天地一體化信息網絡主動防御安全體系研究
所屬分類:電子論文 閱讀次 時間:2020-03-05 07:39 本文摘要:摘要:針對當前天地一體化信息網絡面臨的安全問題及主要挑戰�����,提出了天地一體化信息網絡主動防御安全體系架構,基于可信、行為安全��、情報威脅及智能化態勢感知技術�����,實現了物理安全、接入安全、網絡安全��、應用安全等層次的主動防御���,并提出了相應的應用方式構
摘要:針對當前天地一體化信息網絡面臨的安全問題及主要挑戰���,提出了天地一體化信息網絡主動防御安全體系架構�����,基于可信�����、行為安全��、情報威脅及智能化態勢感知技術���,實現了物理安全��、接入安全、網絡安全��、應用安全等層次的主動防御���,并提出了相應的應用方式構想�����,為將來天地一體化信息網絡安全的建設提供參考及借鑒���。
關鍵詞:天地一體化信息網絡安全防護;安全威脅;主動防御
網絡安全方向評職知識:網絡安全工程師職稱評審論文投稿什么期刊
《信息網絡安全》(月刊)創刊于2001年���,由公安部第三研究所���、中國計算機學會計算機安全專業委員會主辦�����。是由公安部主管,公安部第三研究所���、中國計算機學會共同主辦的信息網絡安全領域中的一本綜合性刊物。它全方位報道信息網絡安全領域的最新動態��,宣傳我國有關信息網絡安全的法律�����、法規和相關政策,融權威性�����、學術性�����、實用性�����、可讀性于一體�����。
0引言
天地一體化信息網絡目的在于提供全球時空連續通信、高可靠安全通信��、區域大容量通信�����、高機動全程信息傳輸等能力��,使空中、地面���、海洋通信節點互聯互通,實現全球范圍內的信息覆蓋與共享[1 ̄2]�����。傳統的衛星通信系統網絡實現互聯升級到天地一體化信息網絡后���,安全方面面臨的主要問題有:(1)在系統接入安全方面���,在天��、地基混合組網等多系統互聯復雜異構環境下,面臨多域互聯場景的統一認證與跨域訪問控制的問題。(2)在路由安全方面���,由于天地一體化信息網絡拓撲高動態變化、節點處理能力受限、路由鏈路切換頻繁等特點���,天地一體化信息網絡既需要降低鏈路開銷、保證路由可靠性,又需要考慮路由協議自身的安全性以及互聯信息交換的安全性��。
(3)在安全切換方面�����,天地一體化信息網絡除了研究星間切換方案多從切換開銷��、切換時延等角度考慮對切換性能的優化外,還需要研究利用簽名、加密等技術對切換的安全性進行保障�����。(4)在安全傳輸方面���,基于TCP和IPSec協議改進實現的傳輸協議存在不少安全隱患���,需進行安全性增強或升級為更加安全的傳輸協議�����。針對以上存在的問題,天地一體化信息網絡安全體系需要在確保時效性的前提下�����,保障信道以及網絡的路由��、切換�����、傳輸、接入等方面的安全�����,實現對天基骨干網��、天基接入網���、地基節點網的物理���、接入��、網絡���、應用等層面的安全防護��。
1相關研究
由于空間網絡環境的復雜性,傳統的基于TCP/IP或OSI層次模型的安全體系結構難以適用在天地一體化空間網絡中。近年來隨著學術與工業界在天地一體化信息網絡安全防護方面的研究不斷深入���,各種天地一體化信息網絡安全防護架構被提出。季新生等人[3]在分析天地一體化信息網絡面臨的安全威脅和現有防護技術思路的基礎上,深入研究了擬態防御技術在天地網絡架構���、關鍵信息系統中的應用構想���,提出基于內生安全的天地一體化網絡安全防護體系架構設計��,并以擬態地面節點網絡路由器和擬態地面信息港云平臺為典型系統進行應用示例�����,相關設計思路可為天地一體化網絡主動防御安全防護體系建設提供借鑒。文獻[4]通過對目前天地一體化信息網絡中相關安全技術的國內外研究現狀進行分析��,從物理安全��、運行安全��、數據安全3個層面提出了天地一體化信息網絡安全架構的設想,為今后的天地網絡融合提供了參考借鑒���。
文獻[5]針對空間網絡中的衛星網絡和移動自組織網面臨的安全威脅和技術挑戰進行深入研究。在對經典安全體系模型進行了對比�����,選擇OSI層次模型對天地一體化空間網絡的安全機制��、安全威脅和安全弱點進行層次化�����、系統化的分析,提出并實現了一種強抗毀性的天地一體化網絡組網結構��。文獻[6]基于構建安全可靠的天基信息網絡環境���,從機密性�����、認證性、可用性、完整性和不可否認性等方面進行體系性分析,同時研究國內外天基信息網絡安全發展現狀,對我國天基信息網絡安全體系架構進行研究和探討���。
