殷　虎

(海军驻武汉七一九研究所军事代表室,湖北武汉　430064)



潜艇信息系统信息安全与纵深防护策略研究

殷虎

(海军驻武汉七一九研究所军事代表室,湖北武汉430064)

摘要:随着网络中心战的发展,信息安全问题在现代潜艇系统中的重要性日益凸显。首先分析潜艇信息安全问题的背景、总结其研究现状,然后研究了潜艇信息安全需求及属性定义,探讨了潜艇信息系统信息安全防护整体框架,在此基础上提出了一种综合静态安全防护和动态运行安全防护的潜艇信息系统信息安全纵深防护体系结构。以期为解决潜艇系统设计中的安全缺陷、建立潜艇信息安全防护体系,辅助系统维护、保障系统安全提供基础。

关键词:潜艇;信息系统;信息安全;纵深防护

网络化体系作战是未来海上战争的主要作战模式[1]。潜艇作为整个海军作战体系中的一个重要节点,其多用途和威慑力将会得到进一步加强,并将承担更为重要和复杂的使命任务。现代潜艇信息系统涉及航行操控、作战指挥、武器发控等各个关键控制环节,其信息集成方式已由传统的“烟囱化堆叠式”向“扁平化集成式”转型,信息集成深度和广度大幅提升[2],以适应打赢信息化战争的作战需求。这在推动强化面向服务的领域应用,提升潜艇综合作战效能的同时,也给现代潜艇信息系统带来了信息安全方面的新挑战[3-4]。

潜艇信息系统属于信息物理系统,其信息安全问题将直接影响到物理实体的运行安全,这与IT领域的信息安全有着本质差异[5]。国外在国防信息安全领域的研究相对较早,2009年美国海军部发布《海军部信息保障策略》指令;2013年欧洲网络与信息安全局(ENISA)发布了《工业控制系统网络安全白皮书》。同时,相关研究组也报道了舰船系统信息安全的研究成果。Kai Hansen 提出舰船网络安全区域结构解决方案,通过划分开放网络区域、舰船技术网络区域、安全隔离区域和控制网络区域等不同安全区域,并确定系统安全运行等级,从系统设计上加入边界防护保障舰船系统安全,对于跨区域的非法访问能够起到较好的隔离效果,但是对于区域内部的恶意操作和新型的入侵攻击缺乏有效的处理能力[3]。Mark R. Morgan等[6]提出了基于端到端信息安全概念的舰船系统的信息安全保障体系,着重分析了舰船系统与IT系统在信息安全上的区别,并从安全需求和风险控制上给出了一定的分析和建议[6]。Richard Bensing提出舰船控制系统漏洞评估方法,通过分析舰船上关键基础设施的威胁和漏洞,研究相应防护措施,以保障舰船系统的信息安全[7]。这些研究分析总结了舰船系统信息安全保障的特点,分别从体系结构以及安全评估等方面提出了信息安全保障的方法,能够较为有效地保障系统的静态安全,但是舰船一般服役期较长,而新的安全威胁层不出穷,要保证舰船系统在整个生命周期内的信息安全,必须综合考虑系统静态安全保障和动态运行安全防护。

国内对军事信息物理系统的信息安全研究尚处于起步阶段,文献[8]针对舰船网络风险、管理系统安全、数据库安全、系统实时监控性能、网络入侵抵抗力等方面进行了船舶电力系统信息安全评估分析;文献[9]提出了舰艇装备信息安全评估管理体系,面对各类未知的信息安全隐患,建立良好的信息安全评估与风险处理体系,保障信息安全信息评估和风险处理的实施,对于信息安全体系的建设和运行非常关键。近年来,国家发布了关于切实保障信息安全的若干意见，进一步加强军队信息安全工作,提出要全面推开信息安全等级保护和风险评估,规范信息安全建设和管理。目前成体系的研究还没有较大进展。

本文从潜艇信息系统的信息顶层入手,对潜艇信息系统的信息安全问题进行探讨,首先自顶向下分析了潜艇信息系统信息安全问题、安全需求和属性定义,探讨了潜艇信息系统信息安全防护研究涵盖的主要内容,在此基础上提出了综合静态安全防护和动态运行安全防护的潜艇信息系统信息安全纵深防护体系结构。本文的研究成果为解决潜艇系统设计中的安全缺陷、建立潜艇信息安全防护体系,辅助系统维护、保障系统安全提供基础。

