陸光宇，孔祥營，劉云飛，凌云鋒

(1.海軍裝備部電子部，北京 100000;2.江蘇自動化研究所，江蘇 連云港 222061)

隨著各國對網絡空間戰(zhàn)的逐漸重視，網絡中心戰(zhàn)逐漸成為未來海戰(zhàn)場的發(fā)展趨勢，艦載信息化裝備的安全可信能力成為影響艦艇作戰(zhàn)任務完成的關鍵，甚至成為左右戰(zhàn)爭成敗的重要因素。

美軍認為網絡作戰(zhàn)85%的行動為防御行為。2009年美軍海軍制定了《海軍計算機網絡防御路線圖》(Computer Network Defense Roadmap，CNDR)，規(guī)劃了美國海軍計算機網絡防御的縱深結構，要求海上計算機安裝海上計算機防御組件［1］。美國海軍2012年用于計算機系統防御的經費高達10億美金?！睹绹＼?015 年規(guī)劃指南》(U.S.Navy Program Guide 2015)［2］中“信息系統安全規(guī)劃”(Information System Security Program，ISSP)部分強調:ISSP用于保護海軍及與其相關的賽博系統(計算、存儲與傳輸各個環(huán)節(jié))免受攻擊。ISSP涉及一系列用于開發(fā)、測試、鑒定、采購、安裝和全生命周期支持的基于終端和網絡的安全產品和系統。ISSP為海軍艦船、岸基、飛行器、海軍陸戰(zhàn)隊、海岸警衛(wèi)隊提供賽博空間安全保護，并可避免非授權的訪問和修改，以及DoS攻擊。

十八大報告中強調要高度重視網絡空間的安全。2014年2月，習近平在中央網絡安全與信息化領導小組第一次會議上指出“沒有網絡安全就沒有國家安全”。2014年10月中央軍委印發(fā)的《關于進一步加強軍隊信息安全工作的意見》指出“要深刻認識加強信息安全工作是實現能打仗打勝仗核心要求的緊迫任務”，“加快構建與軍事斗爭準備要求相適應的軍隊信息安全防護體系”。國內的一些單位與學者也開展了相關研究，并給出相關解決思路［3-5］。文獻［3］針對艦載通訊系統安全保密需求，分析了系統可能存在的安全保密威脅，提出了艦載通信系統安全保密框架。文獻［4］在研究艦船電子信息系統總體結構的基礎上，對系統可能受到的安全威脅類型進行了分析，設計了融合防火墻、入侵檢測和訪問控制等技術的多層安全防護體系。文獻［5］討論了艦載信息基礎設施信息安全發(fā)展面臨的問題，提出了以可信計算為核心技術的艦載信息基礎設施可信化基本框架。但是這些研究主要關注艦載裝備的信息系統特性。本文從信息物理融合系統(Cyber-Physical Sytems，CPS)的角度出發(fā)，在研究艦載信息化裝備與通用IT(Information Technology)系統差異的基礎上，深入剖析了艦載信息化裝備安全可信的內涵，提出了保障任務安全是艦載信息化裝備安全可信建設首要關注目標的觀點，結合裝備建設的現狀與發(fā)展趨勢，給出了采用縱深主動防御體系模型的艦載信息化裝備安全可信計算環(huán)境構建方案。

1 艦載信息化裝備安全可信的內涵

1.1 艦載信息化裝備安全可信內涵

艦艇信息化裝備是指利用信息技術和計算機技術，實現信息采集、融合、處理、傳輸、顯示的網絡化、自動化和實時化的艦載裝備，是承載現代艦艇作戰(zhàn)任務的主要載體，是由傳感器、武器、計算機及網絡組成的復雜信息物理融合系統。艦載信息化裝備安全可信是研究艦載信息化裝備所構成的信息物理融合系統的安全可信問題。具體而言，艦載信息化裝備安全可信是分析艦載信息化裝備的特點，針對其面臨的安全威脅，通過采取相關措施，消除相關安全威脅，以保障作戰(zhàn)任務的正常完成。

1.2 艦載信息化裝備與IT系統的差異

從功能上來看，艦艇信息化裝備屬于控制系統，通過對傳感器、武器的協同控制，完成給定的作戰(zhàn)任務，這與傳統的IT系統有著本質的區(qū)別。二者的不同詳見表1。

