航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)現(xiàn)狀探討

中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 李強(qiáng) 廖鷹

網(wǎng)絡(luò)安全對(duì)于圓滿完成測(cè)控任務(wù)的意義日益凸顯，本文從天基平臺(tái)、天地鏈路和地面網(wǎng)絡(luò)三個(gè)層面分析了航天測(cè)控系統(tǒng)當(dāng)前面臨的網(wǎng)絡(luò)安全威脅。通過引入IPDRR 框架，從風(fēng)險(xiǎn)識(shí)別、安全防御、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)五個(gè)方面深入分析了航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系運(yùn)行現(xiàn)狀及存在的問題短板，并對(duì)優(yōu)化完善網(wǎng)絡(luò)防護(hù)體系，提高網(wǎng)絡(luò)防護(hù)能力提出了對(duì)策建議。

太空中各類航天器在我國(guó)各領(lǐng)域發(fā)揮的作用不斷增大，為滿足日益增長(zhǎng)的航天測(cè)控需求，航天測(cè)控系統(tǒng)網(wǎng)絡(luò)規(guī)模結(jié)構(gòu)不斷擴(kuò)展，大量測(cè)控裝備和信息系統(tǒng)不斷接入，面臨的網(wǎng)絡(luò)安全威脅的種類、方式和頻次也日益增多，給航天測(cè)控任務(wù)造成了影響。

不少學(xué)者針對(duì)航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)情況進(jìn)行了分析，并提出了相關(guān)對(duì)策。例如，金術(shù)良等針對(duì)活動(dòng)測(cè)控裝備網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀的“六個(gè)缺乏”，提出了任務(wù)準(zhǔn)備過程中的防護(hù)和應(yīng)急措施[1]；郜曉亮等從針對(duì)協(xié)議的威脅、攻擊手段和威脅來源三個(gè)方面分析了測(cè)控網(wǎng)面臨的安全威脅，提出了一個(gè)安全防護(hù)技術(shù)框架和安全管理模型，使安全管理和安全技術(shù)得以緊密結(jié)合[2]。但上述研究對(duì)于航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)現(xiàn)狀的研究分析還不夠系統(tǒng)全面深入，只有體系化地分析當(dāng)前航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)現(xiàn)狀，才能全面認(rèn)清其存在的問題短板，為下一步改進(jìn)完善航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系，提高網(wǎng)絡(luò)防護(hù)能力提供指導(dǎo)和依據(jù)。

1 航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)基本概念

航天測(cè)控系統(tǒng)是由任務(wù)中心、測(cè)控站、測(cè)控船和地面通信網(wǎng)組成，用于對(duì)航天器和運(yùn)載火箭的飛行軌道、姿態(tài)和各分系統(tǒng)工作狀態(tài)進(jìn)行跟蹤、測(cè)量、監(jiān)視和控制的系統(tǒng)。

網(wǎng)絡(luò)防護(hù)是為保護(hù)己方信息網(wǎng)絡(luò)系統(tǒng)正常工作和信息數(shù)據(jù)安全有效而采取防范的措施及其行動(dòng)的統(tǒng)稱。包括網(wǎng)絡(luò)隔離、訪問控制、入侵檢測(cè)、攻擊源追蹤等。

2 航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)現(xiàn)狀

2.1 航天測(cè)控系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅

航天測(cè)控系統(tǒng)主要面臨來自天基平臺(tái)、天地鏈路和地面網(wǎng)絡(luò)三個(gè)層面的網(wǎng)絡(luò)安全威脅，其中任一節(jié)點(diǎn)遭到網(wǎng)絡(luò)攻擊，都有可能造成整個(gè)航天測(cè)控系統(tǒng)的全域破防。

（1）在天基平臺(tái)層面，網(wǎng)絡(luò)攻擊者可以利用天基平臺(tái)存在的后門和漏洞，通過破譯星間或星地鏈路加密密碼，進(jìn)而發(fā)送欺騙性指令，對(duì)天基平臺(tái)進(jìn)行劫持、控制和破壞；此外，還有可能進(jìn)一步通過天地鏈路向地面測(cè)控裝備發(fā)送虛假信息和指令，影響地面測(cè)控裝備運(yùn)行。

