1.3.3 安全保障技术体系

1.3.3.1 安全域与安全区划分

安全域是属于同一物理或逻辑组织的一组网络资源（包括物理设备、应用、程序、数据等）的集合，常被用于大规模网络的安全防护中。天地一体化信息网络规模大、结构复杂、设备众多，为了更好地保障安全，实现对每个区域分层差异化保护，需要分析天地一体化信息网络内部具有相同或相似安全需求的设备和应用，并划分安全域。天地一体化信息网络安全域划分模型如图1-3所示。

针对网络实体（被）管辖权限和物理部署位置的不同，天地一体化信息网络可分为4个安全区：用户区、接入网络区、骨干网络区和管理区。接入网络区从技术维度分为航天器接入域、Ka 大容量宽带卫星接入域、Ku 宽带卫星接入域、高轨卫星移动接入域、低轨星座接入域5类，不同的接入域可能有不同的认证方式；骨干网络区从技术维度分为天基/地基骨干网络域和民用网络域（含移动通信网、地面互联网）等网络域，其中天基/地基骨干网络域可分为公开虚拟网络域、行业应用虚拟网络域、政务虚拟网络域和特殊应用虚拟网络域4个安全域；管理区按照安全需求分为资源管理域、安全管理域和密码管理域3类。

1.3.3.2 安全保障技术架构

1．体系框架

为了确保天地一体化信息网络可靠运行，需要设计体系化的安全保障技术体系，如图1-4所示。天地一体化信息网络安全保障技术体系由安全支撑层、接入安全层、网络安全层、安全服务层、安全态势预警层、统一安全管理层等构成，支持安全资源的动态部署与重构，为滚动建设的天地一体化信息网络提供持续支撑 ^[3] 。

（1）安全支撑层为天地一体化信息网络各层的安全保障服务提供基础的技术支撑，包括密码基础设施和认证管理两部分。密码基础设施包括密码计算平台、密码按需服务和密码资源动态管理等功能，为全网安全设备提供密码技术支撑；认证管理包括全网用户和实体的身份管理、权限管理等功能，为网络安全接入和互联提供可信技术支撑。

（2）接入安全层确保设备接入天地一体化信息网络时的安全，具体措施包括入网认证、接入防护和接入链路保护等，以确保非授权设备不能接入网络，授权设备只能接入相应的网络和接入网络的链路安全。其中，入网认证提供用户终端到卫星或信关站的第一跳接入认证功能，实现多中心分布式互认证；接入防护提供基于授权策略的接入控制功能；接入链路保护提供接入链路数据的机密性、完整性、时效性等保护功能。

（3）网络安全层针对星上处理设备、地面网关等多种实体动态组网，以及不同天基接入网用户间、天基信息网与地面网络用户间的业务安全互通需求，结合网络构成、网络信息流程和控制流程，在低轨星座动态组网认证基础上，综合考虑链路时延方差大的特点进行安全动态组网控制，并依据用户的差异化安全需求进行骨干网的分级保护，通过对不同网络间的域间隔离交换和互联安全管控，实现天地互联网络运行的安全可控。

网络安全层提供包括组网安全、网间互联安全和多层联动防护功能在内的安全防护能力。在组网层面，网络实体认证提供卫星节点、信关站等网络实体组网时的身份认证，组网控制实现网络运行及重构过程中实体间的可信连接及信任保持，骨干网分级保护提供同一网络域内不同密级信息的分级传输管控；在网间互联安全层面，互联安全管控实现不同安全域、不同网络域间互联时的安全控制管理，网间安全互联实现基于互联访问策略的安全互联控制，域间隔离交换实现多网系、多类型业务在数据和控制层面的信息隔离与实时交换。

（4）安全服务层包括身份管理、认证鉴权、互联控制、对称密码、摘要计算、签名验签等服务，是为网络各层、各应用系统按需提供安全服务的功能实体，为计算安全、数据安全、服务安全、管理安全等提供支撑。

（5）安全态势预警层通过威胁驱动的内嵌式数据采集获得数据，依据网络可用资源（计算资源、存储资源和网络资源等）评估数据的汇聚时机，基于当前环境、历史数据等对原始数据进行融合分析，动态整体地识别安全威胁，生成态势报警或预警。

（6）统一安全管理层监测天地一体化信息网络安全设备与系统的运行状态，依据安全威胁和运行状态等要素，动态配置安全策略，并对威胁进行分级智能管控，包括安全设备管理和安全威胁管控两部分，其中安全设备管理包括安全组件运行监测、策略配置管理等，安全威胁管控包括威胁联动处置、处置效果研判等。

2．内生安全

内生安全是一种安全目标，也是安全实现方式的总称，其实质是安全与网络设备、计算设备、通信设备、存储设备等融为一体，或者安全设备与系统业务流程深度融合。既不能简单地说某类技术为内生技术，也不能简单地说某类技术不是内生安全技术。在天地一体化信息网络中，实现内生安全的重要途径是安全流程与通信流程的一体化设计，其核心是安全流程与通信流程融合的安全通信协议体系。为了从协议层角度实现内生安全，链路层的安全通信协议包括：终端接入认证协议、测控信息安全传输协议、无线信道传输协议等；网络层的安全通信协议包括：地基节点间安全传输协议、组网认证协议等；传输层的安全通信协议包括：运控信息安全传输协议、专用业务安全传输协议等；应用层的安全通信协议包括：安全态势感知协议、安全管理协议、动态重构协议等。安全通信协议体系涵盖了从链路层到应用层的整个通信体系，相应地在天地一体化信息网络关键位置也要部署支持内生安全的安全设备/组件/系统。例如，在卫星上需部署支持内生安全的载荷安全防护和测控安全防护单元，提供星地互联认证、测/运控信息安全传输等功能。

