在軍工企業涉密網絡的信息安全解訣方案中，我們認為應該遵循以下的安全策略原則:

    (1)製度體係、流程管理與技術手段相結合的原則

    軍工保密安全以管人為主，安全策略應主要以完整的製度體係、規範合理的工作流程為主，結合技術防範手段來實現。不能將保密安全策略完全建立在技術手段上。

    (2)公眾產品與涉密產品相結合的原則

    保密安全體係首先應建立在一個相對安全的網絡基礎上，對基礎的網絡安全和非核心的部分完全應該采用成熟的公眾產品，如備份恢複係統、網絡防病毒係統等。在關鍵的部分采用專用的涉密安全產品，如身份鑒別、入侵檢測、信息加密等。

    (3)全麵預防與重點技術防範相結合的原則

    軍工企業由於產品設計和生產經營管理的實際需要，保密安全策略應在建立起全麵預防措施的基礎上，對重點的保密安全方麵采用技術手段進行自動監控。優先解訣的應是身份鑒別，其汐是信息外泄通道(計算機接口)的控製，最後解訣訪}句控製。

    (4)選用成熟技術與兼顧技術發展相結合的原則

    軍工企業涉密網絡處理的是國家秘密，不能成為新技術的試驗地，因此保密安全策略應優先選擇成熟可靠的安全技術產品。結合上述原則和軍工企業涉密網絡的技術防範要求，我們建議在技術上采取分級知悉控製與加密存儲相結合的措施對涉密信息檔案特別是涉密文件加以保護。

    (1)在製度上明確由企業統一管理並為員工固定一個IP地址(MAC 地址)，IP地址所產生的所有行為視為員工的行為。

    采用硬件鑰匙結合口令的方式對操作係統的登陸進行完善，通過硬件鑰匙進行身份驗證的方式將具體員工與虛擬IP關聯起來。

    (2)對涉密信息進行知悉範圍控製。在對涉密信息分類的基礎上控製涉密信息的列表．打開等操作行為，將對涉密信息的管理控製變成對操作權限的分配和管理。

    (3)對網絡服務器的訪問進行控製，對網絡中的受限終端的對外介質複製渠道進行控製。

    網絡服務器的訪問控製可以采用防火牆技術解決。對於終端的複製渠道的控製可以考慮采用基於網絡的設備集中控製係統。

    (4)涉密信息審計及保密安全策略動態調整

    軍工企業涉密網絡的保密安全措施及其實施在企業中始終是動態變化的，其引發改變的時機和方法就在於保密安全審計的結果。

    3 軍工企業涉密網絡信息安全策略的關鍵技術

    在方案中，我們認為最關鍵的技術有以下五個方麵：

    3.1身份認證與自主加密保護的結合

    通過硬件鑰匙進行身份認證，通常使用USB接口設備。在軍工企業涉密網絡中的日常應用中需要大量對各種涉密文件進行處理，同時由於企業現在的計算機應用水平狀況，應該為每位使用者提供對自己處理的涉密文件進行加密保護的基本功能，其加密密鑰可以用同一個硬件鑰匙來保存。對硬件鑰匙中的密鑰進行管理(寫入、修改、讀出、存儲)使之符合密品管理的要求是技術關鍵之一。

    3.2涉密資料的分類管理．操作行為與訪問控製的結合

    涉密網絡中的涉密信息要控製其知悉範圍，必須對涉密信息及其使用人員進行分類，使之建立一種相對固定的關聯規則；如何將現實中千變萬化的涉密信息和使用人員轉變成相對固定的分類關聯規則，從而實現訪問控製，是需要解決的一個關鍵技術。

    國家秘密信息在軍工企業涉密網絡中大量表現為文字和圖形，為了防止無關人員接觸秘密信息和通過更名等方式改變國家秘密的表現形式而造成秘密失控，必須對使用人員的計算機操作行為(列表、打開、創建、更名、複製、編輯)進行控製；如何識別上述操作行為並進行自動控製是需要解決的另一個關鍵技術。

    3.3物理隔離、外泄外聯控製的自動實現

    對網絡中的外協外聯進行控製可以簡單的通過禁用其設備來實現，在軍工企業涉密網絡必須分別解決兩個基本問題一是合法的外聯設備與非-法外聯設備的識別，如合法的USB打印機設備與非法的USB存儲盤；二是非法外聯設備的禁用不能被使用者破壞，即是在該計算機與網絡斷開的情形下。這是一個較為關鍵的技術。

