中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 李強(qiáng) 廖鷹
網(wǎng)絡(luò)安全對(duì)于圓滿完成測(cè)控任務(wù)的意義日益凸顯,本文從天基平臺(tái)、天地鏈路和地面網(wǎng)絡(luò)三個(gè)層面分析了航天測(cè)控系統(tǒng)當(dāng)前面臨的網(wǎng)絡(luò)安全威脅。通過引入IPDRR 框架,從風(fēng)險(xiǎn)識(shí)別、安全防御、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)五個(gè)方面深入分析了航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系運(yùn)行現(xiàn)狀及存在的問題短板,并對(duì)優(yōu)化完善網(wǎng)絡(luò)防護(hù)體系,提高網(wǎng)絡(luò)防護(hù)能力提出了對(duì)策建議。
太空中各類航天器在我國(guó)各領(lǐng)域發(fā)揮的作用不斷增大,為滿足日益增長(zhǎng)的航天測(cè)控需求,航天測(cè)控系統(tǒng)網(wǎng)絡(luò)規(guī)模結(jié)構(gòu)不斷擴(kuò)展,大量測(cè)控裝備和信息系統(tǒng)不斷接入,面臨的網(wǎng)絡(luò)安全威脅的種類、方式和頻次也日益增多,給航天測(cè)控任務(wù)造成了影響。
不少學(xué)者針對(duì)航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)情況進(jìn)行了分析,并提出了相關(guān)對(duì)策。例如,金術(shù)良等針對(duì)活動(dòng)測(cè)控裝備網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀的“六個(gè)缺乏”,提出了任務(wù)準(zhǔn)備過程中的防護(hù)和應(yīng)急措施[1];郜曉亮等從針對(duì)協(xié)議的威脅、攻擊手段和威脅來源三個(gè)方面分析了測(cè)控網(wǎng)面臨的安全威脅,提出了一個(gè)安全防護(hù)技術(shù)框架和安全管理模型,使安全管理和安全技術(shù)得以緊密結(jié)合[2]。但上述研究對(duì)于航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)現(xiàn)狀的研究分析還不夠系統(tǒng)全面深入,只有體系化地分析當(dāng)前航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)現(xiàn)狀,才能全面認(rèn)清其存在的問題短板,為下一步改進(jìn)完善航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系,提高網(wǎng)絡(luò)防護(hù)能力提供指導(dǎo)和依據(jù)。
航天測(cè)控系統(tǒng)是由任務(wù)中心、測(cè)控站、測(cè)控船和地面通信網(wǎng)組成,用于對(duì)航天器和運(yùn)載火箭的飛行軌道、姿態(tài)和各分系統(tǒng)工作狀態(tài)進(jìn)行跟蹤、測(cè)量、監(jiān)視和控制的系統(tǒng)。
網(wǎng)絡(luò)防護(hù)是為保護(hù)己方信息網(wǎng)絡(luò)系統(tǒng)正常工作和信息數(shù)據(jù)安全有效而采取防范的措施及其行動(dòng)的統(tǒng)稱。包括網(wǎng)絡(luò)隔離、訪問控制、入侵檢測(cè)、攻擊源追蹤等。
航天測(cè)控系統(tǒng)主要面臨來自天基平臺(tái)、天地鏈路和地面網(wǎng)絡(luò)三個(gè)層面的網(wǎng)絡(luò)安全威脅,其中任一節(jié)點(diǎn)遭到網(wǎng)絡(luò)攻擊,都有可能造成整個(gè)航天測(cè)控系統(tǒng)的全域破防。
