陸光宇，孔祥營，劉云飛，凌云鋒

(1.海軍裝備部電子部，北京 100000;2.江蘇自動化研究所，江蘇 連云港 222061)

隨著各國對網(wǎng)絡(luò)空間戰(zhàn)的逐漸重視，網(wǎng)絡(luò)中心戰(zhàn)逐漸成為未來海戰(zhàn)場的發(fā)展趨勢，艦載信息化裝備的安全可信能力成為影響艦艇作戰(zhàn)任務(wù)完成的關(guān)鍵，甚至成為左右戰(zhàn)爭成敗的重要因素。

美軍認(rèn)為網(wǎng)絡(luò)作戰(zhàn)85%的行動為防御行為。2009年美軍海軍制定了《海軍計算機(jī)網(wǎng)絡(luò)防御路線圖》(Computer Network Defense Roadmap，CNDR)，規(guī)劃了美國海軍計算機(jī)網(wǎng)絡(luò)防御的縱深結(jié)構(gòu)，要求海上計算機(jī)安裝海上計算機(jī)防御組件［1］。美國海軍2012年用于計算機(jī)系統(tǒng)防御的經(jīng)費(fèi)高達(dá)10億美金?！睹绹＼?015 年規(guī)劃指南》(U.S.Navy Program Guide 2015)［2］中“信息系統(tǒng)安全規(guī)劃”(Information System Security Program，ISSP)部分強(qiáng)調(diào):ISSP用于保護(hù)海軍及與其相關(guān)的賽博系統(tǒng)(計算、存儲與傳輸各個環(huán)節(jié))免受攻擊。ISSP涉及一系列用于開發(fā)、測試、鑒定、采購、安裝和全生命周期支持的基于終端和網(wǎng)絡(luò)的安全產(chǎn)品和系統(tǒng)。ISSP為海軍艦船、岸基、飛行器、海軍陸戰(zhàn)隊、海岸警衛(wèi)隊提供賽博空間安全保護(hù)，并可避免非授權(quán)的訪問和修改，以及DoS攻擊。

十八大報告中強(qiáng)調(diào)要高度重視網(wǎng)絡(luò)空間的安全。2014年2月，習(xí)近平在中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組第一次會議上指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”。2014年10月中央軍委印發(fā)的《關(guān)于進(jìn)一步加強(qiáng)軍隊信息安全工作的意見》指出“要深刻認(rèn)識加強(qiáng)信息安全工作是實(shí)現(xiàn)能打仗打勝仗核心要求的緊迫任務(wù)”，“加快構(gòu)建與軍事斗爭準(zhǔn)備要求相適應(yīng)的軍隊信息安全防護(hù)體系”。國內(nèi)的一些單位與學(xué)者也開展了相關(guān)研究，并給出相關(guān)解決思路［3-5］。文獻(xiàn)［3］針對艦載通訊系統(tǒng)安全保密需求，分析了系統(tǒng)可能存在的安全保密威脅，提出了艦載通信系統(tǒng)安全保密框架。文獻(xiàn)［4］在研究艦船電子信息系統(tǒng)總體結(jié)構(gòu)的基礎(chǔ)上，對系統(tǒng)可能受到的安全威脅類型進(jìn)行了分析，設(shè)計了融合防火墻、入侵檢測和訪問控制等技術(shù)的多層安全防護(hù)體系。文獻(xiàn)［5］討論了艦載信息基礎(chǔ)設(shè)施信息安全發(fā)展面臨的問題，提出了以可信計算為核心技術(shù)的艦載信息基礎(chǔ)設(shè)施可信化基本框架。但是這些研究主要關(guān)注艦載裝備的信息系統(tǒng)特性。本文從信息物理融合系統(tǒng)(Cyber-Physical Sytems，CPS)的角度出發(fā)，在研究艦載信息化裝備與通用IT(Information Technology)系統(tǒng)差異的基礎(chǔ)上，深入剖析了艦載信息化裝備安全可信的內(nèi)涵，提出了保障任務(wù)安全是艦載信息化裝備安全可信建設(shè)首要關(guān)注目標(biāo)的觀點(diǎn)，結(jié)合裝備建設(shè)的現(xiàn)狀與發(fā)展趨勢，給出了采用縱深主動防御體系模型的艦載信息化裝備安全可信計算環(huán)境構(gòu)建方案。

