基于全舰计算环境架构的工控安全防护浅析

背景

2013年4月25日，路透社援引美国海军一名不愿公开姓名官员的话报道，一个海军电脑专家小组模拟“黑客”攻击，发现“自由”号网络系统有“一些缺陷”。国防部发言人珍妮弗•埃尔齐说，国防部武器测试机构处理了“自由”号的“信息安全弱点”，向海军提交评估报告，细节内容保密。

2014年10月22日，据美国海军学会网报道，美海军海上系统司令部副指挥官威廉上将表示美海军潜艇的控制系统存在网络安全漏洞。

网络安全正严重威胁潜艇的控制系统能力，遗憾的是到目前为止美海军才开始注意到这些问题。例如“弗吉尼亚”级潜艇的备份柴油引擎就存在上述控制系统的问题。

针对以上安全问题，伴随“网络中心战”理念的不断完善，舰船作战系统逐步向一体化、集成化、系统化发展，最终形成全舰计算环境（TSCE，Total Ship Computing Environment），使各个系统进一步融合为一个一体化的网络，将原本独立的各个系统进行集约化管理。

概述

全舰计算环境（TSCE）是新一代舰载系统的集成技术，其以网络为中心，基于开放式体系架构及现有民用技术，将现代舰艇战时、平时各类运算操作、基础数据集成到一个统一的公共计算环境中，实现集中式管理，是“网络中心战”在单个舰艇平台上的具体体现，也是舰艇平台信息化技术迈向“网络中心战”的一个重要里程碑。

从功能来看，全舰计算环境将舰载系统应用程序与计算机及操作系统进行隔离，通过将各类应用软件和网络服务部件化，实现舰艇上各系统之间的集成，极大地推动舰载系统的模块化、部件化，最终达到舰艇武器跨系统、跨平台甚至跨领域的协同作战能力。该环境不仅包括舰载 C4ISR（指挥、控制、通信、计算机、情报、监视和侦察）、武器系统和舰船状态监控系统，还扩展到了岸上以支持舰船的维护、补给、训练等功能。下图为TSCE示意图：

技术架构

TSCE由上层的应用程序和下层的“全舰计算环境基础设施”（Total Ship Computing Environment infrastructure，TSCEi）两部分组成。TSCEi通过将全舰的网络设备、计算设备、存储设备、显示设备、内部通信设备和内部监控设备等硬件设备以及一组核心、通用的基础服务按照成熟的工业标准进行高效合理的组织，为上层的各种作战应用提供一个通用、开放的计算、处理、通信和服务环境，支持舰艇使命所需要的计算任务的执行，并且为其他应用程序和功能领域提供服务。

TSCEi由硬件层、操作系统层、中间件层、基础结构服务层构成。硬件层尽可能采用商用成品设备、通信协议也采用工业标准，操作系统层采用符合POSIX标准的操作系统，中间件层按照OMG标准封装了各种基础服务，舰艇上的应用系统构建在TSCE的接口层之上，通过标准服务接口调用的方式，组织和使用TSCEi的硬件和服务资源，完成各自的任务。

安全隐患及需求

TSCE将原本孤立的各个系统进行逻辑聚合，在实现分布式计算资源共享，减少装备数量的同时，也带来了网络安全隐患，主要表现在以下几个方面：

1)网络层面

在网络数据传输中，各个子系统之间处于“混沌”状态，未采取安全隔离措施，存在单点问题蔓延至全网络的风险，最典型的就是病毒传播，越权访问等。同时，对于网络中的入侵行为、关键操作及安全事件，缺乏有效的监控手段，在发生安全事件及异常操作行为时，无法跟踪溯源。

2)主机层面

主机方面主要存在两方面的安全风险，一是TSCE采用现有的商用系统，存在大量的安全漏洞，尤其是可被远程利用的漏洞，且系统本身未经过安全加固，容易被黑客入侵和利用，从而导致敏感数据泄露甚至是作战系统失效；二是内部操作人员可能存在误操作的风险，对于关键的控制操作指令，一旦出现误操作，可能造成不可估量的损失。

3)应用层面

上层的应用程序的安全直接决定作战能力，应用系统本身的安全尤为重要。在重点主体访问应用系统的身份标识、授权访问等方面存在不可信，不可控的安全问题。

4)数据层面

作战系统存在大量的敏感数据，一旦遭受窃取或破坏，后果不堪设想。在数据安全方面，主要存在两方面的安全风险：一是在控制信号传输中的完整性无法得到保护。二是在服务器集中存储的敏感数据机密性保护方面，采取的安全措施不足。

