■文/王晶岩
应对挑战完善我军信息安全保障体系
■文/王晶岩
随着科学技术的飞速发展和我军现代化建设的不断推进,计算机网络的应用范围迅速扩大,机关办公、作战指挥、视频会议等各类基于网络的信息系统大量出现,涉及的秘密信息也更加广泛,系统的安全控制和网络管理机制较弱,极易遭受攻击和非授权访问,给信息安全带来了极大的威胁。因此,提高信息安全保障能力,解决计算机网络系统的安全保密问题,对信息系统和秘密信息实施可靠的保护,已成为一项迫切需要解决的重大课题。
(一)不可漠视敌对势力的干扰和破坏
境外敌对势力对我军事信息网络的渗透一刻也没停止过。民族分裂势力、法轮功邪教组织、恐怖组织,也利用互联网进行煽动、渗透、组党结社等非法活动,甚至直接攻击我军的信息网络,利用网络黑客入侵计算机系统,破坏或窃取我政治信息,成为我军信息安全面临的严重隐患。
军内各种形式的广域网、局域网、内部专网发展迅速,各种网络应用层出不穷,网络系统越来越庞大,各种安全保密产品也不断的被附加到网络边界、用户终端和提供服务的应用系统上,由此带来的问题是病毒增大了传播和影响面,各种隐患和漏洞越来越容易被别有用心的人利用,令许多网络应用难以开放更多的服务,制约了军队信息化的发展进程。
(二)引进的技术设备存在安全隐患
目前,我军应用的信息技术,大部分是引进西方发达国家的,没有形成具有自主知识产权的核心技术。我们现在使用的计算机芯片、操作系统、协议、标准、先进密码技术和安全产品几乎被国外垄断。由于受技术水平限制,对从外国引进的关键信息设备中可能存在预做手脚的情况无从检测和排除,客观上造成了军事工作关键信息防护水准不高,存在安全隐患。例如,1998年有人发现微软的Windows系统中存在第二把密钥,即NASkey,在每一份系统中都安装了一个后门,专供美国国家安全局在需要时侵入全世界用户的电脑。据报载:美国仅凭在英国约克郡的军事基地安装的电子监控系统,就能将全世界4000万部手机、14亿台传真机、18亿台上网电脑处于监控之下。
(三)我军信息化重建设轻防护的现象普遍存在
为紧跟世界新军事变革潮流,加快我军信息化建设,这几年部队加大了资金和技术投入,大量的信息化装备配备到了部队,全军基本实现了网络连接。但是,不少单位忽视信息安全方面的建设,投入严重不足,也不注重安全产品的升级换代。许多涉密信息系统处于不设防状态,没有安装防病毒和防泄密等技术设备,或者即使采取措施也并不十分有效,这种重建设轻防护的现象,导致了我军信息系统的不安全因素。
党的十八大报告中提到要全面加强军队革命化现代化正规化建设,坚定不移把信息化作为军队现代化建设发展方向,推动信息化建设加速发展。习近平总书记更是指出,“没有网络安全,就没有国家安全;没有信息化,就没有现代化。”那么一个完整的信息安全保障体系应该由组织机构、管理体系和技术体系三方面构成。
(一)组织机构
信息安全保障组织机构可分为决策层、管理层和执行层三个层次。决策层负责分析军队信息安全需求,制定安全系统建设发展规划和信息安全防护重大事宜决策,由军队信息安全保密主管部门、军队信息系统建设、管理、运用单位和相关职能部门共同组成;管理层是隶属于决策层领导下的职能部门,根据决策机构的决心,全面规划并协调各方面力量实施信息系统的安全方案,制定、修改安全策略,处理安全事故;执行层是在管理层协调下具体履行某一个或某几个特定安全事务的一个工作实体,分布在信息系统的各个岗位上。
(二)管理体系
