自主可控指挥信息系统的设计与实现

李智 来嘉哲 肖斌

我国的许多关键信息系统,如金融、电信、能源、交通、国防等关乎国家命脉的系统领域,对国外的软硬件平台存在长期依赖性,绝大部分业务运行在国外主机系统之上,其中系统和数据不可控的问题非常突出,信息安全面临着严重威胁.据统计,截至2012年,中国被境外控制的计算机就达1420余万台,其中涉及金融、交通、能源等多个关系国计民生的关键部门.2013年6月美国“棱镜”等互联网监视项目曝光,给我国信息安全问题敲响了警钟.反思自身存在的问题,进而不断改进,以扭转我信息安全被动局面已刻不容缓.

指挥信息系统是信息化战争中最基本的物质基础[1],在军队建设和作战中具有非常重要的地位和作用.在平时,指挥信息系统是军队转型发展的“催化剂”,是建设核心;在战时,指挥信息系统是体系作战的“黏合剂”,是战斗力的“倍增器”,因此指挥信息系统的安全问题至关重要.

解决我国信息安全问题的根本在于实现核心技术和产品的独立自主,中国工程院倪光南院士认为“如果不是自主可控,就不可能安全”.在信息化战争已成为基本形态的今天,我们必须积极进行自主创新,力推软硬件国产化工作,努力实现我军指挥信息系统核心技术“自主可控”,从根本上为我军指挥信息系统安全问题的解决夯实基础.

1 自主可控试验指挥信息系统总体设计结构

1.1 系统总体结构

从指挥控制的“OODA”基本模型来看,指挥信息系统通常都具有信息收集、信息传输、信息处理、辅助决策、指挥控制、安全防护等基本功能.但对于具体的指挥信息系统,因其具有特定的任务目标和应用领域,因而具备不同的具体而微的功能.

根据系统应用领域和军事需求分析,按照自顶而下、模块化思想,设计了本文所研究的自主可控指挥信息系统,包含平台、数据库、业务支撑与服务及指挥业务4层,其总体软件体系框架如图1所示.

图1 指挥信息系统的软件体系结构

1.2 功能体系

从功能体系上,可指挥信息系统以分为平台层、数据库层、业务支撑与服务层和指挥业务层4个层面.

1.2.1 平台层

平台层为指挥信息系统中其他软件提供基础运行和安全防护环境,主要包括中标麒麟操作系统、人大金仓数据库管理系统、WPS字处理系统,以及容灾备份系统、主机管控系统、内网管控系统和防病毒系统.

1)中标麒麟操作系统.操作系统是所有软件的基础,中标麒麟操作系统作为一款具有自主知识产权的国产操作系统产品,支持主流的硬件平台和应用软件,具有高安全、高性能、高可靠、部署灵活的特点,支持多种国产CPU和国产基础软件,已成功应用于国防、政府、电信、金融、电力、邮政、教育、大型企业等众多领域.目前在国家“863”计划重大专项、国家“核高基”重大科技专项和国家发改委产业化专项推动下,正在作进一步的推广应用.

2)人大金仓数据库管理系统KingbaseES.数据库管理系统是信息系统的数据管理的基础.目前国产的数据库管理系统主要有人大金仓、神通和达梦,基本解决了关系数据库管理系统和数据管理监控中心中数据处理的关键技术,可替代ORACLE等大型通用关系型数据库.

选用人大金仓的KingbaseES产品,主要是考虑到该软件具有大型通用、“三高”(高可靠、高性能、高安全)、“两易”(易管理、易使用)、运行稳定等特点,广泛支持业内主流中间件和其他应用,是国内首家通过公安部安全四级认证的数据库产品.

3)WPS Office.指挥信息系统中要涉及到大量的文档操作,需要Office软件的支持.系统采用了金山办公软件推出的WPS Office,该软件能运行在Kylin操作系统平台上,具备了文字处理软件的大部分功能,应用XML数据交换技术,无障碍兼容doc、xls、ppt等传统文件格式,同时提供了二次开发接口.

4)容灾备份系统.考虑到指挥信息系统的高可用性,采用了国产的容灾备份系统.主要是支持整机系统及关键数据的在线、实时备份与恢复,可实现对指挥信息系统关键节点、数据的有效保护,有效提高系统可用性.

5)主机管控、内网管控和防病毒系统.需要为指挥信息系统的安全运行提供有效保护.主机管控系统可有效监管节点机I/O设备(如USB、光驱)的使用权限,有效保护指挥信息系统数据的访问安全;内网管控系统可实现对指挥信息系统内用户节点的监控,防止非法节点接入指挥信息系统;防病毒系统可保护指挥信息系统不受病毒侵袭.

1.2.2 数据库层

数据库层采用KingbaseES构建,实现系统运行期间部队、装备、武器、后勤保障,以及计划、命令、业务等各类数据的存储和访问,为指挥控制、辅助决策、态势显示等业务功能提供数据支持.

1.2.3 业务支撑与服务层

为实现指挥信息系统中信息收集、信息处理、辅助决策、指挥控制等业务功能提供基础支持.

1)时统代理.为指挥信息系统运行提供时间(作战时间和天文时间)统一服务支持,以保证指挥信息系统各节点步调协调一致.

2)要图标绘.提供标绘服务支持,即利用军标符号,将敌我双方的兵力部署、重要目标等信息标绘在电子地图上,直观展示当前战场态势.

3)数据存储与管理.提供指挥信息系统初始和运行数据的统一存储与管理.

4)集成框架.将运行在某节点上的各软件集成在一个统一的用户界面下.

