。所謂“漏洞”，也可以說是能為攻擊者提供的“后門”。漏洞的產(chǎn)生，是與電腦的通用性、萬能性相關的。電腦是可以用來做任何事情的，當某個公司想用電腦來做某一件事情的時候，難免在程序設計時留下些多余的通道或端口；有些軟件程序十分龐大，是由多人分工設計編程組合而成的，在組合的過程中，也難免會留下不易發(fā)現(xiàn)的縫隙。這都給漏洞的產(chǎn)生提供了可能。
互聯(lián)網(wǎng)隱憂：系統(tǒng)、硬件、程序漏洞多（2）

據(jù)1999年8月9日《電腦報》統(tǒng)計：
互聯(lián)網(wǎng)隱憂：系統(tǒng)、硬件、程序漏洞多（3）

還有一種情況，有些后門不是無意中產(chǎn)生的，而是有目的、有授權產(chǎn)生的，我們在最近的網(wǎng)絡新聞中看到這樣一則報道：
    例：（天戎編譯，99/09/07供InfoNews專稿）德國黑客組織要求微軟承認安全漏洞: 針對微軟的軟件安全系統(tǒng)中發(fā)現(xiàn)的安全漏洞，著名的德國黑客組織Chaos Computer Club（CCC），要求政府立法規(guī)定軟件公司（主要指微軟）必須向用戶毫無保留地說明其軟件產(chǎn)品中的任何“后門”。這種計算機軟件后門，可以讓知道后門的人在用戶不知曉的情況下訪問用戶的計算機數(shù)據(jù)。CCC在聲明中聲稱：“由于上周加拿大的Cryptonym公司程序設計師發(fā)現(xiàn)微軟的Windows操作系統(tǒng)中有一個后門，這個后門可以讓美國國家安全部（NSA）秘密訪問用戶的Windows程序”。CCC表示用戶不能依賴微軟的軟件產(chǎn)品，即使這些軟件通過公共機構的安全測試也不值得信任，因為NSA完全有可能將這些軟件更換成自己的特制的版本。CCC的發(fā)言人表示，這樣的美國軟件產(chǎn)品在歐洲所造成的經(jīng)濟和政治損失幾乎無法估量。他還批評德國政府讓其他人掌握了政府關鍵部門計算機系統(tǒng)的密鑰，并放任政府關鍵部門的計算機系統(tǒng)采用基于Windows的軟件。微軟的密碼系統(tǒng)，可以讓外部的程序員或公司為Windows程序提供加密功能。微軟也可以用自己的公用密鑰來檢查加密程序。這位發(fā)言人認為：微軟密碼系統(tǒng)還有第二個密鑰，這個密鑰由NSA掌握。
互聯(lián)網(wǎng)隱憂：網(wǎng)絡攻擊猖獗
黑客是一群在因特網(wǎng)上專門挑戰(zhàn)網(wǎng)絡安全系統(tǒng)的電腦高手。在國外，關于黑客用一臺普通電腦聯(lián)上電話線就能闖入政府或軍方網(wǎng)絡竊走核心機密的報道屢見不鮮。
對50個國家的抽樣調(diào)查顯示：1997年世界上有73%的網(wǎng)站受到各種形式的入侵，而1996年這個數(shù)字是42%。據(jù)估計，世界上已有兩千萬人具有進行網(wǎng)絡攻擊的能力。
黑客在西方已成為一個廣泛的社會群體。有合法的黑客組織、黑客學人會。在因特網(wǎng)上，黑客組織有公開網(wǎng)址，提供免費的黑客工具軟件，介紹黑客手法，出版網(wǎng)上雜志。
在我國，近年來國內(nèi)黑客犯罪案明顯增多，據(jù)統(tǒng)計，我國去年破獲的電腦“黑客”案件近百起（大部份作案人員是金融部門內(nèi)部接觸計算機的人員） 。有的是金融犯罪，有的是破壞系統(tǒng)，有的是入侵網(wǎng)絡竊取資料。
黑客攻擊的方法手段據(jù)說不下1500種。
互聯(lián)網(wǎng)隱憂：網(wǎng)絡攻擊猖獗
  計算機竊密一般要通過幾關：竊取電話號碼和用戶名、用戶口令；摸清網(wǎng)絡外圍結構；尋找網(wǎng)絡安全漏洞；輸入帳號口令聯(lián)機上網(wǎng)；獲取較高權限訪問涉密信息；對已加密的信息進行解密。
    常用的攻擊方式手段有：通過搭線竊聽(網(wǎng)絡窺探器)、口令攻擊、掃描器、黑客程序、隱蔽通道、遠端操縱、密碼攻擊等竊取或截獲電話號碼、用戶名、口令，尋找網(wǎng)絡安全性弱點，竊取超級用戶權限，破解密碼，竊取文件數(shù)據(jù)。
    攻擊的目的：修改頁面；服務器癱瘓；竊取資料。
互聯(lián)網(wǎng)隱憂：黑客工具多功能強易使用
黑客不但自己攻擊網(wǎng)絡，也創(chuàng)造一些黑客攻擊程序提供給不十分精通電腦又想攻擊別人的人使用，這些程序危害性很大，它使普通人很容易學到網(wǎng)絡進攻方式。對此絕不能掉以輕心。
   1998年7月底8月初，美國一黑客組織在因特網(wǎng)上公布了一個“BO”（Back Orifice 后洞）黑客攻擊工具程序。該程序功能強大、使用簡單、危害性極強?？赏ㄟ^電子郵件投遞、軟件下載、黑客站點提供、盜版光盤的使用等途徑進行擴散，一旦植入聯(lián)接了因特網(wǎng)的計算機，便以極其隱蔽的手段自動安裝、自動運行，使該計算機受控于施控方，施控方通過“BO”可遠程控制該計算機的網(wǎng)絡、系統(tǒng)、文件、進程、多媒體、信息包傳輸、注冊表修改等功能，在用戶無知覺的情況下秘密進行文件、任務、磁盤、開關機、多媒體、通訊等操作，不僅能破壞計算機系統(tǒng)，更為嚴重的是能夠控制、修改、竊取計算機中存儲的所有信息。
    防范措施有：裝有秘密資料的計算機與因特網(wǎng)斷開；用殺毒軟件檢測、清除BO程序。
保密管理的方法

控制源頭，建立上網(wǎng)信息保密審批制度和責任人制度，確保國家秘密不上網(wǎng)
物理隔離，涉密單機或網(wǎng)絡不能上公眾網(wǎng)
統(tǒng)一出口，提高整體安全性
自覺接受保密工作部門的備案與檢查
保密管理的方法：控制源頭

    控制源頭，就是保密管理應從源頭抓起。要使秘密信息不上網(wǎng)，首先就要把秘密信息的源頭管住。對于秘密信息的產(chǎn)生、使用和管理必須嚴格規(guī)范，絕不允許將秘密信息擴散到?jīng)]有保護措施的環(huán)境和空間（例如公共信息網(wǎng)環(huán)境）中去。對于信息上網(wǎng)行為本身必須嚴格管理，對上網(wǎng)的信息內(nèi)容必須進行保密審查。凡屬界定為國家秘密，不能公開交流的信息，絕不能上網(wǎng)。不論是單位在網(wǎng)上建立主頁，還是個人發(fā)布信息，都必須嚴格遵守保密規(guī)定。
   單位上網(wǎng)信息應建立保密審批制度。所有上網(wǎng)信息及日后更新的信息均應審批把關，保證在“對外交流，信息共享”的同時不發(fā)生泄密事件。按照“誰上網(wǎng)誰負責”的原則，建立嚴格的上網(wǎng)信息保密審查批準制度和上網(wǎng)信息責任人制度。確保國家秘密不上網(wǎng)。這是我們做好“非密計算機信息系統(tǒng)”保密管理工作的首要環(huán)節(jié)。
保密管理的方法：物理隔離

    物理隔離，就是指涉及國家秘密的計算機及其網(wǎng)絡系統(tǒng)不能直接或間接與公眾信息網(wǎng)（國際互聯(lián)網(wǎng)）相聯(lián)，必須在物理線路上（含有線、無線等各類線（電）路）實現(xiàn)隔離。所謂直接上網(wǎng)，通常指直接到電信部門辦理上163、169網(wǎng)手續(xù)上網(wǎng)的；所謂間接上網(wǎng)，主要指通過信息部門上網(wǎng)的。也就是說：“凡是涉密的計算機及其系統(tǒng)不能上網(wǎng)，凡是用于上網(wǎng)發(fā)布信息或查閱信息的計算機及其系統(tǒng)不能涉密”。簡單地說：“涉密電腦不上網(wǎng)，上網(wǎng)電腦不涉密”。這應該成為計算機信息系統(tǒng)保密管理的一條原則。我們前面講的“控制源頭”是在上網(wǎng)信息上把關，這里講的“物理隔離”是在上網(wǎng)系統(tǒng)上把關。把好這兩個關，就能確保國家秘密萬無一失。

保密管理的方法：物理隔離

       做出“物理隔離”的規(guī)定，是中央保密委員會在廣泛征求了國內(nèi)計算機安全方面和網(wǎng)絡方面的專家意見及參考某些西方國家的做法之后于97年底提出來的。這是當前唯一有效的辦法。也是中保委要求各黨政機關、重要部門必須要做到的強制性規(guī)定。已連上公共信息網(wǎng)的內(nèi)部涉密辦公自動化網(wǎng)（含直接上網(wǎng)的、通過信息部門間接上網(wǎng)的、通過“防火墻”上網(wǎng)的）要堅決與公共信息網(wǎng)斷開。在與公共信息網(wǎng)相連的信息設備上，不得存儲、處理和傳遞國家秘密信息。
中共中央保密委員會在中保委發(fā)[2003]4號文中再次重申執(zhí)行涉密網(wǎng)絡、單機與互聯(lián)網(wǎng)實行物理隔離的規(guī)定；市保密委以渝委密發(fā)[2003]4號文要求在6月對此進行檢查。
保密管理的方法：統(tǒng)一出口

統(tǒng)一出口，能提高網(wǎng)絡的整體安全。
保密管理的方法：接受保密檢查

  搞好非密計算機信息系統(tǒng)保密管理，關健要掌握一個原則，把好兩個關。一個原則是：“確保國家秘密不上網(wǎng)”，兩個關是：“控制源頭”、“物理隔離”。
   在實際工作中，控制源頭，建立上網(wǎng)信息保密審批制度和責任人制度應該不是難以辦到的事。物理隔離，可能我們有的同志就心有顧慮了，這些顧慮可能有三個方面：一是“物理隔離”必然會在有些單位形成兩套網(wǎng)絡，增加投資；二是“物理隔離”形成的兩套網(wǎng)絡應用范圍不同、技術要求不同、保密管理也不同。兩套網(wǎng)之間信息轉換工作只有人工進行了。這都會增加管理人員和技術人員的工作量，還會影響對外發(fā)布信息的實時性；三是“物理隔離”會給我們上網(wǎng)的領導和處室工作人員帶來不方便，不能用同一臺電腦既可以處理內(nèi)部辦公事務，又可以上網(wǎng)查詢信息。
保密管理的方法：接受保密檢查
 保密部門希望和各單位互相合作、共同努力，不斷解決碰到的實際問題。在一機兩用問題上，推薦使用網(wǎng)絡安全隔離計算機：
第三部分 涉密計算機信息系統(tǒng)的保密管理

