美国海军大力推进网络安全建设以提升网络韧性

美国海军正通过一系列举措，大力推进赛博安全建设，包括实施风险管理框架（RMF）、开展基础设施计划和赛博清理行动等，目的是适应不断增长的赛博安全需求，从而为舰队提供赛博安全能力。

图1 海军推进赛博安全建设，改进舰队赛博安全

美国海军C4I和太空系统计划执行办公室（PEO C4I Space Systems）正在稳步推进赛博安全系统建设工作，一方面满足海军日益成熟的赛博要求和标准，另一方面调整应对不断发展的威胁。PEO下属11个计划办公室正在通过多项举措推进相关流程落地，这些流程将必要的赛博安全技术授权（CS TA）标准整合到开发阶段，还将促进赛博清理（cyber hygiene）流程的自动化，从而提高赛博韧性，并有助于确保技术免受赛博攻击的影响。

1 风险管理框架

增强赛博安全的主要方式之一是实施风险管理框架（RMF）。国防部已采纳RMF框架来评估安全控制措施的实施情况，以及授权海军系统操作并连接到国防部信息网络（DoDIN）。计划办公室决定2020年12月前完成向RMF框架的过渡，目前正在归档NIST SP 800-53安全控制措施文件以及已实施的控制改进项。其他系统可以通过安全控制措施转接过程来有效满足这些控制措施的要求，这样系统所有者就可以专注于解决其余尚未实施的安全控制措施。

2 PEO基础设施计划

PEO基础设施计划是增强赛博安全的基石，该计划将提供现代化体系结构来支持赛博安全提升。赛博安全基础设施计划主要有三个，分别是“统一海上网络和企业服务”（CANES）、“岸基战术保障指挥与控制”（STACC）和“计算机网络防御”（CND）。其余的C4I计划可利用这些体系结构，采用新兴的敏捷软件开发流程，支持海军加快能力部署的目标。此外，还有对云能力的访问，以及信息保障和赛博安全计划办公室（PMW 130）负责的赛博分析项目作为补充，都将支持赛博能力的提升。

3 赛博清理行动

同时，项目经理对300个系统实施了赛博清理，以提高扫描、补丁和漏洞管理流程的自动化程度，目前在这方面取得了长足进步。自动化是在减轻舰队系统管理员负担的前提下，确保安全补丁程序及时更新的有效方法。重视自动化已为海军带来了收益。指标显示，大多数C4I计划始终在21天的标准时间范围内发布针对最高优先级漏洞的补丁程序。这得益于海军在维持安全水平的同时继续向自动化流程过渡，这些流程可以缩短周期时间并减轻舰队操作员的负担。

4 其他工作

项目经理还利用各类资源来确定需要解决的赛博问题。海军安全控制评估员通过RMF流程提供了早期反馈，此外计划办公室还收到了海军信息战系统司令部（NAVWAR）首席信息安全官的反馈，首席信息安全官负责监管计划是否根据舰队赛博司令部（FCC）的“最主要的20个漏洞”进行排查。项目经理还与舰队战备管理局（FRD）赛博安全战备办公室合作，共同监视舰队的系统补丁和扫描状态。舰队赛博司令部执行与评估办公室还在对所有海军站点进行赛博检查时提供反馈。

除了项目经理可以获取的赛博漏洞信息源之外，NAVWAR总工程师办公室的赛博安全专家还提供了更多工具和流程来支持安全代码审查、渗透测试、赛博风险评估等流程的开发和赛博安全指标图（CFOM）的实施。CFOM是NAVWAR的一项举措，旨在对系统的赛博安全属性进行定量评估。NAVWAR还在实施敏捷软件开发流程和基于模型的系统工程（MBSE）计划，将改善舰队系统的赛博安全性。

5 总结

为有效提升赛博安全水平，海军应通过计划尽早解决赛博问题，同时利用PEO、NAVWAR和FCC提供的各种工具和信息。C4I和太空系统计划执行办公室以及已部署的系统，始终致力于为舰队在赛博竞争环境中提供韧性赛博安全能力。尽管具有挑战性，但项目经理一直在调整资源并在开发和现代化过程中提高优先级，来适应不断增长的赛博安全需求，从而为舰队提供尽可能多的赛博安全能力。

戴钰超译自互联网，李皓昱审定

2019年10月

声明：本文来自防务快讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。