信息的安全传送是人类几千年来的梦想之一，信息系统安全直接关系到国家政治、经济等诸多领域的兴衰成败。对于经典通信系统来说，最核心的信息保护技术就是经典密码技术，它们主要是利用计算的复杂性来确保通信安全——窃听者在没有破解密钥的情况下，在有限的时间内无法完成破译所需的大量计算。

但是，随着计算技术的快速发展，计算能力的提升速度和潜力已远远超过了人们最初的想象，一些现在看起来无法利用数学方法破解的加密解密算法在未来都可能得以破解。

2018年10月9日，美国政府问责局（GAO）发布了题为《武器系统网络安全-国防部开始解决大规模漏洞问题》的报告，该报告同时还递交给了美国参议院军事委员会。报告称美国防部在保护武器系统免受网络威胁方面面临巨大挑战。这是由武器系统计算机化的本质、武器系统网络安全起步晚、以及对武器系统安全性理解不够等综合决定的。而随着国防部的武器系统的软件化和网络化趋势不断加强，这一问题亟待解决。

自动化和互联性是国防部现代军事能力的基础。但这也使武器系统更易受到网络攻击。虽然GAO和其他组织几十年前就警告过其中的网络风险，但长期以来，国防部也没有优先发展武器系统网络安全。直到最近，国防部才开始研究如何更好地解决武器系统网络安全问题。

在功能测试中，国防部发正在开发的武器系统中有关键任务网络漏洞，GAO的测试团队也发现武器系统存在各种安全漏洞。使用一些互联网上都可以下载的工具和简单技术，测试人员就可以控制系统，而且这种入侵行为不会被检测到。

GAO的审计从2017年7月开始到2018年10月，持续了1年多，期间测试了2012到2017年之间的一些武器系统。GAO认为当前武器系统中找到的安全漏洞可能只是冰山一角，因为这是GAO首次对武器系统购置进行审计活动，这还不包括对供应商设施、物联网设备和工控系统安全的测试和审计。

武器系统在许多方面具有唯一性，但也同样面临同样网络安全漏洞。

不同类型系统面临的网络安全威胁可能是不同的，所以武器系统网络安全面临的问题也与传统IT系统面临的网络安全问题不同。

有些武器系统是纯IT系统，而有些武器系统被NITS和DOD定义为CPS（空间物理系统，cyber-physical systems）。因为CPS系统可以影响物理世界，所以针对CPS的网络攻击带来的影响要大很多。比如，攻击武器系统可能会对生命造成威胁。

许多因素导致武器系统网络安全不断变难，但DOD仅仅刚开始解决这些挑战。

许多的因素共同导致了国防部武器系统的网络安全现状，包括：（1）国防部武器计算机化和网络化的本质；（2）国防部过去未将发展武器系统网络安全作为优先项；（3）国防部对“如何最好地开发更安全的武器系统”理解不透彻。

国防部的武器系统更加依赖软件和IT，也更网络化了。这也不断改变了现代武器的功能，也是美国现代军事能力的基础。而且这种改变的成本都不低，更多的武器组件可以用网络能力进行攻击。同时，网络还可以作为攻击其他系统的路径。GAO和其他机构几十年来都在呼吁重视这种风险，但直到最近，DOD才在武器系统需求中优先列入了网络安全。其中一部分原因是DOD过去主要关注自身网络的网络安全，而不是武器系统的网络安全。DOD在尝试理解“如何将网络安全应用到武器系统中”仍处于早期阶段。

DOD武器系统越来越复杂和网络化，网络漏洞也不断增加。

DOD武器系统越来越依赖软件和IT来达到预想的性能。目前武器系统中的软件数量正指数及增长，并嵌入在无数技术非常复杂的子系统中，这包括硬件和许多种类的IT组件。

几乎所有武器系统的功能都是由计算机控制的，从最基本的生命支持功能到拦截发射的导弹。DOD正积极寻找新方法来在武器系统中引入自动化。比如，海军就将通过自动化减少运作一艘军舰所需的人员。

越来越依赖软件和IT也是有代价的——明显增加了武器系统的攻击面（从网络安全角度被攻击的可能性）。DOT&E的数据显示，信息交换就是攻击者的一个潜在访问点。甚至不直接连接到互联网的“air-gapped”系统也可能通过USB设备或压缩存储设备访问。武器系统有许多的接口可以被攻击者用于访问系统。

DOD武器系统也比以前更加互联了，可也会引入漏洞并且使系统更加难以防御。DSB称几乎DOD的所有系统组件都是网络化的。武器系统连接到DOD的网络扩展集（DOD信息网络）、甚至国防供应商这样的外部网络中。计算机系统、人力和其他商业相关的系统有时也会连接到武器系统连接的网络中。有些武器系统可能是不直接联网的，但是连接了电力系统这样的系统，而这类系统可能是直接连接到公网的。