什么是涉密計算機信息系統(tǒng)
泄密渠道與防范措施
保密管理的依據(jù)與工作要點
幾點認識問題
什么是涉密計算機信息系統(tǒng)

涉及國家秘密和黨政機關工作秘密的計算機信息系統(tǒng)。主要指黨政機關用于處理涉密信息的單機和用于內(nèi)部辦公自動化或涉密信息交換的計算機網(wǎng)絡；也包括企事業(yè)單位涉及國家秘密的計算機信息系統(tǒng)。
計算機信息網(wǎng)絡秘密信息的管理與紙介質涉密文件的管理不同，管理難度要大得多。涉密網(wǎng)絡容易通過電磁波輻射使秘密散發(fā)出去，被敵對勢力接收；涉密網(wǎng)絡容易與其它的信息設備或載體相連接，使秘密信息通過其它傳輸渠道擴散出去；涉密信息網(wǎng)絡不可能象紙介質涉密文件那樣用鐵柜子封閉起來，暴露的部位多，接觸的人員廣，很容易受到攻擊或通過技術手段竊取其載有的秘密，且一旦泄密，擴散的速度快、范圍寬；我國目前信息網(wǎng)絡所使用的設備和應用軟件大都是進口的，很難設想在保密技術防范上不存在泄密隱患。因此，我們要高度重視涉密網(wǎng)絡的保密防范和管理，千方百計地采取一切可以采用的技術防范措施，確保國家秘密的安全。
泄密渠道與防范措施

設備電磁泄漏發(fā)射泄密及防護
媒體介質失控泄密及保密措施
非法訪問泄密（網(wǎng)絡受攻擊泄密）
網(wǎng)上發(fā)布信息缺乏保密意識造成泄密
認識管理上的漏洞造成泄密
泄密渠道之一： 設備電磁泄漏發(fā)射泄密及防護
計算機主機及其附屬電子設備如視頻顯示終端、打印機等在工作時不可避免地會產(chǎn)生電磁波輻射，這些輻射中攜帶有計算機正在進行處理的數(shù)據(jù)信息。尤其是顯示器，由于顯示的信息是給人閱讀的，是不加任何保密措施的，所以其產(chǎn)生的輻射是最容易造成泄密的。使用專門的接收設備將這些電磁輻射接收下來，經(jīng)過處理，就可恢復還原出原信息。國外計算機應用比較早，計算機設備的輻射問題早已有研究，在1967年的計算機年會上美國科學家韋爾博士發(fā)表了闡述計算機系統(tǒng)脆弱性的論文，總結了計算機四個方面的脆弱性，即：處理器的輻射；通信線路的輻射；轉換設備的輻射；輸出設備的輻射。這是最早發(fā)表的研究計算機輻射安全的論文，但當時沒有引起人們的注意。1983年，瑞典的一位科學家發(fā)表了一本名叫《泄密的計算機》的小冊子，其中再次提到計算機的輻射泄漏問題。1985年，荷蘭學者艾克在第三屆計算機通信安全防護大會上，公開發(fā)表了他的有關計算機視頻顯示單元電磁輻射的研究報告，同時在現(xiàn)場作了用一臺黑白電視機接收計算機輻射泄漏信號的演示。他的報告在國際上引起強烈反響，從此人們開始認真對待這個問題。據(jù)有關報道，國外已研制出能在一公里之外接收還原計算機電磁輻射信息的設備，這種信息泄露的途徑使敵對者能及時、準確、廣泛、連續(xù)而且隱蔽地獲取情報。
泄密渠道之一： 設備電磁泄漏發(fā)射泄密及防護
防范措施（1）視頻保護（干擾）技術
　　視頻保護（干擾）技術又可分為白噪聲干擾技術和相關干擾技術兩種。白噪聲干擾技術的原理是使用白噪聲干擾器發(fā)出強于計算機電磁輻射信號的白噪聲，將電磁輻射信號掩蓋，起到阻礙和干擾接收的作用。這種方法有一定的作用，但由于要靠掩蓋方式進行干擾，所以發(fā)射的功率必須夠強，而太強的白噪聲功率會造成空間的電磁波污染；另外白噪聲干擾也容易被接收方使用較為簡單的方法進行濾除或抑制解調(diào)接收。因此白噪聲干擾技術在使用上有一定的局限性和弱點。
    相關干擾技術較之白噪聲干擾技術是一種更為有效和可行的干擾技術。相關干擾技術的原理是使用相關干擾器發(fā)出能自動跟蹤計算機電磁輻射信號的相關干擾信號，使電磁輻射信號被擾亂，起到亂數(shù)加密的效果，使接收方接收到電磁輻射信號也無法解調(diào)出信號所攜帶的真實信息。由于相關干擾不需靠掩蓋電磁輻射信號來進行干擾，因此其發(fā)射功率無需很強，所以對環(huán)境的電磁污染也很小。相關干擾器使用簡單，體積小巧，價格適宜，效果顯著，最為適合應用在單獨工作的個人計算機上。我國現(xiàn)在已能生產(chǎn)出這種相關干擾器。
泄密渠道之一： 設備電磁泄漏發(fā)射泄密及防護
防范措施（2）屏蔽技術
　　屏蔽技術的原理是使用導電性能良好的金屬網(wǎng)或金屬板造成六個面的屏蔽室或屏蔽籠將產(chǎn)生電磁輻射的計算機設備包圍起來并且良好接地，抑制和阻擋電磁波在空中傳播。設計和安裝良好的屏蔽室對電磁輻射的屏蔽效果比較好，能達到60～90db以上。如美國研制的高性能的屏蔽室，其屏蔽效果對電場可達140db，對微波場可達120db，對磁場可達100db。妨礙屏蔽技術普遍應用的問題是屏蔽室的設計安裝施工要求相當高，造價非常昂貴，一般二、三十平方米場地的屏蔽室的造價即需幾十至上百萬元。因此屏蔽技術較為適用于一些保密等級要求較高、較重要的大型計算機設備或多臺小型計算機集中放置的場合，如國防軍事計算中心、大型的軍事指揮所、情報機構的計算中心等。
泄密渠道之一： 設備電磁泄漏發(fā)射泄密及防護
防范措施（3）Tempest技術（低輻射技術）
    Tempest技術即低輻射技術。這種技術是在設計和生產(chǎn)計算機設備時，就已對可能產(chǎn)生電磁輻射的元器件、集成電路、連接線、顯示器等采取了防輻射措施，把電磁輻射抑制到最低限度。生產(chǎn)和使用低輻射計算機設備是防止計算機電磁輻射泄密的較為根本的防護措施。“Tempest”是美國制定的一套保密標準，國外一些先進的工業(yè)國家對Tempest技術的應用非常重視，使用在重要場合的計算機設備對輻射的要求都極為嚴格。如美國軍隊在開赴海灣戰(zhàn)爭前線之前，就將所有的計算機更換成低輻射計算機。國外已能生產(chǎn)出系列化的Tempest產(chǎn)品，如Tempest個人計算機、工作站、連接器、打印機、繪圖儀、通信終端、視頻顯示器等。Tempest產(chǎn)品造價非常高，一臺Tempest設備要比具有同樣性能的設備貴三至四倍。
泄密渠道之二： 媒體介質失控泄密及保密措施(1)

