NIST发布太空运营中地面部分的网络安全指南

美国国家标准与技术研究院 (NIST) 发布了一个网络安全框架，涵盖太空运营的地面部分（Satellite Ground Segment），重点是卫星总线和有效载荷的指挥和控制。该计划将协助航天部门商业地面部分的运营商为其系统提供网络安全，并为利益相关者提供一种评估其网络安全态势的方法。

题为NIST IR 8401“卫星地面部分：应用网络安全框架以确保卫星指挥和控制”的文件包括“卫星地面部分网络安全配置文件”，旨在用作风险管理计划的一部分，以帮助组织管理系统的网络安全风险。网络和资产构成卫星运行的地面部分。 

该配置文件为卫星指挥、控制和有效载荷系统的系统、过程和组件的分类提供了指导，以确定网络安全风险态势并解决空间部分管理和控制中的残余风险。它还为卫星指挥、控制和有效载荷系统的系统、过程和组件定义了理想的网络安全状态，并建立了明确且可重复的风险管理方法，以将实际网络安全状态提升到理想的网络安全状态。

该配置文件将帮助组织确定其系统和流程，以实现对航天器总线和有效载荷的指挥和控制，并确定性能要求。它还将确定对卫星地面部分和支持基础设施的已知和预期威胁，并保护地面部分依赖于政策、培训、弹性和访问控制的系统。 

此外，该配置文件将有助于检测地面部分的机密性、完整性或可用性的损失，响应遥测、跟踪和命令 (TT&C) 的机密性违规，以及卫星命令或遥测的操纵或丢失。它还有助于及时、有效和有弹性地从异常中恢复。

NIST一直致力于为卫星指挥和控制空间提供网络安全指导。2022年4 月，该机构发布了一份文件草案，将NIST网络安全框架应用于太空运营的地面部分，重点是确保卫星指挥和控制。 

美国的太空行动对国家和经济安全变得越来越重要，太空网络生态系统逐渐成为一个由不同但相互依存的部分组成的固有风险、高成本且通常难以进入的环境。商业空间对关键基础设施的贡献在服务的数量和多样性方面都在增长，商业通信卫星 (COMSAT) 带宽使用的增加、商业图像的购买以及政府有效载荷在商业卫星上的托管都说明了这一点。 

美国政府承认并支持太空弹性，正如众多太空政策、行政命令和国家网络战略所展示的那样。 

由于NIST网络安全配置文件是一个组织可以用于其风险管理工作的灵活工具，因此该框架旨在增强而不是取代此类工作。该概况还将有助于根据业务目标确定网络安全活动的优先级，并确定标准、实践和其他指南可以帮助管理风险的领域。该机构还鼓励通过将此配置文件应用于特定任务或网络生态系统来开发特定于组织的配置文件。 

NIST文件考虑到风险管理是识别、评估和响应与组织任务目标相关的风险的持续过程。为了管理风险，组织应了解任何潜在影响以及事件发生的可能性。组织还应考虑可能影响或告知网络安全决策的法律和政策要求。 

该配置文件还为利益相关者提供了一种灵活的方法来管理与卫星总线或有效载荷接口时的风险，而不管风险的来源，包括自然事件、恶意行为和具有意外后果的人类活动。它还提供了一个起点，组织可以从中定制他们的风险管理方法。此外，该指南旨在与现有风险管理流程结合使用，以提供额外的风险管理考虑因素。 

该文档还引用了NIST CSF，它根据现有标准、指南和实践提供优先、灵活、基于风险和自愿的指导，以帮助组织更好地理解、管理和沟通网络安全风险。CSF旨在为利益相关者提供一种方法，以评估其在识别、保护、检测、响应和恢复操作方面的网络安全态势，并制定提升风险态势的计划。

网络安全框架由三个主要部分组成。

第一部分是“框架核心”，使用通用语言提供所需网络安全活动和结果的目录，并指导组织以补充其现有网络安全和风险管理流程的方式管理和降低其网络安全风险。

第二部分是“框架实施层级”，为组织如何看待网络安全风险管理提供了背景信息，并帮助组织了解他们是否拥有有效且可重复的网络安全风险管理流程，以及网络安全风险管理与更广泛的组织风险管理决策相结合的程度. 

最后一部分，它还涉及根据核心成果定制的“框架配置文件”，以符合组织的要求。配置文件主要用于识别和优先考虑改善组织网络安全的机会。

网络安全框架以结果为基础，侧重于网络安全功能而不是组件。网络安全框架概要文件并不旨在提供具体的实施指导。然而，概要文件将提供现有标准、指南和实践的信息参考，这些标准、指南和实践提供了实用的指导，以帮助组织实现每个子类别的预期结果。

2022年11月，隶属于NIST的国家网络安全卓越中心 (NCCoE)发布了混合卫星网络 (HSN) 的CSF配置文件的最终注释大纲。网络安全指南旨在确定一种评估HSN网络安全态势的方法，HSN提供基于卫星的通信、定位、导航和授时 (PNT)、遥感、天气监测和成像系统等服务。