關于海軍信息網絡安全體系建設的思考

◆陳才軍 賀衛東

（中電長城網際安全技術研究院（北京）有限公司 北京 100097）

習近平總書記指出，建設強大的現代化海軍是建設世界一流軍隊的重要標志，是建設海洋強國的戰略支撐，是實現中華民族偉大復興中國夢的重要組成部分。隨著國際、國內和周邊環境的變化，海軍作為包括海、陸、空、天、電等多維作戰要素的兵種，其使命任務、作戰環境和作戰模式正在發生深刻變化，海軍信息網絡安全體系的發展要遵循“能打仗、打勝仗”的根本要求，貫徹“戰略清晰、技術先進、產業領先、攻防兼備”的網絡強國要求，構建與體系作戰能力要求相適應的一體化的網絡系統和安全體系，為多域聯合作戰提供可靠、可信和安全保障。

1 美軍信息網絡安全體系建設模式

在遭受“9·11”恐怖襲擊之后，美國進一步加強了對“非對稱戰爭”的關注，把確保信息系統安全列為國家安全戰略最重要的組成部分。美海軍作為美國武裝力量的一個重要軍種，作為世界上最強的海軍，其信息網絡安全體系建設路徑值得借鑒和參考。

1.1 以一體化網絡建設為基礎增強協同作戰能力

20世紀90年代末，美軍正式提出建設GIG（全球信息柵格，global information grid）。為滿足網絡中心戰的要求，美海軍根據GIG的公共框架和規范，提出并開發了FORCENet（部隊網），將分布在世界范圍的國防信息交換網絡、海軍/海軍陸戰隊內聯網、海軍陸戰隊企業網絡、美國大陸外企業網絡和各艦艇網絡進行互聯，實現了不同作戰域的網系互通。在艦船作戰系統向一體化、集成化、系統化發展的基礎上，美國海軍利用TSCE（全艦計算環境，total ship computing environment），基于開放式體系結構和民用現成技術，將艦載C4ISR、武器系統、艦船狀態監控系統，以及艦船的維護、補給、訓練等進一步融合為一個一體化的網絡，最終達到艦艇武器跨系統、跨平臺甚至跨領域的協同作戰能力。

1.2 以攻防靶場建設為依托提升實戰化能力

作為“國家網絡安全計劃”的重要組成部分，2008年美國國防部國防高級研究計劃局（DARPA）牽頭建立了NCR（國家網絡空間靶場，national cyber range）。美各軍兵種根據自身需求相繼建立海軍賽博靶場、陸軍賽博靶場、海軍網絡空間作戰靶場等，現已通過集成或互聯的方式接入美國國防部CSR（賽博安全靶場，cyber security range），統一海軍和海軍陸戰隊的網絡空間作戰訓練、演習、測試和評估活動。2015年11月“大膽美洲鱷魚”演習中，海軍陸戰隊測試了海軍研究辦公室研制的模擬實戰場景的“戰術網絡靶場”，將網絡空間訓練擴展至無線電頻率物理環境，更好的整合信息能力與傳統作戰，支持具有戰術優勢的任務目標。未來海軍陸戰隊所有基地的城市作戰培訓靶場都將具備通信情報和網絡戰中海軍士兵動態和全頻譜訓練的能力。

1.3 以多建制作戰力量建設為保障強化協同效應

美海軍于2002年成立海軍網絡作戰司令部。同年在弗吉尼亞州的諾福克海軍基地組建新型“海軍計算機事故反應隊”，在通信網絡的各個地點設置了傳感器系統，不間斷監視網絡運行，發現網絡薄弱環節并進行維護。2008年海軍整合旗下的信息作戰能力，成立海軍信息作戰司令部。2014年8月，美海軍創建了編制100名工作人員的“網絡覺醒特遣部隊”，致力于擬定協議、檢測確認漏洞、增強網絡意識、加固網絡安全性及海軍計算機網絡的訪問權限，以保護計算機網絡，提升海軍整體的網絡安全性。到2018年，美海軍已組建網絡任務部隊53支，其中海軍40支、海軍陸戰隊13支。2019年，美國海軍陸戰隊組建了一支輔助志愿者網絡安全部隊，人員主要由志愿平民和退伍軍人組成，將在網絡安全和其他計算機相關問題上培訓、教授、建議和指導海軍陸戰隊。

