《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 吳魏:關于天地一體化信息網絡安全防護的思考

吳魏:關于天地一體化信息網絡安全防護的思考

2019-08-28

1.jpg

  天地一體化信息網絡是我們國家在十三五新規(guī)劃的一批重大項目之一,相當于一共是16個重大專項,,里面包括量子,,天地一體化信息網絡是其中之一。

  項目背景

  隨著我國經濟實力的增強,,隨著我們國家戰(zhàn)略的拓展,,我們國家的信息網絡,我們原來國家的信息網絡是在我們國內的,,包括我們現(xiàn)在在國外有很多的企業(yè),、投入,我們信息網絡也需要擴展,,我們國家跟美國不太一樣,,我們是在世界各地基地都很少,要想拓展只能通過天的途徑,,在太空上連接起來,,實現(xiàn)我們國家信息網絡向外拓展,所有的關于十三五新規(guī)劃新的項目總稱叫做科技創(chuàng)新2030,,里面包括16個重大專項,,天地一體化網絡是其中之一,能夠滿足國家的發(fā)展限制和長遠需求,,對拓展國家利益,,維護國家核心安全,特別是包括一帶一路,四海兩邊等維護都有重大意義,,天體一體化網絡作為戰(zhàn)略性公共基礎設施,,具有全球覆蓋,按需服務的特點,,可為陸??仗旄黝愑脩籼峁╇S遇接入,安全可控的信息服務,。

  總體方案

  項目采用天網地網結構,,所謂的地網就是在我們的土地上,天網是地球上多個軌道上,,是有多個軌道節(jié)點上,,一共有六個網絡節(jié)點,通過激光連起來,,實現(xiàn)一個結合的覆蓋,,但是做衛(wèi)星的都比較清楚,赤道上只要布置三個網絡節(jié)點就可以實現(xiàn)覆蓋了,,有一些重要區(qū)域要多覆蓋,,考慮網絡可靠性,整個實施方案應用有六個網絡節(jié)點,,是大容量的,,對天是靠激光連起來的,對地是靠激光,,稱為天基骨干網,,有天基路由器,有各種激光傳輸設備,,可以連接到海外去的維護護航,,我們的航母出去也可以為他提供服務,包括在全球各地飛的民航客機,,包括石油運輸?shù)耐ǖ?,以后就要靠這個網絡來維持,保證信息的傳輸,,這里還安排了一個天基接入網,,是低軌行動,,現(xiàn)在實施方案寫的是安排120個衛(wèi)星,,可以覆蓋南北極,還有一張網,,稱之為地基節(jié)點網,,就是衛(wèi)星地面站,把這些東西連起來構成一張網,高軌骨干網再加低軌接入網統(tǒng)稱為天網地網,,再通過跟4G,、5G連接起來構成一個國家的戰(zhàn)略性結構實施,天網目的就是為了實現(xiàn)向海外的拓展,。

  低軌衛(wèi)星之間也是一個全互聯(lián)的網絡結構,,只需要少量的地面站就可以實現(xiàn)全球的覆蓋,我們在美國上空那一塊有一些信息回傳通過天上的網絡傳回到國土上來,。

  整個技術體系結構把它分為三層,,最底下這一層叫做基礎網絡,骨干網,,還有地面免,,接入網,節(jié)點網,,地面互聯(lián)網,,移動通信網,考慮到安全防護跟運營管理的重要性,,把整個體系分成三層兩域的結構,,安全防護對基礎網絡,服務平臺全部都要保護起來,,整個系統(tǒng)在系統(tǒng)設計的時候,,把安全防護都考慮明確了,傳輸網絡,,我本人就是做網絡的,,不是做安全的,今天主要是給大家介紹一下網絡的情況,,第二個把網絡的安全性考慮說一下,,基礎網絡現(xiàn)在采用比較新的技術,按照傳輸與承載,,轉發(fā)與控制分離的技術思路,,這是軟件定義網絡的想法,采用網絡資源須提化技術,,實現(xiàn)軟件定義不同應用網絡,,為軍服務的網絡,為民服務的網絡,,為各種行業(yè)服務的網絡,,這是關于網絡的基本想法。

