科幻劇《星際迷航》有一集名為“最後前沿（The Final Frontier）”，意指探索浩瀚宇宙為人類科學最後的前沿。

1 概要

通常，人們在討論國家關鍵基礎設施的網路威脅時，往往忽視了衛星和其它太空裝置存在的漏洞攻擊。這是一個重大失誤，因為衛星技術是社會不斷髮展的本質，如導航、通訊、遙感、監測等其它無數關鍵應用。太空和其相關領域存在的網路安全隱患將會成為國家、地區或國際問題，而要了解認知這種非傳統安全威脅，就必須對網路和太空安全的交叉問題進行研究。

美國近年把太空環境形容為空間日益擁堵（Congested）、爭奪日益加劇（Contested）、競賽日益激烈（competed）的3C時代，並積極制訂了相關的太空安全戰略確保其太空領導權；俄羅斯國防策略也強調，亟需對當前和未來的資訊領域戰爭制訂國際合作規則。

本報告目的在於，指出太空空間供應鏈存在的網路安全管理問題，並給出相關建議，希望緩解太空基礎設施中存在的安全漏洞隱患。

2 背景

查塔姆國際安全研究所（ Chatham House ）長期對網路和太空安全的交叉領域進行專業研究。2015年，與日本笹川和平基金會合作，對導致軍用衛星癱瘓的相關網路攻擊技術進行了研究，在《衛星安全-導致網路攻擊的漏洞》研究專案中指出：

網路攻擊可摧毀或癱瘓衛星和其它太空裝置；

潛在的解決方案是加強國際合作、制訂政策或增加技術研究投入；

另外，查塔姆國際安全研究所還多次召集各方專家對太空領域裝置存在的安全漏洞進行討論，以尋求和促進相關政策和解決方案的達成。

3 挑戰

在複雜多樣的網路威脅背景下，全球政府和金融機構正在以網際網路為主要經濟模式的環境下，尋求安全防範與商業發展之間的一致平衡。

由於國家間太空戰略競爭，太空空間正成為刺激經濟和技術發展的關鍵角色，因此，衛星服務很可能成為一系列網路攻擊的潛在目標。太空領域的關鍵節點攻擊，可能對國家或國際關鍵基礎設施和能力造成影響。查塔姆最新報告指出，網路和太空安全領域的“進攻”和“防守”界線變得越來越模糊，但相比之下，“進攻”比“防守”發起成本更低、更簡單。當各國政府極力重視網路安全的同時，本文認為，與太空相關的複雜供應鏈和基礎設施一樣存在被網路攻擊的安全隱患。

4 當前現狀和反應

目前，全球範圍內還沒有相關的太空網路安全研究機構。應對這種挑戰，需要激進和創新的觀點。衛星通訊和導航系統的經驗告訴我們，儘管太空網路安全市場還需定義成形，但總體前景估計良好，太空網路安全面臨的國際挑戰可能是未來保護空間資產裝置的一個戰略機遇。

太空空間任務和相關支援功能需要系統定義，同時危機緩解策略的研究也必不可少。當前，亟需一些在太空空間有能力的國家和關鍵機構組成國際意願團體，制訂靈活的國際空間發展機制和網路安全制度，這種機制和制度將會提供快速、及時的反應能力，同時也能實現協調和監督作用，有利於太空空間合理發展。

為了應對太空網路安全威脅，幾個國家機構已經開始建立合作機制，如CERT組織下的CERT-UK、CERT-JP、JP-CERTCC、CERT-IN、CERT-GH、US-CERT等。

5 太空網路安全威脅

威脅識別：

太空相關係統（天基系統）網路威脅分類如下：

國家間的軍事戰略利益，或以竊取戰略性智慧財產權為目的的通訊破解；

以經濟利益為目的，掌握大量資源的犯罪組織攻擊；

恐怖組織的為達宣傳效應的攻擊，或是操作衛星相撞等極端行為；

個人黑客炫耀技術的攻擊。

威脅方法：

對通訊網路和空間基礎設施的干擾、欺騙和黑客攻擊；

針對衛星控制系統和任務包的攻擊，達到控制衛星功能，如關閉、變軌、或把太陽能電池暴露於電離輻射環境等；

對地面基礎設施的攻擊，如衛星控制中心、相關的網路和資料中心，導致潛在的全球性影響（如天氣預報系統等）。

2011年，美國國會報告指出，2007年至2008年間，至少有兩顆美國環境監測衛星受到四次或更多干擾，NASA的陸地7號監測衛星Landsat-7受到多達12分鐘的干擾，NASA的另一顆地球監測衛星Terra AM-1曾在不同天內分別受到2分多鐘和9分多鐘的訊號干擾。美國國家海洋和大氣管理局曾於2014年9月遭受黑客攻擊，導致衛星資料系統被迫下線，造成天氣預報機構48小時的資料缺失。

