淺析信息安全深度防御發(fā)展趨勢

■ 翟蒙 / 中國航發(fā)研究院

在全球網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、信息技術(shù)獲得巨大發(fā)展的今天，信息戰(zhàn)爭現(xiàn)實化、戰(zhàn)場全球化、對抗常態(tài)化、網(wǎng)絡(luò)攻擊白熱化的趨勢越來越明顯，維護(hù)信息安全已成為事關(guān)國家安全、社會穩(wěn)定的大事。

隨著信息技術(shù)的發(fā)展和普及，信息化給國家軍事、社會和生活帶來了極大的改變，信息數(shù)據(jù)已成為國家的重要戰(zhàn)略資源。近年來，全球網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，世界各國不斷加強(qiáng)信息安全深度防御戰(zhàn)略部署，網(wǎng)絡(luò)格局已發(fā)生重大變革。在此大環(huán)境下，信息系統(tǒng)在數(shù)據(jù)采集、傳輸、存儲、應(yīng)用程序以及基礎(chǔ)環(huán)境等各個層面，不斷面臨著非法訪問、網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等威脅，尤其央企、軍工行業(yè)受影響更大，其中芯片、光刻機(jī)、航空發(fā)動機(jī)等又是國外重點(diǎn)關(guān)注對象，要維持信息系統(tǒng)安全、穩(wěn)定運(yùn)行，對信息安全防御能力有著很高的要求。本文通過對信息安全深度防御特點(diǎn)的分析，比較了美國、歐洲等發(fā)達(dá)國家和地區(qū)的信息安全政策、評估準(zhǔn)則、體系建設(shè)等，并探討了我國的信息安全政策、架構(gòu)及后續(xù)規(guī)劃。

全球信息安全防御現(xiàn)狀

在全球一體化的背景下，信息化建設(shè)得到各國重視，許多國家、地區(qū)及組織越來越依賴信息系統(tǒng)，其中風(fēng)險、收益與信息安全密切相關(guān)，成為信息管理的重要組成部分。近年來，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，面對信息安全形勢的日益嚴(yán)峻，世界各國高度重視信息安全保障，其中美國、歐洲的信息安全深度防御體系起步較早，完成度最高，對其他國家具有指導(dǎo)作用。

信息安全評估準(zhǔn)則和標(biāo)準(zhǔn)建設(shè)

國際信息安全標(biāo)準(zhǔn)建設(shè)始于20世紀(jì)70年代中期，80年代迅速發(fā)展，90年代受到世界各國的關(guān)注。在80年代中期，為了滿足軍事電腦保密的需要，美國國防部（DoD）在20世紀(jì)70年代建設(shè)的基礎(chǔ)上制定了新的可信計算機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn)（TCSEC）。自美國國防部發(fā)布TCSEC起，各國也相繼發(fā)布了自己的標(biāo)準(zhǔn)，如英國、法國、德國、荷蘭在20世紀(jì)90年代早期公布的信息技術(shù)安全評估標(biāo)準(zhǔn)(ITSEC)、加拿大可信計算機(jī)產(chǎn)品評估標(biāo)準(zhǔn)（CTCPEC）、由英國標(biāo)準(zhǔn)協(xié)會（BSI）制定的信息安全管理標(biāo)準(zhǔn)BS779(ISO17799)和國際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可的SSECMM(ISO/IEC21827：2002)等信息安全管理標(biāo)準(zhǔn)。

到目前為止，美國已經(jīng)開發(fā)了100多個滿足TCSEC要求的安全系統(tǒng)，包括安全操作系統(tǒng)、安全數(shù)據(jù)庫、網(wǎng)絡(luò)組件等，然而這些系統(tǒng)仍有局限性，并沒有真正達(dá)到安全系統(tǒng)的最高級別。因美國國防部制定的TCSEC準(zhǔn)則僅考慮到保密性，所以英國、法國、德國和荷蘭在ITSEC中加入了包含保密性、完整性和可用性概念的信息技術(shù)安全評估標(biāo)準(zhǔn)，但該標(biāo)準(zhǔn)并沒有為上述問題提供一個全面的理論模型和解決方案。在TCSEC、ITSEC、CTCPEC、美國聯(lián)邦準(zhǔn)則（FC）等安全準(zhǔn)則的基礎(chǔ)上，由美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、加拿大、英國、法國、德國、荷蘭共同制定了信息技術(shù)安全評價通用準(zhǔn)則（CC）。CC整合了現(xiàn)有國際評價及準(zhǔn)則，并被ISO確立為國際標(biāo)準(zhǔn)。

安全評估準(zhǔn)則

信息安全保護(hù)法建設(shè)