（2）在天地鏈路層面，網(wǎng)絡(luò)攻擊者可通過破譯天地鏈路加密密碼，對(duì)關(guān)鍵信息進(jìn)行竊聽，或通過天地鏈路對(duì)天基平臺(tái)注入欺騙性指令，對(duì)天基平臺(tái)載荷信息進(jìn)行篡改，或控制天基平臺(tái)進(jìn)行轉(zhuǎn)向、變軌，甚至自毀。

（3）在地面網(wǎng)絡(luò)層面，航天測(cè)控系統(tǒng)網(wǎng)絡(luò)與其他部分網(wǎng)系存在跨網(wǎng)數(shù)據(jù)交互，由于各網(wǎng)系安全防護(hù)標(biāo)準(zhǔn)和策略不完全相同，網(wǎng)絡(luò)攻擊者可以從其他網(wǎng)系入侵航天測(cè)控系統(tǒng)網(wǎng)絡(luò)，竊取關(guān)鍵信息，通過控制系統(tǒng)運(yùn)行、注入病毒程序，對(duì)地面測(cè)控裝備和天基平臺(tái)進(jìn)行滲透破壞。此外，航天測(cè)控系統(tǒng)內(nèi)部也存在一些技術(shù)和管理上的漏洞，容易被網(wǎng)絡(luò)攻擊者利用，主要體現(xiàn)在：在系統(tǒng)安裝聯(lián)試期間引入的各類軟硬件設(shè)備不可避免地存在一定的漏洞和后門程序，通過內(nèi)外網(wǎng)交互也可能帶進(jìn)來相關(guān)病毒；目前部分計(jì)算機(jī)終端使用的操作系統(tǒng)仍為Windows 系統(tǒng)，不能進(jìn)行系統(tǒng)漏洞掃描和補(bǔ)丁升級(jí)，可被輕易獲取最高管理權(quán)限；路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備仍有部分非國(guó)產(chǎn)自主品牌，其所攜帶的漏洞和后門也存在不可控的風(fēng)險(xiǎn)。

2.2 航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系

本節(jié)在企業(yè)安全能力框架（IPDRR）的基礎(chǔ)上對(duì)當(dāng)前航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)情況進(jìn)行分析研究。其IPDRR 是由美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所提出的，包括風(fēng)險(xiǎn)識(shí)別、安全防御、安全檢測(cè)、安全響應(yīng)和安全恢復(fù)五大能力[3]。

2.2.1 風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是指識(shí)別網(wǎng)絡(luò)資產(chǎn)和風(fēng)險(xiǎn)，即對(duì)系統(tǒng)、資產(chǎn)、數(shù)據(jù)和網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)的認(rèn)識(shí)及確認(rèn)，為阻止實(shí)施風(fēng)險(xiǎn)控制和管理提供依據(jù)[3]。

目前，航天測(cè)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別主要依托航天測(cè)控任務(wù)風(fēng)險(xiǎn)分析工作開展，每年、每季度、每月和每次任務(wù)前各開展一次。首先，以“人、機(jī)、料、法、環(huán)、測(cè)”六大類作為一級(jí)資產(chǎn)類別，根據(jù)任務(wù)和裝備特點(diǎn)及需求進(jìn)一步細(xì)分子類；然后遍歷各類資產(chǎn)可能會(huì)給測(cè)控任務(wù)帶來的風(fēng)險(xiǎn)，并描述風(fēng)險(xiǎn)所造成的后果；再定性地評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和后果的嚴(yán)重性；最后，以風(fēng)險(xiǎn)發(fā)生的可能性等級(jí)和后果嚴(yán)重性等級(jí)為依據(jù)，進(jìn)一步定性地評(píng)估風(fēng)險(xiǎn)等級(jí)，如表1 所示。

