汤 生

(北京控制工程研究所，北京 100190)

航天计算机网络安全防护技术综述

汤 生

(北京控制工程研究所，北京 100190)

综合分析和评述国内外网络信息安全的发展现状及其发展趋势，着重对航天计算机网络信息安全可能存在的各种威胁和脆弱性进行总体分析，综述保障航天计算机网络信息安全现有的各类主要技术与途径，提出采取诸如物理安全、备份与恢复、防病毒、身份认证、信息加密、入侵检测和审计等技术手段，以建成一个成功的航天计算机网络安全防护体系.

航天计算机；网络安全技术

随着改革开放的深入，国内航天企事业单位已开始走向市场，卫星研制工作面临着剧烈的国内外竞争，为适应国际形势和国民经济发展需要，必须采用先进、快捷、高效的研制模式.自80年代末期以来，国内外的成功经验已经表明：采用协同化产品设计是提高航天器研制效率、保证研制质量、降低研制成本的重要手段.

以航天型号研制为主导，从深度和广度上大力推动信息技术对业务的支撑和应用，促使信息技术由分散、孤立的应用向集成、综合的应用发展，强化信息技术与型号研制和业务管理的融合，用数字化技术对传统的设计、制造、试验以及业务管理的模式、方法、手段和流程进行改造，能够从根本上提高研制能力和管理水平，打造和提升航天系统的核心竞争力.

在互联网技术高速发展的今天，网络带来了成本降低、效率提高、业务开展和形象提升等诸多好处，使得企业信息化成为现代企业的必由之路[1-8].然而，事物往往是伴随矛盾而至的，我们在感受网络所带来的便捷的同时，也体验到了病毒、黑客等网络负面因素带来的困扰，所以，建立完备的安全防护体系，确保系统网络正常运转，以保护航天型号研制单位的信息资源不受侵害，已经成为航天科技工业信息化进程中的重要举措.

1 国内外网络信息安全发展现状

目前在信息安全技术方面处于领先地位的国家主要是以美国为首的西方发达国家，一方面这些国家在计算机技术领域特别是芯片技术上有着一定的历史沉积，另一方面这些国家在信息安全技术的应用如电子政务、B2B、企业信息化等方面起步较早，应用比较广泛[9-19].上世纪80年代，美国国防部为适应军用计算机系统的保密需要，在70年代基础理论研究成果——计算机保密模型(Bell amp; La padula模型)的基础上，制定了《可信计算机系统安全评价准则》(TCSEC)以及关于网络系统、数据库等方面的系列安全解释，将计算机安全从低到高分为四等八级：D、C1、C2、B1、B2、B、A1、超A1[9-20].Internet工程任务组(IETF, internet engineering task force)在1994年开始了一项IP安全工程，专门成立了IP安全协议工作组IPSec (security architecture for IP network)，来制定和推动IPSec的IP安全协议标准；1995年8月公布了一系列适用于IPv4和IPv6安全机制的关于IPSec的建议标准；1994年网景公司Netscape为了保护Web通信协议HTTP，开发了集成到网页浏览器和服务器等产品的SSL协议，相继发布了SSL2.0和SSL3.0等版本；1997年IETF发布了基于SSL3.0的TLS1.0传输层安全协议草案；1999年正式发布了文件RFC2246(RFC，request for comments)；1998年美国政府颁发《保护美国关键基础设施》总统令PDD-63，同年美国国家安全局NSA制定了《信息保障技术框架》(IATF)，这是信息保障技术领域中最为系统的研究；2000年基于PDD-63，发布了《保护美国计算机空间》，建立了关于信息安全管理的完整的组织体系[9-20].俄罗斯于1995年颁布了《联邦信息、信息化和信息保护法》，2000年普京总统批准了《国家信息安全学说》，明确了联邦信息安全建设的目的、任务、原则和主要内容.日本于2000年发布了《信息通信网络安全可靠性基准》和《IT安全政策指南》[20].

