無線電信息安全實踐與思考
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了無線電信息安全實踐與思考范文,希望能給你帶來靈感和參考,敬請閱讀。
0引言
雖然無線電信息安全所涉及的方面非常廣泛,但可以歸納為如下兩個范疇:
(1)由于無線電波具有開放的特性,保障無線電信息安全的著眼點一是保障合法無線電業務的正常開展,二是打擊不法分子通過無線電波非法傳播信息,擾亂空中電波的有效秩序,影響社會穩定。
(2)無線電信息安全是無線電信息系統(包括硬件、軟件、數據、業務應用等)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統能夠連續可靠正常地運行,無線電信息服務不中斷,最終實現無線電業務工作的連續性。本文中筆者僅就第二個范疇與大家探討,共同推進無線電信息安全的有效工作。
1無線電信息安全不是單一的技術問題
隨著新一代信息技術在移動互聯網、物聯網、下一代寬帶移動通信、智能制造等領域得到廣泛應用,無線電技術已成為信息技術領域最為活躍的部分。為了實施“中國制造2025”,我國正在加快推動工業化和信息化深度融合的進程,同時,各類無線電信息技術必然向經濟和社會生活的各個領域加速普及。移動通信網、衛星通信網、實時廣播電視網、WiFi網絡等這些圍繞在我們周圍的無線電網絡,已經深深融入并改變著人們的生活。在以云計算、物聯網、大數據為新技術代表的“互聯網+”時代中,無線電信息技術必然是其重要的組成部分,更是數字化社會生活方式的重要載體。但由于數字化社會中,信息網絡本身存在的各種缺陷和信息網絡互聯形式的開放多樣性,以及公眾信息泄露等重大事件的時有發生,信息安全早已成為社會關注的焦點,無線電信息安全更是重中之重。在當前整體無線電信息安全形勢下,無線電管理機構為了更好地履行“三管理、三服務、一突出”的核心職責,升級和完善現有信息系統,提高信息的安全性和可靠性,保證各項管理業務的安全、穩定、高效運行,就必須對自身信息系統的安全體系進行規劃和建設。筆者認為在這方面包括兩個層面,一個是信息安全的制度,另一個是信息安全的手段。信息安全制度要包括法律法規的制定,更關鍵的是包括其監督執行的機制。信息安全的手段是指各種信息安全的技術、信息安全的產品和解決方案。科學地講,任何與安全有關的問題從來不是單一的技術能夠解決的,而是將管理、技術、法律、制度等因素相結合的產物。如果我們把信息安全當作一個人的身體健康,這個人能夠擁有健康身體的決定因子是能夠按照適合自己的生活方式生活,而保健品、藥品只是保障身體健康的各種產品和手段。如果只采取吃藥治病的手段,而不去解決生活方式上的問題,那么藥效也只是暫時的。即生活方式是因,身體健康是果。同樣對應一個單位的信息安全來說,信息安全的決定因子是制定并有效執行適合本單位的信息安全制度,而各種安全技術、安全產品和解決方案只是保障信息安全的手段。
2影響無線電信息安全的因素
(1)信息安全制度的漏洞和執行無力當前每個單位都有自己的信息安全制度,但大多一成不變。比如:某單位的墻上貼著的《信息安全制度》中還寫著“第五條及時下載最新的防病毒疫苗,防止服務器受病毒的侵害”。這樣過時的制度條款,且不說制度執行的程度如何,僅僅是制度內容的形同虛設就是最大的信息安全漏洞。同時,如果好的制度執行不力,工作也是沒有效果的,如同紙上談兵。
