基于“云安全”的指揮信息系統網絡防病毒模型

王朝陽，李 云

（解放軍炮兵學院，安徽 合肥 230031）

在戰爭形態逐步由機械化戰爭向信息化戰爭過渡的進程中，作戰指揮對指揮信息系統的信息安全的要求越來越高。指揮信息系統實質上是用于作戰指揮的信息系統，安全問題與生俱來。信息安全技術已經成為維護指揮信息系統安全穩定的關鍵技術，是指揮技術的重要組成部分。而指揮信息系統網絡相對于互聯網而言，其作為一個獨立網絡系統的安全狀況要好很多，但隨著軍隊一體化指揮網絡平臺規模的擴大，指揮信息系統網絡終端數量的不斷增加，其安全性也不容樂觀，在進行計算機操作時，其終端感染病毒的機率就增加，破壞性也就隨之增加[1]。為此，本文引入一種異于傳統殺毒模式的“云安全”防毒模型，以更有效的方法來彌補傳統方式的不足。

1 指揮信息系統面臨的信息安全威脅

指揮信息系統是以戰場計算機網絡為核心的電子信息系統，網絡分布廣，無線、有線通信信道多，必然是敵進行電子干擾、破壞的重點目標，這種干擾、破壞將貫穿作戰的全過程。而且由于指揮信息系統本身在安全方面所存在的脆弱性，以及人們的信息安全觀念淡薄，安全措施的建立和設備的研制相對遲緩，信息安全技術和綜合治理的落后，導致軍事指揮信息系統在安全方面不同程度的出現了種種漏洞和隱患。

1.1 硬件侵入

指揮信息系統的硬件自身是否具有防護能力以及防護能力技術的高低等，都關系到系統安全的強度。據分析，目前指揮信息系統在硬件安全方面除了自身的電磁泄露和電磁波干擾之外，最突出的就是硬件侵入破壞。使用先進的微電子技術的信息系統設備，對信息竊取和系統破壞的防范是很脆弱的。國外已研制出的微米/納米機器人（Micro/NanoMachines）可部署到指揮信息系統附近，它們可攜帶微型傳感器竊取信息；細菌炸彈可把芯片細菌（Microbes）投進指揮信息系統，嗜食硅片，破壞系統設備；靈巧炸彈和智能導彈可摧毀指揮信息系統中的關鍵網絡節點。

1.2 軟件攻擊

軟件是控制信息化裝備安全的關鍵部件，但往往又成為危害信息化裝備安全的重要手段。軟件具有二重性，它既是安全保護的對象和安全控制的措施，又是危害信息系統安全的途徑和手段。軟件系統是指揮信息系統的靈魂，它同硬件系統一道，都是指揮信息系統的重要裝備。而軟件攻擊則是指以軟件為手段，主要針對指揮信息系統中的軟件進行攻擊。如獲取未經授權或授權以外的信息，阻礙指揮信息系統正常運行和合法用戶的正常使用等。計算機病毒攻擊就是典型的以軟件作為手段的攻擊。目前利用軟件進行攻擊的方式有：數據欺騙（篡改數據或輸入假數據）、超級沖殺（用共享程序突破系統防護，竊取數據或破壞數據及系統功能）、異步攻擊（將入侵指令摻雜在正常作業程序中，以獲取數據文件）、偽造證件以及寄生術等。可利用的軟件武器主要有邏輯炸彈（Logic Bombs）、“特洛伊木馬”（Trojan horse）和蠕蟲（Worms）等計算機病毒程序。

2 新型“云安全”防病毒模型

未來一體化聯合作戰，其網絡化作戰指揮平臺的信息網絡在規模擴大的同時，其安全性也不容樂觀，因此，構建基于“云安全”模式的指揮信息系統安全防病毒系統防線迫在眉睫，對于提高指揮信息系統信息網絡的安全具有十分重要的意義。

2.1 “云安全”的概念及原理

“云安全(Cloud Security)”技術是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果，是網絡時代信息安全的最新體現，它融合了并行處理、網格計算、未知病毒行為判斷等新興技術和概念，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，傳送到服務器端進行自動分析和處理，再把病毒和木馬的解決方案分發到每個客戶端，而這些客戶端和服務器群就構成了一個龐大的“云”[2]。當前“云安全”實現原理主要分為兩種，一種是以趨勢科技為代表提出的基于構建大量病毒特征碼數據庫服務器群的模式；另一種是以瑞星公司為代表提出的基于收集廣大客戶機終端病毒樣本，在服務器端進行處理并反饋解決方案的模式。“云安全”的殺毒模式，主要是網絡化的主動防毒，殺毒軟件利用互聯網強大的網絡支持，通過互聯網實時監控網絡及用戶主機，在用戶即將訪問有害網頁或病毒程序前提醒用戶，其重點是在于“防”，即防止大部分終端不受病毒感染[3]。

