盧昱 王雙 王增光 陳興凱

隨著信息技術的迅猛發(fā)展,傳統(tǒng)的指揮與控制系統(tǒng)正逐漸轉變?yōu)橐环N信息化網(wǎng)絡平臺[1],承載、支撐這種平臺的核心是指揮與控制網(wǎng)絡(以下簡稱指控網(wǎng)絡),指控網(wǎng)絡的可靠性和安全性直接影響著指揮與控制系統(tǒng)的效率與效益.

信息化建設給指控網(wǎng)絡帶來機遇的同時,也使其受到各種安全威脅[2].一是IP技術體系架構的開放性帶來的安全威脅.如病毒、蠕蟲和木馬等惡意代碼的入侵,因密碼丟失帶來的通信竊聽、密碼破解、非法訪問與身份冒充等.二是自主可控技術薄弱帶來的預置漏洞、后門與邏輯炸彈.指揮與控制系統(tǒng)中大量的業(yè)務系統(tǒng)、信息安全產(chǎn)品及系統(tǒng)大多仍基于國外的基礎軟硬件,如計算機的CPU、操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡設備等國外產(chǎn)品居多.一旦其中存在尚未發(fā)現(xiàn)的后門和漏洞,則會導致嚴重的安全風險和后果.三是指控網(wǎng)絡安全防護體系不完善帶來的安全問題.內(nèi)部人員的網(wǎng)絡攻擊和一些隱蔽性更高、指向更加明確、手段更加復雜多樣的攻擊仍存在,不夠完善的安全防護體系在這些攻擊下顯得格外脆弱.

隨著網(wǎng)絡安全問題研究的不斷深入,引發(fā)人們從信息論、控制論、系統(tǒng)論和運籌學的角度來看待網(wǎng)絡安全問題,從網(wǎng)絡控制的角度來研究網(wǎng)絡安全問題,網(wǎng)絡安全控制[4]就是在這種情況下應運而生的.網(wǎng)絡安全控制是指揮與控制學科的分支學科,與指揮與控制學科[5]相同,網(wǎng)絡安全控制遵循測不準原理、時空轉換原理、適應性原理和系統(tǒng)整合原理,理論基礎也是信息論、控制論、系統(tǒng)論、運籌學、復雜性理論、耗散結構理論、協(xié)同學和突變論等,同樣有實踐性、時代性、系統(tǒng)性和交叉性等特點.

網(wǎng)絡安全控制的具體實現(xiàn)是網(wǎng)絡安全控制系統(tǒng)(以下簡稱安全控制系統(tǒng)).對于指揮與控制系統(tǒng)而言,可以將安全控制系統(tǒng)作為其重要組成部分,運行于指控網(wǎng)絡之上.指控網(wǎng)絡不僅是安全控制系統(tǒng)的載體,也是安全控制系統(tǒng)的控制對象.要想有效解決目前指控網(wǎng)絡的安全問題,提高其可信性和可控性,必須盡快開展指控網(wǎng)絡安全控制的研究,建立安全控制系統(tǒng),形成完善的動態(tài)網(wǎng)絡安全防護體系.

1 網(wǎng)絡安全控制相關概念和基本模型

針對指控網(wǎng)絡安全性的要求,可以從控制的角度考慮其安全問題.通過將指控網(wǎng)絡的設備、人員、應用和環(huán)境納入受控體系,將網(wǎng)絡上的各種進程、行為、狀態(tài)都控制起來,減少整個網(wǎng)絡的不確定性,從而達到增強網(wǎng)絡安全性的效果.

1.1 網(wǎng)絡安全控制相關概念

網(wǎng)絡控制[6]是控制論與計算機網(wǎng)絡這兩個學科交叉發(fā)展的產(chǎn)物,目前正面臨著新的生長期,是相對于網(wǎng)絡行為而言的,實質是對網(wǎng)絡行為的控制.網(wǎng)絡控制就是通過相應控制策略的調度、控制機制的執(zhí)行、控制協(xié)議的實現(xiàn)和控制部件的運行而實現(xiàn)對網(wǎng)絡行為和網(wǎng)絡過程的調節(jié)或監(jiān)控.

網(wǎng)絡安全控制是為了改善網(wǎng)絡某個或某些對象的安全性能,獲得并利用信息,以這種信息為基礎而選擇的施加于該對象上的作用.簡言之,安全控制是為了實現(xiàn)安全目標而實施的一種特定的網(wǎng)絡控制作用.

網(wǎng)絡安全控制系統(tǒng)是由相互關聯(lián)的控制部件針對一定的安全目標、按照一定的結構構成、能夠提供預期的系統(tǒng)安全響應、具有整體功能和綜合行為的統(tǒng)一體.

