军工信息网络安全分析与思考

方忆平/文

信息网络系统的安全，是指信息系统的利益主体，能够依靠自身的能力，对信息系统进行全过程的设计、构建、研制生产和调整，同时能够完全掌握且能改变整个系统的运行状态，显性和隐性地调整其功能状态。

近年来世界各大国围绕网络空间和数据资源展开战略竞争，爆发的重大网络安全事件呈现出国家级、体系化对抗的特征，对抗强度不断加剧，攻防能力双向提升。军工是国家安全的脊梁，坚持创新发展，努力把军工领域信息网络系统发展安全的主动权牢牢掌握在自己手中是摆在我们面前的一项紧迫的战略任务。深入思考军工信息系统在推进实施中存在的实际问题，探索有效的网络安全应对策略，对我国军工乃至国家安全和社会经济发展具有重要的现实意义。

国内信息产业的现状

硬件和基础软件方面。目前我国完全独立自主开发的软硬件不多，大部分被西方发达国家主导。操作系统被美国微软控制，电脑芯片由英特尔公司垄断，苹果公司主导平板电脑，服务器由多个国外品牌控制，ICANN 控制因特网名称和数字地址分配，Oracle 占领数据库领域等。目前国内自主开发的操作系统主要有中国操作系统(COS)、银河麒麟、Yunos、同洲960、鸿蒙等，均基于Linux 研发。服务器和PC 机中，出现了宝德PowerLeader、中科曙光Sugon、华为、华硕、浪潮inspur、联想等，但具有明显的组装特征。华为公司研发的5G 网络设备异军突起，成为世界网络设备的领跑者；蚂蚁金融服务集团自主研发的分布式关系数据库OceanBase，打破了数据库基准性能测试的世界纪录，从2017 年开始服务于银行、保险等金融机构，保障了我国数亿人能够随时随地网购、移动支付。

应用系统方面。我国是信息化应用系统开发大国，应用系统涉及方方面面，取得了重大进展，支撑着国民经济和社会发展的各个领域。如空管（ATC）系统，是集通信、导航、监视、计算机等多种高技术于一体的大型信息处理网络系统，经过40 年的顽强拼搏，南京莱斯信息技术股份有限公司和川大智胜公司等分别自主研制的ATC 系统已取得成功，在全国占据了约70%的市场份额。但由于国产应用系统开发起步总体上晚于欧美发达国家，各种技术标准均由西方大国制定，我国信息应用系统研制周期普遍较长，应变能力不够，存在用户体验感不强等情况。同时应用软件系统都基于Linux、Windows、Oracle 等开发，这些基础软件分支和版本多，导致国产基础应用软硬件适配存在困难等。按照市场经济的规律，组织系统开发团队，开发适用性较强的综合应用系统的经验还不足。

我国军工正在由机械化向信息化转型，数字化管理和生产走在全社会的前列，但产品全寿命周期各个环节的数字化、管理的网络化有待加强，既有脱节的问题，也存在薄弱之处。同时，军工信息系统因涉密是相对自我封闭的系统，其开发尚未充分发挥市场在资源配置中的优势作用。

网络安全的形势

由于核心电子器件、高端通用芯片及基础软件产品受制于人，国内开发应用系统薄弱，境内外各种信息安全威胁以及基于互联网协议IPV4、IPV6（Internet Protocol Version）等因素影响，我国网络安全面临严峻的挑战。一是信息安全威胁日益升级，各种形式的网络攻击、黑客入侵、恶意代码、安全漏洞层出不穷。据国家互联网应急中心的报告，每月我国境内感染网络病毒的终端均在百万个以上，数千万用户感染移动互联网恶意程序，政府网站被篡改事件有增无减。二是新兴技术应用带来了新的挑战，随着大数据、虚拟化、云计算以及互联网技术的快速发展，信息资源利用、挖掘以及开发等方面发生了重大变革，震网蠕虫、电子监听（棱镜计划）、勒索软件等对关键信息基础设施、数据、个人信息安全构成严重侵害，网络安全呈现出多样化、复杂化的特点。我中心对军工行业管理机构外网运行情况监测显示，每月经常短时间内连续受到DDOS（分布式拒绝服务）等攻击，以期瘫痪网站，但均被我方有效化解，显然网络新技术对抗在激烈加剧中。

《2019 年网民网络安全感满意度调查活动总报告》披露，我国网民认为网络安全的占51.25%，比去年提升了12.91 个百分点。《国家信息化发展战略纲要》指出，2015 年，我国信息消费总额达到3.2万亿元，互联网国际出口带宽达到5.39 太比特/秒（Tbps)。2020 年，信息消费总额将达到6 万亿元，出口带宽达到20 太比特/秒（Tbps)。这充分说明我国信息网络的高速发展。信息网络越高速发展，网络风险和安全压力也就越大。