这样连接性可以更好地进行信息交换，对武器系统和操作人员来说有很多的好处，比如对武器系统的控制、通信以及战场预警。如果攻击者入侵了其中一个网络，就可能通过连接的网络访问其他网络。而这种内网的防护是很弱的，这就让武器系统处于危险之中了。

而且武器系统的正常运行也需要依赖其他的外部系统，比如导航系统、命令和控制系统等。如果成功入侵了这类武器系统依赖的外部系统，就可能对武器系统的功能和有效性带来影响，甚至造成物理破坏和危害他人安全。

DOD仍在学习如何解决武器系统网络安全问题。

DOD仍在寻求解决武器系统的网络安全问题，虽然武器系统与传统IT系统有许多相似处，但DOD承认在武器系统中应用与传统IT系统安全系统的措施可能是不合适的。DOD政策和指导委员会承认修改传统IT领域应用的安全措施可能不会被批准，但也没有说明应用到武器系统中的安全措施应该有哪些不同。

DOD仍在决定如何使含有漏洞的武器系统组件更安全。比如，许多武器系统用工控系统来监控设备。许多武器系统都用这样的系统来实施必要的功能。比如军舰可能会用工业控制系统来控制引擎和灭火系统。而NIST报告称，工业控制系统最初设计的应用环境是可信环境，因此并不包含安全控制措施。政府和行业报告都显示针对工业控制系统的攻击正在不断增长。

因为武器系统复杂庞大和复杂，系统又依赖其他不同的系统，更新一个系统组件可能会影响其他组件，因此武器系统网络安全措施的指定和实施都非常困难。

一些程序办公室和对系统设计中的网络安全没有很好的理解，这就使系统的安全性更难以保证。

安全测试显示大多数开发中的武器系统存在安全漏洞。

安全测试结果显示大多数开发中的武器系统存在安全漏洞，而DOD对此好像并不完全知情。

武器系统网络安全评测找出许多关键任务系统漏洞。测试人员测试了2012到2017年的开发

的武器系统，测试发现几乎所有开发的武器系统都存在安全漏洞。使用一些简单的工具和技巧，测试人员就可以获取系统的控制权限，而且大多数情况下不会被发现。在这种情况下，系统操作员不能有效地响应黑客入侵事件。而且DOD好像并不了解其武器系统漏洞的情况。

测试人员很容易就可以入侵系统。测试团队很容易就可以击败武器系统的网络安全控制措施，也就是说可以在非授权的情况下访问系统。在一次测试中，一个2人的测试团队仅用了1个小时就获取了武器系统的访问权限，仅用1天时间就完全控制了测试的系统。

测试人员并不需要复杂的工具。测试报告显示测试团队通过一些简单的工具就可以破坏、访问、控制武器系统。比如，简单扫描系统就造成部分系统瘫痪。使用的一些技术并不需要复杂的专业知识。测试报告显示，弱口令也是其中一个常见的问题，有测试人员9秒钟就猜出了管理员密码。

安全控制措施不足。测试报告显示只有网络安全控制措施的系统并不安全。控制措施的应用方式极大地影响了网络安全。比如，测试报告显示某系统使用了基于角色的访问控制，但内部系统通信是不加密的。因为内部通信不加密，所以普通用户也可以读取管理员的用户名和密码，并使用管理员凭证来获取对系统的访问，并可以影响系统的机密性、完整性和可用性。

DOD在武器系统网络安全方面洞察力不足。

因为测试的局限性，DOD并不了解其武器系统网络安全漏洞的总体情况。网络安全评测并不能找出测试系统的所有漏洞，因为网络安全评测并不能反映出武器系统面临的所有威胁范围。而且测试一定程度上局限于测试者个人的能力，而DOD官方称大多数的网络安全评测只持续了数天或数周。其中一份测试报告显示网络安全测试因为外部因素的限制被减少到41小时。而特定的攻击者可能会花费几个月甚至几年来攻击系统。

因为有些武器系统使用（连接）的是供应商的企业内部网络，而这是不允许测试团队进行攻击的。所以在许多测试中，武器系统与外部系统的连接是有限制的或只能通过模拟来实现。由于测试人员、测试方法等的限制，通过测试发现的这些漏洞只是冰山一角。

