面向航天行业的密码应用感知技术研究

马明杰 王伟忠 郑宇宁 易园园

党的二十大报告中有对加快建设航天强国作出重要战略部署，对于航天企业而言，要实现建设航天强国的目标，筑牢航天行业的网络安全、全面提升航天行业的网络安全水平成为必不可少的重要环节。以往的航天网络呈现孤岛模式，但随着数字化转型以及军民融合要求，未来物理隔离环境必将落下帷幕，在此情形下，如何在推动企业高质量发展的前提下保障军工企业信息安全，实现航天行业内外网络安全威胁信息和服务的双循环建设成为重要关注议题。

一、密码应用必要性分析

据Fortinet 发布的《2023 年运营技术与网络安全态势研究报告》显示随着IT/OT 网络的持续融合，针对OT环境的攻击势头有增无减，OT 网络安全防护已成为全球组织的重中之重。航天行业担负着国防武器装备研发生产的主要职责，一直是国家安全和国防力量的重要支柱，随着军民融合和数字化转型工作的持续推进，我国的航天信息网络安全问题也日益受到关注。近年来，军工企业遭受到的网络攻击日益增多，攻击手段多样化、攻击目标广泛化。据报道中国航天企业长期受到外来敌对势力的网络攻击；Cloudflare 2022 年第四季度DDoS 威胁报告显示HTTP DDoS 攻击占航空/ 航天互联网资产总流量的35%，航天行业俨然已成为网络战争的重要战场。

二、航天行业密码应用现状及存在问题

（一）应用现状

我国军工企业其信息系统通常包括涉密网、商密网、工业生产网络（工控网）、视频监控网、互联网等多个网络，不同网络有不同的用途，并参照不同的标准规范体系进行安全防护，多网并行运行以满足正常业务开展。例如科研设计网络（SM），主要用于军工企业科研生产设计及管理办公，一般部署了ERP、PDM、PLM、CAPP、TeamCenter、OA 以及各类设计仿真验证平台工具，并按照分级保护标准、军民保密资格认定标准等实施安全防护措施，与其他网络物理隔离，安全保密要求较高。而工业生产网络（工控网），主要用于军工装备实际制造、测试、装配及批产，其中产线具体包括工企业制造、控制、检测等环节，该网与科研设计网络物理隔离。网络一般采用跨地域、跨单位、跨网络的方式协同合作。

随着两化融合、“中国制造2025”和工业4.0 等产业和政策的发展，航天企业这种孤岛模式已经不能满足新形势装备交付要求，未来多网之间大量数据实时、安全、可靠的交换成为必备要求，因此越来越多的军工企业利用数字化转型机会大单推进跨网间大数据量的安全可靠交换系统建设。密码是网络安全的核心技术和基础支撑，随着密码法、《商用密码管理条例》等法律法规的发布，航天企业紧跟国家政策，积极发展密码技术在行业中的应用，密码技术已经成为保障航天行业网络与信息安全的重要支撑。在十四五规划以专篇形式对数字化发展做出系统要求的背景下，军工行业也需要利用信息化、数字化的新技术、新手段锚定数字化转型，构建符合军工特色的数字化基础设施，支撑服务型制造转型。信创+军工数字化转型带动了商用密码建设，直接推动商用密码改造和信创密码设备替换，间接推动军工行业IT 升级，拉动了军工行业配套密码建设，国密应用成为刚需。未来伴随商用密码在军工领域的全面铺开，商用密码有望在军工行业加速提升。

密码设备应用到军工企业帮助企业实现网络的安全和可靠可控，但是密码设备本身是否安全并未引起足够的重视，但目前还没有针对应用到军工企业中的密码设备的安全研究。本文针对应用到军工航天行业的密码设备安全进行研究，通过对密码设备的网络安全态势要素进行分析，构建具备航天行业特色的密码态势感知技术框架，以提升航天行业密码应用安全。

（二）存在问题

1.系统建设缺乏整体规划，缺少密码设备态势感知产品部署。航天行业密码设备购买以实际应用为导向，往往以模块为单位进行部署采购，未形成系统的、有效的规划体系。密码设备的应用不成体系，对密码设备态势感知的产品更鲜有部署，导致对密码产品安全的监测方面几乎是空白。

2.未形成针对航天行业特殊网络特点的密码态势感知体系。以航天、航空等为代表的军工行业，有很多场景需要商用密码，但大部分场景与行业的科研生产高速嵌套，跨多种网络应用，具有鲜明的行业特性。密码态势感知系统的研究虽然在市面上已经有部分成熟的产品，但是仍然缺乏针对航天行业特殊网络架构特点的研究。航天行业的密码态势感知技术架构体系缺乏相应的法律法规、管理规范、顶层设计和技术支持。

3.信创环境下密码态势感知系统与航天行业的适配性较差。信创环境下对密码的研究大多为设备、软件的应用，对密码设备态势感知的研究较少，且信创环境下特别是对针对工控网络中的密码设备态势感知的研究更是缺乏。

针对上述问题，提出面向航天行业的密码应用感知技术框架，以帮助航天行业的网络从业者及时了解网络中密码设备的状况，及时对网络中存在风险和故障排查和溯源，提升航天行业的网络安全水平。