目前军工单位信息网络安全建设基本延续着合规性检查、检测的常规思路，网络防护主要采用防火墙、入侵检测、防病毒等传统安全手段，云计算、大数据等新技术领域的安全防护手段应用不多，以被动、静态防护为主，缺乏主动、动态的常态化防护。互联网入口敏感信息管控能力弱，没有从全局角度实现能力调动和联动，检测回溯、取证分析等高标准内部防控水平不高，人才队伍在数量上、能力上也有不足。

加强军工信息化网络安全的措施与建议

贯彻法规，明确目标、落实责任。国家高度重视信息网络安全，《中华人民共和国网络安全法》《国家网络空间安全战略》《信息安全技术 网络安全等级保护基本要求》先后颁布，《关键信息基础设施安全保护条例》多次公开征求意见，有望近期出台。军工系统是网络安全的重点领域，要有更高的标准和责任贯彻落实网络安全法规。一是要根据法规，对各单位网络安全规定及细则进行修改完善提高，对现有和正在新建的网络体系进行安全评估，积极、主动贯彻法规。二是要明确构建先进完备的军工行业网络安全体系的目标，创新构建网络安全管控体系，建设全程覆盖的多级保密监管架构，实现对信息、流程、资产等多个维度的监管能力，保障网络安全整体效果。三是要强化、压实网络安全责任制，深化整体、动态、开放、相对、共同的网络安全理念。四是要健全人才培养体系，建立高水平的网络安全人才队伍。

加快关键技术研发，优化应用系统，建立网络安全技术制度体系。我国进口信息产品数量大，短期内还难以完全实现自主产品的规模化替代，要加快自主网络安全关键技术的研发、推广应用，着力提升态势感知、隐患排查、应急处置、追踪溯源等技术能力。经过实施自主软硬件示范应用项目，我国已形成局部的自主软硬件技术和产业链，后续可采取“应用牵引、系统优化、形成体系”的措施建立技术产业基地，以用户体验为中心，不断进行系统优化，并在一些特定的应用领域率先取得突破。要统一行业标准，解决国产基础软硬件在应用适配中的问题，明确各产品的外部接口和相关软件层的接口规范，提高软硬件之间的兼容性。

在评价应用系统成果指标上，军工领域特别要强化安全可控指标，同时在强调市场效益和技术先进性时，既共享技术，又不依赖他人成果，以实现自主创新和安全可控的初心和使命。

军工单位的数据具有多源异构的特点，一般均有涉密网、非密网、工控网等，其网络架构、管理、运维方式均不同，因此，军工单位的网络安全技术制度体系要有其特点。一是要切实解决业务应用与网络安全之间的深入融合问题，持续推进涉密网安全保密监管，强化同态加密、区块链等技术在军工密码领域的开发与应用。二是要大力推进非密网整体保障，创新推进工控网智联融防护体系和稳步推进安全虚拟化办公平台建设。三是要着力提升风险评估、态势感知与威胁情报分析等网络安全防御能力，始终加强互联网网站智能监测预警与事件应急处置工作，着眼识别、检测、预警、响应、处置等环节，做到监测预警信息及时，事后处置方案适宜，管控能力覆盖，形成“看得见、防得了、管得住”的网络安全技术体系。

对于涉密内容，应尽量将其分类、分解成为不涉密的技术问题，进行研究、开发、总结、归纳；对于无法分解的涉密内容，建立涉密专用知识库，与非密知识库进行物理隔离。

建立相互支持又相互依赖的网络安全知识产权体系。网络安全的本质是技术对抗，军工系统要加强5G、工业互联网、大数据、云计算和物联网的应用安全技术标准研究，主动应对新技术与装备科研生产深度融合伴生的新风险、新挑战。要建立能跟国际信息集团既相互支持又相互依赖的知识产权体系。我国自主开发的IPV9 是对新一代网络的积极探索，在命名与寻址技术、源地址认证技术方面取得了突破，可以在一定时期与基于IPV4、IPV6 技术的因特网共存，是有利于既有网络安全过渡到未来网络的桥梁，为构建我国自有主权的网络提供了全新的技术方案。多年来，许多科研院所、企业参与到军工网络安全的技术研发和产品生产中，相继取得了一批重大成果。即便如此，建立网络安全知识产权体系必然是一个长期探索和适应的过程，需要坚忍不拔地努力开拓，久久为功。