中国信息安全技术发展存在的问题总体来讲，主要是缺乏信息安全技术的创新研究[6,8].由于中国的信息化进程落后于先进国家，实际应用方面与国际先进水平还有一定差距，为了适应网络信息安全的发展形势，中国政府制定了一系列基本的管理办法，其中包括：《中华人民共和国计算机安全保护条例》、《中华人民共和国商用密码管理条例》、《中华人民共和国计算机信息网络国际联网管理暂行办法》和《计算机信息网络国际联网安全保护管理办法》等[6,8,20].

下面从信息安全技术角度，对网络安全威胁及脆弱性进行分析，对现有主要技术与途径进行总结.

1.1网络安全威胁分析

由于计算机网络的迅猛发展，信息系统的不安全因素陡然增加.网络的不安全潜在因素主要表现为下列几个方面[9-14].

1)物理临近攻击：未授权的人偷偷潜入网络基础设施或计算机房重地，修改、破坏网络基础设施或计算机；非法闯入重要基础设施盗窃各种介质(软盘、光盘、硬盘)上的数据.

2)内部犯罪：内部人员无意操作(如修改网络配置参数)、内部人员违规(如试探操作黑客软件)以及内部人员泄密.

3)信息泄露：局域网的窃听、主干网上的窃听、搭线的窃听、主交换机上的窃听、楼层交换机上的窃听以及Sniffer程序的窃听.

4)重放攻击：截获未受保护的网络认证信息，获取鉴别信息和控制信息；重新发送这些认证信息，假冒一次合法的连接.

5)通信流量分析：通过窃听进行通信流量分析，以达到对业务流程分析的目的.

6)电磁信号还原：利用机房设备或者处理信息终端的电磁泄漏，还原机密信息.

7)假冒：非法用户可以通过各种手段，如窃听、截获、解密、试探攻击等各种手段，获得合法用户身份，以便伪装成合法的用户通过网络进入系统，从而非法使用系统资源，窃取有用的信息.

8)篡改和破坏：非法用户可以利用网络的弱点非法修改网络中传输的报文，假冒合法用户进入系统，进而篡改或破坏计算机系统中的文件，利用通信协议的漏洞，截获传输中的信息并篡改信息再传送给接收者，利用远程接入用户建立非授权的网络连接[2]，远程监控用户链路、修改传输数据以及对内网进行攻击.

9)恶意程序攻击：引入计算机病毒，恶意代码，逻辑炸弹、特洛伊木马对计算机主机系统进行攻击，利用系统或者协议的漏洞进行网络阻塞攻击、扩散攻击、中断攻击、拒绝服务攻击.

10)系统脆弱性攻击：利用已知的操作系统、数据库、通信协议、应用系统和网管系统的安全脆弱性进行攻击[4,9].

网络攻击工具的普遍性和易得性会使得网络安全问题由以前的少见、少量的发生变成普遍、大量的发生，并且随着时间的推移，原来只有高水平黑客才拥有的攻击技术也变得大众化，所有这些都要求安全防范技术、安全防范范围、安全防范方案和安全管理水平要不断地更新和提高.

1.2网络安全脆弱性分析

计算机网络技术提供了高速的信息传递方式，提高了工作效率.但在信息系统中，非授权用户窃取机密信息、篡改用户文件的现象说明网络安全的威胁时时存在[4-5,9-10]，信息系统脆弱性主要表现在以下几个方面.

1)硬件的脆弱性：硬件隐患存在于服务器、主机、终端、路由器、交换机、安全设备等设备中，一旦发生硬件安全问题，将给主机及网络系统的可靠性、可控性、安全性造成严重损害.

2)操作系统的脆弱性：操作系统本身的漏洞和缺陷可能构成安全隐患.

3)数据库系统的脆弱性：数据库系统本身的漏洞和设计缺陷可能构成安全隐患.

