涉密網絡

作為網絡建設的基礎平台，如何能夠使其既滿足網絡發展需要，又能保證網絡信息的安全，保證國家秘密不泄露，成為當前信息化建設中一個重要課題。對於我國檢察機關來説，在大力推進信息化建設發展的漫長進程中，如何把握網絡基礎建設中的信息安全問題，做到不走或少走彎路，是我們檢察機關信息技術人員的主要任務。

信息安全是指以計算機網絡平台為基礎的計算機信息不被盜竊，不發生遺失、泄密，保證國家密秘安全。信息安全是國家保密工作的重要組成部分，是保證國家秘密安全的重要途徑，它與網絡安全是兩個不同的概念，網絡安全是指網絡系統自身的安全，不使外來黑客或病毒攻擊，而造成網絡系統崩潰、癱瘓。從管理分工上講，信息安全由保密部門管理，網絡安全由網絡技術部門管理。

隨着信息技術的發展和網絡化應用的普遍推廣，檢察機關開展網絡化辦公、辦案，政府各部門開展各類管理業務的信息化應用。胡錦濤總書記在黨的十七大工作報告中提出了“工業化、信息化、城鎮化、市場化、國際化”，信息化在全國黨的代表大會工作報告上第一次提出，充分説明了當前信息化在我國發展中的地位和重要性。隨着信息化的廣泛應用，信息安全涉及的行業、領域、人員範圍越來越大，幾乎所有的國家機關計算機網絡的都涉及到信息安全問題，部分企事業單位、科研院所也存在網絡信息安全的問題。即便是沒有網絡化辦公，使用個人計算機辦公的單位同樣存在信息安全問題。

信息安全是保守國家秘密的重要途徑，是關係到黨和國家在信息化時代能否正確領導全國人民建設中國特色社會主義的大問題，是維護黨的執政地位的大問題，是保證國家安全、經濟發展的大問題。因此必須引起黨和國家機關的高度重視，採取有效措施確保涉及國家秘密的信息安全。

從技術上講，一方面，強調大力推行信息化應用，提高工作效率和質量，實現人力無法達到的目標。另一方面，隨着應用的開展，網絡信息保密問題越來越多，信息安全手段沒有達到保密法規要求，不能保證信息安全時，限制信息化的應用，形成了信息化應用與信息安全的矛盾。在前些年的網絡建設中，由於管理、技術和資金問題，大多數沒有考慮信息安全系統建設。少部分單位隨有考慮但沒有達到保密規定要求。形成了信息化建設中網絡建設不完善，信息安全系統建設遲後網絡系統建設。

信息化的應用與信息安全的關係，兩者既對立又統一。 一方面，信息安全建設是為了保障信息化應用的正常開展，保證應用中涉密信息安全，對信息化應用起着保駕護航的作用。另一方面，當信息化應用在沒有建設完善的保密手段時，它又限制和 制約着信息化應用範圍，但追求的目標是兩者統一。實現網絡平台上建立完善的信息安全手段，使網絡化應用在安全、可靠、暢通的環境下開展，在保證國家秘密安全的條件下，充分發揮網絡化應的作用。

對檢察機關和其他國家機關而言，信息安全建設遲後於網絡系統建設的問題較為普遍。當前把信息安全建設作為工作重點進行。這個問題解決不好，直接限制了信息化應用的推進，特別是影響了網上辦案工作的推行。國家保密部門要求國家機關在信息化系統建設時同步建設信息安全系統，但在實際工作中存在注多問題和矛盾。檢察專網的建設全國是一盤棋，按照最高人民檢察院的統一規劃部署進行。對於每一級檢察機關來説，應當全面落實信息化建設中的涉密技術保護規定，其中，落實網絡的基礎建設部分的信息安全規定---網絡物理隔離、綜合佈線、地線、機櫃、屏蔽機房等是重要的組成部分。

（1）病毒威脅：一些機器沒有安裝或更新殺毒軟件，使用U盤在不同的機器之間拷貝文件，都會引起網上病毒威脅涉密信息網的正常運行。例如公安信息網上曾發生過四次大範圍的病毒侵襲，造成公安信息網中斷和系統癱瘓。

