針對(duì)物理隔離攻擊的安全防護(hù)技術(shù)研究

李 靜，范小嬌，肖 颯，郭海波

(西京學(xué)院， 西安 710123)

1 引言

隨著現(xiàn)代作戰(zhàn)空間的立體化、作戰(zhàn)態(tài)勢(shì)的復(fù)雜化以及作戰(zhàn)指揮的信息化，現(xiàn)代戰(zhàn)場(chǎng)下多要素、全合成軍兵種的聯(lián)合協(xié)同作戰(zhàn)已經(jīng)成為未來戰(zhàn)爭(zhēng)的典型作戰(zhàn)樣式。軍用指揮信息系統(tǒng)作為作戰(zhàn)命令、偵察情報(bào)、保障態(tài)勢(shì)等戰(zhàn)場(chǎng)綜合信息上傳下達(dá)的中樞神經(jīng)，是現(xiàn)代聯(lián)合協(xié)同作戰(zhàn)下各軍兵種與指揮機(jī)構(gòu)間的“粘合劑”，是構(gòu)建未來一體化聯(lián)合作戰(zhàn)體系的重要橋梁[1]。

近年來，各國都開始加快軍用指揮信息系統(tǒng)的智能化、信息化建設(shè)，以期為各級(jí)作戰(zhàn)指揮員提供集指揮控制、偵察情報(bào)、通信保障、輔助決策、支援保障等功能于一體的作戰(zhàn)指揮工具[2]。

美軍現(xiàn)有多個(gè)軍用指揮信息系統(tǒng),其中，WWMCCS全球軍事指揮控制系統(tǒng)是美軍的戰(zhàn)略C4ISR系統(tǒng)，能夠不間斷地指揮部署在全球各地的戰(zhàn)略導(dǎo)彈、轟炸機(jī)和戰(zhàn)略核潛艇部隊(duì)，具有情報(bào)收集、分析和評(píng)估、威脅判斷及攻擊預(yù)警、制定作戰(zhàn)方案和計(jì)劃等功能；ATCCS陸軍戰(zhàn)術(shù)指揮控制系統(tǒng)集防空、戰(zhàn)斗勤務(wù)支援、火力支援、情報(bào)/電子戰(zhàn)和機(jī)動(dòng)控制于一體；聯(lián)合監(jiān)視與目標(biāo)攻擊雷達(dá)系統(tǒng)JSTARS能夠快速、連續(xù)、大區(qū)域地監(jiān)視、探測(cè)和攻擊前沿部隊(duì)縱深地帶的活動(dòng)目標(biāo)[3]；全球信息柵格GIG是目前美軍最先進(jìn)的軍用指揮信息系統(tǒng)，能夠輔助作戰(zhàn)人員快速獲取并管理作戰(zhàn)信息，向指揮機(jī)構(gòu)發(fā)生戰(zhàn)場(chǎng)目標(biāo)、部隊(duì)機(jī)動(dòng)、資源配置等信息，實(shí)現(xiàn)各軍兵種間戰(zhàn)場(chǎng)信息的快速、無縫交換和傳輸[4-5]。

俄軍的軍事指揮信息系統(tǒng)主要由指揮系統(tǒng)、情報(bào)收集系統(tǒng)和通信系統(tǒng)組成，能夠確保在遂行作戰(zhàn)任務(wù)過程中指揮機(jī)構(gòu)能夠不間斷地對(duì)作戰(zhàn)部隊(duì)實(shí)施指揮。近年來，俄軍已完成戰(zhàn)略自動(dòng)化指揮系統(tǒng)與戰(zhàn)役戰(zhàn)術(shù)指揮信息系統(tǒng)的聯(lián)網(wǎng)，并針對(duì)集團(tuán)軍和方面軍司令部開始建立戰(zhàn)役級(jí)的指揮信息系統(tǒng)[6]。

軍用指揮信息系統(tǒng)承載著作戰(zhàn)行動(dòng)或訓(xùn)練計(jì)劃中的作戰(zhàn)/行動(dòng)計(jì)劃擬制、計(jì)劃分發(fā)、戰(zhàn)場(chǎng)綜合態(tài)勢(shì)展現(xiàn)、情報(bào)分發(fā)等能力，指揮機(jī)構(gòu)能夠依托該系統(tǒng)實(shí)現(xiàn)對(duì)所屬部隊(duì)的不間斷指揮控制，能夠根據(jù)回傳的戰(zhàn)場(chǎng)態(tài)勢(shì)掌握戰(zhàn)場(chǎng)情況和進(jìn)程，并視情調(diào)整作戰(zhàn)計(jì)劃，高效地協(xié)調(diào)所轄部隊(duì)間的作戰(zhàn)行動(dòng)，保障作戰(zhàn)任務(wù)高效完成。因此，確保軍用指揮信息系統(tǒng)的信息安全成為戰(zhàn)場(chǎng)指揮命令、流程穩(wěn)定可達(dá)的關(guān)鍵，有助于提高軍隊(duì)一體化聯(lián)合作戰(zhàn)能力，提升戰(zhàn)場(chǎng)指揮效能[7]。

