一種機(jī)動(dòng)式系統(tǒng)的網(wǎng)絡(luò)通信安全設(shè)計(jì)方法

◆康望東 柳 林 許桂明

?

一種機(jī)動(dòng)式系統(tǒng)的網(wǎng)絡(luò)通信安全設(shè)計(jì)方法

◆康望東1柳 林2許桂明2

（1. 92830部隊(duì) 海南 570100；2.中國(guó)電子科技集團(tuán)公司第二十八研究所 江蘇 210007）

近年來(lái)機(jī)動(dòng)式信息系統(tǒng)發(fā)展迅速，由于其使用要求的特殊性，網(wǎng)絡(luò)通信安全運(yùn)行是保障機(jī)動(dòng)式信息系統(tǒng)可靠運(yùn)行的最重要基礎(chǔ)之一。機(jī)動(dòng)式系統(tǒng)的網(wǎng)絡(luò)通信安全涉及信息安全、鏈路可用等多個(gè)方面，本文從工程設(shè)計(jì)角度出發(fā)，結(jié)合系統(tǒng)的安全要求提出一種網(wǎng)絡(luò)通信的安全設(shè)計(jì)方法，對(duì)機(jī)動(dòng)式信息系統(tǒng)建設(shè)有一定的參考意義。

機(jī)動(dòng)式信息系統(tǒng)；信息安全；網(wǎng)絡(luò)通信；鏈路可用；網(wǎng)絡(luò)通信安全設(shè)計(jì)方法

0 引言

網(wǎng)絡(luò)是信息時(shí)代的產(chǎn)物，網(wǎng)絡(luò)中心戰(zhàn)是地理上分散的部隊(duì)通過(guò)牢固的、規(guī)范的網(wǎng)絡(luò)互連實(shí)現(xiàn)信息共享、實(shí)時(shí)掌握戰(zhàn)場(chǎng)動(dòng)態(tài)以減少?zèng)Q策失誤而獲得力量的一種作戰(zhàn)模式。其關(guān)鍵是通過(guò)高效的網(wǎng)絡(luò)訪問(wèn)控制、控制信息資源，以便對(duì)敵人實(shí)施快速、精確、全方位的打擊[1]。美國(guó)作為全球信息化程度最高的國(guó)家，擁有世界上最先進(jìn)和最龐大的信息系統(tǒng)，其網(wǎng)絡(luò)戰(zhàn)裝備在編制體制、裝備設(shè)備等方面具有“網(wǎng)絡(luò)、信息和行動(dòng)的優(yōu)勢(shì)”。信息系統(tǒng)是信息化戰(zhàn)爭(zhēng)的“中樞大腦”，是作為信息系統(tǒng)主要組成部分的網(wǎng)絡(luò)通信分系統(tǒng)是是其神經(jīng)中樞和命脈，重要性日益凸顯。

為適應(yīng)現(xiàn)代戰(zhàn)爭(zhēng)的發(fā)展，機(jī)動(dòng)式信息系統(tǒng)具有的快速部署、組網(wǎng)靈活、抗毀容災(zāi)、適應(yīng)性強(qiáng)等特點(diǎn)，近年來(lái)發(fā)展迅速。為確保機(jī)動(dòng)式信息系統(tǒng)的生命力，強(qiáng)化其網(wǎng)絡(luò)通信的安全性設(shè)計(jì)是系統(tǒng)發(fā)揮信息優(yōu)勢(shì)的重要基礎(chǔ)。

1 網(wǎng)絡(luò)通信安全的需求

新時(shí)期建設(shè)的信息系統(tǒng)具有高速化、智能化、應(yīng)用綜合化的特點(diǎn)[2]，但同時(shí)帶來(lái)了安全實(shí)現(xiàn)的復(fù)雜性，網(wǎng)絡(luò)化互聯(lián)帶來(lái)了網(wǎng)絡(luò)脆弱的安全隱患。如何確保網(wǎng)絡(luò)通信的安全，使網(wǎng)絡(luò)通信系統(tǒng)真正地高效運(yùn)行并處于可用狀態(tài)，是系統(tǒng)設(shè)計(jì)的重要工作之一，因此，研究網(wǎng)絡(luò)通信安全防護(hù)體系具有十分重要的意義。網(wǎng)絡(luò)通信安全的需求主要在信息安全和鏈路可用等方面：

