縱深防御的一體化軍事信息安全體系研究

石玲玲+周陽+呂博

摘 要：基于軍事信息系統特點，在對軍事信息系統的安全威脅及安全需求進行深入分析的基礎上，通過運用多級、多重、多類的安全防護機制及信息安全技術，構建了集物理安全、網絡安全、通信安全、終端安全于一體的軍事信息系統信息安全防御體系，能夠從物理層面、鏈路層面、網絡層面、應用層面等對軍事信息系統實行全方位、大縱深、動態化的安全防護，為一體化信息安全總體技術在軍事工程上的應用提供參考。

關鍵詞：軍事信息系統；信息安全；網絡安全

中圖分類號：TP393.08 文獻標識碼：A

Research of Information Security System in Military Information System Based on Depth Defense

Shi Ling-ling， Zhou Yang， Lv Bo

（Beijing Institute of Aerospace Systems Engineering， Beijing 100076）

Abstract： Based on characteristics of military information system， after discussion on the security attacks and security requirements of military information system， this article puts out the information security defense system integrated with physical security， network security， communication security， computing application security by using multi-stage， multiple safety protection mechanism and information security technology for the military information system， which can provide physical layer， link layer， network layer， and the application layer. This study will provide a reference for the application of integrated information security technology in military information system engineering.

Key words： Military Information System； Information Security； Network Security

1 引言

信息技術進步正改變著現代戰爭形態和作戰樣式。信息安全技術不但是發揮信息化技術帶來的高效率、高效益的有力保證，而且還是對抗霸權主義、抵御信息侵略的重要軍事屏障。在信息化作戰環境下，獲取信息的主動權就獲得了戰爭的決勝權，信息網絡是實現軍事戰場上各作戰單元之間信息無縫交換的關鍵，針對信息及信息網絡展開的激烈爭奪和攻擊，將是信息化戰場敵我對決的關鍵。

由于自身的敏感性和脆弱性，信息化條件下的軍事信息系統面臨的安全形勢更加嚴峻，威脅種類更加繁多。近年來，各種網絡安全事件層出不窮，各型網絡攻擊手段和武器裝備不斷推新，這就催生了信息安全技術在軍事領域的深化應用和快速發展。信息安全技術在提高C4ISR系統、指揮系統、通信系統等軍事信息系統的信息安全保障水平，增強系統的實戰抗攻擊能力和生存能力方面發揮著越來越重要的作用，并已成為信息化戰爭中奪取戰場“制信息權”的制高點。鑒于信息安全技術在軍事信息系統領域中的重要應用，各國正在逐步加強軍事信息系統的信息安全能力建設，信息安全能力已成為各國軍事保障能力建設的重要部分。

信息安全防御體系是發揮軍事信息系統信息化作戰效能的最重要保護屏障，建立并完善軍事信息系統的信息安全防御體系建設，將是提升軍事信息系統應對未來復雜信息對抗環境下的重中之重。

2 軍事信息系統安全需求分析

2.1 通信安全需求

軍事信息系統鏈接了指揮首端和軍事裝備末端，是由各級、各類軍事機構組成的分層、分級的立體化通信網絡。各級指揮之間具有TCP/IP網絡、衛星、微波、超短波、短波、中長波、散射等多種通信手段。軍事信息系統中有大量關鍵信息，如各級指令、軍事信息等在系統中流轉、傳輸，這些敏感的數據信息在缺少安全保障機制通信信道中傳輸時，容易被非法竊取、篡改、刪除、重放或偽造，因此軍事信息在傳輸中的機密性、完整性、可用性和認證性必須得到保障。

軍事信息安全傳輸需求。針對各類有線、無線等不同通信環境，對軍事通信的信息傳輸進行加密處理，即使數據在傳輸過程中得到截獲和竊聽，也不會造成重要作戰信息的泄露。

軍事指令的真實性和權威性驗證需求。軍事指揮需要按照嚴格的指揮程序，各級指令的真實性和權威性需要進行嚴格驗證。通信過程中的密碼機制和安全協議，可以為各級指揮之間的信息完整性、可用性和認證性提供保障，并確保指令的真實性和權威性，使得整個軍事指揮流程的有效、可靠。

密鑰安全管理需求。密鑰管理為信息加密提供密鑰服務，包括密鑰生產、分發、銷毀等，軍事信息系統中的密鑰管理可以采取離線和有線、分布式和集中式等不同的方式。在線密鑰管理需要密鑰協商協議的支撐，為密鑰分發提供安全保障。

