吴魏:关于天地一体化信息网络安全防护的思考
吴魏 中国电科首席科学家
摘要:简要介绍了天地一体化信息网络的项目背景;概述了天地一体化信息网络总体技术方案,最后给出了天地一体化信息网络安全防护的总体思考,包括安全威胁分析、安全防护能力需求、体系结构和功能需求,以及需要重点研究的安全防护技术等内容。
天地一体化信息网络是我们国家在十三五新规划的一批重大项目之一,相当于一共是16个重大专项,里面包括量子,天地一体化信息网络是其中之一。
项目背景
随着我国经济实力的增强,随着我们国家战略的拓展,我们国家的信息网络,我们原来国家的信息网络是在我们国内的,包括我们现在在国外有很多的企业、投入,我们信息网络也需要扩展,我们国家跟美国不太一样,我们是在世界各地基地都很少,要想拓展只能通过天的途径,在太空上连接起来,实现我们国家信息网络向外拓展,所有的关于十三五新规划新的项目总称叫做科技创新2030,里面包括16个重大专项,天地一体化网络是其中之一,能够满足国家的发展限制和长远需求,对拓展国家利益,维护国家核心安全,特别是包括一带一路,四海两边等维护都有重大意义,天体一体化网络作为战略性公共基础设施,具有全球覆盖,按需服务的特点,可为陆海空天各类用户提供随遇接入,安全可控的信息服务。
总体方案
项目采用天网地网结构,所谓的地网就是在我们的土地上,天网是地球上多个轨道上,是有多个轨道节点上,一共有六个网络节点,通过激光连起来,实现一个结合的覆盖,但是做卫星的都比较清楚,赤道上只要布置三个网络节点就可以实现覆盖了,有一些重要区域要多覆盖,考虑网络可靠性,整个实施方案应用有六个网络节点,是大容量的,对天是靠激光连起来的,对地是靠激光,称为天基骨干网,有天基路由器,有各种激光传输设备,可以连接到海外去的维护护航,我们的航母出去也可以为他提供服务,包括在全球各地飞的民航客机,包括石油运输的通道,以后就要靠这个网络来维持,保证信息的传输,这里还安排了一个天基接入网,是低轨行动,现在实施方案写的是安排120个卫星,可以覆盖南北极,还有一张网,称之为地基节点网,就是卫星地面站,把这些东西连起来构成一张网,高轨骨干网再加低轨接入网统称为天网地网,再通过跟4G、5G连接起来构成一个国家的战略性结构实施,天网目的就是为了实现向海外的拓展。
低轨卫星之间也是一个全互联的网络结构,只需要少量的地面站就可以实现全球的覆盖,我们在美国上空那一块有一些信息回传通过天上的网络传回到国土上来。
整个技术体系结构把它分为三层,最底下这一层叫做基础网络,骨干网,还有地面免,接入网,节点网,地面互联网,移动通信网,考虑到安全防护跟运营管理的重要性,把整个体系分成三层两域的结构,安全防护对基础网络,服务平台全部都要保护起来,整个系统在系统设计的时候,把安全防护都考虑明确了,传输网络,我本人就是做网络的,不是做安全的,今天主要是给大家介绍一下网络的情况,第二个把网络的安全性考虑说一下,基础网络现在采用比较新的技术,按照传输与承载,转发与控制分离的技术思路,这是软件定义网络的想法,采用网络资源须提化技术,实现软件定义不同应用网络,为军服务的网络,为民服务的网络,为各种行业服务的网络,这是关于网络的基本想法。
服务平台
现在采用云网端的想法,按照资源联合,云端汇聚的思路,采用分布式数据中心技术,实现网络信息服务功能的逻辑分布与聚合,接下来是存储的分布式架构,包括面向全球移动电话的服务,移动数据的服务,还有一个导航增强服务,做导航的都知道,我在一个地方同时看到四颗星的时候可以实现卫星导航,好多军事他们要求的定位非常高,加上我们的这个,可以实现非常精准的定位,军民两用功能都很强,还有关于摇杆地理信息服务,还有很多摇杆卫星通过网络传回来,提供世界各地的地理信息,在欧洲上空,在美国上空拍的图片可以实时的传回来,整个系统提供服务分成三类,一个是网络通信服务,第二个是导航定位增强服务,还有关于摇杆地理信息的服务。
