中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）中國(guó)聯(lián)通基于

5G/5G-A網(wǎng)絡(luò)的天地一體化安全白皮書（2023）中國(guó)聯(lián)通研究院中國(guó)聯(lián)通網(wǎng)絡(luò)安全研究院下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國(guó)家工程研究中心2023

年

11

月中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）版權(quán)聲明本報(bào)告版權(quán)屬于中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司研究院，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其他方式使用本報(bào)告文字或者觀點(diǎn)的，應(yīng)注明“來(lái)源：中國(guó)聯(lián)通研究院”。違反上述聲明者，本院將追究其相關(guān)法律責(zé)任。中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）目錄前

言

....................................................

1一、

天地一體化網(wǎng)絡(luò)發(fā)展機(jī)遇

..............................

31.1

全球態(tài)勢(shì)

...........................................

31.2

政策驅(qū)動(dòng)

...........................................

41.3

業(yè)務(wù)需求

...........................................

5二、

基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)架構(gòu)

....................

5三、

基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)安全層級(jí)

................

7四、

基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)新挑戰(zhàn)

..................

8五、

基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)典型安全風(fēng)險(xiǎn)及安全能力需求.........................................................

95.1

基礎(chǔ)設(shè)施層安全風(fēng)險(xiǎn)及安全能力需求

...................105.1.1

物理?yè)p毀

.......................................

105.1.2

電磁干擾

.......................................

115.1.3

設(shè)備內(nèi)生安全功能增強(qiáng)

...........................

125.2

網(wǎng)絡(luò)功能層安全風(fēng)險(xiǎn)及安全能力需求

...................135.2.1

認(rèn)證授權(quán)安全

...................................

135.2.2

數(shù)據(jù)傳輸安全

...................................

165.2.3

網(wǎng)絡(luò)隔離安全

...................................

17中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）5.2.4

網(wǎng)絡(luò)邊界安全

...................................

175.3

支撐管理層安全風(fēng)險(xiǎn)及安全能力需求

...................185.3.1

遠(yuǎn)程運(yùn)維安全

...................................

185.3.2

統(tǒng)一安全管理

...................................

195.4

數(shù)據(jù)應(yīng)用層安全風(fēng)險(xiǎn)及安全能力需求

...................225.4.1

數(shù)據(jù)全生命周期安全管理需求

.....................

22六、

未來(lái)展望

...........................................

25附錄

A：縮略語(yǔ)

...........................................26參考文獻(xiàn)

................................................

27中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）前

言由于通信技術(shù)的不斷演進(jìn)和人類活動(dòng)范圍的不斷擴(kuò)大，僅依賴現(xiàn)有地面網(wǎng)絡(luò)難以滿足網(wǎng)絡(luò)空間極大擴(kuò)展的通信需求。而隨著衛(wèi)星通信技術(shù)的發(fā)展，衛(wèi)星通信網(wǎng)絡(luò)與

5G

地面通信網(wǎng)絡(luò)在體制和技術(shù)上已基本具備融合的條件?；?/p>

5G/5G-A

網(wǎng)絡(luò)的天地一體化網(wǎng)絡(luò)是以地基網(wǎng)絡(luò)為基礎(chǔ)，天基網(wǎng)絡(luò)為補(bǔ)充和延伸，借助

5G

系統(tǒng)的技術(shù)框架，構(gòu)建的全球無(wú)縫立體覆蓋的信息通信網(wǎng)絡(luò)，實(shí)現(xiàn)

5G

通信系統(tǒng)對(duì)空、天、地、海多場(chǎng)景的統(tǒng)一服務(wù)，具有重要的經(jīng)濟(jì)效益和社會(huì)效益。全球領(lǐng)先國(guó)家無(wú)不將天地一體化網(wǎng)絡(luò)作為強(qiáng)化本國(guó)競(jìng)爭(zhēng)力的戰(zhàn)略方向，我國(guó)也陸續(xù)推出一系列政策，引導(dǎo)天地一體化產(chǎn)業(yè)發(fā)展。天地一體化產(chǎn)業(yè)發(fā)展勢(shì)在必行，天地一體化安全更是重中之重，天地一體化安全是全球面臨的共同問(wèn)題，維護(hù)天地一體化安全是國(guó)際社會(huì)的共同責(zé)任，需要倡導(dǎo)開放合作的網(wǎng)絡(luò)安全理念，客觀看待和應(yīng)對(duì)天地一體化安全風(fēng)險(xiǎn)，加強(qiáng)對(duì)話合作，共同構(gòu)建和平、安全、開放、合作的天地一體化網(wǎng)絡(luò)空間。本白皮書介紹了天地一體化網(wǎng)絡(luò)發(fā)展現(xiàn)狀和基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)架構(gòu)，通過(guò)天地一體化網(wǎng)絡(luò)新特征來(lái)理解安全新挑戰(zhàn)，并圍繞安全措施實(shí)施和安全能力建設(shè)的對(duì)象梳理了基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)安全層級(jí)，逐個(gè)層級(jí)分析了典型安全風(fēng)險(xiǎn)，進(jìn)而提出相應(yīng)的安全能力需求，以期為天地一體化體系建設(shè)提供安全方面的前瞻性分析。1中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）本白皮書目標(biāo)讀者包括但不限于移動(dòng)運(yùn)營(yíng)商、衛(wèi)星運(yùn)營(yíng)商、通信設(shè)備提供商、安全產(chǎn)品提供商、安全服務(wù)提供商、系統(tǒng)集成商，以及其他關(guān)心天地一體化網(wǎng)絡(luò)安全相關(guān)的機(jī)構(gòu)和個(gè)人。編寫單位：中國(guó)聯(lián)通研究院、中國(guó)聯(lián)通網(wǎng)絡(luò)安全研究院、下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國(guó)家工程研究中心、中興通訊股份有限公司、恒安嘉新（北京）科技股份公司、北京神州綠盟科技有限公司編委：中國(guó)聯(lián)通研究院、中國(guó)聯(lián)通網(wǎng)絡(luò)安全研究院、下一代互聯(lián)網(wǎng)寬帶業(yè)務(wù)應(yīng)用國(guó)家工程研究中心：葉曉煜、魏進(jìn)武、徐雷、張曼君、王蘊(yùn)實(shí)、謝中懷、謝澤鋮、王姍姍、陸勰、姚戈、程筱彪、侯捷、傅瑜、郭新海、陶冶、賈寶軍、李強(qiáng)中興通訊股份有限公司：亓娟，金友興，閆新成恒安嘉新（北京）科技股份公司：高華、袁堂嶺、侯天齊北京神州綠盟科技有限公司：湯旭、彭超、雷新、封宏濤2中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）一、天地一體化網(wǎng)絡(luò)發(fā)展機(jī)遇1.1

全球態(tài)勢(shì)隨著天地一體化網(wǎng)絡(luò)軍用價(jià)值的廣泛關(guān)注和商業(yè)價(jià)值的不斷提升，全球各國(guó)愈發(fā)重視天地一體化網(wǎng)絡(luò)的戰(zhàn)略地位及產(chǎn)業(yè)建設(shè)，全球在軌衛(wèi)星數(shù)量穩(wěn)步增長(zhǎng)，且呈現(xiàn)低軌化、小體量化發(fā)展趨勢(shì)。美國(guó)一直重視太空領(lǐng)域的發(fā)展，早在

2015

年美國(guó)

SpaceX

公司就啟動(dòng)了全球商業(yè)衛(wèi)星互聯(lián)網(wǎng)代表項(xiàng)目

StarLink

項(xiàng)目，宣布計(jì)劃在太空搭建由約

1.2

萬(wàn)顆衛(wèi)星組成的“星鏈”網(wǎng)絡(luò)提供互聯(lián)網(wǎng)服務(wù)。2018年

3

月美國(guó)政府推出《國(guó)家航天戰(zhàn)略》，通過(guò)部署多個(gè)衛(wèi)星星座計(jì)劃，推進(jìn)低軌通信衛(wèi)星組網(wǎng)工程建設(shè)，力爭(zhēng)主導(dǎo)全球低軌寬帶衛(wèi)星市場(chǎng)。2022