(1)在天基平臺(tái)層面,網(wǎng)絡(luò)攻擊者可以利用天基平臺(tái)存在的后門和漏洞,通過破譯星間或星地鏈路加密密碼,進(jìn)而發(fā)送欺騙性指令,對(duì)天基平臺(tái)進(jìn)行劫持、控制和破壞;此外,還有可能進(jìn)一步通過天地鏈路向地面測(cè)控裝備發(fā)送虛假信息和指令,影響地面測(cè)控裝備運(yùn)行。
(2)在天地鏈路層面,網(wǎng)絡(luò)攻擊者可通過破譯天地鏈路加密密碼,對(duì)關(guān)鍵信息進(jìn)行竊聽,或通過天地鏈路對(duì)天基平臺(tái)注入欺騙性指令,對(duì)天基平臺(tái)載荷信息進(jìn)行篡改,或控制天基平臺(tái)進(jìn)行轉(zhuǎn)向、變軌,甚至自毀。
(3)在地面網(wǎng)絡(luò)層面,航天測(cè)控系統(tǒng)網(wǎng)絡(luò)與其他部分網(wǎng)系存在跨網(wǎng)數(shù)據(jù)交互,由于各網(wǎng)系安全防護(hù)標(biāo)準(zhǔn)和策略不完全相同,網(wǎng)絡(luò)攻擊者可以從其他網(wǎng)系入侵航天測(cè)控系統(tǒng)網(wǎng)絡(luò),竊取關(guān)鍵信息,通過控制系統(tǒng)運(yùn)行、注入病毒程序,對(duì)地面測(cè)控裝備和天基平臺(tái)進(jìn)行滲透破壞。此外,航天測(cè)控系統(tǒng)內(nèi)部也存在一些技術(shù)和管理上的漏洞,容易被網(wǎng)絡(luò)攻擊者利用,主要體現(xiàn)在:在系統(tǒng)安裝聯(lián)試期間引入的各類軟硬件設(shè)備不可避免地存在一定的漏洞和后門程序,通過內(nèi)外網(wǎng)交互也可能帶進(jìn)來相關(guān)病毒;目前部分計(jì)算機(jī)終端使用的操作系統(tǒng)仍為Windows 系統(tǒng),不能進(jìn)行系統(tǒng)漏洞掃描和補(bǔ)丁升級(jí),可被輕易獲取最高管理權(quán)限;路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備仍有部分非國(guó)產(chǎn)自主品牌,其所攜帶的漏洞和后門也存在不可控的風(fēng)險(xiǎn)。
本節(jié)在企業(yè)安全能力框架(IPDRR)的基礎(chǔ)上對(duì)當(dāng)前航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)情況進(jìn)行分析研究。其IPDRR 是由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所提出的,包括風(fēng)險(xiǎn)識(shí)別、安全防御、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)五大能力[3]。
2.2.1 風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別是指識(shí)別網(wǎng)絡(luò)資產(chǎn)和風(fēng)險(xiǎn),即對(duì)系統(tǒng)、資產(chǎn)、數(shù)據(jù)和網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)的認(rèn)識(shí)及確認(rèn),為阻止實(shí)施風(fēng)險(xiǎn)控制和管理提供依據(jù)[3]。
目前,航天測(cè)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別主要依托航天測(cè)控任務(wù)風(fēng)險(xiǎn)分析工作開展,每年、每季度、每月和每次任務(wù)前各開展一次。首先,以“人、機(jī)、料、法、環(huán)、測(cè)”六大類作為一級(jí)資產(chǎn)類別,根據(jù)任務(wù)和裝備特點(diǎn)及需求進(jìn)一步細(xì)分子類;然后遍歷各類資產(chǎn)可能會(huì)給測(cè)控任務(wù)帶來的風(fēng)險(xiǎn),并描述風(fēng)險(xiǎn)所造成的后果;再定性地評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和后果的嚴(yán)重性;最后,以風(fēng)險(xiǎn)發(fā)生的可能性等級(jí)和后果嚴(yán)重性等級(jí)為依據(jù),進(jìn)一步定性地評(píng)估風(fēng)險(xiǎn)等級(jí),如表1 所示。