圖1 聯(lián)合作戰(zhàn)體系示意圖Fig.1 Schematic diagram of joint operaton system

如今，面向計(jì)算機(jī)系統(tǒng)或者指揮信息系統(tǒng)的安全威脅無處不在，若指揮信息系統(tǒng)或指控裝備終端遭到外部網(wǎng)絡(luò)攻擊或者跨網(wǎng)絡(luò)的物理攻擊時(shí)，敵可對(duì)前方戰(zhàn)場(chǎng)回傳的偵察情報(bào)、實(shí)時(shí)態(tài)勢(shì)信息進(jìn)行截獲，可篡改指揮員下發(fā)的指揮命令，甚至癱瘓?jiān)诰W(wǎng)的所有指揮節(jié)點(diǎn)等，其中任一點(diǎn)安全風(fēng)險(xiǎn)威脅都可能會(huì)決定一次戰(zhàn)役或行動(dòng)的成敗[9]。

當(dāng)前，包括美軍、俄軍在內(nèi)的世界主流軍用指揮信息系統(tǒng)部署了較為完善的安全防護(hù)軟件，為多種戰(zhàn)術(shù)終端提供安全防護(hù)服務(wù)，如端口管控、黑白名單軟件控制、病毒查殺等；為各類系統(tǒng)應(yīng)用提供安全服務(wù)，如身份認(rèn)證、訪問控制、攻擊防護(hù)。此類安全防護(hù)軟件大都適用于網(wǎng)絡(luò)在線或系統(tǒng)內(nèi)部運(yùn)行軟件情況下發(fā)起的信息系統(tǒng)攻擊，不對(duì)物理接口本身進(jìn)行安全診斷，無法針對(duì)基于終端接口的物理隔離攻擊開展有效防護(hù)。為此，構(gòu)建針對(duì)物理隔離攻擊風(fēng)險(xiǎn)的軍用指揮信息系統(tǒng)安全防護(hù)體系勢(shì)在必行。

針對(duì)軍用指揮信息系統(tǒng)存在外部網(wǎng)絡(luò)攻擊或者物理隔離攻擊風(fēng)險(xiǎn)的嚴(yán)峻性，本文通過分析USB攻擊、電力線攻擊、聲信道攻擊、光信道攻擊等物理隔離攻擊風(fēng)險(xiǎn)，基于先驗(yàn)概念與動(dòng)態(tài)評(píng)估相結(jié)合的設(shè)計(jì)思想，開展了物理隔離安全防護(hù)技術(shù)研究，保護(hù)軍用指揮信息系統(tǒng)免受物理隔離攻擊。

2 軍用指揮信息系統(tǒng)安全需求分析

未來一體化聯(lián)合作戰(zhàn)中，奪取指揮控制的優(yōu)勢(shì)是戰(zhàn)爭(zhēng)對(duì)抗中最為激烈的焦點(diǎn)。指揮控制需要依托指揮手段才能得以實(shí)現(xiàn)，在信息化條件下該指揮手段即為軍用指揮信息系統(tǒng)[1]。作為一種新興的自動(dòng)化指揮控制手段，軍用指揮信息系統(tǒng)包括多類系統(tǒng)平臺(tái)，如一體化平臺(tái)、兵棋推演系統(tǒng)、數(shù)據(jù)工程及作戰(zhàn)任務(wù)規(guī)劃系統(tǒng)等，世界各國高度重視并竟相開展研發(fā)和建設(shè)。

高度信息化的軍用指揮信息系統(tǒng)在為指揮員提供實(shí)時(shí)的情報(bào)信息、完善的后裝保障、精確的火力引導(dǎo)、高效的指揮決策的同時(shí)，也面臨著載體攻擊、網(wǎng)絡(luò)入侵、信息竊取等風(fēng)險(xiǎn)。軍用指揮信息系統(tǒng)面臨的攻擊主要體現(xiàn)在指揮控制裝(設(shè))備遭遇入侵或攻擊、指揮通信網(wǎng)絡(luò)遭遇入侵或破壞、指揮數(shù)據(jù)信息遭遇篡改或竊取等，本節(jié)主要依據(jù)軍用指揮信息系統(tǒng)的作用特點(diǎn)及承載任務(wù)，分析了軍用指揮信息系統(tǒng)在作戰(zhàn)使用中的信息安全需求。

2.1 指揮控制裝(設(shè))備安全

指揮控制裝(設(shè))備是軍用指揮信息系統(tǒng)的硬件承載平臺(tái)，是軍隊(duì)實(shí)現(xiàn)作戰(zhàn)計(jì)劃擬制、指揮控制命令分發(fā)、偵察情報(bào)推送的物理媒介。作戰(zhàn)使用時(shí)，若指揮控制裝(設(shè))備遭受攻擊或入侵，則會(huì)對(duì)戰(zhàn)場(chǎng)指揮、部隊(duì)調(diào)度造成致命的影響。

若指揮控制裝(設(shè))備遭到攻擊，攻擊者可冒充已方人員身份對(duì)所屬部(分)隊(duì)下發(fā)指揮調(diào)度指令，可干擾預(yù)先作戰(zhàn)計(jì)劃，如發(fā)布與實(shí)際作戰(zhàn)意圖相悖的計(jì)劃安排，誘導(dǎo)所屬部(分)隊(duì)進(jìn)入敵包圍圈等；同時(shí)，攻擊范圍還可由被攻擊的裝(設(shè))備擴(kuò)展到該裝(設(shè))備所在指揮網(wǎng)內(nèi)的其他節(jié)點(diǎn)，通過分發(fā)錯(cuò)誤指令、故障某些重要節(jié)點(diǎn)，以達(dá)到作戰(zhàn)意圖，更甚者可導(dǎo)致整個(gè)指揮網(wǎng)絡(luò)的癱瘓。因此，確保指揮控制裝(設(shè))備物理安全、網(wǎng)絡(luò)安全是保證指揮鏈路通暢、指揮指令源可溯、作戰(zhàn)意圖“保真”的重要途徑。

