2012-09-20 09:44:06
來源:
隨著信息技術與信息產業的發展,軍隊網絡與信息安全問題對國防信息安全的重大影響,正日益突出地顯現出來。軍隊通信和作戰指揮系統的信息化建設是國防建設的重要內容,其安全性直接關系到國家的安危。如何從國家戰略的高度構筑軍隊信息安全的“防火墻”,已成為亟待解決的一個緊迫問題。
一、我國軍隊信息安全面臨的挑戰與威脅
當今社會,信息已成為維持社會經濟活動和生產活動的重要基礎資源,成為政治、經濟、文化、軍事乃至社會任何領域的基礎。軍隊對信息系統不斷增強的依賴性使得信息技術在提高軍隊工作效率的同時,也增大了軍隊信息系統受到嚴重侵擾和破壞后,遭受毀滅性打擊的風險。
目前,我國軍隊的信息系統既面臨著計算機欺詐、刺探情報、陰謀破壞、水災、火災等大范圍的安全威脅,又面臨著像計算機病毒、計算機攻擊和黑客非法入侵等破壞,而且隨著信息技術的發展和信息應用的深入,各種威脅變得越來越錯綜復雜。
歸納起來,對于軍隊信息安全系統所構成的威脅主要有以下幾類:
(一)信息泄露構成的威脅。所謂信息泄露,就是故意或偶然地獲取其他用戶的信息,特別是敏感的機密信息。我國信息化建設缺乏自主的核心技術支撐,計算機網絡的主要軟、硬件,如CPU芯片、操作系統和數據庫、網關軟件大多依賴進口。這些核心技術和專用設備往往存在著嚴重的安全隱患,使軍隊計算機網絡的安全性能大大降低,網絡處于被竊聽、干擾、監視和欺詐等多種安全威脅中,網絡安全處于極脆弱的狀態。另外,存儲于計算機系統中的涉密信息,很容易在傳輸過程中遭到非法者的冒充、篡改和竊收,使信息機密性遭到破壞,信息泄露而無法察覺,造成嚴重后果。
(二)信息破壞構成的威脅。所謂信息破壞,即由于偶然事故和人為故意破壞信息的正確性、完整性和可用性。對軍隊信息安全構成的最危險的威脅,是以獲取或破壞軍事信息系統為目的,針對計算機網絡信息系統而實施的主動攻擊。它主要包括以下幾種:
1.病毒型攻擊。計算機病毒實質是一段小的應用程序或一串惡意代碼,主要通過計算機移動存儲介質傳染和網絡傳染。當人們使用受傳染的磁盤、U盤和移動硬盤復制并移送文件,或者在網絡上下載有病毒的文件,打開有病毒的網頁,均可造成計算機病毒的傳播和蔓延。軍用計算機一旦遭到病毒感染,信息的真實性與完整性遭到破壞,系統無法正常運行,嚴重的甚至使整個系統癱瘓。目前外軍已經研制出具有超強破壞能力的計算機病毒、芯片病毒固化技術和計算機病毒無線電輸送裝備,正在研究以無線電方式、衛星輻射注入方式,將病毒植入計算機或各類傳感器、網橋中。
2.內置型攻擊。網絡黑客通過預設邏輯炸彈,輸送木馬程序等手段,侵入未防備的計算機系統,自動記錄、修改機密信息,刪除系統文件,利用軟件漏洞輸送病毒,破壞軟件執行,竊取機密文件。美國國防部和宇航局的網絡一直處于黑客不停頓地進攻下,而在我國,自1998年起黑客入侵事件日益猖獗,國內各大門戶網站幾乎都不同程度地遭受過黑客的攻擊。國內權威機構一項研究表明,目前我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵入,其中銀行、金融和證券機構是攻擊重點。我國每年各種重要數據和文件的濫用、泄漏、丟失、被盜,給國家和軍隊造成的損失數以億計。
另外,我軍某些官兵的信息安全意識淡薄,對安全問題存在僥幸心理,沒有做任何的安全措施,對引進的技術和設備缺乏有效的管理和技術改造,信息安全管理制度不完善。這些存在于軍隊計算機網絡中的安全隱患問題都可能對我軍信息安全系統構成致命威脅。
二、建立和完善我軍計算機網絡安全防護體系
“第一次世界大戰是化學家的戰爭;第二次世界大戰是物理學家的戰爭;第三次世界大戰,如果不幸發生的話,將是數學家和信息學家的戰爭。”為了在未來的網絡戰場和信息戰中取得絕對優勢,我軍應當依據信息化建設的標準,跟蹤外軍信息技術的發展趨勢,努力構建一個技術先進、管理高效、安全可靠的網絡安全防護體系。其關鍵是走“技術+管理”建設的雙重路線,依托先進的信息安全技術,加大信息安全管理力度,以確保軍隊現代化建設和軍事斗爭準備的順利進行。
