摘要:国防工程包括海防工程、空防工程、阵地工程等,随着国防工程智能化信息化水平的提高,其信息安全问题也逐渐突出。文章结合当前国防工程信息安全防护特性,研究了国防工程内部无线网络防护机制,并总结了国防工程保障无线网络的信息安全防护策略和联动报警机制。该策略能够符合国防工程的信息安全防护需求,希望能为国防工程的安全保障提供帮助。
关键词:国防工程;无线网络;信息安全
信息化战争是未来世界战争的发展趋势,国防工程作为国防建设的重要方面,面临着信息化战争带来的挑战和机遇,因此对国防工程建设提出了新的挑战和更高的要求[1]。当前,国防工程在朝着信息化智能化的方向迈进,为了应对当前国防工程更加完善的控制功能以及趋于复杂的业务、应用需求,工程内部的高速无线局域网络越来越成为解决工程问题的重要环节。此前传统工程中,工程保障态势和设备运行状态只能在控制室的监控主机上进行,对于轴线较长的国防工程环境造成诸多不便,严重影响维护管理和作战保障的效能。基于内嵌无线网络和多种传感器的智能终端,国防工程这一特殊工况不仅可实现对工程整体及设备的实时监控、管理,还可实现移动终端巡检[2]、人员定位管控等功能。虽然无线网络的部署极大改善了国防工程的运行效率,但由于国防工程具有结构复杂和军事意义重大等特殊性,其信息安全需求也较为严苛。因此,本文从当前国防工程现有安全机制出发,总结了管理层面和技术层面对信息安全的防护策略。
1国防工程无线网络信息安全防护需求
为实现国防工程内部设备实时管控,基于无线网络对工程内部部署移动终端及其他无线设备。无线网络不但提供了高速数据传输、语音通道、作战保障、管理保障,基于智能终端还可开发移动保障指挥终端等功能。国防工程具有较完备的安防措施,但在信息安全领域的防范仍需加强。信息安全是多重因素共同作用的结果。国防工程无线网络信息安全防护需求主要有:
1.1无线网络设施设备管控
国防工程中每个网络设施设备都有可能成为恶意攻击者的入侵对象,首先要保证无线网络节点设备不能遭受物理攻击。在传统信息安全问题中,攻击者往往通过篡改设备参数、往设备中植入非法物理硬件等手段打开缺口,并进一步开展网络攻击行为。因此,需从攻击起点进行针对防护。
1.2工程内部人员管控
人员是国防工程维护和作战保障活动中最活跃、最核心的要素实体。在国防工程运维和保障中,动态掌握各类人员在工程内部空间的位置分布是高效协同保障的前提,也是工程安全和信息安全的前提。
1.3网络节点管控
对无线网络进行监控,首先要对无线网络节点进行管控。主要体现在:(1)通过接入权限控制,实现对接入国防工程无线网络的设备管理;(2)对网络节点中流量吞吐量进行监控,对异常情况进行管控报警。
1.4攻击行为检测
管理者通过技术手段,对已实施入侵的攻击行为进行检测,目标系统需能够检测出常见攻击事件,并判别攻击类型,以实现对无线网络进行入侵防护,进而抵制入侵行为发生。
1.5防止外部窃听
针对被动型网络威胁进行防护,主要目标为防止窃听、嗅探、信号干扰行为的实施。
1.6网络联动报警
通过配设报警终端、报警软件等,对各类风险行为发送报警信号进行报警,触发报警规则时生成报警记录。
2国防工程防护机制分析
为有效保障安防管理和信息安全需求,国防工程内部配设了监控系统、网络节点管理系统、Wi-Fi定位系统、电磁屏蔽等防护手段。
2.1国防工程智能化监控系统
监控系统主要功能为对工程内部设备及环境进行实时监测[3]。本文将监控系统分为设施设备智能化控制系统与环境监控系统。设施设备智能化监控系统基于物联网技术实现[4],能够实现通风空调、给排水、发供电、内部环境和工程防护等各类设施设备的智能联网、实时监测和控制,基于此,各类设施设备异常情况可实时反馈,能够有效防护部分通过修改设备参数的工业控制系统攻击。环境监控会在国防工程通道、重要部位、死角、周界进行设置,对整个工程进行实时监控记录,可以对工程内部出现的人员行为、环境状况动态掌控。环境监控系统可以有效预防物理攻击和通过社会工程学进行的信息安全问题。整个监控系统不仅可保障硬件安全不被人为破坏,并且从管理角度第一时间反馈设备运行状况,也对无线网络信息安全起到防护作用。
