衛(wèi) 鑫 車夢(mèng)虎 熊 威

（中國人民解放軍91550部隊(duì) 大連 116023）

1 引言

現(xiàn)代戰(zhàn)爭(zhēng)是裝備體系與體系之間的對(duì)抗，信息化裝備在戰(zhàn)時(shí)極易受到網(wǎng)絡(luò)滲透和網(wǎng)絡(luò)攻擊。武器裝備網(wǎng)絡(luò)安全已成為打贏信息化戰(zhàn)爭(zhēng)、避免未戰(zhàn)先敗的前提保證，對(duì)裝備體系作戰(zhàn)能力的基礎(chǔ)性、全局性作用也越來越凸顯［1］。在武器裝備網(wǎng)絡(luò)安全性能驗(yàn)證試驗(yàn)中，網(wǎng)絡(luò)的脆弱性是驗(yàn)證的核心指標(biāo)。在武器裝備的研制階段，如果不重視網(wǎng)絡(luò)安全脆弱性問題，裝備一旦通過列裝定型裝備部隊(duì)，則平時(shí)被滲透控制，戰(zhàn)時(shí)被阻斷癱瘓甚至被接管的風(fēng)險(xiǎn)將嚴(yán)重存在。美軍早在2013 年就發(fā)布了《網(wǎng)絡(luò)安全研制試驗(yàn)鑒定指南》，之后又以備忘錄和指南的形式發(fā)布了多個(gè)網(wǎng)絡(luò)安全試驗(yàn)鑒定政策性指導(dǎo)文件，大力推進(jìn)網(wǎng)絡(luò)靶場(chǎng)及相關(guān)試驗(yàn)設(shè)施建設(shè)，要求各級(jí)試驗(yàn)鑒定機(jī)構(gòu)盡快形成網(wǎng)絡(luò)安全試驗(yàn)、鑒定與評(píng)估能力［2～3］。美軍推進(jìn)網(wǎng)絡(luò)安全試驗(yàn)鑒定能力建設(shè)以及網(wǎng)絡(luò)安全性試驗(yàn)鑒定程序、做法，值得重點(diǎn)關(guān)注與深入研究。

2 網(wǎng)絡(luò)脆弱性試驗(yàn)

2.1 脆弱性定義

脆弱性又稱為網(wǎng)絡(luò)漏洞，武器裝備網(wǎng)絡(luò)脆弱性是單個(gè)武器裝備或整個(gè)武器系統(tǒng)中存在的可能被威脅利用造成損害的薄弱環(huán)節(jié)［4］。武器裝備的脆弱性包含技術(shù)和管理兩個(gè)方面，技術(shù)脆弱性最典型的就是操作系統(tǒng)和應(yīng)用軟件的漏洞，還包括裝備硬件設(shè)計(jì)、設(shè)備接口、硬件漏洞、使用環(huán)境等；管理脆弱性體現(xiàn)在網(wǎng)絡(luò)安全管理體系的不完備和管理制度沒有得到有效的貫徹執(zhí)行。與脆弱性直接相關(guān)并具有重要影響的包括裝備、威脅、安全需求以及風(fēng)險(xiǎn)本身［5～7］。這五個(gè)因素之間的關(guān)系如圖1所示。

2.2 脆弱性試驗(yàn)

對(duì)武器裝備的脆弱性進(jìn)行驗(yàn)證，首先要識(shí)別脆弱性。所謂脆弱性識(shí)別，是指分析和度量可能被威脅利用的裝備薄弱點(diǎn)的過程［8］。脆弱性識(shí)別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。武器裝備在進(jìn)行脆弱性試驗(yàn)時(shí)，靶場(chǎng)應(yīng)從作戰(zhàn)使用、安全策略和安全需求的角度出發(fā)，綜合考慮判斷裝備的脆弱性及其嚴(yán)重程度［9］。武器系統(tǒng)所采用的協(xié)議，程序之間、各設(shè)備之間的流程完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性試驗(yàn)包括脆弱性發(fā)現(xiàn)、脆弱性分類、脆弱性賦值和脆弱性驗(yàn)證四個(gè)部分。