(2)信息傳輸手段的載體當前通信技術發生了前所未有的爆炸性發展。除有線通信外,短波、超短波、微波、衛星等無線電通信也正在廣泛地應用。與此同時,國外敵對勢力為了竊取中國的政治、軍事、經濟、科學技術等方面的秘密信息,運用偵察臺、偵察船、偵察機、衛星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,截取中國通信傳輸中的信息。由于目前傳輸信息的方式很多,有局域計算機網、互聯網和分布式數據庫,有蜂窩式無線、分組交換式無線、衛星電視會議、電子郵件及其他各種傳輸技術,信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施,即通過技術的、管理的、行政的手段,實現信源、信號、信息三個環節的保護,達到保障信息安全的目的。
(3)信息調度的大腦盡管目前大多數單位已經購置并部署了眾多安防產品,對自身的信息系統等進行保護,包括防火墻、抗拒絕服務攻擊、入侵檢測、漏洞掃描、防病毒網關等等,但是服務器癱瘓、病毒木馬感染、涉密信息外泄等事件還是頻繁發生。一個完整的信息系統面臨著多樣的安全風險,網絡、系統、應用,都是可能受到攻擊和影響的關鍵點,但在眾多的網絡安全因素中,服務器安全又顯得尤為重要,因為服務器相當于整個信息系統的大腦,其上運行著大量關鍵的應用,辦公、郵件、Web、域名、數據庫、應用系統……關系著單位的業務安全、數據安全,所以服務器成為很多惡意攻擊的首選目標。
3無線電信息安全的實現
(1)建立適合自身的無線電信息安全制度且執行由于各省級無線電管理機構的情況不同,無線電信息安全制度的內容也是不同的,但目標都是為了保障無線電信息的安全、網絡的安全、數據的安全,更好地完成無線電信息安全的日常和應急工作。任何制度的生命力在于執行。從一定意義上說,執行制度比制定制度更為重要。如果制度執行總是打折扣,再健全完美的制度也只是擺設。相對而言,無線電領域人才濟濟,我們不缺乏制度建設與創新的人才和能力,但缺乏貫徹與落實制度的力度。從實際工作中看,制度之所以得不到有效執行,其主要原因包括:一是對自己方便的制度條款就執行,麻煩的制度條款就拖沓;二是制度本身制定得不夠科學,不夠明確,缺乏可操作性;三是對制度的執行過程監督不到位;四是缺乏對制度內容的修改機制;五是缺乏對制度執行的考評機制。要推動無線電信息安全工作的有效開展,首先要建立科學的、適合本單位自身情況的信息安全制度;其次要通過堅持制度落實的責任制,明確責任主體來增強制度的執行力;最后要建立監督檢查和考評機制,及時發現制度執行的問題和制度設計本身的缺陷,嚴格做到定期修改《無線電信息安全制度》,維護制度的權威性和嚴肅性。
(2)通過數據加密和訪問控制確保無線電信息安全在無線電管理業務要求涉密的內部網絡中需要信息交換時,也同樣存在著信息安全保護的問題。為了防止內部數據信息安全的失控,我們采用數據加密和訪問控制的“信息安全管理中心”方式來保障內部業務數據的信息安全(見圖1)。由于網上的數據信息分散在不同的位置,這就需要建立一套集中管理的機制和設備。它用來給各數據信息設備分發密鑰,監控數據信息設備的運行狀態,負責收集數據信息設備的審計情況等。信息安全管理中心采用基于高速硬件的加密方式,提供商用級別中最高水平的數據安全保護,涵蓋最廣泛的數據類型,提供了數據加密和粒度化訪問控制功能的綜合平臺,適應于數據庫、應用程序、服務器和個人文件。通過對密鑰、策略、登錄、審計和報表功能的集中管理,簡化了管理工作,確保符合法規并最大限度地提高數據的安全性。在部署信息安全管理中心后,可以在中心的系統安全保護選項中,選擇數據中心和終端數據保護方式。省級數據管理中心的數據庫數據加密,可以對存儲在無線電管理業務數據庫中的,如頻率臺站、監測數據、執法卷宗等敏感數據信息提供強有力的保護。無論是在數據庫內,還是在業務應用程序層面,在批量數據轉換和交換過程中,都可以靈活地對數據列進行加密。同時可以避免由于管理責任的劃分而造成一些“特權用戶”對數據進行存取的風險。集中化的密鑰和策略管理可以對數據庫中的數據進行加密。另外,除了保護省級數據管理中心服務器中的結構化和非結構化數據,信息安全管理中心系統還可以被用來保護存放在終端的設備,包括臺式機、筆記本電腦和可移動介質中的文件和文件夾,對Word文檔、Excel電子表格、設計文稿以及圖像文件等予以保護。業務處室的工作人員也可以使用他們的臺式電腦、筆記本電腦或可移動介質對正在使用的、從數據中心調取的文檔進行加密。