計算機磁盤是最主要和最常用的計算機信息載體，磁盤存儲信息的密度極高，如普通3.5英寸軟磁盤的容量為1.44M字節(jié)，可記載70萬個漢字（約一千面紙的內(nèi)容），一個100M容量的硬磁盤可記載5000萬個漢字，目前常用的硬磁盤都是幾個G容量的，可記載十幾部大部頭著作。存儲密度這樣高而體積很小的磁盤很容易丟失和被竊走，也很容易遭受有意或無意的損壞。有些重要數(shù)據(jù)甚至是秘密的或價值連城的，一旦發(fā)生大量信息數(shù)據(jù)的丟失或泄密，就會造成不可估量的損失。
泄密渠道之二： 媒體介質失控泄密及保密措施(例)
泄密渠道之二： 媒體介質失控泄密及保密措施(2)
    （1）防止媒體介質泄密主要是管理問題，管理不善，很容易發(fā)生泄密。1991年３月５日，遼寧省大連市一個工廠的打字員在清理自己的磁盤時發(fā)現(xiàn)有一份大連市某要害部門的絕密文件，于是報告市保密局。經(jīng)查，該要害部門的打字員于1990年１月16日參加一個打字培訓班時帶了自己單位電腦的系統(tǒng)盤去，該盤上有一份絕密文件。而教師又將該盤借去給班上的每個人復制系統(tǒng)盤，結果該絕密文件被擴散出去。其間經(jīng)過了１年多時間。
    （2）計算機磁盤信息的復制過程也相當簡便、快速，只需按幾下鍵盤，輸入很簡單的命令，幾十萬漢字信息的拷貝在短短一兩分鐘之內(nèi)就可完成。整個復制過程是很隱蔽的，而且不會留下任何痕跡。這給磁盤信息的保護和保密帶來很多難以解決的問題。
泄密渠道之二： 媒體介質失控泄密及保密措施(3)
（3）計算機磁盤屬于磁介質，所有磁介質都存在剩磁效應的問題，保存在磁介質中的信息會使磁介質不同程度地永久性磁化，所以磁介質上記載的信息在一定程度上是抹除不凈的，使用高靈敏度的磁頭和放大器可以將已抹除信息的磁盤上的原有信息提取出來。據(jù)一些資料的介紹，即使磁盤已改寫了12次，但第一次寫入的信息仍有可能復原出來。這使涉密和重要磁介質的管理，廢棄磁介質的處理，都成為很重要的問題。國外有的甚至規(guī)定記錄絕密信息資料的磁盤只準用一次，不用時就必須銷毀，不準抹后重錄。
（4）磁盤是用于拷貝和存儲文件的，它常被重新使用，有時要刪除其中某些文件，有時又要拷貝一些文件進去。在許多計算機操作系統(tǒng)中，用DEL命令刪除一個文件，僅僅是刪除該文件的文件指針，也就是刪除了該文件的標記，釋放了該文件的存儲空間，而并無真正將該文件刪除或覆蓋。在該文件的存儲空間未被其它文件復蓋之前，該文件仍然原封不動地保留在磁盤上。計算機刪除磁盤文件的這種方式，可提高文件處理的速度和效率，也可方便誤刪除文件的恢復，但卻給竊密者留下了可乘之機。他只要查閱一下磁盤上最近刪除的文件目錄，就可以輕而易舉地找到和恢復對他有價值的信息。
泄密渠道之二： 媒體介質失控泄密及保密措施(4)
（5）磁盤出現(xiàn)故障隨意找外人維修也容易造成泄密。硬盤在計算機中起著十分重要的作用，不但存儲量大，而且整個系統(tǒng)的重要信息通常都存儲在硬盤中。硬盤出現(xiàn)故障，會給系統(tǒng)帶來較大的麻煩，人們一般都希望能修好硬盤，繼續(xù)使用。但如果不注意保密，硬盤在送修時容易發(fā)生泄密事件。
泄密渠道之二： 媒體介質失控泄密及保密措施
磁盤信息保密最主要的措施（1）統(tǒng)一管理軟件磁盤
　　要防止計算機磁盤丟失、被竊和被復制還原泄密，最主要和最重要的是建立和執(zhí)行嚴格的磁盤信息保密管理制度，同時在一些環(huán)節(jié)中再采取一定的保密技術防范措施，這樣就能防止磁盤在保管、傳遞和使用等過程中失控泄密。
    國家保密局下發(fā)的《計算機信息系統(tǒng)保密管理暫行規(guī)定》是各單位制定計算機保密管理制度的依據(jù)，各單位可根據(jù)本單位的具體情況制定行之有效的保密管理制度。
    從一些載密軟件磁盤管理得比較好的單位看，相對集中統(tǒng)一專人負責管理是行之有效的方法。一個單位的軟盤、光盤由各級保密室（或打字室）統(tǒng)一管理、統(tǒng)一登記。個人需要使用時憑批準手續(xù)到保密室（或打字室）辦理，每次借用只限批準范圍內(nèi)的文件、資料，無關的不得借出。從而使保密室（打字室）在軟件磁盤使用方面起到監(jiān)督的作用，減少泄密事件發(fā)生。  
泄密渠道之二： 媒體介質失控泄密及保密措施
磁盤信息保密最主要的措施：
（2）標明密級    所有載密媒體應按所存儲信息的最高密級標明密級，并按相應密級文件進行管理。存儲過國家秘密信息的計算機媒體(磁盤或光盤)不能降低密級使用，不再使用的媒體應及時銷毀。不得將存儲過國家秘密信息的磁盤與存儲普通信息的磁盤混用，必須嚴格管理。
（3）磁盤信息加密技術　信息加密是計算機信息安全保密控制措施的核心技術手段，是保證信息安全保密的根本措施，其基本思想是采取某種數(shù)學方法將信息偽裝起來，使局外人不能理解信息的真正含義，而局內(nèi)人卻能理解偽裝信息的本來含義。信息加密是通過密碼技術的應用來實現(xiàn)的。
磁盤信息一旦使用信息加密技術進行加密，即具有很高的保密強度，可使磁盤即使被竊或被復制，其記載的信息也難以被讀懂泄露。具體的磁盤信息加密技術還可細分為文件名加密、目錄加密、程序加密、數(shù)據(jù)庫加密、和整盤數(shù)據(jù)加密等，具體應用可視磁盤信息的保密強度要求而定。
泄密渠道之二： 媒體介質失控泄密及保密措施
磁盤信息保密最主要的措施：
    （4）載密磁盤維修時要有專人監(jiān)督 主要指硬盤維修時要有專人負責監(jiān)督，不管是送出去維修還是請人上門維修，都應有人監(jiān)督維修。有雙機備份的系統(tǒng)，為了做好保密工作，可考慮將損壞的硬盤銷毀。
    （5）磁盤信息清除技術　曾經(jīng)記載過秘密信息的磁盤在釋放作他用之前必須將原記載的信息徹底清除，具體的清除辦法和技術有很多種，但實質上可分為直流消磁法和交流消磁法兩種。
　直流消磁法是使用直流磁頭將磁盤上原先記錄信息的剩余磁通，全部以一種形式的恒定值所代替。通常，我們操作計算機用完全格式化方式格式化磁盤就是這種方法。
    交流消磁法是使用交流磁頭將磁盤上原先所記錄信息的剩余磁通變得極小，這種方法的消磁效果比直流消磁法要好得多，消磁后磁盤上的殘留信息強度可比消磁前下降９０分貝。實用中對一些曾記載過較高密級信息的磁盤，必須使用這種消磁技術進行處理后，才能從保密環(huán)境中釋放作其它使用。國家保密技術研究所研制的“軟磁盤信息消除器”和“便攜式軟磁盤保密箱”就是利用交流消磁法為磁盤消磁的，它能快速有效地抹除記錄在軟磁盤內(nèi)的全部文件，確保秘密文件的安全。
　　對于一些經(jīng)消磁后仍達不到保密要求的磁盤，或已損壞需廢棄的涉密磁盤，以及曾記載過絕密信息的磁盤，必須作銷毀處理。磁盤銷毀的方法是將磁盤碾碎然后丟進焚化爐熔為灰燼和鋁液。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
計算機內(nèi)存儲的軟件和數(shù)據(jù)信息是供用戶在一定條件下進行訪問的，訪問形式包括讀、寫、刪、改、拷貝、運行等。對于一些重要或秘密的軟件和數(shù)據(jù)信息，如無采取特別的安全保密措施，一些有意或無意的非法訪問將會充滿危險性，這些訪問可能來自本系統(tǒng)網(wǎng)絡的某個工作站，也可能來自因特網(wǎng)上不可知的某個終端。這種事情的發(fā)生，會給計算機及其信息數(shù)據(jù)帶來不可預見的災難。
1996年，我國有關部門查出一名外國人，利用計算機軟盤，把我國家秘密文件資料一百多份存儲在幾個軟盤上，并加了密，文件資料來源涉及幾個部門，還涉及處級以上干部。
另據(jù)金融部門統(tǒng)計：近年來發(fā)現(xiàn)利用電腦作案的經(jīng)濟犯罪案件達100多宗，涉及工商行，農(nóng)行、中國銀行、建行、交行。數(shù)額在百萬元以上的３宗，10萬元至百萬元的26宗，案件涉及總金額達1700萬元。另外，利用高技術非法透支的事件在我國中等城市屢屢發(fā)生，造成國家近億元的損失。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：
兩個方面：
非法訪問的人
①內(nèi)部的工作人員
②專業(yè)黑客（hacker）
③青少年與大學學生
④敵對分子和境外情報機構的間諜

非法訪問的手段
常用的攻擊手段
典型的攻擊步驟
攻擊的主要目的
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的人 ①內(nèi)部的工作人員
    ①內(nèi)部的工作人員。據(jù)有關資料統(tǒng)計，大多數(shù)（約80%）的計算機泄密事件來自內(nèi)部。內(nèi)部工作人員可分為兩類：一類是計算機網(wǎng)絡管理人員；一類是經(jīng)常操作電腦的普通工作人員。
    例如：1986年７月，中國人民銀行深圳分行蛇口支行計算機主管員陳新義伙同蛇口支行出納員蘇慶中，利用計算機偽造存折和隱形印鑒，共詐騙人民幣２萬元，港幣３萬元。這是新中國成立以來第一起金融計算機犯罪案。
　　從1991年10月到1992年８月間，中國銀行某市分行信用卡公司計算機主管員陳某利用工作之便，作案十多次，改動數(shù)據(jù)庫中持卡人帳戶余額，造成持卡人莊定志等人非法透支580萬元。陳某按事先講好的條件，從中收受現(xiàn)金38萬元及大哥大、首飾等大量物品。
　　1993年，某銀行計算機網(wǎng)絡管理員王某偷改計算機程序，使計算機帳戶上兩個單位的存款數(shù)增加了２億元，致使銀行在進行計算機自動結算時，多付給這兩個單位利息1.63萬元。當這兩個單位來取錢時，王某說明原因，要求拿回扣。一單位給了他3000元，另一個單位分文不給，說：”我又沒有要你送錢給我。”王某不甘心，約人找該單位的財務人員算帳，結果此事傳出，王某被判４年徒刑。 
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的人 ①內(nèi)部的工作人員
    例子都是計算機主管員或計算機網(wǎng)絡管理員犯罪，這種人對于計算機網(wǎng)絡來說叫做超級用戶。超級用戶指計算機系統(tǒng)管理維護人員，他擁有最高級別的權限，可以對計算機系統(tǒng)的任何資源進行訪問并具有所有類型的訪問操作能力，以便于對計算機系統(tǒng)及其它用戶進行全面的監(jiān)督管理。一個計算機系統(tǒng)不能設太多的超級用戶，一般的單位內(nèi)部計算機系統(tǒng)只能設一個超級用戶，否則將降低計算機的安全保密性能。超級用戶的正常作用應該是維護網(wǎng)絡的正常運作，保證網(wǎng)絡的安全可靠。但如果超級用戶竊密作案，其危害性是很大的。
    經(jīng)常操作電腦的普通工作人員，由于熟悉本單位的電腦操作方法，了解本單位數(shù)據(jù)庫的運作情況，有的甚至掌握了計算機口令的設置更改技巧，了解本單位計算機系統(tǒng)的安全漏洞。如果某個工作人員出于某種不可告人的目的對本單位的計算機系統(tǒng)竊密攻擊，是很難用對付外來攻擊的方法（如防火墻）來防范的。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）




防范措施：
非法訪問的人
②專業(yè)黑客（hacker）
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的人 ③青少年與大學學生
這些人大多數(shù)起初并無惡意，由于對計算機和計算機網(wǎng)絡的特殊興趣，他們把解決各種技術難題和攻擊網(wǎng)絡中的弱點視為一種對個人水平的挑戰(zhàn)。正是這種完全出于興趣的巨大動力使得他們能夠廢寢忘食地攻克一個又一個防范不周密的計算機網(wǎng)絡，從中得到滿足，并積累更多的經(jīng)驗來攻擊其他網(wǎng)絡。據(jù)南斯拉夫報紙報道，1997年2月，三名克羅地亞中學生出于好奇，在操縱電腦遨游因特網(wǎng)時進入了美國軍方的電腦系統(tǒng)，破譯了五角大樓的密碼，從一個核數(shù)據(jù)庫復制了美國軍方的機密文件。這個核數(shù)據(jù)庫美國軍方花費了許多人力和物力設計了極為復雜的程序并加了密碼，要想調(diào)出這些文件絕非易事。這一次的情報泄漏使得五角大樓的電腦系統(tǒng)被破壞，直接損失達5000萬美元。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）


