前言:想要寫出一篇引人入勝的文章?我們特意為您整理了無線電信息安全實踐與思考范文,希望能給你帶來靈感和參考,敬請閱讀。
0引言
雖然無線電信息安全所涉及的方面非常廣泛,但可以歸納為如下兩個范疇:
(1)由于無線電波具有開放的特性,保障無線電信息安全的著眼點一是保障合法無線電業(yè)務(wù)的正常開展,二是打擊不法分子通過無線電波非法傳播信息,擾亂空中電波的有效秩序,影響社會穩(wěn)定。
(2)無線電信息安全是無線電信息系統(tǒng)(包括硬件、軟件、數(shù)據(jù)、業(yè)務(wù)應(yīng)用等)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)能夠連續(xù)可靠正常地運行,無線電信息服務(wù)不中斷,最終實現(xiàn)無線電業(yè)務(wù)工作的連續(xù)性。本文中筆者僅就第二個范疇與大家探討,共同推進(jìn)無線電信息安全的有效工作。
1無線電信息安全不是單一的技術(shù)問題
隨著新一代信息技術(shù)在移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、下一代寬帶移動通信、智能制造等領(lǐng)域得到廣泛應(yīng)用,無線電技術(shù)已成為信息技術(shù)領(lǐng)域最為活躍的部分。為了實施“中國制造2025”,我國正在加快推動工業(yè)化和信息化深度融合的進(jìn)程,同時,各類無線電信息技術(shù)必然向經(jīng)濟(jì)和社會生活的各個領(lǐng)域加速普及。移動通信網(wǎng)、衛(wèi)星通信網(wǎng)、實時廣播電視網(wǎng)、WiFi網(wǎng)絡(luò)等這些圍繞在我們周圍的無線電網(wǎng)絡(luò),已經(jīng)深深融入并改變著人們的生活。在以云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)為新技術(shù)代表的“互聯(lián)網(wǎng)+”時代中,無線電信息技術(shù)必然是其重要的組成部分,更是數(shù)字化社會生活方式的重要載體。但由于數(shù)字化社會中,信息網(wǎng)絡(luò)本身存在的各種缺陷和信息網(wǎng)絡(luò)互聯(lián)形式的開放多樣性,以及公眾信息泄露等重大事件的時有發(fā)生,信息安全早已成為社會關(guān)注的焦點,無線電信息安全更是重中之重。在當(dāng)前整體無線電信息安全形勢下,無線電管理機(jī)構(gòu)為了更好地履行“三管理、三服務(wù)、一突出”的核心職責(zé),升級和完善現(xiàn)有信息系統(tǒng),提高信息的安全性和可靠性,保證各項管理業(yè)務(wù)的安全、穩(wěn)定、高效運行,就必須對自身信息系統(tǒng)的安全體系進(jìn)行規(guī)劃和建設(shè)。筆者認(rèn)為在這方面包括兩個層面,一個是信息安全的制度,另一個是信息安全的手段。信息安全制度要包括法律法規(guī)的制定,更關(guān)鍵的是包括其監(jiān)督執(zhí)行的機(jī)制。信息安全的手段是指各種信息安全的技術(shù)、信息安全的產(chǎn)品和解決方案??茖W(xué)地講,任何與安全有關(guān)的問題從來不是單一的技術(shù)能夠解決的,而是將管理、技術(shù)、法律、制度等因素相結(jié)合的產(chǎn)物。如果我們把信息安全當(dāng)作一個人的身體健康,這個人能夠擁有健康身體的決定因子是能夠按照適合自己的生活方式生活,而保健品、藥品只是保障身體健康的各種產(chǎn)品和手段。如果只采取吃藥治病的手段,而不去解決生活方式上的問題,那么藥效也只是暫時的。即生活方式是因,身體健康是果。同樣對應(yīng)一個單位的信息安全來說,信息安全的決定因子是制定并有效執(zhí)行適合本單位的信息安全制度,而各種安全技術(shù)、安全產(chǎn)品和解決方案只是保障信息安全的手段。
2影響無線電信息安全的因素
(1)信息安全制度的漏洞和執(zhí)行無力當(dāng)前每個單位都有自己的信息安全制度,但大多一成不變。比如:某單位的墻上貼著的《信息安全制度》中還寫著“第五條及時下載最新的防病毒疫苗,防止服務(wù)器受病毒的侵害”。這樣過時的制度條款,且不說制度執(zhí)行的程度如何,僅僅是制度內(nèi)容的形同虛設(shè)就是最大的信息安全漏洞。同時,如果好的制度執(zhí)行不力,工作也是沒有效果的,如同紙上談兵。