年

9

月，美國(guó)聯(lián)邦通信委員會(huì)（FCC）向電信服務(wù)提供商

LynkGlobal

頒發(fā)衛(wèi)星通信服務(wù)（satellite-to-phone

service）的商業(yè)許可證，使其可以在全球范圍內(nèi)提供手機(jī)和衛(wèi)星的雙向通信。在此基礎(chǔ)上，SpaceX、AST

SpaceMobile、Lynk

等公司都開始推動(dòng)與運(yùn)營(yíng)商的合作，推出衛(wèi)星直連手機(jī)、衛(wèi)星通話等業(yè)務(wù)。地面終端廠商也積極推出各種衛(wèi)星應(yīng)用，如蘋果手機(jī)與

GlobalStar

合作提供的緊急

SOS技術(shù)。歐洲政府也積極推動(dòng)空天地一體化網(wǎng)絡(luò)的部署。2022

年

11

月，歐洲航天局宣布未來(lái)

3

年投

169

億歐元，旨在加強(qiáng)其在太空的戰(zhàn)略自主權(quán)。2023

年

2

月，為擺脫歐洲大陸對(duì)

StarLink

系統(tǒng)的依賴，歐盟決定打造屬于歐洲的寬帶衛(wèi)星網(wǎng)，即

IRIS2

衛(wèi)星網(wǎng)絡(luò)，為各國(guó)政府提3中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）供彈性和安全的連接解決方案，以保護(hù)歐洲公民，并將為歐洲經(jīng)濟(jì)和社會(huì)的利益提供商業(yè)服務(wù)。1.2

政策驅(qū)動(dòng)我國(guó)政府高度重視空天地一體化網(wǎng)絡(luò)建設(shè)，出臺(tái)了一系列政策和措施，對(duì)行業(yè)發(fā)展起到了重要的指示意義。2017

年中央網(wǎng)信辦牽頭規(guī)劃面向民用的低軌衛(wèi)星互聯(lián)網(wǎng)星座，提出加強(qiáng)太空領(lǐng)域統(tǒng)籌，推動(dòng)軍民融合發(fā)展。2020

年首次將衛(wèi)星互聯(lián)網(wǎng)納入新基建范疇。工信部《關(guān)于政協(xié)十三屆全國(guó)委員會(huì)第三次會(huì)議第

3776

提案答復(fù)的函》提出推進(jìn)基于

5G

的衛(wèi)星互聯(lián)網(wǎng)總體技術(shù)要求等標(biāo)準(zhǔn)制定，推動(dòng)

5G

與衛(wèi)星通信融合應(yīng)用。2021

年

3

月，《“十四五”規(guī)劃及

2035

年愿景目標(biāo)綱要》中提出建設(shè)高速泛在、天地一體、集成互聯(lián)、安全高效的信息基礎(chǔ)設(shè)施，打造全球覆蓋、高速運(yùn)行的通信、導(dǎo)航、遙感空間基礎(chǔ)設(shè)施體系。2021

年

11

月，工信部《“十四五”信息通信行業(yè)發(fā)展規(guī)劃》中強(qiáng)調(diào)加強(qiáng)衛(wèi)星通信頂層設(shè)計(jì)和統(tǒng)籌布局，推動(dòng)高軌衛(wèi)星與中低軌衛(wèi)星協(xié)調(diào)發(fā)展。推進(jìn)衛(wèi)星通信系統(tǒng)與地面信息通信系統(tǒng)深度融合，初步形成覆蓋全球、天地一體的信息網(wǎng)絡(luò)。2023

年

2

月，工信化部印發(fā)《關(guān)于電信設(shè)備進(jìn)網(wǎng)許可制度若干改革舉措的通告》，對(duì)衛(wèi)星互聯(lián)網(wǎng)設(shè)備、功能虛擬化設(shè)備，按照《電信條例》《電信設(shè)備進(jìn)網(wǎng)管理辦法》等規(guī)定，納入現(xiàn)行進(jìn)網(wǎng)許可管理。天地一體化網(wǎng)絡(luò)建設(shè)對(duì)我國(guó)發(fā)展有著極其重要的意義?！耙粠б宦贰睉?zhàn)略背景下，現(xiàn)有的網(wǎng)絡(luò)覆蓋面積無(wú)法滿足全球全域全時(shí)信息服務(wù)需求。而隨著各國(guó)競(jìng)爭(zhēng)場(chǎng)景由地面轉(zhuǎn)向太空，太空資源的爭(zhēng)奪愈加4中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）激烈，衛(wèi)星軌位、空間通信頻譜等不可再生資源日益稀缺。因此，快速推進(jìn)天地一體化網(wǎng)絡(luò)建設(shè)，不僅有利于我國(guó)對(duì)外政策的持續(xù)開展，更有利于我國(guó)在愈發(fā)復(fù)雜的國(guó)際形勢(shì)中攻克空間科技的技術(shù)高地。1.3

業(yè)務(wù)需求天地一體化網(wǎng)絡(luò)對(duì)比傳統(tǒng)地面網(wǎng)絡(luò)，具有覆蓋范圍廣、受環(huán)境影響小、容災(zāi)能力強(qiáng)等顯著優(yōu)點(diǎn)，能夠提供全球通信、物聯(lián)網(wǎng)、導(dǎo)航、定位及遙感等多種業(yè)務(wù)能力。從行業(yè)應(yīng)用角度來(lái)說(shuō)，天地一體化網(wǎng)絡(luò)可在交通、環(huán)保、農(nóng)業(yè)等多個(gè)行業(yè)領(lǐng)域應(yīng)用，提供大型交通工具（航空及航海）寬帶通信、車聯(lián)網(wǎng)通信、遠(yuǎn)洋作業(yè)、監(jiān)控巡檢等典型行業(yè)應(yīng)用。從公眾業(yè)務(wù)角度來(lái)說(shuō)，天地一體化網(wǎng)絡(luò)可以滿足特定場(chǎng)景公眾通信需求，比如應(yīng)急救災(zāi)、深度驢友、野外作業(yè)、牧民放牧和出境漫游等。短期看公眾場(chǎng)景受限于技術(shù)、成本、性能等多重因素，應(yīng)用場(chǎng)景有限，但隨著手機(jī)直連和低軌衛(wèi)星互聯(lián)網(wǎng)的加速落地，有望創(chuàng)造公眾市場(chǎng)消費(fèi)新空間

。二、基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)架構(gòu)基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)按照組網(wǎng)方式的不同，主要可分為“透明轉(zhuǎn)發(fā)”與“再生轉(zhuǎn)發(fā)”

兩種網(wǎng)絡(luò)架構(gòu)。“透明轉(zhuǎn)發(fā)”組網(wǎng)方案為當(dāng)前成熟方案，如圖

1

所示，終端可以連接衛(wèi)星，由衛(wèi)星做為中繼節(jié)點(diǎn)，改變上行射頻信號(hào)的頻率載波，并對(duì)其進(jìn)行濾波和放大，將信號(hào)傳輸接入地面網(wǎng)絡(luò)，但所負(fù)載的信號(hào)波形不發(fā)生變化。地面信關(guān)站透?jìng)餍盘?hào)，由地面蜂窩網(wǎng)絡(luò)為終端提供完整的網(wǎng)絡(luò)功能和應(yīng)用服務(wù)。目前主要應(yīng)用于于信關(guān)站輻射范圍內(nèi)的偏5中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）遠(yuǎn)地區(qū)個(gè)人用戶應(yīng)急通信、無(wú)地面覆蓋地區(qū)補(bǔ)充覆蓋等場(chǎng)景。但受地理因素或者政治因素的限制，部分地區(qū)無(wú)法部署信關(guān)站，無(wú)法實(shí)現(xiàn)全球覆蓋?！霸偕D(zhuǎn)發(fā)”組網(wǎng)方案目前尚處于探索論證階段。如圖