防范措施：
非法訪問的人
③青少年與大學學生
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的人 ④敵對分子和境外情報機構的間諜
美國在冷戰(zhàn)后的戰(zhàn)略就是希望完全控制高度發(fā)達的電信和信息網(wǎng)。為此，美國中央情報局、國家安全局等情報機構越來越多地通過通信、計算機網(wǎng)絡來竊取各國政治、經(jīng)濟、軍事、科技等方面的情報。
    據(jù)英國《星期日泰晤士報》1996年8月4日報道，歐盟國家多次在其電腦網(wǎng)絡上發(fā)現(xiàn)來自美國情報部門的“黑客”。他們不僅影響了歐洲議會與外界電腦用戶之間的信息交流，還竊取了大量的政治和經(jīng)濟機密，使歐盟在1995年與美國的貿(mào)易談判中蒙受損失。
, 我國雖然加入因特網(wǎng)時間不長，但也同樣受到危脅，1995年以來，我國一些地區(qū)和部門先后反映，美國等一些西方國家利用因特網(wǎng)，要我有關機構提供政治、經(jīng)濟、科技等方面的情報，從中竊取我有關秘密。
加拿大注冊的百萊瑪公司多次派員入境了解我國使用因特網(wǎng)的情況，并要求我有關部門提供經(jīng)濟、科技的情況。深圳有家個體咨詢公司，通過因特網(wǎng)向美、英信息咨詢機構發(fā)出30多封電子郵件，推銷其電腦磁盤資料中存貯的有關我內(nèi)部機構設置及經(jīng)濟、資源情報。
1996年，我公安部門在因特網(wǎng)上發(fā)現(xiàn)反動刊物《北京之春》，刊登我黨政機關的機密文件。通過這些例子可以清楚的看到西方情報機構在因特網(wǎng)上對我國的間諜活動。對此我們應當保持清醒的頭腦。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的手段 常用的攻擊手段
計算機竊密一般要通過幾關：竊取電話號碼和用戶名、用戶口令；摸清網(wǎng)絡外圍結構；尋找網(wǎng)絡安全漏洞；輸入帳號口令聯(lián)機上網(wǎng)；獲取較高權限訪問涉密信息；對已加密的信息進行解密。
    計算機系統(tǒng)一般設有五個不同等級的權限層次，每個等級層次分配不同的操作權限，以保證系統(tǒng)的安全。擁有較高權限的人一般是系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)維護程序員和技術員。
　竊密者不是非法用戶就是權限較低的用戶，他們進入網(wǎng)絡之后總是企圖非法擴大他們的權限，以達到他們竊密的目的。他們非法擴大權限采取的主要手法：一是尋找和利用計算機系統(tǒng)的薄弱環(huán)節(jié)加以擊破。任何計算機系統(tǒng)的保護系統(tǒng)都不是十全十美的，總會存在某些弱點和“暗道”，找到這些薄弱環(huán)節(jié)和“暗道”就能潛入較高等級的權限層次，然后使用特權給自已授予合法的登記和合法的較高權限，那么下一次，他就可以堂而皇之地從“前門”進入系統(tǒng)，并肆無忌憚地做他想做的事了。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的手段 常用的攻擊手段（1）
?、?搭線竊聽
    通常在通信線路上進行搭線竊聽可以截獲電話號碼。在計算機機網(wǎng)絡系統(tǒng)中，網(wǎng)絡節(jié)點或工作站之間的信息通信往往是采用廣播方式進行的，數(shù)據(jù)傳輸并沒有指明特定的方向，網(wǎng)上所有節(jié)點或工作站都能收到信號，正常情況下只有信息接收方才對信號有所反映并接收信息，但如果網(wǎng)上某個節(jié)點接口或工作站接口接上了安裝了特殊軟件（如sniffer網(wǎng)絡窺探器）的計算機，就可以截獲口令并截取信息。這就是搭線竊聽。   
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的手段 常用的攻擊手段（1）
②口令攻擊
    就是指用一些軟件解開已經(jīng)得到但被人加密的口令文檔。
    對口令一般是采用偷盜或猜測的方法。因為有些計算機操作人員怕忘記口令，會將口令記在本子上甚至貼在桌上某個地方，所以很容易給竊密者有可乘之機。
　猜口令的方法有很多種，最容易猜到的是原始口令。當一個計算機系統(tǒng)交付使用時，必須有一個原始口令，使它的新主人能第一次進入系統(tǒng)，然后再要求他改變這個口令。如一次接納大批新用戶，通常也使用一個缺省口令。如用戶沒有及時更改這個原始或缺省口令，那么其他人就可能乘虛而入，搶先改變了這個口令，然后利用你的賬號，而把你排斥在系統(tǒng)之外。
　另外用戶常常選擇容易記憶的口令，如人名、街道名、生日日期、駕駛執(zhí)照號碼、電話號碼、門牌號碼等等。這些口令很容易被猜測。美國貝爾電話實驗室曾編寫了一個破獲口令的程序，對常用的首尾字母、400個常見人名、100條街道名進行試驗，結果第一次在計算機上試驗就破譯了85%的口令。
    除了猜測口令外，還可以使用竊聽和假冒的方法來竊取口令。將某些專用的設備搭線接到電話線上，就可以截獲口令。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的手段 常用的攻擊手段（1）
    ③特洛伊木馬（Trojan Horse）或杜鵑蛋方式。四千多年前，當希臘士兵藏在木馬中偷偷地進入特洛伊城時，特洛伊城便陷落了。而杜鵑總是在別的鳥窩里下蛋，讓別的鳥孵出自已的小鳥。這種方式是將別有用心的程序藏入或偽裝成某些實用程序的更新版本或備份文件，甚至是游戲程序，然后將這些程序通過合法渠道送入系統(tǒng)，一旦這些程序開始運行，其中的別有用心的程序即起作用，以達到不可告人的目的。
    ④蠕蟲（Worms）：是一種包含的一個或一組程序，它可以從一臺機器向另一臺機器傳播。它同病毒不一樣，它不需要修改宿主程序就能傳播。
    ⑤活板門（Trap Doors）：為攻擊者提供“后門”的一段非法的操作系統(tǒng)程序。這一般指一些內(nèi)部程序人員為了特殊的目的，在所編制的程序中潛伏代碼或保留漏洞。
    ⑥隱蔽通道：是一種允許違背合法的安全策略的方式進行操作系統(tǒng)進程間通信（IPC）通道，又分隱蔽存儲通道和隱蔽時間通道。隱蔽通道的重要參數(shù)是帶寬。
    ⑦掃描器：是自動檢測遠程或本地主機安全性弱點的程序。通過使用一個掃描器，華盛頓的用戶可以不留痕跡地發(fā)現(xiàn)遠在中國的一臺主機的安全性弱點。在計算機網(wǎng)絡信息安全領域，掃描器是最出名的破解工具。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的手段 常用的攻擊手段（1）
⑧黑客程序：1998年7月底8月初，美國一黑客組織在因特網(wǎng)上公布了一個“BO”（Back Orifice 后洞）黑客攻擊工具程序。該程序功能強大、使用簡單、危害性極強?？赏ㄟ^電子郵件投遞、軟件下載、黑客站點提供、盜版光盤的使用等途徑進行擴散，一旦植入聯(lián)接了因特網(wǎng)的計算機，便以極其隱蔽、極具欺騙性的技術手段自動安裝、自動運行，使該計算機受控于施控方，在用戶無知覺的情況下秘密進行多達45分鐘的文件、任務、磁盤、開關機、多媒體、通訊等操作，不僅能破壞計算機系統(tǒng)，更為嚴重的是能夠控制、修改、竊取計算機中存儲的所有信息。
防范措施有：裝有秘密資料的計算機與因特網(wǎng)斷開；用殺毒軟件檢測、清除BO程序。
    ⑨密碼攻擊：計算機系統(tǒng)里存儲的涉密信息一般都是加了密的，其保密程度取決于密鑰量，一般較低級的密鑰位數(shù)在56位（美國政府允許出口的加密產(chǎn)品）以下，較高級的密鑰位數(shù)在128位以上。密鑰量都是非常大的。竊密者如嘗試用窮舉法去破譯一條信息，就算使用最先進的計算機，通常都要數(shù)年或數(shù)十年時間。為了有效而迅速的破譯，竊密者一般是尋找加密機制的安全漏洞或繞開密鑰另辟捷徑去破解密碼。
    ⑩拒絕服務攻擊：一種破壞性攻擊，最早的拒絕服務攻擊是“電子郵件炸彈”，它用使用戶在很短的時間內(nèi)收到大量電子郵件，使用戶系統(tǒng)不能處理正常業(yè)務，嚴重時會使系統(tǒng)崩潰、網(wǎng)絡癱瘓。
泄密渠道之三： 非法訪問泄密（網(wǎng)絡受攻擊泄密）
防范措施：非法訪問的手段
典型的攻擊步驟：
    窺視，利用網(wǎng)絡工具確定系統(tǒng)在因特網(wǎng)上的位置、結構、外圍安全設備類型并確定侵入點；外圍偵察，通過竊取帳號口令進入網(wǎng)絡或利用外圍安全設備的薄弱環(huán)節(jié)進入網(wǎng)絡的正常服務，如通過電子郵件系統(tǒng)和主頁系統(tǒng)進入網(wǎng)絡；尋找內(nèi)部落腳點，尋找一個安全的、不易被發(fā)現(xiàn)的、能獲得Root（最高）權限的主機作為落腳點，以系統(tǒng)內(nèi)部人員的身份在系統(tǒng)內(nèi)尋找可盜竊的數(shù)據(jù)和可破壞的目標系統(tǒng)。
攻擊的主要目的：
    非法使用資源，包括對計算機資源、電話服務、網(wǎng)絡連接服務等的濫用和盜用；惡意破壞，包括毀壞數(shù)據(jù)、修改頁面、破壞系統(tǒng)等；盜竊文件數(shù)據(jù)，盜竊各種有價值的數(shù)據(jù)包括國家秘密、金融數(shù)據(jù)和個人敏感信息等；敲詐勒索，通過安置破壞程序勒索對方。
計算機及其系統(tǒng)的泄密渠道之四： 網(wǎng)上發(fā)布信息缺乏保密意識造成泄密

    1998年4月13日廣東省某報披露我國研制某機密工程的情況，4月14日，香港報紙轉載，4月16日臺灣報紙轉載，屬于嚴重泄密事件。中央和省里都很重視，經(jīng)查，材料是廣州地區(qū)某大學一名學生從互聯(lián)網(wǎng)上獲取的。江總書記還對此專門作了批示。
計算機及其系統(tǒng)的泄密渠道之五： 認識管理上的漏洞造成泄密
    （1）上網(wǎng)信息定密標密不明確容易泄密；
    （2）帳號口令設置簡單，又長期不更換，容易被人知悉造成泄密；
    （3）辦公室、機房管理不嚴，無關人員隨意出入容易造成泄密；
    （4）對電腦文件、數(shù)據(jù)、資料缺乏有組織的保存管理，在公用計算機或服務器公用盤上隨意存放容易造成泄密；
    （5）工作人員對技術防范手段、設備認識不足，缺乏了解，操作不當容易造成泄密；
    （6）打印的資料作廢后隨意亂扔容易泄密；
    （7）外出使用筆記本電腦不注意保密容易泄密；
    （8）內(nèi)部網(wǎng)電腦辦公與上因特網(wǎng)混用容易泄密。
保密管理的依據(jù)與工作要點

A、文件依據(jù)：
B、工作要點：
C、如何開展涉密計算機信息系統(tǒng)的保密管理工作
保密管理的文件依據(jù)