1.1信息安全

網(wǎng)絡(luò)通信安全最基本的要求就是要確保信息安全，信息安全防護(hù)是維護(hù)信息設(shè)備和系統(tǒng)的正常運(yùn)轉(zhuǎn)和應(yīng)用的必要活動(dòng)。信息安全包括信息的保密性、完整性、可控性和可追責(zé)性等。

1.2鏈路可用

鏈路可用是網(wǎng)絡(luò)通信安全的重要屬性，包括鏈路的暢通性、可靠性和抗毀容災(zāi)性等，機(jī)動(dòng)系統(tǒng)的網(wǎng)絡(luò)通信是實(shí)現(xiàn)機(jī)動(dòng)式指揮所功能開(kāi)設(shè)的基礎(chǔ)，而網(wǎng)絡(luò)通信的鏈路可用性是關(guān)鍵。

2 網(wǎng)絡(luò)通信安全的隱患

機(jī)動(dòng)式信息系統(tǒng)主要在野外開(kāi)設(shè)，環(huán)境復(fù)雜，信息被竊聽(tīng)、泄漏的風(fēng)險(xiǎn)更大[3]。另一方面通信鏈路保障距離長(zhǎng)、保護(hù)要求高，更容易受到損壞。系統(tǒng)網(wǎng)絡(luò)通信一旦受到損壞，可能會(huì)導(dǎo)致網(wǎng)絡(luò)中斷、數(shù)據(jù)丟失、安全系統(tǒng)癱瘓等惡劣后果，嚴(yán)重時(shí)會(huì)危險(xiǎn)網(wǎng)絡(luò)通信安全。評(píng)估網(wǎng)絡(luò)通信的安全，首先要分析、排除網(wǎng)絡(luò)通信的安全隱患，并據(jù)此采取針對(duì)性措施。常見(jiàn)的安全隱患如表1所示。

網(wǎng)絡(luò)通信系統(tǒng)中與安全關(guān)聯(lián)的因素至少包括組成系統(tǒng)的硬件設(shè)備、軟件、數(shù)據(jù)、鏈路等。對(duì)于信息系統(tǒng)可能存在的安全隱患，從技術(shù)角度看表1，根據(jù)來(lái)源可分為物理因素和人為因素。物理因素的安全隱患包括電磁泄漏、設(shè)備故障、鏈路損壞，人為因素包括電腦病毒、黑客攻擊、操作不當(dāng)、人員泄密等。

表1 網(wǎng)絡(luò)通信安全隱患危害

3 安全設(shè)計(jì)方法

機(jī)動(dòng)式信息系統(tǒng)使用環(huán)境的特殊性和復(fù)雜性，給機(jī)動(dòng)網(wǎng)絡(luò)通信安全實(shí)現(xiàn)帶來(lái)更加嚴(yán)峻的挑戰(zhàn)。面對(duì)種種隱患，如何對(duì)機(jī)動(dòng)式網(wǎng)絡(luò)通信系統(tǒng)進(jìn)行安全設(shè)計(jì)成為目前最亟需解決的問(wèn)題。

安全設(shè)計(jì)針對(duì)機(jī)動(dòng)式網(wǎng)絡(luò)通信系統(tǒng)的特殊性采用和傳統(tǒng)方法不完全相同的設(shè)計(jì)思路:立足于實(shí)際需求，從網(wǎng)絡(luò)安全、設(shè)備安全和數(shù)據(jù)安全[4]等全方面構(gòu)建安全防護(hù)系統(tǒng)框架；從信息安全和鏈路可用兩個(gè)方面重點(diǎn)開(kāi)展設(shè)計(jì),對(duì)隱患的來(lái)源劃分層次，采用針對(duì)性的方法解決；綜合運(yùn)用多種安全技術(shù)，提供多層次、全方位的安全保密和保障功能。設(shè)計(jì)思路如下：