3．安全动态赋能架构

针对天地一体化信息网络异构网络多域互联、安全防护能力差异、安全服务需求多样、应用场景复杂、分级管理分层部署等特点和应用需求，提出融合安全服务能力编排、安全态势分析和安全威胁响应等于一体的安全动态赋能架构 ^[4-5] ，如图1-5所示。具体地，依据安全防护能力要求和威胁态势，对天基骨干节点、天基接入节点、地基节点、核心网、安全管控中心等的安全设备/系统以及卫星终端进行差异化能力编排，确保安全服务能力编排、安全威胁与态势分析、安全威胁处置指挥等单元相互合作，实现星上安全载荷、终端安全防护模块、地基节点（网）安全防护设备/系统中的安全服务柔性重构和服务资源的按需供给，支撑“能力柔性重构、服务按需编排、编排协同联动、安全动态赋能”。

安全服务能力编排主要包括安全功能多层次多维度统一描述、安全策略精化与安全服务能力编排等功能。其中，安全功能的多层次多维度统一描述是对天地一体化信息网络中的网络设备和安全设备的设备类型、设备状态以及网络负载等进行统一资源描述，对安全设备的安全服务能力、安全策略配置和安全态势状态等进行安全需求与策略统一定义，从而构建统一的安全资源抽象层，实现安全资源的灵活接入、扩展和统一管理。

安全策略精化与安全服务能力编排将用户安全需求、用户服务、安全态势等抽象安全需求，细化为安全服务能力编排可识别的中间层策略。同时，检测并消解细化后策略与全局策略间的形式冲突和语义冲突，将无冲突的策略交由安全服务能力编排执行服务链编排工作，由安全服务链编排将网络中的各种安全服务单元在逻辑上按照安全需求组合在一起，完成对底层安全资源的统一接入、管理和调度，提供满足用户安全需求的安全服务。

4．安全态势分析

在安全态势分析中，需要采集天基骨干节点、天基接入节点、地基节点、核心网、安全管控中心、卫星终端等的威胁感知信息；纵向按网系、横向按区域进行威胁关联分析，实现全网统一态势感知与融合分析。安全威胁与态势分析的核心目标是确保“采集全网覆盖、汇聚多源融合、分析协同关联、态势全局掌控”。

具体地，安全威胁与态势分析主要包括态势要素提取、融合分析、逐级关联和威胁预警等功能。其中，态势要素提取从威胁汇集系统中获取天地一体化信息网络的威胁情报信息，利用正则表达式等方式从中提取漏洞、资产、恶意软件及安全事件等态势要素，并删除误报的事件，对重复的事件进行合并，整理后供融合分析和逐级关联使用。态势关联分析基于分布式流数据处理系统实现，从而支持多用户并发和海量数据的在线计算。态势关联分析对多源数据进行关联分析，利用网络安全知识图谱识别网络安全事件，并依据关联规则对系统网络安全态势进行分析和预警。

5．威胁联动处置

对天基骨干节点、天基接入节点、地基节点、核心网、安全管控中心、卫星终端等面临的安全威胁，进行纵向网系联动处置、横向区域协同处置，实现分区分域可扩展动态自适应的纵横协同处置，其核心目标是“区域预测准、联动配合好、处置挡得住、效果评估准”。主要功能包括安全设备和拓扑画像、设备统一配置、威胁区域预测、威胁联动响应、响应效果研判等功能。

（1）安全设备和拓扑画像是对安全设备与安全系统统一管理的基础，在设备入网时，需对设备的存活性、连接关系进行发现，对设备的基本信息（如设备类型、生产厂商）、安全能力、所部署的物理位置以及逻辑位置等进行登记、提取或查询，在此基础上对网络拓扑关系进行构建，从而支撑后续的安全管理。

（2）设备统一配置是在安全策略统一描述基础上实现对地基节点（网）的安全设备或安全系统、天基骨干节点星载综合安全防护单元、天基接入节点星载综合安全防护单元、用户终端安全模块的统一配置。

（3）威胁区域预测依据安全日志、威胁报警、设备状态变化等信息综合准确预测威胁发生的区域。

（4）威胁联动响应根据威胁报警信息确定威胁响应区域，通过对策略的安全收益、部署成本等多属性信息进行评估，选择并确定威胁响应策略，并将其动态分解为响应指令下发到相应安全设备执行，实现威胁的有效应对。

（5）响应效果研判在对响应指令执行结果进行验证的基础上，评估威胁响应效果，为威胁响应策略的优化调整提供基础信息。 TQSdyw5aZxGm4HpfpX/yg32TrH5NUvIf4fm49flfkpZcKLa8wlc46Oo0FJLpkOhB