指挥控制系统的信息安全要素.docx

《指挥控制系统的信息安全要素.docx》由会员分享，可在线阅读，更多相关《指挥控制系统的信息安全要素.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、指挥控制系统的信息安全要素1引言目前我军大部分指挥自动化系统在设计时并未全面考 虑信息安全的问题。而对于情报的保密仍然停留在简单的文 本加密阶段，还没有形成完整的信息安全机制。故针对指挥 自动化系统安全问题，从通信保密、报文鉴别、入侵检测和 病毒防范等方面讨论了密码学中的一些加密技术和反攻击 技术。2通信保密1系统易受攻击的环节(1)局域网在指挥控制系统中，大部分工作站是连到局域网上的。 指挥中心的局域网是广播网络，数据以帧的形式传输，每一 帧都包含源地址和目的地址。偷听者可监视通信量，并依据 源地址和目的地址获取想要的通信量。若局域网通过通信服 务器或局域网上的主机提供外部访问，外部侵入者就

2、可以访 问局域网并监视通信量。(2)通信链路攻击者可能需要对链路的一部分取得物理上的控制，修 改传输内容，也可能仅仅需要观察传输内容。涉及的通信链 路有线缆(双绞线、同轴电缆或光纤)、微波链路或者卫星 信道。双绞线和同轴电缆可以使用侵入式窃听器，或者使用 监视电磁辐射的感应设备开展攻击。因此攻击者很容易把微 波和卫星传输截获下来。而光纤由于不产生电磁辐射，因此 不会受到感应式窃听器的攻击。若对光纤开展物理损坏会使 信号质量严重下降，比较容易检测出来，因此光纤媒体的安 全性较高。除了各种通信链路会受到潜在的攻击外，沿途的各种处 理器本身也是攻击的目标。在指挥控制系统中，多是基于局 域网通信，各局

3、域网内部虽然可以采取物理上的安全措施。 但不排除系统内部存在泄密的危险。2.2链路加密和端到端加密(1)链路加密采用链路加密时每个易受攻击的通信链路的两端都装 备一个加密设备，因此所有通过这些通信链路的通信量都是 安全的。要有效实施这种方案，从信源端到目的地路径上的 所有链路都必须使用链路加密。共享一条线路的每对结点应 共享唯一的密钥，而每段链路应使用不同的密钥，因此必须 提供许多密钥。而每个密钥必须只分配给两个结点。另外, 由于交换机必须读取分组首部中的地址(虚电路号)以便对 分组开展路由，报文在每进入一台分组交换机时都必须被解 密一次，因而报文在每台交换机处容易受到攻击。(2)端到端加密使

4、用端到端加密时加密过程是在两个端系统上完成的。 源主机或终端对数据开展加密，加密形式的数据被原封不动 地传过网络到达目的主机或终端。目的端和源端共享一个密 钥，因此能够解密数据。使用端到端加密后用户数据就是安 全的。然而通信量模式并不安全，因为分组首部是未经加密 而传输的。另一方面端到端加密确实提供了一定程度的鉴别 功能。如果两个端系统共享一个加密密钥，那么接收者可以 肯定它收到的所有报文都来自声称的发送者，因为只有发送 者才共享了相应的密钥。在链路加密方案中这样的鉴别功能 不存在。3报文鉴别和认证差错控制码在常规加密中，明文不仅是简单的文本，还可能是二进 制目的文件或数字化的图像信息等，要判

5、断其文件形式以及 真实的明文可能很困难。通常强制明文有某种构造，这种构 造是易于识别但又不能复制且无需求助加密。可在加密以前 对每个报文附加检错码，如帧检验序列号或检验和FCSo在 发方，将明文P作为函数F的输入产生FCS附加到P上，作 为一个整分组被加密。在收方，对报文分组开展解密，将结 果看做附加FCS的报文。并使用一样的F生成FCS,与发方 的FCS比较，两者相等即可确认报文是可信的。若敌方将加 密过的TCP报文段中的某些比特做了替代，那么解密后的明 文就不包括有意义的首部(检验和、序号等)。从而保证了 报文段不发生未知的迟延、乱序或篡改。3.1 报文鉴别码另外一种常用的鉴别技术是使用密

6、钥产生定长数据分 组，即密码校验和(MAC),并将它附加在报文中。该技术假 定通信双方，共享一个密钥Ko发方要发送报文时，将计算 报文和密钥K的MAC函数值：MAC = CK (P),将报文加上MAC 后发往接收者。使用一样的密钥，接收者用一样的MAC函数 计算新的MAC值，与收到的MAC开展匹配，就可确认报文: (1)未被更改正；(2)来自可信的发送者；(3)序号的正确 性。一般来说，MAC函数无需是可逆的，因此它比加密函数 更不易被破解。鉴别函数与保密函数的分离提供了构造上的 灵活性，报文鉴别码技术适用于需要对多个终点开展广播以 及超过报文接收时间仍能继续延长保护期限的情况。3.2 数字签

