编者按:前美国防部首席信息安全官杰克·威尔默、前美国网络司令部副司令查理·摩尔联合发文,分析“金穹”导弹防御系统面临的网络安全威胁,并提出确保该系统网络安全性的措施建议。
文章称,利用天基网络漏洞可能导致系统性中断和任务失败,而“金穹”系统的太空和地面组成部分遭网络攻击威胁却鲜少被审视;如果基础设施被操控、削弱或瘫痪,“金穹”系统可能在冲突中失效,成为理论上完美但实战时崩溃的系统;防空和导弹防御的评估主要侧重于物理性能,网络安全往往被视为后期需求,加密、访问控制和合规性验证等功能被叠加到架构业已固定的系统上,这种方法与现代太空系统和网络威胁格格不入;“金穹”将依赖于紧密耦合的软件定义太空架构,其中天基传感器、中继网络、地面处理管道和指挥控制系统必须精确同步运行,这意味着对手无需开展直接攻击卫星的敌对行动,通过攻击该架构的时序、数据完整性和信任关系就能产生看似无害的异常情况;上述异常行动可能伪装成传感器噪声、校准漂移或操作员失误,使敌方得以采取行动,而防御方却无法确定问题是否存在。
文章提出,必须开展以下四项措施来确保“金穹”系统的网络安全性,包括:一是将网络安全视为核心工程学科而非仅是合规性工作,在系统设计初就与射频、电气、软件和机械工程协同构建网络安全需求,在初步设计评审和关键设计评审阶段对整个系统架构进行网络安全评估;二是认识到冗余并不等同于安全性,确保架构能够检测、隔离并抵御操纵系统的网络攻击,并通过红队演练对手策略、技术和程序以及网络故障注入来开展开发测试和评估;三是将网络空间视为一种非动能能力而非仅是弱点,在“金穹”项目中设立专门用于非动能网络能力的资金;四是确保在轨和地面系统要能够区分环境异常和敌对行为,为网络仪表航空电子设备、经过验证的遥测和安全的更新机制提供采购激励。文章提出,“金穹”系统的崩溃将不会源于其软硬件无法执行既定任务,而是源于领导者认为网络风险可以被延后、通过冗余降低风险或简化为合规性检查清单,当前的架构决策将决定该系统未来坚不可摧还是脆弱不堪;“金穹”系统必须设计成一个集成的数字物理架构,初始就将韧性、网络安全保障和作战优势纳入考量,而非事后添加;“金穹”系统的成败取决于在充满对抗和欺骗的环境中能否可靠运行,区分异常与敌对行为,在压力下维持任务保障,并塑造战场格局而非仅仅被动应对;如果设计得当,“金穹”将在未来几十年内增强威慑力,否则将疲于应对漏洞。
奇安网情局编译有关情况,供读者参考。
“金穹”的网络安全防护
必须是设计选择而非事后补救
2025年,在拉斯维加斯沙漠中一个拥挤的会议厅里,一群打着咖啡因的黑客团队,在笔记本电脑和无线电设备的包围下,攻击并控制了一颗模拟的政府卫星。操作员被锁定,参与者们夺取了功能控制权,并实时改变了有效载荷的运行轨迹。
幸运的是,2025年的黑客攻击只是一次友好的演示。但由先进防御网络能力开发商SIXGEN协助开发的STARPWN夺旗演习却揭示了太空系统是多么容易被渗透和利用。如果平民都能暴露出这样的漏洞,那么美国的对手又能做到什么?这对“金穹”导弹防御系统又意味着什么?
迄今为止,公众对“金穹”的讨论主要集中在高超音速武器、无人机、巡航导弹、机动再入飞行器和天基传感器等方面。然而,针对太空和地面系统的网络攻击威胁却鲜少被审视,这可能会危及数十年来最重要的国防项目之一。
导弹防御体系即便在测试中表现完美,如果其基础设施能够被操控、削弱或瘫痪,仍然可能在冲突中失效。“金穹”系统就有可能沦为理论上完美无缺,但在美国最需要的时候却崩溃的系统。因此,政策制定者和“金穹”项目办公室必须解决一个根本性问题:如何才能最好地保护这道防御屏障免受网络漏洞的侵害?
