美国政府问责办公室《武器系统网络安全》报告解读

2018年10月，美国政问责办公室（GAO）发布了《武器系统网络安全：美国防部开始 应对规模性漏洞》报告，该报告称美国防部计划投入约1.66万亿美元用于研发主要武器系统。

按照要求，GAO审查了国防部武器系统的网络安全状况，并从武器系统网络安全存在的问题、武器 系统的脆弱性、国防部的应对措施等三个方面探讨了如何开发一个更安全的武器系统。

随着计算机的普及和信息技术的不断发展，美国防部的武器系统比以往更依赖于软件，且更加网络化，同时，由于针对武器系统的网络安全保护相对起步较晚，因此，美国防部在保护武器系统免受网络威胁方面面临巨大的挑战。

2018年10月，美 国政府问责办公室（GAO）发布了《武器系统网络安全：美国防部开始应对规模性漏洞》报告，该报告称美国防部计划投入1.66万亿美元用于研发先进武器系统"％按照要求，GAO审查了国防部武器系统的网络安全状况，并从武器系统网络安全存在的问题、武器系统的脆弱性、国防部的应对措施等3 个方面探讨了如何开发一个更安全的武器系统。

报告发布背景

武器系统是大型的、复杂的系统之系统，它具有各种各样的形状和大小，功能也各不相同。尽管在形式、功能和复杂性上都存在明显差异，但武器系统和其他类型的系统在一些重要方面还是有很多相似之处。

例如，许多武器系统都依赖于商业软件和开源软件，这些软件中自身所带有的网络安全漏洞、网络安全风险和网络安全威胁必将对武器系统产生影响。

另外，武器系统依靠防火墙和其他常 见的安全控制手段避免遭受网络攻击，而如果系统配 置不当，武器系统的安全控制可以被利用或绕过。

最后，武器系统是由人操作的一对于任何系统来说，人都是最需要注意的网络安全漏洞。除业匕之外，由于武器系统所涉及的类型多种多样，因此会面临一些独 有的网络安全问题。研究人员针对武器系统的网络安 全问题制定了相应的攻击/防御模型，如图1所示。

图1网络安全问题的攻击/防御模型

网络攻击者通过寻找绕过安全控制的方法，以 获得对系统的完全或部分控制。

首先，攻击者通常会通过侦查等手段尽可能多的了解系统，确定系统中存在的漏洞。攻击者对系统了解的越多，在设计攻击活动时的选择就越多。攻击者可能会识别到一个系统开发人员以前都未曾意识到的漏洞，或者寻找到一个没有安装已知安全更新的系统组件。

商业组件的开发人员通常会公开发布所有安全补丁，讽刺的是，这为攻击者提供了攻击系统或组件的路线图叫系统所有者希望阻止（至少减少）企图破坏系统机密性、完整性和可用性的攻击行为。

开发人员实施的安全控制，譬如防火墙、基于角色的访问控制和加密等手段，可以减少潜在攻击点的数量。许多控制手段都需要在系统开发的初期阶段安插在系统中。

理想情况下，这些控制手段需要设计为协同 工作模式，并拥有不同的控制层级。攻击者为了获取对系统的控制权，有时需要突破这一控制层级， 也就是所谓的“深度防御”。保护系统还包括管理过程，例如要求用户定期更改密码并定期安装系统 补丁。

但是，没有一个系统可以称得上绝对安全， 因此系统管理者必须持续监视系统的可疑活动。一 旦检测到此类网络活动，系统所有者需要釆取措施终止攻击行为，并恢复因攻击者行为而降级的所有系统功能。

网络安全问题日益突出

国防部武器系统的网络安全问题是由多种因素导致的，包括：国防部武器系统日益计算机化和网 络化、国防部过去未将发展武器系统网络安全作为优先项，以及国防部对“如何更好地开发更安全的 武器系统”理解不透彻。

如今的国防部武器系统更 加依赖于软件和信息技术的发展，而且更加网络化。这改变了武器系统的性能，是美国现代军事能力的根本推动者。

然而，这种改变是要付出代价的，越 来越多的武器系统开始受到网络攻击。直到最近， 国防部在武器系统采办过程中还是没有优先考虑网 络安全问题，因此，在保护武器系统网络安全问题 的道路上，国防部依旧任重道远。