三、航天行业密码态势感知技术框架设计

（一）功能性设计

针对航天行业的密码态势感知系统功能设计如下：

1.具备对密码设备全要素信息的采集功能。航天行业的密码设备包含服务器密码机、签名服务器、IPSec VPN、SSL VPN、密钥管理系统、密码终端模块等，设备来源多样，部署方式也不尽相同。需要对密码设备的全要素信息进行采集，才能全面感知设备信息并呈现。

2.具备多源数据预处理功能。密码态势感知设备的数据来源于不同的软硬件设备。需要具备对数据清洗、集成、归一化的能力，包括但不限于对多源异构数据的异常值清洗、缺失值补充、多源数据集成、标准化和规划化等。

3.具备非法加密流量数据分析与挖掘功能。密码态势感知系统不仅需要帮助用户及时研判网络中的加密流量的状态、攻击方式、溯源攻击来源等，还需要对网络中的非法加密流量进行管控，采用大数据分析和机器学习等方法，通过建立多维度评估系统，对所有加密流量进行安全分析，从而保障整个网络安全。

4.具备加密流量和数据的威胁预警功能。系统需要具备利用已知的加密通信的恶意软件特征，检测未知威胁的能力，可对加密恶意流量和数据实现威胁预警。通过持续地监测网络流量，对全流量数据进行分析，及时了解发现网络中存在的问题。

5.具备可视化呈现功能。为用户能够对网络密码态势有直观的了解，全方位、多维度展示密码态势、资产信息、流量态势、异常检测、高危漏洞等信息，通过直观且可交互的图表，帮助安全运维人员快捷的发现隐藏威胁和风险。

（二）架构设计

航天行业密码态势感知系统是指用于监测、分析和预警航天行业网络密码设备安全态势的系统。该系统需要满足航天行业多网络的要求，对多网络中的密码设备、其他安全设备信息进行采集，利用大数据机器学习技术，对数据进行归一化处理、更新、存储等，并通过关联分析、通信协议分析、用户行为分析、溯源分析等，为用户展示安全态势、溯源结果、安全性评估及相关的业务处理功能。

基于上述要求，将航天行业密码态势感知系统分为四层，主要为设备层、数据采集存储层、分析处理层和态势展示层。具体如图所示：

图1 ：航天行业密码态势感知系统功能图

设备层：主要有分布在不同网络的设备构成，包含密码设备和其他安全设备，是数据采集的主要数据来源。

数据采集存储层：对密码设备、其他安全设备进行安全类数据采集、全流量采集、基础信息采集及相关情况采集等。与其他态势感知系统不同，密码态势感知需要对加密流量进行采集分析，流量信息采集模块通过对网络中加密及非加密流量采集，可有效获取网络中通信的海量元数据，解决传统审计类设备无法全量获取流量数据的问题。同时为适应航天系统保密性要求，密码态势感知系统的采集需要同时具备离线采集和在线采集两种模式。

为解决数据格式、质量千差万别、存储形式各异的问题，通过不同路径、不同位置采集的数据需要进行归一化处理，利用提前约定好的数据格式，数据提供方按照格式提供数据、数据获取方则按照格式获取数据，通过预定义的解析规则减小日志解析的时间，提高该系统的可利用性。

分析处理层：通过对用户行为、通信协议等进行分析，提取相关溯源要素、关联分析。通过对网络加密及非加密流量进行解码还原，提取网络层、传输层和应用层的头部信息，甚至是重要负载信息。进一步分析流量数据并对用户行为、通信协议等进行深度威胁检测和攻击事件溯源。该层可具备多种多样的解析类型，同时还内置默认的解析规则，针对不同的日志类型有不同的解析规则，支持主流主机设备、网络设备、安全设备、应用系统等，通过预定义的解析规则缩短日志解析的时间。

关联分析主要根据航天行业的业务场景，利用统计、关联、威胁事件、情报等分析手段通过提取分析流量特征、时空特征、通信特征等多维特征构建面向加密及非加密攻击流量的关联分析模型。

溯源分析主要对全量存储的原始操作日志建立的索引数据，提供交互式的数据检索功能，为安全分析人员提供便捷的查询接口，快速检索安全事件的整个操作轨迹，最终定位到人员，使得分析人员能够对已发生的信息安全事件进行追溯和定位。

通信协议分析主要针对网络层、传输层、应用层的各类通信协议进行分析，包括IP Sec、SSL、TLS、HTTP、DNS 等协议进行统计分析。

用户行为分析主要基于流量分析、识别用户行为，通过对网络加密及非加密流量进行数据采集、缩减与抽样等，构建用户行为模型，从而判别网络用户异常流量行为。

态势展示层：态势展示层提供用户网络内整体网络安全态势感知，包括安全态势展示、溯源结果评估、安全性评估、业务展示等。态势展示方式包括饼图、折线图、面积图、雷达图等。

四、未来展望

密码设备作为保障网络安全的重要措施，在身份鉴别、溯源等有不可替代的作用，但是对于密码设备的安全监控仍然是薄弱环节。航天行业对密码设备的态势感知研究有待提高，其与密码的安全技术融合机制缺失，包括适应于航天行业的密码态势感知组件的形态选择、应用机制选择等。我国航天行业密码设备态势安置的防护技术、防护方式仍有进步空间。