軍工企業信息安全形勢及其應對

□王爭兒 李昊達

?

軍工企業信息安全形勢及其應對

□王爭兒 李昊達

信息技術高速發展，軍工企業迎來了新的機遇。企業的信息化建設為企業注入了新的活力，提升了企業的整體競爭力。但是，我們應該清醒的認識到，新的機遇必將帶來新的挑戰。隨著企業信息化的不斷深入，信息安全的形勢將越來越嚴峻。近來，各國發生的黑客破壞、病毒入侵、涉密信息泄露等事件層出不窮。網易過億數據泄露并導致連鎖反應的事件也為我們敲響了警鐘。如何確保信息安全，已經成為非常重要的課題，對于軍工企業，更應該把信息安全作為未來企業信息化建設的重中之重。

軍工企業信息安全現狀及存在問題

信息是用戶使用信息系統而產生的數據，存儲在硬件設備上，在網絡上傳輸，最終被特定用戶所獲取。信息安全就是指信息系統受到保護，硬件設備不因天災或人為而遭到損壞，數據也不受偶然或者惡意的原因而遭受篡改、竊取和泄露，軟件正常提供服務，系統連續可靠正常的運行。

硬件設備及基礎設施。硬件設備和基礎設施是信息系統賴以生存的基石，但是極易遭到破壞，無論是不可預測的天災還是人為蓄意或者無意的損壞，都會導致信息系統無法正常運行。軍工企業已對此有了足夠的認識，因此，對硬件設備及基礎設施的保護已經做的相對完善。但是有些硬件設備依賴進口，使得信息安全不可控程度更高。對于具有我國自主知識產權的硬件設備，由于認識能力和技術發展的局限性，在硬件設計過程中，難免留下技術缺陷，由此可造成網絡的安全隱患。

網絡安全。軍工企業的網絡一般分為內外兩網，內網作為企業內部辦公、研究交流使用，其傳輸的數據涉及企業的核心機密，甚至是國家的重大研究成果，因此軍工企業會花費巨大的人力物力來確保內網安全。外網與互聯網相連，企業通過互聯網向外界發布信息，查找相關資料。涉密信息泄露、黑客攻擊以及病毒感染就是發生在這個與外界的交互過程中。但是，在傳統軍工企業，相較于內網防護的嚴密布防，外網的防護就相對單薄。另外，我國的網絡安全的關鍵技術都是從國外引進的，不能保證其中沒有留有漏洞和后門，如操作系統技術的龍頭微軟，具調查全球90％的微機都裝微軟的Windows操作系統，許多網絡黑客就是通過微軟操作系統的漏洞和后門進入網絡。我國自主研發的網絡安全技術由于認知和技術局限性，表現不盡如人意，制約和影響著軍工企業的信息安全建設。

數據安全。數據是信息系統的靈魂，如果數據安全沒有得到保障，那么信息安全就將是一紙空談。傳統的數據安全在加密技術的基礎上，關注用戶行為以及管理制度的模式已經不能適應現代企業的信息安全的需求。隨著以云計算、高速網絡傳輸為代表的大數據時代的到來，建立一套從全局角度出發，將技術、管理、審計有機結合在一起的數據安全體系，就顯得尤為重要。

安全意識。當前，軍工企業的安全意識仍然較低，廣大企業的用戶對于個人信息安全的淡漠意識直接表現為缺乏有效地信息安全保護措施，如仍存在有的用戶使用弱口令登陸、不及時更換登陸口令，不安裝防病毒軟件等問題。

軍工企業信息安全面臨的新形勢

信息安全工作的新要求。針對當前信息安全工作的復雜形勢，國家先后頒布了《涉及國家秘密的信息系統分級保護管理規范》《涉及國家秘密的信息系統分級保護技術要求》《信息技術等級保護安全設計技術要求》《信息系統安全等級保護基本要求》等一系列信息安全相關標準、規范和要求，保證軍工企業在信息安全工作有章可循。

面臨更復雜的安全威脅挑戰。新興技術如云計算、大數據、物聯網、移動互聯網等將蓬勃發展，也為網絡攻擊提供了新的技術和方法，特別是大數據的到來，使得網絡的攻擊更加隱蔽更加持續。同時，各領域信息安全威脅也將出現多元化發展的趨勢，由此軍工企業將面臨更加復雜的安全威脅和挑戰。

信息安全威脅將日益常態化和規模化。各國加快網絡空間軍事力量建設，網絡空間軍備競賽加?。粚τ诰W絡的攻擊，將不僅僅是個人行為，黑客組織、網絡犯罪團體，甚至某些國家成為網絡攻擊的“新玩家”。一些敵對國家或勢力，必將更加頻繁和有組織的對我國軍工企業進行網絡攻擊。