4)网络协议的脆弱性：TCP/IP协议本身的开放性导致网络存在安全隐患[1，3]，如：大多数底层协议采用广播方式，广播域内设备均可能窃听到消息；协议规程中缺乏对通信双方身份认证手段，无法确定数据包的地址真伪，可能导致出现身份“假冒”；由于建立TCP连接时服务器初始序号的可推测性，使得黑客可以通过网络系统本身存在的漏洞和隐患攻击系统[6].

5)通用软件系统的脆弱性：Web服务(如IIS、 Apache)等通用软件本身的漏洞和缺陷可能构成安全隐患.

6)安全设计的脆弱性：安全设计不周全可能成为系统防护的弱点，因此由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制，安全体系设计要求具有良好的可扩展性和自适应性.

7)管理的脆弱性：安全防护工具不多、人员技术水平不高和意识淡薄以及规章制度不落实可能构成安全隐患.

1.3主要技术与途径

作为航天高新技术项目的研制单位，研制过程中所产生的航天型号研制数据有相当比例的机密和绝密信息，进行相关研制工作所建立的网络平台和计算机系统属于国家普密级网络系统，这就要求涉密计算机网络建设与网络安全防护体系建设必须相结合.在涉密网络平台的规划、建设和使用过程中，必须按照有关部门发布的相关法律法规和国家军用标准严格执行，在网络信息安全建设上达到国家普密级网络的安全技术规范和要求，配置必要的手段，建成适合航天系统实际情况的网络信息安全防护体系.

(1) 物理安全防护措施

为了保护网络设备、设施、介质和信息免遭自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段进行违法犯罪的行为的破坏或丢失，涉密系统需要具备环境安全、设备安全和介质安全等功能.对于保密程度要求高、放置计算机系统及价值很高的外围设备的网管中心机房，应当加固防盗设施、消防设备和防盗报警装置.

(2)备份与恢复

系统的主要设备、链路、软件、数据、电源等应有备份，并备有技术措施和组织措施，能够在较短时间内恢复系统运行.处理绝密级信息及重要信息的涉密系统的数据应异地备份.

(3)计算机病毒防治

随着新技术的发展，病毒的概念在逐渐的发生演变，已经从过去单纯的对引导区和系统文件感染发展到了可通过网络自动传播，并且有的不再以系统文件为宿主，而是直接寄生在操作系统上.网页、Email、共享目录等都成了网络病毒传播的途径，就近年来发生的安全事件来看，多半都是网络型病毒造成的[4，6]，因此，反病毒技术也由扫描查杀发展到了实时监控，并且针对特殊的应用服务还出现了相应的防毒系统，如网关型病毒防火墙、邮件反病毒系统等.

对于航天计算机内部局域网，应该建立一个完整的全方位多层次的网络防病毒体系.由防病毒服务器进行中央控管，集中管理，统一自动更新部署病毒代码、扫描引擎、程序以及预防代码.

计算机病毒防治包括预防病毒、检测病毒和消除病毒.要制定严格的防病毒制度，不允许使用来历不明、未经杀毒的软件，不阅读和下载来历不明的电子邮件或文件，严格控制并阻断计算机病毒的来源.

(4) 信息加密

信息加密的目的是保护信息系统的数据、文件、口令和控制信息，保护网上传输数据的安全性.加密可以在链路层、网络层、应用层等层面进行实施.加密常用的方法有链路加密、IPSec协议加密和应用层的节点加密.信息系统应根据网络建设的实际情况和信息保密要求，酌情选择不同的加密方式.信息加密过程是由不同加密强度的加密算法来具体实施的.因此，在配置加密算法和密钥时，不仅要根据应用系统的安全保护级别来配置加密算法和密钥，还要考虑配置此种加密算法和密钥给主机服务器资源以及网络资源带来的开销.

(5)身份认证与访问控制

身份标识和鉴别是给予访问者授权的前提，信息系统应使用基于静态口令的认证、基于地址的认证及基于PKI体系的数字证书等身份验证方式对用户信息访问进行身份识别和认证.

