電子科技大學張小松：衛星互聯網安全最大的挑戰是供應鏈威脅

每經記者 淡忠奎    每經實習記者 劉旭強    每經編輯 楊歡

圖片來源：每經實習記者 劉旭強 攝

“我們的衛星互聯網面臨著供應鏈比原來大大增加的情況，早期的供應商可能覺得我們衛星離地4000公里，無法接觸到，所以它受攻擊是不可能的。在安全上，最多采用通訊加密和接收閥門控制，導致目前的衛星互聯網（面臨）大量的威脅攻擊。”8月24日，在2023CCS成都網絡安全大會開幕式上，電子科技大學網絡空間安全研究院院長張小松談及當下衛星互聯網安全面臨的挑戰。

他在接受《每日經濟新聞》記者采訪時表示，衛星互聯網面臨廣泛的安全威脅，供應鏈是其中的最短板，根據木桶效應，這一環節往往率先被滲透攻擊。

衛星互聯網是全球互聯網的發展重點方向，在2020年衛星互聯網被納入“新基建”范疇后，我國相關產業就開始快速發展。不過，相比衛星制造和發射環節的技術競逐，衛星互聯網的安全問題常被忽視。在張小松看來，隨著低成本的技術鋪展開，大量企業涌入衛星互聯網產業鏈，任何與衛星互聯網有信息交互的企業都有概率發起攻擊，衛星互聯網已經暴露在大面積的安全威脅中。

在運行結構上，張小松將威脅概括為空間段、地面段、用戶段和供應鏈威脅。在技術層面，又可進一步擴展為物理設施威脅、通信鏈路威脅、計算機系統與網絡安全威脅、數據安全威脅、業務應用安全威脅等五大類。

其中，供應鏈環節是最有可能被率先攻擊的。“衛星是個巨復雜系統，供應鏈復雜冗長，上下游企業眾多。任何一個企業出現安全缺陷，都會威脅到整個衛星互聯網。”張小松認為，大企業尚有嚴密的安全管理規范措施，但來自小公司的零部件安全風險就多了。這一定程度上也造成，供應鏈這項最短板往往率先被滲透攻擊。

具體看來，相比后門植入、芯片偽造等硬件安全威脅，來自軟件的安全威脅更為泛濫。為了節省時間，大部分商業軟件或多或少都直接使用開源軟件，而開源軟件基本上不考慮安全性。奇安信集團《2022年中國軟件供應鏈安全分析報告》數據顯示，調研的3354個軟件開發項目中，86.4%的項目存在開源軟件漏洞。1781個軟件項目的源代碼中，發現安全缺陷達264萬個。

“這暴露了我國開發人員水平的參差不齊，并且從一開始就缺乏軟件設計安全意識的培養。”張小松建議，要解決軟件層面的安全威脅，首先要系統地培養開發人員良好的編程習慣，避免可能出現的邏輯漏洞。其次，要輔以檢查手段，通過和測試機構合作，檢查開源軟件是否存在安全缺陷。