太空基础设施安全：网络安全最前沿

科幻剧《星际迷航》有一集名为“最后前沿（The Final Frontier）”，意指探索浩瀚宇宙为人类科学最后的前沿。

1 概要

通常，人们在讨论国家关键基础设施的网络威胁时，往往忽视了卫星和其它太空设备存在的漏洞攻击。这是一个重大失误，因为卫星技术是社会不断发展的本质，如导航、通信、遥感、监测等其它无数关键应用。太空和其相关领域存在的网络安全隐患将会成为国家、地区或国际问题，而要了解认知这种非传统安全威胁，就必须对网络和太空安全的交叉问题进行研究。

美国近年把太空环境形容为空间日益拥堵（Congested）、争夺日益加剧（Contested）、竞赛日益激烈（competed）的3C时代，并积极制订了相关的太空安全战略确保其太空领导权；俄罗斯国防策略也强调，亟需对当前和未来的信息领域战争制订国际合作规则。

本报告目的在于，指出太空空间供应链存在的网络安全管理问题，并给出相关建议，希望缓解太空基础设施中存在的安全漏洞隐患。

2 背景

查塔姆国际安全研究所（ Chatham House ）长期对网络和太空安全的交叉领域进行专业研究。2015年，与日本笹川和平基金会合作，对导致军用卫星瘫痪的相关网络攻击技术进行了研究，在《卫星安全-导致网络攻击的漏洞》研究项目中指出：

网络攻击可摧毁或瘫痪卫星和其它太空设备；

潜在的解决方案是加强国际合作、制订政策或增加技术研究投入；

另外，查塔姆国际安全研究所还多次召集各方专家对太空领域设备存在的安全漏洞进行讨论，以寻求和促进相关政策和解决方案的达成。

3 挑战

在复杂多样的网络威胁背景下，全球政府和金融机构正在以互联网为主要经济模式的环境下，寻求安全防范与商业发展之间的一致平衡。

由于国家间太空战略竞争，太空空间正成为刺激经济和技术发展的关键角色，因此，卫星服务很可能成为一系列网络攻击的潜在目标。太空领域的关键节点攻击，可能对国家或国际关键基础设施和能力造成影响。查塔姆最新报告指出，网络和太空安全领域的“进攻”和“防守”界线变得越来越模糊，但相比之下，“进攻”比“防守”发起成本更低、更简单。 当各国政府极力重视网络安全的同时，本文认为，与太空相关的复杂供应链和基础设施一样存在被网络攻击的安全隐患。

4 当前现状和反应

目前，全球范围内还没有相关的太空网络安全研究机构。应对这种挑战，需要激进和创新的观点。卫星通信和导航系统的经验告诉我们，尽管太空网络安全市场还需定义成形，但总体前景估计良好，太空网络安全面临的国际挑战可能是未来保护空间资产设备的一个战略机遇。

太空空间任务和相关支持功能需要系统定义，同时危机缓解策略的研究也必不可少。当前，亟需一些在太空空间有能力的国家和关键机构组成国际意愿团体，制订灵活的国际空间发展机制和网络安全制度，这种机制和制度将会提供快速、及时的反应能力，同时也能实现协调和监督作用，有利于太空空间合理发展。

为了应对太空网络安全威胁，几个国家机构已经开始建立合作机制，如CERT组织下的CERT-UK、CERT-JP、JP-CERTCC、CERT-IN、CERT-GH、US-CERT等。

5 太空网络安全威胁

威胁识别：

太空相关系统（天基系统）网络威胁分类如下：

国家间的军事战略利益，或以窃取战略性知识产权为目的的通信破解；

以经济利益为目的，掌握大量资源的犯罪组织攻击；

恐怖组织的为达宣传效应的攻击，或是操作卫星相撞等极端行为；

个人黑客炫耀技术的攻击。

威胁方法：

对通信网络和空间基础设施的干扰、欺骗和黑客攻击；

针对卫星控制系统和任务包的攻击，达到控制卫星功能，如关闭、变轨、或把太阳能电池暴露于电离辐射环境等；

对地面基础设施的攻击，如卫星控制中心、相关的网络和数据中心，导致潜在的全球性影响（如天气预报系统等）。

2011年，美国国会报告指出，2007年至2008年间，至少有两颗美国环境监测卫星受到四次或更多干扰，NASA的陆地7号监测卫星Landsat-7受到多达12分钟的干扰，NASA的另一颗地球监测卫星Terra AM-1曾在不同天内分别受到2分多钟和9分多钟的信号干扰。美国国家海洋和大气管理局曾于2014年9月遭受黑客攻击，导致卫星数据系统被迫下线，造成天气预报机构48小时的数据缺失。

