國外軍工企業(yè)信息安全管理實(shí)例分析及啟示

潘睿

摘 要：軍工企業(yè)是國防工業(yè)的重要組成部分，涉及政府、企業(yè)、非營利組織等多方利益，對國防和國民經(jīng)濟(jì)建設(shè)有著重要的作用。文章以美國著名軍火商諾斯羅普·格魯門公司為例，通過實(shí)例分析了構(gòu)成該公司信息安全管理體系的制度措施、工具措施和衍生措施。在此基礎(chǔ)上，指出該公司以這三類措施為基石，建立了一個(gè)由內(nèi)而外、層遞式的全方位網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，希望對我國軍工企業(yè)情報(bào)信息安全管理有一定的參考意義。

關(guān)鍵詞：軍工企業(yè)；諾斯羅普·格魯門；信息安全

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A

Abstract： As the important part of the national defense industry， military enterprises are interconnected with many other parties， such as governments， enterprises and non-profit organizations， playing a pivotal role in national defense and national economic construction. Taking Northrop Grumman， a well-known American military enterprise as an example， this paper gives a detailed analysis of its information security system built by a combination of security system building， security tools and derivative measures. Then， the author points out that the company has established an all-around， layered security protection system from the inside out with these measures， aiming to shed light on the security management for Chinas military enterprises .

Key words： military enterprises； Northrop Grumman； information security

1 引言

軍工企業(yè)是國家綜合實(shí)力的重要體現(xiàn)，對國防建設(shè)和國民經(jīng)濟(jì)建設(shè)意義重大。隨著信息技術(shù)快速發(fā)展，軍工企業(yè)在內(nèi)部大量使用信息資源和信息工具，從而產(chǎn)生了大量的數(shù)據(jù)。這些數(shù)據(jù)不但為軍工企業(yè)提供了決策基礎(chǔ)，而且對企業(yè)內(nèi)部業(yè)務(wù)穩(wěn)定運(yùn)行起到了保障支撐的作用。但是，肩負(fù)國防重任的軍工企業(yè)，通常承擔(dān)著涉及國家秘密的設(shè)計(jì)計(jì)劃，這類秘密一旦泄露，會(huì)給國家?guī)聿豢晒懒康膿p失。為有效保護(hù)涉密信息，維護(hù)國家的經(jīng)濟(jì)和技術(shù)利益，企業(yè)常常采取各類措施防止泄密。

諾斯羅普·格魯門公司（以下簡稱諾·格公司）是美國著名的軍火商，曾以設(shè)計(jì)了大名鼎鼎的B-2隱身轟炸機(jī)而聞名于世。本文以諾·格公司為例，通過具體的實(shí)例剖舉，希望還原美國軍工企業(yè)情報(bào)信息安全防護(hù)的真實(shí)情景。諾·格公司主要從制度防護(hù)、工具防護(hù)和衍生防護(hù)三個(gè)層次，如圖1所示，層層推進(jìn)，實(shí)施全方位的防護(hù)。本文詳細(xì)介紹了該公司在信息安全方面的各種措施，并指出其對國內(nèi)軍工企業(yè)的借鑒意義。

2 諾·格公司信息安全防護(hù)的制度措施

諾·格公司的信息安全防護(hù)的制度措施主要體現(xiàn)在人員招聘、項(xiàng)目控制和涉密信息監(jiān)管三個(gè)方面。

2.1 人員招聘制度

諾·格公司在人員招聘方面，軍方和諾·格公司對應(yīng)聘人員的背景審查極為嚴(yán)苛，會(huì)考察應(yīng)聘人員家人的背景，吸毒史、犯罪記錄以及可能涉及的其他方面背景。如果應(yīng)聘者來自于實(shí)行共產(chǎn)主義的國家、有犯罪記錄及濫用藥物（包括吸毒）史，則拒絕聘用。嚴(yán)格的保密制度和程序客觀上把很多優(yōu)秀的工程技術(shù)人員拒之門外，盡管有些制度看起非常繁瑣、低效，但是為了確保項(xiàng)目決不泄密，確保美軍戰(zhàn)略計(jì)劃和戰(zhàn)略威懾不受影響，諾·格公司的所有成員都嚴(yán)格遵守著保密制度和流程，任何事情都“按照規(guī)定”辦事，確保保密目標(biāo)貫徹到底。

