指挥信息系统数据安全保护问题研究

2016中国指挥控制大会论文集指挥信息系统数据安全保护问题研究郭渊博1,2，马骏1,2，杨奎武1,2(1.解放军信息工程大学网络空间安全学院，河南郑州450004；2.数学与先进计算国家重点实验室，河南郑州450004)摘要:指挥信息系统中产生、存储、传输、处理的数据已具有大数据的特征，既为情报分析挖掘等带来了极大便利，也引入了数据安全防护的新的挑战，远比传统信息安全问题要复杂、棘手的多。分析了数据全生命周期各个环节所面临的安全风险，给出了以密码为支撑的指挥信息系统数据安全保护参考模型，描述了模型对数据的保护过程，讨论了模型中各部分所要保护的内容及提供的功能。最后，就下一步提升指挥信息系统数据安全保护能力提出了一些措施建议。关键词:指挥信息系统；数据保护；密码机制；安全能力增强中图法分类号:TN918文献标识码:AResearchontheDataProtectionofCommandInformationSystemGUOYuan-bo1,2，MAJun1,2，YANGKui-wu1,2(1.InstituteofCyberspaceSecurity,InformationEngineeringUniversity,Zhengzhou,HenanProvince,450001,China；2.StateKeyLaboratoryofMathematicalEngineeringandAdvancedComputing,Zhengzhou,HenanProvince,450001,China)Abstract:Datagenerated,stored,transmittedandprocessedincommandinformationsystemhasthecharacteristicsofbigdata,whichbringgreatchallengestodataprotection,whileintroducemanyconvenienceforintelligenceanalysismining.Comparedwithtraditionalinformationsecurityproblems,thesecurityproblemsofbigdataismorecomplexandhasmoredifficultiestoresolve.Basedontheanalysisofthesecurityrisksfacedbybigdatainitslifecycle,thispaperproposesanciphersupporteddatasecurityprotectionreferencemodelincommandinformationsystem,describesthedataprotectionprocess,discusseswhatcontentsshouldbeprotectedandwhatfunctionsshouldbeprovidedineachcomponentsofthesystem.Finally,thepapergivessomesuggestionsabouthowtoenhancethecommandinformationsystemdatasecurityprotectioncapability.Keywords:Commandinformationsystem；Dataprotection；Ciphermechanism；Securitycapabilityenhance0引言1指挥信息系统中产生、存储、传输、处理着十多种数据来源的信息，包括作战指挥信息、情报信息、态势信息、武器平台控制信息、敌我识别信息等。这些信息已体现出大数据的特征，既为情报分析挖掘等带来了极大便利，也引入了数据安全防护的新的挑战。美国等先进信息技术和军事强国一贯主张“谁占有数据、资源，谁就确立权威”的情报理念，强调“掌握所有数据”[1]。据报道[2]，NSA已在美国犹他州建造一个超大规模的数据中心，用于搜集、保存数据。这意味着其仍将继续监控盗取海量数据，指挥信息系统数据安全问题不待轻言。除了在运行过程中面临着全方位实时监控的威胁之外，我军指挥信息系统的数据安全防护体系还面临着的烟囱林立、多头论证、叠加式建设的问题，以及现有基础软、硬件平台和关键器件尚未达到完全自主化设计生产从而面临严重的安静风险等问题。1收稿日期：2016-04-20；修返日期：基金项目：国家自然科学基金（61501515）作者简介:郭渊博(1975－),男（汉族）,陕西省西安市周至县人，教授，博士，博士生导师，主要研究领域为网络态势感知与密码系统防御，yuanbo_g@163.com指挥信息系统中的海量数据是信息化条件下指挥信息系统革新的内在需要，其带来的数据安全问题远比传统信息安全问题要复杂、棘手的多。可以说，挥信息系统安全防护领域有什么安全问题，都会在其数据安全防护领域里出现，甚至会放大。IBMGuardium副总裁兼首席技术官RonBenNatan博士表示[3]，“毋庸置疑，大数据时代缔造的全新数据平台为企业提供了更多潜在的机遇，也同时为信息安全治理带来了前所未有的挑战—更真实、可信的数据亟待判断；更多、更严重的安全和合规性问题亟待解决。”1指挥信息系统数据安全风险分析指挥信息系统中数据集成、共享和融合程度不断深化，极大增加了风险发生的几率。除了面临传统的安全风险外，还面临着由数据的共享性、数据本身的复杂性、基础设施的不可靠性等带来的风险。1.1数据在其生命周期共享带来的风险包括数据伪造风险、数据泄露风险、安全审计与取证风险等：数据伪造风险：数据全生命周期每个阶段都存在被修改、伪造，甚至无中生有的风2016中国指挥控制大会论文集险，指挥信息系统大数据环境下这一问题被进一步放大。数据泄露风险：数据存储、传输、访问过程中的保密性可能遭受破坏，带来安全风险。