許多企業(yè)發(fā)現(xiàn)自己長(zhǎng)期維護(hù)著不安全的操作技術(shù)或遺留IT系統(tǒng)。但它們通過(guò)將脆弱的系統(tǒng)置于防火墻或其他網(wǎng)關(guān)后，或使用入侵防御技術(shù)來(lái)降低這種風(fēng)險(xiǎn)。這是當(dāng)前對(duì)控制系統(tǒng)安全防護(hù)的通行思路和做法。然而網(wǎng)絡(luò)連接泛在化和網(wǎng)絡(luò)攻擊無(wú)處不在，特別在軍事物聯(lián)網(wǎng)應(yīng)用中，跨域（不同區(qū)域、網(wǎng)絡(luò)、網(wǎng)段、密級(jí)）數(shù)據(jù)傳輸?shù)男枨笫浅B(tài)，還會(huì)有很高的實(shí)時(shí)性和可靠性的要求。這才是關(guān)鍵的核心挑戰(zhàn)。1553數(shù)據(jù)總線正在面臨這樣的挑戰(zhàn)。在激烈的未來(lái)戰(zhàn)爭(zhēng)環(huán)境中，所有信息化裝備的關(guān)鍵是彈性/韌性，即抵御網(wǎng)絡(luò)攻擊的能力。另外就是除了信息保障的方法，以減輕1553總線武器系統(tǒng)的脆弱性，更應(yīng)該考慮任務(wù)保障。

　　早在JADC2設(shè)想將1553系統(tǒng)上線的幾年前，美國(guó)軍方就意識(shí)到數(shù)字維護(hù)工具的發(fā)展對(duì)總線構(gòu)成的威脅，這些工具插入飛機(jī)系統(tǒng)并與之交互。事實(shí)上，國(guó)防部高級(jí)研究計(jì)劃局（Defense Advanced Research Projects Agency，簡(jiǎn)稱(chēng)DARPA）駐在五角大樓的瘋狂科學(xué)家們已經(jīng)秘密研究了多年，想要弄清楚如何保護(hù)基于1553總線的武器系統(tǒng)。

　　1553數(shù)據(jù)總線安全保護(hù)的難點(diǎn)

　　那么，是什么讓1553總線如此難以保護(hù)呢？要理解這一點(diǎn)，我們需要回顧一下使它成為一個(gè)如此成功的實(shí)時(shí)航空電子控制系統(tǒng)的特點(diǎn)——可靠性和可預(yù)測(cè)性。為了實(shí)現(xiàn)實(shí)時(shí)控制所需的可靠性，1553協(xié)議具有嚴(yán)格的時(shí)間約束。國(guó)防電子承包商Peraton Labs的系統(tǒng)和網(wǎng)絡(luò)安全高級(jí)研究總監(jiān)約瑟芬·米卡萊夫（Josephine Micallef）表示，這使得在總線上使用防火墻或網(wǎng)絡(luò)入侵防御系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全工具變得不可能。

　　“當(dāng)1553總線上的一臺(tái)嵌入式計(jì)算機(jī)收到一個(gè)請(qǐng)求時(shí)，它們必須在12微秒內(nèi)做出響應(yīng)。如果不這樣做，如果發(fā)送方在14微秒內(nèi)沒(méi)有收到響應(yīng)，那么發(fā)送方就超時(shí)了……如果這種情況經(jīng)常發(fā)生，這些系統(tǒng)就無(wú)法溝通，并出現(xiàn)故障?！?/p>

　　典型的網(wǎng)絡(luò)安全工具將引入20多毫秒范圍內(nèi)的延遲——比1553總線允許的延遲要大幾個(gè)數(shù)量級(jí)。她指出：“如果你把我們?cè)趥鹘y(tǒng)網(wǎng)絡(luò)上使用的這些網(wǎng)絡(luò)安全產(chǎn)品中的一個(gè)放到1553總線上，它會(huì)因?yàn)闀r(shí)間限制而破壞協(xié)議?！?/p>

　　此外，為了達(dá)到足夠的可預(yù)見(jiàn)性，以獲得飛行資格認(rèn)證，1553總線必須具有確定性的功能——沒(méi)有懷疑、不確定性或錯(cuò)誤的空間。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)通常涉及假陽(yáng)性或其他錯(cuò)誤的可能性。簡(jiǎn)而言之，它是概率性的——與確定性相反——這使得它不可能用于像1553這樣的安全關(guān)鍵飛行系統(tǒng)?！澳悴荒馨堰@些網(wǎng)絡(luò)工具插入到總線結(jié)構(gòu)中……你不想把使用總線的設(shè)備炸毀，”Konieczny說(shuō)。