1.2 網(wǎng)絡控制概念模型

網(wǎng)絡控制原理可從施控部分、被控部分、控制環(huán)節(jié)和反饋環(huán)節(jié)4個部分進行描述分析,其概念模型如圖1所示.

圖1 網(wǎng)絡控制概念模型

系統(tǒng)設備與應用屬于被控部分,包括網(wǎng)絡各種組成設備和運行的各種信息系統(tǒng).控制者與控制子網(wǎng)屬于施控部分,其中控制者包括各種網(wǎng)絡管理人員和應用系統(tǒng)的使用人員,控制子網(wǎng)包含各種控制系統(tǒng)和網(wǎng)管中心.控制單元包括各種控制作用和控制通道.控制通道是控制信息得以流通的各種控制結構、控制方式和傳輸介質的組合,可以是物理的組合,也可以是邏輯的組合.反饋單元包括反饋作用和反饋通道.網(wǎng)絡系統(tǒng)在反饋作用的影響下,能夠監(jiān)視系統(tǒng)處于何種狀態(tài).反饋通道由各種信息采集和分析設備、信息反饋和決策系統(tǒng)等組成.

1.3 網(wǎng)絡安全控制結構模型

根據(jù)網(wǎng)絡控制概念模型,可以構建出網(wǎng)絡安全控制結構模型,如圖2所示.

圖2 網(wǎng)絡安全控制結構模型

圖中系統(tǒng)設備及應用屬于被控部分,安全控制策略和安全控制中心屬于施控部分,安全控制機制和安全控制平臺構成控制單元,安全評估構成反饋單元.

安全控制策略就是對安全控制思路、控制原則的定義.通常這些定義形成文本,成為系統(tǒng)安全控制規(guī)范文件.系統(tǒng)執(zhí)行安全控制策略后,所表現(xiàn)出的安全控制功能就是網(wǎng)絡系統(tǒng)提供的安全控制服務.對于整個網(wǎng)絡而言,就是信息在系統(tǒng)中不論處于存儲、處理、傳輸還是應用狀態(tài),都受到相應的安全控制策略保障,確保信息在系統(tǒng)中的可信可控性和安全性.

安全控制平臺是網(wǎng)絡實現(xiàn)某種安全控制機制的控制部件,可以是軟件、硬件、固件或設施等.通常,安全控制平臺根據(jù)不同的安全控制部件組合實現(xiàn)功能或性能不同的安全控制機制.

安全控制中心為網(wǎng)絡提供基礎支持,負責接收和處理觀測、采集部件傳送來的系統(tǒng)信息.它描述網(wǎng)絡的控制特征,并將控制任務分割成子任務分配給各個組件完成,實現(xiàn)任務分解的功能,同時管理著系統(tǒng)的各個部件,負責設定各個組件的功能、參數(shù).協(xié)調管理部件針對網(wǎng)絡反饋信息管理和調整控制策略、控制機制和控制部件.

安全評估部分通過觀測、采集部件實時監(jiān)測和捕獲流經(jīng)系統(tǒng)監(jiān)測網(wǎng)段的網(wǎng)絡數(shù)據(jù)流,采集過濾原始數(shù)據(jù)資料,產(chǎn)生約定格式的事件(Event)并進行分析,判斷系統(tǒng)是否存在異常,結合安全評估的指標和系統(tǒng)的安全目標,進行系統(tǒng)安全性能評估,將結果報告給安全控制中心.

2 網(wǎng)絡安全控制體系結構

指控網(wǎng)絡是一個復雜的大系統(tǒng),其網(wǎng)絡安全控制系統(tǒng)的體系結構如圖3所示.

圖3 網(wǎng)絡安全控制系統(tǒng)體系結構

從信息流的角度出發(fā),安全控制系統(tǒng)要對網(wǎng)絡的整個信息生命周期進行安全控制,它是以安全控制需求為牽引,以安全控制技術為基礎,通過安全控制服務和安全控制機制對指控網(wǎng)絡進行安全控制的.安全控制的效果通過信息檢測、效能評估、決策分析等手段反饋給控制方,形成改進的安全控制需求和新一輪的控制.指控網(wǎng)絡安全控制作用于信息網(wǎng)絡系統(tǒng)的整個生命周期,包括網(wǎng)絡的論證、分析、設計、實現(xiàn)和運行維護等各個階段,構成信息網(wǎng)絡的安全控制工程.在具體實施時,需要針對網(wǎng)絡協(xié)議堆棧的不同層次,按照安全控制需求實現(xiàn)不同的安全控制機制,采用不同的安全控制技術,提供不同的安全控制服務.

2.1 網(wǎng)絡安全控制需求

對指控網(wǎng)絡的安全控制主要反映在3個坐標維上,它們分別是信息流維、網(wǎng)絡協(xié)議層次維和信息價值維,如圖4所示.

