1、-1-2024 年 1 月 30 日 第2024 年 1 月 30 日 第6 6期 总第 846 期 期 总第 846 期 美国商用卫星互联网安全管理的经验与启示美国商用卫星互联网安全管理的经验与启示 随着卫星互联网商业化应用场景的不断丰富,全球商用卫星互联网产业蓬勃发展。商用卫星网络因其数据资源丰富、参与运营主体多样,安全防护难度大,针对商用卫星网络的信号干扰1、数据泄露2、供应链攻击3等安全威胁日益显著,危害影响持续扩大。为应对太空网络安全威胁,美国政府近年来密集 1 2022 年 2 月,俄罗斯对属于美国卫讯公司 Viasat 的商业卫星通信网络发起了网络攻击,造成数以万计的机载卫星通信
2、调制解调器被毁坏,影响了包括德国、希腊、波兰、意大利等多个国家。2 2023 年 6 月,有黑客组织声称,已针对俄罗斯卫星电信提供商 Dozor 发起攻击,窃取并公开近700 份文件,数据涉及俄罗斯电力线路、油田等重要信息。3 2020 年 7 月,美国 Ingenuity Mars 直升机使用的导航设备和智能设备的主要制造商 Garmin 遭到 Wased Locker 勒索软件的攻击,导致包括飞行员使用的设备同步和地理定位仪器一度无法使用。-2-发布战略文件,出台系列法律政策,推进商用卫星安全管理体系规范化建设。目前,我国商业航天领域立法存在空白,商用卫星网络安全标准体系和生态体系尚未建立
3、。赛迪研究院建议,我国应加快出台卫星互联网安全政策法规,建设商用卫星网络安全标准和评估体系,促进航空航天和网络安全融合发展和技术升级,积极开展全球空天信息网络国际合作。一、美国商用卫星网络安全管理部署加快一、美国商用卫星网络安全管理部署加快 加速布局商用卫星网络安全战略,力图把握太空安全主动权。在战略层面加速布局商用卫星网络安全战略,力图把握太空安全主动权。在战略层面,2020 年 9 月的第五号太空政策指令,明确要求将网络安全集成到卫星网络开发的全生命周期,以加强太空系统的网络安全。2023 年 3 月,美国国家科学技术委员会发布国家近地轨道研究与发展战略,提出将由美国国家航天局组建低地球轨
4、道国家实验室,加强包括卫星网络安全等多项前沿研究。2023 年 11 月,美国国防部声明正在制定首份 国防部商业太空集成战略,以推动商业技术整合,确保在竞争、危机、冲突期间拥有可行的商业太空解决方案。在法律法规层面在法律法规层面,2022 年 4 月,美国国会通过卫星网络安全法,要求面-3-向美国卫星运营商制定网络安全建议,并向其开放应对商用卫星系统网络安全和威胁的资源。多层次构建太空网络安全标准规范体系,着眼商用卫星网络全生命周期管理。多层次构建太空网络安全标准规范体系,着眼商用卫星网络全生命周期管理。美国国家标准与技术研究院(NIST)针对商用卫星系统空间段、地面段、用户段及混合卫星网络等
5、对象的网络安全风险,相继发布了 4 个卫星网络安全风险管理指导框架,帮助商用卫星运营商识别太空系统的网络安全风险。商用卫星相关单位应以一系列规范为管理网络安全风险的参考,将网络安全风险管理纳入总体风险管理计划,从识别、保护、检测、响应和恢复五个环节管理卫星系统、网络和资产的网络安全风险。此外,2023 年 4 月,美国网络空间日光浴室委员会建议美国国土安全部将太空系统确立为关键基础设施,减少卫星网络安全漏洞。2023 年 5 月,美国国务院在太空外交战略框架文件中提出,应持续强化以卫星互联网为代表的太空网络安全和信息通信技术,加强与太空相关的关键基础设施安全和弹性。-4-抢占商用卫星部署先机,
6、政府加强与业界合作,促进网络安全与卫星技术跨域融合发展。一方面抢占商用卫星部署先机,政府加强与业界合作,促进网络安全与卫星技术跨域融合发展。一方面,加强太空网络弹性,美国政府进一步推动与商业航天公司合作,商业航天企业争相布局低轨卫星市场。截至 2023 年 11 月,美国 SpaceX 公司的“星链”项目发射共计 5513 颗卫星,在全球 60 个国家开展互联网接入业务。美国亚马逊公司推出卫星互联网建设项目“柯伯伊计划”,计划 5 年内在近地轨道部署 3236 颗卫星,并在首批 578 颗卫星进入轨道后开始提供互联网服务。另一方面另一方面,美国依托商用卫星企业的技术优势,不断提升卫星互联网安全
