卢昱 陈兴凯 陈立云 乔文欣

1.军械工程学院装备指挥与管理系,河北石家庄050003 2.军械工程学院信息工程系,河北石家庄050003

在网络中心战中,信息和网络作为其中的双动力,给指挥与控制带来机遇的同时,也带来了巨大的挑战.指挥控制网络(以下简称指控网络)作为承载、支撑指挥与控制系统的基础网络平台,成为了影响指挥与控制效率、效益的关键.同时,作为一种具有军事特性的信息网络,指控网络极易受到敌方针对性的网络攻击,其安全性受到了极大的威胁,严重影响了指挥与控制系统的作战效益.

目前,如何解决指控网络的安全问题成为了国内外的研究热点.对于美军而言,一直将指控网络纳入在赛博空间的研究领域,制定了以赛博安全[1]为核心的研究发展战略,形成了赛博网络空间、赛博作战[2−3]等一系列成体系的概念内涵,为指控网络的安全研究提供了战略性的理论指导.反观我国,虽然利用诸多新的安全技术和安全产品,在指控网络中构建了相应的安全防护系统,但各安全防护系统之间缺乏统一的数据交换标准和接口,防护、检测、响应与恢复系统之间缺乏高效的联动机制,难以实现对一体化安全态势的实时感知和应急响应,整个网络的安全可控能力仍然不足,安全防护能力仍然较低.存在上述问题的原因在于,当前的指控网络在安全建设方面,没有类似于美军赛博安全的理论指导,整个网络的安全防护体系明显缺乏自主可控的运行机制,缺乏科学系统的安全技术协作策略,缺乏综合统一的安全控制理论和方法.

随着网络赋能[4]的出现,利用网络潜能、发挥网络优势,成为了当前网络中心化的发展趋势,而网络安全控制[5]使得“网络赋能的安全”成为了可能.为了从根本上解决当前指控网络的安全问题,筑建指控网络的安全基石,本文将结合指控网络的相关概念及特点,介绍具有自主特色的安全控制指导理论–可控网络,论述可控网络是未来指控网络的必然选择,为解决当前指控网络的安全问题提供新的研究思路.

1 指控网络

目前,指控网络的相关概念还没有明确的统一定义及认识,若想对其安全进行相关研究,首先得对指控网络有充分的认识了解.

1.1 广义上的指控网络

广义上的指控网络概念要从指挥信息系统[6]说起,整个指挥信息系统的组成概况如图1所示.

从图中可知,整个信息系统由3个主要的分系统组成,即感知、作战、保障系统.3个主系统中又存在多个子系统,其中包含实现特定功能的各个子系统,以及通用的通信系统,还有最为核心的系统–指挥与控制系统(指控系统).不难看出指控系统作为整个指挥信息系统的核心,其作用和地位尤为重要.在指控系统的支持下,3个主系统两两之间也可实现相应的功能,即作战对抗、资源管理和支援保障.

指控网络则可以界定为以指控系统为核心,运行在指挥信息系统上的一种信息网络,即将指控系统作为网络的核心节点,感知、作战、保障系统中的各个分系统看作是网络的分布节点,通信系统则可以作为网络链路.所以,图1其实也可以看成作是指控网络的概况图.根据其具体实现功能,指控网络的运行实体可以是战术互联网、装备保障网、军事物联网等一系列的军事信息网络.对这样的指控网络进行安全控制研究,可以结合分布节点及运行实体的特点及需求,分析各分布节点与核心节点指控系统的关系、联系,各部分节点之间的关系、联系;运用网络安全控制的思想,在单个节点之间、多个节点之间加强信息反馈,通过在指控系统中设立相关的安全控制中心,达到指控网络的安全可控.

1.2 狭义上的指控网络

上述的指控网络可以说是一种广义上的指控网络,即一种支持指挥控制功能的信息网络.而从狭义上来讲,指控网络是指在实际的指控系统中,与指挥控制直接相关的那部分网络[7].对于狭义上的指控网络,会随着指控系统的任务、功能、载体等不同而不同,对其安全性进行研究则需要结合具体的指控系统,针对系统的固有属性及特点来进行研究.狭义上的指控网络组成概况如图2所示.

从图中可以看出,狭义上的指控网络比广义上的指控网络更加具体,整体上基本与计算机网络类似.如果对狭义上的指控网络进行安全控制研究,基本上可以将其当作是计算机网络进行研究.在研究的同时,需要注意的是指控网络不同于一般民用信息网络,结合其军事特性[8],重点考虑为以下3个方面对指控网络的安全影响:

一是信息流类别不同带来的安全影响.指控网络中的信息流包括指挥控制信息、态势感知信息和战术协同信息等不同类别,不同信息流在上下级节点、友邻节点间的安全流动需求是不同的,有的信息流甚至是单向的,这就增加了网络中信息流的安全管理难度.