網(wǎng)絡(luò)和信息系統(tǒng)安全相關(guān)法律法規(guī)的建設(shè)也是美國關(guān)注的重點(diǎn)。2002年美國頒布了《聯(lián)邦信息安全管理法案》（FISMA），F(xiàn)ISMA定義了一個廣泛框架，用于保護(hù)聯(lián)邦政府的信息安全不被操控、破壞。歐盟對于信息安全保護(hù)法的頒布實施同樣重視，早在1995年歐盟就頒布了《數(shù)據(jù)保護(hù)法》《電子簽名法》《電子商務(wù)法》《網(wǎng)絡(luò)與信息安全建議》《電子歐洲計劃》等一系列法律法規(guī)，并在之后組建歐洲網(wǎng)絡(luò)與信息安全局（ENISA），以指導(dǎo)和協(xié)調(diào)各個成員國的信息安全工作。歐盟委員會(European Commission)在2011年加強(qiáng)網(wǎng)絡(luò)安全立法，以應(yīng)對日益增長的網(wǎng)絡(luò)攻擊威脅。根據(jù)新規(guī)定，網(wǎng)絡(luò)攻擊者和相關(guān)惡意軟件的制造者將被起訴，刑事處罰的上限將延長到兩年。在發(fā)生網(wǎng)絡(luò)攻擊時，歐洲各國有義務(wù)迅速回應(yīng)求助請求。法規(guī)還對非法攔截監(jiān)聽信息這一新的刑事犯罪進(jìn)行了界定。

我國信息安全防御現(xiàn)狀

防御措施

我國已將信息產(chǎn)業(yè)在國家中長期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要(2006—2020年)中列為11個重點(diǎn)領(lǐng)域之一，信息技術(shù)在今后能夠起到支撐發(fā)展、引領(lǐng)未來的作用。加強(qiáng)網(wǎng)絡(luò)與信息安全保障作為中國信息化建設(shè)的重要指導(dǎo)思想，是政府、部委、央企、金融及運(yùn)營商等依據(jù)國家標(biāo)準(zhǔn)及各自的行業(yè)標(biāo)準(zhǔn)，基本逐步完成自己的信息安全技術(shù)體系建設(shè)和信息安全管理體系建設(shè)，達(dá)到國家和主管單位對于信息系統(tǒng)安全保障的基礎(chǔ)要求?！笆濉逼陂g，根據(jù)國家的政策、各行業(yè)的發(fā)展、面臨威脅的變化，要求將信息安全發(fā)展向新的層級全面推進(jìn)。

2016年11月，全國人大常委會通過了《中華人民共和國網(wǎng)絡(luò)安全法》，其中規(guī)定“國家制定并不斷完善網(wǎng)絡(luò)安全戰(zhàn)略、國家堅持網(wǎng)絡(luò)安全與信息化發(fā)展并重、國家采取措施，監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動，維護(hù)網(wǎng)絡(luò)空間安全和秩序”，說明我國對網(wǎng)絡(luò)安全風(fēng)險和威脅非常重視，對關(guān)鍵信息基礎(chǔ)設(shè)施的安全非常關(guān)注。

信息安全相關(guān)法律法規(guī)

軍工企業(yè)信息安全防御體系

軍工企業(yè)是國防科技工業(yè)的重要組成部分，是國防綜合實力的重要發(fā)展企業(yè)。作為世界第二大經(jīng)濟(jì)體，中國擁有完整的工業(yè)體系，但在芯片、航空發(fā)動機(jī)等諸多核心領(lǐng)域則是遭受國外打壓、技術(shù)封鎖最嚴(yán)重的領(lǐng)域。隨著信息技術(shù)的全面發(fā)展，信息化建設(shè)已成為軍工企業(yè)科研開發(fā)不可缺少的組成部分。近年來，我國國防實力不斷提高，國防企業(yè)的綜合實力不斷增強(qiáng)，國內(nèi)外敵對勢力頻繁通過信息竊取、網(wǎng)絡(luò)攻擊等方式想要掌握我國軍工企業(yè)的生產(chǎn)、研究、開發(fā)、規(guī)劃和發(fā)展信息。

為建立信息安全防御體系，我國采用信息系統(tǒng)安全等級保護(hù)、分級保護(hù)來驗證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級，這是我國信息安全管理的一種有效方法。信息安全等級保護(hù)是信息技術(shù)發(fā)展和維護(hù)國家信息安全的根本保障，是國家在發(fā)展信息安全保護(hù)工作中下的決心。信息安全等級保護(hù)分為5個等級，其中，第一級為信息系統(tǒng)起到自主保護(hù)，第二級為信息系統(tǒng)能夠指導(dǎo)保護(hù)，第三級為監(jiān)督保護(hù)（對應(yīng)分級保護(hù)第一級），第四級為對信息系統(tǒng)及應(yīng)用系統(tǒng)的強(qiáng)制保護(hù)（對應(yīng)分級保護(hù)第二級），第五級為對系統(tǒng)的?？乇Ｗo(hù)（對應(yīng)分級保護(hù)第三級）。分級保護(hù)是根據(jù)信息的重要性和信息的最高安全等級來確定保護(hù)等級。通過等級保護(hù)和分級保護(hù)，提出了各級信息系統(tǒng)的技術(shù)要求和管理要求。技術(shù)要求包括身份認(rèn)證、訪問控制、數(shù)據(jù)完整性、審計等。管理要求主要是考核相關(guān)制度、人員管理，逐級提高防護(hù)要求。