1潜艇信息系统体系架构信息安全分析

1.1潜艇系统信息安全问题分析

1)安全漏洞隐患

潜艇系统中包含大量计算机终端、服务器以及嵌入式控制设备,其数量多、信息交互关系复杂,且通用性较强、协议和接口标准都是公开的,多是采用基于公开的TCP/IP协议实现数据通信。系统中计算机终端安装的操作系统、应用软件以及平台控制系统中的各类嵌入式设备等都存在安全漏洞。因此,在不设防或只采用安全防护级别情况下,潜艇系统存在严重的安全隐患。例如，一台终端主机上不慎引入“蠕虫”在各个局域网内大规模蔓延、终端用户的误操作导致重要数据损坏、低等级用户访问高等级用户才允许访问的主机资源等,这些都可能给信息系统带来巨大的损失。特别是,信息系统的安全问题有可能传递到潜艇物理系统,给整个潜艇安全造成巨大的威胁。

2)网络连接隐患

潜艇信息系统网络由各子系统网络及核心传输网络组成,各子系统的信息安全需求不同,其安全级别也存在差异。不同安全级别的业务子系统互联,如果缺少有效的边界防护策略和访问控制机制,低安全级别与高安全级别系统互联互通,导致潜艇信息系统存在严重的泄密隐患。同时,由于潜艇缺乏有效的安全接入控制措施,无法保证接入潜艇信息系统的平台、用户、终端的合法性,同样导致潜艇存在不安全的连接,进而造成信息泄露。特别地,一旦某个节点遭受攻击或破坏,其影响会迅速蔓延至整个系统。

3)信息攻击泄露

安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁,主要表现在非授权访问、拒绝服务以及病毒与恶意代码。同时内部人员的误操作同样可能利用安全漏洞对系统产生破坏。内部人员有计划地窃听、修改、破坏信息,通过欺骗方式未授权使用信息,或拒绝其他授权用户的访问,或是由于粗心、缺乏专业知识或无意间绕过安全策略对系统产生破坏。由于内部人员知道系统的部署,知道有价值的数据存在何处,并且知道已有采取的安全防范措施,因此内部恶意攻击是通过静态防护手段最难检测和防范的。

4)控制系统的安全性

潜艇信息系统装备包含多个复杂的智能控制系统,各种控制系统通过利用实时采集到的各类信息,对潜艇的状态进行分析,及时采取对应的控制措施,实现潜艇系统运行状态进行智能的调节和控制。潜艇信息系统与潜艇中的各类智能控制系统互通互联,实现对潜艇的智能化运行和自动化管理。潜艇信息系统的信息安全问题极有可能通过信息交互传递到底层的各类控制系统,进而影响到潜艇的整体安全性。因此,潜艇信息系统的信息安全还需要考虑底层控制系统的安全控制问题,需要取得潜艇信息系统的绝对控制权,实现各个电气设备之间良好的信息交互机制。否则,缺乏相应的保障措施,很有可能被入侵者攻击利用,不仅各设备不能正常工作,还可能造成整个潜艇系统的瘫痪,造成艇员人身伤害或军事失利。

1.2潜艇系统信息安全需求分析

潜艇中信息系统与物理设备紧密相连,二者之间具有复杂的信息交互关系,信息系统的问题可能会映射到物理设备,反之亦然。 因此,潜艇信息系统不同于传统意义上的信息系统,属于信息物理融合系统,其信息安全问题不仅需要考虑信息系统自生的信息安全问题(如数据安全、内容安全、运行安全等各层次),还需要综合分析信息系统与底层各潜艇物理设备的信息交互关系,从系统整体出发研究潜艇功能安全和功能性需求的联系,以保障系统整体运行安全。

1)潜艇系统信息安全需求

综合目前信息系统安全的结构,从宏观的角度看,信息安全问题一般划分三个层次：信息系统的安全、信息自身的安全和信息利用的安全。对于潜艇系统而言,由于其工作环境的封闭性和工作使命的特殊要求,其信息安全问题需要考虑系统各种设备、业务信息的可用性、完整性和保密性,以及系统设备运行的安全性和可靠性,总结起来可以从系统数据安全、内容安全和运行安全三个方面进行考虑。