2.2.1 脆弱性發(fā)現(xiàn)

脆弱性發(fā)現(xiàn)需要利用專業(yè)的網(wǎng)絡(luò)工具對(duì)系統(tǒng)進(jìn)行分析。國內(nèi)外一些安全廠商或?qū)I(yè)機(jī)構(gòu)提供了用于脆弱性發(fā)現(xiàn)的專業(yè)設(shè)備或工具。目前，常見的脆弱性發(fā)現(xiàn)工具共有兩種類型。一種是基于主機(jī)的掃描分析，另一種是基于網(wǎng)絡(luò)的掃描分析，兩種方法各有優(yōu)缺點(diǎn)，需根據(jù)實(shí)際情況選用。國際權(quán)威組織定期發(fā)布特定操作系統(tǒng)和硬件架構(gòu)的脆弱性信息（如CVE）。靶場(chǎng)進(jìn)行脆弱性試驗(yàn)時(shí)，對(duì)照這些發(fā)布的信息，根據(jù)裝備的操作系統(tǒng)、網(wǎng)絡(luò)結(jié)構(gòu)、存儲(chǔ)設(shè)備、安全設(shè)備類型，使用多種方法來核查裝備是否存在相應(yīng)的脆弱性。

2.2.2 脆弱性分類

脆弱性發(fā)現(xiàn)后，需對(duì)其進(jìn)行分類，從總體上分為技術(shù)脆弱性和管理脆弱性兩類。技術(shù)脆弱性主要包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)等方面；管理脆弱性，包括裝備網(wǎng)絡(luò)的管理組織、管理策略、管理制度、人員安全管理以及運(yùn)行維護(hù)管理等方面［10］。如表1所示。

表1 技術(shù)脆弱性和管理脆弱性分類

2.2.3 脆弱性賦值

為了表征脆弱性嚴(yán)重程度的大小，需對(duì)其賦值。賦值時(shí)應(yīng)該綜合考慮脆弱性對(duì)武器裝備的暴露程度、脆弱性被利用的難易程度和脆弱性的流行程度三個(gè)方面［11］。對(duì)脆弱性進(jìn)行賦值時(shí)參考表2。

表2 脆弱性嚴(yán)重程度賦值參考

2.2.4 脆弱性驗(yàn)證

脆弱性驗(yàn)證是指在發(fā)現(xiàn)系統(tǒng)中的脆弱性后，通過在線或仿真環(huán)境，重現(xiàn)該脆弱性被發(fā)現(xiàn)和利用的過程，包括在線驗(yàn)證和仿真驗(yàn)證兩個(gè)方面。應(yīng)該注意，并不是系統(tǒng)中所有的脆弱性都需要打上補(bǔ)丁，有時(shí)候盡管修復(fù)了設(shè)備或軟件的漏洞，但隨之而來的卻是整個(gè)系統(tǒng)的運(yùn)行效率地急劇下降。此時(shí)，需要測(cè)評(píng)人員根據(jù)實(shí)際情況予以全局考慮。

3 網(wǎng)絡(luò)脆弱性試驗(yàn)方案設(shè)計(jì)

3.1 系統(tǒng)簡(jiǎn)介

某典型武器控制系統(tǒng)包含控制臺(tái)、控制單元、監(jiān)測(cè)單元、網(wǎng)絡(luò)交換單元等設(shè)備，各設(shè)備協(xié)同工作，共同完成規(guī)定的任務(wù)。網(wǎng)絡(luò)由核心區(qū)、平臺(tái)信息接入?yún)^(qū)、操控區(qū)、外站點(diǎn)接入?yún)^(qū)和內(nèi)外網(wǎng)信息交換區(qū)構(gòu)成。