(2)信息傳輸手段的載體當(dāng)前通信技術(shù)發(fā)生了前所未有的爆炸性發(fā)展。除有線通信外,短波、超短波、微波、衛(wèi)星等無線電通信也正在廣泛地應(yīng)用。與此同時,國外敵對勢力為了竊取中國的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等方面的秘密信息,運用偵察臺、偵察船、偵察機(jī)、衛(wèi)星等手段,形成固定與移動、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng),截取中國通信傳輸中的信息。由于目前傳輸信息的方式很多,有局域計算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫,有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其他各種傳輸技術(shù),信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應(yīng)用各種保密措施,即通過技術(shù)的、管理的、行政的手段,實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護(hù),達(dá)到保障信息安全的目的。
(3)信息調(diào)度的大腦盡管目前大多數(shù)單位已經(jīng)購置并部署了眾多安防產(chǎn)品,對自身的信息系統(tǒng)等進(jìn)行保護(hù),包括防火墻、抗拒絕服務(wù)攻擊、入侵檢測、漏洞掃描、防病毒網(wǎng)關(guān)等等,但是服務(wù)器癱瘓、病毒木馬感染、涉密信息外泄等事件還是頻繁發(fā)生。一個完整的信息系統(tǒng)面臨著多樣的安全風(fēng)險,網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用,都是可能受到攻擊和影響的關(guān)鍵點,但在眾多的網(wǎng)絡(luò)安全因素中,服務(wù)器安全又顯得尤為重要,因為服務(wù)器相當(dāng)于整個信息系統(tǒng)的大腦,其上運行著大量關(guān)鍵的應(yīng)用,辦公、郵件、Web、域名、數(shù)據(jù)庫、應(yīng)用系統(tǒng)……關(guān)系著單位的業(yè)務(wù)安全、數(shù)據(jù)安全,所以服務(wù)器成為很多惡意攻擊的首選目標(biāo)。
3無線電信息安全的實現(xiàn)
(1)建立適合自身的無線電信息安全制度且執(zhí)行由于各省級無線電管理機(jī)構(gòu)的情況不同,無線電信息安全制度的內(nèi)容也是不同的,但目標(biāo)都是為了保障無線電信息的安全、網(wǎng)絡(luò)的安全、數(shù)據(jù)的安全,更好地完成無線電信息安全的日常和應(yīng)急工作。任何制度的生命力在于執(zhí)行。從一定意義上說,執(zhí)行制度比制定制度更為重要。如果制度執(zhí)行總是打折扣,再健全完美的制度也只是擺設(shè)。相對而言,無線電領(lǐng)域人才濟(jì)濟(jì),我們不缺乏制度建設(shè)與創(chuàng)新的人才和能力,但缺乏貫徹與落實制度的力度。從實際工作中看,制度之所以得不到有效執(zhí)行,其主要原因包括:一是對自己方便的制度條款就執(zhí)行,麻煩的制度條款就拖沓;二是制度本身制定得不夠科學(xué),不夠明確,缺乏可操作性;三是對制度的執(zhí)行過程監(jiān)督不到位;四是缺乏對制度內(nèi)容的修改機(jī)制;五是缺乏對制度執(zhí)行的考評機(jī)制。要推動無線電信息安全工作的有效開展,首先要建立科學(xué)的、適合本單位自身情況的信息安全制度;其次要通過堅持制度落實的責(zé)任制,明確責(zé)任主體來增強(qiáng)制度的執(zhí)行力;最后要建立監(jiān)督檢查和考評機(jī)制,及時發(fā)現(xiàn)制度執(zhí)行的問題和制度設(shè)計本身的缺陷,嚴(yán)格做到定期修改《無線電信息安全制度》,維護(hù)制度的權(quán)威性和嚴(yán)肅性。
