指挥与控制网络安全控制研究

卢昱 王双 王增光 陈兴凯

随着信息技术的迅猛发展,传统的指挥与控制系统正逐渐转变为一种信息化网络平台[1],承载、支撑这种平台的核心是指挥与控制网络(以下简称指控网络),指控网络的可靠性和安全性直接影响着指挥与控制系统的效率与效益.

信息化建设给指控网络带来机遇的同时,也使其受到各种安全威胁[2].一是IP技术体系架构的开放性带来的安全威胁.如病毒、蠕虫和木马等恶意代码的入侵,因密码丢失带来的通信窃听、密码破解、非法访问与身份冒充等.二是自主可控技术薄弱带来的预置漏洞、后门与逻辑炸弹.指挥与控制系统中大量的业务系统、信息安全产品及系统大多仍基于国外的基础软硬件,如计算机的CPU、操作系统、数据库和网络设备等国外产品居多.一旦其中存在尚未发现的后门和漏洞,则会导致严重的安全风险和后果.三是指控网络安全防护体系不完善带来的安全问题.内部人员的网络攻击和一些隐蔽性更高、指向更加明确、手段更加复杂多样的攻击仍存在,不够完善的安全防护体系在这些攻击下显得格外脆弱.

随着网络安全问题研究的不断深入,引发人们从信息论、控制论、系统论和运筹学的角度来看待网络安全问题,从网络控制的角度来研究网络安全问题,网络安全控制[4]就是在这种情况下应运而生的.网络安全控制是指挥与控制学科的分支学科,与指挥与控制学科[5]相同,网络安全控制遵循测不准原理、时空转换原理、适应性原理和系统整合原理,理论基础也是信息论、控制论、系统论、运筹学、复杂性理论、耗散结构理论、协同学和突变论等,同样有实践性、时代性、系统性和交叉性等特点.

网络安全控制的具体实现是网络安全控制系统(以下简称安全控制系统).对于指挥与控制系统而言,可以将安全控制系统作为其重要组成部分,运行于指控网络之上.指控网络不仅是安全控制系统的载体,也是安全控制系统的控制对象.要想有效解决目前指控网络的安全问题,提高其可信性和可控性,必须尽快开展指控网络安全控制的研究,建立安全控制系统,形成完善的动态网络安全防护体系.

1 网络安全控制相关概念和基本模型

针对指控网络安全性的要求,可以从控制的角度考虑其安全问题.通过将指控网络的设备、人员、应用和环境纳入受控体系,将网络上的各种进程、行为、状态都控制起来,减少整个网络的不确定性,从而达到增强网络安全性的效果.

1.1 网络安全控制相关概念

网络控制[6]是控制论与计算机网络这两个学科交叉发展的产物,目前正面临着新的生长期,是相对于网络行为而言的,实质是对网络行为的控制.网络控制就是通过相应控制策略的调度、控制机制的执行、控制协议的实现和控制部件的运行而实现对网络行为和网络过程的调节或监控.

网络安全控制是为了改善网络某个或某些对象的安全性能,获得并利用信息,以这种信息为基础而选择的施加于该对象上的作用.简言之,安全控制是为了实现安全目标而实施的一种特定的网络控制作用.

网络安全控制系统是由相互关联的控制部件针对一定的安全目标、按照一定的结构构成、能够提供预期的系统安全响应、具有整体功能和综合行为的统一体.

1.2 网络控制概念模型

网络控制原理可从施控部分、被控部分、控制环节和反馈环节4个部分进行描述分析,其概念模型如图1所示.

图1 网络控制概念模型

系统设备与应用属于被控部分,包括网络各种组成设备和运行的各种信息系统.控制者与控制子网属于施控部分,其中控制者包括各种网络管理人员和应用系统的使用人员,控制子网包含各种控制系统和网管中心.控制单元包括各种控制作用和控制通道.控制通道是控制信息得以流通的各种控制结构、控制方式和传输介质的组合,可以是物理的组合,也可以是逻辑的组合.反馈单元包括反馈作用和反馈通道.网络系统在反馈作用的影响下,能够监视系统处于何种状态.反馈通道由各种信息采集和分析设备、信息反馈和决策系统等组成.

1.3 网络安全控制结构模型

根据网络控制概念模型,可以构建出网络安全控制结构模型,如图2所示.

图2 网络安全控制结构模型

图中系统设备及应用属于被控部分,安全控制策略和安全控制中心属于施控部分,安全控制机制和安全控制平台构成控制单元,安全评估构成反馈单元.

安全控制策略就是对安全控制思路、控制原则的定义.通常这些定义形成文本,成为系统安全控制规范文件.系统执行安全控制策略后,所表现出的安全控制功能就是网络系统提供的安全控制服务.对于整个网络而言,就是信息在系统中不论处于存储、处理、传输还是应用状态,都受到相应的安全控制策略保障,确保信息在系统中的可信可控性和安全性.