1.2.4 指挥业务层

指挥业务层包含情报综合、信息共享、威胁分析、业务作业、态势显示等30余个软件配置项,并按照指挥流程要求,分别部署在各级指挥所,实现指挥信息系统所要求的信息收集、信息传输、信息处理、辅助决策、指挥控制等基本功能.

1)信息收集.主要包括情报综合、战场保障分析等软件配置项,完成所需火力单元、部队、目标信息,以及气象、后勤装备等战场保障信息的收集功能.

2)信息传递.主要包括数据交换、信息共享等软件配置项,按照规定的协议,实现火力单元、部队、指挥所之间的信息交换.

3)信息处理.各功能软件配置项,如业务作业、威胁分析等,通过数据存储与管理、KingbaseES所提供的接口,完成相关业务数据的存储与访问;态势显示、指挥信息综合显示等配置项实现战场态势、指挥活动事件等信息的综合显示.

4)辅助决策.主要包括威胁分析、能力分析、任务规划等软件配置项,实现目标选择、火力单元分配等辅助决策分析.

5)指挥控制.主要包括业务作业、计划生成等软件配置项,展示任务进程,生成作战计划和部队行动计划,支持对任务的指挥控制.

2 自主可控指挥信息系统实现

按照自主可控要求,指挥信息系统完全采用自主可控平台和技术构建,为系统的安全运行夯实了基础,其总体技术体系结构如图2所示.

图2 指挥信息系统的技术体系

2.1 平台集成

系统集成是要将分散的各种因素或单位结合成为一个更加和谐的整体[2].指挥信息系统首先需要克服国产操作系统、数据库软件、字处理软件、防病毒等的兼容匹配问题,实现有效集成,使这些国产平台和谐运行.一是做好平台选型工作,在允许的范围内选择匹配性好的系统,二是做好指挥信息系统的测试工作,尽早发现问题,并协调力量集智攻关,尽快解决问题.最终,指挥信息系统有效解决了各系统平台间的匹配兼容(如字符集兼容、病毒误查杀、共享配置冲突、寻址空间兼容)等问题,实现了各国产平台的集成运行.

2.2 数据集成

数据集成的方法有很多,如数据仓库、联邦数据库等[3],考虑到数据交换的时效性和资源占用限制,指挥信息系统选用了中间件技术实现数据集成.指挥信息系统部署在多个异地指挥所内,为了保证部队、指挥所之间信息的及时、准确交换,指挥信息系统采用国产中间件系统,实现异地数据的有效集成,其基本工作原理如图3所示.

图3 信息共享中间件工作原理图

该数据集成中间件具有如下特点:

1)数据交换策略可定制,允许用户按需对数据交换的方向、内容、权限等进行配置;

2)可设置信息交换所占用的网络带宽,以保证信息交换时能最大限度地利用可用资源,同时,也避免过多占用资源而对其他信息交换造成影响;

3)能有效适应网络拓扑动态变化,适应指挥所频繁加入、退出的动态网络环境;

4)能实现断点续传.

数据集成中间件,综合考虑了数据交换需求、运行环境需求、稳定性要求等多方面的因素,有效地完成了指挥信息系统运行时的数据交换任务.

2.3 应用集成

指挥信息系统包含30余个功能软件配置项.这些功能配置项将按照任务需求,分别部署在不同的席位节点上.任务时,会出现多个配置项同时要求部署在一个节点上的情况,这为用户使用带来了一定的麻烦.为了有效整合这些配置项,易于用户使用,指挥信息系统自主研发了“配置框架”,基于XML技术,可配置实现不同功能配置项在该框架中的集成.用户通过框架提供的统一界面,可容易地在各功能配置项间切换,提高了指挥信息系统的界面友好性和部署的便捷性.

2.4 安全防护

信息安全是指挥信息系统建设的重要内容,主要从平台安全、数据安全、网络安全等角度进行了综合考虑.一是选用的麒麟操作系统、人大金仓数据库管理系统本身就应用了数据、用户、访问等方面的安全措施,具有相当好的安全性;二是选用主机管控系统,严格控制指挥信息系统中各节点的I/O访问行为,有效保护了节点数据不外泄;三是选用内网管控系统,实时监控网络中接入的节点,禁止非授权节点接入网络中,从网络层面上保护了系统信息安全;四是运用防病毒软件,保护指挥信息系统不受病毒攻击,保护系统安全运行.

指挥信息系统的实现完全采用了自主可控软件,摆脱了对国外软件系统和技术的依赖,为系统的信息安全问题提供了有效保障,为从根本上解决指挥信息系统的信息安全问题奠定了基础,实现了自主可控技术在我军的大型应用.同时,验证了基于自主可控技术实现指挥信息系统的可行性.

3 总结与展望

为了确保我国国家安全和战略利益,提高自身的信息安全,开展国产基础软硬件的研究和应用是必然之路.通过近20年的发展,国产软硬件的发展有了相当的规模和基础,已在国防、电力、电信等核心部门得到了相应的应用,实践证明是可以逐步替代国外的相关产品.

但是相对于国外主流软硬件产品在研发上的巨额投入,广泛的市场占有率和应用背景,国产基础软硬件在市场占有率、性能、稳定性、易用性、二次开发接口等方面还存在着相当的差距,因此在很多方面需要完善.下一步除需要提升国产基础软硬件自身的性能外,更需要着重加强安全可信方面的研究,从底层开始打牢信息安全的基础,以提高基于国产软硬件平台的信息系统的安全性.