数据安全主要关注潜艇系统设备状态、控制信息以及系统业务信息在存储、传输和处理过程中安全性。内容安全主要关注潜艇系统通信网络的安全性和系统信息的完整性,确保信息交互的安全可控能力。运行安全主要关注潜艇系统及设备的安全性和可靠性,确保系统的可控性及业务连续性。

2)潜艇系统信息安全与功能安全及功能性需求冲突协调

潜艇系统是信息物理融合系统,其信息安全与系统的功能紧密结合,由信息安全问题可引发功能安全问题,破坏系统功能性。如携带病毒的U盘插入潜艇操控平台操作站,病毒程序自动获取管理权限,发送恶意指令至下层控制器设备,破坏潜艇操控系统的正常功能,从而危及潜艇系统的整体运行安全。由于潜艇工作环境和运行使命的特殊性,系统功能安全及功能性需求要求十分严格,在信息安全实施过程中极有可能会产生冲突,从而导致不可预知的后果。因此在研究潜艇系统信息安全问题时,必须考虑其与系统功能安全及功能性需求的融合及统一问题。

1.3潜艇系统信息安全属性分析

在传统IT信息安全领域,将信息安全划分为保密性、完整性、可用性、真实性和不可抵赖性5种属性,其中机密性、完整性、可用性(Confidentiality,Integrality,Availability,CIA)为三种基本属性,其他属性可归入到三种基本属性。参考目前各行业信息安全相关标准,如智能电网信息安全标准NISTIR 7628和工控行业信息安全标准IEC62443和NIST SP-800 82以及其他相关行业信息安全标准,结合潜艇信息物理融合系统的特点,主要从机密性、完整性和可用性三个方面进行考虑。

在潜艇整体环境中,其信息系统连接到各类平台控制系统以及系统物理设备,强调的是运作过程及相关设备的智能控制、监测与管理。在系统架构、设备操作系统、数据交换协议等方面与普通的信息系统存在较大差异,其更为关注系统的实时性、可控性及业务连续性,对于系统信息的保密性、真实性和不可抵赖性要求较低,这极大区别于IT领域信息安全。因此对于潜艇系统信息安全,更为关注可用性、完整性以及保密性。

对于潜艇信息安全,要优先保证系统所有组件的可用性,保证系统业务可控性和系统服务的可靠性,防止功能退化和拒绝服务;同时,需要保证系统的完整性,确保潜艇系统内部信息和服务不会被未授权的修改,防止恶意使用操作;最后是潜艇系统的保密性,确保潜艇系统内部有效的访问控制功能,保护关键信息或设备防止非法访问和信息泄密。此外,潜艇系统的实时性指标也非常重要,系统内存在的控制系统大多要求毫秒级的响应，同时,潜艇系统的信息安全还必须保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期的安全支持。

2潜艇信息系统信息安全整体框架及纵深防护体系

在深入分析潜艇系统安全问题、安全需求以及安全属性的基础上,初步探讨潜艇系统信息安全研究整体框架,将纵深防御理念引入到潜艇系统信息安全防护领域,结合潜艇系统的特点,提出潜艇系统信息安全整体框架和潜艇系统信息安全纵深防护体系。

2.1潜艇系统信息安全整体框架

潜艇系统信息安全不是一个单纯的技术问题,而是涉及多方规范标准和多种学科技术的系统工程,需要按照一定的科学流程,需要从组织规范、安全建设与运行、技术保障几个方面实现,如图1所示。组织规范包括安全组织、岗位职责、教育培训等几个方面。安全组织是指在潜艇的设计运行中需要考虑信息安全专门组织的配备,并且明确各岗位的职责,并定期对相关人员进行信息安全方面教育培训。安全建设与运行主要是针对潜艇需要考虑安全管理框架、项目安全管理、系统的安全运行维护，以及潜艇定期的安全风险评估。潜艇系统中信息安全的组织规范、安全建设与运行可以保障潜艇信息安全设计与实现应遵循一定的规范标准、规范化管理流程,标准化设计方案、科学化评估过程,可有效提高潜艇信息安全能力,是实现潜艇信息安全的基础。