网络授权与访问控制是信息安全保障系统防范和保护的主要策略，它的主要任务是保证信息系统的网络资源不被内外部人员非法使用和非正常访问，它是维护安全的重要手段，各种安全策略必须相互配合才能真正起到保护作用.授权是资源的所有者或者控制者授予其他人访问资源的权限.访问控制是一种加强授权的方法.资源包括信息资源、处理资源、通信资源和物理资源.访问控制策略从被访问资源的角度可分为入网访问控制、网络的权限控制、目录安全控制、属性安全控制、网络服务器安全控制、网络节点和端口的安全控制、密钥管理中心的访问控制以及防火墙的访问控制等.访问控制策略也可以分为基于身份的策略、基于规则的策略和基于角色的策略[3，5].信息系统的访问控制策略主要从被保护资源的分类角度，施加不同种类的访问控制策略，其他方式的访问控制策略作为辅助.

(6) 虚拟局域网

虚拟局域网(VLAN)的组网模式是：网络用户所属的LAN与它们的实际物理位置并不相关，在一个网络中处于不同物理位置的各个用户可以不受位置的限制构成“虚拟”的LAN，即VLAN.将一组用户分配在一个单一的广播域，在该广播域上的广播流量只有其成员能够收到.如果在选择设备时考虑了对VLAN标准IEEE 802．1Q的支持[1]，就可以跨交换机来定义同一个VLAN.在划分VLAN之后，各VLAN之间是无法互通的.如果要实现可控的跨VLAN访问，就必须采用第3层的路由技术.

VLAN技术具有如下优点：

1)可以限制广播信息在子网链路层的广播范围，提高网络带宽的利用效率，防止网络性能随规模的扩大而趋于恶化；

2)链路层的隔绝增加了网络的安全性，使网络管理员可以根据需求划分各种工作组，而工作组间保持信息的隔离，使得管理员可以跨地域划分工作组，增加网络管理的灵活性.

如果将局域网所有信息点放在单一的广播域中，广播信息在链路层的广播范围将占据整个局域网，大大降低了网络带宽的利用效率；而且有些部门分布在不同的楼层，管理起来也很不方便.将整个局域网按照部门划分了虚拟局域网(VLAN).将不同楼层的计算机按部门划分为同一子网.另外，利用TRUNK技术将各楼层交换机与中心机房的三层交换机互连起来，通过三层交换机实现了VLAN之间的相互通信.重要的部门，在网络层已互通VLAN网段，可以通过在核心交换机启用filter功能将不必互通的VLAN网段进行过滤.

(7) 防火墙

建立防火墙的目的在于对被保护的网络施加一组访问控制策略.防火墙作为一种网络访问控制技术，能控制网络传输、提供受控的Telnet、SNMP、FTP等访问.

访问控制/包过滤是防火墙的主要功能，用以限制外来资源访问边界内的网络和系统，它只允许必要的内部连接和服务以及合法的网络流量通过.

(8) 入侵检测系统

网络入侵检测系统(NIDS)位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问.当发现网络违规行为和未授权的网络访问时，网络入侵系统能够根据系统安全策略做出反应，包括实时报警、事件记录、执行用户自定义策略等.

网络入侵检测系统的探测器可以部署在网络中安全风险级别相对高的地方，如局域网出入口、需重点保护的主机、内部局域网的重要服务器网段等，在全网使用一个控制台.

在核心交换机上，将连接服务器网段的楼层交换机上联端口映射到与探测器相连的端口，使探测器可以检测到通过楼层交换机传输的服务器流量.网络IDS组成简单，仅由中心控制台和探测器组成，当将来其他网段根据需求也要增加入侵检测时，可随时在要进行网络入侵检测的网段添加探测器，不会改变网络原有结构.

(9) 漏洞扫描

网络信息系统由硬件和软件组成.由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中容易有意或无意地留下一些不容易被发现的安全漏洞.软件漏洞显然会影响信息系统的安全.一些有代表性的安全漏洞是：陷阱门、逻辑炸弹、遥控旁路、后门、非法通信.黑客可以利用这些漏洞进行网络攻击、窃取机密文件.漏洞扫描可以检查出网络和计算机主机的漏洞，根据扫描结果进行相应的修补工作.

