黄 双 陈源宝 黄 金 吴礼华
(武汉第二船舶设计研究所 武汉 430205)
舰艇电子信息系统信息安全问题研究∗
黄 双 陈源宝 黄 金 吴礼华
(武汉第二船舶设计研究所 武汉 430205)
在舰艇装备信息化大趋势下,信息技术被广泛应用在舰艇信息化建设中,在提高舰艇作战效率的同时,也使得舰艇电子信息系统信息安全问题日益凸显。首先分析了舰艇信息安全问题的背景和研究现状,然后从信息安全问题、信息安全需求、信息安全属性的方面系统地分析舰船电子信息系统信息安全问题,在此基础上提出了基于信息安全等级保护概念的舰船电子信息系统信息安全保障相关技术。以期为舰艇电子信息系统总体设计过程中的信息安全防护设计提供支撑。
舰艇;电子信息系统;信息安全
当今世界的战争已经由传统战争过渡到信息化战争,舰艇作为我国战略威慑力量的重要组成部分,其信息化程度已经有极大的发展[1]。在信息集成的发展趋势下,IT信息技术被广泛应用在舰艇信息化建设中,在提高舰艇作战效率的同时,也将信息安全问题延伸到舰艇电子信息系统[2]。舰艇电子信息系统是一个信息物理融合系统,其信息安全问题可导致物理系统故障[3],引发安全事故,不仅会危及船载系统和设备的安全状态,甚至对于人员及军事活动的安全都会造成重大威胁[4]。在同属于信息物理融合系统的工业控制系统(ICS)领域,如核电、水力、石油化工等国家重要行业,近年发生的一系列信息安全问题,表明在舰艇电子信息系统开展信息安全研究的迫切性和必要性。
本文结合目前舰艇电子信息系统特点,首先从信息安全问题、信息安全需求、信息安全属性等方面对舰船电子信息系统信息安全问题进行全面系统的研究,然后从系统信息安全等级保护、系统安全区域划分、安全防护体系等方面对信息安全保障技术进行了分析,提出了信息安全分层分区防护措施,以期为解决舰艇电子信息系统设计中的安全缺陷、建立舰艇信息安全防护体系,辅助系统维护、保障系统安全提供基础。
随着信息集成的发展形势,舰艇信息安全问题的重要性日益凸显[5],引起了国内外政府及部门的高度重视。国内对军事信息物理融合系统的信息安全研究尚处于起步阶段。国外关于国防军事信息安全的研究相对较早[5],2004年,美国政府问责署发布《防护控制系统的挑战和工作》报告;2009年,美国海军部发布《海军部信息保障策略》指令;2013年,欧洲网络与信息安全局(ENISA)发布了《工业控制系统网络安全白皮书》。
舰艇电子信息系统是一个信息物理融合系统,其信息安全问题可导致物理系统故障,引发安全事故,进而对人员安全及军事安全造成严重威胁[6]。在同属于信息物理融合系统的工业控制系统领域,近几年信息安全事件频发。2010年,伊朗布什尔核电站遭受Stuxnet病毒攻击;2011年,美国伊利诺伊州城市供水系统遭受黑客入侵;2012年,伊朗国家石油公司内部网络遭受病毒攻击;2013年,以色列Haifa公路控制系统遭受黑客入侵。综合核电、水力、石油化工等国家重要行业发生的一系列信息安全问题,表明舰艇电子信息系统开展信息安全研究的迫切性和必要性。
在政府的政策支持下,有关舰艇信息安全的研究、学术会议和项目合作也不断增多。2005年,德克萨斯州大学奥斯汀分校信息保障与安全中心宣布了与美国海军签订的改善对海军舰艇数据防护系统保护的联合项目;2013年,奥尼维尔航空航天集团获得为期三年的合同,提供给美国海军舰队网络司令部和第10舰队的网络安全支持;2014年,美国康涅狄格州的格罗顿舰艇基地的船员,在新伦敦海军舰艇基地完成为期两周的信息安全培训,进行网络安全防护技术的实践教学;同年8月,美国海军建立了一支旨在保护海军的计算机网络和提高海军网络安全的新部队——网络觉醒特遣部队;以及,今年即将在约翰霍普金斯大学召开“2015年舰艇技术研讨会会议”。
综合目前舰艇电子信息系统发展[7],开展其信息安全问题分析。目前舰船电子信息系统结构如图1所示。全听电子信息系统按照区域划分,各区域平台设备与相应的DCCU相连,再接入主干通信网络,通过主干光纤环网与操作显控台进行交互。由于系统是模块标准化设计,采用广泛分布的智能电子设备,并由多种冗余数据总线互联,操作人员能够在多个位置控制和监控所有的平台机械、配电和紧急操作。从信息战略安全考虑,作战信息系统和武器系统等部分,应建立单独的物理局域网,实现该系统内信息的安全隔离传输,并通过网关实现与全船网络的信息互通。
对于上述舰艇电子信息系统结构,主要存在以下三种信息安全问题
