构筑军队信息安全的“防火墙”

2012-09-20 09:44:06

来源:

随着信息技术与信息产业的发展,军队网络与信息安全问题对国防信息安全的重大影响,正日益突出地显现出来。军队通信和作战指挥系统的信息化建设是国防建设的重要内容,其安全性直接关系到国家的安危。如何从国家战略的高度构筑军队信息安全的“防火墙”,已成为亟待解决的一个紧迫问题。

一、我国军队信息安全面临的挑战与威胁

当今社会,信息已成为维持社会经济活动和生产活动的重要基础资源,成为政治、经济、文化、军事乃至社会任何领域的基础。军队对信息系统不断增强的依赖性使得信息技术在提高军队工作效率的同时,也增大了军队信息系统受到严重侵扰和破坏后,遭受毁灭性打击的风险。

目前,我国军队的信息系统既面临着计算机欺诈、刺探情报、阴谋破坏、水灾、火灾等大范围的安全威胁,又面临着像计算机病毒、计算机攻击和黑客非法入侵等破坏,而且随着信息技术的发展和信息应用的深入,各种威胁变得越来越错综复杂。

归纳起来,对于军队信息安全系统所构成的威胁主要有以下几类:

(一)信息泄露构成的威胁。所谓信息泄露,就是故意或偶然地获取其他用户的信息,特别是敏感的机密信息。我国信息化建设缺乏自主的核心技术支撑,计算机网络的主要软、硬件,如CPU芯片、操作系统和数据库、网关软件多依赖进口。这些核心技术和专用设备往往存在着严重的安全隐患,使军队计算机网络的安性能大大降低,网络处于被窃听、扰、监视和欺诈等多种安威胁中,网络安处于极脆弱的状态。另外,存储于计算机系统中的涉密信息,很容易在传输过程中遭到非法者的冒充、篡改和窃收,使信息机密性遭到破坏,信息泄露而无法察觉,造成严重后果。

(二)信息破坏构成的威胁。所谓信息破坏,即由于偶然事故和人为故意破坏信息的正确性、完整性和可用性。对军队信息安全构成的最危险的威胁,是以获取或破坏军事信息系统为目的,针对计算机网络信息系统而实施的主动攻击。它主要包括以下几种:

1.病毒型攻击。计算机病毒实质是一段小的应用程序或一串恶意代码,主要通过计算机移动存储介质传染和网络传染。当人们使用受传染的磁盘、U盘和移动硬盘复制并移送文件,或者在网络上下载有病毒的文件,打开有病毒的网页,均可造成计算机病毒的传播和蔓延。军用计算机一旦遭到病毒感染,信息的真实性与完整性遭到破坏,系统无法正常运行,严重的甚至使整个系统瘫痪。目前外军已经研制出具有超强破坏能力的计算机病毒、芯片病毒固化技术和计算机病毒无线电输送装备,正在研究以无线电方式、卫星辐射注入方式,将病毒植入计算机或各类传感器、网桥中。

2.内置型攻击。网络黑客通过预设逻辑炸弹,输送木马程序等手段,侵入未防备的计算机系统,自动记录、修改机密信息,删除系统文件,利用软件漏洞输送病毒,破坏软件执行,窃取机密文件。美国国防部和宇航局的网络一直处于黑客不停顿地进攻下,而在我国,自1998年起黑客入侵事件日益猖獗,国内各大门户网站几乎都不同程度地遭受过黑客的攻击。国内权威机构一项研究表明,目前我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。我国每年各种重要数据和文件的滥用、泄漏、丢失、被盗,给国家和军队造成的损失数以亿计。 

另外,我军某些官兵的信息安意识淡薄,对安全问题存在侥幸心理,没有做任何的安全措施,对引进的技术和设备缺乏有效的管理和技术改造,信息安管理制度完善存在于军队计算机网络中的安隐患问题都可能对我军信息安全系统构成致命威胁。

