隨著衛星網際網絡商業應用場景的不斷豐富,全球商用衛星網際網絡產業蓬勃發展。 由於其豐富的資料資源和多樣化的參與商業衛星網路運營,難以保護安全,商業衛星網路的訊號干擾、資料洩露、鏈式攻擊等安全威脅日益嚴重,有害影響不斷擴大。 為應對空間網路安全威脅,美國近年來密集發布戰略檔案,出台一系列法律政策,推動商用衛星安全管理體系標準化。 目前,我國在商業航天領域的立法存在空白,尚未建立商用衛星網路安全的標準體系和生態圈。 賽迪研究院建議,中國應加快出台衛星網際網絡安全政策法規,構建商業衛星網路安全標準和評估體系,促進航天與網路安全融合發展和技術公升級,積極開展全球航天資訊網路國際合作。
1、美國商用衛星網路安全管理部署加速
加快部署商業衛星網路安全戰略,努力搶占空間安全主動權。 在戰略層面,2020年9月第5號空間政策指令明確要求將網路安全納入衛星網路發展的整個生命週期,以加強空間系統的網路安全。 2023年3月,美國國家科學技術委員會發布《國家低地球軌道研發戰略》,提出NASA將建立低地球軌道國家實驗室,加強包括衛星網路安全在內的多項前沿研究。 2023 年 11 月,美國國防部宣布正在制定首個國防部商業太空整合戰略,以促進商業技術整合,並確保在競爭、危機和衝突時期提供可行的商業太空解決方案。 在法律法規層面,2022 年 4 月,美國國會通過了《衛星網路安全法案》,該法案要求為美國衛星運營商制定網路安全建議,並開放資源以解決網路安全和商業衛星系統面臨的威脅。
建立多層次的空間網路安全標準和規範體系,重點關注商業衛星網路全生命週期管理。 美國國家標準與技術研究院(NIST)發布了四個衛星網路安全風險管理指導框架,以幫助商業衛星運營商識別空間段、地面段、使用者段和混合衛星網路的網路安全風險。 商用衛星相關單位應以一系列規範作為網路安全風險管理的參考,將網路安全風險管理納入整體風險管理計畫,從識別、保護、檢測、應對、恢復五個階段對衛星系統、網路和資產進行網路安全風險管理。 此外,2023 年 4 月,美國網路空間日光浴室委員會建議美國國土安全部將空間系統建立為關鍵基礎設施,以減少衛星網路安全漏洞。 2023年5月,美國在《太空外交戰略框架》檔案中提出,應繼續加強以衛星網際網絡為代表的太空網路安全和資訊通訊技術,加強航天關鍵基礎設施的安全和韌性。
抓住衛星商用部署機遇,加強與業界合作,推動網路安全與衛星技術跨域融合發展。 一方面,為了加強太空網路的韌性,美國進一步推動了與商業航天公司的合作,商業航天公司正在爭相布局低軌衛星市場。 截至 2023 年 11 月,SpaceX 的 Starlink 專案已在全球 60 個國家/地區共發射了 5,513 顆衛星並開展了網際網絡接入服務。 美國亞馬遜公司已啟動衛星網際網絡建設專案“科巴伊計畫”,計畫在五年內在近地軌道部署3236顆衛星,並在首批578顆衛星入軌後開始提供網際網絡服務。 另一方面2023年3月,美國太空資訊共享中心(U.S. Space Information Sharing Center)成立了新的執行監控中心,實時監控、分析和快速應對太空關鍵資產面臨的網路威脅。 2023 年 8 月,美國網路安全公司 Spideroak 在國際空間站上成功驗證了其零信任網路安全軟體 OrbitSecure,從而能夠使用零信任框架來保護衛星,並確保地面網路和近地軌道之間的資料安全傳輸。
2、我國商用衛星網路安全政策立法和標準監管體系尚未形成