7、能力。2023 年 3 月,美国太空信息共享中心成立新的运行监视中心,以实时监测、分析和快速响应对太空关键资产的网络威胁。2023 年 8 月,美国网络安全公司 SpiderOak 在国际空间站成功验证其零信任网络安全软件 OrbitSecure,实现使用零信任框架对卫星进行安全防护,确保了地面网络和近地轨道间数据的安全传输。二、我国商用卫星网络安全政策立法、标准监管体系尚未形成二、我国商用卫星网络安全政策立法、标准监管体系尚未形成 -5-我国商业航天安全立法进展滞后,且统筹监管难度大。我国商业航天安全立法进展滞后,且统筹监管难度大。近年来,以商用卫星为代表的商业航天市场需求逐渐扩大,数据流通
8、与吞吐量急速膨胀,但相关网络安全保护的立法进度较为迟缓,同时,卫星网络涉及应用场景丰富,供应链复杂,难以实施统一监管。一方面,一方面,卫星互联网作为新基建和关键信息基础设施,与地面基础设施相比,具有更广阔的覆盖范围,网络安全引发的问题威胁影响更大,当前我国网络安全立法主要以中华人民共和国国家安全法中华人民共和国网络安全法中华人民共和国数据安全法关键信息基础设施安全保护条例等为指导,尚无针对商业航天领域网络安全保护的法律法规。航天法 中华人民共和国卫星导航条例被列入全国人大常委会的立法规划,截至目前,以上法律仍待审议,此外,尚无针对我国卫星互联网专门的法规,立法滞后对监管体系的完善和商业航天的发
9、展可能带来较大影响。另一方面,另一方面,我国卫星管理隶属多个主管部门,相关网络安全风险由对应的业务主管部门负责管理。然而,商用卫星由于应用场景多样,供应链条复杂冗长,运营服务单位众多,监管难以做到全面覆盖。例如,针对卫星互联网的宽带通信卫星-6-准入问题,对于有地面信关站的设备终端,可实施对运营企业的安全管理,但对于无需地面信关站,通过特定微小卫星设备终端直接接入互联网,或在边境通过境外信关站向境内提供互联网接入的方式,将给我国的网络监管带来难题。此外,军用和商用卫星安全管理规则交织,还易出现交叉管理、监管盲区等问题,降低监管效能。我国商用卫星网络安全缺乏统一标准,安全产业生态体系尚未形成。我
10、国商用卫星网络安全缺乏统一标准,安全产业生态体系尚未形成。我国商用卫星互联网技术产业存在基础技术滞后、专用安全标准缺乏等问题。同时,行业规模较小、企业关注度低、龙头企业缺乏、产业活跃度不足等因素也制约了卫星互联网安全产业的整体发展。一方面,一方面,我国卫星互联网技术产业尚在发展初期,在许多基础环节,如星上载荷处理的性能、卫星组网协议、信道编码等技术还处在追赶期,大多以“可用”作为标准,主要按照美国等西方国家的标准为参考,随着技术发展和国际竞争加剧,安全风险将逐步显现。商用卫星互联网的安全标准主要还是以信息安全技术网络安全等级保护基本要求 信息安全技术网络安全等级保护测评要求 信息安全技术网络安
11、全等级保护安-7-全设计技术要求等通用标准为指导,缺乏专用于卫星网络的安全标准。此外,我国在已有卫星网络安全方面标准存在过时问题,如卫星通信方面,部分宽带卫星信令编码和协议标准处于过时状态,不适用于新的卫星技术发展和网络安全保障。另一方面,另一方面,我国地面通信和网络安全生态体系逐渐成熟,但在商用卫星网络安全领域产业总体规模较小,市场份额占比低。卫星互联网用户单位大多关注产品的性能、成本和效率,在卫星网络安全方面的投入较少。同时,我国拥有卫星互联网典型安全技术和场景应用的龙头企业缺乏,安全服务厂商大多未成立专门的卫星领域安全业务线,多数还是聚焦于传统的通信、终端、服务、新技术安全防护。此外,商
12、用卫星互联网领域的行业协会尚在成立初期,产业技术合作、论坛活动、人才培养等活跃度有待提升。三、启示与建议三、启示与建议 商用卫星产业发展迅猛,有望引领全球进入万物互联的智能时代。2022 年,我国卫星互联网行业市场规模达到 314 亿元,预计 2025 年市场规模将达到 447 亿元,2023 年 2 月,工业和信息化部放开卫星互联网设备进网许可管理,进一步拓展了商-8-用卫星互联网发展空间,相应的,也应加快商用卫星互联网安全管理体系建设,提升我国太空领域安全综合防御能力。加快卫星互联网安全立法,推动制定协调和统一管理政策。一方面,加快卫星互联网安全立法,推动制定协调和统一管理政策。一方面,在