1 艦載信息化裝備安全可信的內(nèi)涵

1.1 艦載信息化裝備安全可信內(nèi)涵

艦艇信息化裝備是指利用信息技術(shù)和計算機(jī)技術(shù)，實(shí)現(xiàn)信息采集、融合、處理、傳輸、顯示的網(wǎng)絡(luò)化、自動化和實(shí)時化的艦載裝備，是承載現(xiàn)代艦艇作戰(zhàn)任務(wù)的主要載體，是由傳感器、武器、計算機(jī)及網(wǎng)絡(luò)組成的復(fù)雜信息物理融合系統(tǒng)。艦載信息化裝備安全可信是研究艦載信息化裝備所構(gòu)成的信息物理融合系統(tǒng)的安全可信問題。具體而言，艦載信息化裝備安全可信是分析艦載信息化裝備的特點(diǎn)，針對其面臨的安全威脅，通過采取相關(guān)措施，消除相關(guān)安全威脅，以保障作戰(zhàn)任務(wù)的正常完成。

1.2 艦載信息化裝備與IT系統(tǒng)的差異

從功能上來看，艦艇信息化裝備屬于控制系統(tǒng)，通過對傳感器、武器的協(xié)同控制，完成給定的作戰(zhàn)任務(wù)，這與傳統(tǒng)的IT系統(tǒng)有著本質(zhì)的區(qū)別。二者的不同詳見表1。

表1 艦載信息化裝備與IT系統(tǒng)的差異

表1給出的艦載信息化裝備與IT系統(tǒng)之間的區(qū)別決定了二者安全關(guān)注點(diǎn)的不同。IT系統(tǒng)以數(shù)據(jù)為中心，系統(tǒng)中存放有大量的個人、企業(yè)和社會數(shù)據(jù)，這些數(shù)據(jù)的丟失將給個人、企業(yè)、國家?guī)頁p失，因此安全關(guān)注的首要焦點(diǎn)在于保障數(shù)據(jù)的機(jī)密性，然后是完整性和可用性。對這些系統(tǒng)的攻擊同樣以獲取信息為主。在這些系統(tǒng)中，為保障數(shù)據(jù)的機(jī)密性，必要的情況下，可以以犧牲系統(tǒng)的可用性為前提，信息安全三要素的重要程度依次為機(jī)密性(Confidentiality)、完整性(Integrity)、可用性(Availability)，也即 CIA，如圖1。而對艦艇信息化裝備而言，主要用于處理傳感器獲取的大量實(shí)時信息，接受指揮員下達(dá)的命令，控制武器系統(tǒng)完成相應(yīng)的作戰(zhàn)任務(wù)，在任何情況下保證系統(tǒng)的可用性是其關(guān)注的首要目標(biāo)。攻擊者對系統(tǒng)的攻擊也以破壞系統(tǒng)正常功能的完成為主，極少以獲取數(shù)據(jù)為目的。這是因?yàn)橄到y(tǒng)中的數(shù)據(jù)不僅具有較強(qiáng)的實(shí)時性，而且具備一定的時效性。也就是說，這些數(shù)據(jù)具備一定的生存周期，下一批數(shù)據(jù)的到來或該數(shù)據(jù)已正確到達(dá)目的地，將使本期數(shù)據(jù)自動無效，因而數(shù)據(jù)的機(jī)密性重要程度較低(當(dāng)然也存在部分機(jī)密性非常高的數(shù)據(jù))，因此其三要素關(guān)注的順序變?yōu)锳IC(可用性、完整性、機(jī)密性)。

圖1 信息安全的三要素

2 威脅艦艇信息化裝備安全的主要手段及應(yīng)對措施

艦艇信息化裝備組成的網(wǎng)絡(luò)基本上還是一個由專用軟硬件構(gòu)成的、與外界物理隔絕的、相對封閉的網(wǎng)絡(luò)系統(tǒng)，威脅系統(tǒng)安全的來源主要來自于終端。但是手持終端等新型顯控設(shè)備的逐步應(yīng)用，將采用無線方式接入系統(tǒng)，無線接入的出現(xiàn)改變了原有采用有線以太網(wǎng)連接形成的確定有界拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)具備了一定的不確定性和開放性。