我國商業航天安全立法進展滯後,監管協調難度大。 近年來,以商用衛星為代表的商業航天市場需求逐步擴大,資料流通量和吞吐量迅速擴大,但相關網路安全防護的立法進展相對緩慢。 一方面,目前,我國網路安全立法主要以《中華人民共和國中華人民共和國法》、《中華人民共和國網路安全法》、《中華人民共和國資料安全法》、《關鍵資訊基礎設施安全保護條例》等為指導,尚無商業航天領域網路安全保護的法律法規。 《空間法》和《中華人民共和國衛星導航條例》被列入全國人民代表大會常務委員會立法計畫。 另一方面我國衛星管理由多個主管部門負責,相關網路安全風險由相應的業務主管部門管理。 但由於應用場景多樣、鏈條複雜冗長、業務業務服務單位數量眾多,監管難以實現全面覆蓋。 例如,針對衛星網際網絡的寬頻通訊衛星接入問題,對於設有地面資訊海關站的裝置終端,可以對運營企業實施安全管理,但對於不需要地面資訊海關站的方式,網際網絡是通過特定的微型衛星裝置終端直接連線到網際網絡的, 或者通過邊境的海外資訊海關站向境內提供網際網絡接入,這將給中國的網路監管帶來問題。此外,軍用和商用衛星安全管理規則交織在一起,也容易出現交叉管理、監管盲區等問題,降低了監管的有效性。
我國商用衛星網路安全缺乏統一標準,安防產業生態圈尚未形成。 我國商用衛星網際網絡技術產業存在基礎技術滯後、缺乏特殊安全標準等問題。 同時,行業規模小、企業關注度低、龍頭企業缺乏、產業活動缺乏等因素也制約了衛星網際網絡安全產業的整體發展。 一方面,我國衛星網際網絡技術產業仍處於發展初期,在很多基礎環節,如效能的機載有效載荷處理、衛星組網協議、通道編碼等技術仍處於追趕期,其中大部分都是以“可用”為標準,主要按照美國等西方國家的標準作為參考, 隨著技術的發展和國際競爭的加劇,安全隱患將逐漸顯現。商用衛星網際網絡安全標準主要以《資訊保安技術分類保護基本要求》、《資訊保安技術分類保護評價要求》、《資訊保安技術分類保護安全設計技術要求》等通用標準為指導,缺乏專門針對衛星網路的安全標準。 此外,我國現有的衛星網路安全標準已經過時,如衛星通訊、一些寬頻衛星信令編碼和協議標準已經過時,不適用於新衛星技術和網路安全的發展。 另一方面我國地面通訊與網路安全生態系統正在逐步成熟,但商用衛星網路安全領域行業整體規模較小,市場占有率較低。 大多數衛星網際網絡使用者關注其產品的效能、成本和效率,在衛星網路安全方面的投入較少。 同時,我國缺乏具有典型安防技術和衛星網際網絡場景應用的龍頭企業,大多數安防服務商在衛星領域尚未建立專項安防業務線,大多仍專注於傳統通訊、終端、服務、新技術安全防護。 此外,商用衛星網際網絡領域行業協會尚處於成立初期,產業技術合作、論壇活動、人才培養等活動有待完善。
三、啟示與建議
商用衛星產業發展迅速,有望引領世界進入萬物互聯的智慧型時代。 2022年中國衛星網際網絡產業市場規模將達到314億元,預計2025年市場規模將達到447億元。
加快衛星網際網絡安全立法,推動制定協調統一的管理政策。 一方面,在《中華人民共和國空間法》的基礎上,推動我國衛星網路安全立法,制定商業衛星網路安全指南。 面向衛星網際網絡產業鏈各環節,綜合考慮資料安全、網路安全、鏈安全,制定了衛星網路最低安全標準和商用衛星接入規範,規定了衛星通訊頻譜範圍和分配機制。 面向商業衛星應用方、龍頭企業和服務提供商推出網路安全應用指南,並提供相應的實踐和案例,指導其確保衛星網路安全。 另一方面明確管理責任單位,推行協調統一的管理模式。 強化“垂直”管理能力,將衛星網際網絡安全納入全環節整體管理,推動建立企業、專家等參與的衛星星座網路安全體系和機制。 我們可以借鑑美國的實踐,建立“商用衛星系統網路安全協調中心”等機構,為商用衛星使用者、製造商和運營商提供網路安全資源和指導。
