“我们的卫星互联网面临着供应链比原来大幅度提升的情况,早期的供应商可能觉得我们卫星离地4000公里,无法接触到,所以它受攻击是不可能的。在安全上,最多采用通讯加密和接收阀门控制,导致目前的卫星互联网(面临)大量的威胁攻击。”8月24日,在2023CCS成都网络安全大会开幕式上,电子科技大学网络空间安全研究院院长张小松谈及当下卫星互联网安全面临的挑战。
他在接受《每日经济新闻》记者正常采访时表示,卫星互联网面临广泛的安全威胁,供应链是其中的最短板,根据木桶效应,这一环节往往率先被渗透攻击。
卫星互联网是全球互联网的发展重点方向,在2020年卫星互联网被纳入“新基建”范畴后,我国相关产业就开始加快速度进行发展。不过,相比卫星制造和发射环节的技术竞逐,卫星互联网的安全问题常被忽视。在张小松看来,随着低成本的技术铺展开,大量企业涌入卫星互联网产业链,任何与卫星互联网有信息交互的企业都有概率发起攻击,卫星互联网已经暴露在大面积的安全威胁中。
在运行结构上,张小松将威胁概括为空间段、地面段、用户段和供应链威胁。在技术层面,又可进一步扩展为物理设施威胁、通信链路威胁、计算机系统与网络安全威胁、数据安全威胁、业务应用安全威胁等五大类。
其中,供应链环节是最大有可能被率先攻击的。“卫星是个巨复杂系统,供应链复杂冗长,上下游企业众多。任何一个企业出现安全缺陷,都会威胁到整个卫星互联网。”张小松认为,大企业尚有严密的安全管理规范措施,但来自小公司的零部件安全风险就多了。这某些特定的程度上也造成,供应链这项最短板往往率先被渗透攻击。
具体看来,相比后门植入、芯片伪造等硬件安全威胁,来自软件的安全威胁更为泛滥。为了节约时间,大部分商业软件或多或少都直接用开源软件,而开源软件基本上不考虑安全性。奇安信集团《2022年中国软件供应链安全分析报告》多个方面数据显示,调研的3354个软件开发项目中,86.4%的项目存在开源软件漏洞。1781个软件项目的源代码中,发现安全缺陷达264万个。
“这暴露了我国研发人员水平的参差不齐,并且从一开始就缺乏软件设计安全意识的培养。”张小松建议,要解决软件层面的安全威胁,首先要系统地培养开发人员良好的编程习惯,避免也许会出现的逻辑漏洞。其次,要辅以检查手段,通过和测试机构合作,检查开源软件是不是真的存在安全缺陷。