船舶VSAT與網絡安全研究

摘? 要：VSAT為船舶提供了價格相對低廉、上網速度比較快的衛星通信服務，受到船舶所有人和船員的青睞。目前提供VSAT寬帶衛星通信業務的通信公司很多，實力和服務水平也參差不齊。同時，該系統是非GMDSS系統，缺少統一的規范標準，這樣給船舶網絡安全帶來了一定的風險，因此在使用該網絡的同時，也必須充分考慮到這些風險，做好防范工作，在享受VSAT帶來便利的同時，避免遭受網絡攻擊，確保船舶營運安全。

關鍵詞：衛星通信;VSAT;Inmarsat系統;銥星系統;GMDSS;網絡安全

從21世紀初開始，隨著船舶智能化、數字化進程的加快，物聯網的應用，船舶視頻、船舶日常監管和應急指揮以及船員個人對通信和網絡的需求，都對大容量的寬帶衛星通信服務提出了更高的要求，為滿足這些需求，一種新型的衛星通信方式——VSAT在船舶上得到廣泛的應用。在得到VSAT系統給我們提供的快速、廉價衛星通信服務的同時，它的運用所帶來的網絡安全問題也必須引起我們的重視。

1 船用衛星通信系統現狀

衛星通信是目前也是將來船舶的主要通信方式。按照要求分，船舶通信有2種類型，一是保障海上人命安全及船舶航行安全的應急通信，二是滿足船舶所有人和船員日常通信需求的常規通信。

在衛星通信系統中，目前只有Inmarsat系統提供船舶應急通信服務。由于美國的積極推動，2024年后，美國的“銥星系統”也將為船舶提供應急通信服務，屆時，船舶應急通信將由Inmarsat和“銥星系統”兩個衛星通信系統共同提供應急通信服務，以滿足保障海上人命安全及船舶航行安全的船舶遇險與通信的需求。

常規通信中，Inmarsat系統相繼推出了Fleet Board業務（L波段）和Global Xpress業務（Ka波段），Global Xpress同Fleet Boradband兩種業務組合為Inmarsat Fleet Xpress業務（早期稱為Inmarsat-VSAT），這樣既提高了通信的可靠性（L波段特點），同時也提高信息傳輸傳輸速率，降低了通信費用（Ka波段特點），只是船用通信設備增加一副衛星天線而已。“銥星系統”在常規通信中也準備開展Ka波段的業務，以提高通信速度，降低通信費用來吸引更多的用戶。但是由于這兩個系統通信費用比較高等原因，盡管這兩個系統被納入GMDSS中，船東在常規通信中選擇使用這兩個系統還是有所考慮的。

由于上述原因，目前在船舶常規通信中得到廣泛應用的VSAT系統還將繼續在船舶常規通信中充當重要的角色。即在今后的船舶常規通信中，將會出現Inmarsat系統、“銥星系統”和船東自行選擇的VSAT系統并存的局面。

2 VSAT簡介

VSAT（Very Small Aperture Terminal）甚小口徑衛星終端，自20世紀80年代最先在美國興起，用戶終端天線口徑小，通常為0.3～1.4 m。

VSAT系統由一個主站及眾多分散設置在各個用戶所在地的遠端VSAT終端組成，使用的衛星主要由地球靜止軌道衛星組成，衛星工作在不同的頻段，如C波段、Ku波段和Ka波段。VSAT系統具有靈活性強，可靠性高，成本低等特點。可提供電話、傳真、數據信息等多種通信業務，數據傳輸速率可達兆（M）級。

船載VSAT系統是由通信運營商租用不同通信衛星組織的衛星（個別也有自有衛星）或轉發器后組成的一個通信衛星網絡，與傳統船用網絡相比，VSAT系統傳輸速率較快、費率相對低廉。但是VSAT系統工作的波段（Ku和Ka波段）容易受到雷暴天氣影響。

2.1 VSAT系統組成

VSAT衛星通信系統由空間和地面兩部分組成，如圖1所示。

VSAT空間部分主要有靜止軌道衛星組成，衛星工作的頻段有C（4～8 GHz）波段、Ku（12～18 GHz）波段和Ka（26.5～40 GHz）頻段，星上轉發器的發射功率應盡量大，以使VSAT地面終端的天線尺寸盡量小。早期衛星通信使用C波段，后來因為C波段變得擁擠，于是就相繼出現了Ku波段、Ka波段等。C波段信號覆蓋地域廣，信號強度弱，接收天線要求面積大。Ku和Ka波段信號強，但覆蓋地域小，波長短，天線面積較小，但雨衰問題比較嚴重。