2.1武器系统中的网络漏洞风险不断增加

国防部武器系统越来越依赖软件和信息技术来达到预期性能指标。如今，武器系统中的软件数 量呈指数级增长，并嵌入到众多技术复杂的子系统 中，导致几乎所有武器系统的功能都由计算机进行控制。

然而，对软件和信息技术的依赖必然导致武 器系统攻击面的增加，任何信息交换都是攻击方的 潜在切入点。即使是出于安全原因，“气隙”系统 没有与互联网直接连接，攻击方也可以借助其他方 式（如USB设备或光盘）对其进行访问。

国防部系统与外界的连接极有可能引入漏洞，从而使系统防御更难进行。目前，国防部几乎所有的组件都是网络化的。而且都会通过各种接口实现外部连接。例如，武器系统会连接到被称为“国防 部信息网络”的泛在网络，如国防承包商的网络；技术系统、后勤、人员和其他与业务相关的系统会与武器系统连接到同一网络。

另外，一些武器系统 可能不会直接与网络相连，而是连接到其他系统，这些系统会直接与公共互联网相连接。

在这种情况下, 如果攻击者可以访问其中—系统，那么就可能通过 连接网络来访问其他任何系统。

更为复杂的是，武器系统往往依赖于外部系统来执行任务，如果这些系统 受到攻击，就极有可能葬响其任务的撕亍。

2.2网络安全还未成为武器系统釆购的重点

美国政府问责办公室在20世纪90年代初就发现，增加对软件和网络的依赖会带来诸多网络安全风险。

近期，美国防部也开始考虑武器系统的网络安全。在2014年以前，国防部的网络安全工作重 点一直在保护传统IT系统上，而在整个武器系统的采购过程中普遍缺乏对网络安全的重视。

以往，网络安全并不是武器系统开发过程中的 重点。它既不是制定采办和需求政策的焦点，也不 是制定采购决策的焦点。直到几年前，国防部的主 要需求政策都还没有要求将网络生存能力纳入关键 性能参数中。关键性能参数是开发武器系统时必须满足的、最重要的系统能力。

它们在采办项目的早期建立，并推动系统设计决策的制定，同时，还被 用作衡量项目绩效的基准，并在采办决策和其他监 督过程中被审查。由于许多现有的武器系统不需要 网络安全密钥的性能参数，因此在开始研制时没有 高级别的网络安全要求，这反过来限制了在武器系 统设计、开发和监督期间对网络安全的重视。

此外, 项目缺乏网络安全要求也可能导致在将网络安全纳入武器系统测试时遇到一定阻碍。

由于未将网络安全纳入性能要求和采办流程的 关键方面，国防部错过了使网络安全在关键采办决 策中发挥突出作用的机会叫 而且，由于缺乏对武 器系统网络安全的关注，国防部可能有一整代系统都是在没有充分考虑网络安全的情况下设计和建造的。

对这些系统进行网络安全部署将是非常困难的, 不仅这些系统及其任务本身的安全面临风险，而且旧系统还会对新系统的安全产生影响。

2.3未确定解决武器系统网络安全问题的方法

鉴于武器系统在网络安全需求存在不同之处， 并且特别具有挑战性，国防部一直在商榷如何最好地解决武器系统的网络安全问题。尽管武器系统与 传统IT系统有相似之处，但在武器系统中采用与 传统IT系统相同的网络安全方法显然并不合适。国防部的安全控制是针对IT系统而不是武器系统开发的，因此国防部需要对现有安全政策进行调整, 确定如何使具有特定网络漏洞的武器系统组件尽可能安全。

然而，目前国防部官还不清楚哪些地控制 系统嵌入到了他们的武器中，或者使用这些系统的安 全含义是什么。近几年，国防部已经开始资助一些项 目,以便更好地理解如何加强这些系统的安全性。

武器系统的一些特殊原因使得定制网络安全方 法变得非常重要，但这也增加了网络安全防御的难度。由于武器系统可能非常庞大、复杂，系统体系 之间存在许多相互依赖关系，因此更新系统的一个组件可能会影响其他组件。

此外，武器系统通常分散或部署在世界各地，某些已部署的系统只有在返 回特定地点时才能进行软件更新，这就意味着某些 武器系统在已知存在漏洞的情况下仍在运行，并且可能会超时运行。

更严重的是，一些项目办公室可能还没有对其 系统设计的网络安全影响有一个全面深入的了解。很多政府官员甚至认为，武器系统比其他类型的系 统更安全，因为武器系统通常没有直接连接到互联网。事实上，武器系统的潜在攻击途径非常多，例如可攻击其无线电通信接收器和雷达接收器。