2.2 指揮通信網(wǎng)絡(luò)安全

指揮通信網(wǎng)絡(luò)是連接所有指揮節(jié)點(diǎn)的橋梁，能夠確保指揮指令在網(wǎng)內(nèi)所有節(jié)點(diǎn)的分發(fā)，指揮通信網(wǎng)絡(luò)的安全直接關(guān)系到指揮指令的準(zhǔn)確性和實(shí)時(shí)性，也關(guān)系到網(wǎng)間節(jié)點(diǎn)的互通性。

若指揮通信網(wǎng)絡(luò)遭到攻擊，攻擊者可以偽造相關(guān)通信網(wǎng)絡(luò)參數(shù)，導(dǎo)致某些網(wǎng)內(nèi)節(jié)點(diǎn)斷網(wǎng)，成為“聾子”、“瞎子”；攻擊者還可以攻擊某些重要的通信中繼節(jié)點(diǎn)，使作戰(zhàn)地域的完整網(wǎng)絡(luò)成為一個(gè)個(gè)孤立無援的子網(wǎng)，導(dǎo)致各部(分)隊(duì)間無法互聯(lián)互通，降低部隊(duì)協(xié)同效率；攻擊者也可以通過入侵指揮通信網(wǎng)絡(luò)，在網(wǎng)絡(luò)內(nèi)部傳播蠕蟲病毒等，癱瘓網(wǎng)絡(luò)內(nèi)各終端裝(設(shè))備，使其失去作戰(zhàn)能力，達(dá)到“不戰(zhàn)而屈人之兵”的目的。

2.3 指揮數(shù)據(jù)信息安全

軍用指揮信息系統(tǒng)涵蓋了軍用地圖、作戰(zhàn)計(jì)劃、軍標(biāo)、部隊(duì)狀況、部隊(duì)編組、裝備性能等涉密數(shù)據(jù)，這些數(shù)據(jù)是支撐軍用指揮信息系統(tǒng)運(yùn)行的基礎(chǔ)保障。

若指揮信息系統(tǒng)遭到攻擊，攻擊者可以篡改相關(guān)指揮數(shù)據(jù)，導(dǎo)致制定的作戰(zhàn)計(jì)劃、方案等出現(xiàn)偏差或嚴(yán)重錯(cuò)誤，影響作戰(zhàn)進(jìn)程，甚至直接影響作戰(zhàn)結(jié)果；同時(shí)，攻擊者也可以竊取相關(guān)指揮數(shù)據(jù)，對(duì)作戰(zhàn)計(jì)劃、作戰(zhàn)方案、作戰(zhàn)編組、裝備性能等進(jìn)行詳細(xì)分析，制定有針對(duì)的應(yīng)對(duì)措施，或進(jìn)行偽裝，以便在作戰(zhàn)進(jìn)程中通過身份欺騙達(dá)到破壞行動(dòng)計(jì)劃等目的。

3 物理隔離攻擊風(fēng)險(xiǎn)

軍用指揮裝(設(shè))備通常處于物理隔離狀態(tài)，或僅根據(jù)作戰(zhàn)需要局限于自身構(gòu)建的內(nèi)部指揮網(wǎng)內(nèi)，與互聯(lián)網(wǎng)實(shí)現(xiàn)了物理隔離。物理隔離攻擊風(fēng)險(xiǎn)打破傳統(tǒng)安全防護(hù)防線，針對(duì)物理隔離的裝(設(shè))備發(fā)起攻擊。該攻擊方式充分利用了裝(設(shè))備軟硬件、物理空間介質(zhì)等構(gòu)建數(shù)據(jù)傳輸通道。常見的風(fēng)險(xiǎn)有USB攻擊、電力線攻擊、聲信道攻擊、光信道攻擊等。

3.1 USB攻擊風(fēng)險(xiǎn)

USB攻擊技術(shù)是一種針對(duì)USB接口本身的攻擊技術(shù)，因此只要是符合USB規(guī)范的USB設(shè)備都面臨USB攻擊技術(shù)的威脅[10]。軍用計(jì)算機(jī)設(shè)備作為軍用指揮信息系統(tǒng)的承載體，其USB接口也被廣泛用于連接USB鍵盤、USB鼠標(biāo)、USB移動(dòng)存儲(chǔ)設(shè)備等，其雖處于物理隔離的軍用作戰(zhàn)信息網(wǎng)絡(luò)，但在USB外設(shè)接入或計(jì)算機(jī)供應(yīng)鏈?zhǔn)酆缶S修過程中存在被植入惡意硬件或后門的風(fēng)險(xiǎn)。常見的USB攻擊有USB存儲(chǔ)設(shè)備擺渡攻擊、USB HID攻擊、惡意USB固件攻擊等。