2

所示，蜂窩設(shè)備與衛(wèi)星平臺(tái)一體，可再生模式的衛(wèi)星搭載天基接入網(wǎng)甚至天基核心網(wǎng)，具有一定的星上處理能力。終端通過(guò)天基接入網(wǎng)，甚至天基核心網(wǎng)接入地面網(wǎng)絡(luò)。天基網(wǎng)絡(luò)可結(jié)合通信衛(wèi)星的載荷、能力、資源進(jìn)行網(wǎng)絡(luò)功能裁剪和優(yōu)化。天基接入網(wǎng)可以提供接入網(wǎng)部分功能（DU）或接入網(wǎng)全部功能（CU+DU）。天基核心網(wǎng)可以提供

5G

核心網(wǎng)的全部網(wǎng)絡(luò)功能，包括

AMF、SMF、PCF、UDM、AUSF、UPF、MEC

等的網(wǎng)絡(luò)功能；也可以提供

5G

核心網(wǎng)的部分網(wǎng)絡(luò)功能，例如僅提供

UPF的網(wǎng)絡(luò)功能。再生轉(zhuǎn)發(fā)模式下，終端通過(guò)天基接入網(wǎng)、天基核心網(wǎng)接入地面網(wǎng)絡(luò)，可在無(wú)信關(guān)站地區(qū)通過(guò)星間鏈路進(jìn)行轉(zhuǎn)發(fā)，實(shí)現(xiàn)靈活路由全球無(wú)縫覆蓋。圖

1

基于

5G/5G-A

的天地一體化“透明轉(zhuǎn)發(fā)”組網(wǎng)方案6中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）圖

2

基于

5G/5G-A

的天地一體化“再生轉(zhuǎn)發(fā)”組網(wǎng)方案三、基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)安全層級(jí)圍繞基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)安全措施實(shí)施和安全能力建設(shè)的對(duì)象，可以將天地一體化網(wǎng)絡(luò)安全劃分為

4

個(gè)層級(jí)，包括

L1層基礎(chǔ)設(shè)施層安全、L2

層網(wǎng)絡(luò)功能層安全、L3

層支撐管理層安全和L4

層數(shù)據(jù)應(yīng)用層安全。(1)

基礎(chǔ)設(shè)施層安全天地一體化網(wǎng)絡(luò)基礎(chǔ)設(shè)施層安全主要保障終端、地面移動(dòng)蜂窩網(wǎng)絡(luò)設(shè)備（地基接入網(wǎng)、地基核心網(wǎng)等）、星上移動(dòng)蜂窩網(wǎng)絡(luò)設(shè)備（天基接入網(wǎng)、天基核心網(wǎng)等）、信關(guān)站、衛(wèi)星等天地一體化網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全。(2)

網(wǎng)絡(luò)功能層安全網(wǎng)絡(luò)功能層安全主要包括在天地一體化網(wǎng)絡(luò)基礎(chǔ)設(shè)施上部署的網(wǎng)絡(luò)安全功能和實(shí)施的安全措施，用來(lái)保障空天地一體化網(wǎng)絡(luò)自身安全運(yùn)營(yíng)需求。7中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）(3)

支撐管理層安全支撐管理層安全主要對(duì)天地一體化網(wǎng)絡(luò)設(shè)備、人員、流程等進(jìn)行安全管理，滿足行業(yè)安全監(jiān)管要求?？梢酝ㄟ^(guò)安全的運(yùn)維管理提高天地一體化網(wǎng)絡(luò)的運(yùn)行質(zhì)量，通過(guò)建設(shè)安全系統(tǒng)對(duì)天地一體化網(wǎng)絡(luò)安全賦能，實(shí)現(xiàn)設(shè)備資產(chǎn)清晰、網(wǎng)絡(luò)運(yùn)行穩(wěn)定有序、事件處理及時(shí)合理。(4)

數(shù)據(jù)應(yīng)用層安全天地一體化數(shù)據(jù)通常包括與用戶相關(guān)的身份標(biāo)識(shí)信息、網(wǎng)絡(luò)位置信息、業(yè)務(wù)數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)備信息、管理運(yùn)營(yíng)等網(wǎng)絡(luò)資產(chǎn)和管理數(shù)據(jù)。數(shù)據(jù)應(yīng)用層安全主要是保障數(shù)據(jù)在天地一體化網(wǎng)絡(luò)和系統(tǒng)內(nèi)部采集、處理、存儲(chǔ)、共享和銷毀等全生命周期的安全，并根據(jù)上級(jí)監(jiān)管要求，履行數(shù)據(jù)安全保護(hù)職責(zé)。四、基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)新挑戰(zhàn)基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)相比傳統(tǒng)地面移動(dòng)通信網(wǎng)絡(luò)，在業(yè)務(wù)模式和網(wǎng)絡(luò)部署上都發(fā)生很大變化，呈現(xiàn)出物理環(huán)境復(fù)雜化、網(wǎng)絡(luò)架構(gòu)異構(gòu)化、多協(xié)議棧融合化和跨域互聯(lián)規(guī)?；男绿卣鳎瑸楦靼踩珜蛹?jí)帶來(lái)新的安全挑戰(zhàn)。(1)

物理環(huán)境復(fù)雜化天地一體化網(wǎng)絡(luò)部署的物理環(huán)境進(jìn)一步復(fù)雜化與開放化，網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨自然環(huán)境破壞、信號(hào)干擾、星上安全防護(hù)困難等挑戰(zhàn)，影響設(shè)備可用性。(2)

網(wǎng)絡(luò)架構(gòu)異構(gòu)化天地一體化網(wǎng)絡(luò)跨越陸、海、空、天多層級(jí)建設(shè)形成融合網(wǎng)絡(luò)，8中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）對(duì)網(wǎng)絡(luò)安全要求進(jìn)一步提高，需要部署適用于融合網(wǎng)絡(luò)的安全功能，抵抗網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。(3)

系統(tǒng)協(xié)議融合化天地一體化網(wǎng)絡(luò)多系統(tǒng)多協(xié)議棧融合，需要對(duì)衛(wèi)星部署網(wǎng)絡(luò)和地面部署網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理，實(shí)現(xiàn)星地融合、協(xié)同聯(lián)動(dòng)的安全運(yùn)維和防護(hù)。(4)

跨域互聯(lián)規(guī)?；斓匾惑w化多域異構(gòu)互聯(lián)模式下，加劇數(shù)據(jù)安全風(fēng)險(xiǎn)，需要對(duì)天地一體化網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行全生命周期安全管理，根據(jù)上級(jí)監(jiān)管要求，履行數(shù)據(jù)安全保護(hù)職責(zé)。五、基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)典型安全風(fēng)險(xiǎn)及安全能力需求多樣化的場(chǎng)景、新型的接入方式以及融合的網(wǎng)絡(luò)架構(gòu)給天地一體化網(wǎng)絡(luò)安全帶來(lái)了新的風(fēng)險(xiǎn)和需求。本章節(jié)進(jìn)一步分析基于

5G/5G-A的天地一體化網(wǎng)絡(luò)在基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)功能層、支撐管理層、數(shù)據(jù)應(yīng)用層各安全層級(jí)的典型安全風(fēng)險(xiǎn)和安全能力需求。9中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）圖

3

基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)典型安全風(fēng)險(xiǎn)及需求全景圖5.1

基礎(chǔ)設(shè)施層安全風(fēng)險(xiǎn)及安全能力需求天地一體化網(wǎng)絡(luò)星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)比傳統(tǒng)地面移動(dòng)蜂窩網(wǎng)絡(luò)基礎(chǔ)設(shè)施，面臨部署物理環(huán)境更復(fù)雜、通信環(huán)境更開放等問(wèn)題，存在物理?yè)p毀和信號(hào)干擾等安全風(fēng)險(xiǎn)。并且由于衛(wèi)星載荷能力有限，傳統(tǒng)安全防護(hù)系統(tǒng)難以部署，需要增強(qiáng)星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施自身安全防護(hù)能力，具有設(shè)備內(nèi)生安全增強(qiáng)的安全需求。5.1.1物理?yè)p毀(1)安全風(fēng)險(xiǎn)分析天地一體化星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施長(zhǎng)期處于惡劣的物理環(huán)境中，容易受到宇宙射線、大氣層電磁信號(hào)、太陽(yáng)黑子爆發(fā)等不可控的自然因素影響，遭受物理破壞，對(duì)自身可用性造成嚴(yán)重的威脅。另外，由于天地一體化網(wǎng)絡(luò)在軍事領(lǐng)域的重要作用，天地一體化網(wǎng)絡(luò)基礎(chǔ)設(shè)施也會(huì)成為敵方的重點(diǎn)打擊對(duì)象，存在遭受武器攻擊的風(fēng)險(xiǎn)。10中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）(2)安全能力需求星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施遭遇惡劣空間環(huán)境或面臨人為的惡意攻擊，空間通信節(jié)點(diǎn)、通信鏈路等發(fā)生故障時(shí)，需要具備維持自身功能的能力，最主要的抗損毀策略是網(wǎng)絡(luò)基礎(chǔ)設(shè)施冗余備份，在分散化星座設(shè)計(jì)的衛(wèi)星上部署備用網(wǎng)絡(luò)基礎(chǔ)設(shè)施，防止單顆衛(wèi)星遭受自然因素破壞或武器攻擊后，網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信鏈路徹底失效。5.1.2

