基于“云安全”的指揮信息系統(tǒng)網(wǎng)絡(luò)防病毒模型

王朝陽，李 云

（解放軍炮兵學(xué)院，安徽 合肥 230031）

在戰(zhàn)爭形態(tài)逐步由機(jī)械化戰(zhàn)爭向信息化戰(zhàn)爭過渡的進(jìn)程中，作戰(zhàn)指揮對指揮信息系統(tǒng)的信息安全的要求越來越高。指揮信息系統(tǒng)實(shí)質(zhì)上是用于作戰(zhàn)指揮的信息系統(tǒng)，安全問題與生俱來。信息安全技術(shù)已經(jīng)成為維護(hù)指揮信息系統(tǒng)安全穩(wěn)定的關(guān)鍵技術(shù)，是指揮技術(shù)的重要組成部分。而指揮信息系統(tǒng)網(wǎng)絡(luò)相對于互聯(lián)網(wǎng)而言，其作為一個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)的安全狀況要好很多，但隨著軍隊(duì)一體化指揮網(wǎng)絡(luò)平臺規(guī)模的擴(kuò)大，指揮信息系統(tǒng)網(wǎng)絡(luò)終端數(shù)量的不斷增加，其安全性也不容樂觀，在進(jìn)行計(jì)算機(jī)操作時(shí)，其終端感染病毒的機(jī)率就增加，破壞性也就隨之增加[1]。為此，本文引入一種異于傳統(tǒng)殺毒模式的“云安全”防毒模型，以更有效的方法來彌補(bǔ)傳統(tǒng)方式的不足。

1 指揮信息系統(tǒng)面臨的信息安全威脅

指揮信息系統(tǒng)是以戰(zhàn)場計(jì)算機(jī)網(wǎng)絡(luò)為核心的電子信息系統(tǒng)，網(wǎng)絡(luò)分布廣，無線、有線通信信道多，必然是敵進(jìn)行電子干擾、破壞的重點(diǎn)目標(biāo)，這種干擾、破壞將貫穿作戰(zhàn)的全過程。而且由于指揮信息系統(tǒng)本身在安全方面所存在的脆弱性，以及人們的信息安全觀念淡薄，安全措施的建立和設(shè)備的研制相對遲緩，信息安全技術(shù)和綜合治理的落后，導(dǎo)致軍事指揮信息系統(tǒng)在安全方面不同程度的出現(xiàn)了種種漏洞和隱患。

1.1 硬件侵入

指揮信息系統(tǒng)的硬件自身是否具有防護(hù)能力以及防護(hù)能力技術(shù)的高低等，都關(guān)系到系統(tǒng)安全的強(qiáng)度。據(jù)分析，目前指揮信息系統(tǒng)在硬件安全方面除了自身的電磁泄露和電磁波干擾之外，最突出的就是硬件侵入破壞。使用先進(jìn)的微電子技術(shù)的信息系統(tǒng)設(shè)備，對信息竊取和系統(tǒng)破壞的防范是很脆弱的。國外已研制出的微米/納米機(jī)器人（Micro/NanoMachines）可部署到指揮信息系統(tǒng)附近，它們可攜帶微型傳感器竊取信息；細(xì)菌炸彈可把芯片細(xì)菌（Microbes）投進(jìn)指揮信息系統(tǒng)，嗜食硅片，破壞系統(tǒng)設(shè)備；靈巧炸彈和智能導(dǎo)彈可摧毀指揮信息系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)。

