■ 翟蒙 / 中國(guó)航發(fā)研究院

在全球網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、信息技術(shù)獲得巨大發(fā)展的今天，信息戰(zhàn)爭(zhēng)現(xiàn)實(shí)化、戰(zhàn)場(chǎng)全球化、對(duì)抗常態(tài)化、網(wǎng)絡(luò)攻擊白熱化的趨勢(shì)越來(lái)越明顯，維護(hù)信息安全已成為事關(guān)國(guó)家安全、社會(huì)穩(wěn)定的大事。

隨著信息技術(shù)的發(fā)展和普及，信息化給國(guó)家軍事、社會(huì)和生活帶來(lái)了極大的改變，信息數(shù)據(jù)已成為國(guó)家的重要戰(zhàn)略資源。近年來(lái)，全球網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，世界各國(guó)不斷加強(qiáng)信息安全深度防御戰(zhàn)略部署，網(wǎng)絡(luò)格局已發(fā)生重大變革。在此大環(huán)境下，信息系統(tǒng)在數(shù)據(jù)采集、傳輸、存儲(chǔ)、應(yīng)用程序以及基礎(chǔ)環(huán)境等各個(gè)層面，不斷面臨著非法訪問(wèn)、網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等威脅，尤其央企、軍工行業(yè)受影響更大，其中芯片、光刻機(jī)、航空發(fā)動(dòng)機(jī)等又是國(guó)外重點(diǎn)關(guān)注對(duì)象，要維持信息系統(tǒng)安全、穩(wěn)定運(yùn)行，對(duì)信息安全防御能力有著很高的要求。本文通過(guò)對(duì)信息安全深度防御特點(diǎn)的分析，比較了美國(guó)、歐洲等發(fā)達(dá)國(guó)家和地區(qū)的信息安全政策、評(píng)估準(zhǔn)則、體系建設(shè)等，并探討了我國(guó)的信息安全政策、架構(gòu)及后續(xù)規(guī)劃。

全球信息安全防御現(xiàn)狀

在全球一體化的背景下，信息化建設(shè)得到各國(guó)重視，許多國(guó)家、地區(qū)及組織越來(lái)越依賴(lài)信息系統(tǒng)，其中風(fēng)險(xiǎn)、收益與信息安全密切相關(guān)，成為信息管理的重要組成部分。近年來(lái)，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì)，面對(duì)信息安全形勢(shì)的日益嚴(yán)峻，世界各國(guó)高度重視信息安全保障，其中美國(guó)、歐洲的信息安全深度防御體系起步較早，完成度最高，對(duì)其他國(guó)家具有指導(dǎo)作用。

信息安全評(píng)估準(zhǔn)則和標(biāo)準(zhǔn)建設(shè)

國(guó)際信息安全標(biāo)準(zhǔn)建設(shè)始于20世紀(jì)70年代中期，80年代迅速發(fā)展，90年代受到世界各國(guó)的關(guān)注。在80年代中期，為了滿足軍事電腦保密的需要，美國(guó)國(guó)防部（DoD）在20世紀(jì)70年代建設(shè)的基礎(chǔ)上制定了新的可信計(jì)算機(jī)系統(tǒng)安全評(píng)估標(biāo)準(zhǔn)（TCSEC）。自美國(guó)國(guó)防部發(fā)布TCSEC起，各國(guó)也相繼發(fā)布了自己的標(biāo)準(zhǔn)，如英國(guó)、法國(guó)、德國(guó)、荷蘭在20世紀(jì)90年代早期公布的信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)(ITSEC)、加拿大可信計(jì)算機(jī)產(chǎn)品評(píng)估標(biāo)準(zhǔn)（CTCPEC）、由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制定的信息安全管理標(biāo)準(zhǔn)BS779(ISO17799)和國(guó)際標(biāo)準(zhǔn)化組織（ISO）認(rèn)可的SSECMM(ISO/IEC21827：2002)等信息安全管理標(biāo)準(zhǔn)。

