保护嵌入式网络所需的企业网络防御

为了实现和保持作战优势，协调部署的部队，并实现新的作战能力，美国陆军、空军、海军、海军陆战队和太空部队正在积极寻求新的计划，如联合全域指挥和控制（JADC2），以确保作战人员具有最大的态势感知能力。这种升级推动正在推动连接云、指挥所、作战平台和下马作战人员的端到端网络的发展。它还预计在大数据处理、人工智能和机器学习的支持下增加大量传感器和视频馈送，以加快所有作战领域的决策。

这种网络化战场的愿景包括标准化和可互操作的数据格式和应用程序编程接口（API），这将打破信息源，应用程序和平台之间的障碍和烟囱 - 使指挥官和数据分析系统能够开发通用的操作图片。虽然这一愿景的好处令人信服且易于理解，但它提出了一个不容忽视的问题：随着这些网络的规模和复杂性的增长，它们的网络安全攻击表面也在增加。也就是说，网络将有更多可以受到攻击的地方，并且将有更多必须管理的漏洞。这种类型的网络扩散还具有将网络安全威胁引入传统上不易受到外部攻击者攻击的位置（例如嵌入式系统）的副作用。这种情况只会因我们近乎同行的对手在网络领域广泛承认的、增加的作战活动而加剧。

这个漏洞不是理论上的风险，美国国防部（DoD）将明智地从工业部门的教训中吸取教训，工业部门经历了对通常用于所谓的操作技术（OT）的嵌入式系统的攻击，这些系统用于制造设备的过程控制等应用。从历史上看，工业部门一直使用“气隙”技术来隔离OT，使用屏障来保护某些操作免受高度连接网络的影响。然而，互连这些设备和自动化OT的IT管理的好处已经打开了威胁格局。

网络漏洞示例

CISA对影响天然气压缩设施运营技术OT网络上的控制和通信资产的网络攻击做出了回应。威胁参与者使用鱼叉式网络钓鱼类型的链接来获取对组织的信息技术 （IT） 网络的初始访问权限，然后再转向其 OT 网络。然后，威胁参与者部署了商品勒索软件来加密数据，以影响两个网络。OT网络上失去可用性的特定资产包括人机界面（HMI）、数据历史学家和轮询服务器。受影响的资产不再能够读取和汇总从低级OT设备报告的实时操作数据，从而导致人类操作员部分失去视野。

如果诸如JADC2之类的愿景将C5ISR（指挥，控制，计算机，通信，网络，情报，监视和侦察）网络连接到大量战术平台阵列，包括车辆/平台网络，士兵的下马网络和无线网络。随着C5ISR网络越来越多地使用嵌入式外形尺寸来减小设备的尺寸、重量和功耗（SWaP），这种情况可能尤其正确。当一切都连接起来时，C5ISR网络（大致相当于企业世界中的IT网络）将使战术平台和远边缘网络和计算机面临新的网络安全威胁。

这些新网络需要什么？

新互连的实施需要对新暴露在威胁下的系统的网络安全架构、技术控制和流程、漏洞和攻击面进行彻底审查。过去，系统架构师、网络安全工程师和审批机构可能会评估战术和远边缘系统，并了解它们与 C5ISR 网络隔离，得出的结论是他们不需要（也负担不起）IT 网络中常见的网络安全保护。特别是，在平台上添加额外的技术可以在已经受限的平台上提高SWaP。

更复杂的是，增加典型的IT设备会增加战术和远端项目的成本和培训，并可能减慢程序的开发时间。系统设计人员能够依靠战术和远边缘平台上的气隙来保护系统免受C5ISR网络的影响，到目前为止，他们已经能够设计出“外部”网络安全保护并满足其程序要求。然而，对于网络互连，这不再是一个可行的设计策略。

好消息是，最近的技术突破现在使得在小型解决方案中部署使用最佳企业级网络安全技术的坚固、嵌入式网络技术成为可能，这些解决方案可提供下一代 C5ISR 解决方案所需的更高网络速度和数据安全性。得益于许多趋势 - 包括提高的CPU性能和内存容量，允许虚拟化网络安全功能，以及主要企业网络供应商提供的新的嵌入式板 - 这些技术在嵌入式外形尺寸中变得越来越可用 - 在分立模块解决方案甚至基于VPX外形尺寸的C5ISR/EW模块化开放标准套件（CMOSS）兼容解决方案中。

在不远的过去，部署企业级网络安全功能的唯一选择是现场企业设备 - 19英寸机架式数据中心式设备 - 大型，耗电且脆弱，根本不适合嵌入式或平台集成应用。如今，许多关键的网络安全功能都是虚拟化和软件定义的，能够在单板计算机上运行，从而可以部署在嵌入式解决方案（如CMOSS/VPX）上，也可以部署在分立模块上，从而显著降低SWaP并满足严格的MIL-STD资格。

其中一个例子是新的思科Catalyst ESS 9300，这是新型10端口10千兆以太网交换机，专为板载关键任务战术移动通信而设计。这款强化型交换机模块基于思科最新的 9300 技术，工作温度为 -40 至 85 °C，可在极端恶劣的环境中提供最佳性能。紧凑的模块尺寸仅为 110 mm x 85 mm，仅需 35 瓦的功率。

该交换机的介绍是思科提供商用现货 （COTS） 解决方案的良好记录的一部分，这些解决方案还满足严格的企业和 DoD IT 网络安全要求。安全功能包括思科的TrustSec;遵守“安全启动”标准;以及用于识别和限制用户的身份验证、授权和记帐功能。后一项功能可在访问资源时测量使用情况，思科计划全面认证该解决方案的加密实施和功能，使其符合 FIPS-140 和通用标准等标准。这项技术将该公司的安全IOS-XE交换软件（部署在许多商业企业中）带入国防部嵌入式市场。由于其交换技术已经广泛部署在整个军事组织及其支持集成商中，并且由于思科在为军事提供培训方面投入了大量资金，因此基于思科的技术的可用性减少了培训和实施时间，同时提高了网络的可维护性。

基于新型思科 10 GbE 交换机的 DoD 就绪解决方案的一个例子是 Curtiss-Wright 的 PacStar 448 模块。它采用完全坚固的外壳，增加了军用互连和功能，例如支持使用军用标准电池运行，使其可用于部署在移动数据中心。Curtiss-Wright 从设计的早期阶段就与思科密切合作，参与了解决方案的开发，并就早期工程样品进行了合作，以确保成功满足军事性能要求。

PacStar 448 可为任何类型的战术网络应用提供高速交换。它还直接插入已部署的 PacStar 模块化数据中心 （MDC），这是一个战术和远征坚固的数据中心，能够托管任务指挥、云/存储、传感器融合、AI 和分析应用程序。

针对恶劣环境部署的坚固耐用的SWAP优化企业级网络硬件的出现将在C5ISR和平台网络设备合并之前提供所需的安全网络，确保作战人员能够保持对关键的新态势感知技术和能力的访问，这些技术和能力为他们提供了力量倍增优势 - 即使面对日益增加的网络安全威胁。

审核编辑：郭婷