2.1 威脅手段

近些年電子與信息技術(shù)的發(fā)展以及頻發(fā)的針對工控系統(tǒng)、核設(shè)施、軍事系統(tǒng)的網(wǎng)絡(luò)攻擊事件表明:1)物理隔絕的網(wǎng)絡(luò)并非網(wǎng)絡(luò)世界的世外桃源，面對新型的網(wǎng)絡(luò)攻擊手段物理隔絕也并非牢不可破;2)專用的系統(tǒng)并非與世隔絕的凈土，可能早已引起APT(高級持續(xù)威脅)的注意。

針對物理隔絕網(wǎng)絡(luò)，近些年來美軍實(shí)施了多項(xiàng)科研項(xiàng)目，突破了大量技術(shù)。據(jù)《紐約時報》報道，美國國家安全局(NSA)發(fā)起的“量子”項(xiàng)目，該項(xiàng)目研發(fā)了一種可以隱匿在USB接口或在電腦生產(chǎn)階段直接藏入計算機(jī)的裝置，通過無線電波監(jiān)控計算機(jī)的活動，甚至可以更改數(shù)據(jù);“舒特”項(xiàng)目［6］可以通過發(fā)射無線電波，遠(yuǎn)程改寫被攻擊計算機(jī)中的代碼，被稱為用于刺穿物理隔絕這張盾牌的“長矛”。據(jù)報道，2007年以色列成功轟炸位于土敘邊境的敘利亞疑似核設(shè)施，即是采用美軍的“蘇特”技術(shù)入侵并接管了敘利亞防空雷達(dá)系統(tǒng)。

此外，優(yōu)盤“擺渡”也是攻破物理隔絕網(wǎng)絡(luò)的有效手段。2010年，“震網(wǎng)”(Stuxnet)病毒攻擊了伊朗的鈾濃縮設(shè)備，破壞了上千臺離心機(jī)，震網(wǎng)病毒即是通過優(yōu)盤“擺渡”到內(nèi)網(wǎng)中［7］。2009年，“蠕蟲”病毒 Conficker入侵法國海軍內(nèi)網(wǎng)，導(dǎo)致“颶風(fēng)”戰(zhàn)機(jī)停飛，病毒的傳播也是利用優(yōu)盤“擺渡”方式，該病毒可感染大部分USB設(shè)備［7］。

APT是近些年來網(wǎng)絡(luò)攻擊的新動向。APT是指由特定組織(包括政府)資助或發(fā)起，針對某一特定目標(biāo)實(shí)體，具備持續(xù)且有效攻擊能力及動機(jī)的威脅［8］。APT的出現(xiàn)，使得專用系統(tǒng)成為攻擊的新目標(biāo)。而且，與傳統(tǒng)個人黑客攻擊不同，APT具有較強(qiáng)的潛伏性和不可預(yù)知性，往往利用專用系統(tǒng)尚未公布的漏洞，在必要時發(fā)動攻擊。震網(wǎng)病毒即是針對西門子公司的WinCC HMI等組態(tài)軟件、S7-300/400系列PLC開發(fā)的病毒［7］。APT可以通過識別語言文字(如波斯文、朝鮮文、中文)等計算機(jī)系統(tǒng)所處國家或地區(qū)的特征，有選擇地在某一個國家、地區(qū)、甚至可以具體到指定設(shè)施所使用的計算機(jī)系統(tǒng)中激活病毒并發(fā)動攻擊。