1.2 軟件攻擊

軟件是控制信息化裝備安全的關(guān)鍵部件，但往往又成為危害信息化裝備安全的重要手段。軟件具有二重性，它既是安全保護(hù)的對象和安全控制的措施，又是危害信息系統(tǒng)安全的途徑和手段。軟件系統(tǒng)是指揮信息系統(tǒng)的靈魂，它同硬件系統(tǒng)一道，都是指揮信息系統(tǒng)的重要裝備。而軟件攻擊則是指以軟件為手段，主要針對指揮信息系統(tǒng)中的軟件進(jìn)行攻擊。如獲取未經(jīng)授權(quán)或授權(quán)以外的信息，阻礙指揮信息系統(tǒng)正常運(yùn)行和合法用戶的正常使用等。計(jì)算機(jī)病毒攻擊就是典型的以軟件作為手段的攻擊。目前利用軟件進(jìn)行攻擊的方式有：數(shù)據(jù)欺騙（篡改數(shù)據(jù)或輸入假數(shù)據(jù)）、超級沖殺（用共享程序突破系統(tǒng)防護(hù)，竊取數(shù)據(jù)或破壞數(shù)據(jù)及系統(tǒng)功能）、異步攻擊（將入侵指令摻雜在正常作業(yè)程序中，以獲取數(shù)據(jù)文件）、偽造證件以及寄生術(shù)等?？衫玫能浖淦髦饕羞壿嬚◤棧↙ogic Bombs）、“特洛伊木馬”（Trojan horse）和蠕蟲（Worms）等計(jì)算機(jī)病毒程序。

2 新型“云安全”防病毒模型

未來一體化聯(lián)合作戰(zhàn)，其網(wǎng)絡(luò)化作戰(zhàn)指揮平臺的信息網(wǎng)絡(luò)在規(guī)模擴(kuò)大的同時(shí)，其安全性也不容樂觀，因此，構(gòu)建基于“云安全”模式的指揮信息系統(tǒng)安全防病毒系統(tǒng)防線迫在眉睫，對于提高指揮信息系統(tǒng)信息網(wǎng)絡(luò)的安全具有十分重要的意義。

2.1 “云安全”的概念及原理

“云安全(Cloud Security)”技術(shù)是P2P技術(shù)、網(wǎng)格技術(shù)、云計(jì)算技術(shù)等分布式計(jì)算技術(shù)混合發(fā)展、自然演化的結(jié)果，是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到服務(wù)器端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每個(gè)客戶端，而這些客戶端和服務(wù)器群就構(gòu)成了一個(gè)龐大的“云”[2]。當(dāng)前“云安全”實(shí)現(xiàn)原理主要分為兩種，一種是以趨勢科技為代表提出的基于構(gòu)建大量病毒特征碼數(shù)據(jù)庫服務(wù)器群的模式；另一種是以瑞星公司為代表提出的基于收集廣大客戶機(jī)終端病毒樣本，在服務(wù)器端進(jìn)行處理并反饋解決方案的模式?！霸瓢踩钡臍⒍灸Ｊ?，主要是網(wǎng)絡(luò)化的主動(dòng)防毒，殺毒軟件利用互聯(lián)網(wǎng)強(qiáng)大的網(wǎng)絡(luò)支持，通過互聯(lián)網(wǎng)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)及用戶主機(jī)，在用戶即將訪問有害網(wǎng)頁或病毒程序前提醒用戶，其重點(diǎn)是在于“防”，即防止大部分終端不受病毒感染[3]。

2.2 “云安全”防病毒模型的建立

“云安全”是一個(gè)開放性系統(tǒng)，其“探針”應(yīng)當(dāng)與其它軟件相兼容，即使用戶使用不同的殺毒軟件，也可以享受“云安全”系統(tǒng)帶來的成果[4]。軍事指揮信息系統(tǒng)網(wǎng)絡(luò)不同于互聯(lián)網(wǎng)，它的信息網(wǎng)絡(luò)相對獨(dú)立，安全威脅也并沒有互聯(lián)網(wǎng)上那么嚴(yán)重，并不需要像互聯(lián)網(wǎng)那樣建大規(guī)模的服務(wù)器群，我們可以整合“云安全”的兩個(gè)實(shí)現(xiàn)原理的優(yōu)點(diǎn)，發(fā)揮各自特長，進(jìn)行新型防病毒模式的構(gòu)建。可以在實(shí)際應(yīng)用中，結(jié)合訓(xùn)練和作戰(zhàn)任務(wù)的需要，在各個(gè)布局上建立指揮機(jī)構(gòu)中心需要的一定數(shù)量的分布式指揮機(jī)構(gòu)網(wǎng)絡(luò)中心服務(wù)器群，達(dá)到網(wǎng)絡(luò)作戰(zhàn)的目的就行。并且要配備相應(yīng)的軍隊(duì)技術(shù)骨干，進(jìn)行病毒樣本特征碼的提取、分析、定位等處理，以便更好的對其維護(hù)。