到目前為止，美國(guó)已經(jīng)開(kāi)發(fā)了100多個(gè)滿足TCSEC要求的安全系統(tǒng)，包括安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)組件等，然而這些系統(tǒng)仍有局限性，并沒(méi)有真正達(dá)到安全系統(tǒng)的最高級(jí)別。因美國(guó)國(guó)防部制定的TCSEC準(zhǔn)則僅考慮到保密性，所以英國(guó)、法國(guó)、德國(guó)和荷蘭在ITSEC中加入了包含保密性、完整性和可用性概念的信息技術(shù)安全評(píng)估標(biāo)準(zhǔn)，但該標(biāo)準(zhǔn)并沒(méi)有為上述問(wèn)題提供一個(gè)全面的理論模型和解決方案。在TCSEC、ITSEC、CTCPEC、美國(guó)聯(lián)邦準(zhǔn)則（FC）等安全準(zhǔn)則的基礎(chǔ)上，由美國(guó)國(guó)家安全局和國(guó)家技術(shù)標(biāo)準(zhǔn)研究所、加拿大、英國(guó)、法國(guó)、德國(guó)、荷蘭共同制定了信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則（CC）。CC整合了現(xiàn)有國(guó)際評(píng)價(jià)及準(zhǔn)則，并被ISO確立為國(guó)際標(biāo)準(zhǔn)。

安全評(píng)估準(zhǔn)則

信息安全保護(hù)法建設(shè)

網(wǎng)絡(luò)和信息系統(tǒng)安全相關(guān)法律法規(guī)的建設(shè)也是美國(guó)關(guān)注的重點(diǎn)。2002年美國(guó)頒布了《聯(lián)邦信息安全管理法案》（FISMA），F(xiàn)ISMA定義了一個(gè)廣泛框架，用于保護(hù)聯(lián)邦政府的信息安全不被操控、破壞。歐盟對(duì)于信息安全保護(hù)法的頒布實(shí)施同樣重視，早在1995年歐盟就頒布了《數(shù)據(jù)保護(hù)法》《電子簽名法》《電子商務(wù)法》《網(wǎng)絡(luò)與信息安全建議》《電子歐洲計(jì)劃》等一系列法律法規(guī)，并在之后組建歐洲網(wǎng)絡(luò)與信息安全局（ENISA），以指導(dǎo)和協(xié)調(diào)各個(gè)成員國(guó)的信息安全工作。歐盟委員會(huì)(European Commission)在2011年加強(qiáng)網(wǎng)絡(luò)安全立法，以應(yīng)對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)攻擊威脅。根據(jù)新規(guī)定，網(wǎng)絡(luò)攻擊者和相關(guān)惡意軟件的制造者將被起訴，刑事處罰的上限將延長(zhǎng)到兩年。在發(fā)生網(wǎng)絡(luò)攻擊時(shí)，歐洲各國(guó)有義務(wù)迅速回應(yīng)求助請(qǐng)求。法規(guī)還對(duì)非法攔截監(jiān)聽(tīng)信息這一新的刑事犯罪進(jìn)行了界定。

我國(guó)信息安全防御現(xiàn)狀

防御措施

我國(guó)已將信息產(chǎn)業(yè)在國(guó)家中長(zhǎng)期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要(2006—2020年)中列為11個(gè)重點(diǎn)領(lǐng)域之一，信息技術(shù)在今后能夠起到支撐發(fā)展、引領(lǐng)未來(lái)的作用。加強(qiáng)網(wǎng)絡(luò)與信息安全保障作為中國(guó)信息化建設(shè)的重要指導(dǎo)思想，是政府、部委、央企、金融及運(yùn)營(yíng)商等依據(jù)國(guó)家標(biāo)準(zhǔn)及各自的行業(yè)標(biāo)準(zhǔn)，基本逐步完成自己的信息安全技術(shù)體系建設(shè)和信息安全管理體系建設(shè)，達(dá)到國(guó)家和主管單位對(duì)于信息系統(tǒng)安全保障的基礎(chǔ)要求。“十三五”期間，根據(jù)國(guó)家的政策、各行業(yè)的發(fā)展、面臨威脅的變化，要求將信息安全發(fā)展向新的層級(jí)全面推進(jìn)。

2016年11月，全國(guó)人大常委會(huì)通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，其中規(guī)定“國(guó)家制定并不斷完善網(wǎng)絡(luò)安全戰(zhàn)略、國(guó)家堅(jiān)持網(wǎng)絡(luò)安全與信息化發(fā)展并重、國(guó)家采取措施，監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)空間安全和秩序”，說(shuō)明我國(guó)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅非常重視，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全非常關(guān)注。

