随着卫星互联网商业应用场景的不断丰富,全球商用卫星互联网产业蓬勃发展。 由于其丰富的数据资源和多样化的参与商业卫星网络运营,难以保护安全,商业卫星网络的信号干扰、数据泄露、链式攻击等安全威胁日益严重,有害影响不断扩大。 为应对空间网络安全威胁,美国近年来密集发布战略文件,出台一系列法律政策,推动商用卫星安全管理体系标准化。 目前,我国在商业航天领域的立法存在空白,尚未建立商用卫星网络安全的标准体系和生态圈。 赛迪研究院建议,中国应加快出台卫星互联网安全政策法规,构建商业卫星网络安全标准和评估体系,促进航天与网络安全融合发展和技术升级,积极开展全球航天信息网络国际合作。
1、美国商用卫星网络安全管理部署加速
加快部署商业卫星网络安全战略,努力抢占空间安全主动权。 在战略层面,2020年9月第5号空间政策指令明确要求将网络安全纳入卫星网络发展的整个生命周期,以加强空间系统的网络安全。 2023年3月,美国国家科学技术委员会发布《国家低地球轨道研发战略》,提出NASA将建立低地球轨道国家实验室,加强包括卫星网络安全在内的多项前沿研究。 2023 年 11 月,美国国防部宣布正在制定首个国防部商业太空整合战略,以促进商业技术整合,并确保在竞争、危机和冲突时期提供可行的商业太空解决方案。 在法律法规层面,2022 年 4 月,美国国会通过了《卫星网络安全法案》,该法案要求为美国卫星运营商制定网络安全建议,并开放资源以解决网络安全和商业卫星系统面临的威胁。
建立多层次的空间网络安全标准和规范体系,重点关注商业卫星网络全生命周期管理。 美国国家标准与技术研究院(NIST)发布了四个卫星网络安全风险管理指导框架,以帮助商业卫星运营商识别空间段、地面段、用户段和混合卫星网络的网络安全风险。 商用卫星相关单位应以一系列规范作为网络安全风险管理的参考,将网络安全风险管理纳入整体风险管理计划,从识别、保护、检测、应对、恢复五个阶段对卫星系统、网络和资产进行网络安全风险管理。 此外,2023 年 4 月,美国网络空间日光浴室委员会建议美国国土安全部将空间系统建立为关键基础设施,以减少卫星网络安全漏洞。 2023年5月,美国在《太空外交战略框架》文件中提出,应继续加强以卫星互联网为代表的太空网络安全和信息通信技术,加强航天关键基础设施的安全和韧性。
抓住卫星商用部署机遇,加强与业界合作,推动网络安全与卫星技术跨域融合发展。 一方面,为了加强太空网络的韧性,美国进一步推动了与商业航天公司的合作,商业航天公司正在争相布局低轨卫星市场。 截至 2023 年 11 月,SpaceX 的 Starlink 项目已在全球 60 个国家/地区共发射了 5,513 颗卫星并开展了互联网接入服务。 美国亚马逊公司已启动卫星互联网建设项目“科巴伊计划”,计划在五年内在近地轨道部署3236颗卫星,并在首批578颗卫星入轨后开始提供互联网服务。 另一方面2023年3月,美国太空信息共享中心(U.S. Space Information Sharing Center)成立了新的运行监控中心,实时监控、分析和快速应对太空关键资产面临的网络威胁。 2023 年 8 月,美国网络安全公司 Spideroak 在国际空间站上成功验证了其零信任网络安全软件 OrbitSecure,从而能够使用零信任框架来保护卫星,并确保地面网络和近地轨道之间的数据安全传输。
2、我国商用卫星网络安全政策立法和标准监管体系尚未形成
