國外軍工企業(yè)信息安全管理實例分析及啟示

潘睿

摘 要：軍工企業(yè)是國防工業(yè)的重要組成部分，涉及政府、企業(yè)、非營利組織等多方利益，對國防和國民經(jīng)濟建設(shè)有著重要的作用。文章以美國著名軍火商諾斯羅普·格魯門公司為例，通過實例分析了構(gòu)成該公司信息安全管理體系的制度措施、工具措施和衍生措施。在此基礎(chǔ)上，指出該公司以這三類措施為基石，建立了一個由內(nèi)而外、層遞式的全方位網(wǎng)絡(luò)安全保護系統(tǒng)，希望對我國軍工企業(yè)情報信息安全管理有一定的參考意義。

關(guān)鍵詞：軍工企業(yè)；諾斯羅普·格魯門；信息安全

中圖分類號：TP393.08 文獻標(biāo)識碼：A

Abstract： As the important part of the national defense industry， military enterprises are interconnected with many other parties， such as governments， enterprises and non-profit organizations， playing a pivotal role in national defense and national economic construction. Taking Northrop Grumman， a well-known American military enterprise as an example， this paper gives a detailed analysis of its information security system built by a combination of security system building， security tools and derivative measures. Then， the author points out that the company has established an all-around， layered security protection system from the inside out with these measures， aiming to shed light on the security management for Chinas military enterprises .

Key words： military enterprises； Northrop Grumman； information security

1 引言

軍工企業(yè)是國家綜合實力的重要體現(xiàn)，對國防建設(shè)和國民經(jīng)濟建設(shè)意義重大。隨著信息技術(shù)快速發(fā)展，軍工企業(yè)在內(nèi)部大量使用信息資源和信息工具，從而產(chǎn)生了大量的數(shù)據(jù)。這些數(shù)據(jù)不但為軍工企業(yè)提供了決策基礎(chǔ)，而且對企業(yè)內(nèi)部業(yè)務(wù)穩(wěn)定運行起到了保障支撐的作用。但是，肩負(fù)國防重任的軍工企業(yè)，通常承擔(dān)著涉及國家秘密的設(shè)計計劃，這類秘密一旦泄露，會給國家?guī)聿豢晒懒康膿p失。為有效保護涉密信息，維護國家的經(jīng)濟和技術(shù)利益，企業(yè)常常采取各類措施防止泄密。

諾斯羅普·格魯門公司（以下簡稱諾·格公司）是美國著名的軍火商，曾以設(shè)計了大名鼎鼎的B-2隱身轟炸機而聞名于世。本文以諾·格公司為例，通過具體的實例剖舉，希望還原美國軍工企業(yè)情報信息安全防護的真實情景。諾·格公司主要從制度防護、工具防護和衍生防護三個層次，如圖1所示，層層推進，實施全方位的防護。本文詳細(xì)介紹了該公司在信息安全方面的各種措施，并指出其對國內(nèi)軍工企業(yè)的借鑒意義。

2 諾·格公司信息安全防護的制度措施

諾·格公司的信息安全防護的制度措施主要體現(xiàn)在人員招聘、項目控制和涉密信息監(jiān)管三個方面。

2.1 人員招聘制度

諾·格公司在人員招聘方面，軍方和諾·格公司對應(yīng)聘人員的背景審查極為嚴(yán)苛，會考察應(yīng)聘人員家人的背景，吸毒史、犯罪記錄以及可能涉及的其他方面背景。如果應(yīng)聘者來自于實行共產(chǎn)主義的國家、有犯罪記錄及濫用藥物（包括吸毒）史，則拒絕聘用。嚴(yán)格的保密制度和程序客觀上把很多優(yōu)秀的工程技術(shù)人員拒之門外，盡管有些制度看起非常繁瑣、低效，但是為了確保項目決不泄密，確保美軍戰(zhàn)略計劃和戰(zhàn)略威懾不受影響，諾·格公司的所有成員都嚴(yán)格遵守著保密制度和流程，任何事情都“按照規(guī)定”辦事，確保保密目標(biāo)貫徹到底。