態(tài)勢感知的安全處理流程

軍工企業(yè)信息安全防護(hù)按照國家保密局分級保護(hù)標(biāo)準(zhǔn)建設(shè)，《“十三五”國家信息化規(guī)劃》中失泄密監(jiān)管系統(tǒng)要求，重點(diǎn)加強(qiáng)監(jiān)測預(yù)警體系，有效防止內(nèi)部用戶有意或無意的泄密行為，有效應(yīng)對來自國內(nèi)外敵特組織的高級持續(xù)攻擊，實現(xiàn)網(wǎng)絡(luò)防護(hù)監(jiān)管一體化，支持網(wǎng)絡(luò)的主管部門和運(yùn)行維護(hù)部門對涉密網(wǎng)絡(luò)進(jìn)行自監(jiān)管。包括從人員、管理、技術(shù)等3方面持續(xù)改進(jìn)管理和技術(shù)體系，保證網(wǎng)絡(luò)物理隔離、終端管控、網(wǎng)絡(luò)分區(qū)與邊界防護(hù)、應(yīng)用系統(tǒng)防護(hù)、權(quán)限控制和知悉范圍管控、三員權(quán)限分離等基礎(chǔ)防護(hù)的持續(xù)有效；在涉密網(wǎng)絡(luò)互聯(lián)、涉密網(wǎng)日常運(yùn)行過程中，及時發(fā)現(xiàn)和處置失泄密行為、網(wǎng)絡(luò)安全攻擊事件、不合規(guī)操作和配置等，通過定期的安全審計、風(fēng)險自評估、監(jiān)督檢查等手段識別和處置網(wǎng)絡(luò)安全風(fēng)險。

深度防御技術(shù)特點(diǎn)及發(fā)展趨勢

現(xiàn)代信息安全在保證信息真實、完整、有效的同時，還要將信息系統(tǒng)建設(shè)成為集保護(hù)、感知、理解、預(yù)測和響應(yīng)為一體的深層次防御體系。信息安全深度防御技術(shù)從傳統(tǒng)的被動防御逐漸向監(jiān)測響應(yīng)型防御發(fā)展，并從整體上向系統(tǒng)化、主動防御方向發(fā)展，安全產(chǎn)品間的自適應(yīng)聯(lián)動保護(hù)增強(qiáng),是一個基于態(tài)勢感知的安全處置流程。該防御系統(tǒng)實時關(guān)注的主體有：計算機(jī)進(jìn)程、存儲的各種文件、通信時交換的信息、所有操作記錄和用戶指令等，該系統(tǒng)還要有一個獨(dú)立的系統(tǒng)防卸載模塊，以提高系統(tǒng)的可靠性。

態(tài)勢感知廣泛應(yīng)用于軍事、航空航天、網(wǎng)絡(luò)安全等領(lǐng)域?；趹B(tài)勢感知的安全處理流程包括首先收集關(guān)鍵信息，然后利用這些信息對系統(tǒng)進(jìn)行分析和理解，最后由決策者進(jìn)行預(yù)測處理?；趹B(tài)勢感知的安全解決方案對應(yīng)分析中心、監(jiān)控中心和運(yùn)維中心3部分。分析中心完成態(tài)勢感知數(shù)據(jù)的獲取和分析，監(jiān)控中心完成態(tài)勢感知的理解，包括對當(dāng)前網(wǎng)絡(luò)狀態(tài)和歷史網(wǎng)絡(luò)狀態(tài)的分析，運(yùn)維中心完成態(tài)勢感知和安全事件處理。實時采集企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)感知數(shù)據(jù)，使決策者能夠及時檢測威脅，掌握整個系統(tǒng)的安全狀態(tài)，統(tǒng)一應(yīng)對威脅，準(zhǔn)確判斷安全級別，并做出相應(yīng)的應(yīng)急響應(yīng)。處理結(jié)果將直接反饋給分析中心和監(jiān)控中心，以了解安全問題是否得到了妥善解決，從而更有效地提高安全水平。

結(jié)束語

信息安全問題已成為社會關(guān)注的焦點(diǎn)，信息安全深度防御系統(tǒng)已成為整個社會經(jīng)濟(jì)和企業(yè)生存發(fā)展的重要基礎(chǔ)。國外信息安全之路已經(jīng)發(fā)展了幾十年，從早期零散、隨意的標(biāo)準(zhǔn)，發(fā)展為系統(tǒng)化、層次化、覆蓋全生命周期的信息安全管理體系。借鑒國外先進(jìn)經(jīng)驗和理論，結(jié)合我國實際，在實際工作中靈活運(yùn)用，能有效提高我國特別是航空發(fā)動機(jī)領(lǐng)域的信息安全深度防御水平。