電磁干擾(1)安全風(fēng)險(xiǎn)分析由于通信衛(wèi)星處于復(fù)雜的電磁環(huán)境中，傳輸鏈路信號(hào)容易遭受大氣層電磁信號(hào)、宇宙射線等自然電磁干擾或人為惡意電磁信號(hào)的干擾，導(dǎo)致正常的數(shù)據(jù)傳輸過(guò)程受到影響，甚至發(fā)生中斷。信號(hào)干擾主要包括欺騙干擾和壓制干擾兩種形式實(shí)現(xiàn)。欺騙干擾主要通過(guò)模擬偽造等方式誘導(dǎo)用戶端做出錯(cuò)誤判斷。壓制干擾主要通過(guò)同頻段大功率噪聲信號(hào)干擾，導(dǎo)致信噪比降低，使通信系統(tǒng)降低或者失去可用性。(2)安全能力需求由于天地一體化通信節(jié)點(diǎn)、通信鏈路面臨自然的電磁干擾或人為電磁攻擊風(fēng)險(xiǎn)。應(yīng)當(dāng)合理應(yīng)用多種抗干擾技術(shù)，提升通信鏈路的實(shí)際抗干擾能力。目前抗干擾技術(shù)包括跳頻調(diào)制和擴(kuò)頻調(diào)制技術(shù)、指紋鑒別與角度鑒別技術(shù)、點(diǎn)波束技術(shù)及自適應(yīng)波束形成技術(shù)、猝發(fā)通信技術(shù)和認(rèn)證加密技術(shù)。實(shí)際部署中可以通過(guò)部署檢測(cè)和定位干擾系統(tǒng)或者網(wǎng)絡(luò)設(shè)備自身增強(qiáng)抗干擾能力來(lái)實(shí)現(xiàn)。11中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）5.1.3

設(shè)備內(nèi)生安全功能增強(qiáng)(1)安全風(fēng)險(xiǎn)分析由于衛(wèi)星載荷能力有限，星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施電源供電等方面存在局限性，傳統(tǒng)防火墻、入侵檢測(cè)等安全系統(tǒng)難以部署在衛(wèi)星上，星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨比地面網(wǎng)絡(luò)更加嚴(yán)峻的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，一旦被黑客攻擊，將直接影響設(shè)備可用性，進(jìn)而影響天地一體化網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。(2)安全能力需求星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施需要具備設(shè)備內(nèi)生的安全增強(qiáng)功能，提供基礎(chǔ)設(shè)施層主動(dòng)防御能力，建議滿足下面幾個(gè)方面的能力：

可信啟動(dòng)能力星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施具備可信啟動(dòng)能力，在啟動(dòng)后進(jìn)行安全自檢，保證設(shè)備自身的安全。

遠(yuǎn)程確認(rèn)能力星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施啟動(dòng)后，需要地面二次確認(rèn)才能繼續(xù)加載軟件和執(zhí)行。

訪問(wèn)控制能力星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施支持網(wǎng)絡(luò)白名單功能，只允許合法的地面站接入到星上網(wǎng)絡(luò)。

安全態(tài)勢(shì)感知能力為保障天地一體化融合網(wǎng)絡(luò)安全，需要安全態(tài)勢(shì)感知組件收集衛(wèi)星網(wǎng)絡(luò)星座運(yùn)控鏈路、饋電鏈路、用戶鏈路及地面鏈路所涉及的訪問(wèn)主體和客體設(shè)備可信單元的態(tài)勢(shì)信息。星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施需要支持收12中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）集設(shè)備運(yùn)行狀態(tài)及所處環(huán)境信息，并將態(tài)勢(shì)信息進(jìn)行存儲(chǔ)與記錄，提供威脅情報(bào)源進(jìn)行分類運(yùn)算。由于星上

UPF

既有可能成為主體訪問(wèn)衛(wèi)星資源發(fā)送數(shù)據(jù)，也可能成為客體被星上接入網(wǎng)訪問(wèn)，建議

UPF

需要內(nèi)置安全態(tài)勢(shì)組件。

安全防護(hù)能力星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施需要支持內(nèi)置防火墻和內(nèi)置抗

DDoS

功能，對(duì)于設(shè)備本身進(jìn)行主動(dòng)的安全防護(hù)。由于攻擊星鏈?zhǔn)侄我杂脩魝?cè)發(fā)大包造成衛(wèi)星鏈路癱瘓為主，內(nèi)置防火墻和內(nèi)置抗

DDoS

功能可以減輕衛(wèi)星上的算力消耗與內(nèi)部傳輸壓力。但是由于衛(wèi)星空間、電力、算力均有限，難以像地面網(wǎng)絡(luò)一樣開展全面的安全防護(hù)，考慮提供輕量級(jí)的DDoS

攻擊檢測(cè)方法。也可以構(gòu)建無(wú)監(jiān)督的、受流量特性訓(xùn)練的神經(jīng)網(wǎng)絡(luò)（AI）來(lái)識(shí)別攻擊流量，實(shí)現(xiàn)抗

DDos

和防火墻的功能。5.2

網(wǎng)絡(luò)功能層安全風(fēng)險(xiǎn)及安全能力需求天地一體化網(wǎng)絡(luò)跨越陸、海、空、天多層級(jí)建設(shè)形成融合網(wǎng)絡(luò)，面臨海量多源終端接入、傳輸信道開放變化、跨域網(wǎng)元互聯(lián)、網(wǎng)絡(luò)資源共享、網(wǎng)絡(luò)邊界增多等問(wèn)題。需要重點(diǎn)關(guān)注天地一體化場(chǎng)景下的認(rèn)證鑒權(quán)安全、數(shù)據(jù)傳輸安全、網(wǎng)絡(luò)資源共享安全和網(wǎng)絡(luò)邊界安全。5.2.1