表1 艦載信息化裝備與IT系統的差異

表1給出的艦載信息化裝備與IT系統之間的區(qū)別決定了二者安全關注點的不同。IT系統以數據為中心，系統中存放有大量的個人、企業(yè)和社會數據，這些數據的丟失將給個人、企業(yè)、國家?guī)頁p失，因此安全關注的首要焦點在于保障數據的機密性，然后是完整性和可用性。對這些系統的攻擊同樣以獲取信息為主。在這些系統中，為保障數據的機密性，必要的情況下，可以以犧牲系統的可用性為前提，信息安全三要素的重要程度依次為機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)，也即 CIA，如圖1。而對艦艇信息化裝備而言，主要用于處理傳感器獲取的大量實時信息，接受指揮員下達的命令，控制武器系統完成相應的作戰(zhàn)任務，在任何情況下保證系統的可用性是其關注的首要目標。攻擊者對系統的攻擊也以破壞系統正常功能的完成為主，極少以獲取數據為目的。這是因為系統中的數據不僅具有較強的實時性，而且具備一定的時效性。也就是說，這些數據具備一定的生存周期，下一批數據的到來或該數據已正確到達目的地，將使本期數據自動無效，因而數據的機密性重要程度較低(當然也存在部分機密性非常高的數據)，因此其三要素關注的順序變?yōu)锳IC(可用性、完整性、機密性)。

圖1 信息安全的三要素

2 威脅艦艇信息化裝備安全的主要手段及應對措施

艦艇信息化裝備組成的網絡基本上還是一個由專用軟硬件構成的、與外界物理隔絕的、相對封閉的網絡系統，威脅系統安全的來源主要來自于終端。但是手持終端等新型顯控設備的逐步應用，將采用無線方式接入系統，無線接入的出現改變了原有采用有線以太網連接形成的確定有界拓撲結構，網絡結構具備了一定的不確定性和開放性。

2.1 威脅手段

近些年電子與信息技術的發(fā)展以及頻發(fā)的針對工控系統、核設施、軍事系統的網絡攻擊事件表明:1)物理隔絕的網絡并非網絡世界的世外桃源，面對新型的網絡攻擊手段物理隔絕也并非牢不可破;2)專用的系統并非與世隔絕的凈土，可能早已引起APT(高級持續(xù)威脅)的注意。

針對物理隔絕網絡，近些年來美軍實施了多項科研項目，突破了大量技術。據《紐約時報》報道，美國國家安全局(NSA)發(fā)起的“量子”項目，該項目研發(fā)了一種可以隱匿在USB接口或在電腦生產階段直接藏入計算機的裝置，通過無線電波監(jiān)控計算機的活動，甚至可以更改數據;“舒特”項目［6］可以通過發(fā)射無線電波，遠程改寫被攻擊計算機中的代碼，被稱為用于刺穿物理隔絕這張盾牌的“長矛”。據報道，2007年以色列成功轟炸位于土敘邊境的敘利亞疑似核設施，即是采用美軍的“蘇特”技術入侵并接管了敘利亞防空雷達系統。

此外，優(yōu)盤“擺渡”也是攻破物理隔絕網絡的有效手段。2010年，“震網”(Stuxnet)病毒攻擊了伊朗的鈾濃縮設備，破壞了上千臺離心機，震網病毒即是通過優(yōu)盤“擺渡”到內網中［7］。2009年，“蠕蟲”病毒 Conficker入侵法國海軍內網，導致“颶風”戰(zhàn)機停飛，病毒的傳播也是利用優(yōu)盤“擺渡”方式，該病毒可感染大部分USB設備［7］。

APT是近些年來網絡攻擊的新動向。APT是指由特定組織(包括政府)資助或發(fā)起，針對某一特定目標實體，具備持續(xù)且有效攻擊能力及動機的威脅［8］。APT的出現，使得專用系統成為攻擊的新目標。而且，與傳統個人黑客攻擊不同，APT具有較強的潛伏性和不可預知性，往往利用專用系統尚未公布的漏洞，在必要時發(fā)動攻擊。震網病毒即是針對西門子公司的WinCC HMI等組態(tài)軟件、S7-300/400系列PLC開發(fā)的病毒［7］。APT可以通過識別語言文字(如波斯文、朝鮮文、中文)等計算機系統所處國家或地區(qū)的特征，有選擇地在某一個國家、地區(qū)、甚至可以具體到指定設施所使用的計算機系統中激活病毒并發(fā)動攻擊。

美國風河公司的VxWorks操作系統(版本包括5.3.1到6.8.2)也存在多個漏洞，部分在使用時已被發(fā)現，一些也見諸于報道。例如:17185端口漏洞(CNCAN－2006011801)、拒絕服務漏洞(CNNVD－201303 －410、CNCVE － 2013 － 0716)［9］。利用 17185端口漏洞，攻擊者可以輕易獲得系統的控制權，查看、修改系統內存，激活新的任務或改變系統中正在運行任務的狀態(tài);利用拒絕服務漏洞，攻擊者通過公鑰認證請求，可以執(zhí)行任意代碼或導致系統拒絕服務(守護進程掛起)。最新發(fā)布的VxWorks7.0，WindRiver已經增加了一個安全組件，用于應對日益增強的安全需求［10］。