(一)加大信息安全技術建設力度
未來戰場上信息優勢決定了作戰的主動權,成為戰爭制勝的決定性因素。為了取得信息優勢,首先必須在信息技術上領先于他國。因此,信息安全技術是最核心,最關鍵的技術。針對信息安全技術的特性(保密性,完整性,可用性,真實性),應加大以下幾個方面的建設力度:
1.數據加密技術
加密技術是網絡安全技術的基石,國家關鍵基礎設施不可能引進和采用別人的加密技術,因此,我軍信息安全系統應加大在數據加密上的自主開發和應用。數據加密技術可以分為三類, 即對稱型加密、不對稱型加密和不可逆加密。其中不可逆加密算法不存在密鑰保管和分發問題, 適用于分布式網絡系統。如廣泛應用在計算機系統中的口令加密,利用的就是不可逆加密算法。近年來, 隨著計算機系統性能的不斷提高, 不可逆加密算法的應用逐漸增加,如RSA公司發明的MD5算法和由美國國家標準局建議的不可逆加密標準SHS(Secure Hash Standard:安全雜亂信息標準)等。
2.密鑰管理技術
一個密碼系統的安全性取決于對密鑰的保護,而不是對系統或硬件本身的保護。密鑰的保密和安全管理問題在軍隊網絡中是一個非常重要的問題,這直接關系到系統的保密強度和使用效率。密鑰管理包括密鑰的產生、存儲、裝入、分配、保護、丟失、銷毀以及保密等內容,是保護軍事信息存儲,特別是傳輸安全的核心。加之考慮到軍隊網絡用戶的機動性,隸屬關系和聯合作戰關系的復雜性,對密鑰管理提出了很高的要求。
3.電磁信息泄露防護技術
一般的信息系統設備(特別是信息傳輸設備)都存在電磁信息泄露問題,主要有兩種情況:一是傳導發射,信息通過地線、電源線、信號線傳播出去;二是輻射發射,信息通過空間傳播出去。敵方可以用先進的電子接收設備將信號接收下來進行分析,從而造成泄密,因此做好信息防電磁泄漏工作極為重要。目前的防電磁信息泄露技術主要有三種:即信號干擾技術、電磁屏蔽技術和TEMPEST(低輻射)技術。生產和使用低輻射計算機設備是防止計算機電磁輻射泄密之根本措施。國外的一些先進國家對TEMPEST技術的應用非常重視,對使用的重要場合的計算機設備的輻射要求極為嚴格。如美國軍隊在開赴海灣戰爭前線之前,就將所有的計算機更換成低輻射計算機。但在我國這方面的產品還很少,且成本很高,很難大量使用,今后應重點研究滿足軍事需要的低成本的TEMPEST產品。
4.身份鑒別與驗證技術
身份識別(Identification)是指定用戶向系統出示自己的身份證明過程。身份認證(Authentication)是系統查核用戶的身份證明的過程。人們常把這兩項工作統稱為身份驗證(或身份鑒別), 是判明和確認通信雙方真實身份的兩個重要環節。身份鑒別與驗證技術主要是運用數字簽名技術,對實體的身份、有關的信息進行鑒別和確認,包括實現對信息源鑒別、對等實體鑒別、安全上下文服務、完整性鑒別、服務和文電安全標記服務等。鑒別與驗證技術的安全性,建立在密碼學的基礎上,能做到即使是技術上的內行或系統管理員,也不能假冒授權用戶,也無法竊取或修改有關信息,從而達到技術體制上的安全性。
5.病毒預防與防火墻技術
網絡環境下計算機病毒具有十分強的傳染性與破壞性,必須建立和執行嚴格的移動存儲硬盤和外來軟件病毒檢查制度, 配備最新有效的病毒檢測程序和殺毒軟件, 及時地發現和消除病毒, 增強系統的防毒能力。防火墻是軍隊信息安全系統對外防御的第一道關口,主要有以下幾種功能:網絡安全的屏障,強化網絡安全策略,對網絡存取和訪問進行監控審計,防止內部信息的外泄,實施 NAT (Network Address Translation) 技術的理想平臺等等。
6.研究開發網絡安全新技術
立足當前,著眼長遠,加大信息安全技術投入,學習和借鑒發達國家發展網絡信息安全技術的成功經驗,加強國際合作,實行引進、消化吸收與自主創新相結合,加快信息安全新技術的開發,以形成有軍隊特色的、先進可靠的信息安全保密技術和裝備體系,為軍隊的信息安全保密提供強有力的技術支撐。