2.2 項目保密控制

通常，諾·格公司的員工在工作中會處理兩類信息——非保密信息和保密信息。非保密信息不需要安全許可。然而，這類信息仍然可能是非常敏感的信息，需要特殊處理。比如僅供官方使用（FOUO）的信息和受限的非保密信息（CUI）。這兩種類型的信息都不能公開披露。對于政府的保密信息，獲取政府保密信息需要保密人員處理，需要獲得信息使用許可。另一類需要保護的信息是諾·格公司的專有信息。諾·格公司將這些信息分為兩類。I級信息：諾·格特有的技術(shù)方法和應(yīng)用。II級信息：諾·格公司獨有的信息，不可公開獲得，如財務(wù)或戰(zhàn)略規(guī)劃數(shù)據(jù)。

諾·格公司有著嚴(yán)格的項目保密制度，對接觸項目信息的人員和接觸途徑有著嚴(yán)苛的限定。諾·格項目的保密管理是一個非常龐大的系統(tǒng)工程，有非常嚴(yán)格、細(xì)致的流程和規(guī)則。以B-2為例，研發(fā)伊始，該項目就處于高度機密狀態(tài)。對于涉足B-2項目的工作人員，都需要獲得特殊的保密許可。之所以采取如此嚴(yán)苛的保密制度，最主要的原因是為了潛在對手國，比如，俄羅斯獲知美國的軍事研發(fā)動態(tài)。防務(wù)專家認(rèn)為，即使在和平年代，保持研發(fā)項目的高度機密也是對對手的一種有效的心理威懾。因此，B-2項目的保密管理一直都是重中之重。所有參與該項目的工作人員都不能向任何人透露他們的工作情況，包括他們的家人、朋友及其他親屬。有時，工作人員需要親自傳遞保密資料，而外攜保密資料出差的保密流程根據(jù)所前往目的地的不同也有所不同。為了盡可能的降低人員親自傳遞保密資料，諾·格公司可選擇使用復(fù)印、傳真等傳輸方式。但是，對于一些細(xì)節(jié)圖紙或者需要面對面的匯報，就必須親自前往。

2.3 涉密信息監(jiān)管制度

美國的國家秘密分為三個等級：絕密、機密和秘密。用“非涉密”來標(biāo)識不需要進行安全級別劃分的信息，任何等級的定密決定都只能由美國政府以書面形式指定或委托的官員作出，即定密官制度。定密者要在文檔前注明簡潔的定密“原因”，明確解密時間或解密事件。絕密級、機密級以及秘密級材料的存儲要求也十分嚴(yán)格，對于需傳輸?shù)纳婷苄畔⒂邪b要求，需使用雙層包裝，同時會通過流程追蹤被傳輸?shù)奈募钡绞盏揭押炇鸬奈募論?jù)。對于收到的絕密級和機密級材料與收據(jù)不符的，應(yīng)立刻報告發(fā)件人。

對于涉密信息的復(fù)制、銷毀、保留以及披露，也有具體的要求。不涉密的II類財務(wù)或戰(zhàn)略規(guī)劃數(shù)據(jù)，也應(yīng)粉碎或在批準(zhǔn)的區(qū)域內(nèi)銷毀。同時，對于進入諾·格的人，都要佩戴徽章。徽章用于確認(rèn)佩戴人的雇員或非雇員身份，決定佩戴人是否有權(quán)獲取相對應(yīng)的信息。

3 諾·格公司信息安全防護的工具措施

諾·格公司除了采取以上各種基礎(chǔ)保護手段，還借助先進科技，建立了一個全方位的實時防護安全網(wǎng)絡(luò)。諾·格公司的信息安全網(wǎng)絡(luò)主要包括網(wǎng)絡(luò)安全聯(lián)盟和網(wǎng)絡(luò)安全運營中心（CSOC）。

3.1 網(wǎng)絡(luò)安全運營中心

諾·格公司于2009年啟用了全新的網(wǎng)絡(luò)安全運營中心（CSOC），該中心的主要職責(zé)是探測潛在威脅檢測，并能夠快速響應(yīng)。該中心進行全天24小時的安全監(jiān)控，為全球超過105 000個客戶和10 000個服務(wù)器提供安全監(jiān)控，保護諾·格公司及其客戶的網(wǎng)絡(luò)和數(shù)據(jù)安全。