推動商用衛星網路標準和評價體系建設,前瞻性布局未來安防技術。 一是加快建立商用衛星網路安全標準體系,推進空間網路安全標準化。 研究制定與商用衛星網路安全管理、技術、評估、應急響應相關的標準規範,指導運營商加強防護能力。 第二個是建立空間系統網路安全評估體系,推動安全評估有序開展。 為領先的商戶、服務商、使用者制定通用安全標準,同時根據衛星的不同用途和特點,制定商業衛星網路專項安全評估標準,規範評估程式和評估方法,構建衛星網路安全態勢評級體系,建設全國商用衛星網路安全測試服務平台; 落實空間網路產品和系統安全認證程式,開展商業衛星網路安全評估服務,全面推進商業衛星網路安全防護能力建設。第三個是推動衛星安全技術創新。 依託衛星企業在商業領域的技術創新能力,推動零信任、區塊鏈、人工智慧等新興安全技術服務於衛星網路安全應用。 加強天地一體化密碼防護系統研究,開展星地通訊安全交換、資料傳輸、星間路由、私隱計算、智慧型攻防等關鍵技術攻關,加快構建衛星網路資料融合應用內生安全保障體系和資料安全服務能力,支援天地一體化建設網路安全防護系統。
推動網路安全、航空航天領域跨行業融合與交流,加強衛星安全韌性建設。 一是加強網路安全產業與航空航天領域的融合發展。 可以建立跨行業聯盟,匯聚衛星通訊、網路安全、軟體開發、硬體製造等行業的專家學者,共同探索安全領域的關鍵共性問題,推動研發和創新技術。 第二個是推動公私合作,積極推動與商業航天、網路安全、金融等行業的多元化有機合作,探索政企合作新模式,聚焦安全關鍵技術能力突破,資源共享。 鼓勵成立行業協會和行業聯盟,舉辦商用衛星網路安全領域的會議、展覽、論壇、沙龍、競賽,遴選優秀的衛星網路安全解決方案和應用案例,提高商業航天領域使用者單位和運營單位對衛星網路安全的關注度,提高軟硬體裝置廠商和網路安全服務的積極性提供商進行研發投入,並擴大和優化商業衛星安全產業。第三個是開展人員培訓,提高安全意識和應急響應能力。 鼓勵主管部門、使用者單位、網路安全廠商加強對網路安全人員的培訓和考核,推動建立和培養衛星通訊系統安全測試人員、衛星**鏈安全管理員等新職業,開展衛星網路安全人員深度培訓,加強實戰演練,提高網路安全能力和應急響應能力。使用者單位和產品使用者。
積極參與全球治理,促進國際航天資訊網路安全領域的對話與合作。 一是積極參與國際合作交流平台,促進安全能力共享。 建立或加入國際航天資訊網路安全聯盟和組織,促進企業、學術界等國家交流與合作,推動雙邊和多邊合作協議的簽署,建立航空航天領域網路安全合作機制,促進與國際夥伴共享網路安全情報和防禦戰略。 定期舉辦國際會議和研討會,分享經驗,發布衛星網路安全防護案例和指南,提公升國際影響力。 第二個是參與制定國際標準,加強法律層面的對話。 積極主導或參與空間領域網路安全國際標準的制定,依託國際電信聯盟、國際電信標準化組織等聯盟單位,研究推動具有自主智財權的衛星網路安全標準成為國際標準,逐步提公升我國在空間網路安全領域的國際影響力。 參與制定國際法律和政策,提出中國建議,倡導公正透明的網路安全政策,確保全球網際網絡的穩定和安全。 第三個是降低企業國際合作門檻,促進技術研發和創新國際合作。 鼓勵跨國研發專案,制定有利於國際科技合作的政策,減少跨國研發合作的行政和法律壁壘。 在國際法律框架內協調智財權保護和技術轉讓政策。 建立國際科研和產業合作**,支援衛星網際網絡領域的創新研究。 支援國際科研機構與企業合作,促進中國安防企業與國外企業共同開發先進航天網路安全技術,促進技術交流和知識共享。