2.2.1 建立云指揮終端安全檢測架構(gòu)

可以結(jié)合各作戰(zhàn)指揮機(jī)構(gòu)中心服務(wù)器的特點(diǎn)，采用以網(wǎng)頁信譽(yù)服務(wù)、郵件信譽(yù)服務(wù)和文件信譽(yù)服務(wù)、行為關(guān)聯(lián)分析技術(shù)、自動(dòng)反饋機(jī)制、威脅信息匯總為技術(shù)基礎(chǔ)的云指揮終端安全檢測架構(gòu)，將反病毒功能包裝成網(wǎng)絡(luò)服務(wù)，由終端或者單一的服務(wù)器端移植到網(wǎng)絡(luò)云（上級云安全中心）上，實(shí)現(xiàn)云端檢測。把軍事指揮信息系統(tǒng)受到的各種信息網(wǎng)絡(luò)安全威脅等病毒特征碼文件，利用指揮終端軟件自動(dòng)提交、主動(dòng)防御技術(shù)等采集方式，一部分可查殺的病毒系統(tǒng)進(jìn)行查殺處理，確保安全后傳輸?shù)街笓]終端；另一部分最新的病毒信息被保存到指揮機(jī)構(gòu)網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器群的云數(shù)據(jù)庫中，令其在端點(diǎn)處保持最低的數(shù)量用于驗(yàn)證，這部分服務(wù)器群能夠在病毒威脅到“云端”之前將其攔截。

2.2.2 實(shí)時(shí)偵測上報(bào)終端安全威脅的防毒系統(tǒng)

軍事指揮信息系統(tǒng)是一個(gè)集各指揮機(jī)構(gòu)服務(wù)集群的自動(dòng)化作戰(zhàn)指揮系統(tǒng)，其在信息網(wǎng)絡(luò)當(dāng)中已經(jīng)建立了適量的服務(wù)器，對于每個(gè)服務(wù)器來說，應(yīng)當(dāng)可以實(shí)時(shí)收集終端的安全威脅，并進(jìn)行分析處理，處理結(jié)果儲存到服務(wù)器群當(dāng)中，并將處理方案分發(fā)到各個(gè)指揮終端中去，防止其它終端遭受類似威脅。基于“云安全”的防毒模型中的指揮終端軟件具有“自動(dòng)診斷”功能，在此模型中采用 CloudAV的 N-Version保護(hù)技術(shù)思想，由各種各樣的檢測引擎來提供分析結(jié)果，可以有效擴(kuò)大對多種惡意軟件的檢測范圍，防御極度復(fù)雜并不斷進(jìn)化的惡意軟件[5]。開機(jī)時(shí)指揮終端軟件模塊會自動(dòng)掃描，如果發(fā)現(xiàn)異常行為的程序，則上傳到指揮機(jī)構(gòu)網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器群進(jìn)行分析。分析完畢，如果不是病毒，則不進(jìn)行操作；如果是病毒，則把特征碼及處理措施返回給終端，用戶運(yùn)行軟件掃描，即可清除病毒，同時(shí)這個(gè)病毒解決方案還被其它終端所采用。這些用戶中只要有任何一個(gè)中毒，則樣本一定會被收集上來，這樣就可以最大程度地解決木馬樣本收集困難的問題。服務(wù)器端的“云安全”系統(tǒng)服務(wù)器群可以自動(dòng)處理絕大部分終端軟件上傳的新病毒。這樣，理論上可以大大降低指揮信息系統(tǒng)在使用中所遭遇的病毒侵害 (模型如圖1所示) 。

2.3 模型的分析

從構(gòu)建的模型中可以看出，改進(jìn)型的指揮信息系統(tǒng)防病毒模型是基于從用戶中毒、指揮終端軟件探測自動(dòng)上傳、服務(wù)器返回分析結(jié)果到最后查殺的循環(huán)過程。它把云指揮終端安全檢測架構(gòu)同防毒系統(tǒng)聯(lián)系在一起，整合成以并行服務(wù)器群為基礎(chǔ)的、以各指揮終端為延伸的軍事指揮信息系統(tǒng)新型防病毒系統(tǒng)。

