今日荐文的作者为军事科学院专家谢伟朋,薛卫;中国航天科工集团二院研究院706所专家李东方,王志昊;中国电子科学研究院专家张冰。本篇节选自论文《装备网络安全试验鉴定问题初探》,发表于《中国电子科学研究院学报》第16卷第11期。
摘 要:随着信息化发展进程的加快,网络安全已成为国家安全的重要组成部分。同样,在装备信息化建设进程中,也必须高度重视其网络安全问题,网络安全试验鉴定是确保武器装备完成使命任务的重要环节。文中首先对“装备网络安全试验鉴定”概念进行科学性阐述;其次,基于装备试验鉴定工作流程的基础上,提出了装备网络安全试验鉴定可划分为网络安全试验论证、网络安全验证试验、网络安全鉴定试验和网络安全作战试验;最后,论文对装备网络安全试验鉴定各个阶段开展的时机、试验内容、试验方法进行了分析研究,对我军开展装备网络安全试验鉴定提供理论支撑。
关键词:装备;网络安全;试验鉴定;信息化
论文全文摘编如下
仅供学术交流与参考
以信息技术为主的高新技术在军事领域的广泛应用,深刻改变着战争形态和武器装备建设发展。随着武器装备信息化建设步伐加剧,武器装备网络安全问题也日益凸显,网络安全作为信息化装备的一个基本特性,对联合作战体系和能力具有基础性、全局性的影响。与此同时,针对武器装备的网络攻击,已成为当前克敌制胜的一种新手段,确保装备的网络安全势在必行。网络安全试验鉴定是装备履行使命任务的重要保证,在装备全寿命管理中发挥着不可或缺的作用。
装备网络安全试验鉴定是发现武器装备网络漏洞以及检验装备网络安全性的重要手段,是确保武器装备有效履行使命任务的重要保证,也是装备试验鉴定的重要组成部分。因此,加强装备网络安全试验鉴定研究具有十分重要的历史和现实意义。本文基于装备试验鉴定工作的三个环路,创新性提出了装备网络安全试验鉴定的阶段划分,解决了装备网络安全试验鉴定各个阶段的时机、目的、内容、方法等重点、难点问题。通过对装备网络安全试验鉴定问题进行系统剖析,力求为开展装备网络安全试验鉴定提供理论支撑。
1 装备网络安全试验鉴定概念内涵
概念界定与释义对于理论研究有着尤其重要的作用,它是开展理论研究的基本前提。概念能否界定、释义清楚,直接影响着理论研究的质量与价值。“装备网络安全试验鉴定”是一个组合词,由“装备”+“网络安全”+“试验鉴定”组合而来。
1)装备作为名词是军事装备的简称,《中国人民解放军军语》(2011版,以下均指该版本)指出,①装备是用于作战和保障作战及其他军事行动的武器、武器系统、电子信息系统和技术设备、器材等的统称。主要指武装力量编制内的舰艇、飞机、导弹、坦克、火炮、车辆和工程机械等。分为战斗装备、电子信息装备和保障装备。②向部队或分队配发武器及其他制式军用设备、器材、装具等的活动[1]。
2)在GB/T 22239—2019国标中,网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力[2]。
3)《中国人民解放军装备条例》指出装备试验鉴定,主要是通过对装备战术技术性能、作战效能、作战适用性和体系贡献率等进行规范化考核并作出评价结论,为装备列装提供基本依据。装备试验鉴定通常按照性能试验、状态鉴定,作战试验、列装定型,在役考核的基本流程组织实施。
综上所述,装备网络安全试验鉴定是在网络对抗的背景下,为检验装备抵御有意或无意网络威胁、对网络威胁做出响应和恢复、保持其作战效能发挥的能力,通过科学的方法手段,对装备网络安全进行试验与评价的规范化活动。
2 装备网络安全试验鉴定阶段划分
随着装备及装备系统越来越复杂,现代装备建设工作成为一项十分复杂的系统工程,为了便于管理,通常将复杂的工作科学分解为多个阶段,针对不同阶段的工作特点进行有效管理,实现对整个工作的有效推进。