　　因此，大多數(shù)1553安全的早期方法集中于異常檢測(cè)：被動(dòng)地監(jiān)視總線上的流量——這既不違反可靠性要求，也不違反可預(yù)測(cè)性要求——并在發(fā)現(xiàn)異常消息或命令時(shí)向駕駛員發(fā)出警告。

　　保護(hù)1553數(shù)據(jù)總線的實(shí)踐探索

　　2017年，BAE系統(tǒng)公司的一組科學(xué)家申請(qǐng)了網(wǎng)絡(luò)警告接收器（Cyber Warning Receiver, CWR）專(zhuān)利，這是一種旨在“檢測(cè)1553總線上的異常行為”并“向操作員發(fā)出警報(bào)”的設(shè)備。該團(tuán)隊(duì)2018年發(fā)表在《美國(guó)陸軍網(wǎng)絡(luò)防御評(píng)論》（U.S. Army 's Cyber Defense Review）上的一篇文章更詳細(xì)地描述了該設(shè)備的功能。CWR使用機(jī)器學(xué)習(xí)建立總線上正常流量的基線模型，并識(shí)別異常消息。本文為CWR確定了兩種可能的配置。

　　可以將CWR“與關(guān)鍵的1553總線子系統(tǒng)連接在一起，隨時(shí)準(zhǔn)備采取迅速而果斷的行動(dòng)，阻止網(wǎng)絡(luò)攻擊?！边@篇文章既沒(méi)有提到總線通信的時(shí)間安排問(wèn)題，也沒(méi)有提到獲得適航認(rèn)證需要確定性，BAE系統(tǒng)公司多次拒絕了采訪請(qǐng)求。

　　或者，CWR可以配置為脫機(jī)，“被動(dòng)地……監(jiān)視系統(tǒng)的惡意活動(dòng)，并向操作員發(fā)出任何可疑的警報(bào)，但從不主動(dòng)與網(wǎng)絡(luò)交互。”

　　雷神公司在2019年高調(diào)推出的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)（CADS）也采取了類(lèi)似的離線策略。CADS“通知飛機(jī)和車(chē)/機(jī)組人員”有關(guān)“MIL-STD-1553通信總線上的輕微偏差”，該公司的一篇博客文章寫(xiě)道。雷神公司還拒絕了幾次采訪請(qǐng)求。

　　但正如《網(wǎng)絡(luò)防御評(píng)論》（Cyber Defense Review）的那篇文章所指出的，提醒飛行員的問(wèn)題在于，她還有其他事情要做。文章指出，CWR警告“永遠(yuǎn)不應(yīng)該分散飛行員或其他關(guān)鍵任務(wù)人員的注意力，除非發(fā)現(xiàn)迫在眉睫的生存威脅”，并補(bǔ)充說(shuō)，“提供太多的信息，或產(chǎn)生過(guò)多令人討厭的虛假警報(bào)，可能會(huì)導(dǎo)致操作員禁用系統(tǒng)，消除保護(hù)?！?/p>

　　更重要的是，提醒飛行員網(wǎng)絡(luò)攻擊已使他們的武器系統(tǒng)癱瘓，這在軍事術(shù)語(yǔ)中可能被稱(chēng)為次優(yōu)結(jié)果。最理想的結(jié)果是防止或減輕攻擊，并讓武器發(fā)揮作用。米卡萊夫說(shuō)：“這不僅是探測(cè)，而且是預(yù)防和減緩，以確保武器系統(tǒng)的運(yùn)作連續(xù)性?！?/p>

　　為此，她在Peraton實(shí)驗(yàn)室的團(tuán)隊(duì)開(kāi)發(fā)了一種解決方案，直面1553的低延遲和確定性要求。

　　1553總線防御器（Bus Defender）是一個(gè)插件硬件組件，它對(duì)通過(guò)總線的消息執(zhí)行實(shí)時(shí)安全過(guò)濾，只增加大約300納秒的延遲——而且確實(shí)如此。作為一個(gè)硬件內(nèi)聯(lián)模塊，1553總線防御器不需要對(duì)總線上的組件或其配置或軟件進(jìn)行任何修改。

