武器装备网络脆弱性试验方案设计∗

卫 鑫 车梦虎 熊 威

（中国人民解放军91550部队 大连 116023）

1 引言

现代战争是装备体系与体系之间的对抗，信息化装备在战时极易受到网络渗透和网络攻击。武器装备网络安全已成为打赢信息化战争、避免未战先败的前提保证，对装备体系作战能力的基础性、全局性作用也越来越凸显［1］。在武器装备网络安全性能验证试验中，网络的脆弱性是验证的核心指标。在武器装备的研制阶段，如果不重视网络安全脆弱性问题，装备一旦通过列装定型装备部队，则平时被渗透控制，战时被阻断瘫痪甚至被接管的风险将严重存在。美军早在2013 年就发布了《网络安全研制试验鉴定指南》，之后又以备忘录和指南的形式发布了多个网络安全试验鉴定政策性指导文件，大力推进网络靶场及相关试验设施建设，要求各级试验鉴定机构尽快形成网络安全试验、鉴定与评估能力［2～3］。美军推进网络安全试验鉴定能力建设以及网络安全性试验鉴定程序、做法，值得重点关注与深入研究。

2 网络脆弱性试验

2.1 脆弱性定义

脆弱性又称为网络漏洞，武器装备网络脆弱性是单个武器装备或整个武器系统中存在的可能被威胁利用造成损害的薄弱环节［4］。武器装备的脆弱性包含技术和管理两个方面，技术脆弱性最典型的就是操作系统和应用软件的漏洞，还包括装备硬件设计、设备接口、硬件漏洞、使用环境等；管理脆弱性体现在网络安全管理体系的不完备和管理制度没有得到有效的贯彻执行。与脆弱性直接相关并具有重要影响的包括装备、威胁、安全需求以及风险本身［5～7］。这五个因素之间的关系如图1所示。

2.2 脆弱性试验

对武器装备的脆弱性进行验证，首先要识别脆弱性。所谓脆弱性识别，是指分析和度量可能被威胁利用的装备薄弱点的过程［8］。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。武器装备在进行脆弱性试验时，靶场应从作战使用、安全策略和安全需求的角度出发，综合考虑判断装备的脆弱性及其严重程度［9］。武器系统所采用的协议，程序之间、各设备之间的流程完备与否、与其他网络的互联等也应考虑在内。脆弱性试验包括脆弱性发现、脆弱性分类、脆弱性赋值和脆弱性验证四个部分。

2.2.1 脆弱性发现

脆弱性发现需要利用专业的网络工具对系统进行分析。国内外一些安全厂商或专业机构提供了用于脆弱性发现的专业设备或工具。目前，常见的脆弱性发现工具共有两种类型。一种是基于主机的扫描分析，另一种是基于网络的扫描分析，两种方法各有优缺点，需根据实际情况选用。国际权威组织定期发布特定操作系统和硬件架构的脆弱性信息（如CVE）。靶场进行脆弱性试验时，对照这些发布的信息，根据装备的操作系统、网络结构、存储设备、安全设备类型，使用多种方法来核查装备是否存在相应的脆弱性。

2.2.2 脆弱性分类

脆弱性发现后，需对其进行分类，从总体上分为技术脆弱性和管理脆弱性两类。技术脆弱性主要包括物理环境、网络结构、系统软件、应用中间件、应用系统等方面；管理脆弱性，包括装备网络的管理组织、管理策略、管理制度、人员安全管理以及运行维护管理等方面［10］。如表1所示。

表1 技术脆弱性和管理脆弱性分类

2.2.3 脆弱性赋值

为了表征脆弱性严重程度的大小，需对其赋值。赋值时应该综合考虑脆弱性对武器装备的暴露程度、脆弱性被利用的难易程度和脆弱性的流行程度三个方面［11］。对脆弱性进行赋值时参考表2。

表2 脆弱性严重程度赋值参考

2.2.4 脆弱性验证

脆弱性验证是指在发现系统中的脆弱性后，通过在线或仿真环境，重现该脆弱性被发现和利用的过程，包括在线验证和仿真验证两个方面。应该注意，并不是系统中所有的脆弱性都需要打上补丁，有时候尽管修复了设备或软件的漏洞，但随之而来的却是整个系统的运行效率地急剧下降。此时，需要测评人员根据实际情况予以全局考虑。

3 网络脆弱性试验方案设计

3.1 系统简介

某典型武器控制系统包含控制台、控制单元、监测单元、网络交换单元等设备，各设备协同工作，共同完成规定的任务。网络由核心区、平台信息接入区、操控区、外站点接入区和内外网信息交换区构成。