表1 風(fēng)險(xiǎn)等級(jí)評(píng)估表Tab.1 Risk level assessment table
完成風(fēng)險(xiǎn)等級(jí)評(píng)估后,風(fēng)險(xiǎn)所屬單位要根據(jù)風(fēng)險(xiǎn)因素的詳細(xì)描述和風(fēng)險(xiǎn)等級(jí),擬制風(fēng)險(xiǎn)對(duì)策,并通過設(shè)置相應(yīng)的監(jiān)控點(diǎn),明確實(shí)施單位、人員、時(shí)機(jī)和方法,對(duì)風(fēng)險(xiǎn)進(jìn)行過程監(jiān)控。任務(wù)結(jié)束后,要針對(duì)任務(wù)中出現(xiàn)的問題,對(duì)任務(wù)風(fēng)險(xiǎn)識(shí)別、預(yù)防措施制定及執(zhí)行情況進(jìn)行評(píng)估,提出改進(jìn)措施,指導(dǎo)下次任務(wù)風(fēng)險(xiǎn)管理工作。
2.2.2 安全防御
安全防御是指采取適當(dāng)?shù)陌踩胧?,保護(hù)己方信息網(wǎng)絡(luò)系統(tǒng)正常工作和信息數(shù)據(jù)安全有效[3]。
在網(wǎng)絡(luò)安全防護(hù)體系中,安全防御是在網(wǎng)絡(luò)攻擊發(fā)生前,對(duì)各關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行相應(yīng)的防御部署,加強(qiáng)網(wǎng)絡(luò)防護(hù)裝備檢查維護(hù),備份相關(guān)設(shè)備和參數(shù)配置,并根據(jù)威脅檢測(cè)和態(tài)勢(shì)感知結(jié)果,及時(shí)調(diào)整防御策略和部署,更新病毒庫(kù)和漏洞補(bǔ)丁庫(kù),提高安全防御的針對(duì)性。目前,在航天測(cè)控系統(tǒng)主要部署有入侵檢測(cè)系統(tǒng)、防火墻、網(wǎng)絡(luò)攻擊監(jiān)測(cè)探針系統(tǒng)、病毒查殺系統(tǒng)等網(wǎng)絡(luò)防護(hù)裝備,通過實(shí)時(shí)的網(wǎng)絡(luò)安全監(jiān)測(cè),及時(shí)預(yù)警、識(shí)別惡意網(wǎng)絡(luò)行為,采取針對(duì)性應(yīng)對(duì)措施,確保航天測(cè)控系統(tǒng)網(wǎng)絡(luò)運(yùn)行安全。
2.2.3 安全檢測(cè)
安全檢測(cè)是指通過分析信息網(wǎng)絡(luò)通信數(shù)據(jù),提取網(wǎng)絡(luò)攻擊與入侵的行為模式及特征,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵和攻擊事件并進(jìn)行監(jiān)測(cè)[3]。
目前,航天測(cè)控系統(tǒng)對(duì)網(wǎng)絡(luò)安全威脅的檢測(cè)主要是依托入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全管理系統(tǒng)、安全過濾終端等網(wǎng)絡(luò)防護(hù)裝備,通過進(jìn)行網(wǎng)絡(luò)抓包、數(shù)據(jù)流監(jiān)測(cè)、查看系統(tǒng)CPU 占有率、內(nèi)存使用率、IP 地址、TCP 標(biāo)記、端口號(hào)以及查看系統(tǒng)運(yùn)行和告警日志等方式,及時(shí)發(fā)現(xiàn)遠(yuǎn)程掃描、病毒感染、DOS 攻擊和APT 攻擊等異常現(xiàn)象,并發(fā)出告警。
2.2.4 安全響應(yīng)
安全響應(yīng)是指對(duì)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件及時(shí)采取合適的行動(dòng),主要包括事件調(diào)查、評(píng)估損害、收集證據(jù)、追蹤溯源和報(bào)告事件等[3]。