2.2Wi-Fi定位系统
Wi-Fi定位系统可以管控可移动设备、人员的实时状态[5],与监控系统结合合理监督并管控人员情况及内部环境状况。此外,Wi-Fi定位系统,还可与地磁传感器、惯性传感器等进行融合定位。通过精确人员和移动设备的定位,也能有效预防通过社会工程学进行的网络攻击。
2.3网络节点管理系统
网络节点管理系统可以及时侦别陌生/可疑设备接入网络,另外可以及时检测到极大/极小的流量吞吐[6]。一方面,可疑网络信源一旦尝试接入网络,网络节点管理系统便可触发安全机制;另一方面,节点吞吐量异常时,应判断是否为DOS攻击,进而触发报警机制。因此,网络节点管理系统可以防止网络设备接入,还可以有效预防通过消耗网络带宽或系统资源进行的攻击类别。
2.4电磁屏蔽及在线监测系统
国防工程通过电磁屏蔽手段防止工程外部的电磁波干扰。此外,电磁屏蔽手段可以有效杜绝外部设备的窃听以及流量泄露。电磁屏蔽效能在线监测系统可实时检测屏蔽效能,防止屏蔽装置因施工不当或管理不到位而失去屏蔽效能。通过电磁屏蔽及在线监测,工程外部难以捕捉、截获工程内部无线网络流量信息,有效预防攻击者的监听及嗅探。
2.5入侵检测系统
入侵检测系统是针对无线网络安全防护的最主要技术手段之一,也是安全防护的最后一道防线。入侵检测系统针对已经发生攻击行为的情景进行安全防护,基于机器学习算法,通过识别流量中的异常行为模式可以发现攻击行为并对其攻击类别加以判定[7],从而增强国防工程的信息安全防护能力。基于上述防护手段,国防工程无线网络信息安全防护体系部署应如图1所示。监控系统、网络节点管理系统、Wi-Fi定位系统、电磁防护系统参与辅助决策,发现陌生网络、可疑接入、流量异常等威胁行为立即触发报警机制,可有效预防流量异常、外部接入等攻击手段。后续复杂攻击类型,如流量注入类攻击、仿冒欺诈类攻击以及未知攻击类型等威胁由入侵检测系统检测识别。
3无线网络攻击行为分析
为了实现网络的安全保障,首先要对存在的攻击风险进行研究[8]。根据无线网络攻击的执行方法,现有攻击行为分为以下几类:注入攻击类(Injectionat-tack)、泛洪攻击类(Floodingattack)、欺诈攻击类(Im-personationattack)、被动攻击类(Passiveattack)[9]。使用此种分类方式基于以下几点考虑:(1)涵盖当前主流无线网络攻击方式;(2)同类别的攻击在开展攻击时的途径手段相近,可分类别有针对性地进行防护;(3)执行方式相近的攻击在数据报文格式上较为类似,便于入侵检测机器学习模型建立。以下为各攻击类别在国防工程无线网络中的可实现性。
3.1泛洪攻击类
泛洪攻击类别包含较多子类型攻击,一般也称拒绝服务攻击(DenialofService,DoS)。基本原理是通过针对特定的客户端,或者尝试向网络中的所有客户端施加压力,使得其可用性降低或者失去可用性,从而导致拒绝服务[10]。泛洪攻击的实施主要依赖拒绝服务访问的质量和数量,通过消耗网络带宽或系统资源而导致的[11]。在工程内部具有以下特点:(1)泛洪攻击的影响不是非永久的,是暂时性的,一旦占用资源未达阈值或终端,则攻击终止;(2)在攻击过程中,攻击者必须始终存在于网络范围内,否则攻击无法开展;(3)需要向攻击目标持续发送大量请求或其他类型数据包,如果数据流量未达阈值或者中断,也无法成功实施攻击。结合泛洪攻击实施条件和特性,可见虽然泛洪攻击是当前无线网络普遍威胁,但在国防工程这一环境中开展难度较高,且因为国防工程设备管控集中极易被侦别。
