許多企業發現自己長期維護著不安全的操作技術或遺留IT系統。但它們通過將脆弱的系統置于防火墻或其他網關后，或使用入侵防御技術來降低這種風險。這是當前對控制系統安全防護的通行思路和做法。然而網絡連接泛在化和網絡攻擊無處不在，特別在軍事物聯網應用中，跨域（不同區域、網絡、網段、密級）數據傳輸的需求是常態，還會有很高的實時性和可靠性的要求。這才是關鍵的核心挑戰。1553數據總線正在面臨這樣的挑戰。在激烈的未來戰爭環境中，所有信息化裝備的關鍵是彈性/韌性，即抵御網絡攻擊的能力。另外就是除了信息保障的方法，以減輕1553總線武器系統的脆弱性，更應該考慮任務保障。

　　早在JADC2設想將1553系統上線的幾年前，美國軍方就意識到數字維護工具的發展對總線構成的威脅，這些工具插入飛機系統并與之交互。事實上，國防部高級研究計劃局（Defense Advanced Research Projects Agency，簡稱DARPA）駐在五角大樓的瘋狂科學家們已經秘密研究了多年，想要弄清楚如何保護基于1553總線的武器系統。

　　1553數據總線安全保護的難點

　　那么，是什么讓1553總線如此難以保護呢？要理解這一點，我們需要回顧一下使它成為一個如此成功的實時航空電子控制系統的特點——可靠性和可預測性。為了實現實時控制所需的可靠性，1553協議具有嚴格的時間約束。國防電子承包商Peraton Labs的系統和網絡安全高級研究總監約瑟芬·米卡萊夫（Josephine Micallef）表示，這使得在總線上使用防火墻或網絡入侵防御系統等傳統網絡安全工具變得不可能。

　　“當1553總線上的一臺嵌入式計算機收到一個請求時，它們必須在12微秒內做出響應。如果不這樣做，如果發送方在14微秒內沒有收到響應，那么發送方就超時了……如果這種情況經常發生，這些系統就無法溝通，并出現故障?！?/p>

　　典型的網絡安全工具將引入20多毫秒范圍內的延遲——比1553總線允許的延遲要大幾個數量級。她指出：“如果你把我們在傳統網絡上使用的這些網絡安全產品中的一個放到1553總線上，它會因為時間限制而破壞協議?！?/p>

　　此外，為了達到足夠的可預見性，以獲得飛行資格認證，1553總線必須具有確定性的功能——沒有懷疑、不確定性或錯誤的空間。傳統的網絡安全技術通常涉及假陽性或其他錯誤的可能性。簡而言之，它是概率性的——與確定性相反——這使得它不可能用于像1553這樣的安全關鍵飛行系統?！澳悴荒馨堰@些網絡工具插入到總線結構中……你不想把使用總線的設備炸毀，”Konieczny說。

　　因此，大多數1553安全的早期方法集中于異常檢測：被動地監視總線上的流量——這既不違反可靠性要求，也不違反可預測性要求——并在發現異常消息或命令時向駕駛員發出警告。

　　保護1553數據總線的實踐探索

　　2017年，BAE系統公司的一組科學家申請了網絡警告接收器（Cyber Warning Receiver, CWR）專利，這是一種旨在“檢測1553總線上的異常行為”并“向操作員發出警報”的設備。該團隊2018年發表在《美國陸軍網絡防御評論》（U.S. Army 's Cyber Defense Review）上的一篇文章更詳細地描述了該設備的功能。CWR使用機器學習建立總線上正常流量的基線模型，并識別異常消息。本文為CWR確定了兩種可能的配置。

　　可以將CWR“與關鍵的1553總線子系統連接在一起，隨時準備采取迅速而果斷的行動，阻止網絡攻擊?！边@篇文章既沒有提到總線通信的時間安排問題，也沒有提到獲得適航認證需要確定性，BAE系統公司多次拒絕了采訪請求。

　　或者，CWR可以配置為脫機，“被動地……監視系統的惡意活動，并向操作員發出任何可疑的警報，但從不主動與網絡交互?！?/p>

　　雷神公司在2019年高調推出的網絡異常檢測系統（CADS）也采取了類似的離線策略。CADS“通知飛機和車/機組人員”有關“MIL-STD-1553通信總線上的輕微偏差”，該公司的一篇博客文章寫道。雷神公司還拒絕了幾次采訪請求。