1)信息“竞争”
由于同一个传输平台上需要承载所有类型和类别的业务数据,管理信息、控制信息与业务信息都在同一平台混合传输[9],而管理信息和控制信息一般又较业务信息在传输性能和安全上具有更高的要求,因此核心传输网不可避免地存在着分系统间信息“竞争”。特别是当某个系统出现故障或感染病毒时,便会产生大量的无用数据包,导致网络风暴,阻塞网络,甚至发生死锁,严重干扰到系统的正常运行。
2)安全漏洞隐患
舰艇电子信息系统中包含大量计算机终端、服务器以及嵌入式控制设备,其数量较多、通用性较强、协议和接口标准都是公开的,同时采用基于公开的TCP/IP协议实现数据通信,并且计算机终端安装的操作系统、应用软件以及平台控制系统中的各类嵌入式设备等都存在安全漏洞,因此,在不设防或只采用安全防护级别情况下,舰艇电子信息系统存在严重的安全隐患。
3)攻击及失效传播
安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁,主要表现在非授权访问、拒绝服务以及病毒与恶意代码。同时,内部人员的误操作同样可能利用安全漏洞对系统产生破坏。特别是一旦某个节点遭受攻击或破坏,由于舰船业务功能的关联性以及网络的互联互通,其影响迅速蔓延至整个舰艇电子信息系统
1)舰艇电子信息系统信息安全需求
综合目前信息系统安全的结构,从宏观的角度看,信息安全问题一般划分三个层次,信息系统的安全、信息自身的安全和信息利用的安全。对于舰艇电子信息系统而言,由于其工作环境的封闭性和工作使命的特殊要求,其信息安全问题需要考虑系统各种设备、业务信息的完整性和保密性,以及系统设备运行的安全性和可靠性,拟从系统数据安全、内容安全和运行安全三个方面进行考虑。
数据安全主要关注舰艇电子信息系统设备状态、控制信息以及系统业务信息在存储、传输和处理过程中的安全性;内容安全主要关注舰艇电子信息系统通信网络的安全性和系统信息的完整性,确保信息交互的安全可控能力;运行安全主要关注舰艇电子信息系统及设备的安全性和可靠性,确保系统的可控性及业务连续性。
2)舰艇电子信息系统信息安全与功能安全及功能性需求冲突
舰艇电子信息系统是信息物理融合系统,其信息安全与系统的功能紧密结合,由信息安全导致的问题可引发功能安全问题,破坏系统功能性。如携带病毒的U盘插入潜操平台操作站,病毒程序自动获取管理权限,发送恶意指令至下层控制器设备,破坏潜操系统的正常功能,从而危及舰艇电子信息系统的安全。由于舰艇工作环境和运行使命的特殊性,系统功能安全及功能性需求要求十分严格,在信息安全实施过程中必然会产生冲突,从而导致不可预知的后果。因此在研究舰艇电子信息系统信息安全问题时,必须考虑其与系统功能安全及功能性需求的联系。
在舰艇电子信息系统环境下,系统更多地联系到各类平台控制系统以及系统物理设备,强调的是运作过程及相关设备的智能控制、监测与管理。在系统架构、设备操作系统、数据交换协议等方面与普通的信息系统存在较大差异,其更为关注系统的实时性、可控性及业务连续性,对于系统信息的保密性、真实性和不可抵赖性要求较低,这极大区别于IT领域信息安全。因此对于舰艇电子信息系统信息安全,更为关注系统保密性、完整性和可用性三个方面的分析评估。
对于舰艇信息安全,要优先保证系统所有组件的可用性,保证系统业务可控性和系统服务的可靠性,防止功能退化和拒绝服务;同时,需要保证系统的完整性,确保舰艇电子信息系统内部信息和服务不会被未授权的修改,防止恶意使用操作;最后是舰艇电子信息系统的保密性,确保舰艇电子信息系统内部有效的访问控制功能,保护关键信息或设备防止非法访问和信息泄密。此外,舰艇电子信息系统的实时性指标也非常重要,系统内存在的控制系统要求系统响应时间大多在毫秒级。同时,舰艇电子信息系统的信息安全还必须保证持续的可操作性及稳定的系统访问、系统性能以及全生命周期的安全支持。这些要求都是在保证信息安全的同时也必须满足的。
将各子系统作为信息安全定级对象,定级对象的信息安全需求等级主要从信息子系统的可用性价值、完整性价值、保密性价值三个方面来考虑。下面以可用性为例进行说明,根据定级对象可用性遭到破坏造成的影响程度,将其分为5个不同等级,分别对应定级对象可用性的价值。
表1 定级对象可用性价值评定表