二、建立和完善我军计算机网络安全防护体系

“第一次世界大战是化学家的战争;第二次世界大战是物理学家的战争;第三次世界大战,如果不幸发生的话,将是数学家和信息学家的战争。”为了在未来的网络战场和信息战中取得绝对优势,我军应当依据信息化建设的标准,跟踪外军信息技术的发展趋势,努力构建一个技术先进、管理高效、安全可靠的网络安全防护体系。其关键是走“技术+管理”建设的双重路线,依托先进的信息安全技术,加大信息安全管理力度,以确保军队现代化建设和军事斗争准备的顺利进行。

(一)加大信息安全技术建设力度

未来战场上信息优势决定了作战的主动权,成为战争制胜的决定性因素。为了取得信息优势,首先必须在信息技术上领先于他国。因此,信息安全技术是最核心,最关键的技术。针对信息安全技术的特性(保密性,完整性,可用性,真实性),应加大以下几个方面的建设力度:

1.数据加密技术

加密技术是网络安全技术的基石,国家关键基础设施不可能引进和采用别人的加密技术,因此,我军信息安全系统应加大在数据加密上的自主开发和应用。数据加密技术可以分为三类即对称型加密、不对称型加密和不可逆加密。其中不可逆加密算法不存在密钥保管和分发问题适用于分布式网络系统。如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。近年来随着计算机系统性能的不断提高不可逆加密算法的应用逐渐增加,如RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard:安全杂乱信息标准)等。

2密钥管理技术

一个密码系统的安全性取决于对密钥的保护,而不是对系统或硬件本身的保护。密钥的保密和安全管理问题在军队网络中是一个非常重要的问题,这直接关系到系统的保密强度和使用效率。密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁以及保密等内容,是保护军事信息存储,特别是传输安全的核心。加之考虑到军队网络用户的机动性,隶属关系和联合作战关系的复杂性,对密钥管理提出了很高的要求。

3电磁信息泄露防护技术

一般的信息系统设备(特别是信息传输设备)都存在电磁信息泄露问题,主要有两种情况:一是传导发射,信息通过地线、电源线、信号线传播出去;二是辐射发射,信息通过空间传播出去。敌方可以用先进的电子接收设备将信号接收下来进行分析,从而造成泄密,因此做好信息防电磁泄漏工作极为重要。目前的防电磁信息泄露技术主要有三种:即信号干扰技术、电磁屏蔽技术和TEMPEST低辐射技术。生产和使用低辐射计算机设备是防止计算机电磁辐射泄密根本措施。国外的一些先进国家对TEMPEST技术的应用非常重视,对使用的重要场合的计算机设备的辐射要求极为严格。如美国军队在开赴海湾战争前线之前,就将所有的计算机更换成低辐射计算机。但在我国这方面的产品还很少,且成本很高,很难大量使用,今后应重点研究满足军事需要的低成本的TEMPEST产品。

4.身份鉴别与验证技术

  身份识别(Identification)是指定用户向系统出示自己的身份证明过程身份认证(Authentication)是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别), 是判明和确认通信双方真实身份的两个重要环节。身份鉴别与验证技术主要是运用数字签名技术,对实体的身份、有关的信息进行鉴别和确认,包括实现对信息源鉴别、对等实体鉴别、安全上下文服务、完整性鉴别、服务和文电安全标记服务等。鉴别与验证技术的安全性,建立在密码学的基础上,能做到即使是技术上的内行或系统管理员,也不能假冒授权用户,也无法窃取或修改有关信息,从而达到技术体制上的安全性。

5.病毒预防与防火墙技术

  网络环境下计算机病毒具有十分强的传染性与破坏性,必须建立和执行严格的移动存储硬盘和外来软件病毒检查制度配备最新有效的病毒检测程序和杀毒软件及时地发现和消除病毒增强系统的防毒能力。防火墙是军队信息安全系统对外防御的第一道关口,主要有以下几种功能:网络安全的屏障,强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄,实施 NAT (Network Address Translation) 技术的理想平台等等。