　　“你有一套規(guī)則來(lái)規(guī)定誰(shuí)可以和誰(shuí)交談，”米卡萊夫解釋說(shuō)，所以總線上的一個(gè)不聽(tīng)話或有問(wèn)題的子系統(tǒng)不能模仿飛行計(jì)算機(jī)或其他子系統(tǒng)發(fā)送虛假數(shù)據(jù)。這些規(guī)則為每個(gè)平臺(tái)配置?！癇us Defender需要知道總線上有什么[系統(tǒng)]以及它們?cè)谀睦?，”這樣它就可以執(zhí)行誰(shuí)可以和誰(shuí)說(shuō)話的規(guī)則。該系統(tǒng)還強(qiáng)制執(zhí)行1553通信協(xié)議，消除了設(shè)備或惡意軟件感染可能在拒絕服務(wù)攻擊中擊倒總線的可能性?！叭绻麤](méi)輪到你說(shuō)話，你就別說(shuō)話，”她說(shuō)。

　　Bus Defender提供了異常檢測(cè)功能，但Micallef表示，雖然它可能對(duì)警報(bào)和事后取證有用，但基于異常的算法對(duì)于飛行安全來(lái)說(shuō)“通常具有挑戰(zhàn)性”，因?yàn)樗鼈儭案鶕?jù)定義，具有概率性”。

　　“我們的主要重點(diǎn)是我們的專(zhuān)利、實(shí)時(shí)和確定性算法，可以保護(hù)武器系統(tǒng)免受網(wǎng)絡(luò)攻擊，同時(shí)也能夠?qū)崿F(xiàn)飛行資格，”她說(shuō)。

　　Micallef說(shuō)，Peraton實(shí)驗(yàn)室正在與所有三個(gè)軍事部門(mén)合作，開(kāi)發(fā)總線防御解決方案和適合不同的1553武器系統(tǒng)的形式因素。另一種基于異常檢測(cè)的替代方案是科技初創(chuàng)公司Vitro。該公司創(chuàng)始人兼首席執(zhí)行官大衛(wèi)？古德曼表示，他們的做法符合五角大樓“零信任”的安全理念。他說(shuō)：“我們不是保護(hù)通道，而是保護(hù)數(shù)據(jù)和信息本身?！?/p>

　　Vitro的解決方案在總線連接的某些選定子系統(tǒng)中使用廉價(jià)的硬件附加組件，并依賴(lài)于基于云的公鑰基礎(chǔ)設(shè)施（PKI）加密體系結(jié)構(gòu)。古德曼說(shuō)：“我們不像在VPN中那樣使用PKI來(lái)保護(hù)通道?！彼赋?，這不符合零信任原則。“我們用它來(lái)驗(yàn)證發(fā)送者和驗(yàn)證信息?！?/p>

　　1533數(shù)據(jù)總線安全的終極目標(biāo)--網(wǎng)絡(luò)彈性及任務(wù)保障

　　所有使1553總線在近50年里無(wú)處不在的因素也確保了它的壽命。軍隊(duì)中沒(méi)有新項(xiàng)目，所以向后兼容性一直是一個(gè)需求，也沒(méi)有計(jì)劃替代它。

　　JADC2的愿景要求指揮官能夠調(diào)用所有領(lǐng)域的多種武器和傳感器系統(tǒng)。新美國(guó)安全中心（Center for a New American Security）高級(jí)助理研究員珍妮弗·麥卡德?tīng)枺↗ennifer McArdle）解釋說(shuō)，普遍的連通性是取得勝利的必要條件，因?yàn)檫@確保了美國(guó)軍隊(duì)對(duì)目標(biāo)實(shí)施最有效的攻擊，同時(shí)也給敵人制造了多重困境。

　　但她警告說(shuō)，增加連接會(huì)增加攻擊的表面?！霸诰W(wǎng)絡(luò)社區(qū)中，我們稱(chēng)之為能力/脆弱性悖論：系統(tǒng)變得越精致和復(fù)雜，它們就越有能力。與此同時(shí)，他們反而表現(xiàn)出了更大的脆弱性?！?/p>

　　她說(shuō)，關(guān)鍵是彈性/韌性，即抵御網(wǎng)絡(luò)攻擊的能力。麥卡德?tīng)栒f(shuō)，除了正在開(kāi)發(fā)的信息保障方法，以減輕1553總線無(wú)人機(jī)的脆弱性，軍方還需要考慮“任務(wù)保障”。他說(shuō)：“這意味著要接受這樣一個(gè)事實(shí)，即JADC2將在一個(gè)競(jìng)爭(zhēng)激烈的環(huán)境中運(yùn)作，[通信]將受到破壞、被竊聽(tīng)和顛覆。所以你需要進(jìn)行實(shí)驗(yàn)，進(jìn)行流程化和訓(xùn)練，一旦當(dāng)它退化或被欺騙，仍然可以找到一種方式來(lái)完成任務(wù)。”