关于海军信息网络安全体系建设的思考

2020-12-30陈才军贺卫东

网络安全技术与应用 2020年8期

◆陈才军贺卫东

（中电长城网际安全技术研究院（北京）有限公司北京 100097）

习近平总书记指出，建设强大的现代化海军是建设世界一流军队的重要标志，是建设海洋强国的战略支撑，是实现中华民族伟大复兴中国梦的重要组成部分。随着国际、国内和周边环境的变化，海军作为包括海、陆、空、天、电等多维作战要素的兵种，其使命任务、作战环境和作战模式正在发生深刻变化，海军信息网络安全体系的发展要遵循“能打仗、打胜仗”的根本要求，贯彻“战略清晰、技术先进、产业领先、攻防兼备”的网络强国要求，构建与体系作战能力要求相适应的一体化的网络系统和安全体系，为多域联合作战提供可靠、可信和安全保障。

1 美军信息网络安全体系建设模式

在遭受“9·11”恐怖袭击之后，美国进一步加强了对“非对称战争”的关注，把确保信息系统安全列为国家安全战略最重要的组成部分。美海军作为美国武装力量的一个重要军种，作为世界上最强的海军，其信息网络安全体系建设路径值得借鉴和参考。

1.1 以一体化网络建设为基础增强协同作战能力

20世纪90年代末，美军正式提出建设GIG（全球信息栅格，global information grid）。为满足网络中心战的要求，美海军根据GIG的公共框架和规范，提出并开发了FORCENet（部队网），将分布在世界范围的国防信息交换网络、海军/海军陆战队内联网、海军陆战队企业网络、美国大陆外企业网络和各舰艇网络进行互联，实现了不同作战域的网系互通。在舰船作战系统向一体化、集成化、系统化发展的基础上，美国海军利用TSCE（全舰计算环境，total ship computing environment），基于开放式体系结构和民用现成技术，将舰载C4ISR、武器系统、舰船状态监控系统，以及舰船的维护、补给、训练等进一步融合为一个一体化的网络，最终达到舰艇武器跨系统、跨平台甚至跨领域的协同作战能力。

1.2 以攻防靶场建设为依托提升实战化能力

作为“国家网络安全计划”的重要组成部分，2008年美国国防部国防高级研究计划局（DARPA）牵头建立了NCR（国家网络空间靶场，national cyber range）。美各军兵种根据自身需求相继建立海军赛博靶场、陆军赛博靶场、海军网络空间作战靶场等，现已通过集成或互联的方式接入美国国防部CSR（赛博安全靶场，cyber security range），统一海军和海军陆战队的网络空间作战训练、演习、测试和评估活动。2015年11月“大胆美洲鳄鱼”演习中，海军陆战队测试了海军研究办公室研制的模拟实战场景的“战术网络靶场”，将网络空间训练扩展至无线电频率物理环境，更好的整合信息能力与传统作战，支持具有战术优势的任务目标。未来海军陆战队所有基地的城市作战培训靶场都将具备通信情报和网络战中海军士兵动态和全频谱训练的能力。

1.3 以多建制作战力量建设为保障强化协同效应

美海军于2002年成立海军网络作战司令部。同年在弗吉尼亚州的诺福克海军基地组建新型“海军计算机事故反应队”，在通信网络的各个地点设置了传感器系统，不间断监视网络运行，发现网络薄弱环节并进行维护。2008年海军整合旗下的信息作战能力，成立海军信息作战司令部。2014年8月，美海军创建了编制100名工作人员的“网络觉醒特遣部队”，致力于拟定协议、检测确认漏洞、增强网络意识、加固网络安全性及海军计算机网络的访问权限，以保护计算机网络，提升海军整体的网络安全性。到2018年，美海军已组建网络任务部队53支，其中海军40支、海军陆战队13支。2019年，美国海军陆战队组建了一支辅助志愿者网络安全部队，人员主要由志愿平民和退伍军人组成，将在网络安全和其他计算机相关问题上培训、教授、建议和指导海军陆战队。

1.4 以军民一体化为抓手夯实组织建设模式

2011年，美海军授予通用动力先进信息系统等四家公司网络安全合同，要求对海军在战术、作战和战略层次的网络空间系统进行科学普查，合同2.04亿美元。2016年9月，美海军将技术评估、需求分析、建模与模拟、培训，以及安全工程、网络安全等任务，外包雷神公司等七家厂商，合同总价约10亿美元。2019年，美导弹防御局授予洛克希德•马丁公司2.4亿美元合同，以支持开发弹道导弹防御系统的建模和仿真框架。2019年，美国海军“下一代企业网络”硬件项目授予惠普公司，合同金额14亿美元。

1.5 以新技术军事应用为牵引提高赛博安全能力

2012年至2018年，美海军数据中心和应用优化项目办公室整合了133个数据中心，开发现代企业级托管环境，确保了海军可以在企业数据中心和商业云中访问有效管理的、安全、可靠和灵活的服务。2017年2月，海军签署“云优先”备忘录，利用商用云提供方提供的各类服务进行大数据分析、人工智能和机器学习，减少海军受攻击面，提升赛博安全性并加强云运行环境下对数据的保护。2019年，美海军信息战系统司令部举办人工智能应用自主网络安全挑战赛，旨在推动海军探索先进的终端安全产品，通过整合人工智能和机器学习模型来检测和挫败恶意软件。随着人工智能、无人机和增材制造等下一代技术的发展，美军正在探索区块链技术的军事应用，希望利用区块链技术去中心化、防篡改和去信任等特点来构建全新的赛博防御能力，保障关键军事资产和武器系统的赛博安全。

