船舶VSAT與網(wǎng)絡(luò)安全研究

摘? 要：VSAT為船舶提供了價格相對低廉、上網(wǎng)速度比較快的衛(wèi)星通信服務(wù)，受到船舶所有人和船員的青睞。目前提供VSAT寬帶衛(wèi)星通信業(yè)務(wù)的通信公司很多，實力和服務(wù)水平也參差不齊。同時，該系統(tǒng)是非GMDSS系統(tǒng)，缺少統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，這樣給船舶網(wǎng)絡(luò)安全帶來了一定的風(fēng)險，因此在使用該網(wǎng)絡(luò)的同時，也必須充分考慮到這些風(fēng)險，做好防范工作，在享受VSAT帶來便利的同時，避免遭受網(wǎng)絡(luò)攻擊，確保船舶營運安全。

關(guān)鍵詞：衛(wèi)星通信;VSAT;Inmarsat系統(tǒng);銥星系統(tǒng);GMDSS;網(wǎng)絡(luò)安全

從21世紀(jì)初開始，隨著船舶智能化、數(shù)字化進程的加快，物聯(lián)網(wǎng)的應(yīng)用，船舶視頻、船舶日常監(jiān)管和應(yīng)急指揮以及船員個人對通信和網(wǎng)絡(luò)的需求，都對大容量的寬帶衛(wèi)星通信服務(wù)提出了更高的要求，為滿足這些需求，一種新型的衛(wèi)星通信方式——VSAT在船舶上得到廣泛的應(yīng)用。在得到VSAT系統(tǒng)給我們提供的快速、廉價衛(wèi)星通信服務(wù)的同時，它的運用所帶來的網(wǎng)絡(luò)安全問題也必須引起我們的重視。

1 船用衛(wèi)星通信系統(tǒng)現(xiàn)狀

衛(wèi)星通信是目前也是將來船舶的主要通信方式。按照要求分，船舶通信有2種類型，一是保障海上人命安全及船舶航行安全的應(yīng)急通信，二是滿足船舶所有人和船員日常通信需求的常規(guī)通信。

在衛(wèi)星通信系統(tǒng)中，目前只有Inmarsat系統(tǒng)提供船舶應(yīng)急通信服務(wù)。由于美國的積極推動，2024年后，美國的“銥星系統(tǒng)”也將為船舶提供應(yīng)急通信服務(wù)，屆時，船舶應(yīng)急通信將由Inmarsat和“銥星系統(tǒng)”兩個衛(wèi)星通信系統(tǒng)共同提供應(yīng)急通信服務(wù)，以滿足保障海上人命安全及船舶航行安全的船舶遇險與通信的需求。

常規(guī)通信中，Inmarsat系統(tǒng)相繼推出了Fleet Board業(yè)務(wù)（L波段）和Global Xpress業(yè)務(wù)（Ka波段），Global Xpress同F(xiàn)leet Boradband兩種業(yè)務(wù)組合為Inmarsat Fleet Xpress業(yè)務(wù)（早期稱為Inmarsat-VSAT），這樣既提高了通信的可靠性（L波段特點），同時也提高信息傳輸傳輸速率，降低了通信費用（Ka波段特點），只是船用通信設(shè)備增加一副衛(wèi)星天線而已。“銥星系統(tǒng)”在常規(guī)通信中也準(zhǔn)備開展Ka波段的業(yè)務(wù)，以提高通信速度，降低通信費用來吸引更多的用戶。但是由于這兩個系統(tǒng)通信費用比較高等原因，盡管這兩個系統(tǒng)被納入GMDSS中，船東在常規(guī)通信中選擇使用這兩個系統(tǒng)還是有所考慮的。

由于上述原因，目前在船舶常規(guī)通信中得到廣泛應(yīng)用的VSAT系統(tǒng)還將繼續(xù)在船舶常規(guī)通信中充當(dāng)重要的角色。即在今后的船舶常規(guī)通信中，將會出現(xiàn)Inmarsat系統(tǒng)、“銥星系統(tǒng)”和船東自行選擇的VSAT系統(tǒng)并存的局面。