大量关键任务漏洞

在2012年至2017年间，几乎所有经过作战评 估的采办项目都存在关键任务漏洞。评估人员通过 使用一些简单的工具和技术，就能够在短时间内获 取未经授权的访问，并实现对武器系统的完全/部分控制。通常，评估人员会对四个安全目标一保护、侦查、响应和恢复——进行网络安全测试，并在这些目标中发现广泛存在的漏洞。

3.1保护

3.1.1测试人员能够轻易获得控制权

尽管武器系统配备了禁止未授权访问的网络安全措施，但测试人员仍能够借助各种手段进入系统。在一个案例中，一个两人小组仅用了一个小时就获 得了武器系统的初始访问权，仅用一天时间就完成了对测试系统的完全控制。

一旦测试人员获取初始访问权，他们常常能够在整个系统中自由穿行，逐步升级权限，最终获得系统的部分甚至完全控制权。

3.1.2测试人员仅需要基础工具

测试人员仅需要使用初、中级工具和技术就能 够扰乱、进入或控制武器系统。由于安全原因，测 试小组扫描完系统后必须停止正在进行的测试。

这是大多数攻击者都会使用的基本技术，几乎不需要 任何专业知识和技能。在测试报告中评估人员发现, 密码管理不善也是一个常见问题。

许多武器系统都使用商业或开源软件，但在安装软件时却没有更改 默认密码，这使得测试小组能够在互联网上査找密码，并获取对该软件的管理员权限。

3.1.3安全控制不足以确保安全

简单的网络安全控制并不意味着系统是安全的，控制实施的程度可以显著地影响网络安全。一 份测试报告表明，尽管系统已经实施了针对角色的访问控制，但系统的内部通信并未加密，因此普通用户可以读取管理员的用户名和密码，并以此获取系统的更大访问权限，最终影响系统机密性、完整性和可用性。

3.1.4项目没有解决之前发现的一些漏洞

测试人员会利用先前网络安全评估中识别的漏 洞来发现武器系统的漏洞。先前评估中发现的20个 网络漏洞只有1个被纠正，测试人员利用相同的漏洞 获得系统的控制权。当被问及为什么没有解决漏洞时, 项目负责人表示他们已经确定了解决方案，但由于某 些原因尚未实施。他们由此将失误归咎于承包商。

3.2侦查

侦查网络入侵和攻击活动的常用方法是通过查 看系统日志查找异常事件。测试人员的活动将会记 录在系统日志中，但操作人员却没有对日志进行审 核，武器系统中也没有用于审查日志的记录程序。评估报告显示，在某些安全评估中系统或用户根本没有侦查到测试人员的活动。

其中，一位测试人员 在未被侦查到的情况下活动了数周。即使测试人员 故意制造一些攻击，并且没有试图隐藏，其行为也 没有被系统和用户察觉。

在其他情况下，入侵检测 系统能够正确地将测试人员活动识别为可疑活动， 但却没有对其进行检测。系统和用户毫无察觉，是因为无原因的系统崩溃经常出现，入侵检测系统虽 然侦查到了可疑行为，但鉴于安全警告太过常见，也没有引起操作人员的注意。

3.3响应/恢复

多个评估报告表明，操作人员没有有效地响应测试人员的活动。在多个测试中，操作人员都没有 进行及时响应，因为他们根本没有意识到测试人员的活动。

然而在某些情况下，即使操作人员确认或 被告知遭受了测试人员的攻击，也无法有效响应， 即使操作人员发现了攻击行为，并采取措施阻止测试 人员访问系统，测试人员仍能够轻松规避安全措施完 成攻击。醐稣员的活动關到武器系统的情况下, 操作人员甚至需要外部帮助来灰复系统性能。

改善武器系统网络安全

在过去几年中，国防部已经采取了几项重大措 施改善武器系统的网络安全。国防部发布并更新了许多政策和指导性文件，以发展网络弹性系统。

其中，改革措施包括规定网络安全政策适用于武器系统，要求在武器系统的采办周期中更多地关注网络安全。国防部和国会已经提出倡议，帮助国防部提升对武器系统网络漏洞的理解，并采取措施降低网络漏洞的风险。

