前言:尋找寫作靈感?中文期刊網用心挑選的談國防工程無線網絡的信息安全防護,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
摘要:國防工程包括海防工程、空防工程、陣地工程等,隨著國防工程智能化信息化水平的提高,其信息安全問題也逐漸突出。文章結合當前國防工程信息安全防護特性,研究了國防工程內部無線網絡防護機制,并總結了國防工程保障無線網絡的信息安全防護策略和聯動報警機制。該策略能夠符合國防工程的信息安全防護需求,希望能為國防工程的安全保障提供幫助。
關鍵詞:國防工程;無線網絡;信息安全
信息化戰爭是未來世界戰爭的發展趨勢,國防工程作為國防建設的重要方面,面臨著信息化戰爭帶來的挑戰和機遇,因此對國防工程建設提出了新的挑戰和更高的要求[1]。當前,國防工程在朝著信息化智能化的方向邁進,為了應對當前國防工程更加完善的控制功能以及趨于復雜的業務、應用需求,工程內部的高速無線局域網絡越來越成為解決工程問題的重要環節。此前傳統工程中,工程保障態勢和設備運行狀態只能在控制室的監控主機上進行,對于軸線較長的國防工程環境造成諸多不便,嚴重影響維護管理和作戰保障的效能。基于內嵌無線網絡和多種傳感器的智能終端,國防工程這一特殊工況不僅可實現對工程整體及設備的實時監控、管理,還可實現移動終端巡檢[2]、人員定位管控等功能。雖然無線網絡的部署極大改善了國防工程的運行效率,但由于國防工程具有結構復雜和軍事意義重大等特殊性,其信息安全需求也較為嚴苛。因此,本文從當前國防工程現有安全機制出發,總結了管理層面和技術層面對信息安全的防護策略。
1國防工程無線網絡信息安全防護需求
為實現國防工程內部設備實時管控,基于無線網絡對工程內部部署移動終端及其他無線設備。無線網絡不但提供了高速數據傳輸、語音通道、作戰保障、管理保障,基于智能終端還可開發移動保障指揮終端等功能。國防工程具有較完備的安防措施,但在信息安全領域的防范仍需加強。信息安全是多重因素共同作用的結果。國防工程無線網絡信息安全防護需求主要有:
1.1無線網絡設施設備管控
國防工程中每個網絡設施設備都有可能成為惡意攻擊者的入侵對象,首先要保證無線網絡節點設備不能遭受物理攻擊。在傳統信息安全問題中,攻擊者往往通過篡改設備參數、往設備中植入非法物理硬件等手段打開缺口,并進一步開展網絡攻擊行為。因此,需從攻擊起點進行針對防護。
1.2工程內部人員管控
人員是國防工程維護和作戰保障活動中最活躍、最核心的要素實體。在國防工程運維和保障中,動態掌握各類人員在工程內部空間的位置分布是高效協同保障的前提,也是工程安全和信息安全的前提。
1.3網絡節點管控
對無線網絡進行監控,首先要對無線網絡節點進行管控。主要體現在:(1)通過接入權限控制,實現對接入國防工程無線網絡的設備管理;(2)對網絡節點中流量吞吐量進行監控,對異常情況進行管控報警。
1.4攻擊行為檢測
管理者通過技術手段,對已實施入侵的攻擊行為進行檢測,目標系統需能夠檢測出常見攻擊事件,并判別攻擊類型,以實現對無線網絡進行入侵防護,進而抵制入侵行為發生。
1.5防止外部竊聽
針對被動型網絡威脅進行防護,主要目標為防止竊聽、嗅探、信號干擾行為的實施。
1.6網絡聯動報警
通過配設報警終端、報警軟件等,對各類風險行為發送報警信號進行報警,觸發報警規則時生成報警記錄。
2國防工程防護機制分析
為有效保障安防管理和信息安全需求,國防工程內部配設了監控系統、網絡節點管理系統、Wi-Fi定位系統、電磁屏蔽等防護手段。
2.1國防工程智能化監控系統