認(rèn)證授權(quán)安全(1)安全風(fēng)險(xiǎn)分析天地一體化網(wǎng)絡(luò)廣覆蓋、異構(gòu)化、拓?fù)鋾r(shí)變特性下，對(duì)驗(yàn)證通信節(jié)點(diǎn)、訪問(wèn)身份、共享資源的真實(shí)性的安全需求進(jìn)一步提高。天地一體化網(wǎng)絡(luò)相比傳統(tǒng)網(wǎng)絡(luò)具有更廣的覆蓋范圍，需要支撐海量多源終端13中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）隨時(shí)隨地?zé)o縫安全接入異構(gòu)融合網(wǎng)絡(luò)，而天基節(jié)點(diǎn)資源受限，存在認(rèn)證擁塞安全風(fēng)險(xiǎn)。另外，衛(wèi)星節(jié)點(diǎn)長(zhǎng)期運(yùn)行在暴露的空間軌道，且拓?fù)渲芷谛愿叨葎?dòng)態(tài)變化，攻擊者更易假冒、劫持合法終端或網(wǎng)絡(luò)節(jié)點(diǎn)，需要加強(qiáng)跨域互聯(lián)網(wǎng)元的認(rèn)證鑒權(quán)。同時(shí)，多運(yùn)營(yíng)方融合組網(wǎng)場(chǎng)景下，還需要滿足多方互信需求。建議綜合考慮通信節(jié)點(diǎn)安全等級(jí)、業(yè)務(wù)安全需求和系統(tǒng)計(jì)算處理能力，針對(duì)不同業(yè)務(wù)場(chǎng)景下不同對(duì)象的差異化安全認(rèn)證需求，選擇適用的認(rèn)證鑒權(quán)技術(shù)，保障天地一體化網(wǎng)絡(luò)安全。(2)安全能力需求天地一體化網(wǎng)絡(luò)廣覆蓋場(chǎng)景下，終端接入認(rèn)證需要滿足海量隨機(jī)接入、低時(shí)延、切換頻繁等需求，還需要考慮資源受限的天基節(jié)點(diǎn)對(duì)認(rèn)證消息的處理能力?，F(xiàn)有對(duì)于終端的接入認(rèn)證算法普遍資源開銷較大，建議對(duì)于天地一體化終端和安全等級(jí)要求不高的節(jié)點(diǎn)，在保證安全性的基礎(chǔ)上，應(yīng)用輕量級(jí)接入認(rèn)證技術(shù)，既可以滿足接入認(rèn)證安全需求，又可以抵御認(rèn)證擁塞安全風(fēng)險(xiǎn)。輕量級(jí)認(rèn)證技術(shù)可以利用經(jīng)典密碼機(jī)制，優(yōu)化已有的加密算法結(jié)構(gòu)，或者在不降低安全性能的條件下，減小占用的資源與成本開銷。主要實(shí)現(xiàn)方式包括設(shè)計(jì)輕量級(jí)接入認(rèn)證協(xié)議，簡(jiǎn)化認(rèn)證流程、壓縮協(xié)議字段等。天地一體化網(wǎng)絡(luò)可廣泛應(yīng)用于政治、軍事、經(jīng)濟(jì)和社會(huì)等領(lǐng)域，不同業(yè)務(wù)場(chǎng)景下也存在不同安全保障能力需求。針對(duì)接入認(rèn)證安全要求高的業(yè)務(wù)類型，在信道特征明顯的場(chǎng)景下，可以考慮采用物理層認(rèn)證技術(shù)，通過(guò)豐富和多樣化的信號(hào)內(nèi)生特征實(shí)現(xiàn)物理層認(rèn)證，增強(qiáng)接入認(rèn)證安全性。物理層認(rèn)證技術(shù)通過(guò)基于物理層的特征屬性來(lái)實(shí)現(xiàn)對(duì)14中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）身份和消息的認(rèn)證，充分利用了底層信號(hào)特征屬性，具備較高的協(xié)議架構(gòu)兼容性、較高的協(xié)議靈活性以及較低的時(shí)延等優(yōu)良特性。天地一體化網(wǎng)絡(luò)跨越陸、海、空、天多層級(jí)形成融合網(wǎng)絡(luò)，網(wǎng)絡(luò)架構(gòu)前所未有的龐大而復(fù)雜，且天基網(wǎng)絡(luò)、空基網(wǎng)絡(luò)和地面網(wǎng)絡(luò)可能由不同的運(yùn)營(yíng)實(shí)體建設(shè)維護(hù)，多運(yùn)營(yíng)方融合組網(wǎng)場(chǎng)景下存在強(qiáng)烈的多方互信需求?？梢钥紤]通過(guò)區(qū)塊鏈技術(shù)進(jìn)行身份管理，解決身份自主管控、不可篡改、有限匿名、跨域互聯(lián)多方信任等問(wèn)題。區(qū)塊鏈為歸屬權(quán)極度分散的分布式網(wǎng)絡(luò)部署的基礎(chǔ)環(huán)境，提供了一種面向網(wǎng)絡(luò)的信任體系，非常適用于天地一體化網(wǎng)絡(luò)異構(gòu)融合分布式部署的網(wǎng)絡(luò)架構(gòu)下的認(rèn)證鑒權(quán)。天地一體化網(wǎng)絡(luò)拓?fù)渲芷谛愿叨葎?dòng)態(tài)變化場(chǎng)景下，采用零信任接入機(jī)制，從對(duì)天地一體化用戶訪問(wèn)主體的不信任開始，通過(guò)持續(xù)的身份鑒別和監(jiān)測(cè)評(píng)估，動(dòng)態(tài)調(diào)整訪問(wèn)策略和權(quán)限，實(shí)施精細(xì)化的訪問(wèn)控制和安全防護(hù)，有助于保障天地一體化網(wǎng)絡(luò)持續(xù)、健康、可靠的運(yùn)行。表

1

天地一體化網(wǎng)絡(luò)認(rèn)證鑒權(quán)安全技術(shù)適用場(chǎng)景認(rèn)證對(duì)象終端認(rèn)證技術(shù)天地一體化網(wǎng)絡(luò)應(yīng)用場(chǎng)景輕量級(jí)認(rèn)證天地一體化網(wǎng)絡(luò)廣覆蓋場(chǎng)景下，支撐海量低安全需求節(jié)點(diǎn)低時(shí)延接入物理層認(rèn)證區(qū)塊鏈技術(shù)信道特征明顯的場(chǎng)景下，支撐高安全需求節(jié)點(diǎn)接入網(wǎng)元設(shè)備、訪問(wèn)身份、承載網(wǎng)絡(luò)、共享資源天地一體化融合組網(wǎng)多方信任場(chǎng)景下，滿足自主管控、不可篡改及有限匿名需求零信任技術(shù)天地一體化網(wǎng)絡(luò)拓?fù)渲芷谛愿叨葎?dòng)態(tài)變化場(chǎng)景下，通過(guò)持續(xù)的身份鑒別和監(jiān)測(cè)評(píng)估，保障網(wǎng)絡(luò)安全15中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）5.2.2

數(shù)據(jù)傳輸安全(1)安全風(fēng)險(xiǎn)分析天地一體化網(wǎng)絡(luò)下的數(shù)據(jù)傳輸安全，需要重點(diǎn)關(guān)注無(wú)線鏈路數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)、互聯(lián)互通網(wǎng)元數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)和

OM

數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)。天地一體化網(wǎng)絡(luò)傳輸信道開放、傳輸距離跨度大，空中信道傳輸數(shù)據(jù)比傳統(tǒng)網(wǎng)絡(luò)更容易受到人為干擾、竊聽、篡改、重放和無(wú)線資源占用等威脅。另外，天地一體化網(wǎng)絡(luò)拓?fù)鋭?dòng)態(tài)變化，跨域部署下互聯(lián)互通網(wǎng)元間的數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)加劇。對(duì)于星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠(yuǎn)程運(yùn)維場(chǎng)景下，更需要進(jìn)一步加強(qiáng)

OM

數(shù)據(jù)傳輸安全保護(hù)，利用成熟的安全措施、有效的安全手段、創(chuàng)新的安全技術(shù)來(lái)應(yīng)對(duì)。(2)安全能力需求針對(duì)無(wú)線鏈路數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)，可以考慮應(yīng)用物理層加密技術(shù)，實(shí)現(xiàn)天地一體化網(wǎng)絡(luò)中數(shù)據(jù)傳輸過(guò)程中機(jī)密性和完整性保護(hù)的安全增強(qiáng)。物理層加密技術(shù)從無(wú)線信號(hào)傳播特點(diǎn)入手，利用無(wú)線信道的不可測(cè)量、不可復(fù)制的內(nèi)生安全屬性，將傳統(tǒng)需經(jīng)過(guò)終端、接入點(diǎn)和網(wǎng)絡(luò)之間跨協(xié)議層、依靠附加安全字段的加密和認(rèn)證流程，轉(zhuǎn)化為利用信道指紋和射頻指紋，在終端與接入點(diǎn)之間通信的物理層實(shí)現(xiàn)內(nèi)生安全。針對(duì)互聯(lián)互通網(wǎng)元數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)，建議通過(guò)合適的安全機(jī)制，消減網(wǎng)元間非法訪問(wèn)及數(shù)據(jù)傳輸泄露風(fēng)險(xiǎn)。針對(duì)遠(yuǎn)程運(yùn)維場(chǎng)景下

OM數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)，建議采用必要的安全傳輸協(xié)議進(jìn)行通信，提供服務(wù)器認(rèn)證、數(shù)據(jù)機(jī)密性及信息完整性保護(hù)。16中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）5.2.3