美國風(fēng)河公司的VxWorks操作系統(tǒng)(版本包括5.3.1到6.8.2)也存在多個漏洞，部分在使用時已被發(fā)現(xiàn)，一些也見諸于報道。例如:17185端口漏洞(CNCAN－2006011801)、拒絕服務(wù)漏洞(CNNVD－201303 －410、CNCVE － 2013 － 0716)［9］。利用 17185端口漏洞，攻擊者可以輕易獲得系統(tǒng)的控制權(quán)，查看、修改系統(tǒng)內(nèi)存，激活新的任務(wù)或改變系統(tǒng)中正在運(yùn)行任務(wù)的狀態(tài);利用拒絕服務(wù)漏洞，攻擊者通過公鑰認(rèn)證請求，可以執(zhí)行任意代碼或?qū)е孪到y(tǒng)拒絕服務(wù)(守護(hù)進(jìn)程掛起)。最新發(fā)布的VxWorks7.0，WindRiver已經(jīng)增加了一個安全組件，用于應(yīng)對日益增強(qiáng)的安全需求［10］。

具體而言，威脅艦艇信息化裝備安全的主要手段見表2。

2.2 應(yīng)對措施

傳統(tǒng)的信息安全手段主要包括防火墻、入侵檢測和反病毒軟件，主要是針對系統(tǒng)開放性、不確定性較強(qiáng)，實(shí)時性要求不高的通用IT系統(tǒng)而開發(fā)。這些技術(shù)通常是基于“黑名單”的規(guī)則檢查，通過與已知特征規(guī)則庫的比較，確認(rèn)是否是可疑報文或惡意代碼。一方面，這些技術(shù)是針對Internet網(wǎng)絡(luò)設(shè)計，規(guī)則設(shè)置、特征匹配的重點(diǎn)在于防范對于超文本傳輸協(xié)議(HTTP)、文件傳輸協(xié)議(FTP)、簡單郵件傳輸協(xié)議(SMTP)、簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)以及Window操作系統(tǒng)的漏洞利用與攻擊，而艦載信息化裝備組成的網(wǎng)絡(luò)基本上沒有使用這些協(xié)議，Windows系統(tǒng)也將逐步被淘汰;另一方面，黑名單技術(shù)難以應(yīng)對利用零日漏洞(Zero-Day)發(fā)起的攻擊，而且在病毒、漏洞層出不窮的今天，黑名單需要時刻更新，規(guī)模將越來越龐大，規(guī)則檢查將越來越耗時，不適用于艦載信息化裝備這類對實(shí)時性有較高要求的系統(tǒng)。

可信計算采用一個新的計算機(jī)安全體系結(jié)構(gòu)，通過在系統(tǒng)中增加一個可信平臺模塊(TPM/TCM)硬件芯片，作為可信根，采用加載前度量并存儲的模式，將信任逐層從TCM、BIOS、擴(kuò)展到操作系統(tǒng)、乃至應(yīng)用程序、網(wǎng)絡(luò)［11］，從而建立終端、網(wǎng)絡(luò)的可信環(huán)境?？尚庞嬎闶墙鉀Q信息安全問題的有效技術(shù)手段［11］。但是可信計算技術(shù)的實(shí)施不僅需要改變現(xiàn)有的計算機(jī)體系結(jié)構(gòu)，而且可信引導(dǎo)過程中度量操作需要一定的時間消耗。

表2 威脅艦艇信息化裝備安全的主要手段

與黑名單技術(shù)相反，白名單技術(shù)通過與可信的規(guī)則庫進(jìn)行比較，確認(rèn)相關(guān)報文或代碼是否可信，適合于功能、配置具有確定性的系統(tǒng)，被認(rèn)為是下一代的信息安全技術(shù)［13］。參考前面分析，艦載信息化裝備是一個功能、配置確定的，并且有較強(qiáng)實(shí)時性要求的物理隔絕系統(tǒng)，白名單規(guī)模不大，因而用于匹配檢測的時間消耗較小，所以更適合采用“白名單”技術(shù)。

基于白名單技術(shù)，可為系統(tǒng)的所有硬件模塊、軟件模塊、網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)報文建立相應(yīng)白名單。在系統(tǒng)加電、網(wǎng)絡(luò)通信時，通過查詢白名單決定對應(yīng)的軟硬件模塊、網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)報文是否可信，禁止不可信的硬件(如非法優(yōu)盤)接入系統(tǒng)，禁止不可信的軟件(如擺渡進(jìn)來的病毒、預(yù)置的病毒、以被改寫的代碼)加載運(yùn)行，禁止不可信的網(wǎng)絡(luò)節(jié)點(diǎn)(如手機(jī))接入系統(tǒng)，禁止不可信的報文(如網(wǎng)絡(luò)報文)在網(wǎng)上傳輸，基本上切斷了表2列出的威脅手段，從而可以構(gòu)建一個安全可信的艦載信息化裝備運(yùn)行白環(huán)境。

