Viasat卫星网络攻击案例警示：卫星通信系统网络安全防御能力如何建？

从历史上看，空间系统的基本问题是，它们在设计时假设在边界有保护就足够了。如果突破了边界，内部保护几乎不存在。当前和未来的空间系统设计必须克服对手突破边界的风险，并使用深度防御(DID)原则在系统内部不受阻碍地操作。无论是大型的传统既有系统，还是更现代的快速发展的空间系统(即新空间)，都应该确保它们具有网络加固设计，并实现这些原则。

对于一个空间系统来说，DID战略依赖于多层安全来保护任务关键资产。该方法包括采购、安全供应链、空间系统加固和监控、安全软件开发、入侵检测和预防、文化、人员等，以创建多层的安全控制。再次回顾图1并应用DID策略，需要在用户段、地面段、链路段和空间段应用安全控制，以确保整个系统具有健壮的安全架构。如何构建卫星通信网络的安全防御能力？至少有几个方面的努力是可以尝试的。比如在空间部分应用防御机制，专注于加密和认证、星载入侵检测和预防、网络弹性测试、供应链风险管理和星载日志。

1、加密与认证

对航天器发送和接收的数据进行加密，可能被视为空间系统内部的第一道防线，允许只有使用加密密钥的其他人才能看到的私人通信。当数据被拦截、拒绝服务式攻击和未授权访问空间系统时，加密可以有效防止机密性的损失。对上行命令的星载认证可以帮助识别恶意干扰，避免卫星失去控制。具体来说，对C2链路进行加密对于确保卫星的指挥和控制以及避免成功攻击的潜在后果至关重要。

尽管所有军用卫星都使用某种形式的加密，但目前尚不清楚有多少公共和私人卫星使用这种安全技术。空间资产社区经常应用开发人员确定的“相关”安全技术，这产生了各种加密实践。一些卫星正在使用NIST(美国国家标准与技术研究所)最新的高级加密标准(AES)，而另一些卫星则推出了自己的加密标准。一个使用非AES的卫星的例子是中国的一颗卫星，它使用量子密钥分配(QKD)进行加密通信。QKD是一种利用亚原子粒子的特殊量子行为(称为“纠缠”)发送加密密钥的方法，至少在理论上是完全不可破解的。包括英国公司ArQit在内的几家西方公司也在研究下一代加密技术。它的发展被认为是必要的，以解决当前加密技术的弱点，面对快速增长的计算能力。虽然这种复杂的加密技术对许多太空资产来说是不必要的，但很明显，这种先进的安全技术确实可以用于卫星。

航天器的支柱应该是一个健壮的入侵检测系统(IDS)。IDS应该包括对遥测、命令序列、命令接收状态、共享总线流量、飞行软件配置和运行状态的连续监控。从遥测监测的角度来看，存在的几个参数具有指示对航天器的网络攻击的最高可能性，应该在地面和航天器上使用IDS进行积极监测。

对检测到的事件的响应可能因威胁的性质而异。违反不严格的规则或越过较低的评分阈值将触发遥测系统向地面操作员发出警报，警告内容包括违规行为、造成违规的原始数据和建议的行动方案。如果发生严重违反规则或越过更高阈值，航天器的入侵防御系统(IPS)将采取自动行动，可能包括切换到冗余侧，隔离命令序列，重新加载飞行软件，和/或停止可疑单元。

IPS系统应该集成到现有的机载航天器故障检测隔离和恢复系统(FDIR)中，因为FDIR内置了自己的故障检测和响应系统。集成这两个系统可以确保它们不会采取冲突的行动。

最后，航天器IPS和地面应该保留将航天器上的关键系统恢复到已知的网络安全模式的能力。这是一种操作模式，在此模式下，所有非必要系统都将关闭，航天器将使用经过验证的软件和配置设置置于已知良好状态。默认的网络安全模式软件应该存储在基于硬件控制的航天器内存中，并且不能被修改。

航天器(尤其是它们的软件)需要从一开始就为适当的安全级别设计，并在发射前对系统进行网络弹性检查——而不是一旦进入轨道，就没有合理的恢复选择。

网络攻击弹性测试是实现这一目标的一种新方法，通过它，开发人员可以在现实环境中精确复制他们的航天器、地面站和通信网络，从而使他们能够经受恶意的网络攻击，并由网络专家评估其脆弱性。ManTech公司在2020年推出了一项名为Space Range的服务。它的测试人员能够找到隐藏的漏洞、错误配置和软件bug;让开发者有机会在系统启动和投入运行前加强系统，以抵御网络攻击。2019年，欧洲航天局(ESA)在比利时ESEC建立了一个网络训练场，计划成为欧洲网络安全服务参考中心。该系列为其员工和合作伙伴提供培训和测试，旨在开发意识、检测、调查、响应和取证方面的知识，以反击特定于空间系统的网络攻击。

虽然并非所有航天器开发人员都可以使用专门的网络安全范围，但如果在设计阶段考虑到空间系统对常见形式的网络攻击的弹性，这可以作为一种有效的预防措施，导致系统一旦运行，就会更加加强网络安全。

航天器开发人员实施供应链风险管理计划至关重要。他们必须确保他们的每个供应商适当地处理硬件和软件，并有一个商定的托管链。关键单元和子系统应该用不同于非关键单元和子系统的严格程度和要求来标识和处理。零件应该从有信誉的供应商采购，并检查假冒的迹象。

航天器上的所有软件都应该通过配置管理和安全软件开发流程进行彻底的审查和适当的处理。这可以包括使用安全编码标准或原则，以帮助减少非预期的弱点。软件经常利用第三方代码，这可能会给系统带来漏洞。主要的集成商必须对通过使用第三方代码而引入的所有安全缺陷负责。至少，这意味着通过可信的方法获取代码，并更新到修复安全漏洞的新版本，理想情况下包括扫描和测试第三方软件的安全漏洞。

日志记录是在一段时间内收集和存储数据的过程，以便分析系统的事件/动作。例如，命令接收器的输入参数可能用于异常调查。该技术能够跟踪数据、文件或软件存储、访问或修改的所有交互。因此，任何入侵企图或其他网络攻击的迹象都将被记录下来，以供进一步调查。

航天器和地面都应独立执行命令记录和命令序列异常检测以进行交叉验证。接收到的命令可以通过遥测技术存储并发送到地面，并自动检查发送和接收的命令是否一致。

专家称俄乌军事冲突正在给商用空间系统一个“互联网时刻”。即卫星让世界前所未有地瞥见了这场残酷的战争，地理空间情报现在正迎来互联网时代，俄乌冲突后很长一段时间内商业太空行业预计迎来高速发展。战争爆发时，政府从Maxar、BlackSky和Planet等公司购买的乌克兰商业近地轨道图像增加了一倍多，这些图像很快与美国欧洲司令部、北约和乌克兰的官员分享。随着能力的提高和成本的下降，对商业情报和监视的需求将继续飙升。国防和商业部门对数据有着持续不断的刚性需求。也有专家将将商业卫星在乌克兰上空的使用比作二战工业革命期间大规模生产的兴起，或第一次海湾战争期间GPS技术的首次主要军事用途。同样，Viasat网络事件也暴露出卫星通信系统的诸多隐患，该行业的网络安全也应列入优先重大发展事项。

推荐阅读

• 网安智库平台长期招聘兼职研究员

• 欢迎加入“安全内参热点讨论群”

---

文章来源：网空闲话

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

原文始发于微信公众号（安全内参）：Viasat卫星网络攻击案例警示：卫星通信系统网络安全防御能力如何建？