随着物联网设备(本文特指美军的联网终端设备)、传感器、远程技术、数据分析以及人工智能技术的相关应用不断增加,美国防部与情报机构的网络边界呈爆炸式扩张。这为美军提升通信协同效应水平提供了可能,但同时也带来了新的、严峻的安全风险。

在当前及未来的战争环境下,美军的战场通信设备主要面临两项重大挑战:

①物联网设备安全性问题。目前,美军并没有在其战场联网终端设备上采用统一的、标准化的操作系统,存在安全隐患。

②物联网设备监管问题。物联网设备的规模极其庞大,如何对已部署的大量终端设备和传感装置进行有效监控与管理,是一个难点。为克服这两项挑战,国防部各机构应重新检查并评估IT基础设施的安全性,同时采用并推广安全物联网解决方案。本文建议从以下四个方面入手,采取相应举措增强美军物联网设备的安全性:

1

实现网络“可见性”

“可见性”对于监控用户活动、识别接入设备至关重要,网络管理方需要对网络保持及时、深刻的洞察力,以持续改进并维护网络系统性能。对于网络系统而言,“可见”的要素应包括:接入网络的有哪些设备、设备以何种方式接入网络、设备在哪一位置接入网络、设备状态如何、设备或传感装置的对应用户是谁等。国防部网络管理单位需要此类端-端的“可见性”,以捕获相关信息,进而利用这些信息支撑决策。美军作战人员通常配备大量无线设备,如语音数据无线通信设备、显示设备、生化传感器等多类传感装置、促动器(仿生驱动装置)等,要改进如此多设备和传感装置的“可见性”,则必须建构能支持复杂通信安全分段的战术网络,即创建连入一个hub(集线器,此处应指广义的数据传输中枢)的分布式网络,打造树形网络结构。这样一来,设备与传感装置就能够始终保持网络“可见”,国防部即可通过这种“可见性”了解作战人员是否处于安全状态。

2

确保安全访问

确保战场物联网设备的安全访问是一项重大挑战。要实现这一目标,网络管理方须建立个体身份识别机制,同时利用网络栅格通过VPN(虚拟专用网络)向有线、无线或远程访问设备配属安全策略与功能。近期,国防部下达指令要求承包商采用国家标准与技术研究院在其特别出版物800-171中设立的访问标准,为每个在线设备建立安全态势,以能够跟踪每个设备的任务关键职能。对于作战人员来讲,在遂行作战任务之前,其设备和传感装置都要访问网络,在任务完成后,则要断开网络链接,以保证自身安全。因此,国防部网络必须能够识别接入网络的每个设备及传感装置,利用微分段技术,基于安全配置文件的差异,来允许某些设备进行访问,同时阻止其他设备访问。如果国防部网络不具备管理设备与传感装置的适当能力,就会将每一个任务以及作战人员推向危险的境地。

3

采用分段技术

国防部网络应能最大化物联网设备的功能,同时维持高水平的安全性。分段技术就是保障涉密数据安全、防止非法用户访问的一项重要技术。物联网设备的大量涌入,加剧了国防部网络环境的复杂性。因此,国防部各机构需要一个简化管理解决方案,建立直接接入网络的分段体系。基于设备与用户身份的策略驱动分段技术,能够简化网络访问配置,有助于集中实施分段策略。以作战人员为例,其设备与联网传感装置必须按照用户安全性与访问权进行分段,防止非法用户获取作战人员无线设备、GPS设备或生化传感器数据的访问权,只有配属了特定安全配置文件的用户才能使用作战人员的设备与传感器数据。

4

提供前摄性的一体化服务

为强固国防部网络、保护物联网设备,安全协议和设备功能要实现在设备接入网络之前即可用;系统要在部署之前进行预配置,实现安全协议就位;任务一旦发生变化,能更容易地进行动态配置,修正设备部署。如果国防部网络不能对设备及安全协议进行预配置,抑或不能及时调整配置,那么这一过程就无法做到现实可行。以作战人员为例,假设一项任务需要动用航空系统(用于收集情报信息),那么如果安全协议和设备功能在行动展开之前即实现可用,相关安全服务就能扩展至作战人员的战术空间;为收集任务信息,战术基础设施(航空系统)可能需要长时间运行,而一旦任务发生变化,安全协议必须进行修改,才能使所有设备——最根本上是作战人员——确保安全。

来源:美国第五域网站/图片来自互联网

中国国防科技信息中心  韦玮

声明:本文来自国防科技要闻,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。