（1）遵循國(guó)家和軍用有關(guān)信息系統(tǒng)安全標(biāo)準(zhǔn)和規(guī)定；

（2）安全防護(hù)措施不影響網(wǎng)絡(luò)性能，尤其不能改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

（3）用戶使用方便，具有可管理性和易操作性，系統(tǒng)安裝方便且易于維護(hù)與升級(jí)；

（4）安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門(mén)檢測(cè)，盡量采用國(guó)內(nèi)成熟的安全技術(shù)和安全產(chǎn)品，做到經(jīng)濟(jì)實(shí)用、符合實(shí)際安全需要和投資預(yù)算。

3.1總體結(jié)構(gòu)

機(jī)動(dòng)式指揮信息系統(tǒng)的環(huán)境可以分為物理層、網(wǎng)絡(luò)層和系統(tǒng)層3個(gè)層次：物理層是基礎(chǔ)，包括系統(tǒng)安裝和運(yùn)行的物理環(huán)境;網(wǎng)絡(luò)層包括構(gòu)建系統(tǒng)信息互連與交互的通信網(wǎng)絡(luò)本身及網(wǎng)絡(luò)邊界兩部分；系統(tǒng)層指確保系統(tǒng)正常運(yùn)行的“軟環(huán)境”，主要包括操作系統(tǒng)、數(shù)據(jù)庫(kù)及相關(guān)支撐軟件。

機(jī)動(dòng)式網(wǎng)絡(luò)通信的安全設(shè)計(jì)從這三個(gè)層次著手，根據(jù)實(shí)現(xiàn)方式的不同可將設(shè)計(jì)內(nèi)容歸納為物理隔離、通信加密、網(wǎng)絡(luò)隔離、主動(dòng)防御、冗余備份和權(quán)限管理等六方面。系統(tǒng)安全設(shè)計(jì)的總體框架如圖1所示。

圖1 信息系統(tǒng)安全防護(hù)總體框架

面對(duì)機(jī)動(dòng)式網(wǎng)絡(luò)通信系統(tǒng)不同的隱患，合理采用上述方法可以針對(duì)性的解決，具體對(duì)應(yīng)關(guān)系如表2所示。

表2 網(wǎng)絡(luò)通信安全隱患應(yīng)對(duì)方法

3.2設(shè)計(jì)實(shí)現(xiàn)

針對(duì)上述提到的安全隱患，機(jī)動(dòng)式網(wǎng)絡(luò)通信的安全設(shè)計(jì)實(shí)現(xiàn)通常采取物理隔離、通信加密、網(wǎng)絡(luò)隔離、主動(dòng)防御、冗余備份和權(quán)限管理等方法來(lái)保障網(wǎng)絡(luò)通信的安全。

3.2.1 物理隔離

物理隔離是最簡(jiǎn)單，同時(shí)也是最有效的措施之一[6]。機(jī)動(dòng)式網(wǎng)絡(luò)通信采用方艙電磁屏蔽、接口屏蔽、鏈路隔離、專(zhuān)網(wǎng)供電、計(jì)算存儲(chǔ)設(shè)備加固等方法實(shí)現(xiàn)物理隔離。

（1）方艙電磁屏蔽

將需要保密的系統(tǒng)置于屏蔽室或法拉第屏蔽箱中，達(dá)到防止電磁輻射的目的。該技術(shù)是所有防輻射泄漏技術(shù)手段中最普遍采用也是最為可靠的一種。

為保證方艙的電磁屏蔽能力，抑制方艙各種孔縫和其他因素所產(chǎn)生的電磁泄漏，機(jī)動(dòng)式方艙采用復(fù)合大板的設(shè)計(jì)、強(qiáng)調(diào)方艙門(mén)、艙壁開(kāi)口、孔口、方艙接地以及組裝屏蔽設(shè)計(jì)等，保證了良好的電磁屏蔽性。