我国商业航天安全立法进展滞后,监管协调难度大。 近年来,以商用卫星为代表的商业航天市场需求逐步扩大,数据流通量和吞吐量迅速扩大,但相关网络安全防护的立法进展相对缓慢。 一方面,目前,我国网络安全立法主要以《中华人民共和国中华人民共和国法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》等为指导,尚无商业航天领域网络安全保护的法律法规。 《空间法》和《中华人民共和国卫星导航条例》被列入全国人民代表大会常务委员会立法计划。 另一方面我国卫星管理由多个主管部门负责,相关网络安全风险由相应的业务主管部门管理。 但由于应用场景多样、链条复杂冗长、业务业务服务单位数量众多,监管难以实现全面覆盖。 例如,针对卫星互联网的宽带通信卫星接入问题,对于设有地面信息海关站的设备终端,可以对运营企业实施安全管理,但对于不需要地面信息海关站的方式,互联网是通过特定的微型卫星设备终端直接连接到互联网的, 或者通过边境的海外信息海关站向境内提供互联网接入,这将给中国的网络监管带来问题。此外,军用和商用卫星安全管理规则交织在一起,也容易出现交叉管理、监管盲区等问题,降低了监管的有效性。
我国商用卫星网络安全缺乏统一标准,安防产业生态圈尚未形成。 我国商用卫星互联网技术产业存在基础技术滞后、缺乏特殊安全标准等问题。 同时,行业规模小、企业关注度低、龙头企业缺乏、产业活动缺乏等因素也制约了卫星互联网安全产业的整体发展。 一方面,我国卫星互联网技术产业仍处于发展初期,在很多基础环节,如性能的机载有效载荷处理、卫星组网协议、信道编码等技术仍处于追赶期,其中大部分都是以“可用”为标准,主要按照美国等西方国家的标准作为参考, 随着技术的发展和国际竞争的加剧,安全隐患将逐渐显现。商用卫星互联网安全标准主要以《信息安全技术分类保护基本要求》、《信息安全技术分类保护评价要求》、《信息安全技术分类保护安全设计技术要求》等通用标准为指导,缺乏专门针对卫星网络的安全标准。 此外,我国现有的卫星网络安全标准已经过时,如卫星通信、一些宽带卫星信令编码和协议标准已经过时,不适用于新卫星技术和网络安全的发展。 另一方面我国地面通信与网络安全生态系统正在逐步成熟,但商用卫星网络安全领域行业整体规模较小,市场占有率较低。 大多数卫星互联网用户关注其产品的性能、成本和效率,在卫星网络安全方面的投入较少。 同时,我国缺乏具有典型安防技术和卫星互联网场景应用的龙头企业,大多数安防服务商在卫星领域尚未建立专项安防业务线,大多仍专注于传统通信、终端、服务、新技术安全防护。 此外,商用卫星互联网领域行业协会尚处于成立初期,产业技术合作、论坛活动、人才培养等活动有待完善。
三、启示与建议
商用卫星产业发展迅速,有望引领世界进入万物互联的智能时代。 2022年中国卫星互联网产业市场规模将达到314亿元,预计2025年市场规模将达到447亿元。
加快卫星互联网安全立法,推动制定协调统一的管理政策。 一方面,在《中华人民共和国空间法》的基础上,推动我国卫星网络安全立法,制定商业卫星网络安全指南。 面向卫星互联网产业链各环节,综合考虑数据安全、网络安全、链安全,制定了卫星网络最低安全标准和商用卫星接入规范,规定了卫星通信频谱范围和分配机制。 面向商业卫星应用方、龙头企业和服务提供商推出网络安全应用指南,并提供相应的实践和案例,指导其确保卫星网络安全。 另一方面明确管理责任单位,推行协调统一的管理模式。 强化“垂直”管理能力,将卫星互联网安全纳入全环节整体管理,推动建立企业、专家等参与的卫星星座网络安全体系和机制。 我们可以借鉴美国的实践,建立“商用卫星系统网络安全协调中心”等机构,为商用卫星用户、制造商和运营商提供网络安全资源和指导。