為保障白名單系統(tǒng)不受侵害，我們采用可信計算技術(shù)，為系統(tǒng)提供可信根，保護(hù)、驗(yàn)證白名單管理系統(tǒng)的可信，應(yīng)用的可信則有白名單管理系統(tǒng)保證，減少了由硬件可信根度量帶來的時間消耗。

3 艦艇信息化裝備安全可信縱深主動防御體系

艦艇信息化裝備的安全可信環(huán)境建設(shè)應(yīng)采取“技術(shù)+管理”的方案。技術(shù)是指安全技術(shù)手段和標(biāo)準(zhǔn)規(guī)范，提供用于保障系統(tǒng)正常運(yùn)行的安全技術(shù)手段和指導(dǎo)評估產(chǎn)品設(shè)計與驗(yàn)收的標(biāo)準(zhǔn)。管理是指安全管理規(guī)章制度，規(guī)范系統(tǒng)在運(yùn)維過程中的操作章程。

3.1 技術(shù)方案

借鑒可信計算的思想，艦艇信息化裝備的安全可信環(huán)境采用由可信終端、可信區(qū)域、可信邊界構(gòu)成的縱深主動防御的體系。如圖2所示。

可信終端、可信區(qū)域、可信邊界三層相互作用分別抵御來自終端、區(qū)域和邊界的攻擊，共同構(gòu)成艦艇信息化裝備正常運(yùn)行的可信環(huán)境，與安全操作規(guī)程(開發(fā)、安裝、操作、維護(hù))結(jié)合，保障系統(tǒng)任務(wù)的正確完成。

1)可信終端

可信終端是指實(shí)施了安全可信技術(shù)手段的艦載信息化裝備中的顯控臺、機(jī)柜、掛壁式設(shè)備、指揮桌、手持終端等。

考慮到裝備的技術(shù)現(xiàn)狀，對于現(xiàn)役裝備，可信終端的可信根可以采用軟可信技術(shù)，即通過在自主可控BIOS或操作系統(tǒng)中引入軟件模擬的TPM模擬器，作為可信根。對于新研裝備，可以采用嵌入可信平臺模塊的計算機(jī)系統(tǒng)。

可信終端具備以下能力:

僅驅(qū)動可信(通過認(rèn)證)的硬件設(shè)備(包括PCI設(shè)備和USB設(shè)備);

·僅加載運(yùn)行可信(通過認(rèn)證)的軟件模塊;

·僅允許系統(tǒng)通過可信的端口(預(yù)先設(shè)置)進(jìn)行網(wǎng)絡(luò)通信;

·可支持對硬件I/O的訪問控制

·可支持用戶身份鑒別與訪問控制;

圖2 艦載信息化裝備縱深主動防御的體系示意圖

·可支持加密存儲;

·可支持加密傳輸;

·并支持日志、報警功能。

從而杜絕非法程序、設(shè)備的接入，非法端口的使用。

2)可信區(qū)域

可信區(qū)域是由接入同一個交換機(jī)中的可信終端形成的子網(wǎng)?？尚艆^(qū)域具備以下能力:

·僅允許可信(通過認(rèn)證)的終端接入網(wǎng)絡(luò);

·僅允許通過可信的端口進(jìn)行信息交換;

·支持單向傳輸功能;

·可支持對用戶報文的深度合法性檢查;

·并支持日志、報警功能。

通過可信區(qū)域網(wǎng)關(guān)可控制與其他可信區(qū)域的信息交互。

3)可信邊界

可信邊界是用于多個可信區(qū)域間相互信息交換的邊界——可信邊界網(wǎng)關(guān)。可信邊界網(wǎng)關(guān)具備以下能力:

·僅允許可信(通過認(rèn)證)的區(qū)域接入邊界網(wǎng)關(guān);