7、名报文鉴别用来保护通信双方免受任何第三方的攻击，但 却无法防止通信双方的互相攻击。在很多涉及责任的情况下, 使用数字签名，即笔记签名的模拟，可以防止收方或发方的 抵赖行为。数字签名体制不仅包含产生签名的算法，同时还包括确 认签名的验证算法。数字签名函数应包括鉴别函数。实质是 将一方产生的随机数或私密密钥与明文结合形成签名，并通 过有限域上的逆运算开展验证。只有发方才能产生有效的签 名。数字签名算法主要有DSS和RSA算法。在实际鉴别应用 中，考虑到机密性和时效性，通常结合时间戳和盘问/响应 方法。3.3 检测与病毒防范1入侵检测入侵者的目标就是获得系统的访问权甚至控制权。通常 采用的方法是设法

8、取得用户口令，进而注册到系统，运用合 法用户享有的特权。对此采取的对策是保护口令文件，一是 对口令文件开展单向加密，保证它不会被明文存放；二是将 口令文件的访问权利限制为一个或非常少的用户。文献中列举了了解口令的一些技术，对于那些尝试注册 的猜测攻击，可以简单地使用拒绝三次口令失败的注册等策 略来对付。文献中就介绍了生成可猜测口令的马尔可夫模型, 用于检查用户口令的脆弱性。而对于利用程序后门或特洛伊 木马来越过访问控制的技术，比较难以对付。故而防止入侵 时必须尝试抵抗所有已知和未知的可能攻击，不可防止地, 即使最好的入侵防止系统也会遭遇失败。系统的第二道防线 是入侵检测，考虑的是在攻击成功之前

9、或之后，发现和了解 一个攻击。作用有：（1）迅速检测入侵行为，在数据被破坏 或泄密之前最大程度地恢复保护数据，甚至驱逐入侵者。（2） 有效的入侵检测系统常常兼有防止入侵的功能。（3）收集有 关入侵的技术，加强入侵防止机制。入侵检测是基于入侵者的行为不同于一个合法用户的 行为，并且通过量化的方式表现出来的一种假定。显然，入 侵者与授权用户对资源的正确使用并不一定有清楚明确的 界限，一般都会存在某些重叠。因而在实践中存在折衷和技 巧的成分。目前入侵检测的技术主要有：检测统计的反常：收集一段时间内合法用户行为有 关数据，观察行为统计测试确定该行为是否合法。包括阈值 检测和基于轮廓检测。基于规则的检测

10、：尝试定义用于确定给定行为是否 是入侵者行为的规则集合。包括异常检测和渗透识别。又提出了分布式入侵检测的体系构造，使得检测不仅限 于单系统，而是扩展到分布式的主机集合。检测更多地依赖 多个分析中心的协调工作。4.2病毒防范绝对防止病毒进入系统是不可能的。对于病毒的防范也 是基于检测的，要做的就是检测、标识和去除。反病毒软件 现已发展到全方位保护的阶段，不仅包括了扫描和行为陷阱构件，还包括访问控制能力，限制了病毒的渗透和感染传递 能力。类属解密(Generic Decryption)技术和数字免疫系统 较为出色。前者模拟病毒解密自身激活的过程，解释目标代 其中的控制模块定期扫描目标代码的病毒签名

11、。后者是建立 监视系统，使用启发式规则推断病毒的出现可能，通过分析 可疑样本，并在可控制的安全环境中模拟执行，生成标识和 去除病毒的程序一“药方码中的指令,码中的指令,检测是否包括解密例程,让病毒自己暴露,对于基于专用网的指挥自动化系统来说，防火墙的选择 也非常必要。它利用单个或多个计算机系统相互合作，在外 部网与内部网间建立可控连接，并提供了可应用安全和审计 的单个阻塞点，从而使内部网免受外部攻击。防火墙定位在 服务受限上，主要提供服务、方向、用户和行为4个方面的 控制，可以实现隔离未授权用户和监视安全相关的事件等功 能。但防火墙不是万能的，它不能对绕过防火墙的攻击和病 毒感染的文件提供保护，因而不可能取代反病毒软件和入侵 检测系统。5结语 对指挥自动化系统的信息安全要素和对应的安全策略分析说明，没有绝对安全的系统，随着攻击与反攻击手段不 断发展，信息安全领域的斗争将愈演愈烈。在信息安全系统 中，预防与检测攻击是最重要的，要加强这方面的研究。