2.3.1 指揮終端軟件

指揮終端軟件的作用主要是識別新的文件并且將它們發(fā)送到指揮機(jī)構(gòu)中心的網(wǎng)絡(luò)上進(jìn)行分析，主要有兩種實(shí)現(xiàn)形式。一種是運(yùn)行在諸如桌面、便攜式計(jì)算機(jī)、移動(dòng)設(shè)備等終端的輕量級的客戶代理，用來識別新的文件并將它們發(fā)送到指揮機(jī)構(gòu)中心的網(wǎng)絡(luò)上，每個(gè)文件都將生成唯一的標(biāo)識碼，通過與之前分析過的文件比較，決定是否將文件發(fā)送到網(wǎng)絡(luò)云中進(jìn)行分析[6]。另外一種實(shí)現(xiàn)形式是利用網(wǎng)絡(luò)傳感器或網(wǎng)絡(luò)監(jiān)聽器，在文件沒有到達(dá)終端用戶時(shí)，使用深度分組檢查技術(shù)，就進(jìn)行檢測和分析。

2.3.2 網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器群

網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器群的作用是接受指揮終端傳來的文件，識別惡意的內(nèi)容，并保存病毒特征碼，實(shí)時(shí)處理指揮終端病毒威脅樣本。它與傳統(tǒng)方式的不同之處在于，它集合了多個(gè)檢測分析引擎，對文件進(jìn)行并行分析，并通過綜合給出分析結(jié)果。分析報(bào)告中包含以下幾方面的內(nèi)容：

1）操作指令。一組能夠指導(dǎo)指揮終端操作的說明，如文件應(yīng)該存儲、打開、執(zhí)行或者是隔離。

2）由不同的檢測引擎分配的惡意軟件分類標(biāo)識。

3）行為分析。包括文件和密碼的修改、網(wǎng)絡(luò)行為或者其它狀態(tài)的信息改變。分析報(bào)告將存儲在指揮終端的本地緩存中或服務(wù)器群的遠(yuǎn)程共享緩存中，再出現(xiàn)相同的文件時(shí)，用戶不需要再發(fā)送到網(wǎng)絡(luò)上進(jìn)行分析，直接在本地就能進(jìn)行檢測分析。

圖1 軍事指揮信息系統(tǒng)防病毒模型

2.3.3 存檔服務(wù)組件

存儲服務(wù)組件用來存儲分析結(jié)果信息并提供操作管理接口。模型中的服務(wù)器群上，其病毒特征碼數(shù)據(jù)庫來源于實(shí)時(shí)偵測“云端”中病毒樣本和系統(tǒng)攔截網(wǎng)絡(luò)中的威脅。而且在這個(gè)防護(hù)系統(tǒng)中，隨著加入指揮網(wǎng)絡(luò)的終端數(shù)量的增加，理論上捕獲的病毒特征碼就會越充分，對于整個(gè)“云”系統(tǒng)來說就越安全。通過模型的仿真實(shí)驗(yàn)，證明這種 N-Version保護(hù)技術(shù)對于新出現(xiàn)的惡意攻擊的防御檢測范圍要比傳統(tǒng)的單個(gè)反病毒引擎高很多。

3 實(shí)時(shí)性分析

未來信息化戰(zhàn)爭，戰(zhàn)場情況復(fù)雜、變化急劇，戰(zhàn)機(jī)稍縱即逝，使得情報(bào)信息的“有價(jià)值時(shí)間”也越來越短、時(shí)效性越來越強(qiáng)。因此，對于依賴信息化程度較高的指揮信息系統(tǒng)而言，提高其獲取信息的安全性、快捷性和有效性，無疑成為迫在眉睫的問題。這種“云安全”模式的特點(diǎn)實(shí)現(xiàn)了軍用計(jì)算機(jī)資源的高效整合與快速處理防病毒的能力，可以大大提高指揮信息系統(tǒng)對于實(shí)際運(yùn)用的實(shí)時(shí)性安全需求。

