本文作者是哈佛肯尼迪政治学院的格雷戈里·法尔科(Gregory Falco)
引言
2018年6月,美国总统特朗普下令国防部立即筹建“太空部队”,该部队作为一个独立的军事部门,旨在确保美国在太空的优势地位。7月份,哈佛大学肯尼迪学院发布报告《Job One for Space Force:Space Asset Cybersecurity》。报告认为,美国的许多核心基础设施都依赖于太空系统,太空系统面临严峻的网络安全威胁。报告对太空网络安全威胁进行了评估,并从太空资产运营者、政府管理机构和组织架构搭建等方面,提出保护太空资产网络安全的建议。
报告概要
当我们想到核心基础设施时,首先想到的资产包括电网、水网和交通系统。为了进一步阐释核心基础设施的定义,我们会考虑农业、国防或金融业等行业。
然而,我们很少考虑到跨这些部门实现技术功能的底层系统实际位于何处、被谁开发以及被谁访问和管理。
美国的许多核心基础设施都依赖于太空系统。我将太空系统定义为存在于亚轨道、外层空间或地面控制系统中的资产,包括这些资产的发射设施。空间资产组织是建立、运营、维护或拥有太空系统的组织。
核心基础设施对太空系统十分依赖,比如农业综合企业对天气和气候卫星的依赖,美国军方对情报卫星的依赖,以及各种交通行业对全球定位系统(GPS)卫星的依赖。几个核心基础设施部门也依赖太空系统进行全球通信。
我们还依靠太空系统进行科学探索,这往往需要高度专业化和先进的设备。这些设备最初是为科学发现而设计的,后来经过进一步的测试和知识产权商业化后,将用于关键的基础设施部门。
尽管美国努力改善核心基础设施的网络安全,很少有人关注太空系统的网络安全。尽管核心基础设施的安全标准通常在技术上足以抵挡许多攻击,但由于时间和资源的限制,实现这些标准仍然是一个挑战。然而,从技术发展、所有权和管理的角度来看,太空系统比核心基础设施更为复杂。到目前为止,太空系统缺乏指导,缺乏管理空间系统安全的标准,缺乏执行这些标准的政策。
我将首先回顾太空系统面临的一些主要网络安全威胁,以及网络犯罪分子或国家企图危害太空系统的潜在动机。接下来,我将评估管理太空系统网络安全。紧接着,我将评估公司和政府机构目前为保护这些系统所采取的步骤。最后,我将提出政策建议,简化公共和私营部门空间系统的网络安全。以下是这些建议的精选。
1. 太空资产管理机构应该怎样做
• 将现有网络安全标准和最优方法应用于太空资产,并在必要时为太空资产的独特组成部分量身定制新的标准;
• 根据每一项太空资产的功能,指派专业的安全专家,并将网络安全作为预算中的一项任务,从而实现这一资源的分配。例如,不要指派服务器安全专家处理卫星端点的安全性。相反,应指定具有卫星端点知识的安全专家来保护这些系统;
• 发展和激励网络安全文化,重视太空资产团队的安全。鼓励良好的安全行为,例如运行一个内部钓鱼程序,其中表现最好的人将获得奖励;
• 使用恰当的网络安全工具,例如加密或威胁情报。即使卫星传送的数据最终会公开及开放源码,也要加密通讯,以更好地保障资料(例如天气数据)的完整性;
• 与安全研究人员建立联系,使研究人员能够访问公司数据,并提供解决方案来修复公司系统中的漏洞;
2. 政策制定者应该怎样做
• 要求太空资产组织对其开发、运营和拥有的太空系统组件的网络安全缺陷负责。例如,要求所有与政府签订合同的太空资产组织遵守覆盖网络安全的系统生存能力的关键性能参数。
• 扩大《美国国防-国防工业基地网络安全活动联邦法规》(32《美国联邦法规》第236部分)的范围,将负责提供其他关键基础设施的太空资产的组织必须报告的网络事件纳入其中。
• 美国国土安全部应该建立一个太空系统信息共享和分析中心(ISAC),要求政府机构参与鼓励私营部门参与太空资产组织;
3. 太空系统信息共享和分析中心ISAC应该怎样做
• 要求在一定时间内向其他太空系统组织披露可信的部门网络威胁,以便其他人有机会根据情报采取行动。
• 记录和维护太空系统安全最佳实践,并鼓励成员组织实施这些安全协议。
• 与ISACs在石油、天然气、电力和紧急服务方面合作,评估支撑这些关键部门地面系统的太空系统漏洞,并据此进行补救;
目 录
1. 执行纲要
2. 为何空间系统是一个有吸引力的目标?
3. 为何这些系统会受到攻击?
4. 为何空间资产在今天如此脆弱?
5. 目前正采取何种措施来保护这些系统?
下载报告:https://www.belfercenter.org/sites/default/files/files/publication/CSP%20Falco%20Space%20Asset%20-%20FINAL.pdf
声明:本文来自360智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