2.1装备试验鉴定工作阶段划分
随着国防体制的改革,装备试验鉴定同步进行转型发展,试验鉴定工作贯穿装备全寿命周期,覆盖立项论证、方案论证、工程研制、鉴定定型、生产部署与使用维护各阶段,突出系统工程思想,根据任务重点、实施主体的转换,设置总案批复、状态鉴定和列装定型三个关键节点,将装备试验鉴定工作划分为总体论证、性能试验、作战试验、在役考核四个阶段[3],如图1所示。
图1 装备试验鉴定工作阶段划分
从装备试验鉴定工作的阶段划分可见,总体论证后形成并报批装备试验总案,是对装备试验鉴定工作的总体筹划。而此后性能试验、作战试验和在役考核三项工作,是试验鉴定的关键节点,分别用于支撑装备的状态鉴定、列装定型和改进升级。因此性能试验与状态鉴定、作战试验与列装定型、在役考核与改进升级构成装备试验鉴定工作的三个环路,如图2所示。
图2 装备试验鉴定三个环路
2.2装备网络安全试验鉴定阶段划分
根据试验鉴定转型要求,装备网络安全试验鉴定突出系统工程思想,根据任务重点,将装备网络安全试验鉴定融入装备全寿命过程,划分为网络安全试验论证、网络安全验证试验、网络安全鉴定试验、网络安全作战试验四个阶段,各阶段划分如图3所示。
图3 装备网络安全试验鉴定阶段划分
网络空间不同于传统的作战域,是信息环境中的一个整体域,因而装备在网络空间域完成作战使命任务的过程中,其作战模式、可能面临的敌方威胁以及攻击手段、相应防护措施等均有所不同。因此,应有针对性的开展装备网络安全试验鉴定活动,结合性能验证试验、性能鉴定试验、作战试验各阶段的不同特点,对网络安全试验鉴定各阶段提出相应的要求。
2.2.1网络安全试验论证
针对装备网络安全试验需求不明确的问题,本阶段应综合考虑装备任务目标以及网络安全防护措施,充分论证网络安全试验需求、试验指标体系,形成网络安全试验鉴定方案,作为后续试验鉴定工作的基础。
2.2.2网络安全验证试验
为识别并消除装备中存在的物理、网络通信、应用系统、安全管理等方面的脆弱性问题,本阶段应基于相关网络安全标准要求,针对装备资产开展脆弱性测试工作,通过验证与相关标准的符合性,尽早发现装备中潜在的脆弱性。
2.2.3网络安全鉴定试验
为充分分析网络威胁对装备作战使命任务的影响,本阶段应开展针对网络威胁的杀伤链与反杀伤链分析,并开展网络渗透性测试,验证存在网络威胁情况下装备网络安全防护体系的有效性,为装备状态鉴定提供依据。
2.2.4网络安全作战试验
为全面评估装备在近似实战环境和对抗条件下的网络生存能力,本阶段应开展网络对抗性测试,分析装备在面临网络威胁时的防护能力、检测能力、响应能力以及恢复能力,评估装备在网络对抗环境下实际的作战效能。
3 网络安全试验论证
装备网络安全试验鉴定的目的是通过科学、合理的网络安全试验活动发现网络安全问题、评估装备在网络对抗环境下的作战效能,因此,试验活动以及相应试验评估准则直接影响了装备网络安全试验鉴定的质量与有效性。基于贴近实战的试验鉴定核心要求,应综合考虑作战任务、装备资产、网络威胁等多个方面,逐步明确试验需求、试验指标、试验方案、保障需求等内容,为开展装备网络安全试验鉴定提供依据。
3.1论证时机
网络安全试验论证作为后续网络安全试验鉴定工作的基础,试验论证单位应在装备试验总体论证过程中,会同研制单位、试验单位、用户单位以及网络安全领域专家,对网络安全试验进行专题研究论证。
3.2论证内容
试验论证内容是装备网络安全试验鉴定活动实施的重要依据,应根据试验目的,针对试验对象特点,按照网络安全试验鉴定要求和内在规律,确定试验需求,并细化为可操作的指标体系,进而指导试验相关活动,确保网络安全试验的有效实施。论证内容主要包括需求分析、试验指标、试验方案、保障需求。论证内容如图4所示。