2 VSAT簡介

VSAT（Very Small Aperture Terminal）甚小口徑衛(wèi)星終端，自20世紀(jì)80年代最先在美國興起，用戶終端天線口徑小，通常為0.3～1.4 m。

VSAT系統(tǒng)由一個主站及眾多分散設(shè)置在各個用戶所在地的遠端VSAT終端組成，使用的衛(wèi)星主要由地球靜止軌道衛(wèi)星組成，衛(wèi)星工作在不同的頻段，如C波段、Ku波段和Ka波段。VSAT系統(tǒng)具有靈活性強，可靠性高，成本低等特點?？商峁╇娫挕髡?、數(shù)據(jù)信息等多種通信業(yè)務(wù)，數(shù)據(jù)傳輸速率可達兆（M）級。

船載VSAT系統(tǒng)是由通信運營商租用不同通信衛(wèi)星組織的衛(wèi)星（個別也有自有衛(wèi)星）或轉(zhuǎn)發(fā)器后組成的一個通信衛(wèi)星網(wǎng)絡(luò)，與傳統(tǒng)船用網(wǎng)絡(luò)相比，VSAT系統(tǒng)傳輸速率較快、費率相對低廉。但是VSAT系統(tǒng)工作的波段（Ku和Ka波段）容易受到雷暴天氣影響。

2.1 VSAT系統(tǒng)組成

VSAT衛(wèi)星通信系統(tǒng)由空間和地面兩部分組成，如圖1所示。

VSAT空間部分主要有靜止軌道衛(wèi)星組成，衛(wèi)星工作的頻段有C（4～8 GHz）波段、Ku（12～18 GHz）波段和Ka（26.5～40 GHz）頻段，星上轉(zhuǎn)發(fā)器的發(fā)射功率應(yīng)盡量大，以使VSAT地面終端的天線尺寸盡量小。早期衛(wèi)星通信使用C波段，后來因為C波段變得擁擠，于是就相繼出現(xiàn)了Ku波段、Ka波段等。C波段信號覆蓋地域廣，信號強度弱，接收天線要求面積大。Ku和Ka波段信號強，但覆蓋地域小，波長短，天線面積較小，但雨衰問題比較嚴(yán)重。

VSAT的地面部分由主站、遠端站和網(wǎng)絡(luò)控制單元組成，對于開放船舶通信業(yè)務(wù)的VSAT來說，主站的作用是陸地網(wǎng)絡(luò)和移動網(wǎng)絡(luò)的網(wǎng)關(guān)，遠端站是衛(wèi)星通信網(wǎng)絡(luò)的主體，VSAT衛(wèi)星通信網(wǎng)就是由許多的遠端站組成的，這些站越多每個站分攤的費用就越低。一般遠端站直接安裝于用戶處，與用戶的終端設(shè)備連接。

船舶VSAT遠端站由室外單元和室內(nèi)單元組成，如圖2所示。室外單元即射頻設(shè)備，包括小口徑天線、上下變頻器和各種放大器;室內(nèi)單元即中頻及基帶設(shè)備，包括調(diào)制解調(diào)器、編譯碼器等，因業(yè)務(wù)不同而略有不同。

2.2 VSAT通信網(wǎng)絡(luò)

VSAT典型的網(wǎng)絡(luò)形態(tài)有：星狀網(wǎng)與網(wǎng)狀網(wǎng)，如圖3所示。

星狀網(wǎng)是指以VSAT網(wǎng)絡(luò)主站為網(wǎng)絡(luò)中心，各VSAT端站與主站之間構(gòu)成通信鏈路，各VSAT端站之間不構(gòu)成直接的通信鏈路。VSAT端站之間構(gòu)成通信鏈路時需要通過VSAT主站轉(zhuǎn)發(fā)來實現(xiàn)。這類功能均由VSAT主站的網(wǎng)絡(luò)控制系統(tǒng)參與來完成。

網(wǎng)狀網(wǎng)是指各VSAT端站之間相互構(gòu)成直接的通信鏈路，不通過VSAT主站轉(zhuǎn)發(fā)。VSAT主站只起到全VSAT網(wǎng)絡(luò)的控制、管理及VSAT主站和端站之間的通信。