  服務平臺

  現(xiàn)在采用云網端的想法,,按照資源聯(lián)合,,云端匯聚的思路,,采用分布式數(shù)據中心技術,實現(xiàn)網絡信息服務功能的邏輯分布與聚合,,接下來是存儲的分布式架構,,包括面向全球移動電話的服務,移動數(shù)據的服務,,還有一個導航增強服務,,做導航的都知道,我在一個地方同時看到四顆星的時候可以實現(xiàn)衛(wèi)星導航,,好多軍事他們要求的定位非常高,,加上我們的這個,可以實現(xiàn)非常精準的定位,,軍民兩用功能都很強,,還有關于搖桿地理信息服務,還有很多搖桿衛(wèi)星通過網絡傳回來,,提供世界各地的地理信息,,在歐洲上空,在美國上空拍的圖片可以實時的傳回來,,整個系統(tǒng)提供服務分成三類,,一個是網絡通信服務,第二個是導航定位增強服務,,還有關于搖桿地理信息的服務,。

  應用系統(tǒng),主要是為各類應用來提供服務的,,按照網絡拓展,,服務延伸的思路,采用網云端集成理念,,將網絡能力與本地應用組合,,實現(xiàn)網絡化應用,把它叫做地基信息港,,可以存儲搖桿服務,,比如手機類似于一星電話或者是5G、6G,,可能就要跟衛(wèi)星連接起來了,,手機通過APP提供各種應用的服務。

  還有一個運維管控,,保證網絡安全可靠運行,,正常的運行,高效的運行,,有一個運維管控的系統(tǒng),,這個跟地面不同,天有一百多個衛(wèi)星,,對衛(wèi)星要測控,,還有飛船發(fā)多少,大家看的轉播都有很多測控,,要對衛(wèi)星的軌道進行控制,,國家發(fā)射衛(wèi)星的時候,發(fā)射完了以后,,就不管了,,全是我們這個系統(tǒng)對衛(wèi)星的軌道,包括業(yè)務進行控制,,衛(wèi)星要測控,、運控,還有網絡管理的功能,,按照分級來的,,一個是整個系統(tǒng)層面的我們叫綜合管理,還分成各種子網,,骨干網,,接入網等的管理。

  安全防護,,這里面采用比較新的思想,,按照內生安全動態(tài)賦能的思路,安全功能嵌入到網絡節(jié)點,,服務平臺跟應用系統(tǒng),,按照軟件定義來規(guī)范安全體系,實現(xiàn)網絡跨域的動態(tài)安全防護,,這是應用服務,,應用服務面向陸海空天各類用戶提供多種應用服務,,實施方案提供了八種典型服務,,第一個對于全球移動通信,拿著手機不管在國土范圍內,,出去到世界各地都可以實現(xiàn)移動通信的功能,。另外一個就是熱點區(qū)域增強,某些區(qū)域實現(xiàn)什么事情了,,會通過測控衛(wèi)星的軌道可以集中為這個區(qū)域進行覆蓋,,包括反恐維穩(wěn),現(xiàn)在我們的新疆,、西藏,,很多地方是沒有地面網絡的,,可以利用這個網絡對反恐維穩(wěn)進行支撐,還有搶險就在,,汶川地震地面基本上是全毀了,,天上的網絡受地面災害比較少,還有空間應用支持,,各種搖桿衛(wèi)星觀測的數(shù)據及時傳回來,,包括航空應用面向全球的民航飛機,包括我們軍用的飛機在世界各地飛都可以靠這個來進行,,包括海事應用,,還有軍艦都可以利用這個網絡,還有信息普惠,,我們國家西部經濟比較差,,網絡基礎也比較差,把這個網絡接入進來可以實施信息普惠服務,。

  這是整個項目發(fā)展路線圖,,有三個階段,項目定的時候是2016年開始工作的,,2017年至2022年主要是技術突破,,典型示范,構建技術體系,,率先建設試驗試用系統(tǒng),,形成一帶一路信息服務能力,在2020年之前準備要發(fā)三個骨干網衛(wèi)星,,六個低軌衛(wèi)星,,包括天基骨干網。第二個就是2023年至2027年完成規(guī)模建設,,有效應用,,來支持八種服務,在2028年至2023年是拓展提高,,全面服務,。

  關于安全防護的總體考慮

  在這一塊國家也有一些安排,在項目立項之中,,科技部專門在科技部對網絡安全專項里面專門安排了天地一體化信息網絡安全保護,,結合我們這個項目把天地一體化信息安全防護跟大家簡單的介紹一下。

