面向航天行業的密碼應用感知技術研究

馬明杰 王偉忠 鄭宇寧 易園園

黨的二十大報告中有對加快建設航天強國作出重要戰略部署，對于航天企業而言，要實現建設航天強國的目標，筑牢航天行業的網絡安全、全面提升航天行業的網絡安全水平成為必不可少的重要環節。以往的航天網絡呈現孤島模式，但隨著數字化轉型以及軍民融合要求，未來物理隔離環境必將落下帷幕，在此情形下，如何在推動企業高質量發展的前提下保障軍工企業信息安全，實現航天行業內外網絡安全威脅信息和服務的雙循環建設成為重要關注議題。

一、密碼應用必要性分析

據Fortinet 發布的《2023 年運營技術與網絡安全態勢研究報告》顯示隨著IT/OT 網絡的持續融合，針對OT環境的攻擊勢頭有增無減，OT 網絡安全防護已成為全球組織的重中之重。航天行業擔負著國防武器裝備研發生產的主要職責，一直是國家安全和國防力量的重要支柱，隨著軍民融合和數字化轉型工作的持續推進，我國的航天信息網絡安全問題也日益受到關注。近年來，軍工企業遭受到的網絡攻擊日益增多，攻擊手段多樣化、攻擊目標廣泛化。據報道中國航天企業長期受到外來敵對勢力的網絡攻擊；Cloudflare 2022 年第四季度DDoS 威脅報告顯示HTTP DDoS 攻擊占航空/ 航天互聯網資產總流量的35%，航天行業儼然已成為網絡戰爭的重要戰場。

二、航天行業密碼應用現狀及存在問題

（一）應用現狀

我國軍工企業其信息系統通常包括涉密網、商密網、工業生產網絡（工控網）、視頻監控網、互聯網等多個網絡，不同網絡有不同的用途，并參照不同的標準規范體系進行安全防護，多網并行運行以滿足正常業務開展。例如科研設計網絡（SM），主要用于軍工企業科研生產設計及管理辦公，一般部署了ERP、PDM、PLM、CAPP、TeamCenter、OA 以及各類設計仿真驗證平臺工具，并按照分級保護標準、軍民保密資格認定標準等實施安全防護措施，與其他網絡物理隔離，安全保密要求較高。而工業生產網絡（工控網），主要用于軍工裝備實際制造、測試、裝配及批產，其中產線具體包括工企業制造、控制、檢測等環節，該網與科研設計網絡物理隔離。網絡一般采用跨地域、跨單位、跨網絡的方式協同合作。

隨著兩化融合、“中國制造2025”和工業4.0 等產業和政策的發展，航天企業這種孤島模式已經不能滿足新形勢裝備交付要求，未來多網之間大量數據實時、安全、可靠的交換成為必備要求，因此越來越多的軍工企業利用數字化轉型機會大單推進跨網間大數據量的安全可靠交換系統建設。密碼是網絡安全的核心技術和基礎支撐，隨著密碼法、《商用密碼管理條例》等法律法規的發布，航天企業緊跟國家政策，積極發展密碼技術在行業中的應用，密碼技術已經成為保障航天行業網絡與信息安全的重要支撐。在十四五規劃以專篇形式對數字化發展做出系統要求的背景下，軍工行業也需要利用信息化、數字化的新技術、新手段錨定數字化轉型，構建符合軍工特色的數字化基礎設施，支撐服務型制造轉型。信創+軍工數字化轉型帶動了商用密碼建設，直接推動商用密碼改造和信創密碼設備替換，間接推動軍工行業IT 升級，拉動了軍工行業配套密碼建設，國密應用成為剛需。未來伴隨商用密碼在軍工領域的全面鋪開，商用密碼有望在軍工行業加速提升。

密碼設備應用到軍工企業幫助企業實現網絡的安全和可靠可控，但是密碼設備本身是否安全并未引起足夠的重視，但目前還沒有針對應用到軍工企業中的密碼設備的安全研究。本文針對應用到軍工航天行業的密碼設備安全進行研究，通過對密碼設備的網絡安全態勢要素進行分析，構建具備航天行業特色的密碼態勢感知技術框架，以提升航天行業密碼應用安全。

（二）存在問題

1.系統建設缺乏整體規劃，缺少密碼設備態勢感知產品部署。航天行業密碼設備購買以實際應用為導向，往往以模塊為單位進行部署采購，未形成系統的、有效的規劃體系。密碼設備的應用不成體系，對密碼設備態勢感知的產品更鮮有部署，導致對密碼產品安全的監測方面幾乎是空白。

2.未形成針對航天行業特殊網絡特點的密碼態勢感知體系。以航天、航空等為代表的軍工行業，有很多場景需要商用密碼，但大部分場景與行業的科研生產高速嵌套，跨多種網絡應用，具有鮮明的行業特性。密碼態勢感知系統的研究雖然在市面上已經有部分成熟的產品，但是仍然缺乏針對航天行業特殊網絡架構特點的研究。航天行業的密碼態勢感知技術架構體系缺乏相應的法律法規、管理規范、頂層設計和技術支持。

3.信創環境下密碼態勢感知系統與航天行業的適配性較差。信創環境下對密碼的研究大多為設備、軟件的應用，對密碼設備態勢感知的研究較少，且信創環境下特別是對針對工控網絡中的密碼設備態勢感知的研究更是缺乏。

針對上述問題，提出面向航天行業的密碼應用感知技術框架，以幫助航天行業的網絡從業者及時了解網絡中密碼設備的狀況，及時對網絡中存在風險和故障排查和溯源，提升航天行業的網絡安全水平。