具體而言，威脅艦艇信息化裝備安全的主要手段見表2。

2.2 應對措施

傳統的信息安全手段主要包括防火墻、入侵檢測和反病毒軟件，主要是針對系統開放性、不確定性較強，實時性要求不高的通用IT系統而開發(fā)。這些技術通常是基于“黑名單”的規(guī)則檢查，通過與已知特征規(guī)則庫的比較，確認是否是可疑報文或惡意代碼。一方面，這些技術是針對Internet網絡設計，規(guī)則設置、特征匹配的重點在于防范對于超文本傳輸協議(HTTP)、文件傳輸協議(FTP)、簡單郵件傳輸協議(SMTP)、簡單網絡管理協議(SNMP)以及Window操作系統的漏洞利用與攻擊，而艦載信息化裝備組成的網絡基本上沒有使用這些協議，Windows系統也將逐步被淘汰;另一方面，黑名單技術難以應對利用零日漏洞(Zero-Day)發(fā)起的攻擊，而且在病毒、漏洞層出不窮的今天，黑名單需要時刻更新，規(guī)模將越來越龐大，規(guī)則檢查將越來越耗時，不適用于艦載信息化裝備這類對實時性有較高要求的系統。

可信計算采用一個新的計算機安全體系結構，通過在系統中增加一個可信平臺模塊(TPM/TCM)硬件芯片，作為可信根，采用加載前度量并存儲的模式，將信任逐層從TCM、BIOS、擴展到操作系統、乃至應用程序、網絡［11］，從而建立終端、網絡的可信環(huán)境?？尚庞嬎闶墙鉀Q信息安全問題的有效技術手段［11］。但是可信計算技術的實施不僅需要改變現有的計算機體系結構，而且可信引導過程中度量操作需要一定的時間消耗。

表2 威脅艦艇信息化裝備安全的主要手段

與黑名單技術相反，白名單技術通過與可信的規(guī)則庫進行比較，確認相關報文或代碼是否可信，適合于功能、配置具有確定性的系統，被認為是下一代的信息安全技術［13］。參考前面分析，艦載信息化裝備是一個功能、配置確定的，并且有較強實時性要求的物理隔絕系統，白名單規(guī)模不大，因而用于匹配檢測的時間消耗較小，所以更適合采用“白名單”技術。

基于白名單技術，可為系統的所有硬件模塊、軟件模塊、網絡節(jié)點、網絡報文建立相應白名單。在系統加電、網絡通信時，通過查詢白名單決定對應的軟硬件模塊、網絡節(jié)點、網絡報文是否可信，禁止不可信的硬件(如非法優(yōu)盤)接入系統，禁止不可信的軟件(如擺渡進來的病毒、預置的病毒、以被改寫的代碼)加載運行，禁止不可信的網絡節(jié)點(如手機)接入系統，禁止不可信的報文(如網絡報文)在網上傳輸，基本上切斷了表2列出的威脅手段，從而可以構建一個安全可信的艦載信息化裝備運行白環(huán)境。

為保障白名單系統不受侵害，我們采用可信計算技術，為系統提供可信根，保護、驗證白名單管理系統的可信，應用的可信則有白名單管理系統保證，減少了由硬件可信根度量帶來的時間消耗。

3 艦艇信息化裝備安全可信縱深主動防御體系

艦艇信息化裝備的安全可信環(huán)境建設應采取“技術+管理”的方案。技術是指安全技術手段和標準規(guī)范，提供用于保障系統正常運行的安全技術手段和指導評估產品設計與驗收的標準。管理是指安全管理規(guī)章制度，規(guī)范系統在運維過程中的操作章程。

3.1 技術方案

借鑒可信計算的思想，艦艇信息化裝備的安全可信環(huán)境采用由可信終端、可信區(qū)域、可信邊界構成的縱深主動防御的體系。如圖2所示。

可信終端、可信區(qū)域、可信邊界三層相互作用分別抵御來自終端、區(qū)域和邊界的攻擊，共同構成艦艇信息化裝備正常運行的可信環(huán)境，與安全操作規(guī)程(開發(fā)、安裝、操作、維護)結合，保障系統任務的正確完成。

1)可信終端

可信終端是指實施了安全可信技術手段的艦載信息化裝備中的顯控臺、機柜、掛壁式設備、指揮桌、手持終端等。

考慮到裝備的技術現狀，對于現役裝備，可信終端的可信根可以采用軟可信技術，即通過在自主可控BIOS或操作系統中引入軟件模擬的TPM模擬器，作為可信根。對于新研裝備，可以采用嵌入可信平臺模塊的計算機系統。