4.1发布并更新政策和指导性文件

2014年以来，国防部已发布或更新了至少15 个国防部级别的政策、指导性文件和备忘录，旨在 推广更多的网络安全武器系统，如表1所示。其中，两个重要的变化是：

• 国防部已有的网络安全政策现在明确适用于武器系统；

• 由于意识到系统不可能100%安全，国防部已经开始在新政策中强调网络弹性。

政策和指导性文件中所涉及的变化，采用的是 已经在政府范围内普遍存在的风险框架，加强了国 防部对武器系统网络安全的重视。

然而，现在来评估这些改变是否会改善武器系统的网络安全还为时尚早。因为对需求流程的更改主要适用于新得程序, 因此，采用新流程的系统可能需要很多年才能进行运行测试和部署。

4.2采取措施解决武器系统的网络漏洞

《国防授权法案》要求国防部长在2019年底 之前评估每个国防部武器系统的网络漏洞，并制定 策略以降低这些漏洞所产生的风险。

对此，国防部网络战略办公室要求国防部着手改进现有武器系统 的网络安全，提高对武器系统漏洞的认识，为今后开发更安全的系统提供保障。国防部正在梳理现有的漏洞信息，并开始一些新的测试，以提供关于各个系统的网络安全态势信息。作为这项举措的一部分，国防部一直在努力将网络安全纳入大规模军事演习，以便能够对各系统漏洞造成的影响有更全面地了解。

同时，军事服务部门还建立了以网络安全为重点的武器系统办公室，以改善其网络安全态势，表2对此做了简要说明。

4.3着力解决武器系统安全面临的挑战

如今，在推进武器系统网络安全过程中，国防部所面临的第一个挑战就是人员问题。国防部难以 雇用和留住网络安全专业人员，即使找到填补空缺的人员，也可能未必具备适当的专业知识。

武器系统网络安全是一个专业领域，该领域的专家需要了 解国防部的采购流程，特定武器系统的专业技术， 以及网络安全知识。在没有专业知识的情况下，项 目很难有效地实施网络安全政策和指南。

如今，国防部正在努力招募国防部网络安全人员并加强其技 能。各军兵种也期望通过实习与高校建立合作伙伴 关系来招聘网络安全分析人员。

此外，各军兵种还将制定相关培训课程，以提高现有采办人员的专业知识。

国防部面临的第二个挑战是信息共享。对信息进行保护，攻击者就无法访问，而通过信息共享，国防部可以拥有一支具有信息优势的人员队伍，因此，很难在二者之间找到平衡。对武器系统网络漏洞和威胁信息的这种高级别保密分级有助于保护敏感信息，但这使国防部难以与内部网络安全人员共享有关武器系统网络安全方面的信息。

更广义地说, 因为他们没有跨项目共享漏洞和威胁信息，所以项目并未察觉到存在的全部风险，并且国防部可能对其武器系统组合中的漏洞情况了解的较少。美国政 府内部多个机构都承认在国防部内进行各密级信息共享将会面临诸多挑战，部分示例详见表3。

结语

根据对美军武器系统网络安全情况的跟踪研 究发现，美国在政策支持、财政投入、技术研究等 方面均对武器系统网络安全发展有着日益显著的支 持。该报告对我国武器系统网络安全发展启示如下。

武器系统存在网络安全漏洞，必须重视武器系统网络安全问题。

如同绝大多数IT系统存 在安全漏洞一样，再先进的武器系统也同样存在网络安全漏洞，我们需要提高对武器系统网络安全迫切性和重要性的认识，大力普及武器系统网络安全知识，加强武器系统网络安全的培训教育，深入开展武器系统网络安全风险分析，开展网络对抗演练, 提高对武器系统网络安全的重视程度。

信息技术的引入增加了武器系统的攻击面, 必须加强对武器系统的网络安全测评。

武器系统大量运用信息技术以提高其性能，与此同时也增加了武器 系统的受攻击面，引入更多风险。因此，必须加强网 络安全测评，推进对现役武器系统的网络安全扫描 以及风险评估，为网络安全防护加固奠定基础。

武器系统复杂庞大，必须对武器系统网 络安全进行一体化设计。

武器系统由不同的子系统构成，系统之间的依赖程度高，网络安全测评和加固，对系统的功能和性能会造成较大影响，因此，必须对武器系统网络安全进行一体化设计，将网络安全纳入武器系统指标体系。

邹晶晶(1987一)，男，硕士，工程师, 主要研究方向为信息安全与通信保密。

选自《通信技术》2019年第九期

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。