保密技术防范常识20个“不得”之四

不得违规设置涉密计算机的口令
——保密技术防范常识20个“不得”之四

　　隐患分析
　　涉密计算机的口令如果设置不符合保密规定，很容易被破解。口令一旦被破解，破解者就可以冒充合法用户进入涉密计算机窃取信息。
　　实例举证
　　2002年8月，某涉密单位刘某，被境外情报机构策反，勾结该所工勤人员龙某，利用工作便利进入该单位保密要害部门、部位窃密。该单位涉密计算机大都没有设置口令，已设置的也不符合保密规定，给刘某、龙某以可乘之机。刘某、龙某窃取了大量涉密文件资料，出卖给境外情报机构，给国家安全利益造成重大损害。刘某、龙某的行为构成间谍罪，被依法判处死刑。该单位负有领导责任的人员也分别受到党纪政纪处分。
　　防范对策
　　涉密计算机应严格按照保密规定设置口令：处理秘密级信息的口令长度不少于8位，更换周期不超过1个月；处理机密级信息的应采用IC卡或USB Key与口令相结合的方式，且口令长度不少于4位；如仅使用口令方式，则长度不少于1 0位，更换周期不超过1个星期；设置口令时，要采用多种字符和数字混合编制。处理绝密级信息的应采用生理特征(如指纹、虹膜)等强身份鉴别方式。