文獻[7]針對空間網絡的基本特征,提出了空間網絡一體化安全與可生存性防護的體系結構,并對空間安全結構�����、安全路由��、安全接入���、安全切換��、密鑰管理和一體化安全防護與可生存性仿真試驗平臺所涉及到的關鍵技術進行分析探討。文獻[8]分析了當前空天地一體化網絡面臨的現實問題��,通過構建空天地一體化網絡主動網絡安全防御體系���,提出了一種適合軍民融合的主動網絡安全體系模型�����,其安全設計思想可為空天地一體化網絡提供指導���。文獻[9]針對天地一體化信息網絡面臨的安全威脅�����,分別從通信���、網絡、應用3個研究層面對天地一體化網絡安全體系結構和安全策略進行了深入探討,并對網絡與通信傳輸安全�����、區域邊界安全��、應用環境安全�����、統一密碼管理中心和統一安全管理中心等進行了研究分析。
文獻[10]提出了一種基于SDN技術的星載交換系統組網體系架構,該架構利用SDN技術中控制器與包轉發相分離的特點���,在地面集中部署控制層,解決了衛星節點載荷受限問題,可靈活管理天基系統網絡��。文獻[11]基于SDN星載交換系統組網架構提出了一種軟件定義天地一體化網絡接入認證架構��,基于SDN中控制面與設備面分離的思想�����,將SDN技術與天地一體化信息網絡相結合實現用戶統一接入認證。
現有天地一體化信息網絡安全體系架構存在的不足主要有:(1)現有天地一體化信息網絡安全體系架構在進行安全防御時主要采用被動入侵防御策略,過度依賴于攻擊的先驗知識,無法有效抵御基于系統軟硬件未知漏洞和后門的未知威脅���,未來的防護體系應實現從被動反應式防御到積極主動防御的轉變。(2)現有天地一體化信息網絡安全體系架構未能考慮利用周圍環境和數據來感知網絡或系統的安全性,在攻擊完成入侵前將其消除��。(3)現有天地一體化信息網絡安全體系架構的防護技術部署模式嚴重依賴于邊界且靜態化���,各類安全功能缺乏彼此之間接口���,未形成統一的聯動機制�����,安全能力之間無法有效協同,不能有效應對復雜和高強度的網絡攻擊���。
2主動防御安全體系架構
為了應對天地一體化信息網絡在物理安全、接入安全��、網絡安全�����、應用安全等層面面臨的問題���,在保持原有安全體系架構的基礎上���,提出了一種天地一體化信息網絡主動防御安全體系�����,作為原有被動防御系統的補充,覆蓋系統�����、網絡和數據等安全層面��。天地一體化信息網絡主動防御安全體系架構的核心思想主要包括四個方面:(1)增強設備及網絡的內生安全性��,包括采用安全可靠的核心元器件、軟件安全可靠��、可信計算;(2)增強行為的安全性��,包括:操作流程行為��、系統訪問行為�����、網絡流量行為等�����,通過類行為白名單技術�����,標識正常行為,判別異常行為;(3)增強安全情報的實時性���,采用威脅情報監測系統威脅,防止數據泄漏及黑客攻擊行為;(4)利用威脅追蹤溯源技術��,定位威脅源��,及時進行威脅排除�����。
從層次來看,天地一體化信息網絡主動防御安全體系架構分為橫向安全層次和縱向安全層次���。在橫向層次方面包含物理安全、接入安全���、網絡安全、應用安全等層次��,在縱向層次貫穿信息流程安全���、數據安全���,各個安全設備接入安全防護中心��,實現智能態勢感知與聯動管控。該安全體系架構可以應用并指導天地一體化信息網絡的各個網絡、節點的安全架構設計��,保持整體聯通性�����。
系統主要核心技術有:
(1)基于綜合情報的威脅感知及追蹤溯源技術地面站定時接收互聯網系統中的威脅情報�����,并將其與內部的漏洞管理系統進行聯動,及時更新威脅情報,積極進行威脅防御�����,并及時監測出口的流量行為�����,防止系統數據竊取��。追蹤溯源技術融合多源信息的安全威脅并發追蹤溯源技術,通過獲取攻擊源的指紋信息、設備信息���、各層數據流信息,對捕獲的數據進行清洗、挖掘與存儲���,識別相關業務。通過感知到的威脅與系統異常的大數據關聯分析系統異常狀態,以及控制依賴��、數據依賴圖等多源數據關聯方法��,對異常流量和攻擊行為進行全面檢測定位及追蹤��。
