中國(guó)工程物理研究院信息化總師 趙 強(qiáng)

軍工單位承擔(dān)著涉及國(guó)家戰(zhàn)略安全的大型裝備和裝置研制任務(wù)，其網(wǎng)絡(luò)信息系統(tǒng)是支撐事業(yè)發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施之一。目前涉密計(jì)算機(jī)網(wǎng)絡(luò)都嚴(yán)格按照國(guó)家分級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和建設(shè)，按照保密主管部門的要求進(jìn)行了合規(guī)管理。但其信息安全保密仍然面臨嚴(yán)峻的技術(shù)和管理挑戰(zhàn)。

一是近些年來(lái)的IT新技術(shù)飛速發(fā)展，數(shù)字化和智能化制造理論和模式不斷涌現(xiàn)，要求IT架構(gòu)更加集成、高效、可控，目前從過(guò)去的“去中心化”向“再中心化”。這對(duì)資源整合及安全管理帶來(lái)新的挑戰(zhàn)。二是新老IT技術(shù)和系統(tǒng)的銜接過(guò)渡是永恒主題和痛點(diǎn)，不斷面臨新老技術(shù)和系統(tǒng)的升級(jí)、替換或集成問題，新舊系統(tǒng)融合與安全管理面臨巨大挑戰(zhàn)。三是各類系統(tǒng)的高危漏洞難以封堵，重大風(fēng)險(xiǎn)隨時(shí)可現(xiàn)。據(jù)國(guó)家信息安全漏洞庫(kù)（CNNVD）數(shù)據(jù)統(tǒng)計(jì)，2017年新增漏洞11097個(gè)。在發(fā)布的漏洞總數(shù)中，危害等級(jí)在高危以上的漏洞數(shù)量占到了總數(shù)的27.02%。

目前，網(wǎng)絡(luò)信息系統(tǒng)的技術(shù)現(xiàn)實(shí)是“有毒帶菌”不可避免、“缺芯少魂”格局難變。傳統(tǒng)被動(dòng)的、靜態(tài)的防護(hù)措施在惡意違規(guī)面前往往不堪一擊，必須有新思路、新措施，進(jìn)行體系化的主動(dòng)防御能力構(gòu)建。這種體系構(gòu)建，首先基于軍工信息網(wǎng)絡(luò)是一種高安全網(wǎng)絡(luò)。軍工高安全網(wǎng)絡(luò)是一種“確定性網(wǎng)絡(luò)”，其本質(zhì)特征表現(xiàn)在其使用人員、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、通信協(xié)議、物理位置、應(yīng)用系統(tǒng)以及相互關(guān)系都處于確定狀態(tài)。這種具有剛性約束條件的確定性網(wǎng)絡(luò)，可明確定義系統(tǒng)各組成部分，嚴(yán)格實(shí)施基于“白名單”的管控、進(jìn)行安全策略符合性檢測(cè)，并基于大數(shù)據(jù)進(jìn)行異常行為分析預(yù)警。

以此為前提，加強(qiáng)高安全網(wǎng)絡(luò)縱深防御能力的總體思路是：一、吸收ISO-27001信息安全管理體系精華，從體系構(gòu)建上下工夫；二、從技術(shù)構(gòu)建上下工夫，強(qiáng)化縱深防御和監(jiān)測(cè)感知能力；三、從減少核心數(shù)據(jù)暴露面上下工夫，實(shí)施多業(yè)務(wù)域+多安全域隔離；四、從“介入式防護(hù)”為主延伸到“非介入式監(jiān)控和風(fēng)險(xiǎn)評(píng)估”；五、從“線上對(duì)象”管理為主延伸覆蓋到組織外的“供應(yīng)鏈管理”；六、從“靜態(tài)安全”為主延伸到“動(dòng)態(tài)安全”有效性管理；七、從“合規(guī)性管理”為主延伸到“基于風(fēng)險(xiǎn)的管理”。