（2）接口屏蔽

計(jì)算機(jī)和服務(wù)器的USB接口是病毒和木馬最主要的來(lái)源之一，USB接口的濫用會(huì)嚴(yán)重危害系統(tǒng)安全。機(jī)動(dòng)式系統(tǒng)通過(guò)軟件對(duì)計(jì)算機(jī)和服務(wù)器的USB接口進(jìn)行了監(jiān)控管理。通過(guò)智能識(shí)別，鼠標(biāo)和鍵盤(pán)可以通過(guò)USB接口連接電腦，如果U盤(pán)等外設(shè)接入電腦，軟件會(huì)對(duì)該USB接口進(jìn)行屏蔽，阻止非法外聯(lián)行為，保障系統(tǒng)安全。

（3）鏈路隔離

機(jī)動(dòng)式網(wǎng)絡(luò)通信傳輸鏈路與國(guó)際互聯(lián)網(wǎng)和公共信息網(wǎng)物理上完全隔離，確保系統(tǒng)的信息安全。機(jī)動(dòng)式系統(tǒng)內(nèi)部和與專(zhuān)用網(wǎng)絡(luò)的鏈路均采用光纖鏈路。在使用光纖進(jìn)行電波傳輸中，光信號(hào)會(huì)被完全限制在光纖里面，不會(huì)向外輻射電磁波，大大降低泄漏風(fēng)險(xiǎn)，保證了信息安全。

（4）專(zhuān)線供電

相比于弱點(diǎn)，強(qiáng)電的安全和泄密往往容易被忽略。根據(jù)斯諾登的爆料美軍可以通過(guò)供電電路竊取計(jì)算機(jī)中的機(jī)密信息，一旦供電系統(tǒng)被劫持，會(huì)產(chǎn)生嚴(yán)重的安全和保密隱患。

機(jī)動(dòng)式系統(tǒng)的供電嚴(yán)禁直接接入市電，必須使用專(zhuān)用的供電線路，這樣可以避免供電系統(tǒng)受到攻擊和泄密，保障了機(jī)動(dòng)式的用電安全。

（5）計(jì)算存儲(chǔ)設(shè)備加固

計(jì)算機(jī)、服務(wù)器、磁盤(pán)陣列等計(jì)算存儲(chǔ)設(shè)備是電磁泄漏最重要的來(lái)源，網(wǎng)絡(luò)通信對(duì)所有計(jì)算存儲(chǔ)設(shè)備作加固處理，增厚的金屬外殼能夠有效屏蔽電磁波的泄漏，并且進(jìn)出風(fēng)口增設(shè)薄型EMI屏蔽通風(fēng)板外接插座通過(guò)導(dǎo)電材料實(shí)現(xiàn)與機(jī)殼的電密封，插件面板間采用導(dǎo)電襯料實(shí)現(xiàn)屏蔽，使其電磁屏蔽性能符合相關(guān)應(yīng)用標(biāo)準(zhǔn)的車(chē)載平臺(tái)的要求。

3.2.2通信加密

通信加密是通過(guò)加密機(jī)構(gòu)把各種通信中的原始數(shù)字信號(hào)，經(jīng)某種特定的加密算法變換成與明文完全不同的數(shù)字信號(hào)，從而使其他人在沒(méi)有密鑰的前提下不能對(duì)其進(jìn)行正常閱讀。有效保障系統(tǒng)安全運(yùn)行和信息在獲取、傳遞、處理、分發(fā)、使用等環(huán)節(jié)的機(jī)密性、完整性、鑒別性、可用性和不可抵賴性[7]，使系統(tǒng)具備較強(qiáng)的抗信息攻擊及安全防護(hù)能力。根據(jù)加密對(duì)象的不同，機(jī)動(dòng)式通信加密系統(tǒng)可以分為鏈路加密和網(wǎng)絡(luò)加密。

（1）鏈路加密

鏈路加密是目前最常用的加密方法，通常用硬件在網(wǎng)絡(luò)層以下的物理層實(shí)現(xiàn)。機(jī)動(dòng)式系統(tǒng)支持多種類(lèi)型的通信鏈路，主要分為有線鏈路加密和無(wú)線鏈路加密，有線鏈路加密主要指光路由電路由等，無(wú)線鏈路加密主要指天波、地波、衛(wèi)星等無(wú)線路由通信等的加密。

