許多企業(yè)發(fā)現(xiàn)自己長期維護(hù)著不安全的操作技術(shù)或遺留IT系統(tǒng)。但它們通過將脆弱的系統(tǒng)置于防火墻或其他網(wǎng)關(guān)后，或使用入侵防御技術(shù)來降低這種風(fēng)險。這是當(dāng)前對控制系統(tǒng)安全防護(hù)的通行思路和做法。然而網(wǎng)絡(luò)連接泛在化和網(wǎng)絡(luò)攻擊無處不在，特別在軍事物聯(lián)網(wǎng)應(yīng)用中，跨域（不同區(qū)域、網(wǎng)絡(luò)、網(wǎng)段、密級）數(shù)據(jù)傳輸?shù)男枨笫浅B(tài)，還會有很高的實時性和可靠性的要求。這才是關(guān)鍵的核心挑戰(zhàn)。1553數(shù)據(jù)總線正在面臨這樣的挑戰(zhàn)。在激烈的未來戰(zhàn)爭環(huán)境中，所有信息化裝備的關(guān)鍵是彈性/韌性，即抵御網(wǎng)絡(luò)攻擊的能力。另外就是除了信息保障的方法，以減輕1553總線武器系統(tǒng)的脆弱性，更應(yīng)該考慮任務(wù)保障。

　　早在JADC2設(shè)想將1553系統(tǒng)上線的幾年前，美國軍方就意識到數(shù)字維護(hù)工具的發(fā)展對總線構(gòu)成的威脅，這些工具插入飛機系統(tǒng)并與之交互。事實上，國防部高級研究計劃局（Defense Advanced Research Projects Agency，簡稱DARPA）駐在五角大樓的瘋狂科學(xué)家們已經(jīng)秘密研究了多年，想要弄清楚如何保護(hù)基于1553總線的武器系統(tǒng)。

　　1553數(shù)據(jù)總線安全保護(hù)的難點

　　那么，是什么讓1553總線如此難以保護(hù)呢？要理解這一點，我們需要回顧一下使它成為一個如此成功的實時航空電子控制系統(tǒng)的特點——可靠性和可預(yù)測性。為了實現(xiàn)實時控制所需的可靠性，1553協(xié)議具有嚴(yán)格的時間約束。國防電子承包商Peraton Labs的系統(tǒng)和網(wǎng)絡(luò)安全高級研究總監(jiān)約瑟芬·米卡萊夫（Josephine Micallef）表示，這使得在總線上使用防火墻或網(wǎng)絡(luò)入侵防御系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全工具變得不可能。

　　“當(dāng)1553總線上的一臺嵌入式計算機收到一個請求時，它們必須在12微秒內(nèi)做出響應(yīng)。如果不這樣做，如果發(fā)送方在14微秒內(nèi)沒有收到響應(yīng)，那么發(fā)送方就超時了……如果這種情況經(jīng)常發(fā)生，這些系統(tǒng)就無法溝通，并出現(xiàn)故障?！?/p>

　　典型的網(wǎng)絡(luò)安全工具將引入20多毫秒范圍內(nèi)的延遲——比1553總線允許的延遲要大幾個數(shù)量級。她指出：“如果你把我們在傳統(tǒng)網(wǎng)絡(luò)上使用的這些網(wǎng)絡(luò)安全產(chǎn)品中的一個放到1553總線上，它會因為時間限制而破壞協(xié)議。”

　　此外，為了達(dá)到足夠的可預(yù)見性，以獲得飛行資格認(rèn)證，1553總線必須具有確定性的功能——沒有懷疑、不確定性或錯誤的空間。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)通常涉及假陽性或其他錯誤的可能性。簡而言之，它是概率性的——與確定性相反——這使得它不可能用于像1553這樣的安全關(guān)鍵飛行系統(tǒng)?！澳悴荒馨堰@些網(wǎng)絡(luò)工具插入到總線結(jié)構(gòu)中……你不想把使用總線的設(shè)備炸毀，”Konieczny說。

　　因此，大多數(shù)1553安全的早期方法集中于異常檢測：被動地監(jiān)視總線上的流量——這既不違反可靠性要求，也不違反可預(yù)測性要求——并在發(fā)現(xiàn)異常消息或命令時向駕駛員發(fā)出警告。

　　保護(hù)1553數(shù)據(jù)總線的實踐探索

　　2017年，BAE系統(tǒng)公司的一組科學(xué)家申請了網(wǎng)絡(luò)警告接收器（Cyber Warning Receiver, CWR）專利，這是一種旨在“檢測1553總線上的異常行為”并“向操作員發(fā)出警報”的設(shè)備。該團(tuán)隊2018年發(fā)表在《美國陸軍網(wǎng)絡(luò)防御評論》（U.S. Army 's Cyber Defense Review）上的一篇文章更詳細(xì)地描述了該設(shè)備的功能。CWR使用機器學(xué)習(xí)建立總線上正常流量的基線模型，并識別異常消息。本文為CWR確定了兩種可能的配置。

　　可以將CWR“與關(guān)鍵的1553總線子系統(tǒng)連接在一起，隨時準(zhǔn)備采取迅速而果斷的行動，阻止網(wǎng)絡(luò)攻擊?！边@篇文章既沒有提到總線通信的時間安排問題，也沒有提到獲得適航認(rèn)證需要確定性，BAE系統(tǒng)公司多次拒絕了采訪請求。

　　或者，CWR可以配置為脫機，“被動地……監(jiān)視系統(tǒng)的惡意活動，并向操作員發(fā)出任何可疑的警報，但從不主動與網(wǎng)絡(luò)交互?！?/p>

