新理念构筑网络安全栅栏
来源:解放军报 更新时间:2012-04-13

 


    网络是继陆、海、空、天、电之后的第六维战场。网络的出现,导致了传统意义上军事安全界线的消失、战争形态的变化和战场空间的拓展。对网络进行的攻击,已经成为一种重要的作战手段。

    随着我军信息化建设的不断深入,网络建设已经成为我军由机械化向信息化转型的重要技术支撑。我军作战指挥、教育训练等部队日常工作重要信息的产生、传递和存储的数字化、网络化程度越来越高。由于网络自身开放性的特点,信息化建设在为部队带来发展机遇的同时,也带来了巨大的安全风险。网络安全威胁日趋严重,但网络信息安全从理论到实践的发展又相当滞后。针对这一问题,信息工程大学信息工程学院计算机工程系,组织技术力量集智攻关,取得了一系列突破性的成果。他们提出的军用安全办公网络,是一个全新的网络概念体系和网络安全综合解决方案。近日,记者走进信息工程大学,了解了他们运用全新概念构筑的网络安全栅栏。

    时代呼唤网络安全新理念

    在信息安全领域,我们笃信“人人平等”、“入网自愿”两大理论原则,普遍把个人电脑单独接入网络,采用防毒软件和防火墙等技术保障安全。这种解决方案虽然在检测或防止已知安全漏洞方面能起到一定作用,但一旦出现新的漏洞,整个网络就不再有安全可言。

    [现场报道]  某部队网络系统林立。“军事训练模拟系统”、“财务系统”、“党务工作系统”等都在网上运行。该部队领导无奈地说:“在现实中,我和下属有职务上的等级差别;在网络中,我们真的是官兵一致了,我与士兵的权限和‘能力’是一样的。一个士兵的电脑感染了病毒,很有可能导致我的电脑崩溃,甚至整个网络瘫痪;我可以凭用户名、密码登录‘指挥系统’,调动部队,普通士兵要是获得密码,也可以在网上的任何一个角落进入该系统,行使指挥权,这太危险了!”

    [专家点评]  网络上“人人平等”是因为在网络发展初期对于安全的要求不高,为简单方便,人们允许各种应用可以不受限制地访问、使用网络上的所有资源。如今网络应用越来越多,将不同安全级别的应用运行在同一个网络之上,允许他们共享所有资源的做法显然有很多问题。在网上,从将军到士兵面对的是同一个网络环境,没有层次上的区别;从部队调动到发展党员工作等不同安全级别的应用也都集中在一起进行处理,这种“大锅饭”机制造成了很多无法解决的安全问题。

    [现场报道]  某实验室承担着部队重大科研项目。随着攻关的深入,每一台计算机上的敏感信息不断增加,但安全防护手段却无法相应升级。因为每一台计算机的配置各不相同,无法评估系统的整体安全状况,而且管理维护需要逐机进行,成本过高。

    [专家点评]  部队的网络和其他网络一样,都是在“自愿联网”、“自行管理”的原则下构筑、发展起来的。符合标准的子网、终端都可以联接,而任何网上的电脑,只要有外设,就可以把网上的信息资料下载下来,把病毒传上去。网上的边界模糊,造成信息外泄防不甚防;每一台终端的管理独立,不受控制,埋下了深层隐患,应用的层次越高,安全隐患越大。

    由此可见,现行网络所采用的是传统、单一的信息安全技术,它集中在系统本身的加固和防护上。安全模型是针对单机系统环境而制订的静态模型,对动态的安全威胁,没有有效的应对措施。“人人平等”、“入网自愿”的设计理念,对于因特网的崛起和发展起到了积极的推动作用,如今他们却是造成网络不安全的罪魁祸首。如何保证部队网络安全和信息化建设的可持续发展?已经成为一个亟待解决的重要问题。

    虚拟多网解决网络安全难题

    “军用安全办公网络不是一个简单的系统,也不是一套软件或硬件,而是一个全新的网络概念体系,包括构成这个概念体系的理论基础、标准、政策和相关技术。”信息工程学院计算机系郭玉东教授在科研会议上坚定地说。

    记者在采访中了解到,军用安全办公网络有两大理论创新,一个是虚拟多网;另一个是集中式管理。他们提出的新理念为部队网络安全技术的发展开拓了一片广阔天地。

    众所周知,为部队的每一个垂直部门、每一种军事应用架设专用网络,是最安全的解决方案。但这不切实际。虚拟多网却可以在网络上通过软件虚拟多个专用网,使每一个用户都认为:“我是在一个专用网上工作。”

    在虚拟多网中,系统给每个专用网络划分一块硬盘存贮空间,各个虚拟网之间是隔离、独立的。这就是说它们虽然在物理空间上相邻,但“老死不相往来”。即使一个虚拟网出现了问题,也不会扩散到其他虚拟网上,他们之间就可以保持相对“干净”,整个网络也就可以保证安全。

    课题组的研究还使虚拟多网实现了“简易随需组网”——构建网络不再需要专家教授,组网人员不需要懂得复杂的网络知识,普通士兵都能像标画作战指挥图一样,通过轻点鼠标,就可以根据部队的编制、部署和临时出现的各种紧急情况,快速组建专用网络并划分应用等级。

    划分应用等级,就代表了每个应用的用户是“不平等”的。级别高的应用,如指挥调动部队等,可以使用更多的网络资源;级别低的用户,如一个班长,在网络中权限和他的职务是相匹配的。

    虚拟多网实施集中式管理,入网也不再自愿,管理也不再被动。由管理者决定某个子网、终端、端口是否进入。它实现了从自愿管理到强制管理的飞跃,把管理边界从模糊的计算机精确到了任何一个接口。

    郭教授领导的课题组通过深入调研和充分的论证,配合已有的安全手段,运用多项新技术,成功研制了安全网络终端和军用安全网络办公软件。

    无论是外表,还是功能,安全网络终端与普通计算机都像是一对“孪生兄弟”。所不同的是,它采用的是网络存储,即所有的存储都集中在服务器上,终端上去掉了硬盘、软驱、光驱等常规的永久性存储设备。

    安全网络终端运行所需的系统文件、配置信息和应用程序都是从服务器上加载,这些加载信息都被设定成只读文件,只能用、不能改。所以即使终端在网络上感染了病毒,这些恶意代码也无法改变服务器上的配置。这就把恶意代码扼杀在摇篮里。

    以往网络管理员若想改变网络配置,必须逐个调试安装所有的计算机,既费时、又费力。采用集中式管理的安全网络终端,管理员只需在服务器上配置系统,这就大大降低了管理成本,实现了客户端的零管理。而且,相同业务部门的所有终端配置完全相同,系统的整体安全状况取决于只读映像文件的安全性,便于检测、控制管理和评估。

    军用安全网络办公软件,采用指纹识别技术、电子签名技术、数字水印技术等,在信息流的流出和流入等方面提供了更加可靠的电子办公平台。