传统上,防空和导弹防御的评估主要侧重于物理性能:传感器灵敏度、跟踪精度、拦截器运动学和交战时间。然而,网络安全往往被视为后期需求,加密、访问控制和合规性验证等功能被叠加到架构已经固定的系统之上。
这种方法与现代太空系统和网络威胁格格不入。
“金穹”将依赖于紧密耦合的软件定义太空架构。天基传感器、中继网络、地面处理管道和指挥控制系统必须精确同步运行。这种互联互通固然必要,但也存在潜在的安全漏洞,可被对手利用。对手无需直接攻击卫星,而是可以攻击该架构的时序、数据完整性和信任关系,从而产生看似无害的异常情况,而非敌对行动。
太空行动中存在一定程度的不确定性是正常的。辐射效应、温度变化、轨道动力学和间歇性连接等因素都会造成异常行为。但恶意影响可能伪装成传感器噪声、校准漂移或操作员失误,使敌方得以采取行动,而防御方却无法确定问题是否存在。
对敌方而言,其目标未必是彻底摧毁导弹防御系统,而是在导弹防御系统时间安排最为动态且对时间最为敏感的关键时刻,诱发其犹豫、错位或延误。在分秒必争的环境中,这可能决定任务的成败。
过去一年,SIXGEN与民用、商业和国家安全航天领域开展合作,进行任务支持、红队演练、研究和作战演习,重点关注真实的轨道网络攻击面。研究结果显示,利用天基网络漏洞可能导致系统性中断和任务失败。
因此,“金穹”项目必须采取以下措施。
首先,网络安全必须被视为一门核心工程学科,而非仅仅是合规性工作。网络安全需求应由总工程师负责,并在系统设计之初就与射频、电气、软件和机械工程协同构建。此外,项目执行官和美国导弹防御局应要求在初步设计评审和关键设计评审阶段进行网络安全评估,评估对象不仅包括单个组件,还包括整个系统架构。
其次,必须认识到冗余并不等同于安全性。虽然冗余至关重要,但“金穹”工程师必须假定攻击者会试图操纵系统。架构必须能够检测、隔离并抵御此类攻击。此外,作为开发测试和评估的一部分,这种韧性必须通过红队演练对手策略、技术和程序以及网络故障注入来测试。
再次,必须将网络空间视为一种非动能能力,而不仅仅是一种弱点。网络赋能的电子战和电子战赋能的网络作战是塑造战场态势的真正工具,其作用范围涵盖作战行动的前后方。“金穹”投资组合应包含专门用于非动能网络能力的资金,而不是假定这些能力将由“其他机构”提供或由现有的网络作战部队承担。
最后,在轨和地面系统需要能够区分环境异常和敌对行为。模糊性应被视为信号,而非噪声。这种方法需要为网络仪表航空电子设备、经过验证的遥测和安全的更新机制提供采购激励,而这些能力往往会在预算紧缩时被削减,因为它们的价值无法立即体现在性能指标中。
归根结底,“金穹”系统不会因为其硬件或软件无法执行既定任务而崩溃。它的崩溃源于领导者认为网络风险可以被延后、通过冗余降低风险或简化为合规性检查清单。今天做出的架构决策将决定系统在未来几十年内是具有韧性还是脆弱不堪。
“金穹”必须设计成一个集成的数字物理架构,从一开始就将韧性、网络安全保障和作战优势纳入考量,而不是事后添加。其成功与否取决于系统在充满对抗和欺骗的环境中能否自信地运行——区分异常与敌方行为,在压力下维持任务保障,并塑造战场格局而非仅仅被动应对。如果设计得当,“金穹”将在未来几十年内增强威慑力。如果设计不当,我们将在未来几十年里疲于应对其漏洞。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