图1　潜艇信息安全整体框架

潜艇信息安全技术保障是指保障潜艇信息安全的相关技术及策略。如图1所示,安全策略需要首先结合一定的潜艇信息安全规范,通过对信息系统进行信息流综合分析得出信息安全流程,然后给出对应的信息安全策略。安全技术按照层次可以分为潜艇基础设施安全、系统信息安全以及潜艇安全管理中心。基础设施安全包括数据中心环境与设施安全、统一身份管理、统一身份认证、统一授权管理以及时间服务。系统信息安全包括网络安全、平台安全和应用安全。网络安全涉及的技术主要包括:物理隔离、白名单、专用协议过滤、VPN系统、链路加密等。平台安全涉及的技术主要包括:访问控制、系统入侵检测、病毒检测、设备安全加固、介质安全保护等。应用安全设计的技术主要包括:用户权限管理、数据防泄漏保护、文档安全管理、业务安全保障、警报处理等。潜艇安全管理中心负责全艇的信息安全事务的综合管理,主要包括:日志审计、漏洞扫描、安全测评、安全事件管理以及操作安全管理。

信息安全技术保障包含的三层防护之间关联密切,潜艇基础设施安全为软件安全提供基本的安全软硬件环境,软件信息安全分别针对潜艇信息系统的网络、终端平台以及应用程序提供安全防护措施,为潜艇安全管理中心提供相应的数据支持。潜艇安全管理中心为艇员提供对应的操作接口。从系统全生命周期信息安全防护的角度看。潜艇信息安全防护可以分为以阻止隔离技术为主的静态信息安全防护和以实时感知、动态决策、快速恢复为主的动态信息安全防护。静态信息安全能够在设计阶段有针对性地构建防护措施,防护效果较好,但是在运行阶段却不能灵活地对待入侵攻击和病毒对系统的破坏。动态信息安全防护以潜艇系统静态知识和系统动态状态为输入,能够较为灵活地保障系统安全,但是较为占用资源或者不能达到较好的恢复效果。

2.2潜艇系统纵深防护体系

图2　潜艇系统纵深防护体系示意图

参考IEC62443工控标准所提出的纵深防御理念,将纵深防御的信息安全防护思想引入到潜艇信息安全防护体系中,深入分析潜艇系统功能业务特点与安全需求,综合运用系统的静态信息安全防护和动态信息安全防护手段,构建潜艇系统纵深防护体系。从技术上看,基于纵深防御的潜艇信息安全防护体系是一个行之有效、切实可行的安全方案。具体而言,分析系统安全隐患,在阻止隔离的基础上,实现系统对攻击的自感知、自决策、自恢复,组建一个潜艇信息安全综合立体防护体系,以保障潜艇的运行安全。潜艇系统纵深防护体系如图2所示。如图2所示,静态信息安全防护包括系统识别与分析、安全策略设计两个阶段。系统识别与分析阶段主要是分析潜艇信息系统信息流,分类识别系统的资产,根据现有漏洞库分析识别系统中存在的信息安全漏洞,然后预测可能的攻击及其传播路径,最后进行整个潜艇信息系统的静态风险评估。系统识别与分析阶段的结果作为安全策略设计阶段的输入。安全策略设计阶段首先是根据系统信息流分析及资产识别结果进行系统分层、分区设计。然后,根据潜艇信息系统静态风险评估结果综合系统其他方面的需求(功能安全及其他功能性需求)进行系统安全需求协调,得出系统最终的信息安全需求。最后,根据系统最终的安全需求,采用信息安全阻止隔离技术,设计出潜艇信息系统的安全策略。

动态信息安全防护的思想是根据系统实时运行状态,动态生成应对入侵攻击的安全策略。其作用是针对静态信息安全未能检测及处理的信息安全问题,灵活地生成应对策略,以保证潜艇系统关键功能及服务的持续正常运行,提升潜艇的自持力。

如图2所示,潜艇动态信息安全防护分为状态感知、策略决策和系统恢复三个阶段,并构成闭环结构。在信息安全状态感知阶段,通过静态信息安全防护中的系统信息流分析及资产识别结果进行探针部署,实现对系统信息安全相关的状态参数的实时监测。同时进行入侵攻击特征分析,根据实时监测的状态参数,采用多模式入侵检测技术进行实时入侵检测。在信息安全策略决策阶段,利用系统实时状态参数以及入侵检测结果,进行信息安全态势分析和动态分析按评估,根据其结果判断系统当前是否需进行动态防御。若有需要,则根据系统实时参数,对系统功能服务以及信息安全状态进行多目标优化,根据优化结果,在静态信息安全策略模板的基础上动态生成信息安全策略。在系统安全恢复阶段,首先根据将要实施的信息安全策略,结合系统任务实时性需求,采用任务实时调度方法对系统任务执行情况进行统一部署,保证新的安全策略下,系统任务的顺利执行,然后根据新的信息安全策略对系统的信息安全防护进行实时调整,使系统在当前的信息安全形势下,既能保证潜艇信息系统功能及服务的持续性,又能保证系统处于一定的信息安全等级之中。