核心區(qū)部署控制單元，平臺(tái)信息接入?yún)^(qū)和外站點(diǎn)接入?yún)^(qū)分別通過防火墻和路由器接入該區(qū)域。平臺(tái)信息接入?yún)^(qū)主要部署監(jiān)測(cè)單元，實(shí)時(shí)監(jiān)測(cè)平臺(tái)上與武器使用有關(guān)的環(huán)境信息。該區(qū)域部署一臺(tái)防火墻。操控區(qū)部署控制臺(tái)，通過一臺(tái)交換機(jī)連接到控制單元的網(wǎng)絡(luò)交換機(jī)。外站點(diǎn)接入?yún)^(qū)，平臺(tái)上傳感器通過外界通道將信息接入武器系統(tǒng)，再通過鏈路接入到路由器，連接到操控區(qū)。內(nèi)外網(wǎng)信息交換區(qū)，武器系統(tǒng)與平臺(tái)上其它設(shè)備之間需要交換信息，內(nèi)外網(wǎng)信息交換區(qū)部署網(wǎng)絡(luò)交換機(jī)。

3.2 設(shè)備識(shí)別

從完成任務(wù)和系統(tǒng)安全需求角度出發(fā)，對(duì)系統(tǒng)內(nèi)的設(shè)備進(jìn)行識(shí)別，包括硬件、數(shù)據(jù)、制度、人員、環(huán)境等。硬件清單、數(shù)據(jù)清單、制度清單、人員清單及環(huán)境清單如表3～7所示。

表3 硬件清單

表5 制度清單

表6 人員清單

表7 環(huán)境清單

該武器系統(tǒng)共包含21 件組成設(shè)備，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)模中等，邊界清晰，系統(tǒng)運(yùn)行流程規(guī)范。但是，與外界信息交聯(lián)通道多，網(wǎng)絡(luò)安全維護(hù)方面經(jīng)驗(yàn)不足，潛在的脆弱性可能較大。下面結(jié)合脆弱性識(shí)別和賦值方法，分析得到該系統(tǒng)的技術(shù)脆弱性和管理脆弱性。

3.3 技術(shù)脆弱性發(fā)現(xiàn)及賦值

系統(tǒng)的技術(shù)脆弱性主要存在于系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用程序等方面。

3.3.1 物理環(huán)境脆弱性

武器平臺(tái)上的防火、防水、電力供應(yīng)以及電磁防護(hù)等若存在脆弱性問題，在戰(zhàn)時(shí)遭受硬攻擊或電磁攻擊，將影響體系作戰(zhàn)效能發(fā)揮。物理環(huán)境脆弱性評(píng)估結(jié)果如表8所示。

表8 平臺(tái)艙室物理環(huán)境脆弱性評(píng)估

3.3.2 網(wǎng)絡(luò)結(jié)構(gòu)脆弱性

從網(wǎng)絡(luò)結(jié)構(gòu)看，武器系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)可以分為通信載體、安全防護(hù)載體、信息終端及存儲(chǔ)設(shè)備等。通信載體包括路由器、交換機(jī)等，安全防護(hù)載體包括防火墻、入侵防范、物理隔離、信息過濾、安全審計(jì)等，信息終端包括控制臺(tái)、監(jiān)測(cè)單元、控制單元等。經(jīng)過分析評(píng)估，系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)方面的脆弱性主要表現(xiàn)在網(wǎng)絡(luò)中缺乏安全監(jiān)測(cè)防護(hù)手段、網(wǎng)絡(luò)內(nèi)信息未加密傳輸、所有網(wǎng)絡(luò)交換機(jī)均使用同一弱口令等，如表9所示。

表9 武器系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)脆弱性評(píng)估

3.3.3 系統(tǒng)軟件和應(yīng)用程序脆弱性

針對(duì)SUN OS、Windows、Linux/Unix 等操作系統(tǒng)，以及Oracle、SQL Server、DB2 等數(shù)據(jù)庫管理系統(tǒng)以及部分應(yīng)用程序進(jìn)行掃描，列出存在于系統(tǒng)中的脆弱性如表10所示。

表10 武器系統(tǒng)軟件和應(yīng)用程序脆弱性評(píng)估

3.4 系統(tǒng)管理脆弱性識(shí)別及賦值

武器系統(tǒng)的管理脆弱性主要存在于網(wǎng)絡(luò)安全保密管理、信息安全策略缺失、安全管理制度、人員安全管理、系統(tǒng)維護(hù)管理等方面［12］。