安全控制平台是网络实现某种安全控制机制的控制部件,可以是软件、硬件、固件或设施等.通常,安全控制平台根据不同的安全控制部件组合实现功能或性能不同的安全控制机制.

安全控制中心为网络提供基础支持,负责接收和处理观测、采集部件传送来的系统信息.它描述网络的控制特征,并将控制任务分割成子任务分配给各个组件完成,实现任务分解的功能,同时管理着系统的各个部件,负责设定各个组件的功能、参数.协调管理部件针对网络反馈信息管理和调整控制策略、控制机制和控制部件.

安全评估部分通过观测、采集部件实时监测和捕获流经系统监测网段的网络数据流,采集过滤原始数据资料,产生约定格式的事件(Event)并进行分析,判断系统是否存在异常,结合安全评估的指标和系统的安全目标,进行系统安全性能评估,将结果报告给安全控制中心.

2 网络安全控制体系结构

指控网络是一个复杂的大系统,其网络安全控制系统的体系结构如图3所示.

图3 网络安全控制系统体系结构

从信息流的角度出发,安全控制系统要对网络的整个信息生命周期进行安全控制,它是以安全控制需求为牵引,以安全控制技术为基础,通过安全控制服务和安全控制机制对指控网络进行安全控制的.安全控制的效果通过信息检测、效能评估、决策分析等手段反馈给控制方,形成改进的安全控制需求和新一轮的控制.指控网络安全控制作用于信息网络系统的整个生命周期,包括网络的论证、分析、设计、实现和运行维护等各个阶段,构成信息网络的安全控制工程.在具体实施时,需要针对网络协议堆栈的不同层次,按照安全控制需求实现不同的安全控制机制,采用不同的安全控制技术,提供不同的安全控制服务.

2.1 网络安全控制需求

对指控网络的安全控制主要反映在3个坐标维上,它们分别是信息流维、网络协议层次维和信息价值维,如图4所示.

图4 安全控制需求

从需求上讲,保障指控网络的安全,一是保障信息在获取、存储、处理、利用、反馈乃至销毁整个生命周期内的安全;二是要从网络的物理层、链路层、网络层、传输层和应用层等各个协议层来保证信息交换的安全;三是要保证信息的可控性、可用性、完整性、空间相关性和时间相关性,即尽可能保有信息的价值.

2.2 安全控制服务

指控网络安全控制系统提供的安全服务分为系统结构的安全控制服务和系统行为的安全控制服务两大类.系统结构的安全控制服务主要是为保证指控网络的物理结构可靠性和软件服务的可靠性(Safety),它可进一步划分为物理结构控制和逻辑结构控制两类服务.系统行为的安全控制服务主要是为保证信息流程和信息交换的安全(Security),它可进一步划分为流量控制、路由控制、保密控制、鉴别控制、差错控制、访问控制和不可否认等服务.

安全控制服务主要影响信息价值的可用性和完整性.这是因为信息价值的可控性是由指控网络处理和利用信息的固有能力决定的,而信息价值的时空相关性是由指控网络的获取(感知)能力决定的.从这个意义上讲,安全控制旨在保护已有的信息价值,而信息的获取、处理和利用旨在创造和发挥信息的价值,因此它们对指控网络所做的贡献是不同的.根据安全控制需求,在网络协议栈的不同层次,都可能运用到不同的安全控制服务.

如果从保护系统的机密性、完整性、可用性和可控性的角度看,可用性服务是由物理结构控制、逻辑结构控制、流量控制、差错控制、路由控制、鉴别控制和访问控制服务提供的;完整性服务是由差错控制、鉴别控制、访问控制和不可否认服务提供;机密性服务由加密控制、鉴别控制和访问控制服务提供;可控性服务是由鉴别控制、访问控制、差错控制和不可否认服务提供的.所有这些服务均是建立在密钥管理和身份认证安全基础设施上的.

2.3 网络安全控制机制

指控网络安全控制系统的安全控制机制是实现安全控制需求的技术方案,是提供安全控制服务的组成要素.常见的安全控制机制包括检测机制、隐藏机制、反馈机制、鉴别机制、公证机制、加密机制、差错控制机制、路由控制机制、访问控制机制、流量控制机制,数字签名机制、消息认证机制和备份恢复机制等.

一种特定的安全控制服务,很可能运用到一种或多种安全控制机制.在实际的指挥与控制网络系统中,实现安全保障的基础在于建立起由PDRR(保护、检测、响应与恢复)构成的安全控制回路.针对不同的安全属性,需要采用不同的安全控制机制实现这些控制环节.机密性的检测需要使用检测与隐藏机制,如蜜罐(Honeypot)才能主动检测出是否存在密钥泄露的情况;完整性的检测需要综合使用鉴别、数字签名和消息认证机制;可用性的检测需要综合使用检测、反馈和鉴别机制;机密性的保护需要综合运用加密、隐藏、访问控制和流量控制机制;完整性的保护需要综合运用公证、数字签名、消息认证、差错控制和鉴别机制;可用性保护需要综合运用路由控制和流量控制机制.机密性、完整性和可用性的恢复需要综合采用备份与恢复机制.