信息安全相關(guān)法律法規(guī)

軍工企業(yè)信息安全防御體系

軍工企業(yè)是國(guó)防科技工業(yè)的重要組成部分，是國(guó)防綜合實(shí)力的重要發(fā)展企業(yè)。作為世界第二大經(jīng)濟(jì)體，中國(guó)擁有完整的工業(yè)體系，但在芯片、航空發(fā)動(dòng)機(jī)等諸多核心領(lǐng)域則是遭受?chē)?guó)外打壓、技術(shù)封鎖最嚴(yán)重的領(lǐng)域。隨著信息技術(shù)的全面發(fā)展，信息化建設(shè)已成為軍工企業(yè)科研開(kāi)發(fā)不可缺少的組成部分。近年來(lái)，我國(guó)國(guó)防實(shí)力不斷提高，國(guó)防企業(yè)的綜合實(shí)力不斷增強(qiáng)，國(guó)內(nèi)外敵對(duì)勢(shì)力頻繁通過(guò)信息竊取、網(wǎng)絡(luò)攻擊等方式想要掌握我國(guó)軍工企業(yè)的生產(chǎn)、研究、開(kāi)發(fā)、規(guī)劃和發(fā)展信息。

為建立信息安全防御體系，我國(guó)采用信息系統(tǒng)安全等級(jí)保護(hù)、分級(jí)保護(hù)來(lái)驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)，這是我國(guó)信息安全管理的一種有效方法。信息安全等級(jí)保護(hù)是信息技術(shù)發(fā)展和維護(hù)國(guó)家信息安全的根本保障，是國(guó)家在發(fā)展信息安全保護(hù)工作中下的決心。信息安全等級(jí)保護(hù)分為5個(gè)等級(jí)，其中，第一級(jí)為信息系統(tǒng)起到自主保護(hù)，第二級(jí)為信息系統(tǒng)能夠指導(dǎo)保護(hù)，第三級(jí)為監(jiān)督保護(hù)（對(duì)應(yīng)分級(jí)保護(hù)第一級(jí)），第四級(jí)為對(duì)信息系統(tǒng)及應(yīng)用系統(tǒng)的強(qiáng)制保護(hù)（對(duì)應(yīng)分級(jí)保護(hù)第二級(jí)），第五級(jí)為對(duì)系統(tǒng)的專(zhuān)控保護(hù)（對(duì)應(yīng)分級(jí)保護(hù)第三級(jí)）。分級(jí)保護(hù)是根據(jù)信息的重要性和信息的最高安全等級(jí)來(lái)確定保護(hù)等級(jí)。通過(guò)等級(jí)保護(hù)和分級(jí)保護(hù)，提出了各級(jí)信息系統(tǒng)的技術(shù)要求和管理要求。技術(shù)要求包括身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)完整性、審計(jì)等。管理要求主要是考核相關(guān)制度、人員管理，逐級(jí)提高防護(hù)要求。

態(tài)勢(shì)感知的安全處理流程

軍工企業(yè)信息安全防護(hù)按照國(guó)家保密局分級(jí)保護(hù)標(biāo)準(zhǔn)建設(shè)，《“十三五”國(guó)家信息化規(guī)劃》中失泄密監(jiān)管系統(tǒng)要求，重點(diǎn)加強(qiáng)監(jiān)測(cè)預(yù)警體系，有效防止內(nèi)部用戶有意或無(wú)意的泄密行為，有效應(yīng)對(duì)來(lái)自國(guó)內(nèi)外敵特組織的高級(jí)持續(xù)攻擊，實(shí)現(xiàn)網(wǎng)絡(luò)防護(hù)監(jiān)管一體化，支持網(wǎng)絡(luò)的主管部門(mén)和運(yùn)行維護(hù)部門(mén)對(duì)涉密網(wǎng)絡(luò)進(jìn)行自監(jiān)管。包括從人員、管理、技術(shù)等3方面持續(xù)改進(jìn)管理和技術(shù)體系，保證網(wǎng)絡(luò)物理隔離、終端管控、網(wǎng)絡(luò)分區(qū)與邊界防護(hù)、應(yīng)用系統(tǒng)防護(hù)、權(quán)限控制和知悉范圍管控、三員權(quán)限分離等基礎(chǔ)防護(hù)的持續(xù)有效；在涉密網(wǎng)絡(luò)互聯(lián)、涉密網(wǎng)日常運(yùn)行過(guò)程中，及時(shí)發(fā)現(xiàn)和處置失泄密行為、網(wǎng)絡(luò)安全攻擊事件、不合規(guī)操作和配置等，通過(guò)定期的安全審計(jì)、風(fēng)險(xiǎn)自評(píng)估、監(jiān)督檢查等手段識(shí)別和處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

