美国防部武器系统仍面临重大网络安全挑战

编者注：这篇文章是关于美国网络空间阳光房委员会的发现和建议的系列文章的一部分。

尽管美军拥有现代世界最有效的作战力量，但它仍在为其最先进的武器系统提供网络安全性方面面临许多挑战。在危机和冲突时期，当对手利用网络能力攻击武器系统和功能时，美国保持其防御和有效的作战能力至关重要。如今，使这些武器如此致命的真正原因是使它们容易受到网络攻击：软件和网络的互连系统。

持续的自动化和连接性是美国国防部作战能力的基础，几乎每个武器系统都以某种能力进行连接。如今，这些相互依存的网络与美军成功执行任务的能力直接相关，从而使其可以获得信息优势，行使全球指挥与控制以及进行远程打击。此类网络系统的一个例子是F-35联合打击战斗机，美国空军参谋长戴维·戈德芬将军曾将其称为“ 恰巧能飞行的计算机 ”。超过800万行软件代码支撑了F－35平台无与伦比的能力。在过去，软件充当着硬件和武器系统的推动者，今天，它定义了执行任务至关重要的作战能力。

尽管美国目前在常规领域拥有技术优势，但美国的对手每天都在努力侵蚀它。至关重要的是，美国不仅要确保这些武器系统不受导弹等武器的威胁，而且还要免受日益复杂的恶意网络攻击的威胁。随着攻击者继续将网络空间用作不对称作战能力，这些网络和软件的漏洞会越来越多。攻击者现在无需使用导弹瞄准武器平台，而是可以操纵软件来导致系统故障或阻止系统完全运行。威慑的核心要素具有可靠的军事能力，可以打败即将来临的攻击或提供生存的反应。今天，美军对此并不能保证。

这就是为什么网络空间阳光房委员会的主要建议之一就是提供立法手段来促进关键武器系统的网络安全和弹性。为了达到这一点，委员会认识到美国国防部必须首先克服的几个主要挑战和障碍。

一是武器系统设计信息的惊人损失。正如美国海军前任作战部长理查德·斯宾塞（Richard Spencer）所指出的那样，该军种及其行业合作伙伴受到某国黑客的“ 网络围攻 ”。这些网络入侵为对手提供了对技术设计和武器系统使用的理解力，使他们能够开发自己的尖端武器并缩小美国长期以来享有的技术优势。尽管到目前为止，这些入侵都集中在窃取武器系统设计上，但持久而有能力的对手可能会通过承包商自己的网络攻击武器系统，实施可能破坏或禁用系统的恶意软件。

二是国防部的采购和需求流程存在问题。美国国防部以往的法规体系决定了部门内部武器的开发、采购和部署方式。这些平台如此脆弱的一个关键原因是，直到最近，国防部才将网络安全作为采购流程需求阶段的一部分。这通常将其留给计划经理，以便将网络安全纳入开发的后期阶段，而不是“融入其中”，而是“加强”。

当武器系统经过采购阶段以后，诸如网络安全之类的因素受到的关注就少得多。这尤其令人担忧，因为大多数系统在其整个生命周期中都处于维持阶段。新武器系统的快速部署，旨在在此过程的后期阶段加强网络安全，这也为对手提供了获得网络访问的机会，这是很难发现和消除的。由于缺乏网络安全卫生措施，导致整个武器的设计、制造和脆弱都没有充分评估这一关键因素。

三是老旧武器装备同样存在网络安全问题。网络安全威胁并不仅仅存在于最新和最先进的武器系统中。现代战场比以往任何时候都更加相互关联。来自不同世代的许多高度复杂的武器每天都在相互影响。美国空军的B-52轰炸机于1955年开始服役，至今仍在使用，目前与F-35等系统一起使用。旧版平台（占国防部多数库存中的一部分）也极易受到网络攻击，有时甚至比新系统还要严重。当它们与新近部署的平台一起运行时，网络安全措施必须采取一种综合方法来评估网络入侵或对一个系统的攻击如何影响其余系统。最薄弱的环节遭到破坏可能会对整个任务的完整性造成严重后果。

随着恶意行为者的网络威胁变得越来越先进和持久，对于美国国防部而言，至关重要的是将武器系统的网络安全置于未来政策讨论的前列。最近，美国国防部已在这项工作中采取了重要步骤。根据美国国会在2016财年《国防授权法》（NDAA）中的指示，美国国防部开始评估单个主要武器平台的网络漏洞。在FY2020 NDAA进一步收紧这些考核要求。

尽管做出了这些努力，武器系统中的新漏洞数量现在可能已经超出了国防部在对手利用系统之前识别并修补系统的能力，而且问题只会变得更加严重。目前仍然存在有效的网络安全问题，包括上面讨论的问题。最关键的问题是缺乏永久性的程序来定期评估武器系统的网络安全。美国国防部测试和评估网络漏洞的能力无法跟上日益激进的对手攻击的步伐。如2019年美国国防部监察长所述报告指出：“ [国防部]没有适当的治理，无法确保有效识别和管理网络安全风险，因为它继续面临来自对手的各种网络威胁。”

这就是网络阳光房委员会建议美国国防部开始每年向国会报告所有国防部主要武器系统正在进行的网络漏洞评估状况的原因。国防部必须确保评估更广泛的任务区域内跨网络系统的旧平台和网络漏洞。这种评估应侧重于任务保证和作战人员抵御网络攻击的能力。最终测试是武器系统是否可以在网络竞争的环境中完成其任务。

为这些武器平台及其网络安全漏洞创建一个全面、持续的评估过程可能是乏味且耗时的，但对于确保美国准备在危机和冲突时期取得胜利至关重要。

声明：本文来自网电空间战，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。