威脅產生原因：

威脅途徑非常複雜，但主要可以總結如下：

越來越多的衛星和星群提供了越來越多的入口點；

通訊鏈路連通性和軌道連通性的增加；

自主通訊鏈路的增加；

衛星供應商的質量標準不確定性衛星元件；

太空裝置設計商只關注市場需要的重要安全控制；

更小更便宜的衛星在安全成本方面，與製造成本不成比例；

加密和其他安全控制系統的後門漏洞。

網路攻擊對太空基礎設施造成的後果有哪些？

包括但不限於：

降低國家安全或國防防禦能力；

降低通訊、觀測能力或導航精度；

破壞包括精確計時系統在內的其它通訊設施，導致通訊缺乏保密和認證措施；

變換軌道執行引數導致碰撞；

破壞或劫持太空車；

破壞完整的發射器和有效載荷裝備，在發射階段造成更大風險；

破壞或刪除衛星傳輸資料；

擷取包括敏感資訊在內的通訊內容；

重設路由的通訊攔截；

訊號干擾或資料欺騙。

6 衛星網路威脅

干擾

一種試圖通過降低和破壞訊號，擾亂通訊傳輸和接收的攻擊。干擾裝置通常以相同或更高的頻率傳輸電磁能量，模擬傳送訊號，干擾接收機。所有的無線通訊系統都容易受到電磁干擾或人為干擾。衛星上的接收裝置也能被干擾而無法接收上行鏈路訊號。

地面干擾：影響位於特定地理區域的接收機的操作能力。一個已被應用多年的技術，例如，專制政府試圖阻止人們訪問未經授權的無線電或電視廣播，在動盪和政治控制時期，政府為維持和控制國內資訊與傳播，可以針對廣播電視進行電磁地面干擾。地面干擾也可用來短期內阻止行動電話網路和網際網路訪問，有時被稱為“無線拒絕服務攻擊”。

軌道干擾：干擾由地面站向衛星傳輸的訊號。干擾器不一定要在訊號發射器附近，可以位於接收衛星波束的任何地方。軌道干擾活動的地理範圍不受干擾器的物理位置影響。

網路攻擊

近年來，通訊和導航系統攻擊已經成為一系列新型複雜網路攻擊，這些攻擊背後的漏洞非常受到關注，一方面由於它們難於檢測發現，另外能導致拒絕服務、完整性認證失敗等不安全的嚴重後果。

Spoofing

Spoof欺騙原理其實就是偽裝成一顆偽衛星進行播發定位資料，從而欺騙接收機。欺騙攻擊通過操縱資訊交換通訊，從而降低其完整性。一個成功的欺騙攻擊可能被用來針對和直接破壞關鍵基礎設施，如對國家電網或金融業務的高頻交易系統引入錯誤的定時訊號，造成間接經濟損失。

國際性事件影響和安全意識

1997年，美國關鍵基礎設施保障研究會有先見之明地在報告中指出“與現代化相關的國家空天系統漏洞將會是最嚴重的安全隱患”。目前，隨著全球導航系統的發展，各國都具備了一定的衛星導航能力，如美國的US-GPS，俄羅斯的GLONASS，歐洲的SBAS以及GalileoGNSS，中國的北斗BDS，印度的NAVIC、IRNSS，以及日本正在研發的QZSS。

而空天故障也會發生，2016年1月26日，第二代GPS衛星“SVN 23”正式退役，在從GPS星座移除過程中，觸發了GPS地面軟體問題，導致GPS時間出現13.7微秒誤差；

當然，在關鍵基礎設施的保護方面，並不是所有國家都能像美國一樣有先見的意識和充足的資源。

太空軍事戰略裝置漏洞

軍事戰略和戰術導彈系統高度依賴於衛星和空間基礎設施，它們用於導航、瞄準、指揮控制、作戰監控等功能。然而，由於對天基裝置、地面站和相關指揮和控制系統安全性缺乏足夠重視，針對衛星的網路攻擊會嚴重破壞戰略武器系統的完整性。

劫持、摧毀或關閉衛星

儘管網路攻擊很難從物理上控制衛星，但並不是無法攻破，這會極大地吸引那些試圖控制ICS或SCADA系統的攻擊者。對衛星的網路攻擊包括針對地面站的攻擊，而衛星內建計算機的遠端定期更新，以及大量衛星硬體可能出現的後門都會帶來安全隱患和漏洞。即使沒有硬體“後門”，但對於複雜的網路攻擊來說，目前的加密方法也可能無法阻止。通過地面站的攻擊可以控制、摧毀或關閉衛星，而被控制可變軌的衛星就像一種太空武器，對空天裝置和地面國家將會形成巨大的安全威脅。

商業衛星漏洞

2014年，安全公司IOActive對通訊衛星的漏洞進行了安全評估。評估包括衛星通訊相關的海上作業、個人通訊、SCADA、語音、資料、航空和軍事系統等 ，之後，IOActive發現許多衛星系統裝置和軟體缺乏根本的安全防範和定期更新措施，導致漏洞長期存在。

7 促進國際合作和相關措施實施

制訂太空網路安全響應準則

政策要求

政府治理

管理

開放包容

政權強制行為

具備靈活性和主動性

風險管理

降低供應鏈安全風險

8 建議

提高安全意識

提高防範意識

識別依賴關係

識別漏洞

建立彈性的應急響應機制

開發面向未來的軟硬體設施

嚴格的採購策略

嚴格的監管要求

經驗分享

建立良好的風險管理和實踐機制

四篇衛星黑客技術文章：slideshare1，slideshare2， dailywireless，inforsecinstitute

本文轉自d1net（轉載）