VSAT的地面部分由主站、遠端站和網絡控制單元組成，對于開放船舶通信業務的VSAT來說，主站的作用是陸地網絡和移動網絡的網關，遠端站是衛星通信網絡的主體，VSAT衛星通信網就是由許多的遠端站組成的，這些站越多每個站分攤的費用就越低。一般遠端站直接安裝于用戶處，與用戶的終端設備連接。

船舶VSAT遠端站由室外單元和室內單元組成，如圖2所示。室外單元即射頻設備，包括小口徑天線、上下變頻器和各種放大器;室內單元即中頻及基帶設備，包括調制解調器、編譯碼器等，因業務不同而略有不同。

2.2 VSAT通信網絡

VSAT典型的網絡形態有：星狀網與網狀網，如圖3所示。

星狀網是指以VSAT網絡主站為網絡中心，各VSAT端站與主站之間構成通信鏈路，各VSAT端站之間不構成直接的通信鏈路。VSAT端站之間構成通信鏈路時需要通過VSAT主站轉發來實現。這類功能均由VSAT主站的網絡控制系統參與來完成。

網狀網是指各VSAT端站之間相互構成直接的通信鏈路，不通過VSAT主站轉發。VSAT主站只起到全VSAT網絡的控制、管理及VSAT主站和端站之間的通信。

從應用方面看，VSAT主要分為兩大類，即共用VSAT網與專用VSAT網。

共用VSAT網確切地講是主站共用VSAT網，經營者擁有功能較強的主站網控網管系統，以及較強的通信能力。各種類型的VSAT用戶可以作為一個VSAT 子網在同一個VSAT主站控制管理下，組織本子網內的各種類型的通信業務。共用VSAT網在使用上較經濟。用戶自身一般不需要建投資很高、維護要求也很高的VSAT主站。特別在子系統內VSAT端站數量比較少，達不到規模效益的情況下，選用共用VSAT系統是比較合適的，目前提供船舶使用的VSAT網基本就是這種網絡。

專用VSAT網在運行方式上和共用VSAT網一樣，主要區別在行政管理上。專用VSAT網是由用戶單位自己投資建設系統，自己運行管理，以解決自身的通信業務要求。VSAT端站的用戶是本系統的一個分支機構，一般不對社會開放經營通信業務，也不納入社會通信基礎網絡中。

2.3 VSAT業務及分類

VSAT系統可提供電話、傳真、數據信息等多種通信業務，根據業務性質可分為數據通信網、語音通信網和電視衛星通信網三大類。數據通信網以數據通信為主，除數據通信外，還能提供傳真及少量的話音業務;語音通信網以話音通信為主，主要供公用網和專用網話音信號的傳輸和交換，同時也能提供交互型的數據業務;電視衛星通信網以電視接收為主。

2.4 VSAT通信特點

與Inmarsat衛星系統相比，VSAT衛星通信系統的特點，主要包括以下幾個方面。

（1）VSAT終端天線的直徑較小，目前采用較多的是1.2～1.8 m。還有直徑為0.3 m的便攜式個人地球站。

（2）發射功率小，一般在1～3 W之間。

（3）重量輕，常用的為幾十千克，有的小到幾千克，便于攜帶。

（4）數據傳輸速度快，上行（終端到衛星）可達2 Mbps，下行（衛星到終端）可達64 Mbps甚至更高，通信費用低于Inmarsat系統。

（5）組網靈活，容易擴充，可使用多種網絡結構。傳統Inmarsat系統網絡結構僅為星型，兩個終端間通信存在明顯延時，通信鏈路按“終端 衛星地面站衛星終端”進行。VSAT系統可以有多種網絡結構，兩終端間通信，通信鏈路可按“終端-衛星-終端”進行，大大縮減了信號傳輸延時。

2.5 VSAT系統存在的主要問題

VSAT系統組網靈活、容易擴充，這既是其優點，也是其缺點。由于VSAT系統組網容易，同時國際上也沒有統一的標準對于VSAT寬帶業務供應商進行約束和規范，所以涌現出了許多VSAT船舶寬帶業務供應商，這些供應商有的租用衛星的轉發器、波束，有的依附于大的VSAT供應商，提供的服務水平參差不齊。而個別航運用戶也缺乏相關寬帶VSAT衛星通信業務經驗，往往只從價格上判斷來選擇VSAT通信業務供應商，這不但導致現在很多應用實際還是窄帶通信模式，而且服務和網絡安全保障也跟不上，突出的問題是使船舶網絡容易遭受網絡攻擊的威脅。