13、中华人民共和国航天法的基础上,推动我国卫星网络安全立法,制定商用卫星网络安全指南。面向卫星互联网产业链各个环节,综合考虑数据安全、网络安全、供应链安全等方面,制定卫星网络的最低安全标准和商用卫星准入规范,规定卫星通信使用频谱范围和分配机制。推出针对商用卫星应用方、供应商和服务商的网络安全应用指南,并提供相应的做法和案例,指导其保障卫星网络安全。另一方面,另一方面,明确管理责任单位,推动协调统一的管理模式。加强“纵向”管理能力,将卫星互联网安全纳入各环节统筹管理,推动建立政府、企业、专家等多方参与的卫星星座网络安全体系和机制。可借鉴美国做法,建立“商用卫星系统网络安全协调中心”等机构,为商用卫星
14、用户、制造商和运营商提供网络安全资源和指导。推动构建商用卫星网络标准和评估体系,前瞻布局未来安全技术。一是推动构建商用卫星网络标准和评估体系,前瞻布局未来安全技术。一是加快建立商用卫星网络安全标准体系,推动太空网-9-络安全规范化建设。研究制定针对商用卫星网络安全相关的管理、技术、测评、应急等标准规范,指导运营者强化防护能力建设。二是二是构建太空系统网络安全评估体系,推动安全评估有序开展。制定面向供应商、服务商、用户方的通用安全标准,同时根据卫星的不同用途和特点,制定商用卫星网络专项安全评估标准,规范评估程序和测评方法,构建卫星网络安全态势评级体系,搭建国家级商用卫星网络安全测试服务平台,落实
15、太空网络产品、系统等安全认证程序,开展商用卫星供应链安全测评服务,全面推动商用卫星网络安全防护能力建设。三是三是推动卫星安全技术创新。依托商用领域卫星企业技术创新能力,推动零信任、区块链、人工智能等新兴安全技术服务卫星网络安全应用。加强天地一体化密码防护体系研究,开展星地通信安全切换、数据传输、星间路由、隐私计算和智能攻防等关键技术攻关,加快构建内生安全保障体系和面向卫星网络数据融合应用的数据安全服务能力,支撑空天地一体化网络安全防护体系建设。-10-促进网络安全与航天领域跨行业融合交流,加强卫星安全弹性建设。一是促进网络安全与航天领域跨行业融合交流,加强卫星安全弹性建设。一是加强网络安全行业
16、与航天领域融合发展。可建立跨行业联盟,汇聚包括卫星通信、网络安全、软件开发和硬件制造等产业专家学者,共同探索安全保障的关键共性难题,推动研发创新技术。二是二是推动公私部门合作,积极促进政府与商业航天、网络安全、金融等行业多元、有机合作,探索新的政企合作模式,集中突破安全关键技术能力,共享资源和专业知识。鼓励成立行业协会、产业联盟,举办商用卫星网络安全领域的会议展览、论坛沙龙、比赛活动,评选优秀卫星网络安全解决方案和应用案例,提高商业航天领域用户单位、运营单位对卫星网络安全的重视程度,提高软硬件设备供应商、网络安全服务厂商研发投入积极性,做大做优商用卫星安全产业。三是三是开展人员培训,提高安全意
17、识和应急处理能力。鼓励主管部门、用户单位和网络安全厂商加强网络安全人才培养考核,推动卫星通信系统安全测试员、卫星供应链安全管理员等新职业设立及培训落地,开展卫星网络安全人才深度培训,加强实战-11-演练,提高用户单位和产品使用人员的网络安全能力和应急处置能力。积极参与全球治理,推动国际空天信息网络安全领域对话合作。一是积极参与全球治理,推动国际空天信息网络安全领域对话合作。一是积极加入国际合作交流平台,推动安全能力共享。创建或加入国际空天信息网络安全联盟和组织,促进政府、企业和学术界与各国间交流与合作,推动双边和多边合作协议签署,建立空天领域网络安全合作机制,推动与国际伙伴共享网络安全情报和防
18、御策略。定期举办国际会议和研讨会,分享经验,发布卫星网络安全防护案例和指南,提升国际影响力。二是二是参与国际标准制定,加强法律层面对话。积极主导或参与太空领域网络安全国际标准工作规则制定,依托国际电信联盟、国际电信标准化组织等联盟单位,研提并推动具有自主知识产权的卫星网络安全标准成为国际标准,逐步提升我国在太空领域网络安全领域的国际影响力。参与制定国际法律和政策,提出中国方案,倡导公平、透明的网络安全政策,确保全球互联网的稳定和安全。三是三是降低企业国际合作门槛,推进技术研发和创新国际合作。鼓励跨国研究与开发项目,制定有利于国际科技-12-合作的政策,降低跨国研发合作的行政和法律障碍。在国际法律框架下协调知识产权保护和技术转让政策。设立国际科研和产业合作基金,支持卫星互联网领域的创新研究。支持国际科研机构和企业合作,推动我国安全企业与外商企业共同开发先进的空天网络安全技术,促进技术交流和知识共享。
浙ICP备2021020529号-1 | 浙B2-20240490 
