知远战略与防务研究所 唐龙/编译自:美国政府问责局

【知远导读】本篇推送节选自美国政府问责局2018年10月发布的题为《武器系统网络安全——美国防部着手应对大规模网络安全漏洞》(WEAPON SYSTEMS CYBERSECURITY)的报告。报告指出,美国的武器系统在应对网络安全方面面临巨大挑战。这是由于武器系统不断网络化,而对武器系统网络安全的关注开始较晚,系统复杂、子系统众多、相互依赖性强、被攻击面大,以前未将网络安全纳入设计开发、后期测试不够、操作人员维护不力、部门之间信息流通不畅等多重因素造成的。随着美国国防部对武器系统网络安全的重视,目前已经将网络安全有关规定适用于武器系统,将网络安全纳入武器系统全寿命管理,更强调新武器系统的网络弹性,相关措施正在落实,但成效需要时间和实践检验。

本研究的目的

美国国防部计划花费大约1.66万亿美元来更新其主要武器系统。潜在对手已经开发出了针对美国防部武器系统的先进网络间谍和网络攻击能力。维护网络安全——保护信息和信息系统的过程——可以降低攻击者访问美国系统的可能性,并降低被他们攻击后可能造成的损害。

政府问责局已按要求审查国防部武器系统网络安全状况。这份报告涉及:

(1)导致国防部武器系统网络安全现状的因素;

(2)正在开发的武器系统存在的漏洞;

(3)掌握国防部现阶段正采取措施开发的具备网络弹性的武器系统情况。

为了完成这项工作,政府问责局分析了武器系统网络安全测试报告、政策和指南,采访了负责武器系统网络安全的国防部下属部门的主要官员,以及9个主要项目国防采办办公室的非通用样本的负责官员。

美国国防部在保护其武器系统免受日益复杂的网络威胁方面面临着越来越大的挑战。这种状况是由于武器系统的信息化造成的;国防部在优先考虑武器系统网络安全方面起步较晚,并且缺乏对如何开发更安全的武器系统的初步构想。美国国防部的武器系统比以往任何时候都更加依赖软件和网络。

自动化和网络化是国防部现代军事能力的基本保障。然而,它们使武器系统更容易受到网络攻击。尽管政府问责局和其他专家几十年来一直在警告网络安全风险,直到最近,国防部才将武器系统的网络安全摆在重要位置。最后,国防部仍在研究应如何更好地解决武器系统的网络安全问题。

在运行测试中,国防部经常在正在开发的系统中发现关键模块的网络漏洞,但是政府问责局会见相关项目官员时,他们却表示,他们的系统是安全的,并认为一些测试结果是不客观的。使用相对简单的工具和技术,测试人员能够控制系统漏洞并在很大程度上不被发现地继续运行,部分原因是一些基本问题导致的,比如密码使用管理不善和使用未加密的通信等。此外,由于测试范围等因素的限制,国防部所掌握的漏洞可能只占全部漏洞的一小部分。例如,并不是所有的项目都经过测试,测试也不能反映所有的威胁。

美国国防部最近采取了一些措施来改善武器系统的网络安全,包括发布和修订政策和指南,以更好地将网络安全因素纳入考虑范围。按照国会的指示,国防部已开始采取行动,更好地掌握和解决网络漏洞。然而,国防部面临的障碍可能会限制这些措施的落实,比如面临网络安全维护人员不足,以及无法共享有关漏洞信息和分享经验教训等等。为了应对这些挑战并改善武器系统网络安全状况,国防部应加强举措的针对性,同时加大关键举措的落实力度。政府问责局计划继续评估国防部在关键武器系统网络安全方面的工作情况。

嵌入式软件和信息技术系统在武器系统中无处不在

美国防部采取措施改善武器系统的网络安全性能

在过去的几年里,国防部已经采取了几个主要步骤来提高武器系统的网络安全性能。国防部发布并更新了许多政策和指南,以提升武器网络系统应对网络风险的弹性。这些调整包括规定网络安全政策适用于武器系统,并要求在武器系统的整个采办生命周期中更多地关注网络安全。美国国防部和国会也已开始采取前瞻性的举措,帮助国防部提高其对武器系统网络漏洞的掌握,并采取措施降低其风险。然而,国防部面临的障碍可能妨碍其实现预期目的。例如,国防部正在努力雇佣和保留网络安全人员,这些人员对改善武器系统网络安全至关重要。此外,国防部面临信息共享的障碍,这阻碍了其在项目内部和跨项目之间共享已知漏洞和威胁信息的能力。为了改善武器系统的网络安全状况,至关重要的是国防部在发展和落实有关举措方面继续努力。

由于网络安全测试受各种因素限制,美国防部所知的漏洞很可能只是实际漏洞中的很少一部分

国防部已经发布并更新了政策和指南

自2014年以来,美国国防部已经发布或更新了至少15个部门政策、指导文件和备忘录,旨在促进武器系统网络安全,其中一些在表3中突出显示。

表3:改进武器系统网络安全的美国国防部(DOD)关键政策和指南变更时间表

其中一个重要的变化是,国防部将现有的网络安全政策明确适用于武器系统。国防部官员称,国防部制定网络安全政策已有数十年,但只是在过去几年才将其应用于武器系统。例如,风险管理框架(RMF)与之前的国防部信息鉴证和认证流程类似,后者要求将一系列控制措施广泛应用于保护国防部的网络和信息系统;风险管理框架则将这些控制更广泛地应用于武器系统的网络安全。另一个重要的变化是,认识到系统不可能是100%安全的,国防部已经开始在一些政策中强调网络弹性。网络弹性背后的理念是识别和保护一个系统的关键组件,以确保它们能够在网络攻击下继续运行,即使能力相对有限。这需要设计一些特性,如耐用性、冗余性和对某些组件的附加保护。

