許多企業(yè)發(fā)現(xiàn)自己長期維護著不安全的操作技術或遺留IT系統(tǒng)。但它們通過將脆弱的系統(tǒng)置于防火墻或其他網(wǎng)關后，或使用入侵防御技術來降低這種風險。這是當前對控制系統(tǒng)安全防護的通行思路和做法。然而網(wǎng)絡連接泛在化和網(wǎng)絡攻擊無處不在，特別在軍事物聯(lián)網(wǎng)應用中，跨域（不同區(qū)域、網(wǎng)絡、網(wǎng)段、密級）數(shù)據(jù)傳輸?shù)男枨笫浅B(tài)，還會有很高的實時性和可靠性的要求。這才是關鍵的核心挑戰(zhàn)。1553數(shù)據(jù)總線正在面臨這樣的挑戰(zhàn)。在激烈的未來戰(zhàn)爭環(huán)境中，所有信息化裝備的關鍵是彈性/韌性，即抵御網(wǎng)絡攻擊的能力。另外就是除了信息保障的方法，以減輕1553總線武器系統(tǒng)的脆弱性，更應該考慮任務保障。

　　早在JADC2設想將1553系統(tǒng)上線的幾年前，美國軍方就意識到數(shù)字維護工具的發(fā)展對總線構成的威脅，這些工具插入飛機系統(tǒng)并與之交互。事實上，國防部高級研究計劃局（Defense Advanced Research Projects Agency，簡稱DARPA）駐在五角大樓的瘋狂科學家們已經(jīng)秘密研究了多年，想要弄清楚如何保護基于1553總線的武器系統(tǒng)。

　　1553數(shù)據(jù)總線安全保護的難點

　　那么，是什么讓1553總線如此難以保護呢？要理解這一點，我們需要回顧一下使它成為一個如此成功的實時航空電子控制系統(tǒng)的特點——可靠性和可預測性。為了實現(xiàn)實時控制所需的可靠性，1553協(xié)議具有嚴格的時間約束。國防電子承包商Peraton Labs的系統(tǒng)和網(wǎng)絡安全高級研究總監(jiān)約瑟芬·米卡萊夫（Josephine Micallef）表示，這使得在總線上使用防火墻或網(wǎng)絡入侵防御系統(tǒng)等傳統(tǒng)網(wǎng)絡安全工具變得不可能。

　　“當1553總線上的一臺嵌入式計算機收到一個請求時，它們必須在12微秒內做出響應。如果不這樣做，如果發(fā)送方在14微秒內沒有收到響應，那么發(fā)送方就超時了……如果這種情況經(jīng)常發(fā)生，這些系統(tǒng)就無法溝通，并出現(xiàn)故障?！?/p>

　　典型的網(wǎng)絡安全工具將引入20多毫秒范圍內的延遲——比1553總線允許的延遲要大幾個數(shù)量級。她指出：“如果你把我們在傳統(tǒng)網(wǎng)絡上使用的這些網(wǎng)絡安全產(chǎn)品中的一個放到1553總線上，它會因為時間限制而破壞協(xié)議?！?/p>

　　此外，為了達到足夠的可預見性，以獲得飛行資格認證，1553總線必須具有確定性的功能——沒有懷疑、不確定性或錯誤的空間。傳統(tǒng)的網(wǎng)絡安全技術通常涉及假陽性或其他錯誤的可能性。簡而言之，它是概率性的——與確定性相反——這使得它不可能用于像1553這樣的安全關鍵飛行系統(tǒng)。“你不能把這些網(wǎng)絡工具插入到總線結構中……你不想把使用總線的設備炸毀，”Konieczny說。

　　因此，大多數(shù)1553安全的早期方法集中于異常檢測：被動地監(jiān)視總線上的流量——這既不違反可靠性要求，也不違反可預測性要求——并在發(fā)現(xiàn)異常消息或命令時向駕駛員發(fā)出警告。

　　保護1553數(shù)據(jù)總線的實踐探索

　　2017年，BAE系統(tǒng)公司的一組科學家申請了網(wǎng)絡警告接收器（Cyber Warning Receiver, CWR）專利，這是一種旨在“檢測1553總線上的異常行為”并“向操作員發(fā)出警報”的設備。該團隊2018年發(fā)表在《美國陸軍網(wǎng)絡防御評論》（U.S. Army 's Cyber Defense Review）上的一篇文章更詳細地描述了該設備的功能。CWR使用機器學習建立總線上正常流量的基線模型，并識別異常消息。本文為CWR確定了兩種可能的配置。

　　可以將CWR“與關鍵的1553總線子系統(tǒng)連接在一起，隨時準備采取迅速而果斷的行動，阻止網(wǎng)絡攻擊?！边@篇文章既沒有提到總線通信的時間安排問題，也沒有提到獲得適航認證需要確定性，BAE系統(tǒng)公司多次拒絕了采訪請求。

　　或者，CWR可以配置為脫機，“被動地……監(jiān)視系統(tǒng)的惡意活動，并向操作員發(fā)出任何可疑的警報，但從不主動與網(wǎng)絡交互?！?/p>