（2）網(wǎng)絡(luò)加密

3.2.3網(wǎng)絡(luò)隔離

隔離是在數(shù)據(jù)安全交換過(guò)程中，在保證阻隔有害威脅的前提下，實(shí)現(xiàn)安全交換和資源共享[8]。通過(guò)隔離技術(shù)阻斷了網(wǎng)絡(luò)間的直接連接，隔離了通過(guò)連接協(xié)議及數(shù)據(jù)包的攻擊，從而保證了網(wǎng)間數(shù)據(jù)交換的可靠和安全，以及對(duì)數(shù)據(jù)流進(jìn)行有效的管控。相比于物理隔離，網(wǎng)絡(luò)隔離是通過(guò)網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)，機(jī)動(dòng)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)隔離措施包括千兆防火墻、安全控制和網(wǎng)閘隔離等多種措施。

（1）防火墻

防火墻是一種隔離技術(shù)，是在兩個(gè)網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制手段。防火墻在被保護(hù)內(nèi)部網(wǎng)和外部網(wǎng)絡(luò)之間形成一道屏障，建立一個(gè)安全網(wǎng)關(guān)，防止發(fā)生不可預(yù)測(cè)、潛在破壞性侵入。它可通過(guò)檢測(cè)、限制、更改等方式跨越防火墻的數(shù)據(jù)流在實(shí)現(xiàn)網(wǎng)絡(luò)的安全防護(hù)。

（2）安全控制

安全控制通過(guò)安全網(wǎng)關(guān)實(shí)現(xiàn)綜合信息網(wǎng)、專(zhuān)用網(wǎng)絡(luò)等不同網(wǎng)絡(luò)之間的安全隔離、路由信息受控交互、應(yīng)用信息交換以及流量控制等，保證網(wǎng)絡(luò)之間允許通過(guò)的應(yīng)用信息能安全順暢地實(shí)現(xiàn)通信。

（3）網(wǎng)閘隔離

網(wǎng)閘隔離，通過(guò)采用特殊的硬件設(shè)備來(lái)實(shí)現(xiàn)主機(jī)與主機(jī)之間、主機(jī)與網(wǎng)絡(luò)之間、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的隔離。主要采用非網(wǎng)絡(luò)方式傳送等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全隔離。

再次，可以利用JSP+HTML+TOMCAT模式與Solr-Cloud技術(shù)對(duì)所應(yīng)用的服務(wù)其進(jìn)行布置，并構(gòu)建起B(yǎng)/S服務(wù)環(huán)境與適合數(shù)據(jù)倉(cāng)庫(kù)使用的系統(tǒng)。在相關(guān)技術(shù)的支持下實(shí)現(xiàn)對(duì)數(shù)據(jù)的注冊(cè)、輸入以及快速搜索及信息導(dǎo)出等。最后，用戶可以利用系統(tǒng)成果數(shù)據(jù)構(gòu)建起地理成果數(shù)據(jù)庫(kù)、基礎(chǔ)數(shù)據(jù)成果數(shù)據(jù)庫(kù)等，并可以通過(guò)關(guān)鍵字的輸入查詢到所需要的地理信息。

3.2.4 主動(dòng)防御

網(wǎng)絡(luò)系統(tǒng)中的病毒、木馬、黑客攻擊、誤操作等會(huì)對(duì)系統(tǒng)造成極大危害。如何有效避免各種隱患對(duì)網(wǎng)絡(luò)的危害，是網(wǎng)絡(luò)通信安全的重中之重。因此對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行有效的檢測(cè)、監(jiān)控查殺等主動(dòng)防御手段顯得尤為重要。機(jī)動(dòng)網(wǎng)絡(luò)的主動(dòng)防御功能包括殺毒軟件、入侵檢測(cè)、和漏洞掃描等。