推动商用卫星网络标准和评价体系建设,前瞻性布局未来安防技术。 一是加快建立商用卫星网络安全标准体系,推进空间网络安全标准化。 研究制定与商用卫星网络安全管理、技术、评估、应急响应相关的标准规范,指导运营商加强防护能力。 第二个是建立空间系统网络安全评估体系,推动安全评估有序开展。 为领先的商户、服务商、用户制定通用安全标准,同时根据卫星的不同用途和特点,制定商业卫星网络专项安全评估标准,规范评估程序和评估方法,构建卫星网络安全态势评级体系,建设全国商用卫星网络安全测试服务平台; 落实空间网络产品和系统安全认证程序,开展商业卫星网络安全评估服务,全面推进商业卫星网络安全防护能力建设。第三个是推动卫星安全技术创新。 依托卫星企业在商业领域的技术创新能力,推动零信任、区块链、人工智能等新兴安全技术服务于卫星网络安全应用。 加强天地一体化密码防护系统研究,开展星地通信安全交换、数据传输、星间路由、隐私计算、智能攻防等关键技术攻关,加快构建卫星网络数据融合应用内生安全保障体系和数据安全服务能力,支持天地一体化建设网络安全防护系统。
推动网络安全、航空航天领域跨行业融合与交流,加强卫星安全韧性建设。 一是加强网络安全产业与航空航天领域的融合发展。 可以建立跨行业联盟,汇聚卫星通信、网络安全、软件开发、硬件制造等行业的专家学者,共同探索安全领域的关键共性问题,推动研发和创新技术。 第二个是推动公私合作,积极推动与商业航天、网络安全、金融等行业的多元化有机合作,探索政企合作新模式,聚焦安全关键技术能力突破,资源共享。 鼓励成立行业协会和行业联盟,举办商用卫星网络安全领域的会议、展览、论坛、沙龙、竞赛,遴选优秀的卫星网络安全解决方案和应用案例,提高商业航天领域用户单位和运营单位对卫星网络安全的关注度,提高软硬件设备厂商和网络安全服务的积极性提供商进行研发投入,并扩大和优化商业卫星安全产业。第三个是开展人员培训,提高安全意识和应急响应能力。 鼓励主管部门、用户单位、网络安全厂商加强对网络安全人员的培训和考核,推动建立和培养卫星通信系统安全测试人员、卫星**链安全管理员等新职业,开展卫星网络安全人员深度培训,加强实战演练,提高网络安全能力和应急响应能力。用户单位和产品用户。
积极参与全球治理,促进国际航天信息网络安全领域的对话与合作。 一是积极参与国际合作交流平台,促进安全能力共享。 建立或加入国际航天信息网络安全联盟和组织,促进企业、学术界等国家交流与合作,推动双边和多边合作协议的签署,建立航空航天领域网络安全合作机制,促进与国际伙伴共享网络安全情报和防御战略。 定期举办国际会议和研讨会,分享经验,发布卫星网络安全防护案例和指南,提升国际影响力。 第二个是参与制定国际标准,加强法律层面的对话。 积极主导或参与空间领域网络安全国际标准的制定,依托国际电信联盟、国际电信标准化组织等联盟单位,研究推动具有自主知识产权的卫星网络安全标准成为国际标准,逐步提升我国在空间网络安全领域的国际影响力。 参与制定国际法律和政策,提出中国建议,倡导公正透明的网络安全政策,确保全球互联网的稳定和安全。 第三个是降低企业国际合作门槛,促进技术研发和创新国际合作。 鼓励跨国研发项目,制定有利于国际科技合作的政策,减少跨国研发合作的行政和法律壁垒。 在国际法律框架内协调知识产权保护和技术转让政策。 建立国际科研和产业合作**,支持卫星互联网领域的创新研究。 支持国际科研机构与企业合作,促进中国安防企业与国外企业共同开发先进航天网络安全技术,促进技术交流和知识共享。