最后,管理论证和开发流程的关键政策现在也适用于武器系统网络安全。这些变化有可能在武器系统开发中引起对网络安全的更多关注。网络安全将被集成到关键的论证活动中,如需求论证、技术成熟度测试,而不是将其与采购流程加以区别对待。如各项政策所要求的,这方面的例子包括:

  • 需求论证。确定网络安全要求,以及信息如何输入、输出和在系统中流转。这有助于识别系统的攻击面,并告知系统的设计和网络安全控制方。网络安全应该成为评定装备综合性能的一部分。

  • 技术成熟。在一定程度上,早期的原型设计重点应该是在系统开发之前降低网络安全风险。在原型设计过程中,应完善网络安全控制,以评估网络风险,并告知调整需求。

  • 开发测试。测试武器系统开发时的网络安全,包括大型系统集成的子系统,最终测试整个系统。在开发测试期间,在具有代表性的运行环境中进行网络安全评估。

  • 运行测试。对武器系统进行运行状态网络安全测试,包括与被测系统交换信息的其他系统(包括网络环境中系统的系统)、最终用户、管理员和网络防护人员。反映有代表性的网络威胁。

这些对政策和指南方针的广泛修改,似乎是朝着正确的方向迈出的一步,增加了美国国防部对武器系统网络安全的重视。这些政策和指南采用了与政府范围内已经普遍实施的类似基于风险的框架。然而,它们对国防部来说也是相对较新的,所以现在评估它们是否会改善武器系统的网络安全还为时尚早。例如,对开发流程的调整主要应用于新项目,因此经过新流程的系统可能要经过许多年的运行测试才投入使用。

国防部已采取行动掌握和解决武器系统中的网络漏洞

《2016财年国防授权法案》第1647条要求国防部长在2019年底前评估国防部每个武器系统存在的网络漏洞,并制定措施以减轻这些漏洞带来的潜在安全风险。朝着这个方向,结合《国防部网络战略》,都要求国防部评估和发起改进当前和未来武器系统的网络安全状况,国防部正在采取措施消除其所属武器系统的漏洞,以降低风险,修补漏洞,以便未来发展出更安全的系统。国防部副部长办公室(采购和维持)正在与军事试验组织合作,领导这项倡议。国防部正在收集现有的漏洞信息,并进行一些新的测试,以掌握有关单个系统的网络安全态势信息,测试的重点集中在已部署的系统上。这些评估很重要,部分原因是其中一些系统在部署前没有进行网络安全测试,国防部也缺乏一个定期评估已部署网络系统安全的固定流程。此外,随着系统软件变得过时,部署之后,漏洞和风险还可能会发生变化。

作为这一倡议的一部分,国防部副部长办公室(采购和维持)在两个作战域一直在努力将网络安全纳入大规模军事演习,以便更全面地研究漏洞的跨系统影响。目的是掌握某些系统中的漏洞可能如何影响国防部完成任务,并确定如果某些功能被禁用或降级,还可以使用哪些备用选项来继续执行任务。虽然原因各不相同,但这项工作非常重要。国防部的开发和运行测试主要关注单个系统的漏洞,而不是分布更广泛的任务区域。然而,正如前面所讨论的,攻击者并不一定将自己局限于一个系统,他很可能从一个系统渗透到另一个系统。此外,国防部目前还没有一项程序可以用来检查对一个系统的网络攻击将如何影响整个任务的完成。

综合考虑,专注于特定系统的活动可以帮助国防部对其网络安全态势(即网络安全的总体实力)有更全面的了解。参与这些评估工作的官员计划利用他们所学到的知识来孵化未来的武器系统。具体来说,他们计划与国防部测试组织、首席信息官办公室、国防部副部长(研究和工程)办公室以及国防部副部长(采购和维持)办公室的其他人员分享这些经验教训。

同样,各军种也建立了维护武器系统网络安全的办公室,以改善其网络安全态势,见表4。

表4:以提升武器系统网络安全为目的的军种机构

尽管所有这些活动都承诺随着时间的推移将帮助国防部改善其网络安全状况,但它们对国防部来说也是相对较新的。他们需要持续的动力来实现装备全寿命的维护,因此现在判断他们是否会成功还为时尚早。根据多个部门的官员以及我们对2014年以来政策和指南变化的分析,美国防部领导层在过去几年对网络安全问题有了更深刻的认识,并推动了许多此类提升网络安全的活动。然而,我们之前的工作也发现,国防部对倡议的持续领导和支持是保障相关措施落实的关键。我们的报告也指出,如果领导层不继续监督他们的落实,国防部就有可能无法全面执行已经开始的改善武器系统网络安全的一些计划。例如,我们在2017年的报告中指出,国防部首席网络顾问终止了《国防部网络战略》要求的评估武器系统网络安全的任务。我们建议网络顾问修改任务结束后的状态,以反映任务是否已执行,并重新评估先前确定要完成的任务。

声明:本文来自知远战略与防务研究所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。