《中共中央關于加強新形勢下保密工作的決定》（中發(fā)[1997]16號）

《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā)[1998]1號）

《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號）
保密管理的工作要點
涉密信息系統(tǒng)保密管理的主要原則是：“同步建設、嚴格審批”
    “同步建設”，就是涉密信息網(wǎng)絡必須與保密設施同步規(guī)劃和建設，在網(wǎng)絡建設過程中把保密措施和管理規(guī)則同時建立起來。從保密防范的角度來說，一個沒有防范設施的網(wǎng)絡不是一個安全的網(wǎng)絡，不能用于處理涉密信息。涉密網(wǎng)絡的規(guī)劃和建設，要依據(jù)對涉密網(wǎng)絡防范系統(tǒng)設備配置的基本要求進行。就目前來說，涉密系統(tǒng)的技術防范要在安全的基礎之上，對系統(tǒng)、信息、媒體、場所等諸方面進行整體防護，所采用的技術手段要按照要求規(guī)劃和建設。在這一過程中，必須按照已有的規(guī)定執(zhí)行，絕不能各取所需或偷工減料，要以對國家秘密高度負責的態(tài)度，把系統(tǒng)建設成保密防范達到技術標準要求的系統(tǒng)。這樣做看起來費時費力，但如果系統(tǒng)不符合保密要求，建成后再修改重建，二次投入花費的代價可能更大。因此，每一個系統(tǒng)都必須堅持同步規(guī)劃、同步建設，這樣在網(wǎng)絡建成后才會有比較可靠的技術防范保障。
保密管理的工作要點
涉密信息系統(tǒng)保密管理的主要原則是：“同步建設、嚴格審批”   
“嚴格審批”，就是涉密系統(tǒng)建成后要經(jīng)過批準才能投入使用?！吨泄仓醒腙P于加強新形勢下保密工作的決定》中提出：“今后涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)的建設，必須與保密設施的建設同步進行，報經(jīng)地（市）級以上保密部門審批后，才能投入使用。”我們理解這是加強計算機信息系統(tǒng)保密建設與管理的一項重要措施，中央把涉密系統(tǒng)審批的權力交給保密部門，實際是將管好涉密信息系統(tǒng)、確保國家秘密安全的重大責任賦予給了保密部門。國家保密局為此下發(fā)了《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》，要求各地保密部門對涉密系統(tǒng)的審批，嚴格按照此文要求進行，絕不允許降低標準。降低了標準，就意味著給國家秘密安全留下了隱患。
如何開展涉密計算機信息系統(tǒng)的保密管理工作


計算機信息系統(tǒng)安全保密應解決的基本問題

系統(tǒng)保密防范的基本措施
計算機信息系統(tǒng)安全保密應解決的基本問題

物理鏈路的安全保密
系統(tǒng)的安全保密
信息的安全保密
設備環(huán)境的安全保密
技術、管理、教育相結合
物理鏈路的安全保密
物理鏈路是指用于計算機聯(lián)網(wǎng)的通信線路，包括普通電話線路、同軸電纜線路、光纖線路、微波線路、衛(wèi)星線路等。由于計算機聯(lián)網(wǎng)大都租用電信部門的公用線路，竊密攻擊者可通過搭線截收、無線監(jiān)聽等手段截獲信息，或直接通過公用線路對網(wǎng)絡進行攻擊。所以物理鏈路是安全保密的基本問題之一。
    物理鏈路通常是采用鏈路加密、專網(wǎng)技術和通信線路管制的手段進行安全保密防護的。
系統(tǒng)的安全保密
    系統(tǒng)的安全保密是指網(wǎng)絡的軟硬件對竊密攻擊者的抵御能力。防護控制措施中的數(shù)據(jù)確認，用戶驗證，鑒別技術，審計記錄等都是靠系統(tǒng)的軟硬件來實現(xiàn)的。軟硬件的安全漏洞會給竊密攻擊者以可乘之機。尤其是各種操作系統(tǒng)（如網(wǎng)絡操作系統(tǒng)軟件、萬維網(wǎng)瀏覽軟件、PC機操作系統(tǒng)軟件、數(shù)據(jù)庫軟件等）的安全可靠性對整個網(wǎng)絡更是關系重大，我國的計算機系統(tǒng)大都采用國外的系統(tǒng)軟件，安全內(nèi)核我們無法控制。如美國生產(chǎn)的操作系統(tǒng)，不論是硬件的，還是軟件的，都設有“后門”（backdoor），專為非法訪問留條后路。這已是公開的秘密。這是我國計算機網(wǎng)絡安全保密問題中的最薄弱環(huán)節(jié)，目前可以采取的措施只有“涉密網(wǎng)絡不得與國際網(wǎng)絡聯(lián)接”。這在國家保密局頒布的《計算機信息系統(tǒng)保密管理暫行規(guī)定》中第十一條和《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》中第十六條已作了明確規(guī)定。
信息的安全保密
 
   信息的安全保密是指在計算機系統(tǒng)中存儲、處理、傳輸?shù)男畔⒉槐环欠ㄔL問、截收、更改、復制、破壞、刪除。這是做好涉密信息系統(tǒng)保密工作的首要問題。