通信可靠性保障需求。實現軍事通信可靠性，確保各級指揮、各系統的互聯互通，指揮消息的有效、可靠流轉，需要標準、規范的通信協議的控制。endprint

2.2 網絡安全需求

軍事計算機網絡為軍事信息系統提供了網絡平臺，各級軍事機構內部的計算機終端、服務器等通過交換設備構成了內部網絡。各級機構之間通過路由器、安全網關等路由設備構成了外部網絡。外部網絡對于內部網絡而言是未知、不安全且不可控的，需要在內外網之間進行網絡邊界安全防護，防范來自外網的攻擊，同時還需要采用一定的安全策略，防御來自內部網絡的各類攻擊。具體需求有八點。

網絡邊界安全控制需求。對進入內網的數據進行過濾和控制，防止非法、非授權的數據包進行內部網絡，一般采用防火墻設備解決邊界網絡安全控制問題。

網絡入侵檢測需求。網絡入侵是軍事網絡面臨的一個重要威脅，需要對網絡或系統中的違反安全策略的異常行為和被攻擊的跡象進行有效檢測和識別，在網絡系統受到危害之前攔截和響應入侵行為。一般采用入侵檢測設備解決網絡防入侵的安全問題。

網絡病毒隔離需求。外部網絡是造成軍事計算機內網感染病毒的重要原因之一。所以必須在網絡邊界處進行病毒隔離，切斷傳播途徑，防止病毒從網絡邊界進入內網。

網絡監控及審計需求。網絡監控和審計服務對維護軍事涉密網絡的安全性而言非常重要。通過行為監控、內容監控、數據庫監控、網絡狀態監控，對網絡、計算機進行監視和控制，并利用記錄和統計日志為安全審計、安全事件追溯分析提供依據。

身份認證及訪問控制需求。軍事系統各級、各戰位具有明顯的級別特征。防止非授權或越權操作和訪問，使信息按不同級別、不同權限實現安全共享在軍事信息系統中非常重要。通過身份認證及訪問控制，確保只有合法、授權的指揮終端、網絡設備才能接入到軍事指揮網絡，確保各級指揮只能按照級別和權限訪問相應的資源、操作相應的設備。

網絡安全集中管理需求。軍事信息系統中存在大量的信息安全設備，通過集中管理技術可以實現對網絡中各類安全設備運行狀態的集中監控，以及網絡安全策略的統一制定和發布，提高系統的管理效率。

網絡安全融合需求。軍事信息系統中配置了大量的網絡安全設備，網絡設備所產生的安全信息，如網絡威脅告警、網絡運行狀態、入侵攻擊、病毒信息等具有一定的關聯性，通過安全信息融合，分析安全事件的關聯，可以深入挖掘安全隱患，掌握全網安全態勢。

網絡安全聯動響應需求。安全設備快速聯動和安全威脅快速響應，可以提高處理安全問題的效率。通過聯動響應設計，實現全網絡防火墻、入侵檢測、網絡防病毒、網絡監控等安全設備的有效聯動，一旦出現異常情況，實施快速定位、報警、阻斷、隔離。

2.3 終端應用安全需求

計算終端、服務器等計算機設備在軍事信息系統中大量使用，計算機面臨的安全威脅也普遍存在。目前針對計算機系統的安全攻擊手段越來越多樣化、智能化，需要綜合利用系統安全手段，確保計算機軟硬件運行環境的安全。

漏洞檢測需求。需要對計算機系統、數據庫系統、應用程序等進行漏洞檢測，及時識別系統漏洞進行修復。

計算機防病毒需求。通過有效檢測的計算機病毒檢測技術，避免因計算機系統感染病毒而導致系統不能正常使用。

系統容災和恢復需求。重要數據、系統如數據服務器等需要有備份和應急恢復保障，能夠在系統出現故障的時候，實現快速切換和應急替代，保證系統可以持續提供服務。

信息安全存儲需求。對軍事信息、指令信息進行安全存儲防護，確保信息在服務器、數據庫中安全存儲，防止重要軍事信息、測試數據等信息泄露。

主機監控及審計需求。通過對計算機主機進行監控，保障涉密數據不被惡意竊取，防止非法設備隨意連接涉密計算機等。

2.4 物理安全防護需求

非國產化研制是目前軍事信息系統軟硬件產品中存在的最主要信息安全風險。美國等發達國家利用其在信息技術方面的優勢，壟斷了網絡、計算機、軟件等領域的大量技術和產品。采用不具備自主版權的進口軟硬件，存在一定的后門和漏洞風險，會造成信息泄露。