USB存儲(chǔ)設(shè)備擺渡攻擊能夠以USB存儲(chǔ)設(shè)備為攻擊載體，在USB存儲(chǔ)設(shè)備中植入惡意軟件，利用其在軍用計(jì)算機(jī)設(shè)備間的插拔完成對(duì)多目標(biāo)設(shè)備或目標(biāo)所在指揮信息網(wǎng)絡(luò)的感染，從而對(duì)被攻擊設(shè)備本身或其所在指揮信息網(wǎng)絡(luò)內(nèi)的指揮節(jié)點(diǎn)發(fā)起竊密、破壞等操作。USB存儲(chǔ)設(shè)備擺渡攻擊可直接利用Windows系統(tǒng)中的Autorun命令，當(dāng)USB設(shè)備插入軍用計(jì)算機(jī)設(shè)備時(shí)，自動(dòng)運(yùn)行存儲(chǔ)在USB設(shè)備中的惡意軟件完成攻擊。2010年6月，“震網(wǎng)”病毒針對(duì)工業(yè)基礎(chǔ)設(shè)施發(fā)起定向攻擊，造成全球超45 000個(gè)網(wǎng)絡(luò)被感染，毀壞了伊朗濃縮鈾工廠大約五分之一的離心機(jī)[11]。若軍用計(jì)算機(jī)遭受USB存儲(chǔ)設(shè)備擺渡攻擊，則存在指揮信息網(wǎng)癱瘓、指揮裝(設(shè))備失效、指揮指令不可達(dá)等嚴(yán)重隱患。

USB HID攻擊是指通過將USB設(shè)備接口類型枚舉為HID接口，利用軍用計(jì)算機(jī)對(duì)HID接口設(shè)備的高度可信實(shí)現(xiàn)按鍵注入攻擊或與其他惡意軟件相結(jié)合的復(fù)雜USB攻擊。2013年，斯諾登曝出美國國家安全局針對(duì)USB接口研發(fā)了一種名為COTTONMOUTH-I的間諜工具，其通過隱藏在USB接口中的惡意硬件實(shí)現(xiàn)USB HID攻擊，此外，該USB HID攻擊技術(shù)還具備組網(wǎng)通信能力，可以與遠(yuǎn)程控制端或中間通信中繼節(jié)點(diǎn)建立連接，能夠?qū)Ρ还舻能娪糜?jì)算機(jī)設(shè)備及其所構(gòu)成的指揮信息系統(tǒng)進(jìn)行信息竊取、監(jiān)聽，甚至進(jìn)行破壞操作[12]。

惡意USB固件攻擊是指通過篡改USB設(shè)備本身的固件，在USB設(shè)備中留有惡意軟件后門，從而對(duì)軍用目標(biāo)設(shè)備及其所構(gòu)成的指揮信息系統(tǒng)發(fā)起攻擊。

3.2 電力線攻擊風(fēng)險(xiǎn)

電力線攻擊技術(shù)是指將數(shù)據(jù)信號(hào)進(jìn)行編碼，通過在電流信號(hào)上疊加數(shù)據(jù)信號(hào)或控制電流波動(dòng)以表示不同數(shù)據(jù)編碼在電力線上進(jìn)行數(shù)據(jù)傳輸?shù)墓艏夹g(shù)。主流的電力線攻擊技術(shù)主要有信號(hào)疊加型電力線攻擊與電流波動(dòng)型電力線攻擊2種。

信號(hào)疊加型電力線攻擊技術(shù)是指利用正交頻分復(fù)用(OFDM)技術(shù)，將編碼的數(shù)據(jù)信號(hào)與電力線中的電流信號(hào)相疊加，利用電力線對(duì)軍用指揮信息系統(tǒng)進(jìn)行遠(yuǎn)距離數(shù)據(jù)密取。通過該技術(shù)可以有效避免攻擊/竊取信號(hào)在電磁空間信道中易受監(jiān)控的弊端，通過與其他軟硬件攻擊技術(shù)相結(jié)合，可是實(shí)現(xiàn)對(duì)軍用指揮信息系統(tǒng)進(jìn)行隱蔽性更高、破壞性更強(qiáng)的系統(tǒng)級(jí)攻擊。

電流波動(dòng)型電力線攻擊技術(shù)是指有意調(diào)節(jié)軍用計(jì)算機(jī)的CPU利用率來控制系統(tǒng)的功耗，通過利用電流的波動(dòng)實(shí)現(xiàn)對(duì)數(shù)據(jù)的調(diào)制、編碼和傳輸，是一種通過電力線對(duì)軍用指揮信息系統(tǒng)的信息傳導(dǎo)和數(shù)據(jù)傳輸進(jìn)行攻擊的技術(shù)。2018年，Mordechai Guri[13]提出一種名為PowerHammer的電力線攻擊技術(shù)，實(shí)現(xiàn)了對(duì)目標(biāo)計(jì)算機(jī)信息的調(diào)制、電力線傳輸與解碼。

3.3 聲信道攻擊風(fēng)險(xiǎn)

聲信道攻擊技術(shù)[14-15]主要針對(duì)配置聲卡揚(yáng)聲器、麥克風(fēng)的軍用設(shè)備，通過揚(yáng)聲器、麥克風(fēng)信道對(duì)經(jīng)過編碼、調(diào)制的聲信號(hào)進(jìn)行播放/拾取，完成信息密取、惡意代碼植入等攻擊操作。主流的聲信道攻擊技術(shù)主要有聲信道信息密取攻擊與聲信道惡意代碼注入攻擊2種。

聲信道信息密取攻擊技術(shù)是指將軍用設(shè)備中的目標(biāo)文件進(jìn)行編碼并調(diào)制成高頻聲信號(hào)，然后經(jīng)揚(yáng)聲器播放，由外界進(jìn)行聲音拾取，繼而進(jìn)行解調(diào)還原，實(shí)現(xiàn)對(duì)軍用設(shè)備中目標(biāo)文件的密取操作。

