中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué) 李強 廖鷹

網(wǎng)絡(luò)安全對于圓滿完成測控任務(wù)的意義日益凸顯，本文從天基平臺、天地鏈路和地面網(wǎng)絡(luò)三個層面分析了航天測控系統(tǒng)當(dāng)前面臨的網(wǎng)絡(luò)安全威脅。通過引入IPDRR 框架，從風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)和安全恢復(fù)五個方面深入分析了航天測控系統(tǒng)網(wǎng)絡(luò)防護體系運行現(xiàn)狀及存在的問題短板，并對優(yōu)化完善網(wǎng)絡(luò)防護體系，提高網(wǎng)絡(luò)防護能力提出了對策建議。

太空中各類航天器在我國各領(lǐng)域發(fā)揮的作用不斷增大，為滿足日益增長的航天測控需求，航天測控系統(tǒng)網(wǎng)絡(luò)規(guī)模結(jié)構(gòu)不斷擴展，大量測控裝備和信息系統(tǒng)不斷接入，面臨的網(wǎng)絡(luò)安全威脅的種類、方式和頻次也日益增多，給航天測控任務(wù)造成了影響。

不少學(xué)者針對航天測控系統(tǒng)網(wǎng)絡(luò)防護情況進行了分析，并提出了相關(guān)對策。例如，金術(shù)良等針對活動測控裝備網(wǎng)絡(luò)安全防護現(xiàn)狀的“六個缺乏”，提出了任務(wù)準備過程中的防護和應(yīng)急措施[1]；郜曉亮等從針對協(xié)議的威脅、攻擊手段和威脅來源三個方面分析了測控網(wǎng)面臨的安全威脅，提出了一個安全防護技術(shù)框架和安全管理模型，使安全管理和安全技術(shù)得以緊密結(jié)合[2]。但上述研究對于航天測控系統(tǒng)網(wǎng)絡(luò)防護現(xiàn)狀的研究分析還不夠系統(tǒng)全面深入，只有體系化地分析當(dāng)前航天測控系統(tǒng)網(wǎng)絡(luò)防護現(xiàn)狀，才能全面認清其存在的問題短板，為下一步改進完善航天測控系統(tǒng)網(wǎng)絡(luò)防護體系，提高網(wǎng)絡(luò)防護能力提供指導(dǎo)和依據(jù)。

1 航天測控系統(tǒng)網(wǎng)絡(luò)防護基本概念

航天測控系統(tǒng)是由任務(wù)中心、測控站、測控船和地面通信網(wǎng)組成，用于對航天器和運載火箭的飛行軌道、姿態(tài)和各分系統(tǒng)工作狀態(tài)進行跟蹤、測量、監(jiān)視和控制的系統(tǒng)。

網(wǎng)絡(luò)防護是為保護己方信息網(wǎng)絡(luò)系統(tǒng)正常工作和信息數(shù)據(jù)安全有效而采取防范的措施及其行動的統(tǒng)稱。包括網(wǎng)絡(luò)隔離、訪問控制、入侵檢測、攻擊源追蹤等。

2 航天測控系統(tǒng)網(wǎng)絡(luò)防護現(xiàn)狀

2.1 航天測控系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅

航天測控系統(tǒng)主要面臨來自天基平臺、天地鏈路和地面網(wǎng)絡(luò)三個層面的網(wǎng)絡(luò)安全威脅，其中任一節(jié)點遭到網(wǎng)絡(luò)攻擊，都有可能造成整個航天測控系統(tǒng)的全域破防。

（1）在天基平臺層面，網(wǎng)絡(luò)攻擊者可以利用天基平臺存在的后門和漏洞，通過破譯星間或星地鏈路加密密碼，進而發(fā)送欺騙性指令，對天基平臺進行劫持、控制和破壞；此外，還有可能進一步通過天地鏈路向地面測控裝備發(fā)送虛假信息和指令，影響地面測控裝備運行。

（2）在天地鏈路層面，網(wǎng)絡(luò)攻擊者可通過破譯天地鏈路加密密碼，對關(guān)鍵信息進行竊聽，或通過天地鏈路對天基平臺注入欺騙性指令，對天基平臺載荷信息進行篡改，或控制天基平臺進行轉(zhuǎn)向、變軌，甚至自毀。