信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。法律管理是根据相关的国家与军队的法律、法规对军队信息系统主体及其与外界关联行为的规范和约束,具有对军队信息系统主体行为的强制性约束力,与安全有关的法律法规是军队信息系统安全的最高行为准则;制度管理是军队信息系统内部依据系统必要的安全需求制定的一系列内部规章制度,主要内容包括:安全管理和执行机构的行为规范,岗位设定及其操作规范,岗位人员的素质要求及行为规范,内部关系与外部关系的行为规范等;培训管理是确保军队信息系统安全的前提。培训管理的内容包括:法律法规培训、内部制度培训、岗位操作培训、普遍安全意识和与岗位相关的重点安全意识相结合的培训,业务素质与技能技巧培训等。培训的对象不仅仅是从事安全管理和业务的人员,几乎应包括军队信息系统有关的所有人员。
(三)技术体系
信息安全保障体系通常由边界防卫、入侵检测、安全反应和信息恢复等4个互相关联的环节组成。由于这四个环节的英文单词分别以P、D、R、R开头,因此该体系也被称为PDRR体系。边界防卫是指采用防火墙、线路加密和接人控制等措施,防止“敌方”或未授权人员以非法方式进人信息系统,是“御敌于国门之外”的安全技术,重点阻止诸如冒名顶替、线路窃听等试图“越界”的行为,相关的技术包括数据加密、数据完整性、数字签名、主体认证、访问控制和公证仲裁等。人侵检测是发现“敌方”渗透企图和入侵行为等过程。目的是尽早发现入侵行为,并予以防范。安全反应是将“敌方”攻击危害降低到最小限度的措施,常用手段包括物理阻断、漏洞修补、快速响应和组织必要的反击等措施。信息恢复是指信息系统被攻陷后迅速恢复原有信息的过程,目的是在信息系统遭到信
息攻击或精确打击破坏后,迅速恢复系统原有功能和信息的过程,制定信息系统的备份、替代方案,实施系统容错、容灾设计等都是实现信息恢复功能的有效手段。
(一)信息安全技术是具有对抗性的敏感技术。真正先进、核心的信息安全技术和产品是买不来的,信息安全技术含量高,更新快,开发投入高,难度大,如所有技术都靠军队自己研制是不现实的,也没有必要。因此,应将自主研究与合作研究结合起来,形成符台军队实际的良性研发机制,走低投入、高效益的跨越式发展道路。对于军民通用的技术和设备,应主要依托国家信息安全产业研发力量,采取公开招标、军品定货等造径解决。对于军队急需而又必须引进的国外先进技术和产品,引进后必须进行安全检测并予以技术改造;对于专用的核心技术和装备,要设立专项课题,组织军内外专家,集中力量联合攻关,尽快提升军队信息安全保密防护能力。
(二)信息安全技术研发必须突出重点。当前.应力争在以下三种技术上求得突破:一是能逐步改善信息安全状况的、带有普遍性的关键技本,如密码技术、鉴别技术、病毒防御技术、人侵检测技术等;二是创新性强、可发挥杠杆作用的突破性技术,如网络侦察技术、信息监测技术、风险管理技术、测试评估技术等;三是能形成“杀手锏”的战略性技术,如操作系统、密码专用芯片和安全处理器等。同时,还要树立大系统观念,着力解决军队信息安全技术的瓶颈问题,狠抓技术及系统的综合集成。
(三)应加强信息安全技术研发的规划管理。根据军队信息安全面临的形势任务,要抓紧研究制定全军信息安全技术发展战略和研发计划,将信息安全技术研究作为全军科研规划的重点项目,加强组织领导,加大资金投人,并确定长远日标、阶段目标和初始切人点,大力推动信息安全技术的发展。同时,应坚持科研、生产与应用相结台,将信息安全设备列入全军装备计划,设立专项经费予以保障,通过军内生产和社会定购等多种渠道,为部队提供系列化的装备保障。此外,还要完善测评认证机制,拓宽信息安全产品发布渠道.积极促进科研成果向战斗力转化,逐步形成具有军队特色的、先进可靠的信息安全保障体系。
(作者单位:65301部队自动化站)