    3.4日誌係統與集中審計的結合

    日誌係統和審計係統的技術關鍵在於如何解決計算機中不同操作行為所產生的日誌信息格式(內容)的統一，在不占用大量的網絡帶寬資源的情況下，如何保證日誌信息在產生和傳輸過程中不會被旁路。篡改。丟失，在審計中如何結合訪問控製的規則自動對違規的日誌信息進行高效過濾並自動報警。

    3.5集中控製管理與客戶主動保護的結合

    軍工企業涉密網絡中所有對涉密信息的保護和控製規則都是由企業集中製定並進行控製管理的，這些規則需要在使用者的客戶端上自動執行以達到主動保護的目的。在技術上必須解決客戶端與集中規則的同步問題和客戶端在離線狀態下仍有效執行控製規則的問題。

   4 軍工企業涉密網絡信息安全策略關鍵技術的實現原理

    針對前麵提出的五個方麵的關鍵技術，在每一個方麵都有單一的產品提供了解決方案，下麵介紹“涉密資料的分類管理、操作行為與訪問控製的結合” 的實現原理並介紹其實現的案例。

    要在涉密網絡上實現訪問控製，使涉密信息隻被授權的人員知悉，必須建立涉密信息與授權人員的對應關係規則，確定其可以進行的操作類型。

    為解決涉密信息及使用人員在現實中的頻繁變化的問題，應采取下列的實現方式：

    (1)對涉密信息，采用將涉密信息按使用類型進行分類的辦法，然後確定每類涉密信息的知悉對象；對軍工企業裏的涉密信息提供不同的使用類型分類模板：如對軍工產品的設計、工藝、生產等過程產生的秘密信息按產品項目管理的方式進行分類對經營過程中產生的涉密信息按計劃、財務、質量、試驗等使用屬性進行分類等。這樣每類涉密信息的知悉人員是相對確定的，為了避免使用人員頻繁變化帶來的設計困難，可以引入相對固定的人員類別表述一角色。這時對知悉範圍的管理就轉變為涉密信息類別與角色之間的可操作關係集合的管理。

    (2)對使用人員，采用通過組織結構樹來管理使用成員(通過硬件鑰匙轉換成對應的IP地址)，使用人員對某類涉密信息的知悉權利就可以用是否屬於某個角色來表述。這時對使用人員的管理就轉變為對角色組中成員的管理。

    通過引入相對固定的角色概念，訪問控製的實現就轉變為對信息類別與角色、角色與使用人員之間的關係的管理。

    在確定上述關係的同時，要真正實現對知悉的控製，必須在於網絡的兩種入侵檢測能力。

   5 入侵檢測技術的發展趨勢

    在入侵檢測技術發展的同時，入侵技術也在更新，黑客組織已經將如何繞過入侵檢測係統或攻擊入侵檢測係統作為研究重點。因此，從總體上講，目前除了完善常規的、傳統的技術外，入侵檢測技術應重點加強與統計分析相關技術的研究。許多學者在研究新的檢測方法，如采用自動代理的主動防禦方法，將免疫學原理應用到入侵檢測的方法等，其主要發展方向可以概括為:

    (1)分布式入侵檢測。這個概念有兩層含義:第一層，即針對分布式網絡攻擊的檢測方法;第二層即使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。分布式係統是現代IDS主要發展方向之一，它能夠在數據收集、入侵分析和自動響應方麵最大限度地發揮係統資源的優勢，其設計模型具有很大的靈活性。

    (2)智能化入侵檢測。目日使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現階段常用的有神經網絡、遺傳算法、模糊技術、免疫原理等方法，這些方法常用於入侵特征的辨識與泛化，利用專家係統的思想來構建IDS也是常用的方法之一。

    (3)網絡安全技術相結合。結合防火牆、PKIX、安全電子交易(SET)等網絡安全技術與電子商務技術，提供完整的網絡安全保障。

    (4)建立入侵檢測係統評價體係。設計通用的入侵檢測測試評估方法和平台，實現對多種入侵檢測係統的檢測，已成為當前入侵檢測係統的另一重要研究與發展領域。評價入侵檢測係統可從檢測範圍、係統資源占用、自身的可靠性等方麵進行。評價指標有:能否保證自身的安全、運行與維護係統的開銷、報警準確率、負載能力以及可支持的網絡類型、支持的入侵特征數、是否支持IP碎片重組、是否支持TCP流重組等。

    6 總結

    入侵檢測技術盡管是計算機網絡安全的重要組成部分，但它不是一個完全的計算機網絡係統安全解決方案，它不能替代其他安全技術如：訪問控製、身份識別與認證、加密、防火牆、病毒的檢測與清除等的功能。但可以將它與其他安全技術，如防火牆技術、安全網管技術等增強協作，以增加其自身的動態靈活反應及免疫能力，為我們提供更加安全的網絡環境。