(2)通過數(shù)據(jù)加密和訪問控制確保無線電信息安全在無線電管理業(yè)務(wù)要求涉密的內(nèi)部網(wǎng)絡(luò)中需要信息交換時,也同樣存在著信息安全保護(hù)的問題。為了防止內(nèi)部數(shù)據(jù)信息安全的失控,我們采用數(shù)據(jù)加密和訪問控制的“信息安全管理中心”方式來保障內(nèi)部業(yè)務(wù)數(shù)據(jù)的信息安全(見圖1)。由于網(wǎng)上的數(shù)據(jù)信息分散在不同的位置,這就需要建立一套集中管理的機(jī)制和設(shè)備。它用來給各數(shù)據(jù)信息設(shè)備分發(fā)密鑰,監(jiān)控數(shù)據(jù)信息設(shè)備的運行狀態(tài),負(fù)責(zé)收集數(shù)據(jù)信息設(shè)備的審計情況等。信息安全管理中心采用基于高速硬件的加密方式,提供商用級別中最高水平的數(shù)據(jù)安全保護(hù),涵蓋最廣泛的數(shù)據(jù)類型,提供了數(shù)據(jù)加密和粒度化訪問控制功能的綜合平臺,適應(yīng)于數(shù)據(jù)庫、應(yīng)用程序、服務(wù)器和個人文件。通過對密鑰、策略、登錄、審計和報表功能的集中管理,簡化了管理工作,確保符合法規(guī)并最大限度地提高數(shù)據(jù)的安全性。在部署信息安全管理中心后,可以在中心的系統(tǒng)安全保護(hù)選項中,選擇數(shù)據(jù)中心和終端數(shù)據(jù)保護(hù)方式。省級數(shù)據(jù)管理中心的數(shù)據(jù)庫數(shù)據(jù)加密,可以對存儲在無線電管理業(yè)務(wù)數(shù)據(jù)庫中的,如頻率臺站、監(jiān)測數(shù)據(jù)、執(zhí)法卷宗等敏感數(shù)據(jù)信息提供強(qiáng)有力的保護(hù)。無論是在數(shù)據(jù)庫內(nèi),還是在業(yè)務(wù)應(yīng)用程序?qū)用?,在批量?shù)據(jù)轉(zhuǎn)換和交換過程中,都可以靈活地對數(shù)據(jù)列進(jìn)行加密。同時可以避免由于管理責(zé)任的劃分而造成一些“特權(quán)用戶”對數(shù)據(jù)進(jìn)行存取的風(fēng)險。集中化的密鑰和策略管理可以對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密。另外,除了保護(hù)省級數(shù)據(jù)管理中心服務(wù)器中的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù),信息安全管理中心系統(tǒng)還可以被用來保護(hù)存放在終端的設(shè)備,包括臺式機(jī)、筆記本電腦和可移動介質(zhì)中的文件和文件夾,對Word文檔、Excel電子表格、設(shè)計文稿以及圖像文件等予以保護(hù)。業(yè)務(wù)處室的工作人員也可以使用他們的臺式電腦、筆記本電腦或可移動介質(zhì)對正在使用的、從數(shù)據(jù)中心調(diào)取的文檔進(jìn)行加密。
(3)服務(wù)器系統(tǒng)的安全堡壘是無線電信息安全的基礎(chǔ)無線電管理業(yè)務(wù)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)庫的構(gòu)架都基于服務(wù)器操作系統(tǒng)之上。如果操作系統(tǒng)被黑客攻破,安裝在操作系統(tǒng)上的業(yè)務(wù)系統(tǒng)必將受到嚴(yán)重影響。當(dāng)前人們對網(wǎng)絡(luò)安全問題及造成的危害早有認(rèn)識,防范措施雖然多種多樣但效果并不理想。防火墻、防病毒、入侵檢測、UTM等網(wǎng)絡(luò)層和應(yīng)用層的防護(hù)手段已經(jīng)非常成熟,但信息系統(tǒng)產(chǎn)生安全問題的最基本原因在于操作系統(tǒng)的結(jié)構(gòu)和機(jī)制的不安全,這使得傳統(tǒng)的信息安全產(chǎn)品如“老三樣”(防火墻、防病毒、入侵檢測)、IPS等構(gòu)筑的防護(hù)體系日趨顯得被動。