2.2 項(xiàng)目保密控制

通常，諾·格公司的員工在工作中會(huì)處理兩類信息——非保密信息和保密信息。非保密信息不需要安全許可。然而，這類信息仍然可能是非常敏感的信息，需要特殊處理。比如僅供官方使用（FOUO）的信息和受限的非保密信息（CUI）。這兩種類型的信息都不能公開披露。對于政府的保密信息，獲取政府保密信息需要保密人員處理，需要獲得信息使用許可。另一類需要保護(hù)的信息是諾·格公司的專有信息。諾·格公司將這些信息分為兩類。I級信息：諾·格特有的技術(shù)方法和應(yīng)用。II級信息：諾·格公司獨(dú)有的信息，不可公開獲得，如財(cái)務(wù)或戰(zhàn)略規(guī)劃數(shù)據(jù)。

諾·格公司有著嚴(yán)格的項(xiàng)目保密制度，對接觸項(xiàng)目信息的人員和接觸途徑有著嚴(yán)苛的限定。諾·格項(xiàng)目的保密管理是一個(gè)非常龐大的系統(tǒng)工程，有非常嚴(yán)格、細(xì)致的流程和規(guī)則。以B-2為例，研發(fā)伊始，該項(xiàng)目就處于高度機(jī)密狀態(tài)。對于涉足B-2項(xiàng)目的工作人員，都需要獲得特殊的保密許可。之所以采取如此嚴(yán)苛的保密制度，最主要的原因是為了潛在對手國，比如，俄羅斯獲知美國的軍事研發(fā)動(dòng)態(tài)。防務(wù)專家認(rèn)為，即使在和平年代，保持研發(fā)項(xiàng)目的高度機(jī)密也是對對手的一種有效的心理威懾。因此，B-2項(xiàng)目的保密管理一直都是重中之重。所有參與該項(xiàng)目的工作人員都不能向任何人透露他們的工作情況，包括他們的家人、朋友及其他親屬。有時(shí)，工作人員需要親自傳遞保密資料，而外攜保密資料出差的保密流程根據(jù)所前往目的地的不同也有所不同。為了盡可能的降低人員親自傳遞保密資料，諾·格公司可選擇使用復(fù)印、傳真等傳輸方式。但是，對于一些細(xì)節(jié)圖紙或者需要面對面的匯報(bào)，就必須親自前往。

2.3 涉密信息監(jiān)管制度

美國的國家秘密分為三個(gè)等級：絕密、機(jī)密和秘密。用“非涉密”來標(biāo)識不需要進(jìn)行安全級別劃分的信息，任何等級的定密決定都只能由美國政府以書面形式指定或委托的官員作出，即定密官制度。定密者要在文檔前注明簡潔的定密“原因”，明確解密時(shí)間或解密事件。絕密級、機(jī)密級以及秘密級材料的存儲(chǔ)要求也十分嚴(yán)格，對于需傳輸?shù)纳婷苄畔⒂邪b要求，需使用雙層包裝，同時(shí)會(huì)通過流程追蹤被傳輸?shù)奈募钡绞盏揭押炇鸬奈募論?jù)。對于收到的絕密級和機(jī)密級材料與收據(jù)不符的，應(yīng)立刻報(bào)告發(fā)件人。

對于涉密信息的復(fù)制、銷毀、保留以及披露，也有具體的要求。不涉密的II類財(cái)務(wù)或戰(zhàn)略規(guī)劃數(shù)據(jù)，也應(yīng)粉碎或在批準(zhǔn)的區(qū)域內(nèi)銷毀。同時(shí)，對于進(jìn)入諾·格的人，都要佩戴徽章。徽章用于確認(rèn)佩戴人的雇員或非雇員身份，決定佩戴人是否有權(quán)獲取相對應(yīng)的信息。

3 諾·格公司信息安全防護(hù)的工具措施

諾·格公司除了采取以上各種基礎(chǔ)保護(hù)手段，還借助先進(jìn)科技，建立了一個(gè)全方位的實(shí)時(shí)防護(hù)安全網(wǎng)絡(luò)。諾·格公司的信息安全網(wǎng)絡(luò)主要包括網(wǎng)絡(luò)安全聯(lián)盟和網(wǎng)絡(luò)安全運(yùn)營中心（CSOC）。

3.1 網(wǎng)絡(luò)安全運(yùn)營中心

諾·格公司于2009年啟用了全新的網(wǎng)絡(luò)安全運(yùn)營中心（CSOC），該中心的主要職責(zé)是探測潛在威脅檢測，并能夠快速響應(yīng)。該中心進(jìn)行全天24小時(shí)的安全監(jiān)控，為全球超過105 000個(gè)客戶和10 000個(gè)服務(wù)器提供安全監(jiān)控，保護(hù)諾·格公司及其客戶的網(wǎng)絡(luò)和數(shù)據(jù)安全。