可信終端具備以下能力:

僅驅動可信(通過認證)的硬件設備(包括PCI設備和USB設備);

·僅加載運行可信(通過認證)的軟件模塊;

·僅允許系統通過可信的端口(預先設置)進行網絡通信;

·可支持對硬件I/O的訪問控制

·可支持用戶身份鑒別與訪問控制;

圖2 艦載信息化裝備縱深主動防御的體系示意圖

·可支持加密存儲;

·可支持加密傳輸;

·并支持日志、報警功能。

從而杜絕非法程序、設備的接入，非法端口的使用。

2)可信區(qū)域

可信區(qū)域是由接入同一個交換機中的可信終端形成的子網?？尚艆^(qū)域具備以下能力:

·僅允許可信(通過認證)的終端接入網絡;

·僅允許通過可信的端口進行信息交換;

·支持單向傳輸功能;

·可支持對用戶報文的深度合法性檢查;

·并支持日志、報警功能。

通過可信區(qū)域網關可控制與其他可信區(qū)域的信息交互。

3)可信邊界

可信邊界是用于多個可信區(qū)域間相互信息交換的邊界——可信邊界網關?？尚胚吔缇W關具備以下能力:

·僅允許可信(通過認證)的區(qū)域接入邊界網關;

·僅允許通過可信的端口進行信息交換;

·支持單向傳輸功能;

·支持對用戶報文的深度合法性檢查;

·并支持日志、報警功能。

3.2 安全可信基礎設施組成

安全可信基礎設施組成如圖3所示。

圖3 艦載信息化裝備安全可信基礎設施組成示意圖

安全可信技術與產品應支持多種軟硬件平臺(處理器:X86、龍芯、申威，操作系統:VxWorks、中標麒麟、Windows等)。應用系統可以根據需要，合理選擇，定制滿足自身需要的解決方案。

相關標準用于指導規(guī)范系統艦載信息化裝備的安全可信產品的設計、選型、評估、定型、實施和維護。

工具包括可信應用集成開發(fā)工具與可信系統測試評估工具，分別用于可信應用系統開發(fā)和測試評估。

4 結束語

由于艦艇信息化裝備不同于通用IT系統，其安全可信建設工作不能照搬IT信息系統的信息安全方案。本文給出的基于白名單技術的艦艇信息化裝備安全可信計算環(huán)境建設方案，以“保障裝備使命任務安全”為目標，充分考慮了裝備的特點與需求，對系統運行性能影響降到最小，且易于實現，可有效提高艦載信息化裝備的安全可信能力，同時對其他領域裝備安全可信建設工作也具有一定的借鑒意義。

［1］John J.Lussier.Computer Network Defense Roadmap.Department of Navy［EB/OL］.［2009-12-24］.http://doncio.navy.mil/upload、1019TSI85933.pdf.

［2］Department of Navy.U.S.Navy Program Guide 2015［EB/OL］.［2014-12-30］.Http://www.navy.mil/navydata/policy/seapower/npg15/top-npg15.pdf.

［3］王斌，林海濤.艦載通訊系統安全保密需求［J］.信息安全與通信保密，2011(10):79-81.

［4］石劍琛.艦船電子信息系統安全防護體系研究［J］.計算機與數字工程，2012，40(2):68-71.

［5］裴曉黎.艦載信息基礎設施信息安全研究［J］.計算機與數字工程，2014，42(8):1436-1439.

［6］穆軍林，朱國陽，王江濤.美軍“舒特”系統攻擊方式及應對措施［J］.裝備制造技術，2012(9):131-133.

［7］Isaac R.Porche，Jerry M.Sollinger，Shawn McKay.A Cyberworm that Knows no Boundaries［R］.National Defense Research Institute(NAND)，2011.

［8］Brnce Schneier.Advanced Persistent Threat(APT)［EB/OL］.［2011-11-09］.http://www.schneier.com/blog/archives/2011/11/advanced-persis.html.

［9］國家互聯網應急中心.CNCERT互聯網安全威脅報告［R］.2011.

［10］WindRiver Systems.Inc.Security Profile for VxWorks［EB/OL］.［2015-02-28］.http://www.windriver.com.

［11］TRUSTED C G.TCG Specification Architecture Overview Reversion 1.4［EB/OL］.［2007-08-02］.http://www.docin.com/touch/detail.do?id=1299594814.

［12］沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展［J］.中國科學:信息科學，2010，40(2):139-166.

［13］孟令強.基于可信計算的應用程序白名單管理系統［J］.計算機安全，2010(10):16-18.