（1）殺毒軟件

殺毒軟件是目前應(yīng)用最廣泛，最有效的查殺電腦中病毒的工具。在機(jī)動(dòng)式安全系統(tǒng)中具有病毒查殺功能的有瑞星網(wǎng)絡(luò)防病毒系統(tǒng)和數(shù)據(jù)安全導(dǎo)入終端系統(tǒng)，前者側(cè)重于局域網(wǎng)內(nèi)病毒的主動(dòng)防范、系統(tǒng)監(jiān)控和權(quán)限管理，防止病毒在局域網(wǎng)內(nèi)轉(zhuǎn)播，后者主要針對(duì)U盤(pán)等移動(dòng)傳輸設(shè)備在信息導(dǎo)入時(shí)的安全問(wèn)題，避免外界病毒進(jìn)入系統(tǒng)。

（2）入侵檢測(cè)

入侵檢測(cè)是一種主動(dòng)的網(wǎng)絡(luò)通信安全防護(hù)措施，是通過(guò)分析網(wǎng)絡(luò)傳送的網(wǎng)絡(luò)包來(lái)實(shí)現(xiàn)對(duì)攻擊的檢測(cè)。它可以幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，拓展了系統(tǒng)管理員的安全管理能力。入侵檢測(cè)是網(wǎng)絡(luò)通信安全防御系統(tǒng)不可或缺的組成部分，其可以部署在防火墻、訪問(wèn)控制列表中，能夠?qū)崟r(shí)地采集網(wǎng)絡(luò)中的流量數(shù)據(jù)，對(duì)其進(jìn)行分析、識(shí)別和處理，及時(shí)發(fā)現(xiàn)不正常的數(shù)據(jù)包，從而使系統(tǒng)能運(yùn)行穩(wěn)定而且能有效快速檢測(cè)到絕大部分攻擊行為[9]。

（3）漏洞掃描

漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，指出有關(guān)網(wǎng)絡(luò)的安全漏洞以及被檢測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)通信安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議，防止系統(tǒng)遭受非法入侵。

3.2.5冗余備份

機(jī)動(dòng)式系統(tǒng)對(duì)網(wǎng)絡(luò)可靠性有著極高的要求，-為進(jìn)一步提高系統(tǒng)的生存能力，需對(duì)系統(tǒng)進(jìn)行冗余備份設(shè)計(jì)，包括鏈路冗余、路由冗余、設(shè)備冗余和數(shù)據(jù)備份等。

（1）鏈路冗余

機(jī)動(dòng)式系統(tǒng)網(wǎng)絡(luò)的接入通常采取鏈路冗余措施，設(shè)置多種類(lèi)型線路備份，增強(qiáng)網(wǎng)絡(luò)通信的抗毀容災(zāi)性。

（2）設(shè)備冗余

通過(guò)設(shè)備備份，提升系統(tǒng)網(wǎng)絡(luò)的抗毀容災(zāi)的能力。通過(guò)配備主、備用通信管理服務(wù)器及控制終端，進(jìn)一步提升網(wǎng)絡(luò)的可靠性。通過(guò)配置通信控制終端，利用一鍵轉(zhuǎn)移功能，實(shí)現(xiàn)通信網(wǎng)絡(luò)的主備用線路、功能模塊切換，保障通信連續(xù)不中斷。

（3）路由冗余

系統(tǒng)網(wǎng)絡(luò)的互聯(lián)路由設(shè)備采用多路由冗余，保證一個(gè)路由故障時(shí)或者無(wú)法連接時(shí)，啟用備用路由建實(shí)現(xiàn)網(wǎng)絡(luò)的不中斷，從而保障網(wǎng)絡(luò)的持續(xù)性和可靠性。

（4）數(shù)據(jù)備份

數(shù)據(jù)安全是網(wǎng)絡(luò)通信安全中最重要的一環(huán)。為了保障數(shù)據(jù)的安全，系統(tǒng)采用后臺(tái)高可靠性雙機(jī)熱備、確保數(shù)據(jù)在后臺(tái)自動(dòng)備份保存技術(shù)，確保證系統(tǒng)數(shù)據(jù)的完整性和抗毀性。

（5）網(wǎng)關(guān)冗余

設(shè)置虛擬路由冗余協(xié)議（VRRP），進(jìn)一步提升冗余備份路由的目的。通過(guò)動(dòng)態(tài)的故障轉(zhuǎn)移機(jī)制使虛擬路由設(shè)備的IP地址實(shí)現(xiàn)映射，解決網(wǎng)絡(luò)中交換機(jī)匯聚與切換的問(wèn)題，實(shí)現(xiàn)網(wǎng)關(guān)的冗余。