網(wǎng)絡(luò)安全運(yùn)營中心的主要功能包括提供全球相關(guān)網(wǎng)絡(luò)活動(dòng)的熱圖和態(tài)勢感知，確定事件重點(diǎn)；信息跟蹤，提醒和事件升級的綜合知識管理系統(tǒng)；集成了一系列商用現(xiàn)成的和內(nèi)部設(shè)計(jì)的威脅檢測設(shè)備，能夠從各種數(shù)據(jù)源中識別所關(guān)注的信息，并確定可疑活動(dòng)的范圍和性質(zhì)。

將情報(bào)搜集和分析與傳統(tǒng)的安全監(jiān)控相結(jié)合，CSOC能夠更好地確認(rèn)威脅， 減少高級網(wǎng)絡(luò)威脅。CSOC主要從幾個(gè)方面完成上述任務(wù)：（1）全天候?qū)崟r(shí)監(jiān)控；（2）事件響應(yīng)，工作人員對可疑的安全事件快速響應(yīng)，遏制事件擴(kuò)大，并提供原因分析、相關(guān)運(yùn)行恢復(fù)；（3）數(shù)字取證，收集和分析數(shù)字媒體證據(jù)；（4）提供技術(shù)安全解決方案，為了防止安全事件的發(fā)生，在CSOC內(nèi)部快速研發(fā)和部署解決方案和系統(tǒng)；（5）計(jì)算機(jī)威脅分析和情報(bào)工作，情報(bào)人員分析和報(bào)告內(nèi)部和外部威脅，計(jì)算機(jī)網(wǎng)絡(luò)防御專家設(shè)計(jì)和開發(fā)可識別高級威脅的安全功能。

3.2 網(wǎng)絡(luò)安全聯(lián)盟

諾·格公司與信息安全領(lǐng)域的工科名校展開合作，成立了專門的網(wǎng)絡(luò)安全聯(lián)盟。諾·格公司認(rèn)為，信息安全網(wǎng)絡(luò)架構(gòu)和系統(tǒng)架構(gòu)必須保持靈活可變，這樣才能適應(yīng)不斷變化的威脅。單一的防護(hù)措施是遠(yuǎn)遠(yuǎn)不夠的，必須主動(dòng)將信息安全網(wǎng)絡(luò)“內(nèi)置”于企業(yè)內(nèi)部，覆蓋每個(gè)新系統(tǒng)和每一次升級。為了滿足這種需要，諾斯羅普·格魯曼建立了兼具靈活性和防御性的縱深防御體系結(jié)構(gòu)——“FAN”分層網(wǎng)絡(luò)安全防護(hù)參考模型。FAN是一個(gè)集成的防護(hù)結(jié)構(gòu)，從數(shù)據(jù)安全、應(yīng)該安全、端點(diǎn)安全、外圍和網(wǎng)絡(luò)安全四個(gè)維度形成層層防護(hù)。該模型能夠進(jìn)行入侵監(jiān)測、分布式防御、威脅行為建模，并基于建模建立新的網(wǎng)絡(luò)攻擊探測模式，同時(shí)能夠進(jìn)行云存儲(chǔ)并確保相關(guān)程序的安全。

網(wǎng)絡(luò)運(yùn)營中心從技術(shù)上為諾·格公司的日常運(yùn)營保駕護(hù)航，而通過網(wǎng)絡(luò)安全聯(lián)盟，諾·格和高校合作，針對不斷變化的威脅不斷探索安全防護(hù)的新技術(shù)、新模式，從而確保諾·格能夠面對日益升級的安全威脅。

4 諾·格公司信息安全防護(hù)衍生措施

但是僅有內(nèi)部的安全監(jiān)控和防范措施是遠(yuǎn)遠(yuǎn)不夠的，諾·格的業(yè)務(wù)規(guī)模龐大、產(chǎn)品范圍廣闊，涉及多個(gè)供應(yīng)商，因此也面臨一系列安全風(fēng)險(xiǎn)。諾·格公司認(rèn)為，日益增長的網(wǎng)絡(luò)危險(xiǎn)直接影響供應(yīng)鏈的安全。由于項(xiàng)目需求是由客戶設(shè)定的，諾·格培訓(xùn)客戶，提升客戶的安全思維模式，讓客戶了解將產(chǎn)品安全和系統(tǒng)安全融入項(xiàng)目生命周期的重要性。除了培訓(xùn)客戶，諾·格的企業(yè)共享服務(wù)（ESS）網(wǎng)絡(luò)團(tuán)隊(duì)還開發(fā)新的管理方法和標(biāo)準(zhǔn)工具，用以防范供應(yīng)鏈中可能出現(xiàn)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。在整個(gè)研發(fā)階段，都有安全驗(yàn)證的需求，而每個(gè)項(xiàng)目啟動(dòng)之前，都必須要通過網(wǎng)絡(luò)安全驗(yàn)證，如圖2所示。

