構(gòu)建“高安全網(wǎng)絡(luò)的縱深防御”

中國工程物理研究院信息化總師 趙 強

軍工單位承擔著涉及國家戰(zhàn)略安全的大型裝備和裝置研制任務(wù)，其網(wǎng)絡(luò)信息系統(tǒng)是支撐事業(yè)發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施之一。目前涉密計算機網(wǎng)絡(luò)都嚴格按照國家分級保護標準進行設(shè)計和建設(shè)，按照保密主管部門的要求進行了合規(guī)管理。但其信息安全保密仍然面臨嚴峻的技術(shù)和管理挑戰(zhàn)。

一是近些年來的IT新技術(shù)飛速發(fā)展，數(shù)字化和智能化制造理論和模式不斷涌現(xiàn)，要求IT架構(gòu)更加集成、高效、可控，目前從過去的“去中心化”向“再中心化”。這對資源整合及安全管理帶來新的挑戰(zhàn)。二是新老IT技術(shù)和系統(tǒng)的銜接過渡是永恒主題和痛點，不斷面臨新老技術(shù)和系統(tǒng)的升級、替換或集成問題，新舊系統(tǒng)融合與安全管理面臨巨大挑戰(zhàn)。三是各類系統(tǒng)的高危漏洞難以封堵，重大風險隨時可現(xiàn)。據(jù)國家信息安全漏洞庫（CNNVD）數(shù)據(jù)統(tǒng)計，2017年新增漏洞11097個。在發(fā)布的漏洞總數(shù)中，危害等級在高危以上的漏洞數(shù)量占到了總數(shù)的27.02%。

目前，網(wǎng)絡(luò)信息系統(tǒng)的技術(shù)現(xiàn)實是“有毒帶菌”不可避免、“缺芯少魂”格局難變。傳統(tǒng)被動的、靜態(tài)的防護措施在惡意違規(guī)面前往往不堪一擊，必須有新思路、新措施，進行體系化的主動防御能力構(gòu)建。這種體系構(gòu)建，首先基于軍工信息網(wǎng)絡(luò)是一種高安全網(wǎng)絡(luò)。軍工高安全網(wǎng)絡(luò)是一種“確定性網(wǎng)絡(luò)”，其本質(zhì)特征表現(xiàn)在其使用人員、計算機、網(wǎng)絡(luò)設(shè)備、通信協(xié)議、物理位置、應(yīng)用系統(tǒng)以及相互關(guān)系都處于確定狀態(tài)。這種具有剛性約束條件的確定性網(wǎng)絡(luò)，可明確定義系統(tǒng)各組成部分，嚴格實施基于“白名單”的管控、進行安全策略符合性檢測，并基于大數(shù)據(jù)進行異常行為分析預警。

以此為前提，加強高安全網(wǎng)絡(luò)縱深防御能力的總體思路是：一、吸收ISO-27001信息安全管理體系精華，從體系構(gòu)建上下工夫；二、從技術(shù)構(gòu)建上下工夫，強化縱深防御和監(jiān)測感知能力；三、從減少核心數(shù)據(jù)暴露面上下工夫，實施多業(yè)務(wù)域+多安全域隔離；四、從“介入式防護”為主延伸到“非介入式監(jiān)控和風險評估”；五、從“線上對象”管理為主延伸覆蓋到組織外的“供應(yīng)鏈管理”；六、從“靜態(tài)安全”為主延伸到“動態(tài)安全”有效性管理；七、從“合規(guī)性管理”為主延伸到“基于風險的管理”。