（2）“一機兩用”問題：涉密信息系統作為國家的重要信息系統，勢必成為境內外敵對勢力進行竊密活動和攻擊破壞的重要目標。但由於許多涉密單位的網絡都分為內網（涉密）和外網（與互聯網相連），若不能有效解決涉密單位的電腦、網絡的專用問題，涉密信息網將面臨泄密和遭受攻擊的威脅。

（3）網上缺乏相關的安全措施，影響了涉密信息系統的發展和信息共享。涉密信息網上要實施加密技術措施，使涉密信息可以在網上交換，同時保護級別高的涉密網要解決上網用户的身份認證和訪問授權控制等問題。

（4）系統抵禦能力較弱。許多涉密信息網上的業務數據庫沒有建立完善的容災備份機制，一旦發生破壞或丟失將對相應的業務工作造成嚴重影響。 ^[1] 

所謂涉密網絡信息系統是指傳輸、處理、存儲含有涉及國家秘密的計算機網絡系統。涉密網絡佈線是為涉密網絡信息系統提供鏈路，建立信道的綜合佈線系統。在某些辦公大樓建設中存在多個網絡系統，包括涉密網絡、非涉密網絡、公共信息網絡、公共語音通信網絡等多個系統，這些系統在大樓建設時一般會同步建設。因此在建設綜合佈線時必然涉及到涉密網絡佈線與其他非涉密網絡佈線之間的關係，涉及到與大樓配套設備安裝系統之間的關係。怎樣處理這些系統之間的關係，首先要了解涉密網絡佈線工程的特點及其與其他佈線系統的主要區別。

涉密網絡信息佈線的種類分為光纖佈線，屏蔽雙絞線STP、SFTP、FTP，非屏蔽雙絞線UTP。他們各有自己的特點。

光纖佈線主要特點是傳輸信息的速率和帶寬高，在規定的距離內支持1GBase－T和10GBase－T，是六類雙絞線4-40倍。線路無電磁輻射，不會產生信號泄漏，安全、保密。樓內佈線的垂直系統多采用多模光纖，水平佈線系統採用多模光纖建設光纖到桌面系統，一般是信息傳輸量非常大，要求帶寬和速度很高，要求信息保密的建設者才會採用。投資方面，儘管光纖的價格大幅度下降，每米20-30元，但其配套的光接插件、配線架價格較高，從網絡建設的整體投資看，造價是採用六類雙絞線做鏈路的網絡的兩倍。因此建設者如何選擇，應視工作需求和資金情況確定，決不可追求過量超前而造成投資浪費。

屏蔽雙絞線STP、SFTP、FTP、與非屏蔽雙絞線UTP，六類標準帶寬可達到200MZH，速率達到250Mpbs。兩者均有防電磁輻射和抗干擾的作用，是現在主要選用的佈線產品。屏蔽線的特點是抗干擾能力較非屏蔽線效果好，誤碼率低。兩者比較參數如下：

UTP電纜（無屏蔽層） 40dB；

FTP電纜（縱包鋁箔） 85 dB；

SFTP電纜（縱包鋁箔，加銅編制網） 90 dB；

STP電纜（每對芯線和電纜繞包鋁箔，加銅編制網） 98 dB。

在涉密網絡綜合佈線工程中選用FTP電纜（縱包鋁箔）較多，其造價比非屏蔽線高50%左右。

涉密網絡佈線工程的主要特點是，作為網絡鏈路的佈線，在傳輸信息號時保證沒有電磁輻射，或者是雖然存在電磁輻射但在非涉密佈線上產生的感應信號小於保密法規要求的規定值，以保證涉密信息不發生泄漏，從而阻斷涉密信息向外傳播的途徑。在實踐中，電信號無論怎樣處理，在長距離傳播過程中一定會產生電磁場，在這個電磁場中的線纜就產生感應信號，其強度與磁場強度、輻射源與被感應線的距離、感應線的長度直接相關。輻射源信號越強，頻率越高，產生的電磁場越強，線纜距輻射源越近，線纜越長，感應信號越強。輻射線與感應線平行佈設時感應度最大，兩線交叉時隨角度增大感應度減小，兩線垂直時感應度為零。為了減少線對間的串擾和干擾，在生產綜合佈線時從技術上採用兩線絞合的物理結構，會使電流產生的電磁場抵消一部分，起到一定的相互隔離作用，減小相互間的干擾，同一根線纜不同線對的串擾，有的產品還採取了改變絞距的製造工藝，增加對串擾信號的衰減。採取四對線整體屏蔽的生產工藝，又會提高四對線纜整體與其他線纜間的相互隔離效果。這些技術的應用無疑對減少串擾和干擾都產生了良好的作用，但是，串擾和干擾仍然存在，要保證一條線纜不在另一條線纜上產生感應信號，在工程中還必須採取綜合措施加以解決。涉密網絡的建設，除要求與非涉密網絡實行嚴格的物理隔離外，要求其佈線與非涉密網絡佈線保持規定的間距，獨立地線、獨立機櫃等。

涉密網絡佈線工程最主要的特點是，要求與其他網絡佈線、電話線保持規定的間距；與安防監控線、樓宇自控網絡線、消防報警線、廣播線、有線電視線、保持規定的間距；與電源線、暖通管道、消防管道同樣要求保持一定的間距。

我們建築智能化系統建設的指導思想是，“基礎建設立足長遠，應用系統滿足近期需要”。凡是與大樓裝修、配套設備安裝相關聯的系統都是基礎建設。如大樓的綜合佈線、佈線橋架、管道等都是基礎建設，這些系統一旦建成很難改變，因此要做到一次投資長期收益。作為基礎建設不僅要滿足現在的需要，還要考慮今後發展的需要。不僅要考慮非涉密網絡的需要，還要考慮涉密網絡需要。這就是我們所説的“基礎建設立足長遠”。 對應用系統來説，由於網絡技術發展迅速，市場價格變化也很大，對於超前的系統功能如果投資建設後不能在當時發揮作用，待能夠使用這部分超前的功能時，其造就已經大大降低，形成自動貶值，因此對應用系統不要過於追求超錢，能夠滿足5年左右的需求就可以了。

為了保證國家秘密的安全，建設業主和工程施工公司應當按照國家保密法規的具體技術要求實施，在實際實施中應注意以下幾個問題。

1、網絡的設計必須做到涉密網絡與非涉密網絡各自獨立，相互之間不允許通過任何設備和線路連接。在評標過程中發現一些公司設計的檢察專網方案，通過防火牆、漏洞掃描、入侵檢測等設備將涉密網絡與非涉密網絡連接在一起，這種做法是極端錯誤的。

2、涉密網絡佈線類型的選擇要根據工作需求、經濟勢力、樓內各種線路、管道總體佈設情況，分析間距與佈線材料類型的關係確定。涉密網絡佈線採用光纖，與其他佈線之間不需要間距；涉密網絡佈線採用屏蔽線，非涉密網絡（包括電話線）採用非屏蔽線，要求有較小的規定間距；涉密網絡與非涉密網絡均採用非屏蔽佈線，要求兩者保持較大的規定間距。從工程實踐來看，兩者均採用非屏蔽佈線，雖然成本較低，但是在大樓的走廊內安裝難以達到規定間距。涉密網絡採用屏蔽線，非涉密網絡採用非屏蔽線，其間距比較容易實現，投資也不會增加太多。工程實踐中採用這種方案的比實惠，有利於推廣建設。

3、工程設計和施工應注意的問題：1橋架、管道是基礎建設，一旦建設完成，它與配套安裝系統的暖通風管、水管、消防水管、電源線管的相對安裝位置就是確定的，任何一個系統位置的改變其他位置都要改變，工程量非常之大。所以要改變佈線橋架的規格和位置幾乎是不可能，除非大樓整體改造。因此橋架的建設必須貫徹“立足長遠”的建設思想，做到一次投資長期受益。在具體的施工設計時應注意下列問題：一是橋架的規格。按照綜合佈線施工規範，其空間的利用率為50%，由於佈線存在彎曲和交差重疊，50%的佈線量，空間佔有量能達到70%，實際餘量僅有30%。因此在實際應用時餘量要大一些，保證以後的發展需要；二是橋架的安裝位置。涉密網絡佈線橋架只能鋪設涉密網絡佈線，另設一副橋架用於鋪設非涉密網絡佈線和其他專業佈線。嚴緊兩類線混合鋪設在同一橋架中。橋架之間的距離就是涉密與非涉密佈線的間距；三是橋架從弱電間進入走廊，從走廊橋架引金屬管到信息插座，都要保持規定的間距。2、佈線長度的計算是從配線間到信息點的全長距離。在實踐中有人只計算線纜在橋架的長度，不計算進入房間的線長，這是錯誤的。道理很簡單，凡是兩線平行鋪設，就會產生相互感應，平行走向越長感應信號越強。3、橋架表面處理，選擇鍍鋅好於噴塑、噴漆。由於佈線橋架是由直槽、彎頭、四通、三通利用連板連接安裝成一副完整的產品，表面處理採用噴塑或噴漆的產品，它的接頭連接是絕緣的，僅靠跨接線做電氣連接；橋架的蓋板與槽體接觸存在絕緣層，因此產生的屏蔽效果和接地效果較差。採用表面鍍鋅處理的橋架，由於表面是良好的導電材料，防鏽效果好，安裝成完整的產品形成了一個全封閉的屏蔽槽，整體屏蔽效果好，接地電阻小。兩種產品造價無大差別。因此應選擇表面鍍鋅處理的橋架。

還應當注意的是，橋架雖然有屏蔽作用，但是其屏蔽指標是不確定點，國家標準中沒有對產品本身規定屏蔽指標。因此在實際應用中，不能把它認定為屏蔽體，作為保密法規規定的屏蔽材料，只能做為加強屏蔽和隔離效果的一種規範以外的技術輔助手段，提高屏蔽效果。也就是説，不能用橋架代替屏蔽佈線。4、橋架要求接地，以保障橋架的屏蔽與隔離發揮作用。但不能把橋架作為接地線使用。5、佈線管道應採用金屬管，不能採用塑料管材。按照施工建設規範的要求，裸露安裝和吊頂安裝線管必須採用金屬管。進入室內的管線一般採用吊頂上懸空安裝和立面牆預埋相結合的方法施工，因此從施工規範來説應選用金屬管，從提高屏蔽隔離效果來説也應選擇金屬管。採用金屬管作為穿線管時，接頭一定要做垮接線，使其全線接地，起到屏蔽作用。6、信息點與預埋盒應的選擇。採用光纖佈線和屏蔽佈線，一般情況下一個86×86面板只能設計2個信息點。由於屏蔽佈線的線經和硬度較非屏蔽線稍大，工程施工要求有5－10CM餘量，加之屏蔽模塊尾部較長，佔空間多，因此要求預埋盒有足夠的空間。一般按照一個面板安裝2個信息點較合適。預埋盒要求採用86×86×60的金屬盒。如果深度不夠，加大了施工難度，同時也難以保證線纜有足夠的餘量，對以後的維護極為不利。7、涉密網絡採用屏蔽佈線時要保證有良好的獨立的接地。涉密網絡本身要求接地獨立，因此要求綜合佈線的屏蔽接地必須與其他網絡接地分設。即接地點從聯合接地體上獨立引到各樓層弱電間做為涉密網絡的獨立接地線。屏蔽層接地分為一端接地和兩端接地。一端接地只在弱電間一端接地，兩端接地時，另一端在信息點用户盒處接地，兩端接同一接地點，且屏蔽層連續。若存在兩個接地體，其接地電位差不應大於1VR.M.S。（有效值）。這是屏蔽系統的綜合性要求，否則接地線形成閉環，不但不能屏蔽信號，反而使屏蔽護套變成了輻射體，減弱了屏蔽效果。屏蔽接地電阻要求，獨立接地體電阻小於1Ω，聯合接地體電阻小於4Ω。8、涉密網絡佈線與電源線施工時要保持足夠的間距 ^[2]  。