(2)啟動運行操作及訪問行為安全技術針對基礎設備的啟動及運行環境安全防御要求,通過可信芯片、可信軟件基和可信服務平臺實施對設備環境和應用狀態的啟動時主動度量和運行時主動度量���,實現業務系統的可信保護�����。在運行階段��,基于強制訪問控制的軟件行為約束技術��,在合法訪問操作的基礎上定義軟件行為的合法訪問許可集,基于安全操作系統強制訪問控制機制,實施軟件行為約束��。從啟動及運行環境��、訪問行為方面達到基礎設備主動防御��。
(3)實時控制行為安全技術針對星載計算機核心實時控制設備的控制行為安全問題,建立運行系統實時控制行為與安全防護措施的多因子耦合模型,分析關鍵影響因素���,采用快速優化算法實現實時性約束下的關鍵參數最優選擇。采用統計方法建立系統控制行為的安全序列模型,基于歷史控制行為與當前工作狀態實現下一步控制行為的預測�����,并與當前實際實時控制行為進行相似度對比���,實現異�����?刂菩袨闄z測�����,從而保證實時性、穩定性的前提下,實現對惡意攻擊的有效防護�����。
(4)智能隨需安全技術對于動態組網的改變��,需要動態修改拓撲結構,因此�����,設計智能隨需的安全網絡架構��,實現低成本�����、輕量級、智能化的安全控制器��,達到云環境下安全資源的快速��、靈活管理���,彈性擴展與按需部署��,實現安全能力的虛擬化提供。
3主動防御應用構想
3.1系統應用架構
天基骨干網主要由地球同步軌道衛星組成���,天基接入網由低軌衛星和浮空平臺等組成,地基節點網由多個地面互聯的地基骨干節點或信息港組成��。其中��,地面信息港是天地網絡信息交互樞紐���,地面站信息設備主要包括路由器�����、交換機���、控制器���、管理中心��、網關等�����,實現多源信息的統一存儲��、管理、融合�����、處理和共享���,為各類用戶提供對天地一體化網絡信息資源的統一訪問和綜合應用���。
地面信息港一般采用云平臺和虛擬化技術實現��,其安全防護采用云平臺的防護方式��,防護劃分為:網絡邊界安全防護、物理主機與網絡安全防護���、虛擬主機與虛擬網絡層安全防護、數據層安全防護��、應用層安全防護�����。天基接入網主要由接入衛星組成,天基骨干網主要由衛星控制器和骨干衛星組成。衛星內部主要由星載計算機���、路由模塊、采集單元、數傳單元等構成���。
3.2核心設備描述及說明
(1)地面信息港安全防護在物理安全層次方面,需實現網絡邊界安全(系統接入邊界和系統跨域邊界安全)、物理主機及物理網絡安全���。前者主要部署跨域單向/雙向傳送設備、邊界防護設備等,后者主要部署入侵檢測設備、入侵防御系統���、防病毒系統、漏洞掃描系統、主機監控與審計系統等。在云平臺層方面,主要實現虛擬化主機及虛擬網絡安全�����,分別部署虛擬防火墻���、防病毒系統���、云安全統管與態勢感知平臺���、漏洞掃描系統���、主機監控與審計等�����。針對數據安全���,分別部署數據庫安全防護系統、數據防泄漏系統等�����。應用安全通過應用防護和訪問控制系統�����,實現各種應用及服務的防護�����。所有安全設備接入云安全統管與態勢感知平臺。
(2)天基接入網安全防護星載計算機一般使用實時操作系統���,為了不影響實時性�����,在星載計算機實現實時控制行為安全技術、啟動運行操作及訪問行為安全技術。路由模塊擴展旁路端口���,實現網絡流量的分析、態勢感知。星載通信設備內部應預留安全管理端口,接受統一配置及管理�����。
(3)天基骨干網安全防護衛星控制器和骨干衛星的承載能力及星間轉發能力相對較強�����,可實現地面站接入���、地面終端接入、低軌及中軌衛星接入以及星間鏈路通信���、轉發。因此��,安全防護手段與天基接入網安全基本相同�����,還需要實現計算認證等功能�����。
4結論
未來天地一體化信息網絡安全需要根據網絡架構動態實現智能隨需安全防護和業務相關智能態勢感知。從系統集成安全維度���,考慮設備自身的安全防護措施,實現系統的機密性�����、認證性��、可用性�����、完整性和不可否認性。發展軍��、民�����、商領域應用�����,不同領域信息網絡的安全等級相區別�����,需要從行業等級安全維度實現不同安全等級的網絡融合及協同��。
轉載請注明來自發表學術論文網:http://www.zpfmc.com/dzlw/21980.html
