◆陳才軍 賀衛(wèi)東

（中電長城網際安全技術研究院（北京）有限公司 北京 100097）

習近平總書記指出，建設強大的現(xiàn)代化海軍是建設世界一流軍隊的重要標志，是建設海洋強國的戰(zhàn)略支撐，是實現(xiàn)中華民族偉大復興中國夢的重要組成部分。隨著國際、國內和周邊環(huán)境的變化，海軍作為包括海、陸、空、天、電等多維作戰(zhàn)要素的兵種，其使命任務、作戰(zhàn)環(huán)境和作戰(zhàn)模式正在發(fā)生深刻變化，海軍信息網絡安全體系的發(fā)展要遵循“能打仗、打勝仗”的根本要求，貫徹“戰(zhàn)略清晰、技術先進、產業(yè)領先、攻防兼?zhèn)洹钡木W絡強國要求，構建與體系作戰(zhàn)能力要求相適應的一體化的網絡系統(tǒng)和安全體系，為多域聯(lián)合作戰(zhàn)提供可靠、可信和安全保障。

1 美軍信息網絡安全體系建設模式

在遭受“9·11”恐怖襲擊之后，美國進一步加強了對“非對稱戰(zhàn)爭”的關注，把確保信息系統(tǒng)安全列為國家安全戰(zhàn)略最重要的組成部分。美海軍作為美國武裝力量的一個重要軍種，作為世界上最強的海軍，其信息網絡安全體系建設路徑值得借鑒和參考。

1.1 以一體化網絡建設為基礎增強協(xié)同作戰(zhàn)能力

20世紀90年代末，美軍正式提出建設GIG（全球信息柵格，global information grid）。為滿足網絡中心戰(zhàn)的要求，美海軍根據GIG的公共框架和規(guī)范，提出并開發(fā)了FORCENet（部隊網），將分布在世界范圍的國防信息交換網絡、海軍/海軍陸戰(zhàn)隊內聯(lián)網、海軍陸戰(zhàn)隊企業(yè)網絡、美國大陸外企業(yè)網絡和各艦艇網絡進行互聯(lián)，實現(xiàn)了不同作戰(zhàn)域的網系互通。在艦船作戰(zhàn)系統(tǒng)向一體化、集成化、系統(tǒng)化發(fā)展的基礎上，美國海軍利用TSCE（全艦計算環(huán)境，total ship computing environment），基于開放式體系結構和民用現(xiàn)成技術，將艦載C4ISR、武器系統(tǒng)、艦船狀態(tài)監(jiān)控系統(tǒng)，以及艦船的維護、補給、訓練等進一步融合為一個一體化的網絡，最終達到艦艇武器跨系統(tǒng)、跨平臺甚至跨領域的協(xié)同作戰(zhàn)能力。

1.2 以攻防靶場建設為依托提升實戰(zhàn)化能力

作為“國家網絡安全計劃”的重要組成部分，2008年美國國防部國防高級研究計劃局（DARPA）牽頭建立了NCR（國家網絡空間靶場，national cyber range）。美各軍兵種根據自身需求相繼建立海軍賽博靶場、陸軍賽博靶場、海軍網絡空間作戰(zhàn)靶場等，現(xiàn)已通過集成或互聯(lián)的方式接入美國國防部CSR（賽博安全靶場，cyber security range），統(tǒng)一海軍和海軍陸戰(zhàn)隊的網絡空間作戰(zhàn)訓練、演習、測試和評估活動。2015年11月“大膽美洲鱷魚”演習中，海軍陸戰(zhàn)隊測試了海軍研究辦公室研制的模擬實戰(zhàn)場景的“戰(zhàn)術網絡靶場”，將網絡空間訓練擴展至無線電頻率物理環(huán)境，更好的整合信息能力與傳統(tǒng)作戰(zhàn)，支持具有戰(zhàn)術優(yōu)勢的任務目標。未來海軍陸戰(zhàn)隊所有基地的城市作戰(zhàn)培訓靶場都將具備通信情報和網絡戰(zhàn)中海軍士兵動態(tài)和全頻譜訓練的能力。

1.3 以多建制作戰(zhàn)力量建設為保障強化協(xié)同效應

美海軍于2002年成立海軍網絡作戰(zhàn)司令部。同年在弗吉尼亞州的諾?？撕＼娀亟M建新型“海軍計算機事故反應隊”，在通信網絡的各個地點設置了傳感器系統(tǒng)，不間斷監(jiān)視網絡運行，發(fā)現(xiàn)網絡薄弱環(huán)節(jié)并進行維護。2008年海軍整合旗下的信息作戰(zhàn)能力，成立海軍信息作戰(zhàn)司令部。2014年8月，美海軍創(chuàng)建了編制100名工作人員的“網絡覺醒特遣部隊”，致力于擬定協(xié)議、檢測確認漏洞、增強網絡意識、加固網絡安全性及海軍計算機網絡的訪問權限，以保護計算機網絡，提升海軍整體的網絡安全性。到2018年，美海軍已組建網絡任務部隊53支，其中海軍40支、海軍陸戰(zhàn)隊13支。2019年，美國海軍陸戰(zhàn)隊組建了一支輔助志愿者網絡安全部隊，人員主要由志愿平民和退伍軍人組成，將在網絡安全和其他計算機相關問題上培訓、教授、建議和指導海軍陸戰(zhàn)隊。

