我叫嵩离,某国家级航天发射中心的网络与任务安防总监,在内部,我们把最近这套全链路防护体系戏称为“三角洲行动猛攻绝密航天”。它不是电影里的作战计划,而是我们为保卫一次次高价值火箭发射、深空探测任务所搭建的一整套“隐形盾牌”。

点进这篇文章,多半你正做信息安全、航天配套、或在考虑把自己关键业务往“航天级安全标准”上靠。我打算从一名长期在发射区和机房两头跑的“内部人”视角,拆开这个听上去很燃的代号,把它还原成一套可理解、可借鉴、甚至可部分复制到你业务里的安全思路。

我不会给你讲玄幻故事,而是结合最近两三年的真实事件和新数据,聊清楚三件事:当前针对航天的网络与物理攻击在变成什么样、我们如何用一套“猛攻式”防御思路反向设计系统、以及你可以把什么带走,应用在自己的公司和项目上。

从“好莱坞剧情”落地到发射塔旁的真实威胁

在航天单位里,没人再把“黑客入侵火箭”“卫星被挟持”当成夸张桥段。联合国和平利用外层空间委员会在2024年发布的相关讨论报告里,已经多次点名“对航天基础设施的网络攻击风险显著增加”,而我们内部看到的数据更直观。

国际网络安全厂商在2024年年中的威胁态势分析中提到,和“航天、卫星通信、国防相关的目标”相关的定向攻击样本,相比2022年增长接近一倍。这类报告你在公开渠道就能搜到,只是里面的细节,比起我们内部看到的,已经算克制了。

在我们的发射任务中,风险来源大致有几类:

  • 供应链里的“隐形钩子”——某一次我们在固件审计里抓到一段可疑的调试代码,顺藤摸下去,发现是上游一个小厂商用了未经审计的开源组件,被攻击者顺势挂了“后门”,自己完全不自知。
  • 针对任务人员的高仿钓鱼——2023到2024年,针对我们技术骨干和调度指挥人员的钓鱼邮件命中率下降了,但数量却上来了,对方用的资料明显是从社交媒体和行业会议现场拼出来的。
  • 测试环境“被当生产打”——攻击者往往不会直接硬刚发射当日的主链路,而是绕到你觉得“没那么敏感”的测试网、仿真环境,通过弱口令或老旧服务打进去,再慢慢横向移动。
  • 卫星链路干扰与欺骗——这一块信息很多都不公开,但你能在一些公开案例中看到类似描述:卫星短时间失去稳定下行链路、遥测数据异常;在我们内部,这是必须重点演练的场景之一。

所谓“三角洲行动猛攻绝密航天”,其实就是承认一个现实:攻击者已经把航天当成成熟的高价值目标,他们不再只在理论上讨论“能不能黑掉火箭”,而是在现实中,一点点试探、渗透、积累筹码。

“猛攻式防御”:不是摆姿势,而是先假设自己被攻破

听起来有点拗口,“猛攻式防御”在我们内部有个更直白的说法:“假装对手已经在你内网里安了脚”。这不是悲观,而是安全策略的起点。

在这个代号下,我们做了三件对外看上去“有点偏执”的事,却极大改变了风险态势:

一是把进攻思维制度化,而不是零散做几次渗透测试。

当“三角洲行动猛攻绝密航天”从代号变成现实:一名航天安防总监的深度拆解

传统渗透测试,一年做一两次报告,放在柜子里吃灰,没有用。我们做的是长期红蓝对抗,把一支“自己的对手”养在体系里,给他们足够的权限和资源,甚至要求他们“像APT组织一样工作”。他们不需要写漂亮报告,唯一目标是:在不破坏任务的前提下,让我们真实感受“被打穿”的痛感。

结果怎样?