3.2.6權(quán)限管理

在網(wǎng)絡(luò)系統(tǒng)中，不同的用戶往往對(duì)應(yīng)不同的操作權(quán)限，為了使信息系統(tǒng)保密性、高效性、可控性，防止非法訪問(wèn)、數(shù)據(jù)被竊取、破壞、濫用，需要對(duì)用戶權(quán)限進(jìn)行管理。主要權(quán)限管理包括訪問(wèn)控制、身份驗(yàn)證和數(shù)字證書(shū)等。

（1）訪問(wèn)控制

根據(jù)實(shí)際需求，在網(wǎng)絡(luò)通信路由設(shè)備中通過(guò)設(shè)置VLAN （Virtual Local Area Network）、路由策略、QoS（Quality of Service）、ACL（Access Control list）和MAC地址綁定等功能，合理規(guī)劃網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)系統(tǒng)中網(wǎng)絡(luò)設(shè)備的訪問(wèn)隔離和控制，方便機(jī)動(dòng)網(wǎng)絡(luò)維護(hù)和管理，消除網(wǎng)絡(luò)風(fēng)暴、垃圾流量、越權(quán)訪問(wèn)等問(wèn)題，保證機(jī)動(dòng)網(wǎng)絡(luò)通信的穩(wěn)定和安全。

（2）身份驗(yàn)證

身份驗(yàn)證技術(shù)是在計(jì)算機(jī)中最早應(yīng)用的安全技術(shù)，現(xiàn)在也仍在廣泛應(yīng)用[10]，它是網(wǎng)絡(luò)信息安全的重要屏障。根據(jù)使用人員的職務(wù)、級(jí)別和工作需求等不同，在系統(tǒng)網(wǎng)絡(luò)中分級(jí)設(shè)置管理員和操作員等角色及相應(yīng)的權(quán)限。通過(guò)帳戶密碼驗(yàn)證、生物信息驗(yàn)證和物理密匙驗(yàn)證等手段識(shí)別使用者的身份，給予相應(yīng)的操作權(quán)限。這樣可以對(duì)使用人員的權(quán)限可以進(jìn)行有效的管理，避免出現(xiàn)越級(jí)訪問(wèn)、數(shù)據(jù)篡改、信息泄密等問(wèn)題。

（3）數(shù)字證書(shū)

數(shù)字證書(shū)也被稱(chēng)為數(shù)字標(biāo)識(shí)，是一串能夠表明網(wǎng)絡(luò)用戶身份信息的數(shù)據(jù)，數(shù)據(jù)證書(shū)的主要作用，是針對(duì)用戶的個(gè)人身份信息進(jìn)行驗(yàn)證，從而表明網(wǎng)上信息通信雙方的身份。通過(guò)授予數(shù)字證書(shū)密匙、對(duì)訪問(wèn)者證書(shū)驗(yàn)證，保證有權(quán)限的用戶安全使用系統(tǒng)，從而保障網(wǎng)絡(luò)的信息安全。

3.3典型應(yīng)用

給出一個(gè)機(jī)動(dòng)式網(wǎng)絡(luò)通信系統(tǒng)典型應(yīng)用示例，網(wǎng)絡(luò)通信安全系統(tǒng)連接意圖分別如圖2所示。其安全設(shè)計(jì)內(nèi)容包括：

（1）系統(tǒng)采取低輻射技術(shù)，如車(chē)艙整體屏蔽技術(shù)，對(duì)計(jì)算機(jī)、服務(wù)器、磁盤(pán)陣列等計(jì)算存儲(chǔ)設(shè)備進(jìn)行加固處理，能有效屏蔽和減少電磁輻射，提升系統(tǒng)的信息安全性；

（2） 系統(tǒng)通信網(wǎng)絡(luò)與外部連接采用鏈路冗余和路由冗余，保證系統(tǒng)的鏈路可用；

（3） 采用鏈路加密和多種網(wǎng)絡(luò)隔離技術(shù)實(shí)現(xiàn)系統(tǒng)網(wǎng)絡(luò)和外部的連接，確保信息安全；

