导语
继续看天地一体化网络安全方面的综述,感觉这篇比上一篇论文的架构更清晰
1 基本信息
作者:李凤华 张林杰 陆月明 耿魁 郭云川
发表年份:2020
会议/期刊名:天地一体化信息网络
研究对象:天地网络安全保障技术
2 问题陈述
天地网络具备巨大的经济和社会价值,但由于其多种特征,导致在物理层、网络层、数据层、内容层面临巨大威胁,需要对安全风险进行系统地梳理,提出安全保障体系,实现安全保障关键技术。
3 研究内容/方法
3.1 风险分析
测控/运控信息:由于测控网络终端的位置分布广,设备组件复杂,面临内部攻击、无线信道侦听、特定射频发送信息、重放攻击等。
终端接入:面临用户身份仿冒的风险。
无线信道:由于无线通信传输设备媒介的特殊性,容易遭受嗅探攻击、中间人攻击。
业务信息系统:身份鉴别信息被攻击者截获、假冒和重用;业务数据在传输、存储过程中被攻击。
运维管理:信息传输、存储过程中被攻击、管理员身份被仿冒、设备被假冒、劫持。
3.2 安全保障体系
安全支撑层作为底层技术,为上层应用服务提供支撑,包括身份、权限认证和密码基础设施;
接入安全层负责在节点接入网络、接入链路时提供安全保障,确保授权设备访问授权权限;
网络安全层负责进行动态组网控制和网间隔离交换和互联安全管控;
安全服务层提供各种安全服务;
态势感知负责收集数据,动态识别安全威胁;
统一安全管理动态配置安全策略,对威胁进行分级智能管控。
3.3 安全保障技术
3.3.1 统一安全管理与安全态势预警
负责收集数据,分析安全威胁,动态配置安全策略并进行分级管控
3.3.2 实体认证与接入防护
研究认证与接入技术,需要解决的问题为大规模、高延时、多域、随遇接入、无缝切换
3.3.3 多域网络互联安全控制
保障不同域的网络在相互连接时的安全,包括制定差异化的过滤规则,及时、动态选取管控策略,检测异常流量以保障路由均衡,配置轻量级通信协议、抗隐蔽通道等
3.3.4 密码按需服务
包括密码资源动态管理、高性能计算、保护密码装置安全。
密码资源动态管理与协商:存在设备类型多、密码资源多、分区分域复杂、行政管理归属复杂等问题,需实现全网密码资源的动态识别、分发与配置机制,实现集中式与分布式相结合的分区分域密码资源动态管理。
场景适应的高性能密码计算框架及平台:天地网络用户终端类型众多、用户业务多样、通信网络动态变化、用户连接并发频繁、不同安全等级用户互联互通,需要实现归一化密码计算及服务、高效管理密码运算状态、按需重构密码计算单元、服务状态全程跟随的密码服务调度、多核多密码算法高速数据透明交换。
密码装置安全防护:天地网络密码设备类型多、分布区域广、应用环境高度开放,易受到窃听、篡改等攻击,并可能受到高能粒子辐照影响,需突破空间抗辐照的算法多核管理与调度。
3.3.5 安全服务动态重构
仿真多样化高并发用户行为和大规模差异化网元实体,弹性重构骨干网络。
4 总结
梳理天地网络的特征,针对天地网络中的安全威胁,系统地梳理测控/运控信息、终端接入、无线信道、传输、业务信 息系统、运维管理等方面的安全风险,提出融合安全支撑层、接入安全层、网络安全层、安全服务层及安全态势预警、统一安全管理等的天地网络安全保障架构,设计统一安全管理与安全态势预警、实体认证与接入防护、多域网络互联安全控制、密码按需服务、安全服务动态重构等的实现机制,为天地网络安全提供有效支撑。
参考文献
[1]. 李凤华等, 天地网络安全保障技术研究. 天地一体化信息网络, 2020. 1(1): 第17-25页.