(10) 安全审计

安全审计有助于对入侵进行评估，是提高安全性的重要工具.审计信息对于确定是否有网络攻击的情况发生以及确定问题和攻击源都非常重要.通过对安全事件的不断收集并加以分析，可以为发现可能的破坏性行为提供有力的证据.

安全审计可以利用数据库、操作系统、安全保密产品和应用软件的审计功能.对于重要的涉密系统应采用专用设备进行安全审计.

2 网络信息安全发展趋势

总体来说，网络信息安全的发展呈现可信化、芯片化、集成化、多样化和标准化等发展趋势.

随着越来越多的公司加入可信计算组织(TCG),可信计算技术越来越受到重视，人们试图利用可信计算的理念来解决计算机安全问题，其主要思想是在硬件平台上引入安全芯片，从而将部分或整个计算平台变为“可信”的计算平台.安全产品呈现硬件化、芯片化发展趋势，具有更高的安全度与更高的运算速率.在操作系统、应用平台、CPU中捆绑信息安全关键技术产品，注重信息安全技术与产品的集成化[9-20].嵌入式入侵检测以及多种安全技术集成的入侵阻断系统成为入侵检测系统的发展方向.

由于具有独特的、优越的安全性和便利性，生物特征识别技术将成为未来身份认证技术的主要技术.当身份认证技术与其他认证技术互相融合时，例如生物信息技术与数字水印技术相结合，多模态生物特征识别系统的应用将更加引人注目[15-16,21].

信息安全标准化的发展，将从发达国家高度重视转为世界各国高度重视，逐步体现专利标准化、标准专利化的特点，技术标准的研究与制定工作将得到进一步的深化和细化.

3 安全教育

安全教育也是比较重要的一个环节，安全教育有利于掌握基本的安全知识，有利于安全意识的提高，能够及时制止或避免可能发生的安全事件，能够使安全产品更好地发挥作用，方便安全管理和服务的实施.

4 安全管理

面对开放网络安全的脆弱性，除了增加网络安全产品与服务以及制定完善的网络安全策略外，还必须加强网络的安全管理措施.安全和管理是分不开的，即使有好的安全设备和系统，而没有一套好的安全管理方法并贯彻实施，安全也是空谈.因此建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、日志管理等一系列管理方法和制度是非常必要的.具体的措施如下：

1)确定系统和网络的安全等级，确定安全管理的范围；

2)制定相应的机房出入管理制度；

3)制定严格的操作规程；

4)制定完备的网络维护制度；

5)制定应急措施，确保紧急情况下尽快恢复网络运行，使损失减至最小；

6)投入必要的人力、物力和财力，充实专业的网络安全技术管理队伍.管理落实是实现网络安全的关键.安全管理的目的在于两点：一是最大程度地保护网络，使得其安全运行，二是一旦发生黑客事件后能最大程度地挽回损失.

5 结束语

网络安全涉及的范围非常宽广，不管是从技术角度，还是从实际应用角度，它都是一项值得研究的课题.

航天计算机信息安全涉及到计算机信息系统的各个层面，在考虑航天计算机信息系统实际情况的同时，应根据网络的不同层次，融合网络安全多方面的成熟技术，制定多层面、全方位、立体的安全防护策略.航天计算机信息安全保障系统应在物理安全、网络安全、系统安全、应用安全、管理安全等多个层面建立安全策略，综合利用安全防护技术、安全审计技术、安全检测技术和安全响应恢复技术，形成一个集安全事故预防、检测、响应和恢复手段于一体的航天计算机网络安全体系.应用上述技术建成的航天计算机网络安全体系符合国家保密局颁发的《涉及国家秘密的计算机信息系统安全保密方案设计指南》的相关安全防护要求，并已通过其相关安全保密测评.