  • 第一年,对抗团队模拟外部攻击,平均一周就能拿到一个关键业务系统的管理权限。
  • 两年后,通过加固、细分权限、加强监控,这个时间被拉长到一个月以上,而且往往在初期行动就被监测系统抓出来,进入“拉锯战”阶段。

二是把安全控制嵌到任务流程,而不是事后补洞。

发射任务的流程长到超出很多人的想象:设计、仿真、总装、连线、测试、加注、发射、测控,每一个环节都有自己的系统和人员。最常见的误区是——把安全仅仅当成“IT部门的事”,而不是“任务流程的一部分”。

在“三角洲行动”框架下,我们做了很多看似“烦人”的调整:

  • 每一个影响飞行软件、遥测、指令链路的改动,要有配套的安全评估条目,变成流程里不可跳过的节点。
  • 发射关键期的账户、权限变化,集中到统一窗口审批,并全程记录;你想临时开一个调试口子,不是不行,但会有多人联签,而且会在任务结束后被自动收回。
  • 关键操作从“单人确认”扩展成“多角色交叉确认”,安全员不再是“旁观者”,而是真正有否决权的人。

这些动作会牺牲一点点效率,却换来更有底气的安全冗余感。

三是把可观测性当成生命线。

防御中最怕的不是有漏洞,而是“发生了事情却没人知道”。我们投入很大精力在构建横跨IT、OT(工业控制)、航天专用总线的统一可视体系,让安全事件在不同层面上有“回声”。

这意味着:

  • 某个看似无害的IP段,如果在一个小时内连续对几个仿真服务器做异常探测,会触发我们蓝队的主动排查。
  • 一台本应该“沉默”的测试终端,深夜突然与外网建立加密连接,即便带宽只有几十KB,也会被安全平台标成高风险事件。
  • 对接上游厂商的接口,如果行为模式和“正常工作日”差别过大,会被拉出来做专项验证。

这种“看得见”本身,就是对对手的一种无形压力。

把“绝密”拆开:哪些环节最容易被忽略却最致命

很多外部同行问我:“你们说的‘绝密航天’到底绝密在哪?是不是就意味着什么都不能说?”从实务角度看,真正绝密的是细节实现——比如具体任务参数、加密实现方式、不同系统间的拓扑关系。这些当然不能写在公开文章里。

但从安全工程的角度,有几个常被忽略、又极为关键的点,我可以坦然摊开聊:

被当成“没那么重要”的次级系统

攻击者很清楚,一上来就硬碰发射控制主机几乎没什么胜算,他们更偏向绕道,比如:

  • 行政办公网中某个文档管理系统
  • 设备供应商留下的远程维护通道
  • 没有严格权限控制的工程日志库

我们曾经在一次红队演练中刻意“放水”:在一个老旧的文件共享系统里保留了弱口令,看看红队会怎么玩。他们用了不到两天,就通过这个点漫游到测试环境的数据库,随后通过误配的接口拿到了一部分仿真参数的读权限。

这不是灾难性失控,却足以触发我们对“边角系统”的重新审视。

人是最强也是最脆的环节

航天行业有一个特点:从事关键岗位的人往往非常专注本专业,却不一定对网络攻防有足够的敏感度。

2024年我们梳理了一次内部安全事件记录——在过去24个月的几十起安全事件中,超过一半直接或间接和“人的操作选择”相关:

  • 通过私人邮箱转发工作文档
  • 把内部会议纪要放在个人云盘
  • 在会议上通过二维码下载演示资料,却忽视手机本身的风险

这类行为并不出于恶意,只是缺少“把自己当成攻击目标”的习惯。我们的做法,是用接地气的安全培训和真实演练取代说教,用“你刚才已经被模拟攻击成功”的直观体验,让大家偏向更谨慎。

跨国合作与数据共享的灰色带宽

现代航天任务几乎都离不开跨机构、甚至跨国合作。数据共享平台、联合试验、联合分析,这些都大大推动了技术进步,也为攻击者打开了新的门缝。

我们在实际项目里看到的趋势是:

  • 越是跨机构协作平台,越容易在权限定义上出现“模糊地带”;
  • 越是临时搭建的联合测试环境,越容易在隔离措施上“先凑合用着”。

“三角洲行动”里有一个重要原则:所有跨边界的数据流,要么能被精确描述,要么暂时不允许存在。听着有些苛刻,但现实已经一次次证明,“讲不清楚”的数据流几乎都有问题。

如果你不是做航天,也能借走这套“猛攻绝密思维”

