指挥控制系统的信息安全要素.docx

指挥控制系统的信息安全要素1引言目前我军大部分指挥自动化系统在设计时并未全面考 虑信息安全的问题。而对于情报的保密仍然停留在简单的文 本加密阶段，还没有形成完整的信息安全机制。故针对指挥 自动化系统安全问题，从通信保密、报文鉴别、入侵检测和 病毒防范等方面讨论了密码学中的一些加密技术和反攻击 技术。2通信保密1系统易受攻击的环节(1)局域网在指挥控制系统中，大部分工作站是连到局域网上的。 指挥中心的局域网是广播网络，数据以帧的形式传输，每一 帧都包含源地址和目的地址。偷听者可监视通信量，并依据 源地址和目的地址获取想要的通信量。若局域网通过通信服 务器或局域网上的主机提供外部访问，外部侵入者就可以访 问局域网并监视通信量。(2)通信链路攻击者可能需要对链路的一部分取得物理上的控制，修 改传输内容，也可能仅仅需要观察传输内容。涉及的通信链 路有线缆(双绞线、同轴电缆或光纤)、微波链路或者卫星 信道。双绞线和同轴电缆可以使用侵入式窃听器，或者使用 监视电磁辐射的感应设备开展攻击。因此攻击者很容易把微 波和卫星传输截获下来。而光纤由于不产生电磁辐射，因此 不会受到感应式窃听器的攻击。若对光纤开展物理损坏会使 信号质量严重下降，比较容易检测出来，因此光纤媒体的安 全性较高。除了各种通信链路会受到潜在的攻击外，沿途的各种处 理器本身也是攻击的目标。在指挥控制系统中，多是基于局 域网通信，各局域网内部虽然可以采取物理上的安全措施。 但不排除系统内部存在泄密的危险。2.2链路加密和端到端加密(1)链路加密采用链路加密时每个易受攻击的通信链路的两端都装 备一个加密设备，因此所有通过这些通信链路的通信量都是 安全的。要有效实施这种方案，从信源端到目的地路径上的 所有链路都必须使用链路加密。共享一条线路的每对结点应 共享唯一的密钥，而每段链路应使用不同的密钥，因此必须 提供许多密钥。而每个密钥必须只分配给两个结点。另外, 由于交换机必须读取分组首部中的地址(虚电路号)以便对 分组开展路由，报文在每进入一台分组交换机时都必须被解 密一次，因而报文在每台交换机处容易受到攻击。(2)端到端加密使用端到端加密时加密过程是在两个端系统上完成的。 源主机或终端对数据开展加密，加密形式的数据被原封不动 地传过网络到达目的主机或终端。目的端和源端共享一个密 钥，因此能够解密数据。使用端到端加密后用户数据就是安 全的。然而通信量模式并不安全，因为分组首部是未经加密 而传输的。另一方面端到端加密确实提供了一定程度的鉴别 功能。如果两个端系统共享一个加密密钥，那么接收者可以 肯定它收到的所有报文都来自声称的发送者，因为只有发送 者才共享了相应的密钥。在链路加密方案中这样的鉴别功能 不存在。3报文鉴别和认证差错控制码在常规加密中，明文不仅是简单的文本，还可能是二进 制目的文件或数字化的图像信息等，要判断其文件形式以及 真实的明文可能很困难。通常强制明文有某种构造，这种构 造是易于识别但又不能复制且无需求助加密。可在加密以前 对每个报文附加检错码，如帧检验序列号或检验和FCSo在 发方，将明文P作为函数F的输入产生FCS附加到P上，作 为一个整分组被加密。在收方，对报文分组开展解密，将结 果看做附加FCS的报文。并使用一样的F生成FCS,与发方 的FCS比较，两者相等即可确认报文是可信的。若敌方将加 密过的TCP报文段中的某些比特做了替代，那么解密后的明 文就不包括有意义的首部(检验和、序号等)。从而保证了 报文段不发生未知的迟延、乱序或篡改。3.1 报文鉴别码另外一种常用的鉴别技术是使用密钥产生定长数据分 组，即密码校验和(MAC),并将它附加在报文中。该技术假 定通信双方，共享一个密钥Ko发方要发送报文时，将计算 报文和密钥K的MAC函数值：MAC = CK (P),将报文加上MAC 后发往接收者。使用一样的密钥，接收者用一样的MAC函数 计算新的MAC值，与收到的MAC开展匹配，就可确认报文: (1)未被更改正；(2)来自可信的发送者；(3)序号的正确 性。