二是作战节点机动性带来的安全影响.为了满足当前机动性作战的需求,指控网络连接的作战单元大部分都是动态单元,无线节点的接入、网络拓扑结构的主动变化,使得“动中通”带来的安全影响必须考虑.

图1 指挥信息系统的组成

图2 狭义上的指控网络

三是作战节点损伤带来的安全影响.现实战场随时可能出现作战节点损伤的情况,在这种情况下,指控网络的网络拓扑结构是被动变化的,对指控网络的安全影响也是最为直接的.

2 可控网络

2.1 基本概念

可控网络是可控网络理论、可控网络系统的简称,相对应还有可控网络技术.可控网络理论是以网络控制论为核心理论,以实现网络安全性指标为控制目标的网络安全控制理论.

可控网络理论的核心思想就是利用自动控制的理论解决网络安全问题.可控网络理论是网络控制论指导下的有关网络安全控制的理论,它以解决网络安全问题为着眼点,以网络安全性为控制目标,整合集成现有各种网络安全技术,构建高效的、科学合理的网络安全动态防护体系.当前,可控网络理论研究刚刚起步,随着研究的深入以及应用的普及,将逐渐形成一套科学完善的可控网络理论.

2.2 理论基础

可控网络理论的基础理论是网络控制论,它遵循信息论、系统论和控制论的基本研究思路,是应用控制理论的概念和方法来研究网络系统的一般理论,是关于网络系统中调节与控制过程的普遍理论.它首先从系统的角度来研究网络对象,把网络对象的某些属性、某个过程或某种问题放在一定的网络系统内来研究,目的在于更好地描述网络、研究网络和控制网络.

网络控制论的基本原理如图3所示.

图3 网络控制论的基本原理

图中,网络资源与行为属于被控部分,包括各种网络的组成设备、信息系统、网络应用和网络行为.控制者与控制子网属于施控部分,其中控制者包括各种网络管理人员和应用系统的使用人员,控制子网包含各种控制系统和安全控制中心.执行单元包括各种控制作用和控制通道,控制通道是控制信息得以流通的各种控制结构、控制方式和传输介质的组合,可以是物理的组合,也可以是逻辑的组合.反馈单元包括反馈作用和反馈通道,网络系统在反馈作用的影响下,能够监视系统处于何种状态.反馈通道由各种信息采集和分析设备、信息反馈和决策系统等组成.

2.3 可控网络系统

可控网络系统是可控网络相关理论的具体实现,将指控网络按照可控网络理论进行安全改造,最终实现的目标即是可控网络系统.

可控网络系统的具体定义为:通过反馈控制,实现网络安全性指标的网络系统.可控网络系统的实现核心即构建反馈控制回路,对应的反馈控制分为小回路反馈控制和大回路反馈控制.小回路反馈控制是在设备或部件级实现的控制,如网络终端上的安全代理、路由器上的路由控制部件等,特点是自身能够构成的安全控制回路;大回路反馈控制是系统级实现的控制,如访问控制、身份认证等系统与网络安全控制中心构成的控制回路,特点是在网络安全控制中心的协调和控制下,各系统各自或共同形成安全控制回路.典型的可控网络系统的结构框图如图4所示.

图4 可控网络系统的结构框图

从图中可知,可控网络系统主要由安全管理人员、安全控制中心、基础网络系统组成.其中核心部分为安全控制中心,包括结构控制、路由控制、日志审计、入侵检测、大数据分析、漏洞扫描、边界控制子系统,这些子系统支撑了态势显示、综合审计、态势评估、相应管理、平台管理的相关功能.除此之外,还包含基础网络系统中安全控制子系统的支撑部件,如认证中心(CA)、授权中心(AC)、传输中心(TC)、密钥管理中心(KDC)和存储管理中心(SMC).认证中心可以为身份认证子系统提供认证所需的证书、身份票据等;授权中心可以对访问控制子系统中的访问信息分别进行判定,从而授予用户访问权限;传输中心和密钥管理中心可以分别为加密传输、加密存储子系统提供加密所需的密钥;存储管理中心可以对虚拟存储分系统中的应用、服务器、网络资源进行合理管控.

基础网络系统中的安全控制子系统包括身份认证、访问控制、加密传输、加密存储、虚拟存储子系统,各子系统通过安全控制代理对基础网络进行安全状态采集与安全控制.它们的支撑部件其实也都属于各个系统,但为了实现整个安全控制系统的集中管控,因此,将这些安全支撑部件放置在控制中心.