圖4 安全控制需求

從需求上講,保障指控網(wǎng)絡的安全,一是保障信息在獲取、存儲、處理、利用、反饋乃至銷毀整個生命周期內(nèi)的安全;二是要從網(wǎng)絡的物理層、鏈路層、網(wǎng)絡層、傳輸層和應用層等各個協(xié)議層來保證信息交換的安全;三是要保證信息的可控性、可用性、完整性、空間相關性和時間相關性,即盡可能保有信息的價值.

2.2 安全控制服務

指控網(wǎng)絡安全控制系統(tǒng)提供的安全服務分為系統(tǒng)結構的安全控制服務和系統(tǒng)行為的安全控制服務兩大類.系統(tǒng)結構的安全控制服務主要是為保證指控網(wǎng)絡的物理結構可靠性和軟件服務的可靠性(Safety),它可進一步劃分為物理結構控制和邏輯結構控制兩類服務.系統(tǒng)行為的安全控制服務主要是為保證信息流程和信息交換的安全(Security),它可進一步劃分為流量控制、路由控制、保密控制、鑒別控制、差錯控制、訪問控制和不可否認等服務.

安全控制服務主要影響信息價值的可用性和完整性.這是因為信息價值的可控性是由指控網(wǎng)絡處理和利用信息的固有能力決定的,而信息價值的時空相關性是由指控網(wǎng)絡的獲取(感知)能力決定的.從這個意義上講,安全控制旨在保護已有的信息價值,而信息的獲取、處理和利用旨在創(chuàng)造和發(fā)揮信息的價值,因此它們對指控網(wǎng)絡所做的貢獻是不同的.根據(jù)安全控制需求,在網(wǎng)絡協(xié)議棧的不同層次,都可能運用到不同的安全控制服務.

如果從保護系統(tǒng)的機密性、完整性、可用性和可控性的角度看,可用性服務是由物理結構控制、邏輯結構控制、流量控制、差錯控制、路由控制、鑒別控制和訪問控制服務提供的;完整性服務是由差錯控制、鑒別控制、訪問控制和不可否認服務提供;機密性服務由加密控制、鑒別控制和訪問控制服務提供;可控性服務是由鑒別控制、訪問控制、差錯控制和不可否認服務提供的.所有這些服務均是建立在密鑰管理和身份認證安全基礎設施上的.

2.3 網(wǎng)絡安全控制機制

指控網(wǎng)絡安全控制系統(tǒng)的安全控制機制是實現(xiàn)安全控制需求的技術方案,是提供安全控制服務的組成要素.常見的安全控制機制包括檢測機制、隱藏機制、反饋機制、鑒別機制、公證機制、加密機制、差錯控制機制、路由控制機制、訪問控制機制、流量控制機制,數(shù)字簽名機制、消息認證機制和備份恢復機制等.

一種特定的安全控制服務,很可能運用到一種或多種安全控制機制.在實際的指揮與控制網(wǎng)絡系統(tǒng)中,實現(xiàn)安全保障的基礎在于建立起由PDRR(保護、檢測、響應與恢復)構成的安全控制回路.針對不同的安全屬性,需要采用不同的安全控制機制實現(xiàn)這些控制環(huán)節(jié).機密性的檢測需要使用檢測與隱藏機制,如蜜罐(Honeypot)才能主動檢測出是否存在密鑰泄露的情況;完整性的檢測需要綜合使用鑒別、數(shù)字簽名和消息認證機制;可用性的檢測需要綜合使用檢測、反饋和鑒別機制;機密性的保護需要綜合運用加密、隱藏、訪問控制和流量控制機制;完整性的保護需要綜合運用公證、數(shù)字簽名、消息認證、差錯控制和鑒別機制;可用性保護需要綜合運用路由控制和流量控制機制.機密性、完整性和可用性的恢復需要綜合采用備份與恢復機制.

2.4 網(wǎng)絡安全控制技術

網(wǎng)絡安全控制技術是以安全性和可信可控性為目標,在受控網(wǎng)絡體系的架構部署下,通過綜合集成多層面、一體化的安全控制組件,以增強網(wǎng)絡系統(tǒng)的安全控制能力的技術.安全控制服務和控制機制最終都要通過各種安全控制技術實現(xiàn).主要包括:可信計算技術、結構控制技術、加密控制技術、代碼控制技術、流量控制技術、訪問控制技術、鑒別控制技術、檢測響應技術、密罐設防技術、防病毒技術和容錯冗余技術等.

這里通過可信計算技術構建的可信平臺是所有安全技術實現(xiàn)的基礎,加密控制技術是實現(xiàn)指控網(wǎng)絡安全控制的基礎技術,鑒別控制是實現(xiàn)訪問控制等其他安全控制的前提,檢測響應是實現(xiàn)安全反饋控制的必要環(huán)節(jié),也是評估網(wǎng)絡安全效能、實現(xiàn)有效決策的基礎.只有將這些安全控制技術有機地結合在一起,相互配合、相互補充,才能形成完善的指控網(wǎng)絡安全防護體系.