網(wǎng)絡(luò)安全運營中心的主要功能包括提供全球相關(guān)網(wǎng)絡(luò)活動的熱圖和態(tài)勢感知，確定事件重點；信息跟蹤，提醒和事件升級的綜合知識管理系統(tǒng)；集成了一系列商用現(xiàn)成的和內(nèi)部設(shè)計的威脅檢測設(shè)備，能夠從各種數(shù)據(jù)源中識別所關(guān)注的信息，并確定可疑活動的范圍和性質(zhì)。

將情報搜集和分析與傳統(tǒng)的安全監(jiān)控相結(jié)合，CSOC能夠更好地確認(rèn)威脅， 減少高級網(wǎng)絡(luò)威脅。CSOC主要從幾個方面完成上述任務(wù)：（1）全天候?qū)崟r監(jiān)控；（2）事件響應(yīng)，工作人員對可疑的安全事件快速響應(yīng)，遏制事件擴大，并提供原因分析、相關(guān)運行恢復(fù)；（3）數(shù)字取證，收集和分析數(shù)字媒體證據(jù)；（4）提供技術(shù)安全解決方案，為了防止安全事件的發(fā)生，在CSOC內(nèi)部快速研發(fā)和部署解決方案和系統(tǒng)；（5）計算機威脅分析和情報工作，情報人員分析和報告內(nèi)部和外部威脅，計算機網(wǎng)絡(luò)防御專家設(shè)計和開發(fā)可識別高級威脅的安全功能。

3.2 網(wǎng)絡(luò)安全聯(lián)盟

諾·格公司與信息安全領(lǐng)域的工科名校展開合作，成立了專門的網(wǎng)絡(luò)安全聯(lián)盟。諾·格公司認(rèn)為，信息安全網(wǎng)絡(luò)架構(gòu)和系統(tǒng)架構(gòu)必須保持靈活可變，這樣才能適應(yīng)不斷變化的威脅。單一的防護措施是遠(yuǎn)遠(yuǎn)不夠的，必須主動將信息安全網(wǎng)絡(luò)“內(nèi)置”于企業(yè)內(nèi)部，覆蓋每個新系統(tǒng)和每一次升級。為了滿足這種需要，諾斯羅普·格魯曼建立了兼具靈活性和防御性的縱深防御體系結(jié)構(gòu)——“FAN”分層網(wǎng)絡(luò)安全防護參考模型。FAN是一個集成的防護結(jié)構(gòu)，從數(shù)據(jù)安全、應(yīng)該安全、端點安全、外圍和網(wǎng)絡(luò)安全四個維度形成層層防護。該模型能夠進行入侵監(jiān)測、分布式防御、威脅行為建模，并基于建模建立新的網(wǎng)絡(luò)攻擊探測模式，同時能夠進行云存儲并確保相關(guān)程序的安全。

網(wǎng)絡(luò)運營中心從技術(shù)上為諾·格公司的日常運營保駕護航，而通過網(wǎng)絡(luò)安全聯(lián)盟，諾·格和高校合作，針對不斷變化的威脅不斷探索安全防護的新技術(shù)、新模式，從而確保諾·格能夠面對日益升級的安全威脅。

4 諾·格公司信息安全防護衍生措施

但是僅有內(nèi)部的安全監(jiān)控和防范措施是遠(yuǎn)遠(yuǎn)不夠的，諾·格的業(yè)務(wù)規(guī)模龐大、產(chǎn)品范圍廣闊，涉及多個供應(yīng)商，因此也面臨一系列安全風(fēng)險。諾·格公司認(rèn)為，日益增長的網(wǎng)絡(luò)危險直接影響供應(yīng)鏈的安全。由于項目需求是由客戶設(shè)定的，諾·格培訓(xùn)客戶，提升客戶的安全思維模式，讓客戶了解將產(chǎn)品安全和系統(tǒng)安全融入項目生命周期的重要性。除了培訓(xùn)客戶，諾·格的企業(yè)共享服務(wù)（ESS）網(wǎng)絡(luò)團隊還開發(fā)新的管理方法和標(biāo)準(zhǔn)工具，用以防范供應(yīng)鏈中可能出現(xiàn)的網(wǎng)絡(luò)風(fēng)險。在整個研發(fā)階段，都有安全驗證的需求，而每個項目啟動之前，都必須要通過網(wǎng)絡(luò)安全驗證，如圖2所示。