監控系統主要功能為對工程內部設備及環境進行實時監測[3]。本文將監控系統分為設施設備智能化控制系統與環境監控系統。設施設備智能化監控系統基于物聯網技術實現[4],能夠實現通風空調、給排水、發供電、內部環境和工程防護等各類設施設備的智能聯網、實時監測和控制,基于此,各類設施設備異常情況可實時反饋,能夠有效防護部分通過修改設備參數的工業控制系統攻擊。環境監控會在國防工程通道、重要部位、死角、周界進行設置,對整個工程進行實時監控記錄,可以對工程內部出現的人員行為、環境狀況動態掌控。環境監控系統可以有效預防物理攻擊和通過社會工程學進行的信息安全問題。整個監控系統不僅可保障硬件安全不被人為破壞,并且從管理角度第一時間反饋設備運行狀況,也對無線網絡信息安全起到防護作用。
2.2Wi-Fi定位系統
Wi-Fi定位系統可以管控可移動設備、人員的實時狀態[5],與監控系統結合合理監督并管控人員情況及內部環境狀況。此外,Wi-Fi定位系統,還可與地磁傳感器、慣性傳感器等進行融合定位。通過精確人員和移動設備的定位,也能有效預防通過社會工程學進行的網絡攻擊。
2.3網絡節點管理系統
網絡節點管理系統可以及時偵別陌生/可疑設備接入網絡,另外可以及時檢測到極大/極小的流量吞吐[6]。一方面,可疑網絡信源一旦嘗試接入網絡,網絡節點管理系統便可觸發安全機制;另一方面,節點吞吐量異常時,應判斷是否為DOS攻擊,進而觸發報警機制。因此,網絡節點管理系統可以防止網絡設備接入,還可以有效預防通過消耗網絡帶寬或系統資源進行的攻擊類別。
2.4電磁屏蔽及在線監測系統
國防工程通過電磁屏蔽手段防止工程外部的電磁波干擾。此外,電磁屏蔽手段可以有效杜絕外部設備的竊聽以及流量泄露。電磁屏蔽效能在線監測系統可實時檢測屏蔽效能,防止屏蔽裝置因施工不當或管理不到位而失去屏蔽效能。通過電磁屏蔽及在線監測,工程外部難以捕捉、截獲工程內部無線網絡流量信息,有效預防攻擊者的監聽及嗅探。
2.5入侵檢測系統
入侵檢測系統是針對無線網絡安全防護的最主要技術手段之一,也是安全防護的最后一道防線。入侵檢測系統針對已經發生攻擊行為的情景進行安全防護,基于機器學習算法,通過識別流量中的異常行為模式可以發現攻擊行為并對其攻擊類別加以判定[7],從而增強國防工程的信息安全防護能力。基于上述防護手段,國防工程無線網絡信息安全防護體系部署應如圖1所示。監控系統、網絡節點管理系統、Wi-Fi定位系統、電磁防護系統參與輔助決策,發現陌生網絡、可疑接入、流量異常等威脅行為立即觸發報警機制,可有效預防流量異常、外部接入等攻擊手段。后續復雜攻擊類型,如流量注入類攻擊、仿冒欺詐類攻擊以及未知攻擊類型等威脅由入侵檢測系統檢測識別。
3無線網絡攻擊行為分析
為了實現網絡的安全保障,首先要對存在的攻擊風險進行研究[8]。根據無線網絡攻擊的執行方法,現有攻擊行為分為以下幾類:注入攻擊類(Injectionat-tack)、泛洪攻擊類(Floodingattack)、欺詐攻擊類(Im-personationattack)、被動攻擊類(Passiveattack)[9]。使用此種分類方式基于以下幾點考慮:(1)涵蓋當前主流無線網絡攻擊方式;(2)同類別的攻擊在開展攻擊時的途徑手段相近,可分類別有針對性地進行防護;(3)執行方式相近的攻擊在數據報文格式上較為類似,便于入侵檢測機器學習模型建立。以下為各攻擊類別在國防工程無線網絡中的可實現性。
3.1泛洪攻擊類
泛洪攻擊類別包含較多子類型攻擊,一般也稱拒絕服務攻擊(DenialofService,DoS)。基本原理是通過針對特定的客戶端,或者嘗試向網絡中的所有客戶端施加壓力,使得其可用性降低或者失去可用性,從而導致拒絕服務[10]。泛洪攻擊的實施主要依賴拒絕服務訪問的質量和數量,通過消耗網絡帶寬或系統資源而導致的[11]。在工程內部具有以下特點:(1)泛洪攻擊的影響不是非永久的,是暫時性的,一旦占用資源未達閾值或終端,則攻擊終止;(2)在攻擊過程中,攻擊者必須始終存在于網絡范圍內,否則攻擊無法開展;(3)需要向攻擊目標持續發送大量請求或其他類型數據包,如果數據流量未達閾值或者中斷,也無法成功實施攻擊。結合泛洪攻擊實施條件和特性,可見雖然泛洪攻擊是當前無線網絡普遍威脅,但在國防工程這一環境中開展難度較高,且因為國防工程設備管控集中極易被偵別。