(3)服務器系統的安全堡壘是無線電信息安全的基礎無線電管理業務系統和業務數據庫的構架都基于服務器操作系統之上。如果操作系統被黑客攻破,安裝在操作系統上的業務系統必將受到嚴重影響。當前人們對網絡安全問題及造成的危害早有認識,防范措施雖然多種多樣但效果并不理想。防火墻、防病毒、入侵檢測、UTM等網絡層和應用層的防護手段已經非常成熟,但信息系統產生安全問題的最基本原因在于操作系統的結構和機制的不安全,這使得傳統的信息安全產品如“老三樣”(防火墻、防病毒、入侵檢測)、IPS等構筑的防護體系日趨顯得被動。無論是外部黑客還是內部黑客通過攻擊操作系統、業務應用等各個層面,最終目的是為了獲取服務器中的資源和權限,所以保障操作系統安全是信息安全的基礎。目前的操作系統環境下,使用超級用戶登錄可以控制任何應用系統,每個應用系統之間無法做到完全隔離,如果擁有超級用戶的權限,就意味著可以在服務器中做任何事情,數據的保密性和完整性根本無法保證,更無法滿足信息系統安全要求。同時,如果操作系統中某一應用出現漏洞,就可能導致整個操作系統淪陷,從而讓整個服務器數據信息遭到破壞和竊取。目前,省級無線電管理機構的服務器操作系統使用的是Windows/Linux/Unix系統,這些系統的漏洞是影響操作系統安全的隱患,系統漏洞是當初設計操作系統時有意或無意留下的缺陷,黑客根據危害程度不同的漏洞發動攻擊,輕則可以獲取系統敏感信息,重則可以獲取系統控制權限。目前修復漏洞主要的途徑是通過更新廠商提供的補丁。由于多數商業服務器操作系統不開源,即使知道漏洞產生的原因,也不能對操作系統源碼進行修改并重新編譯;而開源的Linux操作系統出現漏洞,絕大多數用戶也無技術能力進行漏洞修復。所以一旦發現漏洞,只能完全依賴廠商補丁,如果在廠商未出補丁或維護人員沒有安裝補丁這段時間內遭受攻擊,操作系統將會面臨嚴重威脅。信息安全問題是由很多個安全問題組成的。為此業內提出了多種解決方案,針對不同對象,采用不同安全產品。如果我們把某一個安全問題比作一個點,那么每個安全產品解決的都是相應點的問題。為此,我們嘗試在服務器上采用了新一代的安全加固系統,稱之為服務器系統安全堡壘。它是針對服務器操作系統存在的安全隱患提供的安全操作系統問題的解決方案,解決操作系統層面所面臨的惡意代碼執行、越權訪問、數據泄露、破壞數據完整性等各種攻擊行為,能夠通過虛擬化技術將每個應用或者功能單獨劃分成安全域,各安全域之間如同獨立的主機相互隔離,重構操作系統的安全子系統,用重構后的“強化安全子系統監控器”監控資源訪問的行為,有效實施細粒度強制訪問控制的安全策略機制,可對主機系統安全涉及的控制點(如身份鑒別、敏感標記、強制訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制等)形成細粒度的立體防護,以確保操作系統的安全。
4小結
筆者從以上三個方面簡單闡述了影響無線電信息安全的相關因素,雖然只是局部性的抽絲剝繭,但希望起到拋磚引玉的作用。隨著國家無線電管理工作任務中“四庫一化”數據中心模式的建立,依托云計算、大數據、分布式存儲等數據形態的信息分析,從各種結構化的、非結構化的、半結構化的數據中進行有價值的數據挖掘,將形成頻譜管理的價值信息,而保護這些信息的安全是無線電信息安全體系的職責。隨著時代的進步,傳統的信息安全方式將逐步邊緣化,我們需要在融合開放的大安全環境中探索適合自身信息安全的創新之路。
作者:馮曉冬 單位:吉林省無線電設備質量檢測中心