制定适当完备的网络安全策略是实现网络安全的前提，专业的网络安全技术队伍是保证，严格的管理落实是关键.

网络安全是相对的和动态的.安全技术需要不断创新，安全产品需要不断完善和升级，安全管理需要不断加强和完善，安全意识需要不断加强和普及.

[1] Comer D.Computer networks and internets[M].Upper Saddle River, New Jersey: Prentice Hall, 1997

[2] Huitema C.Routing in the Internet[M].Upper Saddle River, New Jersey: Prentice Hall, 1995

[3] Feit S.TCP/IP[M].New York: McGraw-Hill, 1998

[4] Bellovin S M.Security problems in the TCP/IP protocol suite[J].Computer Communication Review, 1989, 19(2)：32-48

[5] Holbrook J P, Reynolds J K.Site security handbook[M].New York: McGraw-Hill, 1999

[6] 杨义先，钮心忻.网络安全理论与技术[M].北京：人民邮电出版社，2003

[7] ElGamal T.A public key cryptosystem and signature scheme based on discrete logarithms[J].IEEE Trans.Inform Theory, 1985, 31 IT (4): 469-472

[8] 阙喜戎，孙锐，龚向阳，等.信息安全原理及应用[M].北京：清华大学出版社，2003

[9] Goldreich O, Rosenberg A L, Selman A L.Theoretical computer science[M].Berlin: Springer-Verlag, 2001：164-186

[10] Pfleeger C P, Pflleeger S L.Security in computing[M].3rd ed.New Jersey: Prentice Hall, 2003

[11] Merkle R C, Hellman M E.Hiding information and signatures in trap door knapsacks[J].IEEE Trans.Inform Theory, 1978, 24(5): 525-530

[12] Schnorr C P.Efficient identification and signature for smart cards[J].International Journal of Applied Cryptography, 1991, 4(3): 161-174

[13] Shim S S Y, Gong L, Rubin A D, et al.Securing the high-speed internet[J].IEEE Computer, 2004, 37(6):33-35

[14] Anderson J P.Computer security technology planning study[R].ESD-TR-73-51, 1973

[15] Swanson M D, Kobayashi M, Tewfik A H.Multimedia data embedding and watermarking technologies[C].The IEEE, Minneapolis, June 1998

[16] Bender W, Gruhl D, Morimoto N, et al.Techniques for data hiding[J].IBM System Journal, 1996, 35(3): 313-337

[17] Trusted Computing Group.TCG specification architecture overview[S].Beaverton: TCG, 2005: 3-9

[18] Department of Defense Computer Security Center.DoD 5200.28-STD department of defense computer system evaluation criteria[S].Maryland: DOD, 1985: 55-78

[19] National Computer Security Center.NCSC-TG-021 trusted database management system Interpretation[S].Maryland: DOD, 1991: 18-26

[20] 沈昌祥.信息安全国家发展战略思考与对策[J].城市公共安全，2005, 6(1): 31-39

[21] Avizienis A, Laprie J C, Randell B, et al.Basic concepts and taxonomy of dependable and secure computing[J].IEEE Trans.Dependable Secure Computer, 2004, 1(1): 11-33

SurveyofSpaceflightComputerNetworkSecurityTechnique

TANG Sheng

(BeijingInstituteofControlEngineering，Beijing100190,China)

The current situation and trend of network information security technique development in the world are reviewed and analyzed in the paper.This paper presents an overall analysis of a wide variety of threats and vulnerability to the secure and reliable operation of our spaceflight computer network and the computers attached to it.To build a successful spaceflight computer network security infrastructure, we examine different security tools and approaches available for use, and suggest techniques such as physical security, backup and recovery, antivirus, authentication and secrecy, intrusion detection and audit as basic countermeasures.

spaceflight computer; network security technique

TP393

A

1674-1579(2010)02-0036-06

2009-07-21

汤生(1969—)，男，江苏人，高级工程师，研究方向为计算机应用(e-mail:tangsh@bice.org.cn).