图4 装备网络安全试验论证内容
3.2.1需求分析
明确试验需求是设计网络安全试验方案的前提,应从装备作战使命任务出发,梳理影响作战任务成败的有价值资产,同时分析装备可能面临的网络安全威胁,综合考虑潜在的网络安全威胁对装备资产以及作战使命任务的影响程度,进而确定网络安全试验需求。
(1)作战任务分解
根据装备典型作战任务,可逐项分解核心能力要求,分析并建立任务与服务、数据、支撑系统、基础设施等装备组成之间的关联关系。
以某移动导航系统为例,该装备具备启用移动平台导航以及通知命令与控制两项典型任务,将其分解为接收导航数据、处理导航/任务数据等基本能力要求,进而建立该装备作战使命任务与其组成间的关联关系[4],如图5所示。
图5 某移动导航系统任务分解示意图
(2)资产识别与赋值
在作战任务分解的基础上,装备组成中影响作战任务成败的有价值对象可视作装备资产,资产的识别与赋值有助于聚焦更为关键的网络安全试验活动,而能准确、有效识别资产的前提是对资产类别的准确划分。基于国内外信息安全风险评估等现有网络安全相关标准规范中关于资产的划分,可将装备资产根据其表现形式分为数据、服务、信息系统、平台或支撑系统、基础设施、人员管理等不同类型,各类型资产也可进一步详细分类,以便更加精确地完成资产识别。其中,数据类型资产的示例如表1所示。
表1 数据类型资产示例表
而在装备资产的类别属性之外,资产也因其对装备完成作战使命任务的影响程度不同具备不同的价值,对装备资产的赋值有助于合理设计网络安全试验方案,将有限的试验资源最大化地发挥效用。一般采用保密性、完整性和可用性来衡量资产价值,各个安全属性的赋值依据可参考表2。
表2 资产赋值依据
(3)威胁识别与赋值
与装备资产多样性类似的是,由于网络空间域的形态更加自由,装备所面临的网络威胁也有别于传统作战域中的威胁,同样结合现有的标准规范及技术指南中对于网络威胁的分析描述,归纳整理了典型的网络威胁类型,部分威胁如表3所示。而威胁的赋值则一般从威胁动机、威胁能力、威胁频率等方面综合进行计算。
表3 部分典型网络威胁类型
3.2.2 试验指标
首先,通过分析典型任务系统中核心能力形成过程,并考虑到网络对抗环境下系统面临的网络威胁及其产生的影响,提取网络安全相关度量属性;然后,以此为指导和依据,并参考现有的系统性能/效能评估指标和信息系统安全测评指标,遵循指标选取原则,采用层次化结构建立装备网络安全试验指标体系,指标体系构建过程如图6所示。
图6 网络安全试验指标体系构建过程
装备网络安全指标主要取决于脆弱性、渗透性以及生存性三个方面,以独立性和可测性为原则,采用自上向下和逐步细化的方法,构建一个层次化的装备网络安全试验指标体系框架,如图7所示。
图7 网络安全试验指标体系
3.2.3试验方案
为满足试验鉴定贴近实战的核心要求,网络安全试验应提供基于近似实战环境的试验方案,然而与常规试验鉴定活动相比,网络安全试验涉及网络空间活动,存在试验目标多样、试验环境复杂、评估方式不定等难点,应采用科学的试验设计方法,并随着后续试验活动的进行,从问题提出、研究论证、详细设计、推演验证直到综合评估各阶段进行循环以及反复迭代,以提供一套可测试、可度量、可实现的网络安全试验方案。
3.2.4 保障需求
为顺利完成网络安全试验鉴定工作,技术、环境、人员、经费等方面的支撑保障同样是必不可少的,而上述保障需求,同样需要在试验论证过程中进行合理规划,提前部署准备,联合管理单位、研制单位、试验单位等多方力量,开展技术攻关、环境构建、团队组建等试验相关工作,为网络安全试验鉴定工作提供保障。
4网络安全验证试验