國產化研制及系統加固需求。“棱鏡門”事件為加強產品國產化研制敲響了警鐘，軍事領域要廣泛采用國產化的操作系統、數據庫系統和元器件、芯片、可信計算機等，防止軟硬件產品存在漏洞和后門，或采用加固的計算機系統和產品。

信息安全檢測需求。加強計算機產品的安全性檢測，確保其性能指標、安全性符合國標、軍標相關要求。需要成立相應的信息安全測評機構，負責對計算機系統、網絡產品、應用程序、信息安全產品的測試和評估，以發現產品和系統的脆弱性。

物理介質安全保護需求。通信鏈路、軟硬件產品等的物理安全防護存在薄弱環節。例如各級指揮機構之間通過光纖進行遠距離傳輸，光纖鏈路面臨著被物理破壞的威脅，造成數據泄露。

3 軍事信息系統信息安全防護體系架構

3.1 信息安全體系架構

隨著信息化攻擊技術手段智能化、先進化，針對軍事信息系統的攻擊威脅也將更加復雜、多樣，由多種安全手段綜合、多重安全屏障構成的“縱深防御”體系是未來軍事信息系統發展網絡安全的一個重點。

以滿足戰時對軍事信息系統的信息安全防護為需求，從保障軍事通信數據機密性傳輸、網絡邊界安全、內網安全、應用安全等方面出發，綜合利用多級、多層安全防護手段和主動防御措施，構建具備物理安全防護能力、網絡安全防護能力、通信鏈路安全防護能力、應用安全防護能力為一體的立體化、全方位的信息安全縱深防御體系，從外圍的物理安全，逐步向通信安全、網絡安全及內部的應用安全，為軍事信息系統打造層層深入、環環相扣的縱深防護安全屏障，實現深度安全防護、動態積極防御、精準安全態勢感知、快速威脅預警和阻斷隔離，確保軍事網絡安全防護能力實時可控，為奪取未來信息對抗中的主動權創造優勢。整個信息安全防護體系，通過統一的信息安全集中管理平臺[1]，實現對軍事信息系統運行狀態的安全監控、安全策略的統一配置、聯動響應策略制定、安全設備的集中管理。endprint

3.2 軍事信息系統信息安全防護體系組成

3.2.1物理安全防護

“棱鏡門”事件充分證明了自主研發的重要性。在航天軍事領域，一方面要推行國產化自主可控的信息設備，包括元器件、計算機、網絡設備和軟件系統，另一方面要將信息安全提升到戰略高度來部署，加強核心技術研究，形成擁有自主知識產權的、自主可控的國產化技術和產品。將國產自主可控作為設計原則，逐步實現核心芯片、核心計算處理設備及數據交換設備（如網絡設備、可信計算機、服務器等）、軟件產品（操作系統、數據庫、應用軟件、軟件開發工具等）的全面國產化改造。開展基于國產化的軍事信息系統網絡架構設計及關鍵技術研究，開展相關產品的原理性樣機研制、原理性試驗、產品開發，加強和推廣國產化產品在型號中的應用，逐步形成具有自主知識產權的系列產品。

3.2.2 通信安全防護

通信安全即數據傳輸安全，主要用于解決軍事信息網絡中的通信安全與保密問題。通過利用安全保密技術手段，確保數據在有線通信鏈路、無線通信鏈路等各種通信系統中的傳輸過程中不會遭遇竊聽、修改、重放、偽造等攻擊，確保數據的機密性、完整性、可用性和可認證性。系統保密采取終端加密方式、鏈路加密方式、網絡加密方式的綜合架構，通過軟硬件保密產品內嵌的保密算法、安全協議等實現通信中的加密、消息源及信息認證、完整性保護等。

密鑰管理采用一體化全生命周期密鑰管理體制，形成集密鑰產生、分發、銷毀、更新為一體的管理機制，實現密鑰的安全、高效使用。短波、超短波、衛星通信等無線通信的安全防護，除了加密還要考慮抗干擾通信、隱蔽通信等問題，確保信號的穩定和信道的暢通。新型信息安全技術可以用來改善目前軍用網絡信息安全防護能力，從而提高信息保護和信息對抗能力。量子通信具備通信容量大、傳輸速度快和無條件安全等特點，應用于軍事信息系統安全保密技術領域，較傳統加密技術具有無可比擬的優勢。

