軍工信息網絡安全分析與思考

方憶平/文

信息網絡系統的安全，是指信息系統的利益主體，能夠依靠自身的能力，對信息系統進行全過程的設計、構建、研制生產和調整，同時能夠完全掌握且能改變整個系統的運行狀態，顯性和隱性地調整其功能狀態。

近年來世界各大國圍繞網絡空間和數據資源展開戰略競爭，爆發的重大網絡安全事件呈現出國家級、體系化對抗的特征，對抗強度不斷加劇，攻防能力雙向提升。軍工是國家安全的脊梁，堅持創新發展，努力把軍工領域信息網絡系統發展安全的主動權牢牢掌握在自己手中是擺在我們面前的一項緊迫的戰略任務。深入思考軍工信息系統在推進實施中存在的實際問題，探索有效的網絡安全應對策略，對我國軍工乃至國家安全和社會經濟發展具有重要的現實意義。

國內信息產業的現狀

硬件和基礎軟件方面。目前我國完全獨立自主開發的軟硬件不多，大部分被西方發達國家主導。操作系統被美國微軟控制，電腦芯片由英特爾公司壟斷，蘋果公司主導平板電腦，服務器由多個國外品牌控制，ICANN 控制因特網名稱和數字地址分配，Oracle 占領數據庫領域等。目前國內自主開發的操作系統主要有中國操作系統(COS)、銀河麒麟、Yunos、同洲960、鴻蒙等，均基于Linux 研發。服務器和PC 機中，出現了寶德PowerLeader、中科曙光Sugon、華為、華碩、浪潮inspur、聯想等，但具有明顯的組裝特征。華為公司研發的5G 網絡設備異軍突起，成為世界網絡設備的領跑者；螞蟻金融服務集團自主研發的分布式關系數據庫OceanBase，打破了數據庫基準性能測試的世界紀錄，從2017 年開始服務于銀行、保險等金融機構，保障了我國數億人能夠隨時隨地網購、移動支付。

應用系統方面。我國是信息化應用系統開發大國，應用系統涉及方方面面，取得了重大進展，支撐著國民經濟和社會發展的各個領域。如空管（ATC）系統，是集通信、導航、監視、計算機等多種高技術于一體的大型信息處理網絡系統，經過40 年的頑強拼搏，南京萊斯信息技術股份有限公司和川大智勝公司等分別自主研制的ATC 系統已取得成功，在全國占據了約70%的市場份額。但由于國產應用系統開發起步總體上晚于歐美發達國家，各種技術標準均由西方大國制定，我國信息應用系統研制周期普遍較長，應變能力不夠，存在用戶體驗感不強等情況。同時應用軟件系統都基于Linux、Windows、Oracle 等開發，這些基礎軟件分支和版本多，導致國產基礎應用軟硬件適配存在困難等。按照市場經濟的規律，組織系統開發團隊，開發適用性較強的綜合應用系統的經驗還不足。

我國軍工正在由機械化向信息化轉型，數字化管理和生產走在全社會的前列，但產品全壽命周期各個環節的數字化、管理的網絡化有待加強，既有脫節的問題，也存在薄弱之處。同時，軍工信息系統因涉密是相對自我封閉的系統，其開發尚未充分發揮市場在資源配置中的優勢作用。

網絡安全的形勢

由于核心電子器件、高端通用芯片及基礎軟件產品受制于人，國內開發應用系統薄弱，境內外各種信息安全威脅以及基于互聯網協議IPV4、IPV6（Internet Protocol Version）等因素影響，我國網絡安全面臨嚴峻的挑戰。一是信息安全威脅日益升級，各種形式的網絡攻擊、黑客入侵、惡意代碼、安全漏洞層出不窮。據國家互聯網應急中心的報告，每月我國境內感染網絡病毒的終端均在百萬個以上，數千萬用戶感染移動互聯網惡意程序，政府網站被篡改事件有增無減。二是新興技術應用帶來了新的挑戰，隨著大數據、虛擬化、云計算以及互聯網技術的快速發展，信息資源利用、挖掘以及開發等方面發生了重大變革，震網蠕蟲、電子監聽（棱鏡計劃）、勒索軟件等對關鍵信息基礎設施、數據、個人信息安全構成嚴重侵害，網絡安全呈現出多樣化、復雜化的特點。我中心對軍工行業管理機構外網運行情況監測顯示，每月經常短時間內連續受到DDOS（分布式拒絕服務）等攻擊，以期癱瘓網站，但均被我方有效化解，顯然網絡新技術對抗在激烈加劇中。

《2019 年網民網絡安全感滿意度調查活動總報告》披露，我國網民認為網絡安全的占51.25%，比去年提升了12.91 個百分點。《國家信息化發展戰略綱要》指出，2015 年，我國信息消費總額達到3.2萬億元，互聯網國際出口帶寬達到5.39 太比特/秒（Tbps)。2020 年，信息消費總額將達到6 萬億元，出口帶寬達到20 太比特/秒（Tbps)。這充分說明我國信息網絡的高速發展。信息網絡越高速發展，網絡風險和安全壓力也就越大。