应用系统,主要是为各类应用来提供服务的,按照网络拓展,服务延伸的思路,采用网云端集成理念,将网络能力与本地应用组合,实现网络化应用,把它叫做地基信息港,可以存储摇杆服务,比如手机类似于一星电话或者是5G、6G,可能就要跟卫星连接起来了,手机通过APP提供各种应用的服务。
还有一个运维管控,保证网络安全可靠运行,正常的运行,高效的运行,有一个运维管控的系统,这个跟地面不同,天有一百多个卫星,对卫星要测控,还有飞船发多少,大家看的转播都有很多测控,要对卫星的轨道进行控制,国家发射卫星的时候,发射完了以后,就不管了,全是我们这个系统对卫星的轨道,包括业务进行控制,卫星要测控、运控,还有网络管理的功能,按照分级来的,一个是整个系统层面的我们叫综合管理,还分成各种子网,骨干网,接入网等的管理。
安全防护,这里面采用比较新的思想,按照内生安全动态赋能的思路,安全功能嵌入到网络节点,服务平台跟应用系统,按照软件定义来规范安全体系,实现网络跨域的动态安全防护,这是应用服务,应用服务面向陆海空天各类用户提供多种应用服务,实施方案提供了八种典型服务,第一个对于全球移动通信,拿着手机不管在国土范围内,出去到世界各地都可以实现移动通信的功能。另外一个就是热点区域增强,某些区域实现什么事情了,会通过测控卫星的轨道可以集中为这个区域进行覆盖,包括反恐维稳,现在我们的新疆、西藏,很多地方是没有地面网络的,可以利用这个网络对反恐维稳进行支撑,还有抢险就在,汶川地震地面基本上是全毁了,天上的网络受地面灾害比较少,还有空间应用支持,各种摇杆卫星观测的数据及时传回来,包括航空应用面向全球的民航飞机,包括我们军用的飞机在世界各地飞都可以靠这个来进行,包括海事应用,还有军舰都可以利用这个网络,还有信息普惠,我们国家西部经济比较差,网络基础也比较差,把这个网络接入进来可以实施信息普惠服务。
这是整个项目发展路线图,有三个阶段,项目定的时候是2016年开始工作的,2017年至2022年主要是技术突破,典型示范,构建技术体系,率先建设试验试用系统,形成一带一路信息服务能力,在2020年之前准备要发三个骨干网卫星,六个低轨卫星,包括天基骨干网。第二个就是2023年至2027年完成规模建设,有效应用,来支持八种服务,在2028年至2023年是拓展提高,全面服务。
关于安全防护的总体考虑
在这一块国家也有一些安排,在项目立项之中,科技部专门在科技部对网络安全专项里面专门安排了天地一体化信息网络安全保护,结合我们这个项目把天地一体化信息安全防护跟大家简单的介绍一下。
安全威胁分析,天地一体化信息网络的地基骨干网主要位于国内,关于安全威胁分析这只是列了一些,安全防护能力需求,有天基骨干网,有接入网,还有地面网络,传输链路非常多,不同频段的,特点也不太一样,还有天地网络的资源也是不太一样,卫星上面能够上卫星的CPO能力非常有限,还有应用特点,这是要求面向全球的,在世界各地都能够接入,第二个特点这个网络是军民共用,整个项目建设是滚动发展的,整个项目从建设就分了三个阶段,卫星的寿命也是有限的,一个轨道卫星是15年,15年之后还要再发卫星替代,整个网络也是滚动发展建设的,根据它的网络特点、应用特点归纳了安全的需求,包括有动态组网实体认证的,包括链路自适应可信保持能力,安全威胁精准感知能力,还有网间安全互联,还有终端多域协同接入认证,密码按需服务,网络资源弹性重构能力,基于这些能力要构成整个安全防护的体系,这是关于安全能力的需求。