2.4 网络安全控制技术

网络安全控制技术是以安全性和可信可控性为目标,在受控网络体系的架构部署下,通过综合集成多层面、一体化的安全控制组件,以增强网络系统的安全控制能力的技术.安全控制服务和控制机制最终都要通过各种安全控制技术实现.主要包括:可信计算技术、结构控制技术、加密控制技术、代码控制技术、流量控制技术、访问控制技术、鉴别控制技术、检测响应技术、密罐设防技术、防病毒技术和容错冗余技术等.

这里通过可信计算技术构建的可信平台是所有安全技术实现的基础,加密控制技术是实现指控网络安全控制的基础技术,鉴别控制是实现访问控制等其他安全控制的前提,检测响应是实现安全反馈控制的必要环节,也是评估网络安全效能、实现有效决策的基础.只有将这些安全控制技术有机地结合在一起,相互配合、相互补充,才能形成完善的指控网络安全防护体系.

3 网络安全控制模型和部件体系

网络安全控制模型是实现指控网络安全控制的基本控制组件.按照控制功能的不同可分为访问控制模型、加密控制模型、结构控制模型、通信控制模型、内容控制模型和鉴别控制模型,按照被控对象的不同可分为通信链路安全控制、通信实体安全控制和基础设施安全控制,各模型又是由若干控制部件组成,按一定的控制方式和控制结构对网络进行安全控制.如图5所示.

每个安全控制部件具体由传感器(Sensor)、分析器(Analyzer)和激励器(Actuator)3部分组成.传感器负责被控对象的信息采集;分析器根据系统的安全控制性能指标,对所采集到的信息进行初步的安全脆弱性、可控性分析;激励器根据本级部件的分析结果,以及来自于上层安全控制部件的控制命令,对被控对象进行重新配置和调整.

4 需重点加强的研究方向

未来指控网络安全技术应以可信可控安全体系研究为核心,以构建可信可控的指控网络为基础,以建模仿真和效能评估技术为重点,通过构建主动防御和动态安全防护体系,从根本上实现指控网络安全.

1)加强可信可控指控网络的安全体系研究.当前的可信可控技术研究比较零散,还没有形成完善的理论体系、技术体系和设备体系,必须尽快开展安全体系研究和顶层设计研究.指控网络建设将新建和集成许多新的信息系统和网络,而可信可控技术应该在网络设计、构建之初就深化于指控网络本身,使可信可控变成指控网络的本质安全属性,完善和提高指控网络的安全控制能力和信息安全保障能力.

图5 网络安全控制模型和部件体系

2)加强可信可控指控网络构建技术研究.如何构建可信可控的指控网络是当前和下一步要解决的重点问题之一.在利用世界上可能出现的更加先进的可信可控技术服务的同时,我们要在现有技术的基础上加强可信可控增强技术研究.利用可信可控增强技术对当前指控网络进行可信可控性改造,增强网络节点的设备和信息系统的安全性,使指控网络“平台可信,边界可控,访问可控,传输可控,存储可控,行为可控”.

3)加强可信可控指控网络建模仿真与效能评估技术研究.可信可控技术研究形成的许多新理论、新技术和新设备不可能直接应用于实际的指控网络,必须进行不断的验证、修正和优化.指控网络是典型的人在环的离散事件动态系统,必须用建模仿真和效能评估的方法来分析验证和完善优化.我们要加强分析方法和手段的研究,逐渐为指控网络可信可控技术分析与研究提供一套完备的研究方法,形成较为完善的研究平台.

4)加强主动防御和动态防护技术研究.随着指控网络攻击手段的智能化、多样化、自动化、常态化,网络安全的被动防御和静态防护技术的作用越来越受限,取而代之的则是以可预测、可学习、可响应为优势的主动防御技术和基于PDRR模型的动态防护技术.主动防御和动态防护的实施基础是实现指控网络状态的完全监控,即实现指控网络的可信可控.因此,我们应该加强该领域的研究,形成适合指控网络的动态安全防护体系.

5 结束语

指控网络是当前指挥与控制系统信息化转型的关键,其地位和作用越来越重要.如果不能保证指控网络的可信可控,则很有可能导致指挥控制的失误.然而,指控网络的可信可控实现不可能一蹴而就,要大胆稳妥地推进,尽快构建可信可控指控网络和动态安全防护体系,从而为满足指挥与控制系统的运行需求提供信息安全保障.