（4）系統(tǒng)采用了病毒查殺、入侵檢測(cè)、漏洞掃描、主機(jī)監(jiān)控等主動(dòng)防御技術(shù)，進(jìn)一步保證系統(tǒng)的信息安全，增加系統(tǒng)安全的可靠性；

（5） 采用服務(wù)器和控制終端的冗余設(shè)計(jì)，增強(qiáng)了抗毀容災(zāi)的能力；

（6） 后臺(tái)使用數(shù)據(jù)備份設(shè)備對(duì)重要數(shù)據(jù)及時(shí)備份，保證信息的完整性；

（7）對(duì)指揮終端、服務(wù)器等設(shè)備實(shí)施權(quán)限管理，實(shí)現(xiàn)信息使用控制，提高系統(tǒng)安全性。

圖2 一種機(jī)動(dòng)式網(wǎng)絡(luò)通信系統(tǒng)組成

4 結(jié)束語(yǔ)

未來(lái)的戰(zhàn)爭(zhēng)中，軍事信息網(wǎng)絡(luò)必將成為敵我雙方爭(zhēng)奪的主要戰(zhàn)場(chǎng)，網(wǎng)絡(luò)通信安全關(guān)系到戰(zhàn)爭(zhēng)的走勢(shì)，重要性愈發(fā)凸現(xiàn)。因此，完善機(jī)動(dòng)式網(wǎng)絡(luò)通信安全建設(shè)，加強(qiáng)網(wǎng)絡(luò)通信安全防護(hù)，適應(yīng)信息化建設(shè)和未來(lái)高科技戰(zhàn)爭(zhēng)需要的安全體系是當(dāng)前的重要任務(wù)。

為提高機(jī)動(dòng)網(wǎng)絡(luò)系統(tǒng)的信息安全性和鏈路可用性，機(jī)動(dòng)式網(wǎng)絡(luò)通信系統(tǒng)對(duì)此做了多元化、全方面、深層次的安全實(shí)現(xiàn)方法，并已成功應(yīng)用于機(jī)動(dòng)指揮車(chē)，大幅度地增加了現(xiàn)有機(jī)動(dòng)式網(wǎng)絡(luò)通信的安全性、可靠性，滿足了系統(tǒng)級(jí)指揮車(chē)的設(shè)計(jì)要求，有一定的推廣價(jià)值。

[1]彭彩紅，羅慶云，賀衛(wèi)紅，范進(jìn).計(jì)算機(jī)網(wǎng)絡(luò)安全分析與防范技術(shù)[J].南華大學(xué)學(xué)報(bào)(自然科學(xué)版) , 2005.

[2]王艷柏, 譚璐.網(wǎng)絡(luò)安全的探討[J].長(zhǎng)春大學(xué)學(xué)報(bào)，2005.

[3]楊劍鋒，楊洋，田慧蓉，趙陽(yáng)，劉楠，李金玉，杜之亭，張?jiān)朴?YD/T1736-2009中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)[M].互聯(lián)網(wǎng)安全防護(hù)要求，2009.

[4]黃月江.信息安全與保密（第2版）:現(xiàn)代與未來(lái)戰(zhàn)爭(zhēng)的信息衛(wèi)士[M]，2008.

[5]黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).電子科技大學(xué)工程碩士論文，2011.

[6]朱莉.網(wǎng)絡(luò)安全與防護(hù)的探索[J]科技信息(學(xué)術(shù)版) , 2006.

[7]董曉瑩.網(wǎng)絡(luò)安全漏洞及防范[J].遼寧師專(zhuān)學(xué)報(bào)(自然科學(xué)版)，2005.

[8]趙樹(shù)林，許桂明.基于信息速配的安全標(biāo)定方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

[9]明智勇.網(wǎng)絡(luò)安全初探[J]黃石教育學(xué)院學(xué)報(bào)，2005.

[10]樊鴻.軍事網(wǎng)絡(luò)安全及防護(hù)[J].電腦知識(shí)與技術(shù)，2013.