表1 風(fēng)險(xiǎn)等級(jí)評(píng)估表Tab.1 Risk level assessment table

完成風(fēng)險(xiǎn)等級(jí)評(píng)估后，風(fēng)險(xiǎn)所屬單位要根據(jù)風(fēng)險(xiǎn)因素的詳細(xì)描述和風(fēng)險(xiǎn)等級(jí)，擬制風(fēng)險(xiǎn)對(duì)策，并通過設(shè)置相應(yīng)的監(jiān)控點(diǎn)，明確實(shí)施單位、人員、時(shí)機(jī)和方法，對(duì)風(fēng)險(xiǎn)進(jìn)行過程監(jiān)控。任務(wù)結(jié)束后，要針對(duì)任務(wù)中出現(xiàn)的問題，對(duì)任務(wù)風(fēng)險(xiǎn)識(shí)別、預(yù)防措施制定及執(zhí)行情況進(jìn)行評(píng)估，提出改進(jìn)措施，指導(dǎo)下次任務(wù)風(fēng)險(xiǎn)管理工作。

2.2.2 安全防御

安全防御是指采取適當(dāng)?shù)陌踩胧?，保護(hù)己方信息網(wǎng)絡(luò)系統(tǒng)正常工作和信息數(shù)據(jù)安全有效[3]。

在網(wǎng)絡(luò)安全防護(hù)體系中，安全防御是在網(wǎng)絡(luò)攻擊發(fā)生前，對(duì)各關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行相應(yīng)的防御部署，加強(qiáng)網(wǎng)絡(luò)防護(hù)裝備檢查維護(hù)，備份相關(guān)設(shè)備和參數(shù)配置，并根據(jù)威脅檢測(cè)和態(tài)勢(shì)感知結(jié)果，及時(shí)調(diào)整防御策略和部署，更新病毒庫(kù)和漏洞補(bǔ)丁庫(kù)，提高安全防御的針對(duì)性。目前，在航天測(cè)控系統(tǒng)主要部署有入侵檢測(cè)系統(tǒng)、防火墻、網(wǎng)絡(luò)攻擊監(jiān)測(cè)探針系統(tǒng)、病毒查殺系統(tǒng)等網(wǎng)絡(luò)防護(hù)裝備，通過實(shí)時(shí)的網(wǎng)絡(luò)安全監(jiān)測(cè)，及時(shí)預(yù)警、識(shí)別惡意網(wǎng)絡(luò)行為，采取針對(duì)性應(yīng)對(duì)措施，確保航天測(cè)控系統(tǒng)網(wǎng)絡(luò)運(yùn)行安全。

2.2.3 安全檢測(cè)

安全檢測(cè)是指通過分析信息網(wǎng)絡(luò)通信數(shù)據(jù)，提取網(wǎng)絡(luò)攻擊與入侵的行為模式及特征，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)入侵和攻擊事件并進(jìn)行監(jiān)測(cè)[3]。

目前，航天測(cè)控系統(tǒng)對(duì)網(wǎng)絡(luò)安全威脅的檢測(cè)主要是依托入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全管理系統(tǒng)、安全過濾終端等網(wǎng)絡(luò)防護(hù)裝備，通過進(jìn)行網(wǎng)絡(luò)抓包、數(shù)據(jù)流監(jiān)測(cè)、查看系統(tǒng)CPU 占有率、內(nèi)存使用率、IP 地址、TCP 標(biāo)記、端口號(hào)以及查看系統(tǒng)運(yùn)行和告警日志等方式，及時(shí)發(fā)現(xiàn)遠(yuǎn)程掃描、病毒感染、DOS 攻擊和APT 攻擊等異常現(xiàn)象，并發(fā)出告警。

2.2.4 安全響應(yīng)

安全響應(yīng)是指對(duì)已經(jīng)發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件及時(shí)采取合適的行動(dòng)，主要包括事件調(diào)查、評(píng)估損害、收集證據(jù)、追蹤溯源和報(bào)告事件等[3]。

發(fā)生網(wǎng)絡(luò)安全事件后，航天測(cè)控系統(tǒng)組織力量結(jié)合不同的終端異常和網(wǎng)絡(luò)異?，F(xiàn)象，研判可能的攻擊類型、攻擊烈度、范圍和影響域，及時(shí)采取斷網(wǎng)隔離、查殺病毒、修復(fù)漏洞、更新病毒庫(kù)補(bǔ)丁庫(kù)、重裝系統(tǒng)、軟硬件參數(shù)重配以及切換備用設(shè)備等應(yīng)急處置措施。