網(wǎng)絡(luò)隔離安全(1)安全風(fēng)險(xiǎn)分析基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)按照縱向邏輯仍可以劃分為用戶平面、控制平面和管理平面。用戶平面主要處理天地一體化網(wǎng)絡(luò)用戶面數(shù)據(jù)流量，控制平面主要處理天地一體化網(wǎng)絡(luò)控制面數(shù)據(jù)流量，管理平面主要處理

5G

網(wǎng)絡(luò)的管理數(shù)據(jù)流量和衛(wèi)星平臺(tái)操作指令流量等。如果天地一體化網(wǎng)絡(luò)管理平面、控制平面和用戶平面沒(méi)有進(jìn)行安全和有效地隔離，可能導(dǎo)致非法的側(cè)通道攻擊及威脅的擴(kuò)散。另外，天地一體化網(wǎng)絡(luò)將在共享的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，同時(shí)為公眾用戶、行業(yè)用戶和特殊用戶提供網(wǎng)絡(luò)服務(wù)，需要為不同安全等級(jí)的業(yè)務(wù)提供不同等級(jí)的安全保障機(jī)制和可定制的安全服務(wù)。(2)安全能力需求需要對(duì)天地一體化網(wǎng)絡(luò)管理平面、控制平面和用戶平面實(shí)施三面隔離，避免互相訪問(wèn)和相互影響，提高網(wǎng)絡(luò)安全性。對(duì)公眾用戶、行業(yè)用戶和特殊用戶可以利用切片技術(shù)，進(jìn)行網(wǎng)絡(luò)資源安全隔離，制定合適的網(wǎng)絡(luò)切片訪問(wèn)策略，防范

UE

訪問(wèn)未經(jīng)授權(quán)的切片及切片間非法訪問(wèn)，并制定合適的跨域協(xié)同的端到端切片管理規(guī)則，避免切片間資源搶占。5.2.4

網(wǎng)絡(luò)邊界安全(1)安全風(fēng)險(xiǎn)分析天地一體化網(wǎng)絡(luò)跨越陸、海、空、天多層級(jí)形成融合網(wǎng)絡(luò)的同時(shí)，也產(chǎn)生了更多的網(wǎng)絡(luò)邊界，邊界安全風(fēng)險(xiǎn)越加明顯。對(duì)于天地一體化17中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）網(wǎng)絡(luò)的“透明傳輸”組網(wǎng)架構(gòu)下，由于衛(wèi)星網(wǎng)絡(luò)—信關(guān)站—地面網(wǎng)絡(luò)可能分別屬于不同的網(wǎng)絡(luò)運(yùn)營(yíng)方，對(duì)于網(wǎng)絡(luò)邊界的互聯(lián)互通的接口安全、訪問(wèn)安全和邊界流量安全等問(wèn)題需要特別關(guān)注。對(duì)于“再生轉(zhuǎn)發(fā)”的網(wǎng)絡(luò)架構(gòu)，即便星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施和地面網(wǎng)絡(luò)基礎(chǔ)設(shè)施屬于同一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)方，但由于其部署物理位置的明顯差異，需劃分成不同的安全域，重點(diǎn)考慮域間安全邊界防護(hù)問(wèn)題。(2)安全能力需求需要根據(jù)網(wǎng)絡(luò)設(shè)備不同的安全需求以及與外部網(wǎng)元之間的關(guān)系，按照組網(wǎng)方式將網(wǎng)絡(luò)劃分為不同的安全域，并按照網(wǎng)元的業(yè)務(wù)功能、網(wǎng)元部署位置、網(wǎng)絡(luò)連接與邊界防護(hù)的原則進(jìn)行安全子域劃分。針對(duì)安全域的劃分實(shí)施邊界防護(hù)措施，比如設(shè)置合適的訪問(wèn)控制規(guī)則，部署邊界檢測(cè)和防護(hù)設(shè)備。在跨域互聯(lián)互通接口處，應(yīng)考慮邊界防護(hù)安全部署，部署防火墻、異常流量識(shí)別、抗

DDOS

等安全設(shè)備/功能，及時(shí)檢測(cè)、防止或限制來(lái)至外網(wǎng)發(fā)起的攻擊?？缬蚓W(wǎng)元間應(yīng)配置互訪安全策略，限制僅允許白名單之間的設(shè)備互訪。訪問(wèn)控制規(guī)則的設(shè)置，應(yīng)遵循訪問(wèn)控制規(guī)則數(shù)量最小化原則。5.3

支撐管理層安全風(fēng)險(xiǎn)及安全能力需求天地一體化網(wǎng)絡(luò)以地基網(wǎng)絡(luò)為依托、天基網(wǎng)絡(luò)為拓展，在多網(wǎng)絡(luò)多系統(tǒng)融合場(chǎng)景下，要重點(diǎn)關(guān)注遠(yuǎn)程運(yùn)維安全和統(tǒng)一安全管理等問(wèn)題。5.3.1

遠(yuǎn)程運(yùn)維安全(1)安全風(fēng)險(xiǎn)分析天地一體化網(wǎng)絡(luò)在“再生轉(zhuǎn)發(fā)”組網(wǎng)架構(gòu)下，由衛(wèi)星搭載基站甚18中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）至核心網(wǎng)的部分或者全部功能，可以有效降低信令和業(yè)務(wù)的處理時(shí)延、提升用戶體驗(yàn)。但對(duì)于星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施（星上基站、星上核心網(wǎng)）需要地面網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程運(yùn)維管理，存在遠(yuǎn)程運(yùn)維的安全風(fēng)險(xiǎn)。非法用戶可以通過(guò)對(duì)空天地運(yùn)維管控中心或信關(guān)站發(fā)起攻擊，偽造合法用戶身份，獲取操作權(quán)限，下發(fā)危險(xiǎn)操作指令。同時(shí)與傳統(tǒng)地面網(wǎng)絡(luò)類似，也存在操作維護(hù)人員身份不確定、授權(quán)不清晰，操作不透明、過(guò)程不可控，結(jié)果無(wú)法審計(jì)、責(zé)任不明確等安全風(fēng)險(xiǎn)，最終導(dǎo)致安全事故，影響運(yùn)維安全。(2)安全能力需求對(duì)于星上網(wǎng)絡(luò)基礎(chǔ)設(shè)施的遠(yuǎn)程運(yùn)維管理，除了需要具備基礎(chǔ)的賬號(hào)管理，密碼管理，分權(quán)分域等安全能力。針對(duì)一些重要的遠(yuǎn)程運(yùn)維操作，需要實(shí)施金庫(kù)模式多人執(zhí)行、多因素身份認(rèn)證、零信任認(rèn)證等方案對(duì)運(yùn)維操作進(jìn)行持續(xù)評(píng)估，確保所有操作都是在授權(quán)狀態(tài)下安全執(zhí)行。遠(yuǎn)程運(yùn)維的安全能力在滿足相應(yīng)級(jí)別的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心及管理部分要求基礎(chǔ)上，最大程度發(fā)揮安全措施的保護(hù)能力。在設(shè)備上采取審計(jì)措施，對(duì)鏈路、設(shè)備和服務(wù)器運(yùn)行狀況進(jìn)行監(jiān)控并能夠告警。對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)進(jìn)行集中管理。5.3.2

統(tǒng)一安全管理(1)安全風(fēng)險(xiǎn)分析天地一體化網(wǎng)絡(luò)以地基網(wǎng)絡(luò)為依托、天基網(wǎng)絡(luò)為拓展，在多網(wǎng)絡(luò)19中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）多系統(tǒng)融合場(chǎng)景下，獨(dú)立分散、不能協(xié)同聯(lián)動(dòng)的安全防護(hù)機(jī)制無(wú)法對(duì)抗天地一體化網(wǎng)絡(luò)潛在的泛在攻擊，需要對(duì)衛(wèi)星部署網(wǎng)絡(luò)和地面部署網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理。當(dāng)星上網(wǎng)絡(luò)節(jié)點(diǎn)或通信鏈路發(fā)生異常，可以根據(jù)業(yè)務(wù)特性、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)負(fù)載等動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，保障星上網(wǎng)絡(luò)節(jié)點(diǎn)和通信鏈路的可用性和安全性。并且需要解決天地一體化網(wǎng)絡(luò)安全威脅種類多、脆弱點(diǎn)分布廣、星上計(jì)算能力受限等問(wèn)題，實(shí)現(xiàn)天地網(wǎng)絡(luò)協(xié)同安全防護(hù)，精準(zhǔn)感知安全風(fēng)險(xiǎn)，智能聯(lián)動(dòng)管控安全威脅。(2)安全能力需求天地一體化網(wǎng)絡(luò)需要進(jìn)行統(tǒng)一安全管理，