從應(yīng)用方面看，VSAT主要分為兩大類，即共用VSAT網(wǎng)與專用VSAT網(wǎng)。

共用VSAT網(wǎng)確切地講是主站共用VSAT網(wǎng)，經(jīng)營者擁有功能較強的主站網(wǎng)控網(wǎng)管系統(tǒng)，以及較強的通信能力。各種類型的VSAT用戶可以作為一個VSAT 子網(wǎng)在同一個VSAT主站控制管理下，組織本子網(wǎng)內(nèi)的各種類型的通信業(yè)務(wù)。共用VSAT網(wǎng)在使用上較經(jīng)濟。用戶自身一般不需要建投資很高、維護要求也很高的VSAT主站。特別在子系統(tǒng)內(nèi)VSAT端站數(shù)量比較少，達不到規(guī)模效益的情況下，選用共用VSAT系統(tǒng)是比較合適的，目前提供船舶使用的VSAT網(wǎng)基本就是這種網(wǎng)絡(luò)。

專用VSAT網(wǎng)在運行方式上和共用VSAT網(wǎng)一樣，主要區(qū)別在行政管理上。專用VSAT網(wǎng)是由用戶單位自己投資建設(shè)系統(tǒng)，自己運行管理，以解決自身的通信業(yè)務(wù)要求。VSAT端站的用戶是本系統(tǒng)的一個分支機構(gòu)，一般不對社會開放經(jīng)營通信業(yè)務(wù)，也不納入社會通信基礎(chǔ)網(wǎng)絡(luò)中。

2.3 VSAT業(yè)務(wù)及分類

VSAT系統(tǒng)可提供電話、傳真、數(shù)據(jù)信息等多種通信業(yè)務(wù)，根據(jù)業(yè)務(wù)性質(zhì)可分為數(shù)據(jù)通信網(wǎng)、語音通信網(wǎng)和電視衛(wèi)星通信網(wǎng)三大類。數(shù)據(jù)通信網(wǎng)以數(shù)據(jù)通信為主，除數(shù)據(jù)通信外，還能提供傳真及少量的話音業(yè)務(wù);語音通信網(wǎng)以話音通信為主，主要供公用網(wǎng)和專用網(wǎng)話音信號的傳輸和交換，同時也能提供交互型的數(shù)據(jù)業(yè)務(wù);電視衛(wèi)星通信網(wǎng)以電視接收為主。

2.4 VSAT通信特點

與Inmarsat衛(wèi)星系統(tǒng)相比，VSAT衛(wèi)星通信系統(tǒng)的特點，主要包括以下幾個方面。

（1）VSAT終端天線的直徑較小，目前采用較多的是1.2～1.8 m。還有直徑為0.3 m的便攜式個人地球站。

（2）發(fā)射功率小，一般在1～3 W之間。

（3）重量輕，常用的為幾十千克，有的小到幾千克，便于攜帶。

（4）數(shù)據(jù)傳輸速度快，上行（終端到衛(wèi)星）可達2 Mbps，下行（衛(wèi)星到終端）可達64 Mbps甚至更高，通信費用低于Inmarsat系統(tǒng)。

（5）組網(wǎng)靈活，容易擴充，可使用多種網(wǎng)絡(luò)結(jié)構(gòu)。傳統(tǒng)Inmarsat系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)僅為星型，兩個終端間通信存在明顯延時，通信鏈路按“終端 衛(wèi)星地面站衛(wèi)星終端”進行。VSAT系統(tǒng)可以有多種網(wǎng)絡(luò)結(jié)構(gòu)，兩終端間通信，通信鏈路可按“終端-衛(wèi)星-終端”進行，大大縮減了信號傳輸延時。