·僅允許通過可信的端口進(jìn)行信息交換;

·支持單向傳輸功能;

·支持對用戶報文的深度合法性檢查;

·并支持日志、報警功能。

3.2 安全可信基礎(chǔ)設(shè)施組成

安全可信基礎(chǔ)設(shè)施組成如圖3所示。

圖3 艦載信息化裝備安全可信基礎(chǔ)設(shè)施組成示意圖

安全可信技術(shù)與產(chǎn)品應(yīng)支持多種軟硬件平臺(處理器:X86、龍芯、申威，操作系統(tǒng):VxWorks、中標(biāo)麒麟、Windows等)。應(yīng)用系統(tǒng)可以根據(jù)需要，合理選擇，定制滿足自身需要的解決方案。

相關(guān)標(biāo)準(zhǔn)用于指導(dǎo)規(guī)范系統(tǒng)艦載信息化裝備的安全可信產(chǎn)品的設(shè)計、選型、評估、定型、實(shí)施和維護(hù)。

工具包括可信應(yīng)用集成開發(fā)工具與可信系統(tǒng)測試評估工具，分別用于可信應(yīng)用系統(tǒng)開發(fā)和測試評估。

4 結(jié)束語

由于艦艇信息化裝備不同于通用IT系統(tǒng)，其安全可信建設(shè)工作不能照搬IT信息系統(tǒng)的信息安全方案。本文給出的基于白名單技術(shù)的艦艇信息化裝備安全可信計算環(huán)境建設(shè)方案，以“保障裝備使命任務(wù)安全”為目標(biāo)，充分考慮了裝備的特點(diǎn)與需求，對系統(tǒng)運(yùn)行性能影響降到最小，且易于實(shí)現(xiàn)，可有效提高艦載信息化裝備的安全可信能力，同時對其他領(lǐng)域裝備安全可信建設(shè)工作也具有一定的借鑒意義。

［1］John J.Lussier.Computer Network Defense Roadmap.Department of Navy［EB/OL］.［2009-12-24］.http://doncio.navy.mil/upload、1019TSI85933.pdf.

［2］Department of Navy.U.S.Navy Program Guide 2015［EB/OL］.［2014-12-30］.Http://www.navy.mil/navydata/policy/seapower/npg15/top-npg15.pdf.

［3］王斌，林海濤.艦載通訊系統(tǒng)安全保密需求［J］.信息安全與通信保密，2011(10):79-81.

［4］石劍琛.艦船電子信息系統(tǒng)安全防護(hù)體系研究［J］.計算機(jī)與數(shù)字工程，2012，40(2):68-71.

［5］裴曉黎.艦載信息基礎(chǔ)設(shè)施信息安全研究［J］.計算機(jī)與數(shù)字工程，2014，42(8):1436-1439.

［6］穆軍林，朱國陽，王江濤.美軍“舒特”系統(tǒng)攻擊方式及應(yīng)對措施［J］.裝備制造技術(shù)，2012(9):131-133.

［7］Isaac R.Porche，Jerry M.Sollinger，Shawn McKay.A Cyberworm that Knows no Boundaries［R］.National Defense Research Institute(NAND)，2011.

［8］Brnce Schneier.Advanced Persistent Threat(APT)［EB/OL］.［2011-11-09］.http://www.schneier.com/blog/archives/2011/11/advanced-persis.html.

［9］國家互聯(lián)網(wǎng)應(yīng)急中心.CNCERT互聯(lián)網(wǎng)安全威脅報告［R］.2011.

［10］WindRiver Systems.Inc.Security Profile for VxWorks［EB/OL］.［2015-02-28］.http://www.windriver.com.

［11］TRUSTED C G.TCG Specification Architecture Overview Reversion 1.4［EB/OL］.［2007-08-02］.http://www.docin.com/touch/detail.do?id=1299594814.

［12］沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展［J］.中國科學(xué):信息科學(xué)，2010，40(2):139-166.

［13］孟令強(qiáng).基于可信計算的應(yīng)用程序白名單管理系統(tǒng)［J］.計算機(jī)安全，2010(10):16-18.