通過(guò)統(tǒng)一安全管理自動(dòng)化流程，構(gòu)建發(fā)現(xiàn)、反應(yīng)、處置、恢復(fù)閉環(huán)管理體系，建立安全開放的威脅信息共享機(jī)制，通過(guò)對(duì)接共享平臺(tái)實(shí)現(xiàn)全面協(xié)同、全網(wǎng)聯(lián)動(dòng)，建立集中統(tǒng)一指揮，各網(wǎng)絡(luò)獨(dú)立防護(hù)的聯(lián)動(dòng)機(jī)制，提升安全事件處置效率。最終，天網(wǎng)地網(wǎng)協(xié)防聯(lián)動(dòng)來(lái)實(shí)現(xiàn)跨域網(wǎng)絡(luò)資產(chǎn)安全管理、跨域威脅監(jiān)測(cè)預(yù)警和跨域攻擊溯源，完善風(fēng)險(xiǎn)控制、應(yīng)急響應(yīng)和整體安全防護(hù)的水平。

跨域網(wǎng)絡(luò)資產(chǎn)管理網(wǎng)絡(luò)資產(chǎn)是構(gòu)成網(wǎng)絡(luò)信息系統(tǒng)的軟件、硬件、服務(wù)等資源的集合，是安全機(jī)制保護(hù)和安全管理的主體對(duì)象，只有精準(zhǔn)識(shí)別和有效管理到資產(chǎn)，后續(xù)一系列安全保障機(jī)制才能夠按預(yù)期有效落實(shí)。需要對(duì)天地一體化網(wǎng)絡(luò)資產(chǎn)進(jìn)行全生命周期資產(chǎn)管理，包括識(shí)別準(zhǔn)入、資產(chǎn)建檔、資產(chǎn)畫像、關(guān)系盤點(diǎn)、變更稽查等重點(diǎn)環(huán)節(jié)，保障天地一體化網(wǎng)絡(luò)的網(wǎng)元資產(chǎn)安全和通信鏈路安全。通過(guò)主動(dòng)掃描探測(cè)、被動(dòng)流量分析的20中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）方式實(shí)現(xiàn)跨域資產(chǎn)的發(fā)現(xiàn)與識(shí)別，建立網(wǎng)絡(luò)資產(chǎn)與安全事件關(guān)聯(lián)能力，建立豐富、全面的網(wǎng)絡(luò)資產(chǎn)特征庫(kù)，并實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)共享機(jī)制，以助力實(shí)現(xiàn)安全信息的上下聯(lián)動(dòng)、協(xié)同處置。精準(zhǔn)獲取跨域網(wǎng)元資產(chǎn)測(cè)繪，實(shí)現(xiàn)網(wǎng)元非法接入、非授權(quán)操作等安全管理。實(shí)時(shí)發(fā)現(xiàn)天地一體化網(wǎng)絡(luò)通信鏈路的異常，并根據(jù)網(wǎng)絡(luò)編排指令，進(jìn)行通信鏈路重建。

跨域威脅監(jiān)測(cè)預(yù)警通過(guò)天地一體化網(wǎng)絡(luò)全網(wǎng)布防，實(shí)現(xiàn)地面網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)、用戶終端的全面感知協(xié)同，通過(guò)融合全網(wǎng)的安全數(shù)據(jù)、威脅情報(bào)、基礎(chǔ)資源庫(kù)等核心資源，全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)?；诠糇R(shí)別引擎、行為分析引擎所具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，快速發(fā)現(xiàn)惡意解析和非法外連?？梢岳脠D形化技術(shù)對(duì)資產(chǎn)分布、數(shù)據(jù)流向、異常行為、訪問(wèn)等要素進(jìn)行集中展示，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)、數(shù)據(jù)流轉(zhuǎn)、安全事件、安全決策等網(wǎng)絡(luò)安全管理過(guò)程顯形化，實(shí)現(xiàn)網(wǎng)絡(luò)安全狀況態(tài)勢(shì)可視、數(shù)據(jù)資產(chǎn)可知、安全風(fēng)險(xiǎn)可管，提升天地一體化網(wǎng)絡(luò)安全整體保護(hù)能力。

跨域攻擊溯源相較地面網(wǎng)絡(luò)攻擊溯源，天地一體網(wǎng)絡(luò)由于網(wǎng)絡(luò)結(jié)構(gòu)更復(fù)雜、數(shù)據(jù)流轉(zhuǎn)路徑更長(zhǎng)，跨域攻擊溯源難度更大、反制力度更強(qiáng)。需要通過(guò)對(duì)全網(wǎng)流量日志的海量信息分析，對(duì)安全攻擊事件進(jìn)行攻擊溯源，生成威脅情報(bào)。形成數(shù)據(jù)流轉(zhuǎn)路徑還原、流轉(zhuǎn)節(jié)點(diǎn)數(shù)據(jù)處理行為溯源、數(shù)據(jù)血緣分析等技術(shù)能力，可視化呈現(xiàn)數(shù)據(jù)流動(dòng)全路徑和操作行為。通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采21中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）取針對(duì)性響應(yīng)處置措施。攻擊溯源能力應(yīng)該包括失陷資產(chǎn)溯源、重大安全事件攻擊鏈追蹤和復(fù)盤分析等，提升天地一體化網(wǎng)絡(luò)主動(dòng)防御能力。5.4

數(shù)據(jù)應(yīng)用層安全風(fēng)險(xiǎn)及安全能力需求天地一體化網(wǎng)絡(luò)承載的眾多業(yè)務(wù)將依賴于實(shí)體間共享和處理大量的數(shù)據(jù)，需保障天地一體化網(wǎng)絡(luò)數(shù)據(jù)安全。天地一體化網(wǎng)絡(luò)數(shù)據(jù)在采集、存儲(chǔ)、傳輸、利用、銷毀的處理環(huán)節(jié)都存在安全風(fēng)險(xiǎn)，需要對(duì)數(shù)據(jù)進(jìn)行全生命周期安全管理。5.4.1

數(shù)據(jù)全生命周期安全管理需求(1)安全風(fēng)險(xiǎn)分析放眼全球數(shù)據(jù)泄露事件頻繁發(fā)生，過(guò)度收集、濫用用戶個(gè)人信息問(wèn)題大量存在，非法數(shù)據(jù)共享與交易帶來(lái)的安全挑戰(zhàn)愈加嚴(yán)峻，國(guó)家重要數(shù)據(jù)資源流失風(fēng)險(xiǎn)不容忽視。由于數(shù)據(jù)資源與傳統(tǒng)資源不同，具有流動(dòng)特性，而天地一體化融合網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)路線更復(fù)雜，面臨了更加嚴(yán)峻的數(shù)據(jù)泄露挑戰(zhàn)。另外，天地一體化網(wǎng)絡(luò)數(shù)據(jù)在采集、存儲(chǔ)、傳輸、使用、共享等多種流動(dòng)場(chǎng)景下，也面臨著安全漏洞、惡意攻擊、越權(quán)訪問(wèn)、數(shù)據(jù)篡改、違規(guī)爬取等各種安全風(fēng)險(xiǎn)。需要切實(shí)加強(qiáng)數(shù)據(jù)全生命周期的各個(gè)環(huán)節(jié)的安全保護(hù)，針對(duì)各應(yīng)用領(lǐng)域和業(yè)務(wù)場(chǎng)景下的不同特點(diǎn)，形成閉環(huán)安全管理模式，有效保護(hù)用戶數(shù)據(jù)安全的合法權(quán)益，切實(shí)維護(hù)空天地一體化網(wǎng)絡(luò)重要數(shù)據(jù)安全。(2)安全能力需求天地一體化網(wǎng)絡(luò)需要對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理，并且全面保障數(shù)22中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）據(jù)采集、數(shù)據(jù)識(shí)別、數(shù)據(jù)安全存儲(chǔ)與計(jì)算、數(shù)據(jù)流轉(zhuǎn)軌跡分析與溯源、數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)審計(jì)等數(shù)據(jù)全生命周期安全。