很多人以为航天安全离自己很远,只有火箭、卫星才配得上这种投入。站在我这个岗位看,其实很多互联网公司、智能制造、智慧城市平台,已经和“航天基础设施”有惊人相似之处:

都是高价值、长链条、跨组织协同、且一旦出问题就会被放大关注。

所以我愿意把“三角洲行动猛攻绝密航天”里的几条内核,翻译成更普适的做法,你可以直接拿去和团队讨论:

把“常态红队”当成一项长期预算,而不是项目附件

哪怕你不是航天单位,只要业务足够重要,都值得养一支“内部攻击者”。这支团队可以是自建,也可以是长期合作的第三方关键小组,关键是:

  • 他们的目标不是提交多少页的渗透报告,而是持续挑战你的防线;
  • 他们要接入你的日常变更节奏,而不是“年底走个流程”;
  • 他们暴露的问题,管理层要有“认真被打”的心理预期,而不是把它当成面子问题。

把安全关口前移到业务设计,而不是上线前补丁

不管是发射任务还是互联网产品,越早把安全考虑进来,代价越小、效果越好。

在我们这边,发射任务立项阶段就会有安全人员参与评审,评的不是“有没有漏洞”,而是这个任务在整体体系里增加了哪些新的暴露面。你可以在自己公司推一个简单版本:

  • 新项目立项材料里,强制加一页“安全暴露面说明”;
  • 每个对外服务必须写清楚“谁可以通过什么方式访问”;
  • 每个新功能设计评审会里,有一个固定环节讨论“最容易被攻击的地方在哪”。

把可观测性做厚,靠实时感知减少后悔

我们在航天里强调遥测、轨迹、姿态数据的实时监控,其实安全层面也需要相同的“遥测”:

  • 基础日志不仅要留,还要沉淀出能够被快速检索和关联的结构;
  • 对关键行为(登录、提权、关键操作)做细粒度审计,而不是只在事后翻看系统日志;
  • 建立自己的“威胁画像”,而不是完全依赖外部情报源。

你的业务越关键,这种“看见”的需求就越迫切。没有可观测性,就算部署了几十种安全设备,也更像是在黑暗中摸索。

永远把人当作安全策略的一部分,而不只是“需要被培训的对象”

在航天行业,安全员可以拦住一次发射操作,技术负责人可以要求复核一道指令,哪怕这意味着流程放缓一点。

在互联网或其他行业,公司同样可以:

  • 给一线开发和运维真正的“阻断权”,在他们判断有异常时,可以停下某项发布或操作;
  • 把安全案例匿名化后回放,让所有人看到“一次疏忽会导向什么结果”;
  • 在考核里增加“安全贡献”维度,比如主动发现问题、推动修复、优化流程,都能被记录。

做到这一点,安全不再只是几份规章制度,而是渗透在团队的日常选择里。

写在尾声:被看见之前,我们更希望少一些事故

截至2026年2月,我所在的发射中心最近几年完成的中大型发射任务中,没有出现因网络入侵导致的安全事故,这背后不是“万无一失”,而是每一次演练、每一条日志、每一次被红队“捶穿”后的修复,累积起来的结果。

“三角洲行动猛攻绝密航天”对我们来说,是一个带着一点热血气息的内部代号,却也提醒我:

  • 攻防已经走到一个新阶段,航天不再是“天然神圣不可侵犯”的孤岛;
  • 安全再怎么做,也只是把风险压到更可接受的范围内,而不是消失;
  • 真正有效的防护,往往长得不那么炫酷,更像一套啰嗦却可靠的习惯。

如果你看完这些内容,对自己的业务安全有一点点不安,那其实是件好事。

你不必复制我们所有的做法,但可以从今天开始,在团队里丢出一个简单的问号:

“如果有一个看不见的攻击者,正在把我们当成‘下一次猛攻目标’,我们现在的系统、流程、和人,会在哪个环节先露出破绽?”

当你能回答这个问题的时候,你已经在向自己的“三角洲行动”迈出第一步。