2.2 “云安全”防病毒模型的建立

“云安全”是一個開放性系統，其“探針”應當與其它軟件相兼容，即使用戶使用不同的殺毒軟件，也可以享受“云安全”系統帶來的成果[4]。軍事指揮信息系統網絡不同于互聯網，它的信息網絡相對獨立，安全威脅也并沒有互聯網上那么嚴重，并不需要像互聯網那樣建大規模的服務器群，我們可以整合“云安全”的兩個實現原理的優點，發揮各自特長，進行新型防病毒模式的構建。可以在實際應用中，結合訓練和作戰任務的需要，在各個布局上建立指揮機構中心需要的一定數量的分布式指揮機構網絡中心服務器群，達到網絡作戰的目的就行。并且要配備相應的軍隊技術骨干，進行病毒樣本特征碼的提取、分析、定位等處理，以便更好的對其維護。

2.2.1 建立云指揮終端安全檢測架構

可以結合各作戰指揮機構中心服務器的特點，采用以網頁信譽服務、郵件信譽服務和文件信譽服務、行為關聯分析技術、自動反饋機制、威脅信息匯總為技術基礎的云指揮終端安全檢測架構，將反病毒功能包裝成網絡服務，由終端或者單一的服務器端移植到網絡云（上級云安全中心）上，實現云端檢測。把軍事指揮信息系統受到的各種信息網絡安全威脅等病毒特征碼文件，利用指揮終端軟件自動提交、主動防御技術等采集方式，一部分可查殺的病毒系統進行查殺處理，確保安全后傳輸到指揮終端；另一部分最新的病毒信息被保存到指揮機構網絡節點服務器群的云數據庫中，令其在端點處保持最低的數量用于驗證，這部分服務器群能夠在病毒威脅到“云端”之前將其攔截。

2.2.2 實時偵測上報終端安全威脅的防毒系統

軍事指揮信息系統是一個集各指揮機構服務集群的自動化作戰指揮系統，其在信息網絡當中已經建立了適量的服務器，對于每個服務器來說，應當可以實時收集終端的安全威脅，并進行分析處理，處理結果儲存到服務器群當中，并將處理方案分發到各個指揮終端中去，防止其它終端遭受類似威脅。基于“云安全”的防毒模型中的指揮終端軟件具有“自動診斷”功能，在此模型中采用 CloudAV的 N-Version保護技術思想，由各種各樣的檢測引擎來提供分析結果，可以有效擴大對多種惡意軟件的檢測范圍，防御極度復雜并不斷進化的惡意軟件[5]。開機時指揮終端軟件模塊會自動掃描，如果發現異常行為的程序，則上傳到指揮機構網絡節點服務器群進行分析。分析完畢，如果不是病毒，則不進行操作；如果是病毒，則把特征碼及處理措施返回給終端，用戶運行軟件掃描，即可清除病毒，同時這個病毒解決方案還被其它終端所采用。這些用戶中只要有任何一個中毒，則樣本一定會被收集上來，這樣就可以最大程度地解決木馬樣本收集困難的問題。服務器端的“云安全”系統服務器群可以自動處理絕大部分終端軟件上傳的新病毒。這樣，理論上可以大大降低指揮信息系統在使用中所遭遇的病毒侵害 (模型如圖1所示) 。

2.3 模型的分析

從構建的模型中可以看出，改進型的指揮信息系統防病毒模型是基于從用戶中毒、指揮終端軟件探測自動上傳、服務器返回分析結果到最后查殺的循環過程。它把云指揮終端安全檢測架構同防毒系統聯系在一起，整合成以并行服務器群為基礎的、以各指揮終端為延伸的軍事指揮信息系統新型防病毒系統。

2.3.1 指揮終端軟件

指揮終端軟件的作用主要是識別新的文件并且將它們發送到指揮機構中心的網絡上進行分析，主要有兩種實現形式。一種是運行在諸如桌面、便攜式計算機、移動設備等終端的輕量級的客戶代理，用來識別新的文件并將它們發送到指揮機構中心的網絡上，每個文件都將生成唯一的標識碼，通過與之前分析過的文件比較，決定是否將文件發送到網絡云中進行分析[6]。另外一種實現形式是利用網絡傳感器或網絡監聽器，在文件沒有到達終端用戶時，使用深度分組檢查技術，就進行檢測和分析。