2.5 VSAT系統(tǒng)存在的主要問題

VSAT系統(tǒng)組網(wǎng)靈活、容易擴充，這既是其優(yōu)點，也是其缺點。由于VSAT系統(tǒng)組網(wǎng)容易，同時國際上也沒有統(tǒng)一的標(biāo)準(zhǔn)對于VSAT寬帶業(yè)務(wù)供應(yīng)商進行約束和規(guī)范，所以涌現(xiàn)出了許多VSAT船舶寬帶業(yè)務(wù)供應(yīng)商，這些供應(yīng)商有的租用衛(wèi)星的轉(zhuǎn)發(fā)器、波束，有的依附于大的VSAT供應(yīng)商，提供的服務(wù)水平參差不齊。而個別航運用戶也缺乏相關(guān)寬帶VSAT衛(wèi)星通信業(yè)務(wù)經(jīng)驗，往往只從價格上判斷來選擇VSAT通信業(yè)務(wù)供應(yīng)商，這不但導(dǎo)致現(xiàn)在很多應(yīng)用實際還是窄帶通信模式，而且服務(wù)和網(wǎng)絡(luò)安全保障也跟不上，突出的問題是使船舶網(wǎng)絡(luò)容易遭受網(wǎng)絡(luò)攻擊的威脅。

3 VSAT系統(tǒng)網(wǎng)絡(luò)安全的思考與建議

VSAT由于通信費用相對較低，信息傳播速度比較高，在船舶上得到廣泛的應(yīng)用，使船舶成了陸地Internet的一個終端用戶，船員可以方便地利用VSAT在船上進行電子郵件的收發(fā)、網(wǎng)頁瀏覽、文件和資料下載等操作，這一方面豐富了船員的文化生活，對于穩(wěn)定船員隊伍、提升船員的士氣和工作效率有著重要的作用;但是另一方面，VSAT的使用，遭受網(wǎng)絡(luò)威脅的隱患也在不斷增加，這也是船舶管理者不得不面對的一個緊迫而現(xiàn)實的問題。

2018年，Marlink通信公司的一份統(tǒng)計報告中指出：全球所有電子郵件中，70%以上含有垃圾郵件和病毒;已知的惡意軟件程序超過500 000 000種，每天檢測到的新型變種超過390 000個;船舶每天因網(wǎng)絡(luò)攻擊造成的網(wǎng)絡(luò)中斷引起的業(yè)務(wù)中斷費用已超過50 000 美元;但是由于受到網(wǎng)絡(luò)攻擊而造成的損失不在船舶保險之列，這些損失得不到賠付。

面對來勢洶洶的網(wǎng)絡(luò)攻擊，一些航運公司采用消極和極端的方式，就是封鎖或限制VSAT的大部分功能的使用，這不僅違背了安裝VSAT的初衷，同時在網(wǎng)絡(luò)時代，網(wǎng)絡(luò)已經(jīng)融入船舶運營和管理的各個方面，如收發(fā)電子郵件、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)電話、接收海上安全信息、電子海圖更新等等，這些都離不開網(wǎng)絡(luò)，為了船舶信息安全而讓船舶與網(wǎng)絡(luò)隔離，這在目前互聯(lián)網(wǎng)、物聯(lián)網(wǎng)時代是不現(xiàn)實也是不可取，現(xiàn)在需要做的就是主動了解可能對船舶網(wǎng)絡(luò)造成威脅的原因，積極地進行預(yù)防和應(yīng)對。

統(tǒng)計資料表明，80%的網(wǎng)絡(luò)安全事件是由于人為錯誤造成。以下原因可能造成網(wǎng)絡(luò)風(fēng)險，使船舶網(wǎng)絡(luò)面臨遭受攻擊的威脅。

（1）船員訪問非指定的危險網(wǎng)站;

（2）船員從互聯(lián)網(wǎng)下載危險文件;

（3）船員將惡意軟件感染的USB存儲設(shè)備與計算機連接;

（4）船上收到欺詐性垃圾郵件和釣魚郵件，跳轉(zhuǎn)至可盜取保密信息的網(wǎng)站;

（5）惡意軟件感染從船員使用的網(wǎng)絡(luò)擴散到運營性業(yè)務(wù)網(wǎng)絡(luò);

（6）船員接通船上一個未經(jīng)授權(quán)的、可能潛在受到病毒感染的設(shè)備;