發(fā)生網(wǎng)絡(luò)安全事件后,航天測(cè)控系統(tǒng)組織力量結(jié)合不同的終端異常和網(wǎng)絡(luò)異?,F(xiàn)象,研判可能的攻擊類型、攻擊烈度、范圍和影響域,及時(shí)采取斷網(wǎng)隔離、查殺病毒、修復(fù)漏洞、更新病毒庫(kù)補(bǔ)丁庫(kù)、重裝系統(tǒng)、軟硬件參數(shù)重配以及切換備用設(shè)備等應(yīng)急處置措施。
在研判分析和應(yīng)急處置過程中,通過分析設(shè)備日志信息、查看網(wǎng)絡(luò)入侵痕跡、非法操作記錄、異常數(shù)據(jù)流和惡意代碼等方法,查找定位攻擊源的身份、地理位置或虛擬地址,逐步分析定位攻擊主機(jī)、攻擊控制主機(jī)、攻擊者及其組織機(jī)構(gòu),若攻擊源在內(nèi)網(wǎng),則對(duì)攻擊源進(jìn)行隔離凈化;若攻擊源在外網(wǎng),則協(xié)同網(wǎng)絡(luò)安全監(jiān)管部門清除攻擊源。
2.2.5 安全恢復(fù)
安全恢復(fù)是指將受到入侵和攻擊的系統(tǒng)進(jìn)行凈化加固,恢復(fù)至正常狀態(tài)[3]。
航天測(cè)控系統(tǒng)根據(jù)不同的網(wǎng)絡(luò)攻擊類型采取相應(yīng)的凈化加固措施,如調(diào)整防火墻、交換機(jī)和端口阻斷策略,禁用相關(guān)服務(wù)選項(xiàng),查殺病毒、修補(bǔ)漏洞,并更新病毒庫(kù)和補(bǔ)丁庫(kù),以及開展網(wǎng)絡(luò)安全評(píng)測(cè)等,若無法完成系統(tǒng)凈化加固,則考慮設(shè)計(jì)建設(shè)新的網(wǎng)絡(luò)通信系統(tǒng)。
凈化加固工作完成后,根據(jù)遭受網(wǎng)絡(luò)攻擊破壞的情況,及時(shí)恢復(fù)系統(tǒng)狀態(tài),以滿足正常執(zhí)行航天測(cè)控任務(wù)的條件。主要完成以下幾個(gè)方面的工作:
(1)恢復(fù)網(wǎng)絡(luò)系統(tǒng)狀態(tài)。在完成凈化加固后,將因遭受網(wǎng)絡(luò)攻擊而斷網(wǎng)隔離的網(wǎng)絡(luò)硬件設(shè)備重新接入網(wǎng)絡(luò),恢復(fù)操作系統(tǒng)環(huán)境和軟硬件參數(shù)配置。
(2)恢復(fù)核心裝備運(yùn)行狀態(tài)。通過相應(yīng)恢復(fù)系統(tǒng)或事先備份數(shù)據(jù),恢復(fù)被誤刪或篡改的系統(tǒng)運(yùn)行數(shù)據(jù)和參數(shù)配置,及時(shí)更換遭受物理性破壞的裝備器件,并進(jìn)行上線運(yùn)行調(diào)試。
(3)恢復(fù)任務(wù)執(zhí)行條件。完成網(wǎng)絡(luò)系統(tǒng)和核心裝備狀態(tài)恢復(fù)后,立即通報(bào)用網(wǎng)單位,向斷網(wǎng)裝備安排測(cè)試計(jì)劃,測(cè)試裝備工作狀態(tài),若測(cè)試正常,則向該裝備安排正常工作計(jì)劃。
目前,面對(duì)惡意網(wǎng)絡(luò)攻擊威脅,航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)往往無法及時(shí)感知并有效攔截攻擊行為,通常于事后采取追蹤溯源和凈化加固等“亡羊補(bǔ)牢”式的應(yīng)對(duì)措施,目的是提高目標(biāo)系統(tǒng)的防護(hù)“經(jīng)驗(yàn)”,但攻擊者通常不會(huì)發(fā)起第二次相同的攻擊,因此航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)一直處于被動(dòng)跟隨的地位,主要存在以下幾個(gè)方面的問題短板[4]。
2.3.1 附加式的外部安全防護(hù)裝備極有可能引入新的威脅
