中国人民解放军战略支援部队信息工程大学 李强 廖鹰
网络安全对于圆满完成测控任务的意义日益凸显,本文从天基平台、天地链路和地面网络三个层面分析了航天测控系统当前面临的网络安全威胁。通过引入IPDRR 框架,从风险识别、安全防御、安全检测、安全响应和安全恢复五个方面深入分析了航天测控系统网络防护体系运行现状及存在的问题短板,并对优化完善网络防护体系,提高网络防护能力提出了对策建议。
太空中各类航天器在我国各领域发挥的作用不断增大,为满足日益增长的航天测控需求,航天测控系统网络规模结构不断扩展,大量测控装备和信息系统不断接入,面临的网络安全威胁的种类、方式和频次也日益增多,给航天测控任务造成了影响。
不少学者针对航天测控系统网络防护情况进行了分析,并提出了相关对策。例如,金术良等针对活动测控装备网络安全防护现状的“六个缺乏”,提出了任务准备过程中的防护和应急措施[1];郜晓亮等从针对协议的威胁、攻击手段和威胁来源三个方面分析了测控网面临的安全威胁,提出了一个安全防护技术框架和安全管理模型,使安全管理和安全技术得以紧密结合[2]。但上述研究对于航天测控系统网络防护现状的研究分析还不够系统全面深入,只有体系化地分析当前航天测控系统网络防护现状,才能全面认清其存在的问题短板,为下一步改进完善航天测控系统网络防护体系,提高网络防护能力提供指导和依据。
航天测控系统是由任务中心、测控站、测控船和地面通信网组成,用于对航天器和运载火箭的飞行轨道、姿态和各分系统工作状态进行跟踪、测量、监视和控制的系统。
网络防护是为保护己方信息网络系统正常工作和信息数据安全有效而采取防范的措施及其行动的统称。包括网络隔离、访问控制、入侵检测、攻击源追踪等。
航天测控系统主要面临来自天基平台、天地链路和地面网络三个层面的网络安全威胁,其中任一节点遭到网络攻击,都有可能造成整个航天测控系统的全域破防。
(1)在天基平台层面,网络攻击者可以利用天基平台存在的后门和漏洞,通过破译星间或星地链路加密密码,进而发送欺骗性指令,对天基平台进行劫持、控制和破坏;此外,还有可能进一步通过天地链路向地面测控装备发送虚假信息和指令,影响地面测控装备运行。
(2)在天地链路层面,网络攻击者可通过破译天地链路加密密码,对关键信息进行窃听,或通过天地链路对天基平台注入欺骗性指令,对天基平台载荷信息进行篡改,或控制天基平台进行转向、变轨,甚至自毁。
(3)在地面网络层面,航天测控系统网络与其他部分网系存在跨网数据交互,由于各网系安全防护标准和策略不完全相同,网络攻击者可以从其他网系入侵航天测控系统网络,窃取关键信息,通过控制系统运行、注入病毒程序,对地面测控装备和天基平台进行渗透破坏。此外,航天测控系统内部也存在一些技术和管理上的漏洞,容易被网络攻击者利用,主要体现在:在系统安装联试期间引入的各类软硬件设备不可避免地存在一定的漏洞和后门程序,通过内外网交互也可能带进来相关病毒;目前部分计算机终端使用的操作系统仍为Windows 系统,不能进行系统漏洞扫描和补丁升级,可被轻易获取最高管理权限;路由器、交换机、服务器等网络设备仍有部分非国产自主品牌,其所携带的漏洞和后门也存在不可控的风险。
本节在企业安全能力框架(IPDRR)的基础上对当前航天测控系统网络防护情况进行分析研究。其IPDRR 是由美国国家标准与技术研究所提出的,包括风险识别、安全防御、安全检测、安全响应和安全恢复五大能力[3]。
2.2.1 风险识别
风险识别是指识别网络资产和风险,即对系统、资产、数据和网络所面临的安全风险的认识及确认,为阻止实施风险控制和管理提供依据[3]。
目前,航天测控系统网络安全风险识别主要依托航天测控任务风险分析工作开展,每年、每季度、每月和每次任务前各开展一次。首先,以“人、机、料、法、环、测”六大类作为一级资产类别,根据任务和装备特点及需求进一步细分子类;然后遍历各类资产可能会给测控任务带来的风险,并描述风险所造成的后果;再定性地评估风险发生的可能性和后果的严重性;最后,以风险发生的可能性等级和后果严重性等级为依据,进一步定性地评估风险等级,如表1 所示。
表1 风险等级评估表Tab.1 Risk level assessment table
完成风险等级评估后,风险所属单位要根据风险因素的详细描述和风险等级,拟制风险对策,并通过设置相应的监控点,明确实施单位、人员、时机和方法,对风险进行过程监控。任务结束后,要针对任务中出现的问题,对任务风险识别、预防措施制定及执行情况进行评估,提出改进措施,指导下次任务风险管理工作。
2.2.2 安全防御
安全防御是指采取适当的安全措施,保护己方信息网络系统正常工作和信息数据安全有效[3]。
在网络安全防护体系中,安全防御是在网络攻击发生前,对各关键网络节点进行相应的防御部署,加强网络防护装备检查维护,备份相关设备和参数配置,并根据威胁检测和态势感知结果,及时调整防御策略和部署,更新病毒库和漏洞补丁库,提高安全防御的针对性。目前,在航天测控系统主要部署有入侵检测系统、防火墙、网络攻击监测探针系统、病毒查杀系统等网络防护装备,通过实时的网络安全监测,及时预警、识别恶意网络行为,采取针对性应对措施,确保航天测控系统网络运行安全。