（7）通過一個公共的IP地址或靜態(tài)IP地址遠程訪問另一個船舶的設(shè)備，使設(shè)備有受到網(wǎng)絡(luò)攻擊的危險;

（8）老舊軟件存在安全漏洞，攻擊者可能利用漏洞進入網(wǎng)絡(luò);

（9）船員不經(jīng)過IT部門批準(zhǔn)，擅自更改PC的配置，安裝了其他應(yīng)用程序;

（10）惡意軟件修改IT系統(tǒng)，并/或刪除重要的業(yè)務(wù)文件。

從上面列舉的10項可能造成船舶網(wǎng)絡(luò)遭受攻擊威脅的原因看，人為的因素占很大一部分，所以除了加強對船員進行網(wǎng)絡(luò)安全方面的教育外，還應(yīng)該采取一些必要措施，確保網(wǎng)絡(luò)安全。

（1）選擇勢力比較強的衛(wèi)星通信服務(wù)提供商。由于船舶寬帶VSAT衛(wèi)星通信市場起步不久，同時也不是GMDSS規(guī)定的業(yè)務(wù)，現(xiàn)在沒有規(guī)范標(biāo)準(zhǔn)，將來也不會有統(tǒng)一的標(biāo)準(zhǔn)，用戶也缺乏管理寬帶VSAT衛(wèi)星通信業(yè)務(wù)經(jīng)驗，這種情況下，就應(yīng)該選擇勢力比較強的衛(wèi)星通信服務(wù)提供商，這些運營商有著豐富的應(yīng)對網(wǎng)絡(luò)攻擊的經(jīng)驗，通過防火墻、網(wǎng)頁過濾、文件識別以及文件備份等手段，確保船舶數(shù)據(jù)安全。

（2）對于比較大的航運公司，在條件允許情況下，打造一個統(tǒng)一的平臺。平臺建立后，將公司所屬船舶的衛(wèi)星通信服務(wù)統(tǒng)一到平臺中，實現(xiàn)按要求分組、帶寬調(diào)配等適應(yīng)航運業(yè)務(wù)需求的功能，完成衛(wèi)星通信業(yè)務(wù)的歸口統(tǒng)一管理和服務(wù)運營。這樣平臺可以識別一些潛在的危險網(wǎng)站，并阻止船員瀏覽這些網(wǎng)站;平臺也可以阻止一些文件的下載。通過集中處理各類衛(wèi)星通信業(yè)務(wù)，保證航運公司船舶數(shù)據(jù)通信安全。

（3）船舶網(wǎng)絡(luò)終端實行分類管理。把船員上網(wǎng)的網(wǎng)絡(luò)與船舶營運性網(wǎng)絡(luò)進行分割，并進行嚴(yán)格管理，對船舶營運性網(wǎng)絡(luò)終端的USB等接口進行物理封堵。

（4）安裝并及時更新殺毒軟件，對于下載的文件，首先進行殺毒。

（5）對于外來的存儲設(shè)備應(yīng)在專用電腦上殺毒并打開。

（6）避免在公眾互聯(lián)網(wǎng)傳送機密信息，以防止網(wǎng)絡(luò)黑客截獲經(jīng)公共互聯(lián)網(wǎng)傳送的機密數(shù)據(jù)，造成商業(yè)機密泄露。

VSAT衛(wèi)星通信系統(tǒng)以其便捷的服務(wù)、相對低廉的通信價格受到船東的青睞，與此同時也帶來了船舶網(wǎng)絡(luò)安全的問題，只要在應(yīng)用該項業(yè)務(wù)的時候加強對于船員的網(wǎng)絡(luò)安全教育，積極預(yù)防，就一定能夠免于遭受網(wǎng)絡(luò)攻擊威脅，使VSAT系統(tǒng)在船舶營運和船員個人網(wǎng)絡(luò)需求方面發(fā)揮更重要的作用。

作者簡介：

柳邦聲，教授，研究方向：船舶無線電通信與導(dǎo)航，（E-mail）liu.bangsheng@coscoshipping.com