1.4 以軍民一體化為抓手夯實組織建設模式

2011年，美海軍授予通用動力先進信息系統等四家公司網絡安全合同，要求對海軍在戰術、作戰和戰略層次的網絡空間系統進行科學普查，合同2.04億美元。2016年9月，美海軍將技術評估、需求分析、建模與模擬、培訓，以及安全工程、網絡安全等任務，外包雷神公司等七家廠商，合同總價約10億美元。2019年，美導彈防御局授予洛克希德?馬丁公司2.4億美元合同，以支持開發彈道導彈防御系統的建模和仿真框架。2019年，美國海軍“下一代企業網絡”硬件項目授予惠普公司，合同金額14億美元。

1.5 以新技術軍事應用為牽引提高賽博安全能力

2012年至2018年，美海軍數據中心和應用優化項目辦公室整合了133個數據中心，開發現代企業級托管環境，確保了海軍可以在企業數據中心和商業云中訪問有效管理的、安全、可靠和靈活的服務。2017年2月，海軍簽署“云優先”備忘錄，利用商用云提供方提供的各類服務進行大數據分析、人工智能和機器學習，減少海軍受攻擊面，提升賽博安全性并加強云運行環境下對數據的保護。2019年，美海軍信息戰系統司令部舉辦人工智能應用自主網絡安全挑戰賽，旨在推動海軍探索先進的終端安全產品，通過整合人工智能和機器學習模型來檢測和挫敗惡意軟件。隨著人工智能、無人機和增材制造等下一代技術的發展，美軍正在探索區塊鏈技術的軍事應用，希望利用區塊鏈技術去中心化、防篡改和去信任等特點來構建全新的賽博防御能力，保障關鍵軍事資產和武器系統的賽博安全。

2 海軍信息網絡安全體系建設發展方向

2.1 以通信為主體的強大的信息基礎設施

海軍通信與其他軍兵種的通信相比，具有通信距離遠、覆蓋范圍大、通信使用的頻段跨度大、兵力具有移動性且動態變化頻繁、無線環境惡劣等五大基本特征。未來海軍通信網將重點解決多平臺多兵種聯合作戰、敵對電磁環境下可信可管等問題，逐步建立起全域互聯、全程貫通的一體化通信網絡，具有穩定可靠的通信能力，具有自動修復能力、敏捷適應能力和自行組織能力，達到任何指戰員在任何時間、任何地點都可與通信網絡上的任何人通信和共享信息的目標。

2.2 面向多種任務需求的協同體系

海軍武器裝備體系只有在多平臺的聯合與協同下才能發揮出最大的作戰效能，具備一體化集成能力、動態協同能力的指揮協同體系是前提保障。協同體系能實時、準確地通報友軍信息，提供戰場環境、中方和敵對方信息，形成綜合戰場態勢；以任務為驅動，快速組織作戰資源，靈活制定作戰計劃，實現系統內及系統間的信息交換、各作戰平臺間的信息共享和互操作、基于人機一體的實時快速決策能力。

2.3 基于自主安全可控的武器系統和平臺

按照國家自主可控的要求和路徑，立足于國有CPU和操作系統，采用國產數據庫系統來構建軍用網絡系統，確保核心網絡設備國產化，從而形成自主防護的安全盾牌，解決“后門”和“斷供”等安全隱患。同時，將安全與自主可控結合起來，將安全作為自主可控的內生基因，實現由自主可控變成自主安全可控。