聲信道惡意代碼注入攻擊技術(shù)是指將惡意代碼進(jìn)行編碼、調(diào)制成高頻聲信號(hào)，經(jīng)聲信道被目標(biāo)軍用設(shè)備的揚(yáng)聲器捕獲，繼而進(jìn)行解調(diào)還原，將惡意代碼注入到目標(biāo)軍用設(shè)備中實(shí)施精準(zhǔn)攻擊。

3.4 光信道攻擊風(fēng)險(xiǎn)

光信道攻擊技術(shù)是指通過對(duì)光信道上傳輸?shù)哪繕?biāo)信息進(jìn)行捕獲或?qū)㈦[蔽數(shù)據(jù)通過光信號(hào)進(jìn)行傳輸，實(shí)現(xiàn)對(duì)目標(biāo)軍用設(shè)備的信息密取。主流的光信道攻擊技術(shù)主要有光纖信道信息密取攻擊與光源閃爍信息密取攻擊2種。

光纖是構(gòu)建軍用高速通信網(wǎng)絡(luò)的主要手段之一。光纖信道信息密取攻擊技術(shù)是指通過獲取光纖信道中的光信號(hào)并對(duì)其進(jìn)行還原實(shí)現(xiàn)數(shù)據(jù)密取等攻擊操作[16]。作戰(zhàn)使用時(shí)，可通過攻擊作戰(zhàn)地域的光纜，利用光束分離法、光纖彎曲法、倏逝波耦合法、V型槽法、光柵法等手段實(shí)現(xiàn)對(duì)光信號(hào)的竊取，以達(dá)到竊取對(duì)方作戰(zhàn)數(shù)據(jù)、裝備性能數(shù)據(jù)等目的。

軍用信息設(shè)備通常會(huì)設(shè)計(jì)LED燈以實(shí)現(xiàn)對(duì)設(shè)備狀態(tài)的指示能力。光源閃爍信息密取攻擊技術(shù)是指對(duì)目標(biāo)軍用設(shè)備數(shù)據(jù)進(jìn)行高頻編碼，根據(jù)編碼規(guī)則控制目標(biāo)軍用設(shè)備的LED燈高頻閃爍(通常為人眼不易感知的高閃爍頻度)，然后利用遠(yuǎn)程高速攝像機(jī)或特種攝錄設(shè)備對(duì)LED燈閃爍頻度進(jìn)行錄制并還原，從而實(shí)現(xiàn)數(shù)據(jù)密取等攻擊操作。

4 物理隔離安全防護(hù)技術(shù)

物理隔離安全防護(hù)技術(shù)基于先驗(yàn)概念與動(dòng)態(tài)評(píng)估相結(jié)合的設(shè)計(jì)思想，通過對(duì)物理隔離攻擊技術(shù)攻擊特點(diǎn)及利用的計(jì)算機(jī)漏洞等進(jìn)行分析，以及目標(biāo)從接入到退出全生命周期動(dòng)態(tài)風(fēng)險(xiǎn)分級(jí)監(jiān)測(cè)，實(shí)現(xiàn)對(duì)物理隔離攻擊[17]的精準(zhǔn)辨別與針對(duì)性防護(hù)，為軍用指揮信息系統(tǒng)在物理隔離攻擊方面的安全防護(hù)設(shè)計(jì)提供架構(gòu)支撐。

本文根據(jù)典型物理隔離攻擊的特征提出集實(shí)時(shí)目標(biāo)監(jiān)測(cè)、風(fēng)險(xiǎn)研判、安全審計(jì)于一體的物理隔離攻擊安全防護(hù)技術(shù)，實(shí)現(xiàn)對(duì)攻擊的精準(zhǔn)定向檢測(cè)防護(hù)，如圖2所示。

圖2 物理隔離攻擊安全防護(hù)技術(shù)框圖Fig.2 Security protection architecture against physical isolation attacks

4.1 實(shí)時(shí)目標(biāo)監(jiān)測(cè)要素

實(shí)時(shí)目標(biāo)監(jiān)測(cè)要素是指對(duì)接入軍用指揮終端、網(wǎng)絡(luò)及接入設(shè)備、軍用服務(wù)器的USB設(shè)備、網(wǎng)絡(luò)設(shè)備等設(shè)備的軟硬件進(jìn)行實(shí)時(shí)監(jiān)測(cè)，主要分為目標(biāo)識(shí)別與認(rèn)證、目標(biāo)行為監(jiān)測(cè)、目標(biāo)數(shù)據(jù)捕獲、輔助決策四方面。實(shí)時(shí)目標(biāo)監(jiān)測(cè)要素設(shè)計(jì)流程如圖3所示。

圖3 實(shí)時(shí)目標(biāo)監(jiān)測(cè)要素設(shè)計(jì)流程框圖Fig.3 Design process of real-time target monitoring elements