指挥信息系统中，数据生成者、使用者和提供者相互分离，数据多方共享，泄露风险进一步加大。安全审计与取证风险：指挥信息系统数据流量大、边界模糊、资源重新利用和分配等特点，给有效实施安全审计与取证带来挑战。1.2数据复杂多变带来的风险包括数攻击隐藏风险、数据聚合和推理风险等：攻击隐藏风险：海量数据汇聚后，敌手攻击特征无法被有效发现，入侵者能够隐蔽地实施可持续数据分析和攻击。数据聚合和推理风险：大数据汇集后，加大了数据信息泄露的风险，特别是有一定关联的多组数据同时泄露后，可能挖掘产生新的信息，产生用户意想不到的风险。1.3数据集中存储带来的风险包括数据存储风险、数据隔离风险、数据可恢复风险、数据残留风险等：大数据存储风险：指挥信息系统海量数据集中存储，相关数据形成了统一视图，对攻击者更具诱惑力。数据隔离风险：不同用户之间的数据应该做到有效隔离和加密保护，否则就会造成安全隐私泄露。数据可恢复风险：用户数据除面临着服务宕机、网络中断等故障的风险之外，还面临着丢失、意外覆盖和破坏，甚至被篡改等风险。数据残留风险：用户数据在指挥信息系统共享存储，存储资源被重新分配给其他用户之前，如果没有进行完全的数据擦除，就可能面临被新用户恢复的风险。围绕着指挥信息系统数据安全的斗争是一场持久的攻防战。据报道[4]，伊朗曾利用美国UAVGPS“信号微弱、易于操纵”的弱点，通过无线信息注入手段，利用虚假信息引导RQ-170无人机降落在伊朗境内，这是由数据伪造引发的典型案例。围绕指挥信息系统数据窃取和数据破坏的案例更是不胜枚举。指挥信息系统数据安全问题十分复杂，解决不好将成为指挥信息系统数据应用的一大瓶颈。传统基于边界防护的安全思路已很难满足数据既需共享又要保护的需求，必须发展新的思路与办法。2指挥信息系统数据安全保护参考模型对指挥信息系统数据安全的保护目标是：保护指挥信息系统中的数据及其依赖的系统，确保数据的机密性、完整性、可用性、真实性、不可否认性、可控性和可追溯性等，同时具备对指挥信息系统数据安全动态保护和可恢复的能力。密码是进行数据保护最根本、最有效和最经济的手段。美国《指挥信息系统安全与信息保障研究与发展联邦政府计划》明确指出，“密码能为数据的机密性、完整性、鉴别认证提供安全保护”，“只有使用难以攻击的密码技术，才能设计出能够抵抗攻击的信息系统”。美国防部原副部长林恩甚至公开表示：美国防部希望不仅能以加密的形式传输信息，还能在日常计算机运行中，使信息时刻处于加密状态，这将极大增强美军在非信任环境中的军事行动能力。除数据自身外，指挥信息系统数据处理（包括产生、传输、存储、处理等全环节）涉及的要素还包括用户和基础平台。其中，用户是主体，必须按权限安全共享数据；基础平台是手段，必须形成可信的数据基础处理环境。这就要求必须充分发挥密码在安全防护中的核心作用，将密码贯穿于数据处理全环节，实施基于密码的数据全生命周期安全保护，并确保用户访问安全可控和基础平台安全可信。从具体技术手段上讲，就是要在密码基础设施的支撑下，为每个用户颁发密码数字证书标识其身份，运用密码技术实现数据处理基础平台的安全可信，同时将密码保护融入数据生命周期中生成、处理、传输、存储、应用等各个阶段，与数据处理过程紧密贴合，确保数据起源有认证、数据存储传输有保护、数据提供受控制、数据使用有授权、发生异常可恢复、发现问题可追溯，构成如图1所示的指挥信息系统数据安全保护参考模型。基础平台安全密码基础设施授权控制用户身份认证与数据安全存储与传输汇聚数据安全生成与数据安全提供数据安全使用图1：以密码为基础的指挥信息系统数据安全保护参考模型该模型对数据保护的基本过程如图2所示：在数据生成时，通过认证的方法为数据加上标签，确保其具有可验证性，通过加密的方法对数据实施保护，实现其隐私性；进行数据传输时，使用加密和认证确保传输过程中的机密性和完整性；数据安全汇聚时，由于低密级的数据经过汇集、关联，可能会产生高密级的数据，需要通过重加密的方法，对数据进行密级转换；在数据存储时，通过认证确保用户将数据存储在正确的平台或区域中，通过密码2016中国指挥控制大会论文集隔离确保用户具有独立的存储空间；在数据提供与使用时，提供者需要依靠新型加密与认证手段，在不暴露数据内容的情况下对密文数据进行各种运算和存在性、完整性验证，使用者需要使用合适的认证与授权机制确保总能够使用到授权范围内的数据，同时还要利用签名、加密等对用户使用者的数据访问行为跟踪记录。此外，为指挥信息系统中与数据处理、存储、传输相关的各类设备加装与所需保护功能相匹配的可信密码模块，对所运行的各种代码和进程进行完整性验证，确保数据处理环境的安全、可信与可控。数据生成数据传输数据汇聚数据存储数据提供与使用加密代码、进程完整性验证隐私保护数据加密保护重加密保护密码隔离保护密文操作保护数据源认证数据完整性认证平台正确性认证用户身份认证与授权控制、用户访问行为跟踪数据处理与传输基础平台可信平台支撑新生成数据的源认证认证图2：指挥信息系统数据保护的基本过程模型中各部分所要保护的内容和提供的功能可描述如下：1)数据安全生成包括数据隐私保护和数据源认证两方面的内容。其中数据隐私保护是在数据生成时进行安全保护，确保敏感数据在其生命周期的任何阶段、任何平台上都能够确保其私密性。数据源认证是基于密码技术在数据生成时构建唯一、不可否认的“数字身份证”，对数据源进行认证，是确保指挥信息系统数据来源可信、全生命周期可追踪的根本手段。在数据存入数据中心或被使用时，可检查其来源以确保由合法用户生成；当数据被访问或修改后，记录下相关信息，使得可追踪数据在整个生命周期中的访问和修改情况。2)数据安全传输当前保密手段能在信道、节点等实现数据加密，但在数据交换环节还存在明态，这就为数据窃密、伪造带来了很大方便。因此，需要基于密码技术对数据交换全程进行加密和完整性保护，确保数据在非信任指挥信息系统环境中的安全。另一方面，指挥信息系统环境下，低密级数据汇集后可能产生高密级数据，不同节点需要具备多密级数据安全传输的能力。3)