海上编队信息系统的分等级安全防护体系

杨露菁，郝 威，卢 炜

(1.海军工程大学电子工程学院，湖北 武汉 430033;2.91278部队，辽宁 旅顺 116041)

未来海上编队作战对各类信息系统的依赖性越来越强，信息系统也将成为敌对双方攻击的重点。编队信息系统安全与否直接关系到编队指挥控制信息的安全可靠和编队信息化主战武器的性能发挥，进而影响到编队整体作战能力。因此，增强编队信息系统的安全防护能力，是确保系统稳定可靠和安全的基本目标。海上编队信息系统信息安全方面既存在内部安全漏洞，又面临外部敌人的恶意攻击;此外海上编队信息系统对外联络以无线通信为主，无线通信固有的脆弱性与计算机安全的脆弱性叠加，使其信息安全与保密的漏洞成级数增长［1］。

海上编队信息系统安全问题是一个系统工程。首先须从系统体系结构上进行整体考虑。近年来，信息系统安全防御发展趋势已由传统的边界防御转化为深度防御，既重视纵深防御又加强广度防御。美国国家安全局于2000年9月发布的IATF(信息保障技术框架)在理论上描绘了保障信息安全所必须的“保护、检测、反应、恢复”四个动态反馈环节，以及该系统中硬件和软件部件的安全要求［2-3］。

1 信息系统安全等级保护思想

等级保护是指对信息网络和信息系统按照其重要程度及实际安全需求，合理投入，分级保护，分类指导、分阶段实施，以保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力。安全需求是进行信息系统安全设计的基本依据，分等级保护则是实现信息系统安全保护的有效方法。沈昌祥院士认为，在信息安全保障体系建设中，等级保护、风险评估、应急处理和灾难恢复是4个主要环节，它们对等于P.D.R.R(即Protection防护、Detection检测、Response响应、Recovery恢复)模型的各要素［4-5］。

为了对信息系统实施等级保护，国内外先后出台了一系列的标准，主要依据信息系统及其所载信息的重要性和影响，制定了信息系统的安全防护等级。1985年，美国发布《可信计算机系统评估准则》(TCSEC);1990年，欧洲发布《信息技术安全评估准则》(ITSEC);1996年，欧美6国7方制定《信息技术安全共同评估准则》;2002年，美国制定《联邦信息安全管理法案》(FISMA)。国内最早关于等级保护的标准是1999年出台的《计算机信息系统安全等级划分准则》(GB17859－1999)，2006年又出台了操作系统、数据库、网络等5套安全标准，2007年制定了《定级指南》、《等级保护基本要求》、《测评办法》、《等级保护实施办法》等标准，这些标准对于等级保护工作的指导作用是不言而喻的［6-9］。

海上编队信息系统构成要素众多，组成关系复杂，编队内外信息交互频繁，是一个复杂的信息系统，其信息系统的构建应满足高安全等级技术保护，即满足国家信息安全等级保护三级以上的系统保护要求:监督检查级(三级)涉及到重要性信息的系统，要具有抵御来自外部有组织恶意攻击的能力和防止内部人员攻击的能力，不仅对安全事件要有审计纪录，还要能追踪、能响应处理，要实现多重保护制度;强制监督检查级(四级)要有能抵御来自敌对组织大规模攻击的能力和防止内部人员内外勾结的恶意攻击的能力，应全面审计违规行为，同时需要及时报警和应急处理。

对于一个大规模的复杂信息系统，首先应对信息系统进行区域划分，确定各区域的安全等级，在此基础上构建信息系统的安全保障体系，这样就可以将等级化方法和安全体系方法有效结合，从而系统地解决大型信息系统的安全问题。本文按照信息系统安全等级保护的思想对编队信息系统进行区域划分，将大规模复杂系统的安全问题分解为更小区域的安全问题，并确定各个区域的安全风险等级，根据所划分的安全域及其安全等级决定所采用的安全技术和安全机制，最终构建海上编队信息系统的分等级安全防护体系，实现分区域、分等级的有层次、有重点的保护。

2 编队信息系统的安全域划分

安全域是一个逻辑范围或区域，同一安全域中的信息资产具有相同或相近的安全属性，如安全级别、安全威胁、安全弱点、风险等。同一安全域内的系统具有相同的安全防护需求，相互信任，并具有相同的安全访问控制和边界控制策略，且相同的网络安全域共享一样的安全策略。安全域的划分，就是将系统从安全角度划分成不同的区域，以便实行分门别类的处理。通过在应用层、网络层和系统层面安全域的划分，将业务系统、安全技术有机结合，形成完整的防护体系，这样既可以对同一安全域内的系统进行统一规范的保护，又可以限制系统风险在网内的任意扩散，从而有效控制安全事件和安全风险的传播［10］。

