NIST發布太空運營中地面部分的網絡安全指南

美國國家標準與技術研究院 (NIST) 發布了一個網絡安全框架，涵蓋太空運營的地面部分（Satellite Ground Segment），重點是衛星總線和有效載荷的指揮和控制。該計劃將協助航天部門商業地面部分的運營商為其系統提供網絡安全，并為利益相關者提供一種評估其網絡安全態勢的方法。

題為NIST IR 8401“衛星地面部分：應用網絡安全框架以確保衛星指揮和控制”的文件包括“衛星地面部分網絡安全配置文件”，旨在用作風險管理計劃的一部分，以幫助組織管理系統的網絡安全風險。網絡和資產構成衛星運行的地面部分。 

該配置文件為衛星指揮、控制和有效載荷系統的系統、過程和組件的分類提供了指導，以確定網絡安全風險態勢并解決空間部分管理和控制中的殘余風險。它還為衛星指揮、控制和有效載荷系統的系統、過程和組件定義了理想的網絡安全狀態，并建立了明確且可重復的風險管理方法，以將實際網絡安全狀態提升到理想的網絡安全狀態。

該配置文件將幫助組織確定其系統和流程，以實現對航天器總線和有效載荷的指揮和控制，并確定性能要求。它還將確定對衛星地面部分和支持基礎設施的已知和預期威脅，并保護地面部分依賴于政策、培訓、彈性和訪問控制的系統。 

此外，該配置文件將有助于檢測地面部分的機密性、完整性或可用性的損失，響應遙測、跟蹤和命令 (TT&C) 的機密性違規，以及衛星命令或遙測的操縱或丟失。它還有助于及時、有效和有彈性地從異常中恢復。

NIST一直致力于為衛星指揮和控制空間提供網絡安全指導。2022年4 月，該機構發布了一份文件草案，將NIST網絡安全框架應用于太空運營的地面部分，重點是確保衛星指揮和控制。 

美國的太空行動對國家和經濟安全變得越來越重要，太空網絡生態系統逐漸成為一個由不同但相互依存的部分組成的固有風險、高成本且通常難以進入的環境。商業空間對關鍵基礎設施的貢獻在服務的數量和多樣性方面都在增長，商業通信衛星 (COMSAT) 帶寬使用的增加、商業圖像的購買以及政府有效載荷在商業衛星上的托管都說明了這一點。 

美國政府承認并支持太空彈性，正如眾多太空政策、行政命令和國家網絡戰略所展示的那樣。 

由于NIST網絡安全配置文件是一個組織可以用于其風險管理工作的靈活工具，因此該框架旨在增強而不是取代此類工作。該概況還將有助于根據業務目標確定網絡安全活動的優先級，并確定標準、實踐和其他指南可以幫助管理風險的領域。該機構還鼓勵通過將此配置文件應用于特定任務或網絡生態系統來開發特定于組織的配置文件。 

NIST文件考慮到風險管理是識別、評估和響應與組織任務目標相關的風險的持續過程。為了管理風險，組織應了解任何潛在影響以及事件發生的可能性。組織還應考慮可能影響或告知網絡安全決策的法律和政策要求。 

該配置文件還為利益相關者提供了一種靈活的方法來管理與衛星總線或有效載荷接口時的風險，而不管風險的來源，包括自然事件、惡意行為和具有意外后果的人類活動。它還提供了一個起點，組織可以從中定制他們的風險管理方法。此外，該指南旨在與現有風險管理流程結合使用，以提供額外的風險管理考慮因素。 

該文檔還引用了NIST CSF，它根據現有標準、指南和實踐提供優先、靈活、基于風險和自愿的指導，以幫助組織更好地理解、管理和溝通網絡安全風險。CSF旨在為利益相關者提供一種方法，以評估其在識別、保護、檢測、響應和恢復操作方面的網絡安全態勢，并制定提升風險態勢的計劃。

網絡安全框架由三個主要部分組成。

第一部分是“框架核心”，使用通用語言提供所需網絡安全活動和結果的目錄，并指導組織以補充其現有網絡安全和風險管理流程的方式管理和降低其網絡安全風險。

第二部分是“框架實施層級”，為組織如何看待網絡安全風險管理提供了背景信息，并幫助組織了解他們是否擁有有效且可重復的網絡安全風險管理流程，以及網絡安全風險管理與更廣泛的組織風險管理決策相結合的程度. 

最后一部分，它還涉及根據核心成果定制的“框架配置文件”，以符合組織的要求。配置文件主要用于識別和優先考慮改善組織網絡安全的機會。

網絡安全框架以結果為基礎，側重于網絡安全功能而不是組件。網絡安全框架概要文件并不旨在提供具體的實施指導。然而，概要文件將提供現有標準、指南和實踐的信息參考，這些標準、指南和實踐提供了實用的指導，以幫助組織實現每個子類別的預期結果。

2022年11月，隸屬于NIST的國家網絡安全卓越中心 (NCCoE)發布了混合衛星網絡 (HSN) 的CSF配置文件的最終注釋大綱。網絡安全指南旨在確定一種評估HSN網絡安全態勢的方法，HSN提供基于衛星的通信、定位、導航和授時 (PNT)、遙感、天氣監測和成像系統等服務。