1.4 以軍民一體化為抓手夯實組織建設模式

2011年，美海軍授予通用動力先進信息系統(tǒng)等四家公司網絡安全合同，要求對海軍在戰(zhàn)術、作戰(zhàn)和戰(zhàn)略層次的網絡空間系統(tǒng)進行科學普查，合同2.04億美元。2016年9月，美海軍將技術評估、需求分析、建模與模擬、培訓，以及安全工程、網絡安全等任務，外包雷神公司等七家廠商，合同總價約10億美元。2019年，美導彈防御局授予洛克希德?馬丁公司2.4億美元合同，以支持開發(fā)彈道導彈防御系統(tǒng)的建模和仿真框架。2019年，美國海軍“下一代企業(yè)網絡”硬件項目授予惠普公司，合同金額14億美元。

1.5 以新技術軍事應用為牽引提高賽博安全能力

2012年至2018年，美海軍數據中心和應用優(yōu)化項目辦公室整合了133個數據中心，開發(fā)現(xiàn)代企業(yè)級托管環(huán)境，確保了海軍可以在企業(yè)數據中心和商業(yè)云中訪問有效管理的、安全、可靠和靈活的服務。2017年2月，海軍簽署“云優(yōu)先”備忘錄，利用商用云提供方提供的各類服務進行大數據分析、人工智能和機器學習，減少海軍受攻擊面，提升賽博安全性并加強云運行環(huán)境下對數據的保護。2019年，美海軍信息戰(zhàn)系統(tǒng)司令部舉辦人工智能應用自主網絡安全挑戰(zhàn)賽，旨在推動海軍探索先進的終端安全產品，通過整合人工智能和機器學習模型來檢測和挫敗惡意軟件。隨著人工智能、無人機和增材制造等下一代技術的發(fā)展，美軍正在探索區(qū)塊鏈技術的軍事應用，希望利用區(qū)塊鏈技術去中心化、防篡改和去信任等特點來構建全新的賽博防御能力，保障關鍵軍事資產和武器系統(tǒng)的賽博安全。

2 海軍信息網絡安全體系建設發(fā)展方向

2.1 以通信為主體的強大的信息基礎設施

海軍通信與其他軍兵種的通信相比，具有通信距離遠、覆蓋范圍大、通信使用的頻段跨度大、兵力具有移動性且動態(tài)變化頻繁、無線環(huán)境惡劣等五大基本特征。未來海軍通信網將重點解決多平臺多兵種聯(lián)合作戰(zhàn)、敵對電磁環(huán)境下可信可管等問題，逐步建立起全域互聯(lián)、全程貫通的一體化通信網絡，具有穩(wěn)定可靠的通信能力，具有自動修復能力、敏捷適應能力和自行組織能力，達到任何指戰(zhàn)員在任何時間、任何地點都可與通信網絡上的任何人通信和共享信息的目標。

2.2 面向多種任務需求的協(xié)同體系

海軍武器裝備體系只有在多平臺的聯(lián)合與協(xié)同下才能發(fā)揮出最大的作戰(zhàn)效能，具備一體化集成能力、動態(tài)協(xié)同能力的指揮協(xié)同體系是前提保障。協(xié)同體系能實時、準確地通報友軍信息，提供戰(zhàn)場環(huán)境、中方和敵對方信息，形成綜合戰(zhàn)場態(tài)勢；以任務為驅動，快速組織作戰(zhàn)資源，靈活制定作戰(zhàn)計劃，實現(xiàn)系統(tǒng)內及系統(tǒng)間的信息交換、各作戰(zhàn)平臺間的信息共享和互操作、基于人機一體的實時快速決策能力。

2.3 基于自主安全可控的武器系統(tǒng)和平臺

按照國家自主可控的要求和路徑，立足于國有CPU和操作系統(tǒng)，采用國產數據庫系統(tǒng)來構建軍用網絡系統(tǒng)，確保核心網絡設備國產化，從而形成自主防護的安全盾牌，解決“后門”和“斷供”等安全隱患。同時，將安全與自主可控結合起來，將安全作為自主可控的內生基因，實現(xiàn)由自主可控變成自主安全可控。