　　但正如《網絡防御評論》（Cyber Defense Review）的那篇文章所指出的，提醒飛行員的問題在于，她還有其他事情要做。文章指出，CWR警告“永遠不應該分散飛行員或其他關鍵任務人員的注意力，除非發現迫在眉睫的生存威脅”，并補充說，“提供太多的信息，或產生過多令人討厭的虛假警報，可能會導致操作員禁用系統，消除保護。”

　　更重要的是，提醒飛行員網絡攻擊已使他們的武器系統癱瘓，這在軍事術語中可能被稱為次優結果。最理想的結果是防止或減輕攻擊，并讓武器發揮作用。米卡萊夫說：“這不僅是探測，而且是預防和減緩，以確保武器系統的運作連續性?！?/p>

　　為此，她在Peraton實驗室的團隊開發了一種解決方案，直面1553的低延遲和確定性要求。

　　1553總線防御器（Bus Defender）是一個插件硬件組件，它對通過總線的消息執行實時安全過濾，只增加大約300納秒的延遲——而且確實如此。作為一個硬件內聯模塊，1553總線防御器不需要對總線上的組件或其配置或軟件進行任何修改。

　　“你有一套規則來規定誰可以和誰交談，”米卡萊夫解釋說，所以總線上的一個不聽話或有問題的子系統不能模仿飛行計算機或其他子系統發送虛假數據。這些規則為每個平臺配置?！癇us Defender需要知道總線上有什么[系統]以及它們在哪里，”這樣它就可以執行誰可以和誰說話的規則。該系統還強制執行1553通信協議，消除了設備或惡意軟件感染可能在拒絕服務攻擊中擊倒總線的可能性?！叭绻麤]輪到你說話，你就別說話，”她說。

　　Bus Defender提供了異常檢測功能，但Micallef表示，雖然它可能對警報和事后取證有用，但基于異常的算法對于飛行安全來說“通常具有挑戰性”，因為它們“根據定義，具有概率性”。

　　“我們的主要重點是我們的專利、實時和確定性算法，可以保護武器系統免受網絡攻擊，同時也能夠實現飛行資格，”她說。

　　Micallef說，Peraton實驗室正在與所有三個軍事部門合作，開發總線防御解決方案和適合不同的1553武器系統的形式因素。另一種基于異常檢測的替代方案是科技初創公司Vitro。該公司創始人兼首席執行官大衛？古德曼表示，他們的做法符合五角大樓“零信任”的安全理念。他說：“我們不是保護通道，而是保護數據和信息本身。”

　　Vitro的解決方案在總線連接的某些選定子系統中使用廉價的硬件附加組件，并依賴于基于云的公鑰基礎設施（PKI）加密體系結構。古德曼說：“我們不像在VPN中那樣使用PKI來保護通道。”他指出，這不符合零信任原則。“我們用它來驗證發送者和驗證信息?！?/p>

　　1533數據總線安全的終極目標--網絡彈性及任務保障

　　所有使1553總線在近50年里無處不在的因素也確保了它的壽命。軍隊中沒有新項目，所以向后兼容性一直是一個需求，也沒有計劃替代它。

　　JADC2的愿景要求指揮官能夠調用所有領域的多種武器和傳感器系統。新美國安全中心（Center for a New American Security）高級助理研究員珍妮弗·麥卡德爾（Jennifer McArdle）解釋說，普遍的連通性是取得勝利的必要條件，因為這確保了美國軍隊對目標實施最有效的攻擊，同時也給敵人制造了多重困境。

　　但她警告說，增加連接會增加攻擊的表面?！霸诰W絡社區中，我們稱之為能力/脆弱性悖論：系統變得越精致和復雜，它們就越有能力。與此同時，他們反而表現出了更大的脆弱性。”

　　她說，關鍵是彈性/韌性，即抵御網絡攻擊的能力。麥卡德爾說，除了正在開發的信息保障方法，以減輕1553總線無人機的脆弱性，軍方還需要考慮“任務保障”。他說：“這意味著要接受這樣一個事實，即JADC2將在一個競爭激烈的環境中運作，[通信]將受到破壞、被竊聽和顛覆。所以你需要進行實驗，進行流程化和訓練，一旦當它退化或被欺騙，仍然可以找到一種方式來完成任務?！?/p>