深度防御技術(shù)特點(diǎn)及發(fā)展趨勢(shì)

現(xiàn)代信息安全在保證信息真實(shí)、完整、有效的同時(shí)，還要將信息系統(tǒng)建設(shè)成為集保護(hù)、感知、理解、預(yù)測(cè)和響應(yīng)為一體的深層次防御體系。信息安全深度防御技術(shù)從傳統(tǒng)的被動(dòng)防御逐漸向監(jiān)測(cè)響應(yīng)型防御發(fā)展，并從整體上向系統(tǒng)化、主動(dòng)防御方向發(fā)展，安全產(chǎn)品間的自適應(yīng)聯(lián)動(dòng)保護(hù)增強(qiáng),是一個(gè)基于態(tài)勢(shì)感知的安全處置流程。該防御系統(tǒng)實(shí)時(shí)關(guān)注的主體有：計(jì)算機(jī)進(jìn)程、存儲(chǔ)的各種文件、通信時(shí)交換的信息、所有操作記錄和用戶指令等，該系統(tǒng)還要有一個(gè)獨(dú)立的系統(tǒng)防卸載模塊，以提高系統(tǒng)的可靠性。

態(tài)勢(shì)感知廣泛應(yīng)用于軍事、航空航天、網(wǎng)絡(luò)安全等領(lǐng)域。基于態(tài)勢(shì)感知的安全處理流程包括首先收集關(guān)鍵信息，然后利用這些信息對(duì)系統(tǒng)進(jìn)行分析和理解，最后由決策者進(jìn)行預(yù)測(cè)處理?；趹B(tài)勢(shì)感知的安全解決方案對(duì)應(yīng)分析中心、監(jiān)控中心和運(yùn)維中心3部分。分析中心完成態(tài)勢(shì)感知數(shù)據(jù)的獲取和分析，監(jiān)控中心完成態(tài)勢(shì)感知的理解，包括對(duì)當(dāng)前網(wǎng)絡(luò)狀態(tài)和歷史網(wǎng)絡(luò)狀態(tài)的分析，運(yùn)維中心完成態(tài)勢(shì)感知和安全事件處理。實(shí)時(shí)采集企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)感知數(shù)據(jù)，使決策者能夠及時(shí)檢測(cè)威脅，掌握整個(gè)系統(tǒng)的安全狀態(tài)，統(tǒng)一應(yīng)對(duì)威脅，準(zhǔn)確判斷安全級(jí)別，并做出相應(yīng)的應(yīng)急響應(yīng)。處理結(jié)果將直接反饋給分析中心和監(jiān)控中心，以了解安全問(wèn)題是否得到了妥善解決，從而更有效地提高安全水平。

結(jié)束語(yǔ)

信息安全問(wèn)題已成為社會(huì)關(guān)注的焦點(diǎn)，信息安全深度防御系統(tǒng)已成為整個(gè)社會(huì)經(jīng)濟(jì)和企業(yè)生存發(fā)展的重要基礎(chǔ)。國(guó)外信息安全之路已經(jīng)發(fā)展了幾十年，從早期零散、隨意的標(biāo)準(zhǔn)，發(fā)展為系統(tǒng)化、層次化、覆蓋全生命周期的信息安全管理體系。借鑒國(guó)外先進(jìn)經(jīng)驗(yàn)和理論，結(jié)合我國(guó)實(shí)際，在實(shí)際工作中靈活運(yùn)用，能有效提高我國(guó)特別是航空發(fā)動(dòng)機(jī)領(lǐng)域的信息安全深度防御水平。