1) 目標(biāo)識(shí)別與認(rèn)證：合法的軍用軟件/硬件產(chǎn)品都有其特定的設(shè)備編號(hào)、標(biāo)識(shí)號(hào)以及生產(chǎn)廠商的標(biāo)識(shí)信息，通過預(yù)置軍用標(biāo)準(zhǔn)產(chǎn)品庫中的產(chǎn)品詳情，可以實(shí)現(xiàn)對(duì)目標(biāo)設(shè)備身份的快速鎖定。但物理隔離攻擊技術(shù)能夠通過偽造合法設(shè)備身份，繞過訪問認(rèn)證機(jī)制，待成功接入目標(biāo)軍用設(shè)備后再進(jìn)行激活等惡意操作，從而威脅軍用指揮信息系統(tǒng)的安全。目標(biāo)識(shí)別與認(rèn)證模塊能夠?qū)崿F(xiàn)對(duì)目標(biāo)軟硬件設(shè)備身份變化的全天候?qū)崟r(shí)監(jiān)測(cè)，當(dāng)目標(biāo)身份發(fā)生變化時(shí)，及時(shí)啟動(dòng)再識(shí)別與再認(rèn)證機(jī)制，及時(shí)阻斷惡意軟硬件的可疑操作，保證當(dāng)前指揮信息系統(tǒng)內(nèi)所連接外設(shè)及運(yùn)行軟件的可靠性，確保指揮信息系統(tǒng)的安全使用。

2) 目標(biāo)行為監(jiān)測(cè)：惡意軟硬件針對(duì)軍用指揮信息系統(tǒng)開展的數(shù)據(jù)竊取、系統(tǒng)攻擊、指令篡改等惡意操作都與其后臺(tái)行為相關(guān)，實(shí)時(shí)監(jiān)測(cè)運(yùn)行于軍用指揮終端上的軟硬件，通過掌握其動(dòng)態(tài)行為、運(yùn)行數(shù)據(jù)，并與軍用軟硬件合法操作庫進(jìn)行比對(duì)，實(shí)現(xiàn)對(duì)目標(biāo)行為的判別。

3) 目標(biāo)數(shù)據(jù)捕獲：為保證運(yùn)行于軍用指揮終端的軟硬件數(shù)據(jù)流的合規(guī)性，需要對(duì)目標(biāo)數(shù)據(jù)進(jìn)行實(shí)時(shí)鏡像與捕獲，并同步分析其數(shù)據(jù)信息，當(dāng)其對(duì)軍用指揮信息系統(tǒng)發(fā)起攻擊或篡改軍用指揮信息系統(tǒng)數(shù)據(jù)時(shí)，及時(shí)進(jìn)行攔截，保證軍用指揮信息系統(tǒng)的運(yùn)行安全。

4) 輔助決策：輔助決策主要發(fā)生在目標(biāo)識(shí)別與認(rèn)證、目標(biāo)行為監(jiān)測(cè)、目標(biāo)數(shù)據(jù)捕獲后，若當(dāng)前軟硬件符合運(yùn)行策略，則自動(dòng)放行；若存在可疑操作，可通過自主判別執(zhí)行告警措施，為系統(tǒng)使用人員提供處理建議，或?qū)Ξ?dāng)前可疑軟硬件進(jìn)行強(qiáng)制解除。

4.2 風(fēng)險(xiǎn)判別要素

風(fēng)險(xiǎn)判別要素是指對(duì)接入軍用指揮終端、網(wǎng)絡(luò)及接入設(shè)備、軍用服務(wù)器的USB設(shè)備、網(wǎng)絡(luò)設(shè)備等設(shè)備的軟硬件進(jìn)行行為研判，給定風(fēng)險(xiǎn)等級(jí)劃分，以提示操作人員對(duì)該目標(biāo)進(jìn)行警惕，及時(shí)采取措施。風(fēng)險(xiǎn)判別要素設(shè)計(jì)流程如圖4所示。

圖4 風(fēng)險(xiǎn)判別要素設(shè)計(jì)流程框圖Fig.4 Design process of risk discrimination elements

1)目標(biāo)行為研判

軟硬件設(shè)備都會(huì)依據(jù)其固有功能完成相應(yīng)的操作或業(yè)務(wù)，有合法的行為數(shù)據(jù)庫，通過對(duì)實(shí)時(shí)目標(biāo)監(jiān)測(cè)要素中其運(yùn)行過程進(jìn)行行為分析，對(duì)其風(fēng)險(xiǎn)進(jìn)行研判。

2)風(fēng)險(xiǎn)策略制定

風(fēng)險(xiǎn)策略制定主要根據(jù)目標(biāo)軟硬件設(shè)備可能存在的攻擊或軍用指揮信息系統(tǒng)遭受攻擊后可能造成的功能異常進(jìn)行分類，按照輕微、中等、嚴(yán)重等級(jí)別進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。

3)風(fēng)險(xiǎn)自適應(yīng)調(diào)整

風(fēng)險(xiǎn)自適應(yīng)調(diào)整是指對(duì)目標(biāo)設(shè)備進(jìn)行初始風(fēng)險(xiǎn)等級(jí)認(rèn)證后，根據(jù)實(shí)時(shí)目標(biāo)監(jiān)測(cè)的目標(biāo)設(shè)備行為、數(shù)據(jù)等進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)等級(jí)劃分。通過風(fēng)險(xiǎn)自適應(yīng)調(diào)整機(jī)制實(shí)現(xiàn)對(duì)目標(biāo)軟硬件設(shè)備的實(shí)時(shí)標(biāo)簽賦碼，實(shí)行動(dòng)態(tài)化管理。

4)可視化

可視化是指針對(duì)目標(biāo)軟硬件設(shè)備的風(fēng)險(xiǎn)級(jí)別進(jìn)行可視化展示，能夠輔助作業(yè)人員可以直觀的了解目標(biāo)軟硬件設(shè)備當(dāng)前狀態(tài)。