3.2注入攻击类
注入攻击是无线网络中一种常见的攻击形式,比起泛洪攻击,该类攻击实施条件较容易但技术难度较高。注入攻击依靠将伪造数据包注入目标网络得以实施[12],这些伪造数据包既有可能用来破解网络密钥,也可能破坏原有数据结构信息,甚至包含恶意指令。在信息安全防护中,注入攻击通常只能使用入侵检测系统(IDS)进行针对性防护,但此类攻击依赖于在网络中注入含恶意的数据流量,因此实现的先决条件之一是与国防工程内部网络进行信息交互。在国防工程工况环境下,任何陌生网络都能触发报警机制,故此类攻击需结合其他更隐蔽的攻击手段共同实施。
3.3仿冒攻击类
仿冒攻击一般表现为窃取或假冒身份认证凭据来实现非法服务接入[9]。在实际网络中,实施方法通常表现为仿冒终端身份接入网络或仿冒网络诱导终端接入等。另外,仿冒攻击可作为其他攻击类别的基础手段,因此需要重点防护。
3.4被动攻击类
被动攻击是指攻击者监听、嗅探、截获特定无线流量信息,然后离线进行密钥破解或信息处理的过程[11]。该攻击方式多采用技术手段辅助非技术手段开展实施的过程。被动攻击行为隐蔽,难以被入侵检测系统(IntrusionDetectionSystem,IDS)侦测,且最初不会造成实质性破坏。防范其实施的最重要手段是提高加密强度,另外,在国防工程中还可以通过信号屏蔽、信号干扰手段加以解决。
4国防工程无线网络防护联动报警策略
秉承着技术手段和管理手段相结合才能实现全方位安全的目标,国防工程采取多点防护,多手段共同实施的策略。结合国防工程防护机制和无线网络攻击行为特点,本文提出联动报警策略。其中,各种管理手段以及安防设施提供技术辅助决策和社会工程学类的攻击预防,技术手段为信息系统、内部数据提供最后的防护屏障。
4.1基于视频监控与Wi-Fi定位的人员管控报警
基于视频监控与Wi-Fi定位系统可以实时掌握国防工程人员动态,当发现工程内部出现可疑人员或工作人员有可疑行为时,即触发报警机制。
4.2基于网络设备管理系统的设备及流量管控报警
网络设备管理系统对接入该区域的设备数量进行管控,防止大量设备接入该区域,引发无线网络的拥挤与阻塞,导致国防工程内部人员不能正常作业;如果区域内接入网络的设备超过规定数目,系统则发出预警,停止设备的接入。陌生设备尝试接入内部网络时,采取最高等级报警;网络设备管理系统还可通过传感器收集无线网络信号,监测该区域是否出现陌生网络信源,出现陌生信源则进行预警。
4.3入侵行为报警
根据入侵检测系统的判别,对采取伪装、仿冒设备的攻击行为进行检测报警。系统通过入侵检测系统对无线网络流量进行检测,如果用户行为被检测出相关的入侵特征,则触发预警规则,并进行报警。联动报警利用声光报警设备发出警报声音和警报光信号。联动报警需要根据报警信号做出相应的联动处理。网络管理员可以对具体的用户违规行为配置相关的联动处理预案,当用户作出违规行为时,即可进行相应的联动响应,及时提醒网络管理员,及时排除未发生的危险。每次触发报警都会生成相应的报警记录,报警记录能够方便网络管理员查看历史报警信息,再根据报警设备生成的报警信号设置报警信号的联动方案,设置阻止设备接入或者阻止网络入侵等联动动作。此外,系统还可以根据网络安全评估分数与等级进行预警。联动报警功能如图2所示。
5结束语
无线网络安全是当前社会面临的共同问题,本文以国防工程为背景,讨论了工程内无线网络的防护机制,分析了攻击行为在工程内部的影响及防护机制,提出了多点防护、多手段共同防护的联动报警机制。在国防工程无线网络中,将已有的安防策略纳入到无线网络安全防护机制中,进行联合防护能够使得安全防护更全面,防护效果更优。本文提出方案更具有针对性,可供相关研究者参考。
作者:刘霄 王平 单位:陆军工程大学 国防工程学院