    信息在計算機系統(tǒng)中表現(xiàn)為文件、圖表、數(shù)據(jù)庫數(shù)據(jù)等，信息安全保密僅靠系統(tǒng)提供的用戶驗證、口令鑒別是不夠的，最根本措施是要對信息“加密”。 對信息加密后再存儲或傳輸才能確保信息的安全。加密產(chǎn)品設備要用我國自行研制的密碼設備才可靠。
設備環(huán)境的安全保密
    設備環(huán)境的安全保密主要指信息設備的電磁泄漏發(fā)射是否符合“Tempest”標準、安放設備的房間是否安全可靠等。信息設備的電磁泄漏發(fā)射有可能將信息攜帶到空間和傳導線上，竊收方采取相應的接收還原技術就可以竊取信息，獲取秘密。西方和美國對這個問題都十分重視，專門制定了標準，同時還研制輻射截獲還原設備以及低輻射計算機。
    我國對信息設備的電磁泄漏發(fā)射制定了四個保密標準，它是我們管理和檢查這項工作的依據(jù)。在研制輻射截獲還原設備以及低輻射計算機方面也取得了一定成果。
技術、管理、教育相結合
    對抗高科技竊密需要技術手段，但技術設備最終還是由人來操作管理的。有些設備要靠人的正確設置才能發(fā)揮有效功能，有些設備要靠人的盡忠職守才能發(fā)揮作用，甚至整個系統(tǒng)安全保密能否萬無一失，最終還要看工作人員是否有責任心和工作制度是否健全。
    在信息安全保密方面，究其漏洞有三：技術上的漏洞、管理上的漏洞和思想認識上的漏洞。技術手段與管理、教育相結合是做好系統(tǒng)安全保密工作的重要環(huán)節(jié)。管理包括立法、制定規(guī)章制度和檢查監(jiān)督三個方面。從整體上建立涉密信息系統(tǒng)的管理制度和檢查監(jiān)督機制是我們保密工作部門的職責。各系統(tǒng)還應根據(jù)各自的情況制定相應的管理制度，如“系統(tǒng)安全員管理制度”、“涉密媒體管理制度”、“口令制管理制度”等。思想教育應常抓不懈，除抓好保密教育之外，當務之急還應抓好信息安全保密方面的科普教育。
系統(tǒng)保密防范的基本措施
加強保密管理和保密教育
配置專職系統(tǒng)安全保密員
建立防范性網(wǎng)絡結構
利用操作系統(tǒng)的訪問控制技術建立三道防線
數(shù)據(jù)加密
配置網(wǎng)絡安全設備，應用網(wǎng)絡安全技術
加強保密管理和保密教育
   要想建立可靠的防范體系，除了在技術上采取必要的措施外，建立與之相配套的管理措施也是不可或缺的。國家保密局下發(fā)的《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國保發(fā)[1998]1號）是我們建立各種管理制度的依據(jù)。比如，我們應該對口令字加強管理；對磁盤信息加強管理；對機房環(huán)境加強管理；對通信設備加強管理；對計算機工程技術人員、計算機網(wǎng)絡管理員加強管理等等。包括口令密碼管理、媒體介質管理、信息采集定密管理、用戶權限管理、系統(tǒng)管理員制度、操作規(guī)程管理、機房環(huán)境管理、違章審計查處、人員思想教育等。
   《中共中央關于加強新形勢下保密工作的決定》（中發(fā)[1997]16號）和國家保密局《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》（中保辦發(fā)[1998]6號）明確提出涉密計算機信息系統(tǒng)的建設必須與保密設施的建設同步進行，報經(jīng)保密部門審批后才能投入使用。
配置專職系統(tǒng)安全保密員
    要選擇經(jīng)驗豐富的網(wǎng)絡管理員擔任系統(tǒng)安全保密員，以網(wǎng)絡安全為己任。他的主要職責應該包括：負責系統(tǒng)安全保密整體方案的擬制，經(jīng)評審通過后組織實施；處理建立安全保密防范體系中出現(xiàn)的技術問題；與系統(tǒng)管理員共同負責系統(tǒng)的密鑰管理和權限分配；負責對系統(tǒng)的運行進行安全保密監(jiān)視，發(fā)現(xiàn)異常情況，查明原因，及時處理；對系統(tǒng)的安全保密可信程度進行定期評估，提出風險分析報告及改進意見并組織實施；研究各項安全保密新技術和新成果，結合本系統(tǒng)的實際加以應用；對系統(tǒng)使用人員進行系統(tǒng)安全保密教育培訓。
   系統(tǒng)安全保密員應具備的條件是：思想穩(wěn)定政治可靠；具有信息技術及安全保密技術方面的基礎知識和綜合應用能力；有網(wǎng)絡和系統(tǒng)操作及管理方面的實際經(jīng)驗；熟悉信息系統(tǒng)安全保密方面的標準、規(guī)范和政策。
   系統(tǒng)安全保密員不能兼任系統(tǒng)管理員，其工作對本單位保密委員會（領導小組）負責。
   建立系統(tǒng)安全保密員的目的是要建立系統(tǒng)安全保密的動態(tài)管理。一個黑客從嘗試登錄到能夠進行非法訪問通常都要經(jīng)過一個不斷試探的過程，這些不斷的試探計算機系統(tǒng)都會有記錄，有經(jīng)驗的網(wǎng)絡管理員都知道這些細小的異常現(xiàn)象意味著什么，及時采取措施就能及時堵塞漏洞，使系統(tǒng)免受災難。
建立防范性網(wǎng)絡結構
   在單位內(nèi)部的網(wǎng)絡結構上，中央某部的作法是：在本單位內(nèi)部局域網(wǎng)基礎上再建獨立存在的核心網(wǎng)。涉密信息集中在核心網(wǎng)上。只有領導和涉密較多的處室才能上核心網(wǎng)，核心網(wǎng)與單位局域網(wǎng)完全物理分開，兩網(wǎng)之間由一臺有雙網(wǎng)卡的微機進行數(shù)據(jù)有條件交換。對外統(tǒng)一由局域網(wǎng)網(wǎng)管中心負責連接。這樣的網(wǎng)絡結構可有效地防止核心網(wǎng)被非法入侵造成泄密。
   在連接國際因特網(wǎng)時，也要注意應統(tǒng)一由一個安全防護性較高的因特網(wǎng)接入單位連接。不要多方連接上網(wǎng)，否則容易給入侵者提供多條路徑和機會。
利用操作系統(tǒng)的訪問控制技術建立三道防線
訪問控制技術主要分為身份鑒別、訪問權限控制和審計跟蹤等技術。
　　A、身份鑒別技術
　　身份鑒別技術是計算機內(nèi)部安全保密防范最基本的措施，也是計算機安全保密防范的第一道防線。這種技術是對終端用戶的身份進行識別和驗證，以防止非法用戶闖入計算機。身份鑒別方法有三種：口令驗證、通行證驗證和人類特征驗證。下面主要講講口令驗證。
　　口令驗證是驗證用戶是否合法，這種驗證方法廣泛地應用于各個方面。
　　口令的生成有兩種主要方法，一種是由用戶自己選擇口令，另外一種是由計算機自動生成隨機的口令。前者的優(yōu)點是易記，但缺點是易猜；后者的優(yōu)點是隨機性好，要猜測很困難，但缺點是較難記憶。根據(jù)美國貝爾實驗室的研究發(fā)現(xiàn)，用戶一般都會選擇自己居住的城市名或街道名、門牌或房間號碼、汽車號碼、電話號碼、出生年月日等作為口令，這些口令被猜測出來的可能性是85%。所以，如果讓用戶自己自由地選擇口令，就會增大口令泄露的機會。不過，用戶自己選擇口令也有一些既容易記住又不易被猜出的技巧和方法。比如，有一種分段交叉組合口令法就很簡單易行。打個比方，用一個你非常喜歡的小說名字和一個你難以忘記的球賽記錄，將這個名字和這個記錄分別分成幾段，然后交叉組合成一個口令。這個口令自己不容易忘記，別人也難以猜出。
　　為了使用戶既能方便地記憶口令又能安全地使用口令，一種較為適用可靠的方法是使用雙重口令。由用戶自己選擇一個短口令，然后由計算機自動生成一個幾百字的隨機長口令并記載在磁盤上。使用時用戶先輸入短口令，然后將載有長口令的磁盤插入計算機，由計算機讀取進行驗證；長口令是一次性口令，每使用一次便由計算機自動更新一次。這樣既能解決用戶記憶口令的問題，又能防止口令被猜測和盜取的問題。
利用操作系統(tǒng)的訪問控制技術建立三道防線
   使用口令應注意的問題：
口令要有一定長度，不要少于6個字符；
不要使用姓名、出生日期、電話號碼、身份證號、車牌號碼、
單位名稱、家庭住址等常用信息作口令；
不要以任何形式使用用戶名作口令（如反向或縮寫等形式）；
不要以英語或其它語言中的單詞作口令；
口令設置建議字母、數(shù)字和“%、#、*、@、^、&”等混排；
應該定期更換口令；
口令必須加密存儲，并保證口令加密文件和口令存儲載體的安全；
口令在網(wǎng)絡中傳輸時應加密；
　　通行證驗證類似于鑰匙，主要是使用磁卡和“靈巧卡”。
　　人類特征驗證是驗證用戶的生物特征或下意識動作的結果。通常驗證的特征有：指紋、視網(wǎng)膜、語音、手寫簽名等。人類特征具有很高的個體性和防偽造性，因此這種驗證方法的可靠性和準確度極高。如指紋、視網(wǎng)膜，世界上幾乎沒有任何兩個人是一樣的；語音和手寫簽名雖然能模仿得很象，但使用精密的儀器來分析，可以找出其中的差異。目前國外已研制出指紋鎖和眼底鎖。但由于這些人類特征驗證的設備相當復雜，造價很高，因此還不能被廣泛地應用。
利用操作系統(tǒng)的訪問控制技術建立三道防線
　　B、訪問權限控制
　　這就是計算機安全保密防范的第二道防線。訪問權限控制是指對合法用戶進行文件或數(shù)據(jù)操作權限的限制。這種權限主要包括對信息資源的讀、寫、刪、改、拷貝、執(zhí)行等。在內(nèi)部網(wǎng)中，應該確定合法用戶對系統(tǒng)資源有何種權限，可以進行什么類型的訪問操作，防止合法用戶對系統(tǒng)資源的越權使用。對涉密程度不高的系統(tǒng)，可以按用戶類別進行訪問權限控制；對涉密程度高的系統(tǒng)，訪問權限必須控制到單個用戶。要內(nèi)部網(wǎng)與外部網(wǎng)之間，應該通過設置保密網(wǎng)關或者防火墻來實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問權限的控制。
利用操作系統(tǒng)的訪問控制技術建立三道防線
　　C、審計跟蹤技術
   計算機安全保密防范的第三道防線是審計跟蹤技術，審計跟蹤是一種事后追查手段，它對涉及計算機系統(tǒng)安全保密的操作進行完整的記錄，以便事后能有效地追查事件發(fā)生的用戶、時間、地點和過程。
   審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程；跟蹤是對發(fā)現(xiàn)的侵犯行為實時監(jiān)控，掌握有力證據(jù)，及時阻斷攻擊的行動。這是提高系統(tǒng)安全保密性的重要工作。
   計算機網(wǎng)絡系統(tǒng)應有詳細的系統(tǒng)日志，記錄每個用戶每次活動（訪問時間和訪問的數(shù)據(jù)、程序、設備等），以及系統(tǒng)出錯信息和配置修改信息。
   對涉密程度高的系統(tǒng)，系統(tǒng)日志應該能夠自動檢測并記錄侵犯系統(tǒng)安全保密的事件，并能夠及時自動告警。系統(tǒng)安全保密員應該定期審查系統(tǒng)日志,對于涉及國家機密級和國家秘密級的系統(tǒng),審查周期不超過一個月,對于涉及國家絕密級的系統(tǒng)，審查周期不超過一周。
   審計信息對于發(fā)現(xiàn)網(wǎng)絡是否被攻擊和確定攻擊源非常重要，也是查處各種侵犯系統(tǒng)安全保密事件的有力證據(jù)。因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控功能外，還應使用目前較為成熟的網(wǎng)絡監(jiān)控設備或實時入侵檢測設備，以便對網(wǎng)絡操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡的攻擊行為。
   當網(wǎng)絡出現(xiàn)以下情況時，應該考慮是否有人正在攻擊網(wǎng)絡系統(tǒng)，危及信息保密：①系統(tǒng)沖突；②出現(xiàn)新的用戶帳號；③某個用戶帳號長時間沒有活動；④出現(xiàn)新的文件（通常有一個奇怪的文件名，如data.xx）；⑤文件長度或日期被改變；⑥令人費解的低劣的系統(tǒng)性能。如系統(tǒng)響應變得特別慢；⑦可疑的試探。如某個節(jié)點的多次登錄嘗試；⑧拒絕服務。如合法用戶被排斥不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。
數(shù)據(jù)加密
計算機網(wǎng)絡加密問題應包括文件存儲加密、口令存儲加密、數(shù)據(jù)庫數(shù)據(jù)加密、電子郵件加密等信息加密和數(shù)據(jù)傳輸加密（信道加密）以及密碼體制、密鑰管理中心等三個方面的內(nèi)容：
   （1）密碼原理。所謂加密，就是將正常情況下可懂的文件數(shù)據(jù)輸入密碼機，由密碼機變成不可懂的亂碼，即將“明文”變成“密文”；所謂解密，就是上述過程的逆過程，即將“密文” 變成“明文”。密碼機可看做是一個用電子元件實現(xiàn)一種復雜數(shù)學運算的機器。復雜數(shù)學運算可記為C=f(k,p)，這里C=密文，p=明文，k=密鑰，f是密碼算法。k是自變量，C是因變量。不同的k有不同的C，對于某個密碼算法f，k的選擇范圍越大，C的變化就越多，這個密碼算法被人破譯的難度就越大，保密強度就越高。如何評價k的選擇范圍大小呢？一般是看k的位數(shù)，位數(shù)長的（如128位以上）選擇范圍大，位數(shù)短的（如56位）選擇范圍小。一個國家的密碼政策，通常是用位數(shù)長的高強度密碼（位數(shù)可達1020~1050）保護國家秘密，其它用于保護商業(yè)秘密。
   在數(shù)據(jù)傳輸加密過程中，收發(fā)雙方線路密碼機使用的是相同的密碼算法，注入了相同的密鑰，發(fā)方向收方發(fā)出明文，經(jīng)密碼機變成密文后送上公網(wǎng)通信線路，到達收方后先經(jīng)密碼機解密再送到收方電腦上。密文在公用通信網(wǎng)上傳輸時，如果被截收，竊密方收到的是不可懂的亂碼，無法竊取信息內(nèi)容。
   在文件存儲加密中，加密解密卡加解密采用同一種算法和同一個密鑰，工作人員用電腦處理文件后先將文件加密再存入磁盤，以防竊密者盜用磁盤竊取文件。工作人員調(diào)用該文件時，文件先經(jīng)解密再從顯示器上顯示出來以供使用。
數(shù)據(jù)加密
  （2）密碼體制。剛才講密碼原理時，收發(fā)雙方密碼機的密碼算法一致、密鑰一致，這在密碼體制中叫“秘密密鑰體制”或“單密鑰體制”，這是一種傳統(tǒng)的密碼體制，有系統(tǒng)的理論研究和完善的管理機制，技術成熟，性能穩(wěn)定，國內(nèi)自行研制的產(chǎn)品安全可靠、保密強度高，一般用于文件數(shù)據(jù)加密存儲和傳輸。國外著名的DES密碼就是美國政府1977年發(fā)布的密鑰長度為56位的“秘密密鑰體制”的密碼。這種密碼的缺陷是：僅適用于內(nèi)部的，點對點方式的，事前雙方已知密鑰的兩點之間的加密傳輸，保守密鑰的秘密十分重要，密鑰一旦丟失，整個系統(tǒng)都要立即更換密鑰，否則竊密者將可能輕而易舉的破解密文。
   隨著近代計算機網(wǎng)絡的發(fā)展，人們又發(fā)明了“公開密鑰體制”或叫“雙密鑰體制”。它是基于一些數(shù)學問題而發(fā)明出來的密碼體制，這些數(shù)學問題可記為P=d(k’,C)，其中C=f(k,p)，寫在一起就是P=d(k’, f(k,p))，這個公式說明有這樣一種數(shù)學運算，它可以將用密鑰k加密的密文用密鑰k’解密,國外1978年公布的RSA密碼就是這種有兩個密鑰的密碼。這種密碼保密強度不如單密鑰體制的密碼，一般用于通信雙方的身份確認和數(shù)字簽名。
   在實用的互聯(lián)網(wǎng)絡中，各用戶通過加密傳輸可形成一個虛擬的保密互聯(lián)網(wǎng)。該網(wǎng)要由一個各用戶認可的密鑰管理中心來生成、管理、分發(fā)和銷毀密鑰，同時各用戶可將自己的“公鑰”也存放在密鑰管理中心。各用戶需進行保密通信時，先通過公鑰系統(tǒng)進行身份確認（這個過程中密鑰管理中心可起到仲裁鑒別作用），雙方確認身份后由密鑰管理中心分發(fā)秘密密鑰，雙方用得到秘密密鑰進行數(shù)據(jù)或文件的加密傳輸。這種工作方式不但適用于黨政機關內(nèi)部，也同樣適用于電子商務，但電子商務和黨政機關不能使用同一個級別的密碼設備，黨政機關用的是“普密”設備，電子商務只能用“商密”設備，二者的保密強度是不一樣的。
配置網(wǎng)絡安全設備，應用網(wǎng)絡安全技術
（1）配置防火墻
   防火墻是一臺運行防火墻軟件的計算機，其功能是限制能夠進入網(wǎng)絡的業(yè)務種類，即允許什么樣的業(yè)務和禁止什么樣的業(yè)務。從而保證內(nèi)部網(wǎng)與國際因特網(wǎng)聯(lián)網(wǎng)工作不被不良業(yè)務干擾。防火墻也可以用來禁止來自某些方向的進攻。
（2）配置安全路由器
   是一個將路由功能、數(shù)據(jù)加密功能集于一體的互連設備，可替代普通路由器。有的安全路由器還帶有數(shù)據(jù)壓縮、防火墻功能。
（3）配置保密網(wǎng)關
   為了保護單位內(nèi)部網(wǎng)網(wǎng)上秘密信息不會外傳泄密，在內(nèi)部網(wǎng)對外連接的節(jié)點上配置保密網(wǎng)關是十分必要的。如總參第58研究所、國家保密技術研究所和北大青鳥公司聯(lián)合研制的JB-TIS內(nèi)部網(wǎng)保密網(wǎng)關
（4）應用網(wǎng)絡安全技術。
   主要是指各單位可購買國內(nèi)生產(chǎn)的、具有《計算機信息安全專用產(chǎn)品銷售許可證》的信息網(wǎng)絡安全檢測產(chǎn)品。
幾點認識問題