装备网络安全验证试验目的是验证装备脆弱性的保障能力,应针对装备中各项关键资产、施加的安全措施进行测试,并以相关安全标准要求为依据,以标准要求符合性为判断准则,确认其中存在的网络安全脆弱性以及安全措施的保护能力[5]。
4.1试验时机
网络安全验证试验主要开展与相关网络安全标准的符合性测试,属于科研过程试验,装备研制单位应在装备性能验证试验过程中,同步开展网络安全验证试验,验证装备网络安全脆弱性。
4.2试验内容
装备网络安全通常从技术和管理两方面为装备作战使命任务、软硬件、敏感数据等提供保障,同时,采用安全措施解决部分关键或难以规避的安全问题,因此,网络安全验证试验一方面应考虑技术脆弱性和管理脆弱性的验证,另一方面应针对用于保护脆弱性的安全措施进行有效性验证。
4.2.1技术及管理脆弱性
在装备研制过程中,研制人员通常参照相关安全保障标准开展技术及管理方面的脆弱性防护设计,包括物理环境、网络结构、系统软件、应用中间件、应用系统等方面的技术要求,以及管理组织、管理策略、管理制度、人员安全管理以及运维管理等方面的管理要求,因此验证试验活动同样可从安全标准出发,针对性地开展标准符合性测试[6]。各项试验内容如图8所示。
图8 脆弱性验证试验内容
4.2.2 安全措施有效性
安全措施有效性验证方面,可以依据各类安全措施的实施要求,从流量监测、访问控制、安全审计、可信验证、边界防护、身份鉴别等方面进行验证试验工作。各项试验内容如图9所示。
图9 安全措施有效性验证试验内容
4.3试验方法
网络安全测试方法繁多,各自适用对象以及侧重点均有所不同,针对上述试验内容,可从两方面选用试验方法开展网络安全验证试验,如图10所示。
图10 网络安全验证试验方法分类
(1) 文件审查
目的是通过审查装备网络安全设计相关文档、配套制度文档、设施设备,发现相关规程和安全策略中的脆弱性问题。包括文档查阅、问卷调查、现场访谈、日志检查、规则集检查、系统配置核查、密码检查等方法[7]。
(2) 设备扫描与分析
目的是通过扫描装备网络端口、主机、web应用、无线网络等设备及相关服务,发现其中存在的脆弱性问题,包括网络嗅探、网络端口和服务识别、漏洞扫描、无线扫描等方法。
5.网络安全鉴定试验
装备在具备脆弱性保障能力的基础上,同时需具备防止威胁渗透的能力,应针对典型网络威胁,分析网络威胁入侵渗透装备以及装备抵御威胁的安全对抗过程,并结合渗透测试手段开展试验,验证网络威胁对装备作战使命任务的危害程度[8]。
5.1试验时机
装备网络安全鉴定试验主要开展网络渗透性测试,研究网络威胁对装备关键性能指标的影响,试验单位应在装备性能鉴定试验过程中,同步开展网络安全鉴定试验,鉴定装备网络安全渗透性。
5.2试验内容
网络安全鉴定试验首先应分析网络杀伤链与反杀伤链过程,在此基础上应进一步开展渗透测试验证,明确网络威胁可能造成的危害以及影响范围。试验内容如图11所示。
图11 网络安全鉴定试验内容
5.2.1 网络杀伤链与反杀伤链分析
针对典型网络威胁,采用网络杀伤链与反杀伤链分析方法,逐项分析网络威胁侵入装备的渗透过程以及装备可能做出的响应措施,其中网络威胁入侵过程可依照网络杀伤链过程进行分析,如表4所示,主要包括目标侦察、武器构建、载荷投递、漏洞利用、安装植入、命令控制与目标达成等阶段[9]。
表4 网络杀伤链过程
而相对于从威胁角度开展的杀伤链分析,从装备角度可以同步开展反杀伤链分析,包括发现、定位、跟踪、瞄准、打击、评估等阶段,如表5所示。
表5 网络反杀伤链过程
5.2.2 渗透测试验证
基于前期分析的网络威胁杀伤链与反杀伤链,可依据静态评估方法分析网络威胁可能造成的危害,然而为尽可能提高试验鉴定的可靠性与有效性,应再进一步结合渗透测试等试验方法,尝试采用典型威胁手段实际实施威胁入侵行为,以此验证网络威胁对装备中关键资产以及相关业务造成的危害程度与影响范围,威胁类型主要覆盖物理毁伤、系统故障、功能降低、数据窃取、操作篡改、信息泄露等[10]。