2.3.2 網絡節點服務器群

網絡節點服務器群的作用是接受指揮終端傳來的文件，識別惡意的內容，并保存病毒特征碼，實時處理指揮終端病毒威脅樣本。它與傳統方式的不同之處在于，它集合了多個檢測分析引擎，對文件進行并行分析，并通過綜合給出分析結果。分析報告中包含以下幾方面的內容：

1）操作指令。一組能夠指導指揮終端操作的說明，如文件應該存儲、打開、執行或者是隔離。

2）由不同的檢測引擎分配的惡意軟件分類標識。

3）行為分析。包括文件和密碼的修改、網絡行為或者其它狀態的信息改變。分析報告將存儲在指揮終端的本地緩存中或服務器群的遠程共享緩存中，再出現相同的文件時，用戶不需要再發送到網絡上進行分析，直接在本地就能進行檢測分析。

圖1 軍事指揮信息系統防病毒模型

2.3.3 存檔服務組件

存儲服務組件用來存儲分析結果信息并提供操作管理接口。模型中的服務器群上，其病毒特征碼數據庫來源于實時偵測“云端”中病毒樣本和系統攔截網絡中的威脅。而且在這個防護系統中，隨著加入指揮網絡的終端數量的增加，理論上捕獲的病毒特征碼就會越充分，對于整個“云”系統來說就越安全。通過模型的仿真實驗，證明這種 N-Version保護技術對于新出現的惡意攻擊的防御檢測范圍要比傳統的單個反病毒引擎高很多。

3 實時性分析

未來信息化戰爭，戰場情況復雜、變化急劇，戰機稍縱即逝，使得情報信息的“有價值時間”也越來越短、時效性越來越強。因此，對于依賴信息化程度較高的指揮信息系統而言，提高其獲取信息的安全性、快捷性和有效性，無疑成為迫在眉睫的問題。這種“云安全”模式的特點實現了軍用計算機資源的高效整合與快速處理防病毒的能力，可以大大提高指揮信息系統對于實際運用的實時性安全需求。

3.1 實現了防病毒的互聯網化

這種互聯網化首先體現在網絡資源的互聯上，通過成千上百的服務器互聯，可以大大提高反病毒的處理能力與響應時間；其次是信息的互聯，利用數量眾多的指揮終端收集并獲取最新病毒信息，并將最終解決方案實現共享。因此，對于指揮終端用戶來說，既是推動反病毒技術發展的貢獻者，同時也是受益者。

3.2 檢測惡意軟件更高效

模型中，每個指揮終端客戶都運行一個輕量級的程序來檢測新的文件，并將它們發送到網絡服務器進行分析，然后根據網絡服務提供的報告，決定是否接受文件或者進行隔離處理。而且多個反病毒引擎的結合，可以綜合各個引擎的檢測能力，使檢測更加全面。

3.3 反病毒能力更強

將病毒檢測功能移植到網絡服務器群上，構建一個更大的防病毒平臺，整個戰役戰術互聯網就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，系統就會更安全。當新的病毒威脅出現時，云反病毒服務能夠根據歷史記錄發現以前相似或相同的病毒活動，甚至可以自動地隔離受感染的主機。

4 結束語

對于未來一體化聯合作戰來說，指揮平臺將更多的依賴于信息化程度較高的軍事指揮信息系統，這就對指揮信息系統的安全防護提出了更高的要求。尤其是面對敵方的計算機網絡病毒的“硬”、“軟”殺傷，就要求采取更有針對性和時效性的措施進行防御。文章提出的一種異于傳統殺毒模式的“云安全”防病毒模式，它優于傳統殺毒模式的特點是能夠對網絡中的新型病毒做出快速反應，對于指揮信息系統信息網絡病毒的防范具有很好的指導作用。

[1]陳春,李洪峰,李云.指揮信息系統運行機制研究[M].北京:解放軍出版社,2006.

[2]木森鑫.云安全 2.0: 終端、網關連成整體安全防護云[OL].http://tech.ccidnet.com/art/1099/20090727/1839225_1.html(賽迪網),2009-07-30.

[3]利莉,王效東.基于“云”端的網絡安全[J].景德鎮高專學報,2009(12):18-19.

[4]汪水翔,薛蘭玉,劉勇.基于“云安全”技術的軍隊信息網絡防毒系統研究[J].實踐探究,2009(9):61-79.

[5]Oberheide J,Cooke E,Jahanian F(2008) Cloudav:N-version antivirus in the network cloud.In: Proceedings of the 17th USENIX security symposium(Security’08),San Jose,28 July-1 August 2008.

[6]劉鵬.云計算[M].北京: 電子工業出版社,2010.

[7]中國云計算網.云安全的技術實現[0L].http://www.chinacloud.cn/show.aspx?id=1302&cid=29,2009-04-21.