三、航天行業密碼態勢感知技術框架設計

（一）功能性設計

針對航天行業的密碼態勢感知系統功能設計如下：

1.具備對密碼設備全要素信息的采集功能。航天行業的密碼設備包含服務器密碼機、簽名服務器、IPSec VPN、SSL VPN、密鑰管理系統、密碼終端模塊等，設備來源多樣，部署方式也不盡相同。需要對密碼設備的全要素信息進行采集，才能全面感知設備信息并呈現。

2.具備多源數據預處理功能。密碼態勢感知設備的數據來源于不同的軟硬件設備。需要具備對數據清洗、集成、歸一化的能力，包括但不限于對多源異構數據的異常值清洗、缺失值補充、多源數據集成、標準化和規劃化等。

3.具備非法加密流量數據分析與挖掘功能。密碼態勢感知系統不僅需要幫助用戶及時研判網絡中的加密流量的狀態、攻擊方式、溯源攻擊來源等，還需要對網絡中的非法加密流量進行管控，采用大數據分析和機器學習等方法，通過建立多維度評估系統，對所有加密流量進行安全分析，從而保障整個網絡安全。

4.具備加密流量和數據的威脅預警功能。系統需要具備利用已知的加密通信的惡意軟件特征，檢測未知威脅的能力，可對加密惡意流量和數據實現威脅預警。通過持續地監測網絡流量，對全流量數據進行分析，及時了解發現網絡中存在的問題。

5.具備可視化呈現功能。為用戶能夠對網絡密碼態勢有直觀的了解，全方位、多維度展示密碼態勢、資產信息、流量態勢、異常檢測、高危漏洞等信息，通過直觀且可交互的圖表，幫助安全運維人員快捷的發現隱藏威脅和風險。

（二）架構設計

航天行業密碼態勢感知系統是指用于監測、分析和預警航天行業網絡密碼設備安全態勢的系統。該系統需要滿足航天行業多網絡的要求，對多網絡中的密碼設備、其他安全設備信息進行采集，利用大數據機器學習技術，對數據進行歸一化處理、更新、存儲等，并通過關聯分析、通信協議分析、用戶行為分析、溯源分析等，為用戶展示安全態勢、溯源結果、安全性評估及相關的業務處理功能。

基于上述要求，將航天行業密碼態勢感知系統分為四層，主要為設備層、數據采集存儲層、分析處理層和態勢展示層。具體如圖所示：

圖1 ：航天行業密碼態勢感知系統功能圖

設備層：主要有分布在不同網絡的設備構成，包含密碼設備和其他安全設備，是數據采集的主要數據來源。

數據采集存儲層：對密碼設備、其他安全設備進行安全類數據采集、全流量采集、基礎信息采集及相關情況采集等。與其他態勢感知系統不同，密碼態勢感知需要對加密流量進行采集分析，流量信息采集模塊通過對網絡中加密及非加密流量采集，可有效獲取網絡中通信的海量元數據，解決傳統審計類設備無法全量獲取流量數據的問題。同時為適應航天系統保密性要求，密碼態勢感知系統的采集需要同時具備離線采集和在線采集兩種模式。

為解決數據格式、質量千差萬別、存儲形式各異的問題，通過不同路徑、不同位置采集的數據需要進行歸一化處理，利用提前約定好的數據格式，數據提供方按照格式提供數據、數據獲取方則按照格式獲取數據，通過預定義的解析規則減小日志解析的時間，提高該系統的可利用性。

分析處理層：通過對用戶行為、通信協議等進行分析，提取相關溯源要素、關聯分析。通過對網絡加密及非加密流量進行解碼還原，提取網絡層、傳輸層和應用層的頭部信息，甚至是重要負載信息。進一步分析流量數據并對用戶行為、通信協議等進行深度威脅檢測和攻擊事件溯源。該層可具備多種多樣的解析類型，同時還內置默認的解析規則，針對不同的日志類型有不同的解析規則，支持主流主機設備、網絡設備、安全設備、應用系統等，通過預定義的解析規則縮短日志解析的時間。

關聯分析主要根據航天行業的業務場景，利用統計、關聯、威脅事件、情報等分析手段通過提取分析流量特征、時空特征、通信特征等多維特征構建面向加密及非加密攻擊流量的關聯分析模型。

溯源分析主要對全量存儲的原始操作日志建立的索引數據，提供交互式的數據檢索功能，為安全分析人員提供便捷的查詢接口，快速檢索安全事件的整個操作軌跡，最終定位到人員，使得分析人員能夠對已發生的信息安全事件進行追溯和定位。

通信協議分析主要針對網絡層、傳輸層、應用層的各類通信協議進行分析，包括IP Sec、SSL、TLS、HTTP、DNS 等協議進行統計分析。

用戶行為分析主要基于流量分析、識別用戶行為，通過對網絡加密及非加密流量進行數據采集、縮減與抽樣等，構建用戶行為模型，從而判別網絡用戶異常流量行為。

態勢展示層：態勢展示層提供用戶網絡內整體網絡安全態勢感知，包括安全態勢展示、溯源結果評估、安全性評估、業務展示等。態勢展示方式包括餅圖、折線圖、面積圖、雷達圖等。

四、未來展望

密碼設備作為保障網絡安全的重要措施，在身份鑒別、溯源等有不可替代的作用，但是對于密碼設備的安全監控仍然是薄弱環節。航天行業對密碼設備的態勢感知研究有待提高，其與密碼的安全技術融合機制缺失，包括適應于航天行業的密碼態勢感知組件的形態選擇、應用機制選擇等。我國航天行業密碼設備態勢安置的防護技術、防護方式仍有進步空間。