3 VSAT系統網絡安全的思考與建議

VSAT由于通信費用相對較低，信息傳播速度比較高，在船舶上得到廣泛的應用，使船舶成了陸地Internet的一個終端用戶，船員可以方便地利用VSAT在船上進行電子郵件的收發、網頁瀏覽、文件和資料下載等操作，這一方面豐富了船員的文化生活，對于穩定船員隊伍、提升船員的士氣和工作效率有著重要的作用;但是另一方面，VSAT的使用，遭受網絡威脅的隱患也在不斷增加，這也是船舶管理者不得不面對的一個緊迫而現實的問題。

2018年，Marlink通信公司的一份統計報告中指出：全球所有電子郵件中，70%以上含有垃圾郵件和病毒;已知的惡意軟件程序超過500 000 000種，每天檢測到的新型變種超過390 000個;船舶每天因網絡攻擊造成的網絡中斷引起的業務中斷費用已超過50 000 美元;但是由于受到網絡攻擊而造成的損失不在船舶保險之列，這些損失得不到賠付。

面對來勢洶洶的網絡攻擊，一些航運公司采用消極和極端的方式，就是封鎖或限制VSAT的大部分功能的使用，這不僅違背了安裝VSAT的初衷，同時在網絡時代，網絡已經融入船舶運營和管理的各個方面，如收發電子郵件、網絡視頻、網絡電話、接收海上安全信息、電子海圖更新等等，這些都離不開網絡，為了船舶信息安全而讓船舶與網絡隔離，這在目前互聯網、物聯網時代是不現實也是不可取，現在需要做的就是主動了解可能對船舶網絡造成威脅的原因，積極地進行預防和應對。

統計資料表明，80%的網絡安全事件是由于人為錯誤造成。以下原因可能造成網絡風險，使船舶網絡面臨遭受攻擊的威脅。

（1）船員訪問非指定的危險網站;

（2）船員從互聯網下載危險文件;

（3）船員將惡意軟件感染的USB存儲設備與計算機連接;

（4）船上收到欺詐性垃圾郵件和釣魚郵件，跳轉至可盜取保密信息的網站;

（5）惡意軟件感染從船員使用的網絡擴散到運營性業務網絡;

（6）船員接通船上一個未經授權的、可能潛在受到病毒感染的設備;

（7）通過一個公共的IP地址或靜態IP地址遠程訪問另一個船舶的設備，使設備有受到網絡攻擊的危險;

（8）老舊軟件存在安全漏洞，攻擊者可能利用漏洞進入網絡;

（9）船員不經過IT部門批準，擅自更改PC的配置，安裝了其他應用程序;

（10）惡意軟件修改IT系統，并/或刪除重要的業務文件。

從上面列舉的10項可能造成船舶網絡遭受攻擊威脅的原因看，人為的因素占很大一部分，所以除了加強對船員進行網絡安全方面的教育外，還應該采取一些必要措施，確保網絡安全。

（1）選擇勢力比較強的衛星通信服務提供商。由于船舶寬帶VSAT衛星通信市場起步不久，同時也不是GMDSS規定的業務，現在沒有規范標準，將來也不會有統一的標準，用戶也缺乏管理寬帶VSAT衛星通信業務經驗，這種情況下，就應該選擇勢力比較強的衛星通信服務提供商，這些運營商有著豐富的應對網絡攻擊的經驗，通過防火墻、網頁過濾、文件識別以及文件備份等手段，確保船舶數據安全。

（2）對于比較大的航運公司，在條件允許情況下，打造一個統一的平臺。平臺建立后，將公司所屬船舶的衛星通信服務統一到平臺中，實現按要求分組、帶寬調配等適應航運業務需求的功能，完成衛星通信業務的歸口統一管理和服務運營。這樣平臺可以識別一些潛在的危險網站，并阻止船員瀏覽這些網站;平臺也可以阻止一些文件的下載。通過集中處理各類衛星通信業務，保證航運公司船舶數據通信安全。

（3）船舶網絡終端實行分類管理。把船員上網的網絡與船舶營運性網絡進行分割，并進行嚴格管理，對船舶營運性網絡終端的USB等接口進行物理封堵。

（4）安裝并及時更新殺毒軟件，對于下載的文件，首先進行殺毒。

（5）對于外來的存儲設備應在專用電腦上殺毒并打開。

（6）避免在公眾互聯網傳送機密信息，以防止網絡黑客截獲經公共互聯網傳送的機密數據，造成商業機密泄露。

VSAT衛星通信系統以其便捷的服務、相對低廉的通信價格受到船東的青睞，與此同時也帶來了船舶網絡安全的問題，只要在應用該項業務的時候加強對于船員的網絡安全教育，積極預防，就一定能夠免于遭受網絡攻擊威脅，使VSAT系統在船舶營運和船員個人網絡需求方面發揮更重要的作用。

作者簡介：

柳邦聲，教授，研究方向：船舶無線電通信與導航，（E-mail）liu.bangsheng@coscoshipping.com