目前軍工單位信息網絡安全建設基本延續著合規性檢查、檢測的常規思路，網絡防護主要采用防火墻、入侵檢測、防病毒等傳統安全手段，云計算、大數據等新技術領域的安全防護手段應用不多，以被動、靜態防護為主，缺乏主動、動態的常態化防護。互聯網入口敏感信息管控能力弱，沒有從全局角度實現能力調動和聯動，檢測回溯、取證分析等高標準內部防控水平不高，人才隊伍在數量上、能力上也有不足。

加強軍工信息化網絡安全的措施與建議

貫徹法規，明確目標、落實責任。國家高度重視信息網絡安全，《中華人民共和國網絡安全法》《國家網絡空間安全戰略》《信息安全技術 網絡安全等級保護基本要求》先后頒布，《關鍵信息基礎設施安全保護條例》多次公開征求意見，有望近期出臺。軍工系統是網絡安全的重點領域，要有更高的標準和責任貫徹落實網絡安全法規。一是要根據法規，對各單位網絡安全規定及細則進行修改完善提高，對現有和正在新建的網絡體系進行安全評估，積極、主動貫徹法規。二是要明確構建先進完備的軍工行業網絡安全體系的目標，創新構建網絡安全管控體系，建設全程覆蓋的多級保密監管架構，實現對信息、流程、資產等多個維度的監管能力，保障網絡安全整體效果。三是要強化、壓實網絡安全責任制，深化整體、動態、開放、相對、共同的網絡安全理念。四是要健全人才培養體系，建立高水平的網絡安全人才隊伍。

加快關鍵技術研發，優化應用系統，建立網絡安全技術制度體系。我國進口信息產品數量大，短期內還難以完全實現自主產品的規模化替代，要加快自主網絡安全關鍵技術的研發、推廣應用，著力提升態勢感知、隱患排查、應急處置、追蹤溯源等技術能力。經過實施自主軟硬件示范應用項目，我國已形成局部的自主軟硬件技術和產業鏈，后續可采取“應用牽引、系統優化、形成體系”的措施建立技術產業基地，以用戶體驗為中心，不斷進行系統優化，并在一些特定的應用領域率先取得突破。要統一行業標準，解決國產基礎軟硬件在應用適配中的問題，明確各產品的外部接口和相關軟件層的接口規范，提高軟硬件之間的兼容性。

在評價應用系統成果指標上，軍工領域特別要強化安全可控指標，同時在強調市場效益和技術先進性時，既共享技術，又不依賴他人成果，以實現自主創新和安全可控的初心和使命。

軍工單位的數據具有多源異構的特點，一般均有涉密網、非密網、工控網等，其網絡架構、管理、運維方式均不同，因此，軍工單位的網絡安全技術制度體系要有其特點。一是要切實解決業務應用與網絡安全之間的深入融合問題，持續推進涉密網安全保密監管，強化同態加密、區塊鏈等技術在軍工密碼領域的開發與應用。二是要大力推進非密網整體保障，創新推進工控網智聯融防護體系和穩步推進安全虛擬化辦公平臺建設。三是要著力提升風險評估、態勢感知與威脅情報分析等網絡安全防御能力，始終加強互聯網網站智能監測預警與事件應急處置工作，著眼識別、檢測、預警、響應、處置等環節，做到監測預警信息及時，事后處置方案適宜，管控能力覆蓋，形成“看得見、防得了、管得住”的網絡安全技術體系。

對于涉密內容，應盡量將其分類、分解成為不涉密的技術問題，進行研究、開發、總結、歸納；對于無法分解的涉密內容，建立涉密專用知識庫，與非密知識庫進行物理隔離。

建立相互支持又相互依賴的網絡安全知識產權體系。網絡安全的本質是技術對抗，軍工系統要加強5G、工業互聯網、大數據、云計算和物聯網的應用安全技術標準研究，主動應對新技術與裝備科研生產深度融合伴生的新風險、新挑戰。要建立能跟國際信息集團既相互支持又相互依賴的知識產權體系。我國自主開發的IPV9 是對新一代網絡的積極探索，在命名與尋址技術、源地址認證技術方面取得了突破，可以在一定時期與基于IPV4、IPV6 技術的因特網共存，是有利于既有網絡安全過渡到未來網絡的橋梁，為構建我國自有主權的網絡提供了全新的技術方案。多年來，許多科研院所、企業參與到軍工網絡安全的技術研發和產品生產中，相繼取得了一批重大成果。即便如此，建立網絡安全知識產權體系必然是一個長期探索和適應的過程，需要堅忍不拔地努力開拓，久久為功。