在研判分析和應(yīng)急處置過程中，通過分析設(shè)備日志信息、查看網(wǎng)絡(luò)入侵痕跡、非法操作記錄、異常數(shù)據(jù)流和惡意代碼等方法，查找定位攻擊源的身份、地理位置或虛擬地址，逐步分析定位攻擊主機(jī)、攻擊控制主機(jī)、攻擊者及其組織機(jī)構(gòu)，若攻擊源在內(nèi)網(wǎng)，則對(duì)攻擊源進(jìn)行隔離凈化；若攻擊源在外網(wǎng)，則協(xié)同網(wǎng)絡(luò)安全監(jiān)管部門清除攻擊源。

2.2.5 安全恢復(fù)

安全恢復(fù)是指將受到入侵和攻擊的系統(tǒng)進(jìn)行凈化加固，恢復(fù)至正常狀態(tài)[3]。

航天測(cè)控系統(tǒng)根據(jù)不同的網(wǎng)絡(luò)攻擊類型采取相應(yīng)的凈化加固措施，如調(diào)整防火墻、交換機(jī)和端口阻斷策略，禁用相關(guān)服務(wù)選項(xiàng)，查殺病毒、修補(bǔ)漏洞，并更新病毒庫(kù)和補(bǔ)丁庫(kù)，以及開展網(wǎng)絡(luò)安全評(píng)測(cè)等，若無法完成系統(tǒng)凈化加固，則考慮設(shè)計(jì)建設(shè)新的網(wǎng)絡(luò)通信系統(tǒng)。

凈化加固工作完成后，根據(jù)遭受網(wǎng)絡(luò)攻擊破壞的情況，及時(shí)恢復(fù)系統(tǒng)狀態(tài)，以滿足正常執(zhí)行航天測(cè)控任務(wù)的條件。主要完成以下幾個(gè)方面的工作：

（1）恢復(fù)網(wǎng)絡(luò)系統(tǒng)狀態(tài)。在完成凈化加固后，將因遭受網(wǎng)絡(luò)攻擊而斷網(wǎng)隔離的網(wǎng)絡(luò)硬件設(shè)備重新接入網(wǎng)絡(luò)，恢復(fù)操作系統(tǒng)環(huán)境和軟硬件參數(shù)配置。

（2）恢復(fù)核心裝備運(yùn)行狀態(tài)。通過相應(yīng)恢復(fù)系統(tǒng)或事先備份數(shù)據(jù)，恢復(fù)被誤刪或篡改的系統(tǒng)運(yùn)行數(shù)據(jù)和參數(shù)配置，及時(shí)更換遭受物理性破壞的裝備器件，并進(jìn)行上線運(yùn)行調(diào)試。

（3）恢復(fù)任務(wù)執(zhí)行條件。完成網(wǎng)絡(luò)系統(tǒng)和核心裝備狀態(tài)恢復(fù)后，立即通報(bào)用網(wǎng)單位，向斷網(wǎng)裝備安排測(cè)試計(jì)劃，測(cè)試裝備工作狀態(tài)，若測(cè)試正常，則向該裝備安排正常工作計(jì)劃。

2.3 存在的問題短板

目前，面對(duì)惡意網(wǎng)絡(luò)攻擊威脅，航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)往往無法及時(shí)感知并有效攔截攻擊行為，通常于事后采取追蹤溯源和凈化加固等“亡羊補(bǔ)牢”式的應(yīng)對(duì)措施，目的是提高目標(biāo)系統(tǒng)的防護(hù)“經(jīng)驗(yàn)”，但攻擊者通常不會(huì)發(fā)起第二次相同的攻擊，因此航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)一直處于被動(dòng)跟隨的地位，主要存在以下幾個(gè)方面的問題短板[4]。

2.3.1 附加式的外部安全防護(hù)裝備極有可能引入新的威脅

防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)攻擊監(jiān)測(cè)探針系統(tǒng)等附加于目標(biāo)防護(hù)系統(tǒng)外部的安全防護(hù)裝備，由于其自身的設(shè)計(jì)缺陷形成的漏洞，或是被生產(chǎn)鏈條中的某些廠家和部門惡意植入后門，都會(huì)給目標(biāo)防護(hù)系統(tǒng)增添新的安全威脅，而且這些漏洞和后門往往是未知的，網(wǎng)絡(luò)防護(hù)裝備自身無法檢測(cè)出來，從而給攻擊者提供了更多的機(jī)會(huì)[4]。