6.研究开发网络安全新技术

  立足当前,着眼长远,加大信息安全技术投入,学习和借鉴发达国家发展网络信息安全技术的成功经验,加强国际合作,实行引进、消化吸收与自主创新相结合,加快信息安全新技术的开发,以形成有军队特色的、先进可靠的信息安全保密技术和装备体系,为军队的信息安全保密提供强有力的技术支撑。

(二) 加大信息安全管理力度

1.使用物理隔离手段,确保信息安全

一是特殊移动存储U盘的使用。许多国家,包括中国对于涉及国家秘密的数据禁止使用网络传输,做到这类数据在移动和存储的过程中与网络物理上的完全隔离。然而,去年曝出的美国退伍军人资料在移动存储过程中失窃的事件,再次敲响数据移动存储的安全警钟。我国自主研制的“扬盾”U盘,提供底层硬件加密机制,配套软件实行授权口令操作,极大程度地提高了数据防护的可靠性,成为我军信息安全战场上又一先进兵器。

二是建立专用涉密计算机机房。保证涉密信息系统的机房设备和终端存放在安全可靠的地方,做到防火、防水、防震、防爆炸和防止外来人员进行物理上的盗取和破坏等,还要防止外界电磁场对涉密信息系统各个设备的电磁干扰,保证涉密信息系统的正常运行。处理秘密级、机密级信息的系统中心机房,应当采用有效的电子门控系统,利用IC卡或生理特征进行身份鉴别,并安装电视监视系统,且配备警卫人员进行区域保护。

三是进行网络隔离。网络隔离,英文名为Network Isolation,主要是指把两个或两个以上可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPXNetBEUI等)进行数据交换而达到隔离目的。其实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。

2.制定严格的信息安全管理制度

个完整的信息安全管理体系应当有科学安全管理的原则和严格的规章制度。安全管理的基本原则主要包括:一是多人负责原则,即在从事每一项与安全有关的活动时,都必须有两人或多人在场;二是任期有限原则,即任何人不得长期担任与安全有关的职务,应不定期地循环任职;三是职责分离原则,如计算机的编程与操作、机密资料的传送和接收、操作与存储介质保密、系统管理与安全管理等工作职责应当由不同人员负责。另外,各单位还可以根据自身的特点制定一系列的规章制度。如要求用户必须定期升级杀毒软件、定期备份重要资料,规定办公计算机不得随意安装来路不明的软件、不得打开陌生邮件,对违反规定的进行通报批评等等。

3重视网络信息安全人才的培养

十七大报告指出,要“坚持科技强军,按照建设信息化军队、打赢信息化战争的战略目标,加快机械化和信息化复合发展,积极开展信息化条件下军事训练,加紧培养大批高素质新型军事人才”。很显然,建设“信息化军队”,培养信息安全人才已成为我军新时代国防和军队建设的战略任务。

一要扎实开展保密教育。要从解决官兵思想问题入手,把保密教育作为各级党委的重要工作,纳入计划,严格组织实施。牢固树立保密就是保安全的观念,不断提高人员的思想素质和职业道德,着实打牢信息安全的思想基础。上至高层领导,下到普通士兵,都要树立信息安全意识,牢筑“意识防火墙”。

二是对网络人员加强管理。在引导广大官兵认识网络泄密严重危害性的同时,加强网络安全保密新知识和新技术的学习。要明确不同岗位的不同权限要结合机房、硬件、软件、数据和网络等各个方面的安全问题提高整体网络安全意识要加强业务、技术培训提高操作技能同时要教育工作人员严格遵守操作规程和各项保密规定严防人为事故的发生。

三是加强人才队伍建设。通过院校培养、在职培训和岗位锻炼等形式,培养一批高素质的军事信息安全保密骨干,使他们成为确保我军信息安全的中流砥柱。孙子曰:“兵者,国之大事,死生之地,存亡之道,不可不察也。”因此,只有拥有一支训练有素、善于信息安全管理的队伍,才能保证军队在未来的信息化战争中占据主动地位。

  • 关键词:
  • 军队信息化
  • 信息安全
  • 数据防泄
索取“此产品”详细资料,请留言
  • *姓名:
  • *手机:
  • *邮寄地址: