在11月初举办的“2019年卫星网络安全峰会(CYBERSAT 19)”上,从去年底开始负责美国军方商业卫星通信服务采购职能的美国空军商业卫星通信办公室(Air Force Commercial Satellite Communications Office,AFCSCO)透露,美国防部将启动旨在全面提升商业卫星通信服务商网络安全水平的“信息资产预评估(IA Pre)”项目,未来期望与美国防部做生意的此类厂商将要求事先获得表明它们已符合美国防部网络安全标准的第三方认证。

对于美国防部即将实施的这个新要求,美国卫星通信行业组织(SatCom Industry Group)负责人安德鲁.德尤瓦(Andrew D’Uva)认为,这个要求的目标是为了确保美国军方未来购买的商业卫星通信服务“基本上与美国军方自有卫星通信服务处于相同的网络安全级别”,从而让美国军方可以无缝地将商业卫星通信服务集成到美国军用卫星通信架构中,并向美军作战单位提供更好的弹性和通信服务质量。此外,形成一个已经过第三方安全认证的商业卫星通信服务商池子,也将令美国防部在需要时可快速地采购这些能力。德尤瓦表示了对“信息资产预评估”项目的欢迎,他认为这将令愿意投资于网络安全建设的商业卫星通信服务商获得新的优势。

目前美国政府的做法是允许商业卫星通信服务行业自行开展安全评估和认证,但并未对行业认证的效果进行检查,德尤瓦认为卫星网络安全“只是个书面游戏”。德尤瓦指出,“信息资产预评估”项目将要求商业卫星通信服务商在其IT系统实施由美国国家标准与技术学会(NIST)《特别出版物800-53(SP 800-53)》中规定的最高安全级别控制措施,此外还需要增加专门针对太空系统的安全控制。

美国军方对其潜在对手可能通过网络攻击来瘫痪商业卫星通信服务的担忧与日俱增,这也反映在为美国政府提供太空工程咨询的非营利性组织美国宇航公司(Aerospace Corp)近期的一份报告中,该报告认为“商业卫星不具备与美国防部或美国政府卫星那样的网络安全治理标准,各厂商也没有实施标准化的网络安全保障措施”。“信息资产预评估”项目是美国防部旨在引入第三方网络安全认证的新动作,美国防部旨在对国防承包商进行网络安全等级划分的“网络安全成熟度模型认证(Cybersecurity Maturity Model Certification,CMMC)”目前正处于公开意见征集阶段,并将于明年正式推出。

声明:本文来自国际安全简报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。