數(shù)據(jù)采集及識(shí)別應(yīng)部署天地一體化網(wǎng)絡(luò)所需的數(shù)據(jù)采集能力，對(duì)空、天、地各域的原始數(shù)據(jù)進(jìn)行覆蓋全鏈條的統(tǒng)一采集匯聚，并對(duì)數(shù)據(jù)進(jìn)行格式和內(nèi)容解析。應(yīng)該支持對(duì)數(shù)據(jù)源中數(shù)據(jù)的識(shí)別能力，支持對(duì)采取加密措施的應(yīng)用或設(shè)備進(jìn)行識(shí)別和進(jìn)行流量中識(shí)別資產(chǎn)信息，并且支持基于網(wǎng)絡(luò)層要素的數(shù)據(jù)采集策略，減少不必要的性能消耗，提升網(wǎng)絡(luò)流量質(zhì)量精準(zhǔn)性。

數(shù)據(jù)安全儲(chǔ)存與計(jì)算支持對(duì)天地一體化網(wǎng)絡(luò)中存儲(chǔ)的訪問(wèn)令牌等敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，不應(yīng)在日志和配置文件中明文記錄敏感數(shù)據(jù)。通過(guò)建立數(shù)據(jù)加密機(jī)制，將重要數(shù)據(jù)在數(shù)據(jù)庫(kù)中進(jìn)行加密方式存儲(chǔ)。對(duì)影響天地一體化網(wǎng)絡(luò)運(yùn)行的重要數(shù)據(jù)進(jìn)行完整性檢測(cè)，如系統(tǒng)配置信息、使用者身份標(biāo)識(shí)、授權(quán)憑證等，確保重要數(shù)據(jù)在損壞和丟失時(shí)能夠及時(shí)發(fā)現(xiàn)。

數(shù)據(jù)流轉(zhuǎn)軌跡分析與溯源跨組織、跨地域、復(fù)雜多樣的網(wǎng)絡(luò)攻擊，為天地一體化網(wǎng)絡(luò)溯源追蹤帶來(lái)巨大挑戰(zhàn)。數(shù)據(jù)流轉(zhuǎn)軌跡分析和溯源是支撐天地一體化網(wǎng)絡(luò)安全技術(shù)手段建設(shè)的重要環(huán)節(jié)，是信息通報(bào)、應(yīng)急處置的重要技術(shù)支撐?？梢酝ㄟ^(guò)采集天地一體化網(wǎng)絡(luò)各安全域原始數(shù)據(jù)信息，結(jié)合威脅情報(bào)以及業(yè)務(wù)系統(tǒng)產(chǎn)生的業(yè)務(wù)管理數(shù)據(jù)，經(jīng)數(shù)據(jù)治理及算法引擎、溯源模型計(jì)算后，形成滿足數(shù)據(jù)流轉(zhuǎn)軌跡分析與溯源所需要的場(chǎng)景基礎(chǔ)23中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）數(shù)據(jù)，實(shí)現(xiàn)對(duì)涉及本網(wǎng)、跨域、跨境任意維度軌跡路徑進(jìn)行數(shù)據(jù)流轉(zhuǎn)軌跡分析和溯源，最終快速直觀地定位運(yùn)營(yíng)問(wèn)題、安全風(fēng)險(xiǎn)、追溯攻擊路徑和威脅源頭。

數(shù)據(jù)隱私保護(hù)天地一體化網(wǎng)絡(luò)承載著眾多用戶的隱私和敏感信息，不同用戶、不同業(yè)務(wù)場(chǎng)景對(duì)隱私保護(hù)的需求不盡相同，因此需要針對(duì)不同的用戶和業(yè)務(wù)場(chǎng)景采用不同技術(shù)措施解決天地一體化網(wǎng)絡(luò)的隱私保護(hù)問(wèn)題。對(duì)隱私數(shù)據(jù)的保護(hù)重點(diǎn)是在隱私數(shù)據(jù)的收集、傳輸、處理和存儲(chǔ)、轉(zhuǎn)移、銷毀等過(guò)程中保證相關(guān)法律法規(guī)的隱私保護(hù)要求的落實(shí)。根據(jù)隱私數(shù)據(jù)在天地一體化網(wǎng)絡(luò)中的實(shí)際使用情況，從數(shù)據(jù)采集傳輸、數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全基線建立、數(shù)據(jù)發(fā)布保護(hù)等方面采用不同技術(shù)措施保證數(shù)據(jù)的隱私安全。

數(shù)據(jù)審計(jì)為了加強(qiáng)天地一體化系統(tǒng)可維護(hù)性和操作安全性，在回溯問(wèn)題、定界責(zé)任方面更高效，需要對(duì)系統(tǒng)日志、應(yīng)用日志和安全日志等類型日志數(shù)據(jù)進(jìn)行審計(jì)。天地一體化數(shù)據(jù)審計(jì)應(yīng)該包括對(duì)數(shù)據(jù)狀態(tài)的監(jiān)測(cè)和數(shù)據(jù)變化行為分析，對(duì)日志進(jìn)行關(guān)聯(lián)分析、安全審計(jì)及統(tǒng)計(jì)分析，根據(jù)安全事件關(guān)聯(lián)策略、審計(jì)策略規(guī)則產(chǎn)生告警。監(jiān)測(cè)系統(tǒng)中被管賬號(hào)對(duì)被管資源的高敏數(shù)據(jù)訪問(wèn)和關(guān)鍵操作行為，用于安全審查和追蹤依據(jù)。24中聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書（2023）六、未來(lái)展望基于

5G/5G-A

的天地一體化網(wǎng)絡(luò)吸收了傳統(tǒng)衛(wèi)星通信和地面移動(dòng)通信的雙重優(yōu)勢(shì)，擴(kuò)展了

5G

技術(shù)和衛(wèi)星通信的應(yīng)用領(lǐng)域，而且為下一代空、天、地一體化融合通信系統(tǒng)奠定了基礎(chǔ)。中國(guó)聯(lián)通協(xié)同產(chǎn)業(yè)伙伴發(fā)布《中國(guó)聯(lián)通基于

5G/5G-A

網(wǎng)絡(luò)的天地一體化安全白皮書》，為全行業(yè)天地一體化網(wǎng)絡(luò)安全能力建設(shè)提供參考，對(duì)于天地一體化網(wǎng)絡(luò)安全快速發(fā)展有著積極和重要的價(jià)值及意義。盡管對(duì)天地一體化網(wǎng)絡(luò)的研究已經(jīng)全面展開，并吸引了學(xué)術(shù)界和產(chǎn)業(yè)界的關(guān)注，但由于天地一體化網(wǎng)絡(luò)的大時(shí)空尺度、動(dòng)態(tài)性強(qiáng)、結(jié)構(gòu)復(fù)雜等特點(diǎn)，許多問(wèn)題難以用傳統(tǒng)網(wǎng)絡(luò)理論解決，尚有諸多關(guān)鍵技術(shù)問(wèn)題和通信設(shè)施部署問(wèn)題等待被攻克。天地一體化網(wǎng)絡(luò)安全是全球面臨的共同問(wèn)題，全行業(yè)可通過(guò)共同的天地一體化網(wǎng)絡(luò)安全理念、共識(shí)的天地一體化網(wǎng)絡(luò)安全框架及共建的天地一體化網(wǎng)絡(luò)安全能力，應(yīng)對(duì)潛在的安全挑戰(zhàn)。中國(guó)聯(lián)通將持續(xù)聚焦天地一體化安全研究進(jìn)展，加強(qiáng)與生態(tài)伙伴合作，全力促進(jìn)天地一體化安全產(chǎn)業(yè)發(fā)展和繁榮。25中聯(lián)通基于

5