（3）在地面網(wǎng)絡(luò)層面，航天測控系統(tǒng)網(wǎng)絡(luò)與其他部分網(wǎng)系存在跨網(wǎng)數(shù)據(jù)交互，由于各網(wǎng)系安全防護標準和策略不完全相同，網(wǎng)絡(luò)攻擊者可以從其他網(wǎng)系入侵航天測控系統(tǒng)網(wǎng)絡(luò)，竊取關(guān)鍵信息，通過控制系統(tǒng)運行、注入病毒程序，對地面測控裝備和天基平臺進行滲透破壞。此外，航天測控系統(tǒng)內(nèi)部也存在一些技術(shù)和管理上的漏洞，容易被網(wǎng)絡(luò)攻擊者利用，主要體現(xiàn)在：在系統(tǒng)安裝聯(lián)試期間引入的各類軟硬件設(shè)備不可避免地存在一定的漏洞和后門程序，通過內(nèi)外網(wǎng)交互也可能帶進來相關(guān)病毒；目前部分計算機終端使用的操作系統(tǒng)仍為Windows 系統(tǒng)，不能進行系統(tǒng)漏洞掃描和補丁升級，可被輕易獲取最高管理權(quán)限；路由器、交換機、服務(wù)器等網(wǎng)絡(luò)設(shè)備仍有部分非國產(chǎn)自主品牌，其所攜帶的漏洞和后門也存在不可控的風(fēng)險。

2.2 航天測控系統(tǒng)網(wǎng)絡(luò)防護體系

本節(jié)在企業(yè)安全能力框架（IPDRR）的基礎(chǔ)上對當(dāng)前航天測控系統(tǒng)網(wǎng)絡(luò)防護情況進行分析研究。其IPDRR 是由美國國家標準與技術(shù)研究所提出的，包括風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)和安全恢復(fù)五大能力[3]。

2.2.1 風(fēng)險識別

風(fēng)險識別是指識別網(wǎng)絡(luò)資產(chǎn)和風(fēng)險，即對系統(tǒng)、資產(chǎn)、數(shù)據(jù)和網(wǎng)絡(luò)所面臨的安全風(fēng)險的認識及確認，為阻止實施風(fēng)險控制和管理提供依據(jù)[3]。

目前，航天測控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險識別主要依托航天測控任務(wù)風(fēng)險分析工作開展，每年、每季度、每月和每次任務(wù)前各開展一次。首先，以“人、機、料、法、環(huán)、測”六大類作為一級資產(chǎn)類別，根據(jù)任務(wù)和裝備特點及需求進一步細分子類；然后遍歷各類資產(chǎn)可能會給測控任務(wù)帶來的風(fēng)險，并描述風(fēng)險所造成的后果；再定性地評估風(fēng)險發(fā)生的可能性和后果的嚴重性；最后，以風(fēng)險發(fā)生的可能性等級和后果嚴重性等級為依據(jù)，進一步定性地評估風(fēng)險等級，如表1 所示。

表1 風(fēng)險等級評估表Tab.1 Risk level assessment table

完成風(fēng)險等級評估后，風(fēng)險所屬單位要根據(jù)風(fēng)險因素的詳細描述和風(fēng)險等級，擬制風(fēng)險對策，并通過設(shè)置相應(yīng)的監(jiān)控點，明確實施單位、人員、時機和方法，對風(fēng)險進行過程監(jiān)控。任務(wù)結(jié)束后，要針對任務(wù)中出現(xiàn)的問題，對任務(wù)風(fēng)險識別、預(yù)防措施制定及執(zhí)行情況進行評估，提出改進措施，指導(dǎo)下次任務(wù)風(fēng)險管理工作。

2.2.2 安全防御

安全防御是指采取適當(dāng)?shù)陌踩胧?，保護己方信息網(wǎng)絡(luò)系統(tǒng)正常工作和信息數(shù)據(jù)安全有效[3]。

在網(wǎng)絡(luò)安全防護體系中，安全防御是在網(wǎng)絡(luò)攻擊發(fā)生前，對各關(guān)鍵網(wǎng)絡(luò)節(jié)點進行相應(yīng)的防御部署，加強網(wǎng)絡(luò)防護裝備檢查維護，備份相關(guān)設(shè)備和參數(shù)配置，并根據(jù)威脅檢測和態(tài)勢感知結(jié)果，及時調(diào)整防御策略和部署，更新病毒庫和漏洞補丁庫，提高安全防御的針對性。目前，在航天測控系統(tǒng)主要部署有入侵檢測系統(tǒng)、防火墻、網(wǎng)絡(luò)攻擊監(jiān)測探針系統(tǒng)、病毒查殺系統(tǒng)等網(wǎng)絡(luò)防護裝備，通過實時的網(wǎng)絡(luò)安全監(jiān)測，及時預(yù)警、識別惡意網(wǎng)絡(luò)行為，采取針對性應(yīng)對措施，確保航天測控系統(tǒng)網(wǎng)絡(luò)運行安全。