3.1 實(shí)現(xiàn)了防病毒的互聯(lián)網(wǎng)化

這種互聯(lián)網(wǎng)化首先體現(xiàn)在網(wǎng)絡(luò)資源的互聯(lián)上，通過成千上百的服務(wù)器互聯(lián)，可以大大提高反病毒的處理能力與響應(yīng)時(shí)間；其次是信息的互聯(lián)，利用數(shù)量眾多的指揮終端收集并獲取最新病毒信息，并將最終解決方案實(shí)現(xiàn)共享。因此，對于指揮終端用戶來說，既是推動(dòng)反病毒技術(shù)發(fā)展的貢獻(xiàn)者，同時(shí)也是受益者。

3.2 檢測惡意軟件更高效

模型中，每個(gè)指揮終端客戶都運(yùn)行一個(gè)輕量級的程序來檢測新的文件，并將它們發(fā)送到網(wǎng)絡(luò)服務(wù)器進(jìn)行分析，然后根據(jù)網(wǎng)絡(luò)服務(wù)提供的報(bào)告，決定是否接受文件或者進(jìn)行隔離處理。而且多個(gè)反病毒引擎的結(jié)合，可以綜合各個(gè)引擎的檢測能力，使檢測更加全面。

3.3 反病毒能力更強(qiáng)

將病毒檢測功能移植到網(wǎng)絡(luò)服務(wù)器群上，構(gòu)建一個(gè)更大的防病毒平臺，整個(gè)戰(zhàn)役戰(zhàn)術(shù)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”，參與者越多，每個(gè)參與者就越安全，系統(tǒng)就會更安全。當(dāng)新的病毒威脅出現(xiàn)時(shí)，云反病毒服務(wù)能夠根據(jù)歷史記錄發(fā)現(xiàn)以前相似或相同的病毒活動(dòng)，甚至可以自動(dòng)地隔離受感染的主機(jī)。

4 結(jié)束語

對于未來一體化聯(lián)合作戰(zhàn)來說，指揮平臺將更多的依賴于信息化程度較高的軍事指揮信息系統(tǒng)，這就對指揮信息系統(tǒng)的安全防護(hù)提出了更高的要求。尤其是面對敵方的計(jì)算機(jī)網(wǎng)絡(luò)病毒的“硬”、“軟”殺傷，就要求采取更有針對性和時(shí)效性的措施進(jìn)行防御。文章提出的一種異于傳統(tǒng)殺毒模式的“云安全”防病毒模式，它優(yōu)于傳統(tǒng)殺毒模式的特點(diǎn)是能夠?qū)W(wǎng)絡(luò)中的新型病毒做出快速反應(yīng)，對于指揮信息系統(tǒng)信息網(wǎng)絡(luò)病毒的防范具有很好的指導(dǎo)作用。

[1]陳春,李洪峰,李云.指揮信息系統(tǒng)運(yùn)行機(jī)制研究[M].北京:解放軍出版社,2006.

[2]木森鑫.云安全 2.0: 終端、網(wǎng)關(guān)連成整體安全防護(hù)云[OL].http://tech.ccidnet.com/art/1099/20090727/1839225_1.html(賽迪網(wǎng)),2009-07-30.

[3]利莉,王效東.基于“云”端的網(wǎng)絡(luò)安全[J].景德鎮(zhèn)高專學(xué)報(bào),2009(12):18-19.

[4]汪水翔,薛蘭玉,劉勇.基于“云安全”技術(shù)的軍隊(duì)信息網(wǎng)絡(luò)防毒系統(tǒng)研究[J].實(shí)踐探究,2009(9):61-79.

[5]Oberheide J,Cooke E,Jahanian F(2008) Cloudav:N-version antivirus in the network cloud.In: Proceedings of the 17th USENIX security symposium(Security’08),San Jose,28 July-1 August 2008.

[6]劉鵬.云計(jì)算[M].北京: 電子工業(yè)出版社,2010.

[7]中國云計(jì)算網(wǎng).云安全的技術(shù)實(shí)現(xiàn)[0L].http://www.chinacloud.cn/show.aspx?id=1302&cid=29,2009-04-21.