　　雷神公司在2019年高調(diào)推出的網(wǎng)絡(luò)異常檢測系統(tǒng)（CADS）也采取了類似的離線策略。CADS“通知飛機和車/機組人員”有關(guān)“MIL-STD-1553通信總線上的輕微偏差”，該公司的一篇博客文章寫道。雷神公司還拒絕了幾次采訪請求。

　　但正如《網(wǎng)絡(luò)防御評論》（Cyber Defense Review）的那篇文章所指出的，提醒飛行員的問題在于，她還有其他事情要做。文章指出，CWR警告“永遠(yuǎn)不應(yīng)該分散飛行員或其他關(guān)鍵任務(wù)人員的注意力，除非發(fā)現(xiàn)迫在眉睫的生存威脅”，并補充說，“提供太多的信息，或產(chǎn)生過多令人討厭的虛假警報，可能會導(dǎo)致操作員禁用系統(tǒng)，消除保護(hù)?！?/p>

　　更重要的是，提醒飛行員網(wǎng)絡(luò)攻擊已使他們的武器系統(tǒng)癱瘓，這在軍事術(shù)語中可能被稱為次優(yōu)結(jié)果。最理想的結(jié)果是防止或減輕攻擊，并讓武器發(fā)揮作用。米卡萊夫說：“這不僅是探測，而且是預(yù)防和減緩，以確保武器系統(tǒng)的運作連續(xù)性。”

　　為此，她在Peraton實驗室的團(tuán)隊開發(fā)了一種解決方案，直面1553的低延遲和確定性要求。

　　1553總線防御器（Bus Defender）是一個插件硬件組件，它對通過總線的消息執(zhí)行實時安全過濾，只增加大約300納秒的延遲——而且確實如此。作為一個硬件內(nèi)聯(lián)模塊，1553總線防御器不需要對總線上的組件或其配置或軟件進(jìn)行任何修改。

　　“你有一套規(guī)則來規(guī)定誰可以和誰交談，”米卡萊夫解釋說，所以總線上的一個不聽話或有問題的子系統(tǒng)不能模仿飛行計算機或其他子系統(tǒng)發(fā)送虛假數(shù)據(jù)。這些規(guī)則為每個平臺配置。“Bus Defender需要知道總線上有什么[系統(tǒng)]以及它們在哪里，”這樣它就可以執(zhí)行誰可以和誰說話的規(guī)則。該系統(tǒng)還強制執(zhí)行1553通信協(xié)議，消除了設(shè)備或惡意軟件感染可能在拒絕服務(wù)攻擊中擊倒總線的可能性。“如果沒輪到你說話，你就別說話，”她說。

　　Bus Defender提供了異常檢測功能，但Micallef表示，雖然它可能對警報和事后取證有用，但基于異常的算法對于飛行安全來說“通常具有挑戰(zhàn)性”，因為它們“根據(jù)定義，具有概率性”。

　　“我們的主要重點是我們的專利、實時和確定性算法，可以保護(hù)武器系統(tǒng)免受網(wǎng)絡(luò)攻擊，同時也能夠?qū)崿F(xiàn)飛行資格，”她說。

　　Micallef說，Peraton實驗室正在與所有三個軍事部門合作，開發(fā)總線防御解決方案和適合不同的1553武器系統(tǒng)的形式因素。另一種基于異常檢測的替代方案是科技初創(chuàng)公司Vitro。該公司創(chuàng)始人兼首席執(zhí)行官大衛(wèi)？古德曼表示，他們的做法符合五角大樓“零信任”的安全理念。他說：“我們不是保護(hù)通道，而是保護(hù)數(shù)據(jù)和信息本身?！?/p>

　　Vitro的解決方案在總線連接的某些選定子系統(tǒng)中使用廉價的硬件附加組件，并依賴于基于云的公鑰基礎(chǔ)設(shè)施（PKI）加密體系結(jié)構(gòu)。古德曼說：“我們不像在VPN中那樣使用PKI來保護(hù)通道?！彼赋?，這不符合零信任原則?！拔覀冇盟鼇眚炞C發(fā)送者和驗證信息?！?/p>

　　1533數(shù)據(jù)總線安全的終極目標(biāo)--網(wǎng)絡(luò)彈性及任務(wù)保障

　　所有使1553總線在近50年里無處不在的因素也確保了它的壽命。軍隊中沒有新項目，所以向后兼容性一直是一個需求，也沒有計劃替代它。

　　JADC2的愿景要求指揮官能夠調(diào)用所有領(lǐng)域的多種武器和傳感器系統(tǒng)。新美國安全中心（Center for a New American Security）高級助理研究員珍妮弗·麥卡德爾（Jennifer McArdle）解釋說，普遍的連通性是取得勝利的必要條件，因為這確保了美國軍隊對目標(biāo)實施最有效的攻擊，同時也給敵人制造了多重困境。

　　但她警告說，增加連接會增加攻擊的表面。“在網(wǎng)絡(luò)社區(qū)中，我們稱之為能力/脆弱性悖論：系統(tǒng)變得越精致和復(fù)雜，它們就越有能力。與此同時，他們反而表現(xiàn)出了更大的脆弱性。”

　　她說，關(guān)鍵是彈性/韌性，即抵御網(wǎng)絡(luò)攻擊的能力。麥卡德爾說，除了正在開發(fā)的信息保障方法，以減輕1553總線無人機的脆弱性，軍方還需要考慮“任務(wù)保障”。他說：“這意味著要接受這樣一個事實，即JADC2將在一個競爭激烈的環(huán)境中運作，[通信]將受到破壞、被竊聽和顛覆。所以你需要進(jìn)行實驗，進(jìn)行流程化和訓(xùn)練，一旦當(dāng)它退化或被欺騙，仍然可以找到一種方式來完成任務(wù)?！?/p>