2.2.3 安全檢測

安全檢測是指通過分析信息網(wǎng)絡(luò)通信數(shù)據(jù)，提取網(wǎng)絡(luò)攻擊與入侵的行為模式及特征，及時發(fā)現(xiàn)網(wǎng)絡(luò)入侵和攻擊事件并進行監(jiān)測[3]。

目前，航天測控系統(tǒng)對網(wǎng)絡(luò)安全威脅的檢測主要是依托入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全管理系統(tǒng)、安全過濾終端等網(wǎng)絡(luò)防護裝備，通過進行網(wǎng)絡(luò)抓包、數(shù)據(jù)流監(jiān)測、查看系統(tǒng)CPU 占有率、內(nèi)存使用率、IP 地址、TCP 標記、端口號以及查看系統(tǒng)運行和告警日志等方式，及時發(fā)現(xiàn)遠程掃描、病毒感染、DOS 攻擊和APT 攻擊等異?，F(xiàn)象，并發(fā)出告警。

2.2.4 安全響應(yīng)

安全響應(yīng)是指對已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件及時采取合適的行動，主要包括事件調(diào)查、評估損害、收集證據(jù)、追蹤溯源和報告事件等[3]。

發(fā)生網(wǎng)絡(luò)安全事件后，航天測控系統(tǒng)組織力量結(jié)合不同的終端異常和網(wǎng)絡(luò)異?，F(xiàn)象，研判可能的攻擊類型、攻擊烈度、范圍和影響域，及時采取斷網(wǎng)隔離、查殺病毒、修復(fù)漏洞、更新病毒庫補丁庫、重裝系統(tǒng)、軟硬件參數(shù)重配以及切換備用設(shè)備等應(yīng)急處置措施。

在研判分析和應(yīng)急處置過程中，通過分析設(shè)備日志信息、查看網(wǎng)絡(luò)入侵痕跡、非法操作記錄、異常數(shù)據(jù)流和惡意代碼等方法，查找定位攻擊源的身份、地理位置或虛擬地址，逐步分析定位攻擊主機、攻擊控制主機、攻擊者及其組織機構(gòu)，若攻擊源在內(nèi)網(wǎng)，則對攻擊源進行隔離凈化；若攻擊源在外網(wǎng)，則協(xié)同網(wǎng)絡(luò)安全監(jiān)管部門清除攻擊源。

2.2.5 安全恢復(fù)

安全恢復(fù)是指將受到入侵和攻擊的系統(tǒng)進行凈化加固，恢復(fù)至正常狀態(tài)[3]。

航天測控系統(tǒng)根據(jù)不同的網(wǎng)絡(luò)攻擊類型采取相應(yīng)的凈化加固措施，如調(diào)整防火墻、交換機和端口阻斷策略，禁用相關(guān)服務(wù)選項，查殺病毒、修補漏洞，并更新病毒庫和補丁庫，以及開展網(wǎng)絡(luò)安全評測等，若無法完成系統(tǒng)凈化加固，則考慮設(shè)計建設(shè)新的網(wǎng)絡(luò)通信系統(tǒng)。

凈化加固工作完成后，根據(jù)遭受網(wǎng)絡(luò)攻擊破壞的情況，及時恢復(fù)系統(tǒng)狀態(tài)，以滿足正常執(zhí)行航天測控任務(wù)的條件。主要完成以下幾個方面的工作：

（1）恢復(fù)網(wǎng)絡(luò)系統(tǒng)狀態(tài)。在完成凈化加固后，將因遭受網(wǎng)絡(luò)攻擊而斷網(wǎng)隔離的網(wǎng)絡(luò)硬件設(shè)備重新接入網(wǎng)絡(luò)，恢復(fù)操作系統(tǒng)環(huán)境和軟硬件參數(shù)配置。

（2）恢復(fù)核心裝備運行狀態(tài)。通過相應(yīng)恢復(fù)系統(tǒng)或事先備份數(shù)據(jù)，恢復(fù)被誤刪或篡改的系統(tǒng)運行數(shù)據(jù)和參數(shù)配置，及時更換遭受物理性破壞的裝備器件，并進行上線運行調(diào)試。

（3）恢復(fù)任務(wù)執(zhí)行條件。完成網(wǎng)絡(luò)系統(tǒng)和核心裝備狀態(tài)恢復(fù)后，立即通報用網(wǎng)單位，向斷網(wǎng)裝備安排測試計劃，測試裝備工作狀態(tài)，若測試正常，則向該裝備安排正常工作計劃。

