无线电信息安全实践与思考

0引言

虽然无线电信息安全所涉及的方面非常广泛，但可以归纳为如下两个范畴：

（1）由于无线电波具有开放的特性，保障无线电信息安全的着眼点一是保障合法无线电业务的正常开展，二是打击不法分子通过无线电波非法传播信息，扰乱空中电波的有效秩序，影响社会稳定。

（2）无线电信息安全是无线电信息系统（包括硬件、软件、数据、业务应用等）受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统能够连续可靠正常地运行，无线电信息服务不中断，最终实现无线电业务工作的连续性。本文中笔者仅就第二个范畴与大家探讨，共同推进无线电信息安全的有效工作。

1无线电信息安全不是单一的技术问题

随着新一代信息技术在移动互联网、物联网、下一代宽带移动通信、智能制造等领域得到广泛应用，无线电技术已成为信息技术领域最为活跃的部分。为了实施“中国制造2025”，我国正在加快推动工业化和信息化深度融合的进程，同时，各类无线电信息技术必然向经济和社会生活的各个领域加速普及。移动通信网、卫星通信网、实时广播电视网、WiFi网络等这些围绕在我们周围的无线电网络，已经深深融入并改变着人们的生活。在以云计算、物联网、大数据为新技术代表的“互联网+”时代中，无线电信息技术必然是其重要的组成部分，更是数字化社会生活方式的重要载体。但由于数字化社会中，信息网络本身存在的各种缺陷和信息网络互联形式的开放多样性，以及公众信息泄露等重大事件的时有发生，信息安全早已成为社会关注的焦点，无线电信息安全更是重中之重。在当前整体无线电信息安全形势下，无线电管理机构为了更好地履行“三管理、三服务、一突出”的核心职责，升级和完善现有信息系统，提高信息的安全性和可靠性，保证各项管理业务的安全、稳定、高效运行，就必须对自身信息系统的安全体系进行规划和建设。笔者认为在这方面包括两个层面，一个是信息安全的制度，另一个是信息安全的手段。信息安全制度要包括法律法规的制定，更关键的是包括其监督执行的机制。信息安全的手段是指各种信息安全的技术、信息安全的产品和解决方案。科学地讲，任何与安全有关的问题从来不是单一的技术能够解决的，而是将管理、技术、法律、制度等因素相结合的产物。如果我们把信息安全当作一个人的身体健康，这个人能够拥有健康身体的决定因子是能够按照适合自己的生活方式生活，而保健品、药品只是保障身体健康的各种产品和手段。如果只采取吃药治病的手段，而不去解决生活方式上的问题，那么药效也只是暂时的。即生活方式是因，身体健康是果。同样对应一个单位的信息安全来说，信息安全的决定因子是制定并有效执行适合本单位的信息安全制度，而各种安全技术、安全产品和解决方案只是保障信息安全的手段。

2影响无线电信息安全的因素

（1）信息安全制度的漏洞和执行无力当前每个单位都有自己的信息安全制度，但大多一成不变。比如：某单位的墙上贴着的《信息安全制度》中还写着“第五条及时下载最新的防病毒疫苗，防止服务器受病毒的侵害”。这样过时的制度条款，且不说制度执行的程度如何，仅仅是制度内容的形同虚设就是最大的信息安全漏洞。同时，如果好的制度执行不力，工作也是没有效果的，如同纸上谈兵。

（2）信息传输手段的载体当前通信技术发生了前所未有的爆炸性发展。除有线通信外，短波、超短波、微波、卫星等无线电通信也正在广泛地应用。与此同时，国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、侦察机、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取中国通信传输中的信息。由于目前传输信息的方式很多，有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其他各种传输技术，信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护，达到保障信息安全的目的。

（3）信息调度的大脑尽管目前大多数单位已经购置并部署了众多安防产品，对自身的信息系统等进行保护，包括防火墙、抗拒绝服务攻击、入侵检测、漏洞扫描、防病毒网关等等，但是服务器瘫痪、病毒木马感染、涉密信息外泄等事件还是频繁发生。一个完整的信息系统面临着多样的安全风险，网络、系统、应用，都是可能受到攻击和影响的关键点，但在众多的网络安全因素中，服务器安全又显得尤为重要，因为服务器相当于整个信息系统的大脑，其上运行着大量关键的应用，办公、邮件、Web、域名、数据库、应用系统……关系着单位的业务安全、数据安全，所以服务器成为很多恶意攻击的首选目标。

3无线电信息安全的实现

（1）建立适合自身的无线电信息安全制度且执行由于各省级无线电管理机构的情况不同，无线电信息安全制度的内容也是不同的，但目标都是为了保障无线电信息的安全、网络的安全、数据的安全，更好地完成无线电信息安全的日常和应急工作。任何制度的生命力在于执行。从一定意义上说，执行制度比制定制度更为重要。如果制度执行总是打折扣，再健全完美的制度也只是摆设。相对而言，无线电领域人才济济，我们不缺乏制度建设与创新的人才和能力，但缺乏贯彻与落实制度的力度。从实际工作中看，制度之所以得不到有效执行，其主要原因包括：一是对自己方便的制度条款就执行，麻烦的制度条款就拖沓；二是制度本身制定得不够科学，不够明确，缺乏可操作性；三是对制度的执行过程监督不到位；四是缺乏对制度内容的修改机制；五是缺乏对制度执行的考评机制。要推动无线电信息安全工作的有效开展，首先要建立科学的、适合本单位自身情况的信息安全制度；其次要通过坚持制度落实的责任制，明确责任主体来增强制度的执行力；最后要建立监督检查和考评机制，及时发现制度执行的问题和制度设计本身的缺陷，严格做到定期修改《无线电信息安全制度》，维护制度的权威性和严肃性。