核心区部署控制单元，平台信息接入区和外站点接入区分别通过防火墙和路由器接入该区域。平台信息接入区主要部署监测单元，实时监测平台上与武器使用有关的环境信息。该区域部署一台防火墙。操控区部署控制台，通过一台交换机连接到控制单元的网络交换机。外站点接入区，平台上传感器通过外界通道将信息接入武器系统，再通过链路接入到路由器，连接到操控区。内外网信息交换区，武器系统与平台上其它设备之间需要交换信息，内外网信息交换区部署网络交换机。

3.2 设备识别

从完成任务和系统安全需求角度出发，对系统内的设备进行识别，包括硬件、数据、制度、人员、环境等。硬件清单、数据清单、制度清单、人员清单及环境清单如表3～7所示。

表3 硬件清单

表5 制度清单

表6 人员清单

表7 环境清单

该武器系统共包含21 件组成设备，网络拓扑结构规模中等，边界清晰，系统运行流程规范。但是，与外界信息交联通道多，网络安全维护方面经验不足，潜在的脆弱性可能较大。下面结合脆弱性识别和赋值方法，分析得到该系统的技术脆弱性和管理脆弱性。

3.3 技术脆弱性发现及赋值

系统的技术脆弱性主要存在于系统的物理环境、网络结构、系统软件、应用程序等方面。

3.3.1 物理环境脆弱性

武器平台上的防火、防水、电力供应以及电磁防护等若存在脆弱性问题，在战时遭受硬攻击或电磁攻击，将影响体系作战效能发挥。物理环境脆弱性评估结果如表8所示。

表8 平台舱室物理环境脆弱性评估

3.3.2 网络结构脆弱性

从网络结构看，武器系统的网络结构可以分为通信载体、安全防护载体、信息终端及存储设备等。通信载体包括路由器、交换机等，安全防护载体包括防火墙、入侵防范、物理隔离、信息过滤、安全审计等，信息终端包括控制台、监测单元、控制单元等。经过分析评估，系统在网络结构方面的脆弱性主要表现在网络中缺乏安全监测防护手段、网络内信息未加密传输、所有网络交换机均使用同一弱口令等，如表9所示。

表9 武器系统网络结构脆弱性评估

3.3.3 系统软件和应用程序脆弱性

针对SUN OS、Windows、Linux/Unix 等操作系统，以及Oracle、SQL Server、DB2 等数据库管理系统以及部分应用程序进行扫描，列出存在于系统中的脆弱性如表10所示。

表10 武器系统软件和应用程序脆弱性评估

3.4 系统管理脆弱性识别及赋值

武器系统的管理脆弱性主要存在于网络安全保密管理、信息安全策略缺失、安全管理制度、人员安全管理、系统维护管理等方面［12］。

3.4.1 管理制度脆弱性

安全管理制度脆弱性评估结果如表11 所示。

表11 武器系统安全管理制度脆弱性评估结果

3.4.2 人员管理脆弱性

人员管理脆弱性主要体现在对人员的使用、在岗管理、培训、考核、访问控制等方面。评估结果如表12所示。

表12 武器系统人员管理制度脆弱性评估结果

3.5 脆弱性验证

从已识别的脆弱性中挑选部分内容进行仿真验证，以了解脆弱性被成功利用后的危害。如前所述，系统技术脆弱性主要体现在操作系统和应用程序漏洞上，针对这些漏洞，使用专用仿真平台或测试工具执行漏洞仿真试验。

目前，市面上支持漏洞扫描的网络工具很多，比如用于数字取证操作的Kali Linux 工具，用于自动搜索数据库漏洞的Pompem 网络安全工具，包含多种服务和工具框架的OpenVAS工具等［6］。但是，仅依靠市面上的网络安全漏洞测试工具远远不够，因为这些工具针对的是普通黑客，对于需要在强网络攻防环境下实施作战任务的武器装备，还需要针对性开发专门的脆弱性验证工具。以Sun Microsystems 公司开发的Solaris 系统为例，该系统基于UNIX 系统开发，且系统开源，被不少大型网络公司、银行甚至武器装备研发单位选为操作系统，并基于该系统开发应用程序，然而该系统基于X86和SPARC 处理器的架构却存在漏洞。在美国国家安全局下属的“TAO”正是利用了该漏洞，获取了对“跳板机”的完整控制权，进而攻击西北工业大学计算机系统。

4 结语

美军极其重视武器装备网络安全试验鉴定工作，其政府问责局多次发布专门报告，督促美国国防部重视并解决装备或系统中的网络安全漏洞。对我靶场来说，网络安全试验作为一项新生事物，其试验理论、手段工具、考核方法还都在不断探索中，武器装备的网络安全也不全在于考核脆弱性，渗透性、生存性也是重要的考核指标。以典型武器控制系统设备网络组成为例，介绍了脆弱性试验验证的理论、方法及步骤，今后在靶场具体实践中，还需要根据网络技术发展并结合装备实际，加强网络安全试验鉴定能力建设，补齐装备“隐形的”短板弱项，更好完成作战任务。