保護(hù)嵌入式網(wǎng)絡(luò)所需的企業(yè)網(wǎng)絡(luò)防御

為了實現(xiàn)和保持作戰(zhàn)優(yōu)勢，協(xié)調(diào)部署的部隊，并實現(xiàn)新的作戰(zhàn)能力，美國陸軍、空軍、海軍、海軍陸戰(zhàn)隊和太空部隊正在積極尋求新的計劃，如聯(lián)合全域指揮和控制（JADC2），以確保作戰(zhàn)人員具有最大的態(tài)勢感知能力。這種升級推動正在推動連接云、指揮所、作戰(zhàn)平臺和下馬作戰(zhàn)人員的端到端網(wǎng)絡(luò)的發(fā)展。它還預(yù)計在大數(shù)據(jù)處理、人工智能和機(jī)器學(xué)習(xí)的支持下增加大量傳感器和視頻饋送，以加快所有作戰(zhàn)領(lǐng)域的決策。

這種網(wǎng)絡(luò)化戰(zhàn)場的愿景包括標(biāo)準(zhǔn)化和可互操作的數(shù)據(jù)格式和應(yīng)用程序編程接口（API），這將打破信息源，應(yīng)用程序和平臺之間的障礙和煙囪 - 使指揮官和數(shù)據(jù)分析系統(tǒng)能夠開發(fā)通用的操作圖片。雖然這一愿景的好處令人信服且易于理解，但它提出了一個不容忽視的問題：隨著這些網(wǎng)絡(luò)的規(guī)模和復(fù)雜性的增長，它們的網(wǎng)絡(luò)安全攻擊表面也在增加。也就是說，網(wǎng)絡(luò)將有更多可以受到攻擊的地方，并且將有更多必須管理的漏洞。這種類型的網(wǎng)絡(luò)擴(kuò)散還具有將網(wǎng)絡(luò)安全威脅引入傳統(tǒng)上不易受到外部攻擊者攻擊的位置（例如嵌入式系統(tǒng)）的副作用。這種情況只會因我們近乎同行的對手在網(wǎng)絡(luò)領(lǐng)域廣泛承認(rèn)的、增加的作戰(zhàn)活動而加劇。

這個漏洞不是理論上的風(fēng)險，美國國防部（DoD）將明智地從工業(yè)部門的教訓(xùn)中吸取教訓(xùn)，工業(yè)部門經(jīng)歷了對通常用于所謂的操作技術(shù)（OT）的嵌入式系統(tǒng)的攻擊，這些系統(tǒng)用于制造設(shè)備的過程控制等應(yīng)用。從歷史上看，工業(yè)部門一直使用“氣隙”技術(shù)來隔離OT，使用屏障來保護(hù)某些操作免受高度連接網(wǎng)絡(luò)的影響。然而，互連這些設(shè)備和自動化OT的IT管理的好處已經(jīng)打開了威脅格局。

網(wǎng)絡(luò)漏洞示例

CISA對影響天然氣壓縮設(shè)施運營技術(shù)OT網(wǎng)絡(luò)上的控制和通信資產(chǎn)的網(wǎng)絡(luò)攻擊做出了回應(yīng)。威脅參與者使用魚叉式網(wǎng)絡(luò)釣魚類型的鏈接來獲取對組織的信息技術(shù) （IT） 網(wǎng)絡(luò)的初始訪問權(quán)限，然后再轉(zhuǎn)向其 OT 網(wǎng)絡(luò)。然后，威脅參與者部署了商品勒索軟件來加密數(shù)據(jù)，以影響兩個網(wǎng)絡(luò)。OT網(wǎng)絡(luò)上失去可用性的特定資產(chǎn)包括人機(jī)界面（HMI）、數(shù)據(jù)歷史學(xué)家和輪詢服務(wù)器。受影響的資產(chǎn)不再能夠讀取和匯總從低級OT設(shè)備報告的實時操作數(shù)據(jù)，從而導(dǎo)致人類操作員部分失去視野。

如果諸如JADC2之類的愿景將C5ISR（指揮，控制，計算機(jī)，通信，網(wǎng)絡(luò)，情報，監(jiān)視和偵察）網(wǎng)絡(luò)連接到大量戰(zhàn)術(shù)平臺陣列，包括車輛/平臺網(wǎng)絡(luò)，士兵的下馬網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。隨著C5ISR網(wǎng)絡(luò)越來越多地使用嵌入式外形尺寸來減小設(shè)備的尺寸、重量和功耗（SWaP），這種情況可能尤其正確。當(dāng)一切都連接起來時，C5ISR網(wǎng)絡(luò)（大致相當(dāng)于企業(yè)世界中的IT網(wǎng)絡(luò)）將使戰(zhàn)術(shù)平臺和遠(yuǎn)邊緣網(wǎng)絡(luò)和計算機(jī)面臨新的網(wǎng)絡(luò)安全威脅。

這些新網(wǎng)絡(luò)需要什么？

新互連的實施需要對新暴露在威脅下的系統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)、技術(shù)控制和流程、漏洞和攻擊面進(jìn)行徹底審查。過去，系統(tǒng)架構(gòu)師、網(wǎng)絡(luò)安全工程師和審批機(jī)構(gòu)可能會評估戰(zhàn)術(shù)和遠(yuǎn)邊緣系統(tǒng)，并了解它們與 C5ISR 網(wǎng)絡(luò)隔離，得出的結(jié)論是他們不需要（也負(fù)擔(dān)不起）IT 網(wǎng)絡(luò)中常見的網(wǎng)絡(luò)安全保護(hù)。特別是，在平臺上添加額外的技術(shù)可以在已經(jīng)受限的平臺上提高SWaP。