什么是涉密計算機信息系統(tǒng)
泄密渠道與防范措施
保密管理的依據(jù)與工作要點
幾點認識問題
幾點認識問題
   ▲保密設施應是系統(tǒng)整體建設的不可或缺的有機結合的一部份；
   保密設施是指為防止涉密信息的泄漏或者被非法竊取而采取的設備、技術和管理的組合。一個計算機信息系統(tǒng)的規(guī)劃建設應該包含保密設施，也就是說，系統(tǒng)的安全、保密設備、技術和管理規(guī)則應同步規(guī)劃和建設。特別是涉密信息系統(tǒng)，保密設施應是系統(tǒng)整體建設的不可或缺的有機結合的一部份。我們許多單位由于建網(wǎng)初期沒有注意保密設施同步建設，網(wǎng)絡建起來后又遇到了這個問題，只好二次投入，重新規(guī)劃，重復開發(fā)。這無形中似乎給人們一種假象：網(wǎng)絡的保密設施可以在網(wǎng)絡建成以后再來搞。這種意識使我們有些單位在資金有限的情況下，把所有的資金都用在網(wǎng)絡建設上。先把網(wǎng)建起來再說，等將來有了資金再考慮保密設施。這勢必造成有些網(wǎng)絡在沒有保密設施、不符合保密要求的情況下投入使用?，F(xiàn)在保密部門要來審批了，怎么辦？反正沒有錢，先拖著再說！我們希望大家樹立這樣一種意識：建設計算機信息系統(tǒng)必須要有保密設施這一塊，資金就那么多，蛋糕就那么大，一定要在這塊蛋糕里切一塊給保密設施，有多少資金就辦多少事，而不是另找一塊蛋糕給保密設施。沒有保密設施的計算機信息系統(tǒng)是不堪一擊的，是無法抵擋竊密者攻擊的。沒有保密設施的計算機信息系統(tǒng)就算建成開通了也是“豆腐渣工程”。 
幾點認識問題
    ▲重視防外不重視防內(nèi)，過分依賴“防火墻”；
   這是我們許多單位在搞計算機信息系統(tǒng)防范工作時容易出現(xiàn)的傾向。對外防范理所當然，防止外來的黑客攻擊，花費點精力設置好“防火墻”是十分必要的。至于說到對內(nèi)防范，總感到那會造成使用不方便，只要讓每個工作人員自己設一個口令、有一定的權限限制就可以了，大家都是自己人，不必搞得太緊張。這種傾向使我們的網(wǎng)絡系統(tǒng)既沒有足夠的防范手段，也沒有健全的規(guī)章制度。內(nèi)部管理松弛，人員思想麻痹，防范措施形同虛設，泄密隱患隨處可見。
   涉密信息系統(tǒng)應建立能防止外部和內(nèi)部兩方面人員非法攻擊的安全保密體系，防內(nèi)與防外是同樣重要的。這是好象對紙介質文件的保密管理一樣，文件有專門的保密室和保密員來進行管理。保密室有“三鐵一器”，文件制發(fā)傳閱有一系列行之有效的規(guī)定規(guī)范。保密員勤勤懇懇、盡職盡責。只有這樣，保密工作才能做得好，國家秘密才能萬無一失。隨著時代的進步，涉密信息也會逐步由紙介質文件形式變成計算機數(shù)據(jù)形式，我們應該在實踐中不斷摸索，摸索出一套涉密計算機系統(tǒng)的行之有效的規(guī)定規(guī)范，使我們的保密工作上升到一個新的高度。
幾點認識問題
   ▲忽視保密管理，僅靠技術人員和技術設備進行防范；
   認為計算機網(wǎng)絡系統(tǒng)的防范工作是技術人員的事，是靠技術設備來實現(xiàn)防范目的的。這也是一種不正確的認識。防范是全面的防范，只有嚴格的管理，才能充分發(fā)揮技術的作用。只強調(diào)技術，不懂得管理，就算巨資投入，也將事倍功半。
   ▲盲目信任進口設備和技術，缺乏系統(tǒng)安全保密常識，不了解國家有關政策；
   計算機信息系統(tǒng)安全保密防護設備只能采用按國家有關主管部門（公安部、安全部、國家保密局）的要求經(jīng)檢測、認證和許可的國內(nèi)生產(chǎn)的安全保密產(chǎn)品。這不但是國家的政策要求，也是一個基本常識，不但中國如此，西方國家也都是這樣，沒有哪個國家會把自己的計算機信息系統(tǒng)安全保密問題交給外國人來解決。
   這些不正確的認識，產(chǎn)生的原因，就是我們普遍缺乏電腦網(wǎng)絡知識、缺乏計算機安全保密常識。不學習，就不可能真正解決這些錯誤認識；不學習，就無法搞好涉密信息系統(tǒng)的保密管理工作。提倡大家學習些電腦網(wǎng)絡知識，學習些計算機安全保密常識，了解些國家有關政策。
幾點認識問題
兩對概念的關系理解，有助于我們更好的開展保密管理工作：
   ▲保密系統(tǒng)與一般的安全系統(tǒng)的關系；
   我們把符合保密要求的計算機信息系統(tǒng)叫做保密系統(tǒng)，把符合通常所說的安全要求的計算機信息系統(tǒng)叫做安全系統(tǒng)。保密系統(tǒng)我們剛才講了很多，安全系統(tǒng)概略地說：它分為系統(tǒng)安全和信息安全，系統(tǒng)安全包括系統(tǒng)穩(wěn)定運行、防止黑客攻擊、防止病毒入侵、防火、防潮、后備電源、機房安全等等；信息安全包括數(shù)據(jù)備份、存儲介質安全、口令保護、認證加密等等，這里的加密密碼設備一般是民用或商用設備，是不能用于政府部門的。保密系統(tǒng)與安全系統(tǒng)這兩者之間是既有聯(lián)系又有區(qū)別的。要詳細講解兩者的關系超出了我們這堂課的范圍。簡單地說：保密系統(tǒng)首先應該是安全系統(tǒng)，但安全系統(tǒng)不一定符合保密要求；在行為主體上，安全系統(tǒng)可以是國家行為，也可以是單位行為、企業(yè)行為或個人行為，但保密系統(tǒng)只能是國家行為。對于涉密計算機信息系統(tǒng)，必須與保密設施同步建設，經(jīng)保密部門審批后方可使用，這是國家的強制行為，不容協(xié)商。
幾點認識問題
兩對概念的關系理解，有助于我們更好的開展保密管理工作：
   ▲系統(tǒng)保密與通信保密的區(qū)別。
   通信保密工作我們黨從戰(zhàn)爭年月開始就有了，幾十年來積累了豐富的經(jīng)驗，有一整套嚴密的保障措施，有力地保證了我黨我軍機要通信的安全。時代發(fā)展到今天，通信保密仍是我們做好涉密計算機信息系統(tǒng)保密工作的主要手段之一。但由于信息系統(tǒng)的保密與通信保密有所不同，完全依靠通信保密手段來保護信息系統(tǒng)的安全已顯得有點力不從心了。
   計算機網(wǎng)絡之間的通信是靠通信線（電）路來保證的，計算機通信所采用的保密手段與過去的通信保密手段從機制上來說是一致的（都是加密），但過去的通信傳輸在信息傳輸完成后，通信終端設備上是沒有信息存留的，竊密者向設備終端攻擊是毫無意義的，而計算機系統(tǒng)就不同了，信息在傳輸完成后是存留在終端設備上的，圍繞著竊密者的攻擊，我們要做一系列保密防范工作。
第四部分 通信設備與輔助設備的保密管理