（2）通过数据加密和访问控制确保无线电信息安全在无线电管理业务要求涉密的内部网络中需要信息交换时，也同样存在着信息安全保护的问题。为了防止内部数据信息安全的失控，我们采用数据加密和访问控制的“信息安全管理中心”方式来保障内部业务数据的信息安全（见图1）。由于网上的数据信息分散在不同的位置，这就需要建立一套集中管理的机制和设备。它用来给各数据信息设备分发密钥，监控数据信息设备的运行状态，负责收集数据信息设备的审计情况等。信息安全管理中心采用基于高速硬件的加密方式，提供商用级别中最高水平的数据安全保护，涵盖最广泛的数据类型，提供了数据加密和粒度化访问控制功能的综合平台，适应于数据库、应用程序、服务器和个人文件。通过对密钥、策略、登录、审计和报表功能的集中管理，简化了管理工作，确保符合法规并最大限度地提高数据的安全性。在部署信息安全管理中心后，可以在中心的系统安全保护选项中，选择数据中心和终端数据保护方式。省级数据管理中心的数据库数据加密，可以对存储在无线电管理业务数据库中的，如频率台站、监测数据、执法卷宗等敏感数据信息提供强有力的保护。无论是在数据库内，还是在业务应用程序层面，在批量数据转换和交换过程中，都可以灵活地对数据列进行加密。同时可以避免由于管理责任的划分而造成一些“特权用户”对数据进行存取的风险。集中化的密钥和策略管理可以对数据库中的数据进行加密。另外，除了保护省级数据管理中心服务器中的结构化和非结构化数据，信息安全管理中心系统还可以被用来保护存放在终端的设备，包括台式机、笔记本电脑和可移动介质中的文件和文件夹，对Word文档、Excel电子表格、设计文稿以及图像文件等予以保护。业务处室的工作人员也可以使用他们的台式电脑、笔记本电脑或可移动介质对正在使用的、从数据中心调取的文档进行加密。

（3）服务器系统的安全堡垒是无线电信息安全的基础无线电管理业务系统和业务数据库的构架都基于服务器操作系统之上。如果操作系统被黑客攻破，安装在操作系统上的业务系统必将受到严重影响。当前人们对网络安全问题及造成的危害早有认识，防范措施虽然多种多样但效果并不理想。防火墙、防病毒、入侵检测、UTM等网络层和应用层的防护手段已经非常成熟，但信息系统产生安全问题的最基本原因在于操作系统的结构和机制的不安全，这使得传统的信息安全产品如“老三样”（防火墙、防病毒、入侵检测）、IPS等构筑的防护体系日趋显得被动。无论是外部黑客还是内部黑客通过攻击操作系统、业务应用等各个层面，最终目的是为了获取服务器中的资源和权限，所以保障操作系统安全是信息安全的基础。目前的操作系统环境下，使用超级用户登录可以控制任何应用系统，每个应用系统之间无法做到完全隔离，如果拥有超级用户的权限，就意味着可以在服务器中做任何事情，数据的保密性和完整性根本无法保证，更无法满足信息系统安全要求。同时，如果操作系统中某一应用出现漏洞，就可能导致整个操作系统沦陷，从而让整个服务器数据信息遭到破坏和窃取。目前，省级无线电管理机构的服务器操作系统使用的是Windows/Linux/Unix系统，这些系统的漏洞是影响操作系统安全的隐患，系统漏洞是当初设计操作系统时有意或无意留下的缺陷，黑客根据危害程度不同的漏洞发动攻击，轻则可以获取系统敏感信息，重则可以获取系统控制权限。目前修复漏洞主要的途径是通过更新厂商提供的补丁。由于多数商业服务器操作系统不开源，即使知道漏洞产生的原因，也不能对操作系统源码进行修改并重新编译；而开源的Linux操作系统出现漏洞，绝大多数用户也无技术能力进行漏洞修复。所以一旦发现漏洞，只能完全依赖厂商补丁，如果在厂商未出补丁或维护人员没有安装补丁这段时间内遭受攻击，操作系统将会面临严重威胁。信息安全问题是由很多个安全问题组成的。为此业内提出了多种解决方案，针对不同对象，采用不同安全产品。如果我们把某一个安全问题比作一个点，那么每个安全产品解决的都是相应点的问题。为此，我们尝试在服务器上采用了新一代的安全加固系统，称之为服务器系统安全堡垒。它是针对服务器操作系统存在的安全隐患提供的安全操作系统问题的解决方案，解决操作系统层面所面临的恶意代码执行、越权访问、数据泄露、破坏数据完整性等各种攻击行为，能够通过虚拟化技术将每个应用或者功能单独划分成安全域，各安全域之间如同独立的主机相互隔离，重构操作系统的安全子系统，用重构后的“强化安全子系统监控器”监控资源访问的行为，有效实施细粒度强制访问控制的安全策略机制，可对主机系统安全涉及的控制点（如身份鉴别、敏感标记、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等）形成细粒度的立体防护，以确保操作系统的安全。

4小结

笔者从以上三个方面简单阐述了影响无线电信息安全的相关因素，虽然只是局部性的抽丝剥茧，但希望起到抛砖引玉的作用。随着国家无线电管理工作任务中“四库一化”数据中心模式的建立，依托云计算、大数据、分布式存储等数据形态的信息分析，从各种结构化的、非结构化的、半结构化的数据中进行有价值的数据挖掘，将形成频谱管理的价值信息，而保护这些信息的安全是无线电信息安全体系的职责。随着时代的进步，传统的信息安全方式将逐步边缘化，我们需要在融合开放的大安全环境中探索适合自身信息安全的创新之路。

作者：冯晓冬 单位：吉林省无线电设备质量检测中心