基于AP2DR2指挥信息系统的安全防护体系研究

【 摘 要 】 本文首先介绍了指挥信息系统安全防护的基本概念和特点，然后从网络安全技术和网络安全管理等方面分析了如何实现指挥信息系统完全，提出了一种基于AP2DR2模型的指挥信息系统安全防护体系，论述了AP2DR2安全模型是一个多层次、全方位的动态防御体系，指挥信息系统安全防护体系从静态、被动向动态、主动转变，有效地保障了指挥信息系统信息的安全。

【 关键词 】 指挥信息系统；AP2DR2；安全防护体系；安全管理

Research on The Security Protection Architecture of C4ISR System Based On AP2DR2

Wu Si-gen

（Jiangsu Automation Research Institute JaingsuLianyungang 222006）

【 Abstract 】 This paper firstly introduced the concepts and features of C4ISR System security protection，and then analyzed how to implementate network security in terms of network security strategy and technology.The C4ISR System security protection architecture based on AP2DR2 model is proposed，and disserated the AP2DD2 model is a multilevel and all-wave dynamic defense system.The C4ISR System security protection architecture transforms statics，passive to dynamic，initiative.The security protection architecture ensures effectually the information security of C4ISR System

【 Keywords 】 C4ISR system； AP2DR2； security protection architecture； security management

0 引言

在信息化战争中，指挥信息系统将整个作战空间构成一体化的网络，实现了作战指挥自动化、侦察情报实时化和战场控制数字化，大大提高了军队的作战能力。但是，网络系统特别是无线网络的互连性和开发性不可避免地带来了脆弱性问题，使其容易受到攻击、窃取和利用。在军事斗争中，摧毁和破坏对方的军用信息网络系统，成功地窃取和利用对方的军事信息，就会使其联络中断、指挥控制失灵、协同失调，从而夺取战场信息的控制权，大大削弱对方军队的作战能力。随着战场侦察监视系统日趋完善，大量精确制导武器和电子武器、信息武器将广泛投入作战运用，指挥信息系统安全面临严重威胁。确保指挥信息系统信息安全已经是一件刻不容缓的大事，因此，研究指挥信息系统安全防护体系具有十分重要的战略意义。

1 指挥信息系统安全防护的基本概念和特点

指挥信息系统信息安全是在指挥机构的统一领导下，运用各种技术手段和防护力量，为保护指挥信息系统中各类信息的保密、完整、可用、可控，防止被敌方破坏和利用，而采取的各种措施和进行的相关活动。随着军队建设和未来战争对信息的依赖程度越来越高，指挥信息系统信息安全问题日益突出。

近50年来，信息系统安全经历了通信保密、信息安全和信息保障几个几个重要的发展阶段。图1给出了从通信保密到信息保障的概念发展示意。

通信保密指的是信息在处理、存储、传输和还原的整个过程中通过密码进行保护的技术。它以确保传输信息的机密性和完整性，防止敌方从截获的信号中读取有用信息为目的。通信保密技术经历了从简单到复杂、从早期的单机保密到进入网络时代后的通信网络保密的发展过程。直到现在，加密保护仍是军事通信系统重要防护手段。通信保密的核心是确保信息在传输过程中的机密性。

随着网络技术的发展，信息系统的安全提上了日程，“保密”的概念逐渐从早期的通信保密发展到适应于保护信息系统的信息安全。保密性、完整性、认证性、抵抗赖性以及可用性和可控性成为信息安全的主要内容。其中保密性仍然是信息安全中最重要的特性。随着网络攻防斗争的日趋激烈，信息安全在信息系统中的地位不断提升。信息安全的基本目标是保护信息资源的归属性和完整性，维护信息设备和系统的正常运转，维护正常应用的行为活动。信息的保密性、完整性、可用性、可识别性、可控性和不可抵赖性成为信息安全的主要内容。

“信息保障”首次出现在美国国防部（DOD）1996年12月6日颁布的官方文件DODDirective S-3600.1：Information Operation中[3]。这些文件把“信息保障”定义为“通过确保系统的信息作战行动，包括综合利用保护、探测和反应能力以恢复系统”。信息保障特别是将保障信息安全所必需的“保护（Protection）”、“检测（Detection）”、“响应（Response）”和“恢复（Restoration）”（PDRR）视为信息安全的四个联动的动态环节，从而安全管理工作在一个大的框架下，能够针对薄弱环节，有的放矢，有效防范，围绕安全策略的具体需求有序地组织在一起，架构一个动态的安全防范体系。