海上编队信息系统由其下属各作战平台的局域网络互联而成，对外同海军岸基指挥所、总部机关的指挥控制网络互联，在多军兵种协同作战时，还要同其他军兵种的战术网络互联。这些网络可能高度异构且涉密程度高，因此，如何合理地界定这些网络的各个安全域，确定每个安全域所需的安全防护等级，是实施编队信息系统分等级安全防护的基础。

2.1 安全域划分基本原则

安全域划分是安全工作的基础。结合编队信息系统的网络状况、业务要求和安全需求，给出编队信息系统安全域划分原则。

1)业务保障原则 安全域划分的根本目的是能够更好地保障信息系统上承载的业务。既保障网络安全，还要保障业务正常运行且运行效率不低。

2)结构简化原则 安全域划分的直接目的和效果是要将编队信息系统变得更加简单，以便于设计防护体系。安全域划分并不是粒度越细越好，安全域数量过多过杂会导致管理过于复杂和困难。

3)等级保护原则 即共同的安全需求原则，安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境和安全策略等。

4)对端可信度原则 由于对端系统的开放性、可控性等方面各不相同，可信度也有明显的区别。互连系统的对端可信度是衡量安全威胁的参考依据，是确立安全等级的基础。业务支撑系统与不同威胁等级、不同可信度的系统互连时，面对的威胁是不同的。

5)安全最大化原则 针对海上编队信息系统的各个业务系统可能跨越多个安全域的情况，对业务系统的安全防护必须要使该系统在全局上达到要求的安全等级，即实现安全的最大化防护，同时满足多个安全域的保护策略。

2.2 信息安全域划分

对于一个复杂的信息系统，区域的划分应以数据信息分类为基础，并根据应用系统业务处理的需要和同类数据信息的流动范围确定。最理想的区域划分是相同安全保护的数据信息在同一个域中实现存储、传输和处理。根据数据分类和分布，分区域、分等级保护，即按照数据分布进行区域划分，按照数据分类进行分级，根据区域中数据的分类确定该区域的安全风险等级。

针对编队信息系统的实际使用情况，本文确定按照业务系统来划分安全域，将其分为安全用户域、安全网络域、边界接入域。根据该安全域存储、计算、处理、发送、接收的数据类型、信息重要程度确定该安全域的安全保护等级。

安全用户域是信息系统中由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。编队信息系统中包含大量的业务系统，根据各自的网络系统的属性和功能不同，物理上可分为基于IP的应用业务网络、面向电路交换的应用业务系统、面向无线通信的业务系统等。其安全用户域的划分应由指挥参谋人员所能访问的计算域中的数据信息类和计算机所处的物理位置来确定。安全用户域应有明确的边界，以便于进行保护。

安全网络域是连接安全用户域与安全用户域之间的网络系统组成的区域。编队信息系统中舰艇内部通常包括信息传输网络，舰上各个业务分系统以及管理系统、舰外通信系统进来的所有数据均在此传输，作为全舰各种业务公共的信息传输平台，它应支持各种业务的不同安全隔离需求和受控下的信息共享。

编队信息系统对外联络方式分无线接入与近岸有线接入两种。无线接入包括短波、超短波、数据链、卫星通信等。舰艇进港、靠岸时，可通过岸基通信网络接入系统与岸基信息网络连接。可将它们划分为若干个边界接入域。

各个安全域又可划分为一个个相对独立的安全子域，不同的安全域、安全子域传输的信息的内容、格式、重要程度不同，每个安全子域又由若干分布在不同区域的终端组成。安全域的划分，可以更好地体现编队信息系统的业务和网络特征，也有利于对整个信息系统进行系统规范、有效地安全规划和防护。

3 基于等级保护的安全防护体系结构

分级保护的原则是针对划定的每个安全域和安全子域来标识其中的信息资产价值，将其转化为受保护等级，分析所存在的安全隐患和面临的安全风险，然后给出相应的保护措施。受保护等级越高，需要的安全防护措施就越完善。

根据深度防御策略，在横向上将编队信息系统划分为安全用户域、安全网络域、边界接入域。在纵向上按照分级保护与管理的原则，参照军队信息保密具体情况，将各个安全域划分为从低到高，1－4个不同等级的安全域，相应设置四种防护标准，实施不同级别的安全防护。

由于编队信息系统各个安全域内包含大量通用化、智能化的业务终端，因此，具有操作系统的通用漏洞，即面临蠕虫、非授权访问和滥用、内部人员抵赖等安全威胁;而安全域间信息传输存在如下威胁:网络传输泄密、黑客攻击、恶意代码、非授权接入等;边界接入域还面临着敌方接入和窃听的安全威胁。因此需要分别在内通的网络侧和终端侧进行安全防护。由于安全设备的多样性和复杂性，必须进行统一的安全管理以提升防护效能和减少管理员负担，因此部署一个安全管理中心。