2.3.2 靜態(tài)防護(hù)技術(shù)無法抵御基于未知漏洞和后門的未知攻擊

目前，航天測(cè)控系統(tǒng)運(yùn)用的防火墻、入侵檢測(cè)系統(tǒng)、病毒查殺系統(tǒng)等網(wǎng)絡(luò)防護(hù)裝備均屬于靜態(tài)防護(hù)手段，缺乏動(dòng)態(tài)性、多樣性，防護(hù)體系結(jié)構(gòu)透明脆弱，容易被網(wǎng)絡(luò)攻擊者偵察掌握；而且其發(fā)揮作用的前提是對(duì)網(wǎng)絡(luò)攻擊行為規(guī)律的充分認(rèn)知，必須通過定期更新病毒庫(kù)、補(bǔ)丁庫(kù)和規(guī)則庫(kù)，以有效鑒別網(wǎng)絡(luò)攻擊行為的非法性。航天測(cè)控系統(tǒng)應(yīng)用的操作系統(tǒng)、數(shù)據(jù)庫(kù)和交換機(jī)等各類軟硬件系統(tǒng)裝備，不可避免地會(huì)攜帶漏洞和后門。當(dāng)前遠(yuǎn)沒有實(shí)現(xiàn)對(duì)各類漏洞和后門的全面認(rèn)識(shí)，面對(duì)基于未知漏洞和后門的未知攻擊、復(fù)雜多變的多模式聯(lián)合攻擊以及源自內(nèi)部的惡意主動(dòng)攻擊等安全威脅，靜態(tài)防護(hù)技術(shù)無法提供可靠的防護(hù)效果[5]。

2.3.3 網(wǎng)絡(luò)安全態(tài)勢(shì)精確感知和預(yù)警機(jī)制還不完善

目前，航天測(cè)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要是通過查看網(wǎng)絡(luò)安全設(shè)備日志、運(yùn)用相應(yīng)工具進(jìn)行網(wǎng)絡(luò)抓包、定期統(tǒng)計(jì)并及時(shí)通報(bào)網(wǎng)內(nèi)各系統(tǒng)終端的病毒和漏洞類型及數(shù)量等方式，粗略定性地感知當(dāng)前網(wǎng)絡(luò)運(yùn)行狀態(tài)和發(fā)展變化趨勢(shì)，尚未形成體系化、自動(dòng)化的基于環(huán)境動(dòng)態(tài)、整體、定量的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模式[6]。

2.3.4 網(wǎng)絡(luò)安全人才隊(duì)伍尚未建立健全

網(wǎng)絡(luò)防護(hù)從安全體系架構(gòu)、安全信息搜集、安全態(tài)勢(shì)感知，到安全裝備運(yùn)維、安全事件處置等工作的開展都需要具備網(wǎng)絡(luò)安全專業(yè)知識(shí)技能的人才隊(duì)伍。目前在各航天測(cè)控站點(diǎn)，相關(guān)專業(yè)人才配置還不夠全面，在執(zhí)行安全分析、參數(shù)配置和策略調(diào)整等任務(wù)時(shí)，無法高效落實(shí)任務(wù)要求，以確保網(wǎng)絡(luò)系統(tǒng)和測(cè)控任務(wù)安全[7]。

3 結(jié)語(yǔ)

本文在分析航天測(cè)控系統(tǒng)當(dāng)前面臨的安全威脅的基礎(chǔ)上，從IPDRR 框架的角度，系統(tǒng)且全面深入地分析了航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)體系現(xiàn)狀及存在的問題短板。下一步，航天測(cè)控系統(tǒng)應(yīng)著眼扭轉(zhuǎn)網(wǎng)絡(luò)防護(hù)長(zhǎng)期處于的被動(dòng)地位，強(qiáng)化各類動(dòng)態(tài)防護(hù)裝備和技術(shù)融合應(yīng)用，構(gòu)建新型網(wǎng)絡(luò)防護(hù)體系，不斷提高航天測(cè)控系統(tǒng)網(wǎng)絡(luò)防護(hù)能力。