　　雷神公司在2019年高調推出的網(wǎng)絡異常檢測系統(tǒng)（CADS）也采取了類似的離線策略。CADS“通知飛機和車/機組人員”有關“MIL-STD-1553通信總線上的輕微偏差”，該公司的一篇博客文章寫道。雷神公司還拒絕了幾次采訪請求。

　　但正如《網(wǎng)絡防御評論》（Cyber Defense Review）的那篇文章所指出的，提醒飛行員的問題在于，她還有其他事情要做。文章指出，CWR警告“永遠不應該分散飛行員或其他關鍵任務人員的注意力，除非發(fā)現(xiàn)迫在眉睫的生存威脅”，并補充說，“提供太多的信息，或產(chǎn)生過多令人討厭的虛假警報，可能會導致操作員禁用系統(tǒng)，消除保護?！?/p>

　　更重要的是，提醒飛行員網(wǎng)絡攻擊已使他們的武器系統(tǒng)癱瘓，這在軍事術語中可能被稱為次優(yōu)結果。最理想的結果是防止或減輕攻擊，并讓武器發(fā)揮作用。米卡萊夫說：“這不僅是探測，而且是預防和減緩，以確保武器系統(tǒng)的運作連續(xù)性?！?/p>

　　為此，她在Peraton實驗室的團隊開發(fā)了一種解決方案，直面1553的低延遲和確定性要求。

　　1553總線防御器（Bus Defender）是一個插件硬件組件，它對通過總線的消息執(zhí)行實時安全過濾，只增加大約300納秒的延遲——而且確實如此。作為一個硬件內聯(lián)模塊，1553總線防御器不需要對總線上的組件或其配置或軟件進行任何修改。

　　“你有一套規(guī)則來規(guī)定誰可以和誰交談，”米卡萊夫解釋說，所以總線上的一個不聽話或有問題的子系統(tǒng)不能模仿飛行計算機或其他子系統(tǒng)發(fā)送虛假數(shù)據(jù)。這些規(guī)則為每個平臺配置?！癇us Defender需要知道總線上有什么[系統(tǒng)]以及它們在哪里，”這樣它就可以執(zhí)行誰可以和誰說話的規(guī)則。該系統(tǒng)還強制執(zhí)行1553通信協(xié)議，消除了設備或惡意軟件感染可能在拒絕服務攻擊中擊倒總線的可能性。“如果沒輪到你說話，你就別說話，”她說。

　　Bus Defender提供了異常檢測功能，但Micallef表示，雖然它可能對警報和事后取證有用，但基于異常的算法對于飛行安全來說“通常具有挑戰(zhàn)性”，因為它們“根據(jù)定義，具有概率性”。

　　“我們的主要重點是我們的專利、實時和確定性算法，可以保護武器系統(tǒng)免受網(wǎng)絡攻擊，同時也能夠實現(xiàn)飛行資格，”她說。

　　Micallef說，Peraton實驗室正在與所有三個軍事部門合作，開發(fā)總線防御解決方案和適合不同的1553武器系統(tǒng)的形式因素。另一種基于異常檢測的替代方案是科技初創(chuàng)公司Vitro。該公司創(chuàng)始人兼首席執(zhí)行官大衛(wèi)？古德曼表示，他們的做法符合五角大樓“零信任”的安全理念。他說：“我們不是保護通道，而是保護數(shù)據(jù)和信息本身?！?/p>

　　Vitro的解決方案在總線連接的某些選定子系統(tǒng)中使用廉價的硬件附加組件，并依賴于基于云的公鑰基礎設施（PKI）加密體系結構。古德曼說：“我們不像在VPN中那樣使用PKI來保護通道。”他指出，這不符合零信任原則?！拔覀冇盟鼇眚炞C發(fā)送者和驗證信息?！?/p>

　　1533數(shù)據(jù)總線安全的終極目標--網(wǎng)絡彈性及任務保障

　　所有使1553總線在近50年里無處不在的因素也確保了它的壽命。軍隊中沒有新項目，所以向后兼容性一直是一個需求，也沒有計劃替代它。

　　JADC2的愿景要求指揮官能夠調用所有領域的多種武器和傳感器系統(tǒng)。新美國安全中心（Center for a New American Security）高級助理研究員珍妮弗·麥卡德爾（Jennifer McArdle）解釋說，普遍的連通性是取得勝利的必要條件，因為這確保了美國軍隊對目標實施最有效的攻擊，同時也給敵人制造了多重困境。

　　但她警告說，增加連接會增加攻擊的表面?！霸诰W(wǎng)絡社區(qū)中，我們稱之為能力/脆弱性悖論：系統(tǒng)變得越精致和復雜，它們就越有能力。與此同時，他們反而表現(xiàn)出了更大的脆弱性?！?/p>

　　她說，關鍵是彈性/韌性，即抵御網(wǎng)絡攻擊的能力。麥卡德爾說，除了正在開發(fā)的信息保障方法，以減輕1553總線無人機的脆弱性，軍方還需要考慮“任務保障”。他說：“這意味著要接受這樣一個事實，即JADC2將在一個競爭激烈的環(huán)境中運作，[通信]將受到破壞、被竊聽和顛覆。所以你需要進行實驗，進行流程化和訓練，一旦當它退化或被欺騙，仍然可以找到一種方式來完成任務?！?/p>