综上所述，编队信息系统安全防护体系集成了各种安全防护设备和安全管理设备，以安全管理为主线，网络边界安全、内部通信安全和终端/服务器安全相结合，构成完整高效的“三道防线，一个中心”协同安全防护体系，如图1所示，以便实施多层隔离和保护，防止某薄弱环节影响整体安全。即每个安全域设置三道防线，分别为:安全域间边界全防护、安全域内部通信全防护、安全域内部终端全防护，其中心是安全管理中心。具体的防护概要图如图2所示，其边界安全防护设备可采用:网络防火墙系统，实现IP层的“包过滤”和访问控制功能;安全隔离网关，实现应用层的“报文过滤”功能;网络入侵检测系统，通过“端口镜像”实现对局域网内容流程的监控和监测功能。边界防护的主要技术手段有:认证授权、访问控制、入侵检测、安全审计、防火墙、虚拟专用网(VPN)等。不同安全域具有不同的安全级别和使用要求，因此针对不同级别的安全域提供不同级别的安全防护。

图1 “三道防线，一个中心”的安全防护体系

图2 编队信息系统安全防护概要图

第一道防线为安全域间边界防护。由于不同安全域具有不同的安全防护等级，因此安全域间的边界安全防护是不同安全域之间的守护神，也是不同安全等级区域的桥梁。防护好安全域的边界，有效控制安全域与外部的连接和信息交换，是保护编队信息系统安全的重要一环。通过基于安全隔离的受控交换机制可为网间访问提供安全保障，防止越权访问和网络入侵，保障跨域安全。

第二道防线为安全域内部通信防护。海上编队信息系统的每个安全域内部是功能相对独立的情报、指挥、控制、通信、监视、侦察等业务系统。内部人员的窃密、破坏或误操作都可能严重威胁编队信息系统的安全。编队信息系统的内部台位人员，为了从编队外部获取有用的信息或更新必要的软件和数据，必然要通过网络、数据线、存储介质等途径接收程序或数据，这个连通性把编队系统暴露在来自其外部的计算机病毒、敌对势力暗中传播的间谍软件的攻击之下。因此，安全域内部通信防护也是重要一环。

第三道防线为安全域内部终端防护。编队信息系统中主要的应用业务系统是基于IP的，其安全域内计算机终端和用户数量较多，终端安全防护包括计算机终端/服务器安全防护，防止非法使用系统中的计算机终端以及计算机终端中的信息泄露。通过主机监控、登录控制、注册表保护、行为审计、防病毒、主机入侵检测和网络扫描等多种安全防护机制，可以为计算机终端和服务器提供主机安全防护，防止终端非法操作，防止网络病毒和主机入侵，阻断非法终端入网访问。

4 结束语

本文基于安全等级保护、主动防御和深度防御思想，确定了海上编队信息系统安全域划分原则，构建了安全防护体系结构，为未来编队信息系统的分等级安全防护提供了指导和依据。基于此，可进一步研究安全防护策略、技术，从而为增强编队信息系统的安全防护能力，确保系统稳定可靠和安全，作战指挥顺畅和信息安全，为诸兵力协同作战时信息保密共享、信息综合安全利用、武器可靠共用奠定基础。

［1］聂玉宝，陈双平.海军军事信息安全保障［M］.北京:海潮出版社，2008.

［2］Keller J.The Importance of Military Information Security［J］.Military ＆ Aerospace Electronics，2007，18(10):1-6.

［3］Kadam A W.Information Security:A defensive Battle［J］.Information Systems Security，2007，16(5):246-256.

［4］李雪，崔光耀，白洁，等.等级保护，信息安全的一张王牌［J］.信息安全与通信保密，2007(11):9-17.

［5］沈昌祥.基于可信平台构筑积极防御的信息安全保障框架［J］.信息安全与通信保密，2004(9):17-19.

［6］中国标准出版社第四编辑室.信息安全标准汇编信息安全测评卷［M］.北京:中国标准出版社，2008:424-433，380-381，382.

［7］中国信息安全测评中心.信息安全积极防御技术［M］.北京:航空工业出版社，2009:3-10.

［8］Peltier T R.Implementing an Information Security Awareness Program［J］.Information Systems Security，2005，14(2):37-48.

［9］Malin A.Designing Networks That Inforce Information Security Policies［J］.Information Systems Security，2007，16(1):47-53.

［10］王振东.军事信息网络安全防御系统的设计与实现［D］.长春:吉林大学，2008.