从可控网络系统的结构框图可知,系统中包含了诸多安全控制子系统,各子系统本身具有一套相对独立的小回路反馈控制,以及针对某一方面安全问题的控制策略与机制.通过安全控制中心的集中协调,将各种安全控制子系统以及其中的安全控制机制、安全控制技术进行整合,构成大回路反馈控制,形成了统一的安全控制系统.

3 可控网络是未来指控网络的必然选择

可控网络将研究的重点放在了利用自动控制理论解决网络安全问题上,从安全控制的角度,系统的、成体系的整合利用各种传统网络安全设备和技术,实现信息共享、设备联动和响应同步,从而构建起网络安全动态防护体系.同时,随着相关技术的逐步发展,可控网络的构建策略也逐步完善,如利用可信计算为可控网络构建可信的支撑环境,利用软件定义网络(SDN)构架构建可控网络安全控制中心,利用大数据分析技术进行网络行为检测与控制,利用智能控制实现可控网络系统精确安全控制等等.根据可控网络的研究重点以及构建策略,不仅可以为解决当前指控网络的安全问题提供新思路,也可以为构建未来指控网络中的可控网络系统提供可行性支撑.因此,将可控网络作为指控网络的安全基石,是未来构建安全指控网络的必然选择.

一是可控网络的高安全性体现了指控网络的安全性本质.指控网络作为一种特殊的信息网络,具有很鲜明的军事特点,突出表现为战场上的种种因素而引起不确定性,这种情况下可控网络的高安全性可以保证指挥信息系统的正常工作,体现了指控网络的安全性本质.具体表现在4个方面:行为可控,即通过施加一定的作用,使得指控网络的状态和行为在能够预期和把握的范围内,实现真正的网络安全;风险可控,即通过自反馈控制作用,掌握风险状态、制定控制策略,从而有效降低风险水平;动态防护,即通过对各种网络行为,特别是入侵行为的辨别与分析,可以实施精确的行为控制,从而满足指控网络动态安全防护的要求;综合集成,即将部署在指控网络中的安全设备或系统,综合集成在一起,信息共享,形成联动,将安全功能构成体系,实现相互支撑.

二是可控网络的高可控性体现了指控网络的可控性特征.指控网络必须具有对网络结构以及网络行为的高度控制和管理能力,不仅要能够实现网络拓扑结构的全局观测、合理调控,也要能够实现网络行为的状态监测、结果评估和异常行为控制,这种可控性特征比一般信息网络要明显的多.可控网络系统中的访问控制、结构控制、加密存储、入侵检测等安全控制子系统,不论是从信息接入、传输、存储的角度,还是从结构和行为的角度,都涵盖了较为全面的安全控制机制.通过对各个子系统的协调控制,形成对网络结构和网络行为的自反馈闭环控制,可以实现整个网络的结构可控和行为可控.可控网络这种高可控性在指控网络中,具体表现为作战节点的接入、指挥信息的传输、作战数据的存储等方面涉及到的网络结构与网络行为的安全可控.

三是可控网络的动态防护体系体现了指控网络的动态化趋势.随着指挥作战的不断发展,移动网络和天基信息网络的规模将会不断扩大,指控网络中将会出现越来越多的动态作战节点;另一方面,随着网络攻击技术的动态发展,网络中信息的动态流动,网络中行为的动态变化,这些都使得指控网络必须采取动态安全防护措施.因此,无论是从结构还是行为上来看,都表明了未来指控网络的动态化趋势.可控网络中形成的反馈控制回路,是伴随着网络系统的运行而运行的,也就是说从网络中信息流的接入开始,一直到传输、处理、存储,可控网络的安全控制都是自主地伴随着信息流的生命周期而实施.这种安全防护体系可以根据反馈信息实时地掌握整个网络的结构、行为状态,并进行有效的安全控制.由此可见,可控网络的安全防护体系具有鲜明的动态特征,这种动态防护体系能够很好的体现指控网络的动态化趋势.

指控网络作为一种具有军事特色的信息网络,可以利用自身的网络潜能及优势,以网络安全控制为基础,研究可控网络相关理论,从而使指控网络自身具有安全属性.由此可见,指控网络与可控网络的内在联系十分密切,以可控网络理论作为指控网络安全构建的理论指导,以可控网络系统作为指控网络的最终形态,以可控网络作为指控网络的安全基石,将是未来指控网络发展的必然趋势.

4 结论

对于当前的指控网络而言,要想从根本上解决网络安全问题,就必须加强信息网络安全防护理论和安全控制方法的研究.可控网络为当前指控网络的安全问题提供了新的解决思路,即科学、合理的将多种安全技术综合运用,建立完善的、健全的、可控的网络安全控制防护体系,从而将指控网络系统转变为一种可控网络系统.本文的研究不仅可以为构建安全可控的指控网络提供理论支撑及依据,还可以为可控网络在其他信息网络中的研究应用提供参考.