保密管理的方法
無線傳輸設備保密技術
有線傳輸設備保密技術
會議音響設備的保密技術
其它輔助設備的保密技術
保密管理的方法
    ▲ 制定本單位辦公自動化設備保密管理制度；
    ▲ 機要電報要按有關規(guī)定辦理；
    ▲ 使用普通有線電話、無線手機不能談論涉密信息；
    ▲ 使用普通傳真機不能傳涉密文件；
    ▲ 辦公室不要使用無繩電話（子母電話）；
    ▲ 會議音響設備要進行保密技術檢查，涉密會議不能使用無線話筒；
    ▲ 復印機不能隨意復印涉密文件。
無線傳輸設備保密技術
　　辦公自動化設備中的無線傳輸設備主要是無線電話、無繩電話（子母電話機）、對講機、無線話筒等。這些無線傳輸設備在通信過程中其傳輸?shù)男畔⑹请S著無線電波在空中自由傳播的，只要使用相應的接收設備，誰都可以隨意接收這些信號。在我國周圍，國外建有很多地面監(jiān)聽臺站，天上也有不少偵察衛(wèi)星，這些都是對我國進行電子監(jiān)聽偵察的。各國情報機關一項主要任務就是進行電子偵聽，即截收他人的信息。美國國家安全局擁有全球最龐大、最先進的電子偵聽網(wǎng)，它每年花在間諜衛(wèi)星上的經(jīng)費為30億美元，世界上每發(fā)射一顆通信衛(wèi)星，它就會建立一個地面站，截收該衛(wèi)星傳播的信息。該局擁有世界上功能最強的巨型計算機，能迅速破譯機要通信密碼。美國國會議員在參觀該局辦公大樓時，曾從計算機屏幕上看到伊拉克導彈的精確位置，并從激光唱盤中聽到所有國家首相或總統(tǒng)的私下談話聲音。因此使用無線傳輸設備進行通信必須注意和防止無線電波泄密的問題。
    據(jù)有關材料透露，美國利用摩托羅拉公司的移動通信占領中國市場的機會，把移動通信與美國的間諜衛(wèi)星接軌，截收我移動通信信號，收集我黨、政、軍和經(jīng)濟、科技等各方面的情況。又如，北京有一個很重要的部門，從日本引進了一套通信設備，過去經(jīng)常發(fā)生問題，不知什么原因，最后經(jīng)解剖檢查，才發(fā)現(xiàn)日本人在這套設備里安裝了遠程終端功能，實際上是遠程控制，但只要設備一運轉，就可以接收到通過這套設備的所有信息。目前，我國移動通信的設備大部分都是從國外進口的，而且關鍵的技術設備一般都是由外方的技術人員安裝調(diào)試，我們目前還缺少技術力量對這些設備進行保密檢查測試；對移動通信的管理也不健全。移動通信基本上是處于不設防的。
無線傳輸設備保密技術
　　防止無線傳輸設備空中信號泄密首先要加強管理，在技術上可采取如跳頻技術、干擾技術、加密技術等進行技術保密：
　　跳頻技術是一種防止竊收方跟蹤接收的通信保密技術，其原理是在通信過程中經(jīng)常改變信號傳輸頻率、調(diào)制方式或其它的傳輸參數(shù)，從而改變信號的傳輸方式，使竊收方無法正常收聽。這種方法在一些無線電臺和對講機中會經(jīng)常使用到。
　　干擾技術是以功率很強的噪音信號去掩護有用信號，使竊收設備被強信號覆蓋堵塞而無法收聽。現(xiàn)代的電子干擾技術已發(fā)展到很先進的水平，有各種各樣的手段，但目前主要是應用于軍事上。
    無線傳輸設備保密技術使用最多的是加密技術，這是最為有效的保密措施。無線傳輸設備的加密技術與有線傳輸設備的加密技術在原理上是基本上相同的。
有線傳輸設備保密技術
    最為常見的有線終端設備是有線電話、傳真機和電傳機等，計算機通過通信線路遠程聯(lián)網(wǎng)時也可以看作是有線終端設備。連接這些設備的是各種通信線路，如單位電話小總機用戶電纜、市內(nèi)公用電話線路等等。失泄密主要發(fā)生在直接連接終端設備的用戶音頻線路上，比如大樓分線箱、樓層接線盒、用戶線等。
例：1995年5月，廣東省普寧市公安局刑警大隊隊長陳某，參加偵破一起販毒案件，負責抓捕販毒罪犯的工作。在案件偵查過程中，該市人民銀行司機邱某為幫其涉案的朋友說情，通過普通電話傳呼陳某，陳在給對方復電話時，泄露了公安技偵絕密級國家秘密。 
有線傳輸設備保密技術
    主要的竊密方法有：
　　搭線竊聽：只要在傳輸線路上的任何一處，搭線接上相應的接收或竊聽設備，就能截獲線路上傳送的所有信息，包括各種數(shù)據(jù)和圖象信息。如是話音信息，可直接聽辨，如是其它信息，則需進行解調(diào)處理。如有一種移動式的小型傳真竊聽器，可同時竊聽幾條傳真線路，只要將竊聽線并聯(lián)到電話線上，線路上傳輸?shù)娜總髡嫘畔⒍伎杀挥涗浵聛泶嫒腚娔X，然后轉換成圖文符號打印出來。
　　串音泄密：串音普遍存在于電話線路上，它是由線路之間的電磁感應造成的。由于電話電纜是許多線路捆扎組成的，串音現(xiàn)象在技術上很難避免。這種串音一般聽不到，但只要利用網(wǎng)內(nèi)的一般電話機加裝音頻放大器或其它高靈敏度的電子設備就能聽到線路里的串音。在涉密部門的電話與公眾電話網(wǎng)處于同機、同纜、同網(wǎng)的情況下，串音泄密是最為主要的隱患之一。
　　載波輻射：長途電話架空明線載波頻率較高，因此其輻射能量也較強，可輻射至距架空明線幾十米甚至幾百米外。如輻射感應到附近的金屬體（如鐵路線、自來水管）上，則可通過“二次輻射”傳輸更遠的距離。利用感應線圈或普通長波接收機即可對長途載波架空明線的電磁輻射進行感應或接收竊聽。竊聽方式可分為固定式和流動式的，固定式一般在距線路幾十米至上千米的隱蔽地段內(nèi)與線路平行設置大型感應線圈，也有直接將感應線圈偽裝成磁瓶裝在電線桿上的；流動式一般將感應線圈及長波接收機裝在汽車上，當汽車在公路上行駛時，便可竊收到公路兩旁長途載波架空明線輻射的信息內(nèi)容，這種方法常為外國領使館情報人員所采用。1973年到1982年，我國就曾在一些邊境省份查獲感應式竊聽器60多個。
有線傳輸設備保密技術
  防止有線傳輸線路的失泄密的保密防范措施主要有：加密技術（信息保密），專網(wǎng)技術（信道保密）和干擾技術。
　　要確保有線設備傳遞的信息在傳輸過程中不被竊收，最為有效的是對所傳輸?shù)男畔⑦M行加密，使竊收者即使截收到信號，也無法知曉信號所反映的真實內(nèi)容。加密技術可分為模擬加密和數(shù)字加密兩種。模擬加密在有線傳輸中常用于電話語音加密，數(shù)字加密技術廣泛應用于各種類型信息的加密，尤其適用于電子計算機和傳真機數(shù)字信息的加密。數(shù)字加密技術實際上是密碼技術在信息傳輸方面的運用。
　　為適應我國改革開放、市場經(jīng)濟的發(fā)展，國家已開發(fā)研制了一批商用密碼產(chǎn)品，可用于保守各單位內(nèi)部敏感信息、工作秘密和商業(yè)秘密。有商用密碼電話機和傳真加密器，可供各單位選購。
    專網(wǎng)技術是將一些重要的或涉密程度高的有線傳輸設備使用專用線路連接的技術，這是一種對付搭線竊聽、防止串音泄密較為有效的技術。我國黨政機關的紅機專用電話網(wǎng)、軍隊和鐵路等一些部門的專用電話網(wǎng)就屬于這種專用網(wǎng)。專用網(wǎng)線路如能使用地下電纜或光纖電纜，則保密強度更高。尤其是光纖電纜，根本上不存在電磁輻射的問題，也很難進行搭線接收，因此光纖電纜是一種保密性能很好的現(xiàn)代通信傳輸線路。專網(wǎng)技術存在的問題是造價較高、投資較大。
    白噪聲干擾技術是防止線路串音的一種專項技術，它較為適合于應用在局域網(wǎng)絡的線路上，尤其是一些涉外單位如賓館內(nèi)部的小總機線路。它的工作原理是使用白噪聲發(fā)生器在線路上施放一定強度的白噪聲（約-43至-61db），以達到既不影響正常通話、又覆蓋或干擾了強度較弱的串音的效果。
會議音響設備的保密技術
    會議音響設備主要存在兩個方面的泄密渠道：一是開會使用無線話筒。使用無線話筒固然方便，但由于無線話筒是利用無線電波將話音傳送到擴音設備進行擴音廣播的，使用的無線電頻率剛好是調(diào)頻收音機的頻率，只要在會場外用一臺普通的收音機就可以接收無線話筒的聲音，所以說，涉密會議不能使用無線話筒；二是會議音響設備中，擴音機、調(diào)音臺等設備元件復雜、開機時功率較大，使用一段時間后容易產(chǎn)生電磁耦合寄生振蕩，這種寄生振蕩會產(chǎn)生電磁輻射，有的輻射波會攜帶話音信號，在會場外用一臺接收機即可接收到會議談話情況，從而造成泄密。這種電磁耦合寄生振蕩不是每套設備都有的，有的設備有，有的設備沒有，有的設備新買來時沒有，使用了幾年后又會產(chǎn)生。所以，要求涉密會議室的會議音響設備要定期進行保密技術檢測，發(fā)現(xiàn)問題及時采取措施。新購置的設備在使用前應檢測一次，以后每隔2-3年再檢測一次，保證設備安全可靠。
其它輔助設備的保密技術

電磁輻射的問題
復印機防復印問題
打印蠟紙的銷毀問題
辦公廢紙的處理問題
文件保管
電磁輻射的問題
如復印機、打字機和打印機的輻射，都攜帶有其本身工作時處理的信息。象一些常見的二十四針的針式打印機，經(jīng)我國有關部門研究發(fā)現(xiàn)，使用一些專門的設備，可將其輻射中攜帶的信息還原70％以上。要防止這些輔助設備本身泄密，可以根據(jù)實際情況采取與防止計算機輻射泄密一樣的措施，如安裝相關干擾器，或采用屏蔽的方式等。
復印機防復印問題
辦公自動化輔助設備中值得引起特別注意和重視的是復印機，它是辦公自動化設備中最不可缺少的輔助設備?，F(xiàn)代的復印機無論在功能上還是在印刷質量上，都達到了很高的水平。有的具有智能編輯能力，還可以實現(xiàn)多臺復印機連接相互傳送信息。一些更高級的復印機甚至還能實現(xiàn)彩色復印，印出的鈔票可達到亂真的程度。復印機的這種能力使它能高效高質地印刷各種文件資料，大大地減輕了辦公人員的抄寫勞動量，提高了辦公效率，受到辦公人員的極大歡迎。但同時，它也使保密防范面臨新的問題，涉密文件資料在傳遞過程中很容易被復印而造成失控，復印機成為了泄、竊密的方便工具。從近年海關截獲帶出境的涉密文件資料絕大多數(shù)是復印件的情況就可以看到這個問題的嚴重。要解決這個問題，除了加強對復印機復印涉密文件資料的管理和控制外，還很有必要研究使用涉密文件資料的防復印技術。這種技術的著眼點主要是放在印刷涉密文件資料的專用紙張和專用油墨上，只要是使用這種紙張或油墨印刷的文件資料，在復印機上復印就會失效。國外一些國家已研制出這種技術，在這種防復印紙或防復印油墨上有一層反光材料，放到復印機上，能有效地反射復印機光線的照射，從而使曝光失效。我國有關部門也在研究這種技術，目前已有階段性的成果，相信很快就會進入實用階段。
打印蠟紙的銷毀問題
速印機、謄印機、印刷機印制文件都會產(chǎn)生蠟紙，用過后的蠟紙在銷毀時如不注意，隨意亂丟亂扔，容易造成泄密?？稍诖蜃质夜ぷ魅藛T監(jiān)督下用火燒或粉碎等辦法妥善處理，以防泄密。
辦公廢紙的處理問題
辦公自動化輔助設備基本上都是一些印刷設備，這些設備在工作過程中經(jīng)常會產(chǎn)生不少的廢紙，機關辦公也會產(chǎn)生許多手寫廢紙，這些廢紙上很可能記載有涉密信息，如果不能妥善處理好這些廢紙，也很容易造成泄密后果。通過翻找垃圾堆獲取重要信息的事例已是屢有所聞。要堵塞這方面的漏洞，最好的辦法就是購置各種碎紙機與這些印刷設備配套使用，將廢紙隨時粉碎處理。碎紙機一般分為條狀和粒狀的兩種，有大型的也有小型的，每次碎紙量可由６張至10多張。條狀碎紙機的保密效果不如粒狀碎紙機，只要細心和耐心地拼湊，條狀的碎紙還是有可能拼接復原的。有的國家規(guī)定必須碎成小于1/32英寸的粒狀才能得到保密機構的認可，我國保密部門也推薦使用粒狀的碎紙機。目前我國的幾個大城市如北京、上海、南京和廣州都能生產(chǎn)粒狀碎紙機，廣州產(chǎn)的碎紙機粒狀已達到小于４平方毫米的水平。
文件保管
目前已有比較先進的電腦密碼文件柜，采用了可自行設置的長達12位的性能可靠的電腦密碼鎖，該鎖設有機械保險，防撬防砸；整個箱體采用厚鋼板，防撬結構；該種文件柜獲公安部和技術監(jiān)督局的認證，推薦各單位使用。

辦公自動化保密管理