2.2.3 安全检测
安全检测是指通过分析信息网络通信数据,提取网络攻击与入侵的行为模式及特征,及时发现网络入侵和攻击事件并进行监测[3]。
目前,航天测控系统对网络安全威胁的检测主要是依托入侵检测系统、网络安全管理系统、安全过滤终端等网络防护装备,通过进行网络抓包、数据流监测、查看系统CPU 占有率、内存使用率、IP 地址、TCP 标记、端口号以及查看系统运行和告警日志等方式,及时发现远程扫描、病毒感染、DOS 攻击和APT 攻击等异常现象,并发出告警。
2.2.4 安全响应
安全响应是指对已经发现的网络安全事件及时采取合适的行动,主要包括事件调查、评估损害、收集证据、追踪溯源和报告事件等[3]。
发生网络安全事件后,航天测控系统组织力量结合不同的终端异常和网络异常现象,研判可能的攻击类型、攻击烈度、范围和影响域,及时采取断网隔离、查杀病毒、修复漏洞、更新病毒库补丁库、重装系统、软硬件参数重配以及切换备用设备等应急处置措施。
在研判分析和应急处置过程中,通过分析设备日志信息、查看网络入侵痕迹、非法操作记录、异常数据流和恶意代码等方法,查找定位攻击源的身份、地理位置或虚拟地址,逐步分析定位攻击主机、攻击控制主机、攻击者及其组织机构,若攻击源在内网,则对攻击源进行隔离净化;若攻击源在外网,则协同网络安全监管部门清除攻击源。
2.2.5 安全恢复
安全恢复是指将受到入侵和攻击的系统进行净化加固,恢复至正常状态[3]。
航天测控系统根据不同的网络攻击类型采取相应的净化加固措施,如调整防火墙、交换机和端口阻断策略,禁用相关服务选项,查杀病毒、修补漏洞,并更新病毒库和补丁库,以及开展网络安全评测等,若无法完成系统净化加固,则考虑设计建设新的网络通信系统。
净化加固工作完成后,根据遭受网络攻击破坏的情况,及时恢复系统状态,以满足正常执行航天测控任务的条件。主要完成以下几个方面的工作:
(1)恢复网络系统状态。在完成净化加固后,将因遭受网络攻击而断网隔离的网络硬件设备重新接入网络,恢复操作系统环境和软硬件参数配置。
(2)恢复核心装备运行状态。通过相应恢复系统或事先备份数据,恢复被误删或篡改的系统运行数据和参数配置,及时更换遭受物理性破坏的装备器件,并进行上线运行调试。
(3)恢复任务执行条件。完成网络系统和核心装备状态恢复后,立即通报用网单位,向断网装备安排测试计划,测试装备工作状态,若测试正常,则向该装备安排正常工作计划。
目前,面对恶意网络攻击威胁,航天测控系统网络防护往往无法及时感知并有效拦截攻击行为,通常于事后采取追踪溯源和净化加固等“亡羊补牢”式的应对措施,目的是提高目标系统的防护“经验”,但攻击者通常不会发起第二次相同的攻击,因此航天测控系统网络防护一直处于被动跟随的地位,主要存在以下几个方面的问题短板[4]。
2.3.1 附加式的外部安全防护装备极有可能引入新的威胁
防火墙、入侵检测系统和网络攻击监测探针系统等附加于目标防护系统外部的安全防护装备,由于其自身的设计缺陷形成的漏洞,或是被生产链条中的某些厂家和部门恶意植入后门,都会给目标防护系统增添新的安全威胁,而且这些漏洞和后门往往是未知的,网络防护装备自身无法检测出来,从而给攻击者提供了更多的机会[4]。
2.3.2 静态防护技术无法抵御基于未知漏洞和后门的未知攻击
目前,航天测控系统运用的防火墙、入侵检测系统、病毒查杀系统等网络防护装备均属于静态防护手段,缺乏动态性、多样性,防护体系结构透明脆弱,容易被网络攻击者侦察掌握;而且其发挥作用的前提是对网络攻击行为规律的充分认知,必须通过定期更新病毒库、补丁库和规则库,以有效鉴别网络攻击行为的非法性。航天测控系统应用的操作系统、数据库和交换机等各类软硬件系统装备,不可避免地会携带漏洞和后门。当前远没有实现对各类漏洞和后门的全面认识,面对基于未知漏洞和后门的未知攻击、复杂多变的多模式联合攻击以及源自内部的恶意主动攻击等安全威胁,静态防护技术无法提供可靠的防护效果[5]。
2.3.3 网络安全态势精确感知和预警机制还不完善
目前,航天测控系统网络安全态势感知主要是通过查看网络安全设备日志、运用相应工具进行网络抓包、定期统计并及时通报网内各系统终端的病毒和漏洞类型及数量等方式,粗略定性地感知当前网络运行状态和发展变化趋势,尚未形成体系化、自动化的基于环境动态、整体、定量的网络安全态势感知模式[6]。
2.3.4 网络安全人才队伍尚未建立健全
网络防护从安全体系架构、安全信息搜集、安全态势感知,到安全装备运维、安全事件处置等工作的开展都需要具备网络安全专业知识技能的人才队伍。目前在各航天测控站点,相关专业人才配置还不够全面,在执行安全分析、参数配置和策略调整等任务时,无法高效落实任务要求,以确保网络系统和测控任务安全[7]。
本文在分析航天测控系统当前面临的安全威胁的基础上,从IPDRR 框架的角度,系统且全面深入地分析了航天测控系统网络防护体系现状及存在的问题短板。下一步,航天测控系统应着眼扭转网络防护长期处于的被动地位,强化各类动态防护装备和技术融合应用,构建新型网络防护体系,不断提高航天测控系统网络防护能力。