2.4 可管可控的“供應鏈”安全評估體系

當前我方武器系統的研制嚴重依賴于美方的操作系統、開發環境以及底層交互協議，隨著武器裝備信息化程度不斷提高，武器系統由于依賴于商業和開源軟件，以及通過不同渠道采辦的硬件組件，無法得到可靠的安全保障，武器信息系統普遍存在網絡漏洞等隱患，導致武器系統在戰場的安全隱患和不對稱性。圍繞武器系統、武器生產系統、武器“供應鏈”安全需求，針對武器系統網絡化、計算機化、平臺化和模塊化的問題，通過對武器系統“供應鏈”安全開展風險評估和安全防護技術研究，解決現有武器裝備系統安全漏洞，為未來武器系統建設和作戰能力保障提供借鑒。

2.5 基于攻防對抗的演訓演練環境

網絡空間靶場作為支撐網絡空間安全技術驗證、網絡武器裝備試驗、攻防對抗演練和網絡風險評估的重要基礎設施，成為新興網絡安全戰略、專業人才隊伍建設的重要支撐手段。參考美軍網絡靶場建設模式，建設并完善基于攻防對抗的演訓演練環境。通過演練演訓，探索軍地“平戰”協作支撐機制和合作模式，研究軍種協同、多域協同、人機協同、虛實協同“四個協同”能力生成和技術攻關，為部隊作戰效果評估、作戰指揮評測、武器效能驗證及作戰力量考核等提供環境與條件支撐。

2.6 基于攻擊語境的動態安全防護體系

隨著海軍通信網絡的互聯互通、指揮信息系統的集成聯動，網絡攻擊的日益頻繁，海軍信息網絡將面臨更為嚴峻的網絡安全威脅，需要從網絡物理層面、系統層面、網絡層面、應用層面、管理層面，參考關鍵信息基礎設施網絡安全保護的識別認定、安全防護、檢測評估、監測預警、事件處置五個環節，按照恰當的安全等級，建立層次性的安全防護體系。同時，基于攻防對抗的理念，通過構建的動態靶場、攻防環境，建立動態度量機制，以攻促防，以攻促改，不斷完善網絡安全建設的頂層設計、政策機制和保障措施，不斷消除安全隱患，提升主動防御的能力。

2.7 高水平且可信的安全力量

組建或加強專業的網絡防護部隊，負責抵抗網絡攻擊，提升海軍整體的網絡安全性。加強安全管理和安全技術培訓，提升專業安全人員能力和水平。以網絡空間安全領域現實需求為牽引，吸收網絡領域高水平專家，探索軍地共建“網信領域”高端智庫，打造“網信領域”高端咨詢智囊；組建網絡空間預備役隊伍，提升關鍵時刻服務保障能力。

3 海軍信息網絡安全體系建設思路

基于對海軍信息網絡安全體系建設發展方向的分析，海軍信息網絡安全體系建設可按基礎防護體系、動態對抗體系、安全能力傳導體系“三道防線”的設計思路，構建多層次、縱深化、主動防御的安全體系架構。

3.1 基礎防護體系（第一道防線）

將安全、可控、可信的基本功能機制嵌入到物理環境、網絡通訊和計算環境（云平臺+大數據）等基礎設施和設備，為各類系統和應用提供一個安全可控的基礎環境。結合海軍信息網絡特點、現狀及建設發展，基于自主可靠產品和技術服務平臺，從安全技術、安全管理、”供應鏈”安全等方面，構建涵蓋物理和環境、網絡和通信、設備和計算、應用和數據等層次的網絡安全防護體系。

3.2 動態對抗體系（第二道防線）

以第一道防線為基礎，利用大數據智能分析、主動探測、攻擊測試等技術手段，針對各類安全威脅進行細粒度、多角度、持續化的實時動態分析，自動適應不斷變化的網絡和威脅環境，不斷優化部署的安全防御機制，形成一個動態的安全防御體系，動態應對未知的網絡安全風險。

3.3 能力傳導體系（第三道防線）

引入產業界能力、國家專控隊伍能力、國際交流獲得的能力，整合多源安全情報系統，結合網絡靶場建設，形成針對岸基、艦載系統、平臺的能力支撐平臺，實現威脅情報、態勢感知、應急處置等能力傳導，提升相關人員能力水平，提升海軍信息網絡安全防護水平。