通過這些措施，諾·格有效地控制了可能外泄的信息隱患，將產(chǎn)品安全和系統(tǒng)安全融入了流程，確保了信息安全。

5 結(jié)束語

經(jīng)過幾十年的發(fā)展，諾·格公司在信息安全防護(hù)領(lǐng)域方面形成了一套相對完善的體系，突出表現(xiàn)在全面的制度保障、完備的網(wǎng)絡(luò)安全機(jī)構(gòu)，以及不斷外延的衍生保護(hù)措施。這種由內(nèi)而外，層遞式構(gòu)建的全方位網(wǎng)絡(luò)安全保護(hù)為諾·格的技術(shù)創(chuàng)新提供了絕對安全的保障。而我國軍工企業(yè)的信息安全手段相對落后，泄密事件時(shí)有發(fā)生，諾·格公司的網(wǎng)絡(luò)信息安全體系對我國軍工企業(yè)網(wǎng)絡(luò)信息安全體系具有一定的參考意義。

（1）建立全面的防護(hù)制度。諾·格公司在日常安全管理中嚴(yán)格遵守國防部和公司內(nèi)部的各種制度和規(guī)則。機(jī)構(gòu)內(nèi)部信息安全工作的組織、管理和匯報(bào)，涉密人員的培訓(xùn)、資格審查、國家秘密的確定、涉密信息的保護(hù)、涉密場所參觀使用等方面都有具體的細(xì)則規(guī)定，這是信息防護(hù)的制度基礎(chǔ)，為網(wǎng)絡(luò)信息安全防護(hù)編織了牢固的制度保證。

（2）先進(jìn)的網(wǎng)絡(luò)工具監(jiān)測手段。諾·格的網(wǎng)絡(luò)安全運(yùn)營中心以技術(shù)部門為依托，多職能部門參與，形成了諾·格安全監(jiān)管的基本框架。同時(shí)，和高校合作成立網(wǎng)絡(luò)安全聯(lián)盟，對實(shí)際中遇到的威脅分析研究，再迭代使用，在形成一個(gè)安全的物理網(wǎng)絡(luò)保護(hù)閉環(huán)的同時(shí)，也確保諾·格公司時(shí)刻能夠跟蹤、遏制威脅，應(yīng)對不斷升級的網(wǎng)絡(luò)威脅。

（3）不斷外延的保護(hù)措施。除了在內(nèi)部建立完備的制度保障和工具監(jiān)測之外，諾·格重視任何流程中的潛在風(fēng)險(xiǎn)，注重實(shí)踐，不斷發(fā)現(xiàn)其對外供應(yīng)鏈中的不安全因素。將供應(yīng)鏈安全融入設(shè)計(jì)，不僅是其根據(jù)企業(yè)運(yùn)營實(shí)際的工作深化，更是拓展了安全防護(hù)的范圍。我國軍工企業(yè)的信息安全防護(hù)還較為薄弱，應(yīng)從中吸取經(jīng)驗(yàn)，加強(qiáng)制度建設(shè)和工具保障，注意內(nèi)外防護(hù)，切實(shí)提高能力，捍衛(wèi)國家利益，保護(hù)國家安全。

參考文獻(xiàn)

[1] Bill Scott.Inside the Stealth Bomber： The B-2 Story[M].Fallbrook， Aero Publishers， 1991.

[2] Annual DoD security refresher training[EB/OL].http：//www.northropgrumman.com/AboutUs/Documents/Clearance/annual_ dod_refresher_ext.pdf.

[3] 陸明遠(yuǎn)，黃雪宜.美國工業(yè)信息安全體系及其借鑒意義[J].網(wǎng)絡(luò)空間安全，2017，8（Z3）：1-6.

[4] 劉金芳.維護(hù)網(wǎng)絡(luò)空間主權(quán) 保障我國國家安全[J].網(wǎng)絡(luò)空間安全，2017，8（Z1）：7-10.

[5] 劉鵬，楊健，劉福強(qiáng).美國網(wǎng)絡(luò)空間安全體系建設(shè)分析與思考[J].網(wǎng)絡(luò)空間安全，2017，8（Z4）：1-5.

[6] Cyber security operations center （CSOC） [EB/OL]. http：//www.northropgrumman.com/Capabilities/Cybersecurity/Documents/Literature/CSOC_brochure.pdf.

[7] Northrop Grumman cyber security research consortium[EB/OL]. http：//www.northropgrumman.com/Capabilities/Cybersecurity/Documents/Literature/CRC_datasheet.pdf.

[8] Northrop Grumman Corporation Trusted， Innovative， World-Class Supply Chain[R].http：//www.nist.gov/sites/default/files/documents/itl/csd/NIST_USRP-Northup-Cyber-SCRM-Case-Study.pdf.