3.2.3網絡安全防護

網絡安全防御通過根據軍事信息系統網絡的特點，利用“邊界阻攔、內網查殺”的策略，建立起網絡邊界安全、內網安全的雙重保障。通過合理利用和部署各種防火墻技術、入侵檢測技術、網絡監控及審計技術、虛擬專用網VPN技術、認證及訪問控制技術、網關防病毒技術，使得計算機網絡能夠得到安全性防護，以能夠抵御針對計算機內網、邊界網絡的各類攻擊，確保網絡能夠持續、可靠提供服務。條件具備情況下，還可以通過探測敵方網絡的脆弱性，對計算機網絡實施反擊，致使網絡服務受阻，常用技術包括脆弱性掃描、網絡監聽和協議分析、口令破解、網絡欺騙攻擊、病毒攻擊、拒絕服務攻擊等。

3.2.4 應用安全防護

應用安全主要解決計算機系統的軟硬件運行環境安全問題，通過配置安全策略、檢測計算機系統的漏洞及進行修復和升級、設計和開發信息安全軟件、介質與載體安全保護技術、安裝防病毒軟件、主機監控及審計技術。

3.3 軍事信息系統信息安全防御流程

在信息化作戰體系中，系統中的各類網絡安全設備、安全元素對網絡邊界、系統內部各目標區域、目標物進行安全檢測，并將多源、多類態勢信息通過衛星、光纖、地面測控站等信息傳輸系統傳輸至網絡安全管理中心，達到多維網絡安全態勢感知。安全通信系統為各類無線、有線的信息信道傳輸提供語音、數據、圖像等信息的安全保密保障。網絡安全管理中心通過信息融合處理快速、準確判明威脅和攻擊的類型、發生區域以及攻擊源的位置等，根據對威脅攻擊的判定、評估和決策，確定應采取的響應措施。在安全管理系統的統一控制下，有關安全防護設備聯動響應，針對威脅或攻擊采取相應的措施，通過安全設備或嵌入通信系統、指控系統的安全防護元素，針對信息系統存在的安全漏洞或攻擊事件造成的破壞實現對系統的修復，抵御威脅和攻擊。安全管理系統根據信息獲取系統傳輸的安全態勢感知信息，對系統安全防御性能進行評估，實現“防、測、控、管、評”的閉環。

4 關鍵技術

網絡安全深度數據挖掘技術，可以實現對系統中各種網絡設備、監控設備以及防護設備提供的大量安全信息及安全事件的深度挖掘，并利用信息融合[2]技術，從各類海量信息進行特征提取和分析，對特征數據進行高效融合、聯合分析，分析其內在關聯性，發現潛在的安全威脅和隱含在正常數據流中的異常行為，達到對系統全網安全態勢的全面掌握，從而實現對潛在威脅的快速、提前預警和快速定位，增強系統主動防御能力。

網絡安全態勢評估技術，可以對信息安全態勢進行有效評估和預測，為動態優化調整安全策略提供輔助決策。目前應用于網絡安全態勢評估的數據融合算法，大致分為幾類：基于邏輯關系的融合方法、基于數學模型的融合方法、基于概率統計的融合方法以及基于規則推理的融合方法。

一體化聯動響應安全策略設計，可以實現系統在整體策略的控制下，防火墻、訪問控制、入侵檢測設備、病毒防御產品等安全設備、安全機制能夠有效配合和聯動響應，提高系統自動對網絡攻擊的識別和防御能力。一旦出現不符合型號規定的異常信息，進行聯合定位、報警、阻斷、隔離，提高對安全事件的快速響應速率和處理效能，在充分發揮各個安全單機產品的優勢的基礎上，達到整體性、最大化的防護效果。

5 結束語

信息安全防護能力是保障軍事信息系統信息化效能最大化發揮的關鍵，沒有信息安全就沒有軍事信息系統真正意義上的信息化。本文對軍事信息系統的物理安全、通信安全、網絡安全、應用安全進行了系統全面的防護需求分析，并基于需求分析，提出了適用于軍事信息系統的一體化信息安全防御體系架構，能夠從物理層、通信鏈路層、網絡層、應用層為軍事信息系統鑄造立體化、全方位的信息安全防御屏障，能夠有效增強軍事信息系統抵御各類復雜應用環境下信息安全攻擊威脅，有效提升軍事信息系統信息安全防御能力，為提升軍事信息化水平提供有力保障。

參考文獻

[1] 馬修湖，王濤.網絡信息安全集中管理平臺設計與實現 [J].江西通信科技. 2011 （02）.

[2] 張淑雯，劉效武，孫雪巖.基于多源融合的網絡安全態勢層次感知 [J].計算機技術與發展. 2016 （10）[2].endprint