新形勢下信息安全應對措施思考

針對軍工企業信息安全中存在的問題，結合信息安全工作的新形勢，并按照信息系統等級保護的要求，提出一些應對措施。

數據存取安全。網絡信息安全的核心是數據安全防護。

由圖2中D可知，隨著酶解時間的增加，辣椒堿、辣椒二氫堿及辣椒紅色素的含量先增加后降低。原因可能是，隨著時間的增加，酶解反應充分，有利于辣椒細胞中關鍵物質的溶出，而當酶解時間過長時，辣椒中的辣椒堿和辣椒二氫堿等有效物質會有一部分分解，導致其含量降低。綜合比較，提取辣椒堿和辣椒二氫堿的最適酶解時間為3 h，提取辣椒紅色素的最適酶解時間為2 h。

數據加密。軍工企業的數據涉及其核心利益，對其加密處理后，即便是丟失或者非授權訪問，得到的也只是無意義的亂碼。為了減少人為干預，應在系統層面進行數據透明加解密。對用戶來講，不需要知道如何加解密，訪問數據時，只需由系統驗證其本身權限。

統一身份認證和訪問權限控制。隨著PKI技術體系的日趨成熟，擁有強有力的理論基礎和眾多國際標準的CA數字證書身份認證技術，可以應用在軍工企業中。企業的內部用戶，通過統一的登陸平臺進入各個信息系統，平臺檢驗核實用戶的身份和權限。權限控制采用基于角色的訪問技術RBAC（Role Based Access Control），將角色與權限進行邏輯分離，訪問權限與角色相關聯，角色再與用戶關聯。

建立基于web數據挖掘的安全防護架構。傳統的安全防護技術包括防火墻、入侵檢測、防殺毒軟件，管理者一般都是將這些技術設備部署在網絡中相應的位置，它們各行其是，防火墻隔離安全區域和風險區域之間的連接，限制未授權的外部訪問；入侵檢測本質是一種窺探監測技術，它通過收集網絡或信息系統的關鍵點信息，并進行分析，從中發現是否有被攻擊的跡象和違法安全策略的行為；防殺毒軟件，顧名思義，就是防止計算機病毒對于網絡或信息系統的破壞。

防火墻、入侵檢測、防殺毒軟件構成安全防護的基本架構，執行已知的已確定的安全策略，檢測已知的異常行為，對于現在越來越復雜多變的信息安全形勢，顯然已經不太適合。

Web數據挖掘從Web文檔和Web活動中發現、抽取感興趣的潛在的有用模式和隱藏的信息。將web數據挖掘引入到安全防護的基本架構中，組成新的安全防護架構。其運行方式為：

——運用web數據挖掘，從收集的信息中發現對安全防護起關鍵作用的有價值的數據，然后根據目的對原始數據進行提取、分解和合并，形成可存儲的數據格式存儲到數據倉庫之中，最后將數據挖掘的結果與已知的規則進行模式匹配和比較驗證，最終將這些信息交予決策者。

——決策者通過相關技術對安全防護架構進行必要的修改，如更改防火墻限制策略、增加入侵檢測的審計關鍵點和為防殺毒軟件提供新型病毒的信息等。這些修改將為數據倉庫提供新的原始數據，為下一輪的數據挖掘做基礎。

提高軟硬件設備和安全產品的國產化。在軍工企業中，使用國產化的軟硬件，研發和掌握具有我國自主知識產權的安全產品，可以實現信息安全問題的高度自主可控。未來，企業要在保證現在信息安全的基礎上，繼續提高國產化水平。

加強信息安全管理，提高安全防范意識?！叭挚考夹g，七分靠管理”，軍工企業應制定完善的信息安全制度，通過嚴格的操作規程來保證信息系統的安全運行，同時要加大企業的安全檢查力度，經常性、高質量的檢查工作，有助于查找信息系統存在的安全隱患和管理薄弱點。

加強信息安全的宣傳工作，定期對企業員工進行培訓教育，促使員工掃除日常信息安全盲點、了解當前的信息安全形勢、掌握必要的信息安全知識，使其自覺遵守和執行企業和國家的有關信息安全的相關法律法規。

企業信息化、網絡化已成為與時俱進的要求。計算機技術和網絡技術的不斷發展，特別是以云計算為基礎的大數據時代到來，為軍工企業的信息安全工作提出了新的挑戰。信息安全工作是一項長期的系統化的工程，在對影響信息安全的因素辨別、分析的基礎上，應積極采取多種有效的措施綜合防控潛在的安全風險。軍工企業應加強企業的信息安全管理，提高企業員工的安全意識，同時構筑安全高效的信息安全防護架構，切實保障企業的信息安全。（作者單位分別為慧眾行知科技（北京）有限公司、軍工保密資格審查認證中心）