通過這些措施，諾·格有效地控制了可能外泄的信息隱患，將產(chǎn)品安全和系統(tǒng)安全融入了流程，確保了信息安全。

5 結(jié)束語

經(jīng)過幾十年的發(fā)展，諾·格公司在信息安全防護領(lǐng)域方面形成了一套相對完善的體系，突出表現(xiàn)在全面的制度保障、完備的網(wǎng)絡(luò)安全機構(gòu)，以及不斷外延的衍生保護措施。這種由內(nèi)而外，層遞式構(gòu)建的全方位網(wǎng)絡(luò)安全保護為諾·格的技術(shù)創(chuàng)新提供了絕對安全的保障。而我國軍工企業(yè)的信息安全手段相對落后，泄密事件時有發(fā)生，諾·格公司的網(wǎng)絡(luò)信息安全體系對我國軍工企業(yè)網(wǎng)絡(luò)信息安全體系具有一定的參考意義。

（1）建立全面的防護制度。諾·格公司在日常安全管理中嚴(yán)格遵守國防部和公司內(nèi)部的各種制度和規(guī)則。機構(gòu)內(nèi)部信息安全工作的組織、管理和匯報，涉密人員的培訓(xùn)、資格審查、國家秘密的確定、涉密信息的保護、涉密場所參觀使用等方面都有具體的細(xì)則規(guī)定，這是信息防護的制度基礎(chǔ)，為網(wǎng)絡(luò)信息安全防護編織了牢固的制度保證。

（2）先進的網(wǎng)絡(luò)工具監(jiān)測手段。諾·格的網(wǎng)絡(luò)安全運營中心以技術(shù)部門為依托，多職能部門參與，形成了諾·格安全監(jiān)管的基本框架。同時，和高校合作成立網(wǎng)絡(luò)安全聯(lián)盟，對實際中遇到的威脅分析研究，再迭代使用，在形成一個安全的物理網(wǎng)絡(luò)保護閉環(huán)的同時，也確保諾·格公司時刻能夠跟蹤、遏制威脅，應(yīng)對不斷升級的網(wǎng)絡(luò)威脅。

（3）不斷外延的保護措施。除了在內(nèi)部建立完備的制度保障和工具監(jiān)測之外，諾·格重視任何流程中的潛在風(fēng)險，注重實踐，不斷發(fā)現(xiàn)其對外供應(yīng)鏈中的不安全因素。將供應(yīng)鏈安全融入設(shè)計，不僅是其根據(jù)企業(yè)運營實際的工作深化，更是拓展了安全防護的范圍。我國軍工企業(yè)的信息安全防護還較為薄弱，應(yīng)從中吸取經(jīng)驗，加強制度建設(shè)和工具保障，注意內(nèi)外防護，切實提高能力，捍衛(wèi)國家利益，保護國家安全。

參考文獻

[1] Bill Scott.Inside the Stealth Bomber： The B-2 Story[M].Fallbrook， Aero Publishers， 1991.

[2] Annual DoD security refresher training[EB/OL].http：//www.northropgrumman.com/AboutUs/Documents/Clearance/annual_ dod_refresher_ext.pdf.

[3] 陸明遠(yuǎn)，黃雪宜.美國工業(yè)信息安全體系及其借鑒意義[J].網(wǎng)絡(luò)空間安全，2017，8（Z3）：1-6.

[4] 劉金芳.維護網(wǎng)絡(luò)空間主權(quán) 保障我國國家安全[J].網(wǎng)絡(luò)空間安全，2017，8（Z1）：7-10.

[5] 劉鵬，楊健，劉福強.美國網(wǎng)絡(luò)空間安全體系建設(shè)分析與思考[J].網(wǎng)絡(luò)空間安全，2017，8（Z4）：1-5.

[6] Cyber security operations center （CSOC） [EB/OL]. http：//www.northropgrumman.com/Capabilities/Cybersecurity/Documents/Literature/CSOC_brochure.pdf.

[7] Northrop Grumman cyber security research consortium[EB/OL]. http：//www.northropgrumman.com/Capabilities/Cybersecurity/Documents/Literature/CRC_datasheet.pdf.

[8] Northrop Grumman Corporation Trusted， Innovative， World-Class Supply Chain[R].http：//www.nist.gov/sites/default/files/documents/itl/csd/NIST_USRP-Northup-Cyber-SCRM-Case-Study.pdf.