構建“高安全網絡的縱深防御”

中國工程物理研究院信息化總師 趙 強

軍工單位承擔著涉及國家戰略安全的大型裝備和裝置研制任務，其網絡信息系統是支撐事業發展的關鍵基礎設施之一。目前涉密計算機網絡都嚴格按照國家分級保護標準進行設計和建設，按照保密主管部門的要求進行了合規管理。但其信息安全保密仍然面臨嚴峻的技術和管理挑戰。

一是近些年來的IT新技術飛速發展，數字化和智能化制造理論和模式不斷涌現，要求IT架構更加集成、高效、可控，目前從過去的“去中心化”向“再中心化”。這對資源整合及安全管理帶來新的挑戰。二是新老IT技術和系統的銜接過渡是永恒主題和痛點，不斷面臨新老技術和系統的升級、替換或集成問題，新舊系統融合與安全管理面臨巨大挑戰。三是各類系統的高危漏洞難以封堵，重大風險隨時可現。據國家信息安全漏洞庫（CNNVD）數據統計，2017年新增漏洞11097個。在發布的漏洞總數中，危害等級在高危以上的漏洞數量占到了總數的27.02%。

目前，網絡信息系統的技術現實是“有毒帶菌”不可避免、“缺芯少魂”格局難變。傳統被動的、靜態的防護措施在惡意違規面前往往不堪一擊，必須有新思路、新措施，進行體系化的主動防御能力構建。這種體系構建，首先基于軍工信息網絡是一種高安全網絡。軍工高安全網絡是一種“確定性網絡”，其本質特征表現在其使用人員、計算機、網絡設備、通信協議、物理位置、應用系統以及相互關系都處于確定狀態。這種具有剛性約束條件的確定性網絡，可明確定義系統各組成部分，嚴格實施基于“白名單”的管控、進行安全策略符合性檢測，并基于大數據進行異常行為分析預警。

以此為前提，加強高安全網絡縱深防御能力的總體思路是：一、吸收ISO-27001信息安全管理體系精華，從體系構建上下工夫；二、從技術構建上下工夫，強化縱深防御和監測感知能力；三、從減少核心數據暴露面上下工夫，實施多業務域+多安全域隔離；四、從“介入式防護”為主延伸到“非介入式監控和風險評估”；五、從“線上對象”管理為主延伸覆蓋到組織外的“供應鏈管理”；六、從“靜態安全”為主延伸到“動態安全”有效性管理；七、從“合規性管理”為主延伸到“基于風險的管理”。