一般来说，MAC函数无需是可逆的，因此它比加密函数 更不易被破解。鉴别函数与保密函数的分离提供了构造上的 灵活性，报文鉴别码技术适用于需要对多个终点开展广播以 及超过报文接收时间仍能继续延长保护期限的情况。3.2 数字签名报文鉴别用来保护通信双方免受任何第三方的攻击，但 却无法防止通信双方的互相攻击。在很多涉及责任的情况下, 使用数字签名，即笔记签名的模拟，可以防止收方或发方的 抵赖行为。数字签名体制不仅包含产生签名的算法，同时还包括确 认签名的验证算法。数字签名函数应包括鉴别函数。实质是 将一方产生的随机数或私密密钥与明文结合形成签名，并通 过有限域上的逆运算开展验证。只有发方才能产生有效的签 名。数字签名算法主要有DSS和RSA算法。在实际鉴别应用 中，考虑到机密性和时效性，通常结合时间戳和盘问/响应 方法。3.3 检测与病毒防范1入侵检测入侵者的目标就是获得系统的访问权甚至控制权。通常 采用的方法是设法取得用户口令，进而注册到系统，运用合 法用户享有的特权。对此采取的对策是保护口令文件，一是 对口令文件开展单向加密，保证它不会被明文存放；二是将 口令文件的访问权利限制为一个或非常少的用户。文献中列举了了解口令的一些技术，对于那些尝试注册 的猜测攻击，可以简单地使用拒绝三次口令失败的注册等策 略来对付。文献中就介绍了生成可猜测口令的马尔可夫模型, 用于检查用户口令的脆弱性。而对于利用程序后门或特洛伊 木马来越过访问控制的技术，比较难以对付。故而防止入侵 时必须尝试抵抗所有已知和未知的可能攻击，不可防止地, 即使最好的入侵防止系统也会遭遇失败。系统的第二道防线 是入侵检测，考虑的是在攻击成功之前或之后，发现和了解 一个攻击。作用有：（1）迅速检测入侵行为，在数据被破坏 或泄密之前最大程度地恢复保护数据，甚至驱逐入侵者。（2） 有效的入侵检测系统常常兼有防止入侵的功能。（3）收集有 关入侵的技术，加强入侵防止机制。入侵检测是基于入侵者的行为不同于一个合法用户的 行为，并且通过量化的方式表现出来的一种假定。显然，入 侵者与授权用户对资源的正确使用并不一定有清楚明确的 界限，一般都会存在某些重叠。因而在实践中存在折衷和技 巧的成分。目前入侵检测的技术主要有：检测统计的反常：收集一段时间内合法用户行为有 关数据，观察行为统计测试确定该行为是否合法。包括阈值 检测和基于轮廓检测。基于规则的检测：尝试定义用于确定给定行为是否 是入侵者行为的规则集合。包括异常检测和渗透识别。又提出了分布式入侵检测的体系构造，使得检测不仅限 于单系统，而是扩展到分布式的主机集合。检测更多地依赖 多个分析中心的协调工作。4.2病毒防范绝对防止病毒进入系统是不可能的。对于病毒的防范也 是基于检测的，要做的就是检测、标识和去除。反病毒软件 现已发展到全方位保护的阶段，不仅包括了扫描和行为陷阱构件，还包括访问控制能力，限制了病毒的渗透和感染传递 能力。类属解密(Generic Decryption)技术和数字免疫系统 较为出色。前者模拟病毒解密自身激活的过程，解释目标代 其中的控制模块定期扫描目标代码的病毒签名。后者是建立 监视系统，使用启发式规则推断病毒的出现可能，通过分析 可疑样本，并在可控制的安全环境中模拟执行，生成标识和 去除病毒的程序一“药方码中的指令,码中的指令,检测是否包括解密例程,让病毒自己暴露,对于基于专用网的指挥自动化系统来说，防火墙的选择 也非常必要。它利用单个或多个计算机系统相互合作，在外 部网与内部网间建立可控连接，并提供了可应用安全和审计 的单个阻塞点，从而使内部网免受外部攻击。防火墙定位在 服务受限上，主要提供服务、方向、用户和行为4个方面的 控制，可以实现隔离未授权用户和监视安全相关的事件等功 能。但防火墙不是万能的，它不能对绕过防火墙的攻击和病 毒感染的文件提供保护，因而不可能取代反病毒软件和入侵 检测系统。5结语 对指挥自动化系统的信息安全要素和对应的安全策略分析说明，没有绝对安全的系统，随着攻击与反攻击手段不 断发展，信息安全领域的斗争将愈演愈烈。在信息安全系统 中，预防与检测攻击是最重要的，要加强这方面的研究。