3 網(wǎng)絡安全控制模型和部件體系

網(wǎng)絡安全控制模型是實現(xiàn)指控網(wǎng)絡安全控制的基本控制組件.按照控制功能的不同可分為訪問控制模型、加密控制模型、結構控制模型、通信控制模型、內(nèi)容控制模型和鑒別控制模型,按照被控對象的不同可分為通信鏈路安全控制、通信實體安全控制和基礎設施安全控制,各模型又是由若干控制部件組成,按一定的控制方式和控制結構對網(wǎng)絡進行安全控制.如圖5所示.

每個安全控制部件具體由傳感器(Sensor)、分析器(Analyzer)和激勵器(Actuator)3部分組成.傳感器負責被控對象的信息采集;分析器根據(jù)系統(tǒng)的安全控制性能指標,對所采集到的信息進行初步的安全脆弱性、可控性分析;激勵器根據(jù)本級部件的分析結果,以及來自于上層安全控制部件的控制命令,對被控對象進行重新配置和調整.

4 需重點加強的研究方向

未來指控網(wǎng)絡安全技術應以可信可控安全體系研究為核心,以構建可信可控的指控網(wǎng)絡為基礎,以建模仿真和效能評估技術為重點,通過構建主動防御和動態(tài)安全防護體系,從根本上實現(xiàn)指控網(wǎng)絡安全.

1)加強可信可控指控網(wǎng)絡的安全體系研究.當前的可信可控技術研究比較零散,還沒有形成完善的理論體系、技術體系和設備體系,必須盡快開展安全體系研究和頂層設計研究.指控網(wǎng)絡建設將新建和集成許多新的信息系統(tǒng)和網(wǎng)絡,而可信可控技術應該在網(wǎng)絡設計、構建之初就深化于指控網(wǎng)絡本身,使可信可控變成指控網(wǎng)絡的本質安全屬性,完善和提高指控網(wǎng)絡的安全控制能力和信息安全保障能力.

圖5 網(wǎng)絡安全控制模型和部件體系

2)加強可信可控指控網(wǎng)絡構建技術研究.如何構建可信可控的指控網(wǎng)絡是當前和下一步要解決的重點問題之一.在利用世界上可能出現(xiàn)的更加先進的可信可控技術服務的同時,我們要在現(xiàn)有技術的基礎上加強可信可控增強技術研究.利用可信可控增強技術對當前指控網(wǎng)絡進行可信可控性改造,增強網(wǎng)絡節(jié)點的設備和信息系統(tǒng)的安全性,使指控網(wǎng)絡“平臺可信,邊界可控,訪問可控,傳輸可控,存儲可控,行為可控”.

3)加強可信可控指控網(wǎng)絡建模仿真與效能評估技術研究.可信可控技術研究形成的許多新理論、新技術和新設備不可能直接應用于實際的指控網(wǎng)絡,必須進行不斷的驗證、修正和優(yōu)化.指控網(wǎng)絡是典型的人在環(huán)的離散事件動態(tài)系統(tǒng),必須用建模仿真和效能評估的方法來分析驗證和完善優(yōu)化.我們要加強分析方法和手段的研究,逐漸為指控網(wǎng)絡可信可控技術分析與研究提供一套完備的研究方法,形成較為完善的研究平臺.

4)加強主動防御和動態(tài)防護技術研究.隨著指控網(wǎng)絡攻擊手段的智能化、多樣化、自動化、常態(tài)化,網(wǎng)絡安全的被動防御和靜態(tài)防護技術的作用越來越受限,取而代之的則是以可預測、可學習、可響應為優(yōu)勢的主動防御技術和基于PDRR模型的動態(tài)防護技術.主動防御和動態(tài)防護的實施基礎是實現(xiàn)指控網(wǎng)絡狀態(tài)的完全監(jiān)控,即實現(xiàn)指控網(wǎng)絡的可信可控.因此,我們應該加強該領域的研究,形成適合指控網(wǎng)絡的動態(tài)安全防護體系.

5 結束語

指控網(wǎng)絡是當前指揮與控制系統(tǒng)信息化轉型的關鍵,其地位和作用越來越重要.如果不能保證指控網(wǎng)絡的可信可控,則很有可能導致指揮控制的失誤.然而,指控網(wǎng)絡的可信可控實現(xiàn)不可能一蹴而就,要大膽穩(wěn)妥地推進,盡快構建可信可控指控網(wǎng)絡和動態(tài)安全防護體系,從而為滿足指揮與控制系統(tǒng)的運行需求提供信息安全保障.