安全防护建议

面对目前TSCE存在的安全隐患及其安全需求，建议针对TSCE的各个层级进行安全防护，并加强全流程的安全管理，最终达到提升TSCE整体安全防护能力的目的。整体安全防护框架图如下：

物理层包括独立安全设备、嵌入式安全设备，并采用冗余硬件。独立安全设备单独成形，辅助完成安全防护工作，嵌入式安全设备可植入计算、存储、交换等设备中。

操作系统层包括安全操作系统和操作系统安全插件，总体又分为实时操作系统和非实时操作系统。安全操作系统为单独定制编译发行版本，已做好各项安全配置，从底层提升安全防护能力；安全插件内置各项满足国家标准的必要安全组件，可透明提升安全防护水平，为上层中间件及应用系统提供安全服务。

中间件层提供标准的安全管理服务和业务支撑服务。安全管理中间件提供身份认证、授权、加密、完整性校验、签名等安全服务；业务支撑服务提供最基本的操作系统、数据库与应用之间的标准接口服务。

应用层使用安全服务对作战信息存储、传输和控制进行安全管控，提高作战系统的稳定性和可靠性。

安全管理作用于安全服务架构的各个层次，主要包括硬件安全管理、安全服务中间件和安全服务代理的部署和配置管理、安全策略的规划和分发、安全引擎以及服务软件资源监控以及管理。

按照信息安全体系架构，网络层面、主机层面、应用层面和数据层面各方面的安全需求如下图左边红色部分所示，转化为TSCE物理层、操作系统层、中间件层及应用层的各层面安全需求如下图绿色部分所示。

具体安全防护措施

TSCE的安全防护措施应主要涵盖安全通信网络、安全区域边界、终端业务系统及服务器业务系统。通过采取网络准入、访问控制、安全审计、终端防护、服务器加固等措施，保护TSCE安全防护水平，总体防护结构模型如下：

1)可信接入

采取可信接入控制措施，通过对接入网络的设备或系统进行身份鉴别、安全检查、行为控制、安全审计等，保证只有可信的设备或系统可接入并访问TSCE内部资源，从源头上提高TSCE的安全性。

2)访问控制

根据TSCE内部不同功能实现进行区域划分，对各个安全域进行逻辑隔离防护，只允许必要的数据流在各个区域之间流转，杜绝恶意代码传播，越权访问等安全问题。

3)监测与审计

对TSCE上大量存在的通用工业控制通讯数据进行监测审计，对网络设备运行状况、网络异常流量、关键事件、用户行为等进行监测并记录日志，及时预警安全风险，为安全事件调查取证提供依据。

4)终端安全防护

基于主流安全技术，如特征匹配、“白名单”、集中管理等技术，保护终端主机免受恶意代码、非法攻击，杜绝敏感数据泄露等，提高主机安全防护能力。

5)服务器加固

以可信认证为基础、访问控制为核心，通过认证、授权、访问控制等方式，将普通操作系统透明提升为安全操作系统，增强服务器安全性，支撑关键应用正常运行。

6)数据完整性及保密性防护

在不影响正常武器操作的前提下，通过对敏感数据的传输过程进行安全加密，保证数据不被非法窃取或篡改，保证传输过程安全。同时，对于本地存储的关键数据，采取加密机限制访问等措施，杜绝关键数据有意或无意的窃取或损坏行为。

7)操作行为管控

通过切断TSCE操作终端对舰载网络应用系统、设备或资源的直接访问，建立基于唯一身份标识的认证机制，实现集中有序的操作行为管控，加强舰载系统及设备日常操作维护的安全管理，降低人为安全风险。

结论

随着全舰计算环境的逐步推进，安全防护模式已由传统的分散独立式安全服务转换为由硬件层、系统层、中间件层组成的面向服务架构的标准式安全服务架构，相应的安全防护也要随之变化。通过加强TSCE物理层、操作系统层、中间件层、应用层的安全防护，提高认证、授权、准入、访问控制、审计、操作维护管理等方面的安全防护水平，最终达到提升TSCE的整体安全防护水平，保障舰船的作战系统稳定高效运转的目的。

威努特工控安全

专注工控·捍卫安全