接下来说一下安全功能的需求,我们按照这个网络来说,分为用户区跟接入网络区,还有骨干网络区,还有管理区,在不同的区域之内咱们用户的等级保护不同的用户等级保护是不一样的,在做网络的时候把安全分为四类,一是给军的,二是给政府的,三是为行业的,四是为各种商业用户的,不同用户的安全等级是不太一样的,根据这些制定我们安全功能的需求,用户区就要进行终端的安全防护,在金融网络区就要进入链路接入防护,跟不同网络互联的时候还有考虑网联安全控制,还要进行密码资源跨域管理等这都是安全功能的需求,在这些需求的基础上,介绍一些需要重点研究的安全防护技术,第一个方面关于传输链路安全,干网络的要把整个传输链路安全做起来,第一个关于物理层的抗干扰,第二个就是密码保护,传输链路的加密,这一块是需要考虑的,怎么来加密,来抗干扰,这是关于传输安全的。
第二个关于拟态网络安全,按照内生安全,动态赋能的思路,将功能等价动态冗余架构及其策略调度和多维动态重构负反馈机制嵌入网络节点,服务平台和应用系统,实现网络的动态防御或者是拟态防御,这是需要重点关注的。
第三个接入/组网认证与可信保持,在这里面怎么完成不同用户的接入认证,还有网络单元的具体认证,防止非法接入等等,实现节点快速认证与保持。
第四个跨网安全隔离与信息交换,我们这个天地一体化网络分为骨干网、接入网、地面网,另外我们还要跟地面移动网,跟互联网实现互联互通,跨网之间信息安全主要做一些技术,包括联动防护的机制,联动防护的智能管控与管理,包括高速实施隔离交换,互联控制与重置等等安全互联。
还有一个就是密码管理,密码管理在这方面这个网络里面不同的用户,不同等级的用户要有不同强度的密码,在这里面分了三个方面,一个是高性能密码计算平台防护;第二个关于支持虚拟化高频发的密码标准规范;第三个跨域密码资源的平台管理与监控等等。
第五个网络安全威胁预警与安全管理,对各种设备或者是安全设备进行管理,在威胁预警要做安全威胁内嵌式的安全感知,还有安全威胁信息的汇集,多维度数据关联的分析与态势,在安全管理要做的海量安全设备的统一管理,还有安全管理的分级联动与管控,还有实时设备安全的监控。
网络安全建设的时候,安全要同步考虑,在国家这一方面也是这么安排的,在这方面做工作也欢迎从事网络安全的企业需要各方面的人员共同来参与,把国家的重大项目做好。
相关文章
- 4条评论
- 酒奴殊姿2022-06-11 04:25:14
- 行业服务的网络,这是关于网络的基本想法。服务平台现在采用云网端的想法,按照资源联合,云端汇聚的思路,采用分布式数据中心技术,实现网络信息服务功能的逻辑分布与聚合,接下来是存储的分布式架构,包括面向全球移动电话的服务,
- 温人橘亓2022-06-11 03:06:29
- 式的安全感知,还有安全威胁信息的汇集,多维度数据关联的分析与态势,在安全管理要做的海量安全设备的统一管理,还有安全管理的分级联动与管控,还有实时设备安全的监控。网络安全建设的时候,安全要同步考虑,在国家这一方面
- 孤鱼迷麇2022-06-11 11:04:04
- 5年之后还要再发卫星替代,整个网络也是滚动发展建设的,根据它的网络特点、应用特点归纳了安全的需求,包括有动态组网实体认证的,包括链路自适应可信保持能力,安全威胁精准感知能力,还有网间安全互联,还
- 拥嬉溇涏2022-06-11 05:31:39
- 于拟态网络安全,按照内生安全,动态赋能的思路,将功能等价动态冗余架构及其策略调度和多维动态重构负反馈机制嵌入网络节点,服务平台和应用系统,实现网络的动态防御或者是拟态防御,这是需要重点关注的。第三个接入/组网认证与可信保持,在这里面怎么完成不同用户的接入认证,还有