信息化条件下，指挥信息系统的安全防护具有几个特点。

1）防护范围广阔。当前，指挥信息系统已经延伸至陆、海、空、天多维空间。横向上，除了传统的情报侦察、通信、指挥控制等领域外，在武器控制、导航定位、战场监控等领域也得到了广泛运用。纵向上，指挥信息系统已经将上至战略指挥机构下至每一个技术单位和作战单元甚至单兵联成一体。从信息安全防护角度看，信息空间的每一个局部、节点都可以成为信息攻击的目标，并进而影响整个系统的信息安全。

2）防护措施综合。未来信息化战争中指挥信息系统信息安全将面临着火力打击、电子侦察、电磁干扰、病毒破坏、网络渗透等越来越多的“硬杀伤”和“软杀伤”威胁，为了确保指挥信息系统信息安全，仅靠某一手段和方法难以到达目的，而必须采取综合一体的防护措施。从安全技术运用来看，除了需要运用传统的防电磁泄漏和信息加密技术外，还必须综合运用防病毒、防火墙、身份识别、访问控制、审计、入侵检验、备份与应急恢复技术；从信息安全管理角度上看，既要重视发挥各种信息安全防护技术手段等“硬件”的作用，又要重视加强对各类信息的安全管理，提高指挥信息系统各类使用和维护人员的信息安全意识和能力，发挥好“软件”的作用。

3）攻防对抗激烈。指挥信息系统是各类军事信息的集散地和信息处理中心，针对其进行的信息攻击，可以到达牵一发而动全身的效果，并且其行动代价小，易于实现，具有较强的可控性。现在和未来军事斗争的需要必将推动以指挥信息系统为目标的信息斗争进一步发展，无论是战时还是平时，在指挥信息系统对抗方面的斗争将更加复杂、激烈。

2 基于AP2DR2模型的安全防护体系

指挥信息系统安全防护体系主要防止指挥信息系统的软、硬件资源受到破坏、信息失泄（窃）或遭受攻击，采取物理、逻辑以及行为管理的方法与措施，以保证指挥信息系统进行可靠运行与数据存储、处理的安全；防止敌对国家利用信息技术对本国的国防信息系统进行窃取、攻击、破坏，包括防止对方利用信息技术窃取国防情报、垄断信息技术、攻击和破坏国防信息系统、夺取战场上的制信息权等。指挥信息系统安全防护体系强调实施多层次防御，在整个信息基础设施的所有层面上实施安全政策、步骤、技术和机制，使得攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。

针对指挥信息系统安全防护，本文提出的AP2DR2（Analysis Policy Protection Detection Response Recovery，简称AP2DR2）动态安全模型是由分析（A）、策略（P）、防护（P）、检测（D）、响应（R）、恢复（R）等要素构成，以人、策略、技术、管理为核心，在技术上围绕风险分析、防护、检测、响应、恢复这五个安全环节，即人要依据政策和策略，运用相应的技术来实施有效的部署和管理，从而实现整体指挥信息系统安全防护。如图2所示。

该模型在整体的安全分析和安全策略的指导下，在综合运用各种防护技术（如加密、防火墙、防病毒、身份认证、安全管理技术等）的同时，利用实时检测技术（如入侵检测、漏洞扫描、审计机制等）了解和评估系统的安全状态，通过实时响应和系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的动态防御的安全体系。AP2DR2动态安全模型重视系统级的整体安全，强调“人、技术和运作”三大因素的相互作用，在指挥信息系统的生命周期内，从技术、管理、过程和人员等方面提出系统的安全需求，指定系统的安全策略，配置合适的安全机制和安全产品，最后对系统的安全防护能力进行评估。防护、监测、响应和灾难恢复组成了一个完整的、动态的安全循环，共同构造一个指挥信息系统网络安全环境。

1） 风险分析

安全是指挥信息系统正常运行的前提，指挥信息系统的安全不单是单点的安全，而是整个指挥信息系统网络的安全，需要从多角度进行立体防护。要防护，就要清楚安全风险来源于何处，这就需要对网络安全进行风险分析，搞清楚指挥信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响。风险分析是信息安全管理的基础，目的是通过合理的步骤，以防止所有对网络安全构成威胁的事件发生。很多风险不是因为技术原因，而是由于管理原因带来的，所以要在掌握指挥信息系统安全测试及风险评估技术的基础上，建立基于管理和技术的面向等级保护的、完整的测评流程及风险评估体系，最后根据风险分析结果，制定安全策略。这是实施指挥信息系统安全建设必须最先解决的问题。