2.3 存在的問題短板

目前，面對惡意網(wǎng)絡(luò)攻擊威脅，航天測控系統(tǒng)網(wǎng)絡(luò)防護往往無法及時感知并有效攔截攻擊行為，通常于事后采取追蹤溯源和凈化加固等“亡羊補牢”式的應(yīng)對措施，目的是提高目標系統(tǒng)的防護“經(jīng)驗”，但攻擊者通常不會發(fā)起第二次相同的攻擊，因此航天測控系統(tǒng)網(wǎng)絡(luò)防護一直處于被動跟隨的地位，主要存在以下幾個方面的問題短板[4]。

2.3.1 附加式的外部安全防護裝備極有可能引入新的威脅

防火墻、入侵檢測系統(tǒng)和網(wǎng)絡(luò)攻擊監(jiān)測探針系統(tǒng)等附加于目標防護系統(tǒng)外部的安全防護裝備，由于其自身的設(shè)計缺陷形成的漏洞，或是被生產(chǎn)鏈條中的某些廠家和部門惡意植入后門，都會給目標防護系統(tǒng)增添新的安全威脅，而且這些漏洞和后門往往是未知的，網(wǎng)絡(luò)防護裝備自身無法檢測出來，從而給攻擊者提供了更多的機會[4]。

2.3.2 靜態(tài)防護技術(shù)無法抵御基于未知漏洞和后門的未知攻擊

目前，航天測控系統(tǒng)運用的防火墻、入侵檢測系統(tǒng)、病毒查殺系統(tǒng)等網(wǎng)絡(luò)防護裝備均屬于靜態(tài)防護手段，缺乏動態(tài)性、多樣性，防護體系結(jié)構(gòu)透明脆弱，容易被網(wǎng)絡(luò)攻擊者偵察掌握；而且其發(fā)揮作用的前提是對網(wǎng)絡(luò)攻擊行為規(guī)律的充分認知，必須通過定期更新病毒庫、補丁庫和規(guī)則庫，以有效鑒別網(wǎng)絡(luò)攻擊行為的非法性。航天測控系統(tǒng)應(yīng)用的操作系統(tǒng)、數(shù)據(jù)庫和交換機等各類軟硬件系統(tǒng)裝備，不可避免地會攜帶漏洞和后門。當(dāng)前遠沒有實現(xiàn)對各類漏洞和后門的全面認識，面對基于未知漏洞和后門的未知攻擊、復(fù)雜多變的多模式聯(lián)合攻擊以及源自內(nèi)部的惡意主動攻擊等安全威脅，靜態(tài)防護技術(shù)無法提供可靠的防護效果[5]。

2.3.3 網(wǎng)絡(luò)安全態(tài)勢精確感知和預(yù)警機制還不完善

目前，航天測控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知主要是通過查看網(wǎng)絡(luò)安全設(shè)備日志、運用相應(yīng)工具進行網(wǎng)絡(luò)抓包、定期統(tǒng)計并及時通報網(wǎng)內(nèi)各系統(tǒng)終端的病毒和漏洞類型及數(shù)量等方式，粗略定性地感知當(dāng)前網(wǎng)絡(luò)運行狀態(tài)和發(fā)展變化趨勢，尚未形成體系化、自動化的基于環(huán)境動態(tài)、整體、定量的網(wǎng)絡(luò)安全態(tài)勢感知模式[6]。

2.3.4 網(wǎng)絡(luò)安全人才隊伍尚未建立健全

網(wǎng)絡(luò)防護從安全體系架構(gòu)、安全信息搜集、安全態(tài)勢感知，到安全裝備運維、安全事件處置等工作的開展都需要具備網(wǎng)絡(luò)安全專業(yè)知識技能的人才隊伍。目前在各航天測控站點，相關(guān)專業(yè)人才配置還不夠全面，在執(zhí)行安全分析、參數(shù)配置和策略調(diào)整等任務(wù)時，無法高效落實任務(wù)要求，以確保網(wǎng)絡(luò)系統(tǒng)和測控任務(wù)安全[7]。

3 結(jié)語

本文在分析航天測控系統(tǒng)當(dāng)前面臨的安全威脅的基礎(chǔ)上，從IPDRR 框架的角度，系統(tǒng)且全面深入地分析了航天測控系統(tǒng)網(wǎng)絡(luò)防護體系現(xiàn)狀及存在的問題短板。下一步，航天測控系統(tǒng)應(yīng)著眼扭轉(zhuǎn)網(wǎng)絡(luò)防護長期處于的被動地位，強化各類動態(tài)防護裝備和技術(shù)融合應(yīng)用，構(gòu)建新型網(wǎng)絡(luò)防護體系，不斷提高航天測控系統(tǒng)網(wǎng)絡(luò)防護能力。