無論是外部黑客還是內(nèi)部黑客通過攻擊操作系統(tǒng)、業(yè)務(wù)應(yīng)用等各個層面,最終目的是為了獲取服務(wù)器中的資源和權(quán)限,所以保障操作系統(tǒng)安全是信息安全的基礎(chǔ)。目前的操作系統(tǒng)環(huán)境下,使用超級用戶登錄可以控制任何應(yīng)用系統(tǒng),每個應(yīng)用系統(tǒng)之間無法做到完全隔離,如果擁有超級用戶的權(quán)限,就意味著可以在服務(wù)器中做任何事情,數(shù)據(jù)的保密性和完整性根本無法保證,更無法滿足信息系統(tǒng)安全要求。同時,如果操作系統(tǒng)中某一應(yīng)用出現(xiàn)漏洞,就可能導(dǎo)致整個操作系統(tǒng)淪陷,從而讓整個服務(wù)器數(shù)據(jù)信息遭到破壞和竊取。目前,省級無線電管理機(jī)構(gòu)的服務(wù)器操作系統(tǒng)使用的是Windows/Linux/Unix系統(tǒng),這些系統(tǒng)的漏洞是影響操作系統(tǒng)安全的隱患,系統(tǒng)漏洞是當(dāng)初設(shè)計操作系統(tǒng)時有意或無意留下的缺陷,黑客根據(jù)危害程度不同的漏洞發(fā)動攻擊,輕則可以獲取系統(tǒng)敏感信息,重則可以獲取系統(tǒng)控制權(quán)限。目前修復(fù)漏洞主要的途徑是通過更新廠商提供的補(bǔ)丁。由于多數(shù)商業(yè)服務(wù)器操作系統(tǒng)不開源,即使知道漏洞產(chǎn)生的原因,也不能對操作系統(tǒng)源碼進(jìn)行修改并重新編譯;而開源的Linux操作系統(tǒng)出現(xiàn)漏洞,絕大多數(shù)用戶也無技術(shù)能力進(jìn)行漏洞修復(fù)。所以一旦發(fā)現(xiàn)漏洞,只能完全依賴廠商補(bǔ)丁,如果在廠商未出補(bǔ)丁或維護(hù)人員沒有安裝補(bǔ)丁這段時間內(nèi)遭受攻擊,操作系統(tǒng)將會面臨嚴(yán)重威脅。信息安全問題是由很多個安全問題組成的。為此業(yè)內(nèi)提出了多種解決方案,針對不同對象,采用不同安全產(chǎn)品。如果我們把某一個安全問題比作一個點,那么每個安全產(chǎn)品解決的都是相應(yīng)點的問題。為此,我們嘗試在服務(wù)器上采用了新一代的安全加固系統(tǒng),稱之為服務(wù)器系統(tǒng)安全堡壘。它是針對服務(wù)器操作系統(tǒng)存在的安全隱患提供的安全操作系統(tǒng)問題的解決方案,解決操作系統(tǒng)層面所面臨的惡意代碼執(zhí)行、越權(quán)訪問、數(shù)據(jù)泄露、破壞數(shù)據(jù)完整性等各種攻擊行為,能夠通過虛擬化技術(shù)將每個應(yīng)用或者功能單獨劃分成安全域,各安全域之間如同獨立的主機(jī)相互隔離,重構(gòu)操作系統(tǒng)的安全子系統(tǒng),用重構(gòu)后的“強(qiáng)化安全子系統(tǒng)監(jiān)控器”監(jiān)控資源訪問的行為,有效實施細(xì)粒度強(qiáng)制訪問控制的安全策略機(jī)制,可對主機(jī)系統(tǒng)安全涉及的控制點(如身份鑒別、敏感標(biāo)記、強(qiáng)制訪問控制、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等)形成細(xì)粒度的立體防護(hù),以確保操作系統(tǒng)的安全。
4小結(jié)
筆者從以上三個方面簡單闡述了影響無線電信息安全的相關(guān)因素,雖然只是局部性的抽絲剝繭,但希望起到拋磚引玉的作用。隨著國家無線電管理工作任務(wù)中“四庫一化”數(shù)據(jù)中心模式的建立,依托云計算、大數(shù)據(jù)、分布式存儲等數(shù)據(jù)形態(tài)的信息分析,從各種結(jié)構(gòu)化的、非結(jié)構(gòu)化的、半結(jié)構(gòu)化的數(shù)據(jù)中進(jìn)行有價值的數(shù)據(jù)挖掘,將形成頻譜管理的價值信息,而保護(hù)這些信息的安全是無線電信息安全體系的職責(zé)。隨著時代的進(jìn)步,傳統(tǒng)的信息安全方式將逐步邊緣化,我們需要在融合開放的大安全環(huán)境中探索適合自身信息安全的創(chuàng)新之路。
作者:馮曉冬 單位:吉林省無線電設(shè)備質(zhì)量檢測中心