(二) 加大信息安全管理力度
1.使用物理隔離手段,確保信息安全
一是特殊移動存儲U盤的使用。許多國家,包括中國對于涉及國家秘密的數據禁止使用網絡傳輸,做到這類數據在移動和存儲的過程中與網絡物理上的完全隔離。然而,去年曝出的美國退伍軍人資料在移動存儲過程中失竊的事件,再次敲響數據移動存儲的安全警鐘。我國自主研制的“揚盾”U盤,提供底層硬件加密機制,配套軟件實行授權口令操作,極大程度地提高了數據防護的可靠性,成為我軍信息安全戰場上又一先進兵器。
二是建立專用涉密計算機機房。保證涉密信息系統的機房設備和終端存放在安全可靠的地方,做到防火、防水、防震、防爆炸和防止外來人員進行物理上的盜取和破壞等,還要防止外界電磁場對涉密信息系統各個設備的電磁干擾,保證涉密信息系統的正常運行。處理秘密級、機密級信息的系統中心機房,應當采用有效的電子門控系統,利用IC卡或生理特征進行身份鑒別,并安裝電視監視系統,且配備警衛人員進行區域保護。
三是進行網絡隔離。網絡隔離,英文名為Network Isolation,主要是指把兩個或兩個以上可路由的網絡(如:TCP/IP)通過不可路由的協議(如:IPX/SPX、NetBEUI等)進行數據交換而達到隔離目的。其實現原理是通過專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術,進行不同安全級別網絡之間的數據交換,徹底阻斷了網絡間的直接TCP/IP連接,同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制,從而保證了網間數據交換的安全、可控,杜絕了由于操作系統和網絡協議自身漏洞帶來的安全風險。
2.制定嚴格的信息安全管理制度
一個完整的信息安全管理體系應當有科學安全管理的原則和嚴格的規章制度。安全管理的基本原則主要包括:一是多人負責原則,即在從事每一項與安全有關的活動時,都必須有兩人或多人在場;二是任期有限原則,即任何人不得長期擔任與安全有關的職務,應不定期地循環任職;三是職責分離原則,如計算機的編程與操作、機密資料的傳送和接收、操作與存儲介質保密、系統管理與安全管理等工作職責應當由不同人員負責。另外,各單位還可以根據自身的特點制定一系列的規章制度。如要求用戶必須定期升級殺毒軟件、定期備份重要資料,規定辦公計算機不得隨意安裝來路不明的軟件、不得打開陌生郵件,對違反規定的進行通報批評等等。
3.重視網絡信息安全人才的培養
十七大報告指出,要“堅持科技強軍,按照建設信息化軍隊、打贏信息化戰爭的戰略目標,加快機械化和信息化復合發展,積極開展信息化條件下軍事訓練,加緊培養大批高素質新型軍事人才”。很顯然,建設“信息化軍隊”,培養信息安全人才已成為我軍新時代國防和軍隊建設的戰略任務。
一要扎實開展保密教育。要從解決官兵思想問題入手,把保密教育作為各級黨委的重要工作,納入計劃,嚴格組織實施。牢固樹立保密就是保安全的觀念,不斷提高人員的思想素質和職業道德,著實打牢信息安全的思想基礎。上至高層領導,下到普通士兵,都要樹立信息安全意識,牢筑“意識防火墻”。
二是對網絡人員加強管理。在引導廣大官兵認識網絡泄密嚴重危害性的同時,加強網絡安全保密新知識和新技術的學習。要明確不同崗位的不同權限; 要結合機房、硬件、軟件、數據和網絡等各個方面的安全問題, 提高整體網絡安全意識; 要加強業務、技術培訓, 提高操作技能; 同時要教育工作人員嚴格遵守操作規程和各項保密規定, 嚴防人為事故的發生。
三是加強人才隊伍建設。通過院校培養、在職培訓和崗位鍛煉等形式,培養一批高素質的軍事信息安全保密骨干,使他們成為確保我軍信息安全的中流砥柱。孫子曰:“兵者,國之大事,死生之地,存亡之道,不可不察也。”因此,只有擁有一支訓練有素、善于信息安全管理的隊伍,才能保證軍隊在未來的信息化戰爭中占據主動地位。