4.3 安全審計(jì)要素

安全審計(jì)要素是指對(duì)目標(biāo)設(shè)備軟硬件運(yùn)行的數(shù)據(jù)、操作等過程行為進(jìn)行存儲(chǔ)。旨在為安全審計(jì)人員提供安全審計(jì)日志及原始數(shù)據(jù)，當(dāng)發(fā)生不可避免的攻擊入侵事件時(shí)可以對(duì)目標(biāo)設(shè)備狀態(tài)進(jìn)行全分析。安全審計(jì)要素設(shè)計(jì)流程如圖5所示。

圖5 安全審計(jì)要素設(shè)計(jì)流程框圖Fig.5 Design process of security audit elements

1)目標(biāo)訪問控制

目標(biāo)訪問控制是指針對(duì)目標(biāo)軟硬件設(shè)備的功能進(jìn)行訪問控制權(quán)限設(shè)置，通過制定符合其功能的策略集，使其只能在功能允許范圍內(nèi)訪問軍用指揮信息系統(tǒng)或軍用指揮終端固有的特定資源，在保證其正常功能的同時(shí)，最大限度減少因其發(fā)生惡意操作而引起的攻擊破壞。

2)目標(biāo)過程數(shù)據(jù)鏡像

目標(biāo)過程數(shù)據(jù)鏡像是指將目標(biāo)軟硬件設(shè)備從激活到失效整個(gè)全生命周期的所有行為數(shù)據(jù)進(jìn)行鏡像存儲(chǔ)，為目標(biāo)行為鑒別、系統(tǒng)審計(jì)提供源數(shù)據(jù)。

3)系統(tǒng)運(yùn)行日志

系統(tǒng)運(yùn)行日志是為了給審計(jì)人員提供數(shù)據(jù)回溯、查看，能夠輔助審計(jì)人員分析目標(biāo)軟硬件設(shè)備的源數(shù)據(jù)，定時(shí)查驗(yàn)審計(jì)數(shù)據(jù)可以避免安全防護(hù)工具漏檢可疑操作行為，提高檢測(cè)幾率。

4)可視化

可視化是指針對(duì)目標(biāo)軟硬件設(shè)備的安全審計(jì)數(shù)據(jù)進(jìn)行可視化展示，能夠輔助作業(yè)人員可以直觀的了解目標(biāo)軟硬件設(shè)備全生命周期的運(yùn)行數(shù)據(jù)。

4.4 物理隔離安全防護(hù)技術(shù)應(yīng)用

物理隔離安全防護(hù)技術(shù)為實(shí)現(xiàn)軍用指揮信息系統(tǒng)免受USB攻擊、電力線攻擊、聲信道攻擊、光信道攻擊提供了全方面的防護(hù)架構(gòu)基礎(chǔ)，以USB攻擊中典型的HID攻擊為例，當(dāng)惡意HID設(shè)備偽裝成HID鍵盤接入軍用指揮信息系統(tǒng)所部署的裝(設(shè))備，待通過認(rèn)證后，進(jìn)行二次身份激活，由遠(yuǎn)程控制HID鍵盤進(jìn)行按鍵操作等啟動(dòng)軍用指揮信息系統(tǒng)并向目標(biāo)發(fā)送錯(cuò)誤指令或?qū)⒉《疚募ㄟ^軍用指揮信息系統(tǒng)分發(fā)至指揮網(wǎng)內(nèi)各節(jié)點(diǎn)，以癱瘓指揮網(wǎng)絡(luò)，物理隔離安全防護(hù)技術(shù)主要開啟以下防護(hù)策略以保證軍用指揮信息系統(tǒng)安全。本研究接入HID設(shè)備、HID鍵盤、HID鼠標(biāo)、HID搖桿等4類共計(jì)40種設(shè)備(合法數(shù)據(jù)庫預(yù)置的合法設(shè)備共計(jì)30種(包括通過HID漏洞測(cè)試平臺(tái)[18]構(gòu)造的偽裝為合法設(shè)備的違規(guī)設(shè)備共計(jì)5種)，違規(guī)設(shè)備共計(jì)10種)開展相關(guān)技術(shù)應(yīng)用。

1) USB HID設(shè)備實(shí)時(shí)監(jiān)測(cè)。當(dāng)HID設(shè)備接入目標(biāo)裝(設(shè))備后，該防護(hù)體系從HID設(shè)備的插入、枚舉、使用、變更、拔出等方面進(jìn)行監(jiān)測(cè)。為了防止惡意HID設(shè)備在接入軍用指揮信息系統(tǒng)時(shí)偽裝為標(biāo)準(zhǔn)可信設(shè)備，而接入后利用HID設(shè)備固有脆弱性進(jìn)行二次惡意身份枚舉，防護(hù)體系對(duì)接入設(shè)備的身份進(jìn)行實(shí)時(shí)監(jiān)測(cè)。同時(shí)，對(duì)HID設(shè)備運(yùn)行過程的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，以判別是否為使用者利用HID鍵盤鍵入目標(biāo)數(shù)據(jù)從而控制操作軍用指揮信息系統(tǒng)，或者HID設(shè)備是否利用HID數(shù)據(jù)口進(jìn)行非鍵盤/鼠標(biāo)等大數(shù)據(jù)傳輸。當(dāng)監(jiān)測(cè)到HID設(shè)備作為鍵盤進(jìn)行異常按鍵操作等啟動(dòng)軍用指揮信息系統(tǒng)并向目標(biāo)發(fā)送錯(cuò)誤指令使，對(duì)該HID設(shè)備鍵值進(jìn)行過濾，并禁用該HID設(shè)備對(duì)應(yīng)設(shè)備序列號(hào)所在設(shè)備的鍵盤功能。當(dāng)監(jiān)測(cè)到接入的HID設(shè)備為鍵盤或鼠標(biāo)，但卻發(fā)生HID大容量數(shù)據(jù)處理時(shí)，則進(jìn)行數(shù)據(jù)解析，分析數(shù)據(jù)包結(jié)構(gòu)是否為標(biāo)準(zhǔn)已知數(shù)據(jù)，若是，則僅記錄數(shù)據(jù)，否則禁用該設(shè)備并提示使用者。通過USB HID設(shè)備實(shí)時(shí)監(jiān)測(cè)策略，能夠獲取設(shè)備接入后的詳細(xì)參數(shù)，可以與預(yù)置的合法數(shù)據(jù)庫進(jìn)行比對(duì)并將違規(guī)設(shè)備(10種)進(jìn)行強(qiáng)制軟彈出，識(shí)別率為100%；偽裝為合法設(shè)備的違規(guī)設(shè)備共發(fā)起按鍵注入攻擊200次，成功攔截次數(shù)為193次，攔截成功率為96.5%。