2） 安全策略

安全策略是一系列政策的集合，用来规范对组织资源的管理、保护以及分配，以达到最终安全的目的。安全策略的设计主要是为了防止发生错误行为并确保管理控制能够保持一种良好的状态。指挥信息系统安全策略涵盖面很多，一个信息网络的总体安全策略，可以概括为“实体可信，行为可控，资源可管，事件可查，运行可靠”。安全策略是指挥信息系统防护重要的依据，要掌握海量数据的加密存储和检索技术，保障存储数据的可靠性、机密性和安全访问能力。

3） 系统防护

指挥信息系统安全需要从物理、网络、系统、应用和管理等方面进行多层次的防护。系统防护是进入网络的一个门户，它根据系统可能出现的安全问题采取的一系列技术与管理的预防措施，实行主动实时的防护战略。防护可以预防一些被入侵检测系统漏掉而又企图非授权访问的行为。通过态势感知、风险评估、安全检测等手段对当前网络安全态势进行判断，并依据判断结果实施网络防御的主动安全防护体系的实现方法与技术。通过态势判断，进行系统的实时调整，主动地做出决策，而不是亡羊补牢，事后做决策。

4） 实时检测

实时检测主要包括入侵检测、漏洞扫描、防病毒、日志与审计等，其中最为核心的是入侵检测。入侵检测是通过对行为、安全日志、审计数据进行分析检测，从中发现违反系统安全策略的行为和遭受攻击的迹象，利用主动或被动响应机制对入侵作出反应。入侵检测系统将网络上传输的数据实时捕获下来，检查是否有入侵或可疑活动的发生，一旦发现有入侵或可疑活动的发生，系统将做出实时报警响应。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测最能体现整个模型的动态性，是支持应急响应体系建设的基本要素。

5） 实时响应

实时响应就是对指挥信息系统网络的异常情况做出快速积极的反应。在安全策略指导下，强调以入侵检测为核心的安全防御体系，发现并及时截断入侵、杜绝可疑后门和漏洞，并启动相关报警信息。入侵检测与防火墙、漏洞扫描系统、防病毒系统、网络管理系统等安全产品均应实现联动，这些联动本身就是应急响应的一个组成部分，使得以前相互独立、需要在不同的时间段内完成的入侵检测和应急响应两个阶段有机地融为一体。要掌握有效的恶意代码防范与反击策略，一旦发现恶意代码之后，要迅速提出针对这个恶意代码的遏制手段，要进一步掌握蠕虫、病毒、木马、僵尸网络、垃圾等恶意代码的控制机理，要提供国家层面的网络安全事件应急响应支撑技术。

6） 灾难恢复

最基本的灾难恢复当然是利用备份技术，对数据进行备份是为了保证数据的一致性和完整性，消除系统使用者和操作者的后顾之忧。其最终目标是业务运作能够恢复到正常的、未破坏之前的状态。从防护技术来看，容错设计、数据备份和恢复是保护数据的最后手段。在多种备份机制的基础上，启用应急响应恢复机制实现指挥信息系统的瞬时还原，进行现场恢复及攻击行为的再现，供研究和取证。灾难恢复大大提高了指挥信息系统的可靠性和可用性。

3 结束语

信息化条件下的现代战争中，对指挥信息系统的安全防护是赢得信息优势的基础和重要保障。针对指挥信息系统信息面临的安全威胁，本文提出一种基于AP2DR2模型的指挥信息系统信息安全防护体系，即严密的安全风险分析、正确的安全策略、主动实时的防护和检测、快速积极的响应、及时可靠的恢复，是一个闭环控制、主动防御的、动态的、有效的安全防护体系，保障了指挥信息系统网络的安全。

参考文献

[1] 曹雷等. 指挥信息系统[M]. 北京：国防工业出版社，2012.

[2] 苏锦海，张传富. 指挥信息系统[M]. 北京：电子工业出版社，2010.

[3] 童志鹏. 综合电子信息系统[M]. 北京：国防工业出版社，2010.

[4] 邢启江. 信息时代网络安全体系的建设与管理[J]. 计算机安全，2006，（10）：41-43.

[5] 牛自敏. 网络安全体系及其发展趋势综述[J]. 科技广场，2009，11：230-232.

[6] 石志国等. 计算机网络安全教程[M]. 北京：清华大学出版社，2007.

作者简介：

吴四根（1980-），男， 江西九江，工程师，主要从事军事网络与通信技术研究。