3.2注入攻擊類
注入攻擊是無線網絡中一種常見的攻擊形式,比起泛洪攻擊,該類攻擊實施條件較容易但技術難度較高。注入攻擊依靠將偽造數據包注入目標網絡得以實施[12],這些偽造數據包既有可能用來破解網絡密鑰,也可能破壞原有數據結構信息,甚至包含惡意指令。在信息安全防護中,注入攻擊通常只能使用入侵檢測系統(IDS)進行針對性防護,但此類攻擊依賴于在網絡中注入含惡意的數據流量,因此實現的先決條件之一是與國防工程內部網絡進行信息交互。在國防工程工況環境下,任何陌生網絡都能觸發報警機制,故此類攻擊需結合其他更隱蔽的攻擊手段共同實施。
3.3仿冒攻擊類
仿冒攻擊一般表現為竊取或假冒身份認證憑據來實現非法服務接入[9]。在實際網絡中,實施方法通常表現為仿冒終端身份接入網絡或仿冒網絡誘導終端接入等。另外,仿冒攻擊可作為其他攻擊類別的基礎手段,因此需要重點防護。
3.4被動攻擊類
被動攻擊是指攻擊者監聽、嗅探、截獲特定無線流量信息,然后離線進行密鑰破解或信息處理的過程[11]。該攻擊方式多采用技術手段輔助非技術手段開展實施的過程。被動攻擊行為隱蔽,難以被入侵檢測系統(IntrusionDetectionSystem,IDS)偵測,且最初不會造成實質性破壞。防范其實施的最重要手段是提高加密強度,另外,在國防工程中還可以通過信號屏蔽、信號干擾手段加以解決。
4國防工程無線網絡防護聯動報警策略
秉承著技術手段和管理手段相結合才能實現全方位安全的目標,國防工程采取多點防護,多手段共同實施的策略。結合國防工程防護機制和無線網絡攻擊行為特點,本文提出聯動報警策略。其中,各種管理手段以及安防設施提供技術輔助決策和社會工程學類的攻擊預防,技術手段為信息系統、內部數據提供最后的防護屏障。
4.1基于視頻監控與Wi-Fi定位的人員管控報警
基于視頻監控與Wi-Fi定位系統可以實時掌握國防工程人員動態,當發現工程內部出現可疑人員或工作人員有可疑行為時,即觸發報警機制。
4.2基于網絡設備管理系統的設備及流量管控報警
網絡設備管理系統對接入該區域的設備數量進行管控,防止大量設備接入該區域,引發無線網絡的擁擠與阻塞,導致國防工程內部人員不能正常作業;如果區域內接入網絡的設備超過規定數目,系統則發出預警,停止設備的接入。陌生設備嘗試接入內部網絡時,采取最高等級報警;網絡設備管理系統還可通過傳感器收集無線網絡信號,監測該區域是否出現陌生網絡信源,出現陌生信源則進行預警。
4.3入侵行為報警
根據入侵檢測系統的判別,對采取偽裝、仿冒設備的攻擊行為進行檢測報警。系統通過入侵檢測系統對無線網絡流量進行檢測,如果用戶行為被檢測出相關的入侵特征,則觸發預警規則,并進行報警。聯動報警利用聲光報警設備發出警報聲音和警報光信號。聯動報警需要根據報警信號做出相應的聯動處理。網絡管理員可以對具體的用戶違規行為配置相關的聯動處理預案,當用戶作出違規行為時,即可進行相應的聯動響應,及時提醒網絡管理員,及時排除未發生的危險。每次觸發報警都會生成相應的報警記錄,報警記錄能夠方便網絡管理員查看歷史報警信息,再根據報警設備生成的報警信號設置報警信號的聯動方案,設置阻止設備接入或者阻止網絡入侵等聯動動作。此外,系統還可以根據網絡安全評估分數與等級進行預警。聯動報警功能如圖2所示。
5結束語
無線網絡安全是當前社會面臨的共同問題,本文以國防工程為背景,討論了工程內無線網絡的防護機制,分析了攻擊行為在工程內部的影響及防護機制,提出了多點防護、多手段共同防護的聯動報警機制。在國防工程無線網絡中,將已有的安防策略納入到無線網絡安全防護機制中,進行聯合防護能夠使得安全防護更全面,防護效果更優。本文提出方案更具有針對性,可供相關研究者參考。
作者:劉霄 王平 單位:陸軍工程大學 國防工程學院