  安全威脅分析,,天地一體化信息網絡的地基骨干網主要位于國內,,關于安全威脅分析這只是列了一些,安全防護能力需求,,有天基骨干網,,有接入網,,還有地面網絡,傳輸鏈路非常多,,不同頻段的,,特點也不太一樣,還有天地網絡的資源也是不太一樣,,衛(wèi)星上面能夠上衛(wèi)星的CPO能力非常有限,,還有應用特點,,這是要求面向全球的,,在世界各地都能夠接入,第二個特點這個網絡是軍民共用,,整個項目建設是滾動發(fā)展的,,整個項目從建設就分了三個階段,衛(wèi)星的壽命也是有限的,,一個軌道衛(wèi)星是15年,,15年之后還要再發(fā)衛(wèi)星替代,整個網絡也是滾動發(fā)展建設的,,根據它的網絡特點,、應用特點歸納了安全的需求,包括有動態(tài)組網實體認證的,,包括鏈路自適應可信保持能力,,安全威脅精準感知能力,還有網間安全互聯(lián),,還有終端多域協(xié)同接入認證,,密碼按需服務,網絡資源彈性重構能力,,基于這些能力要構成整個安全防護的體系,,這是關于安全能力的需求。

  接下來說一下安全功能的需求,,我們按照這個網絡來說,,分為用戶區(qū)跟接入網絡區(qū),還有骨干網絡區(qū),,還有管理區(qū),,在不同的區(qū)域之內咱們用戶的等級保護不同的用戶等級保護是不一樣的,在做網絡的時候把安全分為四類,,一是給軍的,,二是給政府的,三是為行業(yè)的,,四是為各種商業(yè)用戶的,,不同用戶的安全等級是不太一樣的,,根據這些制定我們安全功能的需求,用戶區(qū)就要進行終端的安全防護,,在金融網絡區(qū)就要進入鏈路接入防護,,跟不同網絡互聯(lián)的時候還有考慮網聯(lián)安全控制,還要進行密碼資源跨域管理等這都是安全功能的需求,,在這些需求的基礎上,,介紹一些需要重點研究的安全防護技術,第一個方面關于傳輸鏈路安全,,干網絡的要把整個傳輸鏈路安全做起來,,第一個關于物理層的抗干擾,第二個就是密碼保護,,傳輸鏈路的加密,,這一塊是需要考慮的,怎么來加密,,來抗干擾,,這是關于傳輸安全的。

  第二個關于擬態(tài)網絡安全,,按照內生安全,,動態(tài)賦能的思路,將功能等價動態(tài)冗余架構及其策略調度和多維動態(tài)重構負反饋機制嵌入網絡節(jié)點,,服務平臺和應用系統(tǒng),,實現(xiàn)網絡的動態(tài)防御或者是擬態(tài)防御,這是需要重點關注的,。

  第三個接入/組網認證與可信保持,,在這里面怎么完成不同用戶的接入認證,還有網絡單元的具體認證,,防止非法接入等等,,實現(xiàn)節(jié)點快速認證與保持。

  第四個跨網安全隔離與信息交換,,我們這個天地一體化網絡分為骨干網,、接入網、地面網,,另外我們還要跟地面移動網,,跟互聯(lián)網實現(xiàn)互聯(lián)互通,跨網之間信息安全主要做一些技術,,包括聯(lián)動防護的機制,,聯(lián)動防護的智能管控與管理,包括高速實施隔離交換,互聯(lián)控制與重置等等安全互聯(lián),。

  還有一個就是密碼管理,,密碼管理在這方面這個網絡里面不同的用戶,不同等級的用戶要有不同強度的密碼,,在這里面分了三個方面,,一個是高性能密碼計算平臺防護;第二個關于支持虛擬化高頻發(fā)的密碼標準規(guī)范,;第三個跨域密碼資源的平臺管理與監(jiān)控等等,。

  第五個網絡安全威脅預警與安全管理,對各種設備或者是安全設備進行管理,,在威脅預警要做安全威脅內嵌式的安全感知,,還有安全威脅信息的匯集,多維度數(shù)據關聯(lián)的分析與態(tài)勢,,在安全管理要做的海量安全設備的統(tǒng)一管理,,還有安全管理的分級聯(lián)動與管控,,還有實時設備安全的監(jiān)控,。

  網絡安全建設的時候,安全要同步考慮,,在國家這一方面也是這么安排的,,在這方面做工作也歡迎從事網絡安全的企業(yè)需要各方面的人員共同來參與,把國家的重大項目做好,。


本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]