在确定了定级对象可用性、完整性、保密性价值等级之后,根据可用性、完整性、保密性对定级对象的重要程度,确定各自所占权重。在确定了AIC的价值等级和权重之后,就可以计算定级对象的信息安全需求等级。计算定级对象等级的方法很多,本文选择对数平均法,这种方法在对可用性、完整性、保密性价值等级取平均的同时,对其中较高等级有所侧重,更加符合实际情况。计算公式如下:
leveli=round{log2[(Ci*2Conf+Ii*2Int+Ai*2Avail)]}其中leveli表示第i个定级对象的价值等级,round为取整函数,Ci、Ii、Ai分别表示保密性、完整性、可用性所占权重,满足条件Ci+Ii+Ai=1,Conf、Int、Avail表示定级对象的保密性、完整性、可用性价值等级。
信息系统纵深防御的核心理念就是对系统进行分层次分区域分等级防护[11]。通过在系统不同层面进行安全域划分,确定各区域的安全等级,同时对应着不同的安全防护措施,从而形成完整的防护体系,实现分区域、分等级的有层次、有重点的保护。由于舰艇电子信息系统的信息安全防护必须在兼顾系统业务的情况下,保证系统网络和物理系统的正常运行,因此系统安全域划分方式需参考的原则如下:
1)分区域保护原则。对于舰艇电子信息系统而言,系统内不同业务有着不同的重要程度,信息安全建设应根据各业务的重要程度不同,划分多个不同安全保护等级的安全域,实现不同强度的安全保护。
2)重点保护原则。在分区域保护原则基础上,其中某些子系统由于对舰艇运行安全非常关键,具有较高的安全需求等级,应得到重点的保护。
3)共同的安全需求原则。安全域内的系统或设备应具有相同或者相近的保护等级,以实施统一的安全策略管理。
4)相互信任原则。属于同一安全域内的系统应互相信任,也就是说即使保护需求相同,如果属于不同的系统而且互不信任,也不应该纳入同一安全域进行保护。
结合舰艇电子信息系统不同的安全防护需求进行系统的层次区域划分,规划系统不同安全单元的分布,合理部署防护措施,其防护准则主要从边界防护、内部防护两个方面考虑。
安全域间的边界安全防护主要是防止不期望的或未授权的访问和操作,保障安全区域的访问点,从而保护舰艇电子信息系统设备处理层免受非法用户的侵入或对某些安全域的非法操作。可采用的设备主要有:防火墙系统,实现包过滤和访问控制功能;安全隔离网关,实现应用层的报文过滤功能[12];网络入侵检测系统,通过(端口镜像)实现对局域网内容流程的监控和监测功能。边界安全防护的主要技术手段有:认证授权、访问控制、入侵检测、安全审计、防火墙、虚拟专用网(VPN)等。
安全域内部防护主要防范来自安全域内部的主动攻击和因误操作而导致的信息安全问题。建立安全域内部安全防护机制,结合舰艇业务系统,安全域内终端为显控台计算机和控制器设备等,主要考虑终端的安全防护。内部安全防护策略主要有:多因子身份认证,避免非法盗取用户身份和破坏系统口令;操作用户合法权限设置,按照信息安全的需知原则和最小特权原则,限制内部人员资源访问权限,降低内部攻击风险;加固操作系统,按等级保护要四级及以上的要求进行加固防护;恶意代码检测,防止非法程序获取权限,恶意操作系统设备;漏洞检测,检测系统和设备漏洞,加固系统安全。
结合文献[7]基于DDS技术的舰船平台综合管理系统,依据上述针对舰艇体系结构的信息安全分析,参考其安全域的划分原则和依据,指导DDS中域的划分,以保障系统通信安全。
1)域内通信域间隔离原则
域是根据节点或者应用程序之间的通信需求来划分的,应当尽量把相互之间有通信需求的应用程序划分在一个域中。不同域之间的实体是不能直接进行交互的,但通过同时参与多个域的应用程序可以在不同的域之间交换信息。
2)边界清晰原则
在DDS通信系统中,一个应用程序可以通过创建属于不同域的域参与者实体,来加入不同的DDS域,从而实现不同DDS域之间的信息交换。但为了保证DDS域边界清晰,除了少数实现域间通信目的应用程序外,应尽量避免应用程序同时参与多个DDS域。
3)域数量最少原则
划分的DDS域过多,在保证应用程序正常通信的时候,必然会有较多的应用程序需要同时属于多个域,一方面违背了边界清晰原则,另一方面应用程序需要为参加的每一个域创建一个域参与者。每个域参与者都有其自身的内部线程和内部数据结构,它们保持由其自身和由相同域中其他域参与者创建的实体的信息,每个域参与者占用了较多的系统资源,过多的域参与者意味着较大的资源开销。
相比于工业控制系统,舰艇电子信息系统相对较为独立,但是越来越快的装备信息化进程,使得系统中信息量暴增,信息交互频繁,信息安全问题会日益突出。在装备信息化进程中,需同步开展信息安全相关技术研究,制订体系化信息安全防护规范,在促使信息技术不断增强舰艇作战性能的同时确保舰艇电子信息系统的信息安全。