2) USB HID設(shè)備風(fēng)險(xiǎn)判別。防護(hù)體系會(huì)根據(jù)合法行為數(shù)據(jù)庫進(jìn)行HID設(shè)備接入初期的設(shè)備匹配，再根據(jù)風(fēng)險(xiǎn)策略匹配庫對(duì)HID設(shè)備進(jìn)行初始風(fēng)險(xiǎn)賦值。當(dāng)惡意HID設(shè)備認(rèn)證后存在二次枚舉行為，則對(duì)其進(jìn)行風(fēng)險(xiǎn)等級(jí)上調(diào)，并在對(duì)HID設(shè)備運(yùn)行過程實(shí)時(shí)監(jiān)測(cè)過程中，根據(jù)其行為與風(fēng)險(xiǎn)策略匹配庫進(jìn)行策略匹配，進(jìn)行多次實(shí)時(shí)動(dòng)態(tài)的風(fēng)險(xiǎn)賦值。在通過與合法數(shù)據(jù)庫比對(duì)后，USB HID設(shè)備風(fēng)險(xiǎn)識(shí)別策略將10種違規(guī)設(shè)備識(shí)別為高風(fēng)險(xiǎn)，將其余20種與合法數(shù)據(jù)庫匹配的設(shè)備識(shí)別為低風(fēng)險(xiǎn)；當(dāng)偽裝為合法設(shè)備的5種違規(guī)設(shè)備產(chǎn)生按鍵注入攻擊并被USB HID設(shè)備實(shí)時(shí)監(jiān)測(cè)策略攔截時(shí)，將其風(fēng)險(xiǎn)等級(jí)識(shí)別為高風(fēng)險(xiǎn)，實(shí)現(xiàn)了對(duì)設(shè)備風(fēng)險(xiǎn)等級(jí)的動(dòng)態(tài)賦值。

3) USB HID行為及數(shù)據(jù)審計(jì)。當(dāng)HID設(shè)備接入裝(設(shè))備時(shí)，通過合法行為數(shù)據(jù)庫與軍用標(biāo)準(zhǔn)產(chǎn)品庫比對(duì)，對(duì)HID設(shè)備進(jìn)行訪問控制策略制定，以確定HID設(shè)備是否可以運(yùn)行。基于對(duì)HID設(shè)備的行為監(jiān)測(cè)，將HID設(shè)備從接入到拔出的全過程行為數(shù)據(jù)及傳輸數(shù)據(jù)進(jìn)行鏡像映射，并存入數(shù)據(jù)庫中，按照時(shí)間點(diǎn)、行為模式等進(jìn)行標(biāo)記，以便于后續(xù)安全人員對(duì)該設(shè)備進(jìn)行行為和數(shù)據(jù)審計(jì)。

5 結(jié)論

1) 軍用指揮信息系統(tǒng)在作戰(zhàn)使用中的信息安全涉及指揮控制裝(設(shè))備安全、指揮通信網(wǎng)絡(luò)安全、指揮數(shù)據(jù)信息安全。其中，裝(設(shè))備作為硬件承載平臺(tái)、通信網(wǎng)絡(luò)作為指揮節(jié)點(diǎn)的連接橋梁、數(shù)據(jù)信息作為系統(tǒng)運(yùn)行的基礎(chǔ)保障，遭到攻擊時(shí)會(huì)導(dǎo)致指揮網(wǎng)絡(luò)干擾、指揮信息欺騙，甚至終端節(jié)點(diǎn)癱瘓。

2) 物理隔離攻擊主要以聲、光、電磁等物理介質(zhì)對(duì)目標(biāo)設(shè)備進(jìn)行遠(yuǎn)程操控、信息竊取、指令偽裝，能夠利用裝(設(shè))備既有硬件、系統(tǒng)可信機(jī)制等突破現(xiàn)有軍用指揮信息系統(tǒng)安全防護(hù)體系。

3) 提出的安全防護(hù)技術(shù)能夠?qū)崿F(xiàn)實(shí)時(shí)目標(biāo)監(jiān)測(cè)、風(fēng)險(xiǎn)判別以及安全審計(jì)，為軍用指揮信息系統(tǒng)信息安全防護(hù)系統(tǒng)的構(gòu)建提供借鑒經(jīng)驗(yàn)。