防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)攻擊監(jiān)測(cè)探針系統(tǒng)等附加于目標(biāo)防護(hù)系統(tǒng)外部的安全防護(hù)裝備,由于其自身的設(shè)計(jì)缺陷形成的漏洞,或是被生產(chǎn)鏈條中的某些廠家和部門惡意植入后門,都會(huì)給目標(biāo)防護(hù)系統(tǒng)增添新的安全威脅,而且這些漏洞和后門往往是未知的,網(wǎng)絡(luò)防護(hù)裝備自身無法檢測(cè)出來,從而給攻擊者提供了更多的機(jī)會(huì)[4]。
2.3.2 靜態(tài)防護(hù)技術(shù)無法抵御基于未知漏洞和后門的未知攻擊
目前,航天測(cè)控系統(tǒng)運(yùn)用的防火墻、入侵檢測(cè)系統(tǒng)、病毒查殺系統(tǒng)等網(wǎng)絡(luò)防護(hù)裝備均屬于靜態(tài)防護(hù)手段,缺乏動(dòng)態(tài)性、多樣性,防護(hù)體系結(jié)構(gòu)透明脆弱,容易被網(wǎng)絡(luò)攻擊者偵察掌握;而且其發(fā)揮作用的前提是對(duì)網(wǎng)絡(luò)攻擊行為規(guī)律的充分認(rèn)知,必須通過定期更新病毒庫(kù)、補(bǔ)丁庫(kù)和規(guī)則庫(kù),以有效鑒別網(wǎng)絡(luò)攻擊行為的非法性。航天測(cè)控系統(tǒng)應(yīng)用的操作系統(tǒng)、數(shù)據(jù)庫(kù)和交換機(jī)等各類軟硬件系統(tǒng)裝備,不可避免地會(huì)攜帶漏洞和后門。當(dāng)前遠(yuǎn)沒有實(shí)現(xiàn)對(duì)各類漏洞和后門的全面認(rèn)識(shí),面對(duì)基于未知漏洞和后門的未知攻擊、復(fù)雜多變的多模式聯(lián)合攻擊以及源自內(nèi)部的惡意主動(dòng)攻擊等安全威脅,靜態(tài)防護(hù)技術(shù)無法提供可靠的防護(hù)效果[5]。
2.3.3 網(wǎng)絡(luò)安全態(tài)勢(shì)精確感知和預(yù)警機(jī)制還不完善
目前,航天測(cè)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要是通過查看網(wǎng)絡(luò)安全設(shè)備日志、運(yùn)用相應(yīng)工具進(jìn)行網(wǎng)絡(luò)抓包、定期統(tǒng)計(jì)并及時(shí)通報(bào)網(wǎng)內(nèi)各系統(tǒng)終端的病毒和漏洞類型及數(shù)量等方式,粗略定性地感知當(dāng)前網(wǎng)絡(luò)運(yùn)行狀態(tài)和發(fā)展變化趨勢(shì),尚未形成體系化、自動(dòng)化的基于環(huán)境動(dòng)態(tài)、整體、定量的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模式[6]。
2.3.4 網(wǎng)絡(luò)安全人才隊(duì)伍尚未建立健全
網(wǎng)絡(luò)防護(hù)從安全體系架構(gòu)、安全信息搜集、安全態(tài)勢(shì)感知,到安全裝備運(yùn)維、安全事件處置等工作的開展都需要具備網(wǎng)絡(luò)安全專業(yè)知識(shí)技能的人才隊(duì)伍。目前在各航天測(cè)控站點(diǎn),相關(guān)專業(yè)人才配置還不夠全面,在執(zhí)行安全分析、參數(shù)配置和策略調(diào)整等任務(wù)時(shí),無法高效落實(shí)任務(wù)要求,以確保網(wǎng)絡(luò)系統(tǒng)和測(cè)控任務(wù)安全[7]。
本文在分析航天測(cè)控系統(tǒng)當(dāng)前面臨的安全威脅的基礎(chǔ)上,從IPDRR 框架的角度,系統(tǒng)且全面深入地分析了航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系現(xiàn)狀及存在的問題短板。下一步,航天測(cè)控系統(tǒng)應(yīng)著眼扭轉(zhuǎn)網(wǎng)絡(luò)防護(hù)長(zhǎng)期處于的被動(dòng)地位,強(qiáng)化各類動(dòng)態(tài)防護(hù)裝備和技術(shù)融合應(yīng)用,構(gòu)建新型網(wǎng)絡(luò)防護(hù)體系,不斷提高航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)能力。