威胁产生原因：

威胁途径非常复杂，但主要可以总结如下：

越来越多的卫星和星群提供了越来越多的入口点；

通信链路连通性和轨道连通性的增加；

自主通信链路的增加；

卫星供应商的质量标准不确定性卫星组件；

太空设备设计商只关注市场需要的重要安全控制；

更小更便宜的卫星在安全成本方面，与制造成本不成比例；

加密和其他安全控制系统的后门漏洞。

网络攻击对太空基础设施造成的后果有哪些？

包括但不限于：

降低国家安全或国防防御能力；

降低通信、观测能力或导航精度；

破坏包括精确计时系统在内的其它通信设施，导致通信缺乏保密和认证措施；

变换轨道运行参数导致碰撞；

破坏或劫持太空车；

破坏完整的发射器和有效载荷装备，在发射阶段造成更大风险；

破坏或删除卫星传输数据；

截取包括敏感信息在内的通信内容；

重设路由的通信拦截；

信号干扰或数据欺骗。

 6 卫星网络威胁

干扰

一种试图通过降低和破坏信号，扰乱通信传输和接收的攻击。干扰装置通常以相同或更高的频率传输电磁能量，模拟发送信号，干扰接收机。所有的无线通信系统都容易受到电磁干扰或人为干扰。卫星上的接收装置也能被干扰而无法接收上行链路信号。

地面干扰：影响位于特定地理区域的接收机的操作能力。一个已被应用多年的技术，例如，专制政府试图阻止人们访问未经授权的无线电或电视广播，在动荡和政治控制时期，政府为维持和控制国内信息与传播，可以针对广播电视进行电磁地面干扰。地面干扰也可用来短期内阻止移动电话网络和互联网访问，有时被称为“无线拒绝服务攻击”。

轨道干扰：干扰由地面站向卫星传输的信号。干扰器不一定要在信号发射器附近，可以位于接收卫星波束的任何地方。轨道干扰活动的地理范围不受干扰器的物理位置影响。

网络攻击

近年来，通信和导航系统攻击已经成为一系列新型复杂网络攻击，这些攻击背后的漏洞非常受到关注，一方面由于它们难于检测发现，另外能导致拒绝服务、完整性认证失败等不安全的严重后果。

Spoofing

Spoof欺骗原理其实就是伪装成一颗伪卫星进行播发定位数据，从而欺骗接收机。欺骗攻击通过操纵信息交换通信，从而降低其完整性。一个成功的欺骗攻击可能被用来针对和直接破坏关键基础设施，如对国家电网或金融业务的高频交易系统引入错误的定时信号，造成间接经济损失。

国际性事件影响和安全意识

1997年，美国关键基础设施保障研究会有先见之明地在报告中指出“与现代化相关的国家空天系统漏洞将会是最严重的安全隐患”。目前，随着全球导航系统的发展，各国都具备了一定的卫星导航能力，如美国的US-GPS，俄罗斯的GLONASS，欧洲的SBAS以及GalileoGNSS，中国的北斗BDS，印度的NAVIC、IRNSS，以及日本正在研发的QZSS。

而空天故障也会发生，2016年1月26日，第二代GPS卫星“SVN 23”正式退役，在从GPS星座移除过程中，触发了GPS地面软件问题，导致GPS时间出现13.7微秒误差；

当然，在关键基础设施的保护方面，并不是所有国家都能像美国一样有先见的意识和充足的资源。

太空军事战略设备漏洞

军事战略和战术导弹系统高度依赖于卫星和空间基础设施，它们用于导航、瞄准、指挥控制、作战监控等功能。然而，由于对天基设备、地面站和相关指挥和控制系统安全性缺乏足够重视，针对卫星的网络攻击会严重破坏战略武器系统的完整性。

劫持、摧毁或关闭卫星

尽管网络攻击很难从物理上控制卫星，但并不是无法攻破，这会极大地吸引那些试图控制ICS或SCADA系统的攻击者。对卫星的网络攻击包括针对地面站的攻击，而卫星内置计算机的远程定期更新，以及大量卫星硬件可能出现的后门都会带来安全隐患和漏洞。即使没有硬件“后门”，但对于复杂的网络攻击来说，目前的加密方法也可能无法阻止。通过地面站的攻击可以控制、摧毁或关闭卫星，而被控制可变轨的卫星就像一种太空武器，对空天设备和地面国家将会形成巨大的安全威胁。

商业卫星漏洞

2014年，安全公司IOActive对通信卫星的漏洞进行了安全评估。评估包括卫星通信相关的海上作业、个人通信、SCADA、语音、数据、航空和军事系统等 ，之后，IOActive发现许多卫星系统设备和软件缺乏根本的安全防范和定期更新措施，导致漏洞长期存在。

7 促进国际合作和相关措施实施

制订太空网络安全响应准则

政策要求

政府治理

管理

开放包容

政权强制行为

具备灵活性和主动性

风险管理

降低供应链安全风险

8 建议

提高安全意识

提高防范意识

识别依赖关系

识别漏洞

建立弹性的应急响应机制

开发面向未来的软硬件设施

严格的采购策略

严格的监管要求

经验分享

建立良好的风险管理和实践机制

四篇卫星黑客技术文章：slideshare1，slideshare2， dailywireless，inforsecinstitute

*参考来源：Chathamhouse-Report，FB小编clouds编译