在本项试验活动中所采用的渗透测试,主要是指通过模拟恶意黑客的攻击方法,来评价网络系统安全的一种评估方法。渗透测试过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,在不同的位置(如从内网或外网等位置)利用各种手段对被试网络系统进行测试,以期发现和挖掘系统中存在的漏洞,从而发现网络系统中存在的隐患和问题。
5.3试验方法
网络安全鉴定试验过程中,主要涉及威胁入侵过程分析以及试验验证两部分试验内容,一方面网络威胁影响的分析可采用综合分析、对抗评估等静态评估方法,另一方面试验验证部分则需要模拟威胁攻击方式,动态开展渗透测试验证。试验方法如图12所示。
图12 网络安全鉴定试验方法
(1) 综合分析
系统分析装备网络结构特征、脆弱性测试验证结论、网络威胁技术特点,确定渗透测试的方法、工具与测试用例等。
(2) 对抗评估
采取理论分析、兵棋推演等方法,逐步分析网络威胁入侵的对象、时机、攻击面、攻击路径等环节,以及装备抵御网络入侵的环节,包括防护、检测、响应与恢复等活动,评估网络威胁对资产的影响[11]。
(3) 测试验证
采用模拟威胁攻击方式,在网络靶场、仿真验证平台等网络环境下,进行渗透测试,分析网络威胁达成的攻击效果,典型渗透测试方法如表6所示。
表6 典型渗透测试方法
6 网络安全作战试验
根据试验鉴定贴近实战的要求,装备在网络对抗环境下能否正常完成作战使命任务需要通过试验鉴定进行验证与确认。因此,通过网络安全作战试验,围绕装备网络安全防护能力、检测能力、响应能力和恢复能力,试验验证装备在近似实战环境和攻防对抗条件下的网络生存性,为装备列装定型审查与作战运用提供依据。
6.1试验时机
装备网络安全作战试验主要开展贴近实战场景的网络对抗性测试,评估装备在网络对抗环境下的网络生存能力,考虑到装备状态以及试验条件,军队有关试验单位应在装备作战试验过程中,同步开展网络安全作战试验,评估装备网络安全生存性[12]。
6.2试验内容
装备网络安全作战试验主要针对装备网络生存性进行试验与评估,包括防护能力、检测能力、响应能力以及恢复能力[13]。试验内容如图13所示。
图13 网络安全作战试验内容
(1) 防护能力
针对装备的网络安全防护措施,应设计相关作战试验项目,试验装备能否限制或遏制潜在网络安全事件所造成的实际影响,并确保关键功能或作战使命任务正常执行,评估网络安全防护措施对装备进行安全保护的能力。
(2) 检测能力
针对装备内部安全产品等检测手段,应设计相关作战试验项目,试验装备能否及时发现各类网络安全事件,并判断网络安全事件的发生及需进一步采取的防护措施,评估装备检测网络安全状况的能力。
(3) 响应能力
针对装备既定的响应机制及程序,应设计相关作战试验项目,试验装备能否就检测到的网络安全事件采取行动,并对网络安全事件所引发的潜在影响加以遏制,评估装备对网络安全事件做出响应的能力。
(4) 恢复能力
针对装备的恢复计划,应设计相关作战试验项目,试验装备能否还因网络安全事件而受到损害的任何功能或服务,并降低网络安全事件带来的实际影响,评估装备从灾难造成的故障或瘫痪状态恢复到可正常运行的状态,以及将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的能力。
6.3试验方法
网络安全作战试验过程中,主要涉及网络生存能力的试验与评估,一方面可采用安全检查、现场访谈、攻防试验等方法针对各项生存能力进行试验,另一方面可采用不同评估方法建立评估模型针对生存性进行能力评估。试验方法如图14所示。