2 海军信息网络安全体系建设发展方向

2.1 以通信为主体的强大的信息基础设施

海军通信与其他军兵种的通信相比，具有通信距离远、覆盖范围大、通信使用的频段跨度大、兵力具有移动性且动态变化频繁、无线环境恶劣等五大基本特征。未来海军通信网将重点解决多平台多兵种联合作战、敌对电磁环境下可信可管等问题，逐步建立起全域互联、全程贯通的一体化通信网络，具有稳定可靠的通信能力，具有自动修复能力、敏捷适应能力和自行组织能力，达到任何指战员在任何时间、任何地点都可与通信网络上的任何人通信和共享信息的目标。

2.2 面向多种任务需求的协同体系

海军武器装备体系只有在多平台的联合与协同下才能发挥出最大的作战效能，具备一体化集成能力、动态协同能力的指挥协同体系是前提保障。协同体系能实时、准确地通报友军信息，提供战场环境、中方和敌对方信息，形成综合战场态势；以任务为驱动，快速组织作战资源，灵活制定作战计划，实现系统内及系统间的信息交换、各作战平台间的信息共享和互操作、基于人机一体的实时快速决策能力。

2.3 基于自主安全可控的武器系统和平台

按照国家自主可控的要求和路径，立足于国有CPU和操作系统，采用国产数据库系统来构建军用网络系统，确保核心网络设备国产化，从而形成自主防护的安全盾牌，解决“后门”和“断供”等安全隐患。同时，将安全与自主可控结合起来，将安全作为自主可控的内生基因，实现由自主可控变成自主安全可控。

2.4 可管可控的“供应链”安全评估体系

当前我方武器系统的研制严重依赖于美方的操作系统、开发环境以及底层交互协议，随着武器装备信息化程度不断提高，武器系统由于依赖于商业和开源软件，以及通过不同渠道采办的硬件组件，无法得到可靠的安全保障，武器信息系统普遍存在网络漏洞等隐患，导致武器系统在战场的安全隐患和不对称性。围绕武器系统、武器生产系统、武器“供应链”安全需求，针对武器系统网络化、计算机化、平台化和模块化的问题，通过对武器系统“供应链”安全开展风险评估和安全防护技术研究，解决现有武器装备系统安全漏洞，为未来武器系统建设和作战能力保障提供借鉴。

2.5 基于攻防对抗的演训演练环境

网络空间靶场作为支撑网络空间安全技术验证、网络武器装备试验、攻防对抗演练和网络风险评估的重要基础设施，成为新兴网络安全战略、专业人才队伍建设的重要支撑手段。参考美军网络靶场建设模式，建设并完善基于攻防对抗的演训演练环境。通过演练演训，探索军地“平战”协作支撑机制和合作模式，研究军种协同、多域协同、人机协同、虚实协同“四个协同”能力生成和技术攻关，为部队作战效果评估、作战指挥评测、武器效能验证及作战力量考核等提供环境与条件支撑。

2.6 基于攻击语境的动态安全防护体系

随着海军通信网络的互联互通、指挥信息系统的集成联动，网络攻击的日益频繁，海军信息网络将面临更为严峻的网络安全威胁，需要从网络物理层面、系统层面、网络层面、应用层面、管理层面，参考关键信息基础设施网络安全保护的识别认定、安全防护、检测评估、监测预警、事件处置五个环节，按照恰当的安全等级，建立层次性的安全防护体系。同时，基于攻防对抗的理念，通过构建的动态靶场、攻防环境，建立动态度量机制，以攻促防，以攻促改，不断完善网络安全建设的顶层设计、政策机制和保障措施，不断消除安全隐患，提升主动防御的能力。

2.7 高水平且可信的安全力量

组建或加强专业的网络防护部队，负责抵抗网络攻击，提升海军整体的网络安全性。加强安全管理和安全技术培训，提升专业安全人员能力和水平。以网络空间安全领域现实需求为牵引，吸收网络领域高水平专家，探索军地共建“网信领域”高端智库，打造“网信领域”高端咨询智囊；组建网络空间预备役队伍，提升关键时刻服务保障能力。

3 海军信息网络安全体系建设思路

基于对海军信息网络安全体系建设发展方向的分析，海军信息网络安全体系建设可按基础防护体系、动态对抗体系、安全能力传导体系“三道防线”的设计思路，构建多层次、纵深化、主动防御的安全体系架构。

3.1 基础防护体系（第一道防线）

将安全、可控、可信的基本功能机制嵌入到物理环境、网络通讯和计算环境（云平台+大数据）等基础设施和设备，为各类系统和应用提供一个安全可控的基础环境。结合海军信息网络特点、现状及建设发展，基于自主可靠产品和技术服务平台，从安全技术、安全管理、”供应链”安全等方面，构建涵盖物理和环境、网络和通信、设备和计算、应用和数据等层次的网络安全防护体系。