2.4 可管可控的“供應鏈”安全評估體系

當前我方武器系統(tǒng)的研制嚴重依賴于美方的操作系統(tǒng)、開發(fā)環(huán)境以及底層交互協(xié)議，隨著武器裝備信息化程度不斷提高，武器系統(tǒng)由于依賴于商業(yè)和開源軟件，以及通過不同渠道采辦的硬件組件，無法得到可靠的安全保障，武器信息系統(tǒng)普遍存在網絡漏洞等隱患，導致武器系統(tǒng)在戰(zhàn)場的安全隱患和不對稱性。圍繞武器系統(tǒng)、武器生產系統(tǒng)、武器“供應鏈”安全需求，針對武器系統(tǒng)網絡化、計算機化、平臺化和模塊化的問題，通過對武器系統(tǒng)“供應鏈”安全開展風險評估和安全防護技術研究，解決現(xiàn)有武器裝備系統(tǒng)安全漏洞，為未來武器系統(tǒng)建設和作戰(zhàn)能力保障提供借鑒。

2.5 基于攻防對抗的演訓演練環(huán)境

網絡空間靶場作為支撐網絡空間安全技術驗證、網絡武器裝備試驗、攻防對抗演練和網絡風險評估的重要基礎設施，成為新興網絡安全戰(zhàn)略、專業(yè)人才隊伍建設的重要支撐手段。參考美軍網絡靶場建設模式，建設并完善基于攻防對抗的演訓演練環(huán)境。通過演練演訓，探索軍地“平戰(zhàn)”協(xié)作支撐機制和合作模式，研究軍種協(xié)同、多域協(xié)同、人機協(xié)同、虛實協(xié)同“四個協(xié)同”能力生成和技術攻關，為部隊作戰(zhàn)效果評估、作戰(zhàn)指揮評測、武器效能驗證及作戰(zhàn)力量考核等提供環(huán)境與條件支撐。

2.6 基于攻擊語境的動態(tài)安全防護體系

隨著海軍通信網絡的互聯(lián)互通、指揮信息系統(tǒng)的集成聯(lián)動，網絡攻擊的日益頻繁，海軍信息網絡將面臨更為嚴峻的網絡安全威脅，需要從網絡物理層面、系統(tǒng)層面、網絡層面、應用層面、管理層面，參考關鍵信息基礎設施網絡安全保護的識別認定、安全防護、檢測評估、監(jiān)測預警、事件處置五個環(huán)節(jié)，按照恰當的安全等級，建立層次性的安全防護體系。同時，基于攻防對抗的理念，通過構建的動態(tài)靶場、攻防環(huán)境，建立動態(tài)度量機制，以攻促防，以攻促改，不斷完善網絡安全建設的頂層設計、政策機制和保障措施，不斷消除安全隱患，提升主動防御的能力。

2.7 高水平且可信的安全力量

組建或加強專業(yè)的網絡防護部隊，負責抵抗網絡攻擊，提升海軍整體的網絡安全性。加強安全管理和安全技術培訓，提升專業(yè)安全人員能力和水平。以網絡空間安全領域現(xiàn)實需求為牽引，吸收網絡領域高水平專家，探索軍地共建“網信領域”高端智庫，打造“網信領域”高端咨詢智囊；組建網絡空間預備役隊伍，提升關鍵時刻服務保障能力。

3 海軍信息網絡安全體系建設思路

基于對海軍信息網絡安全體系建設發(fā)展方向的分析，海軍信息網絡安全體系建設可按基礎防護體系、動態(tài)對抗體系、安全能力傳導體系“三道防線”的設計思路，構建多層次、縱深化、主動防御的安全體系架構。

3.1 基礎防護體系（第一道防線）

將安全、可控、可信的基本功能機制嵌入到物理環(huán)境、網絡通訊和計算環(huán)境（云平臺+大數據）等基礎設施和設備，為各類系統(tǒng)和應用提供一個安全可控的基礎環(huán)境。結合海軍信息網絡特點、現(xiàn)狀及建設發(fā)展，基于自主可靠產品和技術服務平臺，從安全技術、安全管理、”供應鏈”安全等方面，構建涵蓋物理和環(huán)境、網絡和通信、設備和計算、應用和數據等層次的網絡安全防護體系。

3.2 動態(tài)對抗體系（第二道防線）

以第一道防線為基礎，利用大數據智能分析、主動探測、攻擊測試等技術手段，針對各類安全威脅進行細粒度、多角度、持續(xù)化的實時動態(tài)分析，自動適應不斷變化的網絡和威脅環(huán)境，不斷優(yōu)化部署的安全防御機制，形成一個動態(tài)的安全防御體系，動態(tài)應對未知的網絡安全風險。

3.3 能力傳導體系（第三道防線）

引入產業(yè)界能力、國家?？仃犖槟芰?、國際交流獲得的能力，整合多源安全情報系統(tǒng)，結合網絡靶場建設，形成針對岸基、艦載系統(tǒng)、平臺的能力支撐平臺，實現(xiàn)威脅情報、態(tài)勢感知、應急處置等能力傳導，提升相關人員能力水平，提升海軍信息網絡安全防護水平。