更復(fù)雜的是，增加典型的IT設(shè)備會增加戰(zhàn)術(shù)和遠(yuǎn)端項目的成本和培訓(xùn)，并可能減慢程序的開發(fā)時間。系統(tǒng)設(shè)計人員能夠依靠戰(zhàn)術(shù)和遠(yuǎn)邊緣平臺上的氣隙來保護(hù)系統(tǒng)免受C5ISR網(wǎng)絡(luò)的影響，到目前為止，他們已經(jīng)能夠設(shè)計出“外部”網(wǎng)絡(luò)安全保護(hù)并滿足其程序要求。然而，對于網(wǎng)絡(luò)互連，這不再是一個可行的設(shè)計策略。

好消息是，最近的技術(shù)突破現(xiàn)在使得在小型解決方案中部署使用最佳企業(yè)級網(wǎng)絡(luò)安全技術(shù)的堅固、嵌入式網(wǎng)絡(luò)技術(shù)成為可能，這些解決方案可提供下一代 C5ISR 解決方案所需的更高網(wǎng)絡(luò)速度和數(shù)據(jù)安全性。得益于許多趨勢 - 包括提高的CPU性能和內(nèi)存容量，允許虛擬化網(wǎng)絡(luò)安全功能，以及主要企業(yè)網(wǎng)絡(luò)供應(yīng)商提供的新的嵌入式板 - 這些技術(shù)在嵌入式外形尺寸中變得越來越可用 - 在分立模塊解決方案甚至基于VPX外形尺寸的C5ISR/EW模塊化開放標(biāo)準(zhǔn)套件（CMOSS）兼容解決方案中。

在不遠(yuǎn)的過去，部署企業(yè)級網(wǎng)絡(luò)安全功能的唯一選擇是現(xiàn)場企業(yè)設(shè)備 - 19英寸機(jī)架式數(shù)據(jù)中心式設(shè)備 - 大型，耗電且脆弱，根本不適合嵌入式或平臺集成應(yīng)用。如今，許多關(guān)鍵的網(wǎng)絡(luò)安全功能都是虛擬化和軟件定義的，能夠在單板計算機(jī)上運行，從而可以部署在嵌入式解決方案（如CMOSS/VPX）上，也可以部署在分立模塊上，從而顯著降低SWaP并滿足嚴(yán)格的MIL-STD資格。

其中一個例子是新的思科Catalyst ESS 9300，這是新型10端口10千兆以太網(wǎng)交換機(jī)，專為板載關(guān)鍵任務(wù)戰(zhàn)術(shù)移動通信而設(shè)計。這款強(qiáng)化型交換機(jī)模塊基于思科最新的 9300 技術(shù)，工作溫度為 -40 至 85 °C，可在極端惡劣的環(huán)境中提供最佳性能。緊湊的模塊尺寸僅為 110 mm x 85 mm，僅需 35 瓦的功率。

該交換機(jī)的介紹是思科提供商用現(xiàn)貨 （COTS） 解決方案的良好記錄的一部分，這些解決方案還滿足嚴(yán)格的企業(yè)和 DoD IT 網(wǎng)絡(luò)安全要求。安全功能包括思科的TrustSec;遵守“安全啟動”標(biāo)準(zhǔn);以及用于識別和限制用戶的身份驗證、授權(quán)和記帳功能。后一項功能可在訪問資源時測量使用情況，思科計劃全面認(rèn)證該解決方案的加密實施和功能，使其符合 FIPS-140 和通用標(biāo)準(zhǔn)等標(biāo)準(zhǔn)。這項技術(shù)將該公司的安全IOS-XE交換軟件（部署在許多商業(yè)企業(yè)中）帶入國防部嵌入式市場。由于其交換技術(shù)已經(jīng)廣泛部署在整個軍事組織及其支持集成商中，并且由于思科在為軍事提供培訓(xùn)方面投入了大量資金，因此基于思科的技術(shù)的可用性減少了培訓(xùn)和實施時間，同時提高了網(wǎng)絡(luò)的可維護(hù)性。

基于新型思科 10 GbE 交換機(jī)的 DoD 就緒解決方案的一個例子是 Curtiss-Wright 的 PacStar 448 模塊。它采用完全堅固的外殼，增加了軍用互連和功能，例如支持使用軍用標(biāo)準(zhǔn)電池運行，使其可用于部署在移動數(shù)據(jù)中心。Curtiss-Wright 從設(shè)計的早期階段就與思科密切合作，參與了解決方案的開發(fā)，并就早期工程樣品進(jìn)行了合作，以確保成功滿足軍事性能要求。

PacStar 448 可為任何類型的戰(zhàn)術(shù)網(wǎng)絡(luò)應(yīng)用提供高速交換。它還直接插入已部署的 PacStar 模塊化數(shù)據(jù)中心 （MDC），這是一個戰(zhàn)術(shù)和遠(yuǎn)征堅固的數(shù)據(jù)中心，能夠托管任務(wù)指揮、云/存儲、傳感器融合、AI 和分析應(yīng)用程序。

針對惡劣環(huán)境部署的堅固耐用的SWAP優(yōu)化企業(yè)級網(wǎng)絡(luò)硬件的出現(xiàn)將在C5ISR和平臺網(wǎng)絡(luò)設(shè)備合并之前提供所需的安全網(wǎng)絡(luò)，確保作戰(zhàn)人員能夠保持對關(guān)鍵的新態(tài)勢感知技術(shù)和能力的訪問，這些技術(shù)和能力為他們提供了力量倍增優(yōu)勢 - 即使面對日益增加的網(wǎng)絡(luò)安全威脅。

審核編輯：郭婷