在潜艇信息系统纵深防护体系中,静态信息安全防护和动态信息安全防护之间相互利用,相互补充。一方面,静态信息安全防护能够快速高效地应对已知的信息安全问题,对于静态信息安全防护不能处理的信息安全问题,动态信息安全防护,能够进行及时的检测和处理。另一方面,动态信息安全防护利用静态信息安全防护过程中形成的潜艇信息系统知识,并且动态信息安全策略是以静态信息安全策略为模型生成。二者相辅相成,有机地构成潜艇信息系统纵深防护体系。

3结束语

随着网络中心战的发展,潜艇信息系统信息安全问题会日益突出。与传统IT信息安全相比,潜艇信息系统在体系架构、设备操作流程、数据交换协议等方面有较大差异,其更为关注系统的实时性、可控性及业务连续性。因此,传统IT行业的信息安全解决方案,无法完全适用于潜艇信息系统。

本文首先总结了潜艇信息安全问题的背景,研究了潜艇信息安全需求及属性定义,然后探讨了潜艇信息系统信息安全防护研究的整体框架,最后基于纵深防护概念,提出了一种综合静态安全防护和动态运行安全防护的潜艇信息系统信息安全防护体系结构。以期为管理人员认识和理解潜艇信息安全问题、提高信息安全意识,为指导设计人员完善潜艇系统设计中可能存在的安全缺陷、辅助维护人员发现系统中的安全漏洞提供参考。

参考文献:

[1]A. K. Cebrowski， J. J. Garstka, Network-centric warfare: Its origin and future[J].US Naval Institute Proceedings, 1998, 124(1):28-35.

[2]石剑琛. 舰船电子信息系统安全防护体系研究[J]. 计算机与数字工程, 2012, 40(2):68-71.

[3]Kai Hansen, AkilurRahman. Cyber threat to ships—real but manageable[J]. Cybersecurity, 2013(1):2-7.

[4]裴晓黎. 舰载信息基础设施信息安全研究[J]. 计算机与数字工程, 2014, 42(8):1436-1439.

[5]彭勇, 江常青, 谢丰，等. 工业控制系统信息安全研究进展[J]. 清华大学学报(自然科学版), 2012, 52(10):1396-1408.

[6]Morgan, Mark R. Information assurance as a system of systems in the submarine force[D]. Master’s Thesis, Monterey, California. Naval Postgraduate School, 2013.

[7]R. G. Bensing. An assessment of vulnerabilities for ship-based control systems[D]. Ph.D. dissertation, Monterey, California. Naval Postgraduate School, 2009.

[8]陈黎, 袁鑫. 舰船电力系统信息安全评估[J]. 舰船科学技术, 2015, 37(4):147-151.

[9]刘阳娜, 韩云东. 舰艇装备信息安全管理综合评估方法[J]. 中国舰船研究，2012, 34(5): 125-128.

Research of Cyber Security and Defense in Depth Strategyfor Information System in Submarine

YIN Hu

(Naval Representative at No. 719 Institute, Wuhan 430064, China)

Abstract:With the development of the network centric warfare, the importance of cyber security study for modern submarine system becomes increasingly prominent. Firstly, the background and study of cyber security issue are analyzed and summarized. Secondly, requirement and property definitions of security for submarine system are studied. Finally, the cyber security framework of submarine is explored, and a general cyber security and protection architecture for submarine system is proposed based on defense-in-depth concept, which is hoped to provide the basis to solve security defects, establish security and protection architecture, assist-system maintenance and ensure the security of the system.

Key words:submarine; information system; cyber security; defense-in-depth

中图分类号:E933

文献标志码:A

DOI:10.3969/j.issn.1673-3819.2016.02.006

作者简介：殷虎(1974-)，男，河北石家庄人，硕士，研究方向为计算机控制系统仿真。

收稿日期：2016-02-01

文章编号：1673-3819(2016)02-0024-05

修回日期： 2016-03-02