3.4.1 管理制度脆弱性

安全管理制度脆弱性評(píng)估結(jié)果如表11 所示。

表11 武器系統(tǒng)安全管理制度脆弱性評(píng)估結(jié)果

3.4.2 人員管理脆弱性

人員管理脆弱性主要體現(xiàn)在對(duì)人員的使用、在崗管理、培訓(xùn)、考核、訪問控制等方面。評(píng)估結(jié)果如表12所示。

表12 武器系統(tǒng)人員管理制度脆弱性評(píng)估結(jié)果

3.5 脆弱性驗(yàn)證

從已識(shí)別的脆弱性中挑選部分內(nèi)容進(jìn)行仿真驗(yàn)證，以了解脆弱性被成功利用后的危害。如前所述，系統(tǒng)技術(shù)脆弱性主要體現(xiàn)在操作系統(tǒng)和應(yīng)用程序漏洞上，針對(duì)這些漏洞，使用專用仿真平臺(tái)或測(cè)試工具執(zhí)行漏洞仿真試驗(yàn)。

目前，市面上支持漏洞掃描的網(wǎng)絡(luò)工具很多，比如用于數(shù)字取證操作的Kali Linux 工具，用于自動(dòng)搜索數(shù)據(jù)庫漏洞的Pompem 網(wǎng)絡(luò)安全工具，包含多種服務(wù)和工具框架的OpenVAS工具等［6］。但是，僅依靠市面上的網(wǎng)絡(luò)安全漏洞測(cè)試工具遠(yuǎn)遠(yuǎn)不夠，因?yàn)檫@些工具針對(duì)的是普通黑客，對(duì)于需要在強(qiáng)網(wǎng)絡(luò)攻防環(huán)境下實(shí)施作戰(zhàn)任務(wù)的武器裝備，還需要針對(duì)性開發(fā)專門的脆弱性驗(yàn)證工具。以Sun Microsystems 公司開發(fā)的Solaris 系統(tǒng)為例，該系統(tǒng)基于UNIX 系統(tǒng)開發(fā)，且系統(tǒng)開源，被不少大型網(wǎng)絡(luò)公司、銀行甚至武器裝備研發(fā)單位選為操作系統(tǒng)，并基于該系統(tǒng)開發(fā)應(yīng)用程序，然而該系統(tǒng)基于X86和SPARC 處理器的架構(gòu)卻存在漏洞。在美國國家安全局下屬的“TAO”正是利用了該漏洞，獲取了對(duì)“跳板機(jī)”的完整控制權(quán)，進(jìn)而攻擊西北工業(yè)大學(xué)計(jì)算機(jī)系統(tǒng)。

4 結(jié)語

美軍極其重視武器裝備網(wǎng)絡(luò)安全試驗(yàn)鑒定工作，其政府問責(zé)局多次發(fā)布專門報(bào)告，督促美國國防部重視并解決裝備或系統(tǒng)中的網(wǎng)絡(luò)安全漏洞。對(duì)我靶場(chǎng)來說，網(wǎng)絡(luò)安全試驗(yàn)作為一項(xiàng)新生事物，其試驗(yàn)理論、手段工具、考核方法還都在不斷探索中，武器裝備的網(wǎng)絡(luò)安全也不全在于考核脆弱性，滲透性、生存性也是重要的考核指標(biāo)。以典型武器控制系統(tǒng)設(shè)備網(wǎng)絡(luò)組成為例，介紹了脆弱性試驗(yàn)驗(yàn)證的理論、方法及步驟，今后在靶場(chǎng)具體實(shí)踐中，還需要根據(jù)網(wǎng)絡(luò)技術(shù)發(fā)展并結(jié)合裝備實(shí)際，加強(qiáng)網(wǎng)絡(luò)安全試驗(yàn)鑒定能力建設(shè)，補(bǔ)齊裝備“隱形的”短板弱項(xiàng)，更好完成作戰(zhàn)任務(wù)。