目前利用网格计算就可以在较短的时间内破译现有的许多密码方案，在电子商务领域被广泛采用的单向压缩函数MD5、SHA等已陆续被数学家证实存在安全隐患。新型的量子计算技术更是悬在经典密码上方的一把“达摩克利斯之剑”。业内科学家们预测，到2020年左右量子计算机将进入实用阶段。假如1024个量子位以上的量子计算机研究取得实质性突破，那么256bit甚至512bit的对称算法将不安全， RSA、ECC等非对称密码体制也将不安全。届时，目前使用的私钥密码体制、公钥密码体制等都将面临更新换代的“困境”。因此，研究可以抵抗量子计算等高性能计算攻击的新型密码技术体制势在必行。

是否存在一种技术，能够实现信息无条件安全传输？量子保密通信特别是量子密钥分发技术（QKD）得到了许多国家的高度关注。

量子通信，是近年来很热门的一个词汇，所谓量子通信是指利用量子纠缠效应进行信息传递的一种新型的通讯方式，是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的新的研究领域。

在量子保密通信过程中，发送方和接收方采用单光子的状态作为信息载体来建立密钥。由于单光子不可分割，窃听者无法将单光子分割成两部分，让其中一部分继续传送而对另一部分进行状态测量获取密钥信息。又由于量子不确定性原理和测量塌缩原理，窃听者无论是对单光子状态进行测量或是试图复制之后再测量，都会对光子的状态产生扰动，从而使窃听行为暴露。

量子密钥分配（QKD）突破了传统加密方法的束缚，借助量子状态的不可复制性，使其具有理论上的“无条件安全性”。任何截获或者测试量子密钥的操作，都会改变量子状态，截获者得到的只是无意义的信息，而信息的合法接受者也可以从量子态的改变，知道密钥曾被截取过。更重要的是，与经典的公钥密码体系不同，即使实用的量子计算机出现甚至得到普及，量子密钥仍是安全的。

量子保密通信不依赖复杂的数据加密算法，量子系统设备不涉密，因此量子系统具有通用性，所有用户的系统配置和功能可以做到完全一致，不存在系统分级和使用多种密码算法等技术问题，因此可以说不存在互联互通的技术障碍，它能使任何拥有量子保密通信终端的用户之间实现完全保密的通信，这是目前的保密通信系统所不具有的功能。这种性能在保密通信中具有非常重要的作用。

经过20多年的发展，量子保密通信技术已经从实验室演示走向产业化和实用化，中国的量子通信技术已达到世界顶尖水平，领先欧美国家。近期，国科控股、科大国盾量子等国内领先的量子通信技术创新型企业联合国内经典通信专家中兴通讯、互联网巨头阿里巴巴等发起组建“中国量子通信产业联盟”，我国的量子通信产业进入了新的发展阶段。量子保密通信解决方案将成熟的光纤量子通信技术和产品无缝融入传统IP网络中，形成一个极高可信度的数据传输平台，该平台所能承载的业务范围可以涵盖所有的网络数据，实现用户间无条件的安全通信，信息数据在传输过程中的链路安全得到极大加强，在各个行业都具有广泛的应用前景。

随着信息领域新技术的不断发展，航天信息系统面临着各种新型的未知技术的攻击。最重要的是，此类具有“针对性、隐蔽性和复杂性”特点的攻击，完全是针对各国航天信息安全防御系统漏洞而发动的。遥测遥控、惯性导航、计算机等关键单机产品均存在很大的信息安全被攻击的可能性。目前，由于我国航天产品存在安全防护分散、安全产品功能重叠等问题，缺乏深层次、体系化的信息安全防护能力，也缺乏对信息系统的整体安全态势掌控，一旦出现安全威胁事件，难以实现精确定位和快速响应，对于各类未知的安全威胁和攻击更是无法应对。

一般情况下，航天的信息系统和航天发射和运行维护相关。我们认为，各系统单机产品迫切需要在自主可控的基础上，紧紧结合自身应用特点，重点围绕以下三个方面，体系化的开展信息安全技术的研究。

一是要完善航天信息安全保障体系，将信息安全融入到各系统单机产品的研制中去。航天信息安全保障体系仅仅停留在信息安全的防护设计是远远不够的，需要围绕航天产品的全生命周期开展信息安全保障体系建设。

二是要实现信息系统自主可控到自主安全的提升，具有自主可控软硬件是信息安全，特别是防御敌对势力有针对性攻击的基础，通过自主创新的方式来实现国产化处理器、国产化操作系统以及国产数据库为代表的国产自主可控软硬件平台的航天应用非常重要。

三是要打造航天信息安全产品来提升信息安全的水平，每个国家的航天信息安全必须依靠自主创新，充分结合航天产品的应用来开展，结合信息安全技术层面、标准层面、管理层面的支持，在传统信息安全防御技术的基础上，开展针对“未来攻击”信息关键技术的研究。

来源：信息安全与通信保密杂志社