图14 网络安全作战试验方法
(1) 安全检查
检查装备网络结构、防护设备、人员配置、制度管理、作战流程与操作程序等,包括物理防护措施检查、网络安全防护设备完好性检查等。
(2) 现场访谈
通常对操作人员网络安全意识、安全制度、操作规程符合性等进行检查。
(3)攻防试验
采取典型网络攻防战术与技术,对装备进行网络攻防试验评估,攻击方式通常包括社会工程、漏洞利用、供应链攻击等,防护策略通常包括缩小攻击面、纵深防御、应急处理、主动防御、溯源反制、可信计算等。
(4) 能力评估
网络安全生存性包括防护能力、检测能力、响应能力、恢复能力四项指标,根据指标物理含义和影响因素分析,选用不同评估方法完成指标评估。
结 语
随着装备信息化建设步伐的加快,装备网络安全问题也日益突出。装备网络安全试验鉴定是确保武器装备能够持续应对不断变化与发展的网络空间威胁,并有效抵御潜在对手可能发起的网络攻击,从而赢得未来智能化特征的信息化局部战争。网络安全试验鉴定作为装备试验鉴定的一项重要内容,贯彻武器装备全寿命周期各个阶段,融入整个试验鉴定活动全过程,为装备建设决策提供重要支撑。
【参考文献】
[1] 全军军事术语管理委员会.中国人民解放军军语[S].北京,2011.
[2] 国家市场监督管理总局,中国国家标准化管理委员会.GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求[S].北京:中国标准出版社,2019.
[3] 曹裕华.装备试验设计与评估[M].北京:国防工业出版社,2016.
[4] US DoD.Cybersecurity Test and Evaluation Guidebook version 2.1[R]. Washington DC: DoD, 2020.
[5] 文国莉,李承延,杨冬,等. 标识网络技术在网络信息体系中的应用[J].中国电子科学研究院学报,2021,16(5):1673-5692
[6] 中国人民解放军总装备部. GJB/Z 155-2011 军队信息安全风险评估指南[S].北京:中国人民解放军总装备部,2011.
[7]国家市场监督管理总局,中国国家标准化管理委员会. GB/T 18336-2015 信息技术 安全技术 信息技术安全评估准则[S].北京:中国标准出版社,2015.
[8] 国家市场监督管理总局,中国国家标准化管理委员会.GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求[S].北京:中国标准出版社,2019.
[9] 刘映国.美军网络安全试验鉴定[M].北京:国防工业出版社, 2018.
[10]国家市场监督管理总局,中国国家标准化管理委员会.GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求[S].北京:中国标准出版社,2019.
[11]中国国家标准化管理委员会.GB/T 30976-2014 工业控制系统信息安全[S].北京:中国标准出版社,2014.
[12]国家市场监督管理总局,中国国家标准化管理委员会.GB/T 36324-2018 信息安全技术 工业控制系统信息安全分级规范[S].北京:中国标准出版社,2018.
[13]国家市场监督管理总局,中国国家标准化管理委员会. GB/T 36466-2018 信息安全技术 工业控制系统风险评估实施指南[S].北京:中国标准出版社,2018.
声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。