[1]石剑琛.舰船电子信息系统安全防护体系研究[J].计算机与数字工程,2012,40(2):68-71.
[2]Kai Hansen,Akilur Rahman.Cyber threat to ships-real but manageable[J].Cyber security,2013(1):2-7.
[3]彭勇,江常青,谢丰等.工业控制系统信息安全研究进展.清华大学学报(自然科学版),2012,52(10):1396-1408.
[4]殷虎.潜艇信息系统信息安全与纵深防护策略研究[J].指挥控制与仿真,2016(02):24-28.
[5]裴晓黎.舰载信息基础设施信息安全研究[J].计算机与数字工程,2014,42(8):1436-1439.
[6]陈黎,袁鑫.舰船电力系统信息安全评估[J].舰船科学技术,2015,37(4):147-151.
[7]吕云飞,王旋,张军.基于DDS技术的舰船平台综合管理系统[J].舰船科学技术,2011,33(5):47-52.
[8]叶莹,李俊华,肖鹏安,冯佰威.舰船综合平台管理系统研究[J].中国水运(理论版),2006(11):15-16.
[9]王斌,林海涛.舰船通信系统安全保密需求研究[J].信息安全与通信保密,2011(10):79-81.
[10]GA-T 708-2007,信息安全技术信息系统安全等级保护体系框架[S].
[11]储忠涛,周纯杰,秦元庆,田博.基于工作流的舰艇系统脆弱性定量评估方法研究[J].信息安全研究,2017(03):270-276.
[12]杨露菁,郝威,卢炜.海上编队信息系统安全域防护策略[J].指挥控制与仿真,2013(04):36-40.
Security Research for Electronic Information System of Warships
HUANG ShuangCHEN YuanbaoHUANG JinWU Lihua
(Wuhan Second Ship Design and Research Institute,Wuhan 430205)
Under the trend of informatization of ships,information technology is widely used in the construction of informatiza⁃tion of warships.It improves the efficiency of warship,while leads to the security problem of electronic information system in war⁃ship.Firstly,the background and study of warship security issue are analyzed and summarized.Secondly,warship security is ana⁃lyzed from problem,requirement and property of security.Finally,several technologies of security classified protection for electron⁃ic information system of warship are proposed,which is hoped to provide the technical support for security protection of electronic in⁃formation system of warship.
warship,electronic information system,information security
TP309
10.3969/j.issn.1672-9730.2017.11.002
Class Number TP309
2017年5月4日,
2017年6月25日
黄双,男,博士,工程师,研究方向:舰船电子信息技术。陈源宝,男,博士,高级工程师,研究方向:舰船信息管理技术。黄金,男,硕士,助理工程师,研究方向:舰船信息化。吴礼华,男,博士,工程师,研究方向:大数据、机器学习。