美国防部武器系统网络安全仍存在重大缺陷

针对美国网络空间日光室委员会发现和建议的系列文章之三：美国防部武器系统网络安全仍存在重大缺陷

美军是当代最高效的武装战斗力量。尽管如此，美军还是要为如何确保其最先进的武器系统的网络安全头痛不已。危机和冲突发生时，对手会利用网络手段攻击美国武器系统，破坏其系统功能。对美军而言，如何保持此时的防御和反击能力至关重要。就目前情况来看，这些武器系统的软件与网络内部互连系统是最致命的目标，最容易受到网络攻击。

国防部几乎所有武器系统都要依靠连接才具有作战能力，因此，持续的自动化和相互连接是保持国防部作战能力的基础。如今，这些相互依存的网络直接关系到美军能否成功执行任务，通过网络连接，美军可以获得信息优势，掌握全球指挥与控制权并进行远程打击。F-35联合打击战斗机就是一个这样的网络系统。空军参谋长戴维·戈德费恩将军曾经将其称为“一台碰巧在飞行的计算机”。飞机就是一个平台，800多万行软件代码为平台赋予了无与伦比的能力。过去，软件只是硬件和武器系统的助力器。如今，软件定义了战斗人员遂行作战任务的至关重要的能力。

目前，美国在常规领域拥有技术优势，然而，美国的对手每天都在努力超越。关键是，美国不仅要确保这些武器系统免遭导弹等攻击，还要应对日益复杂的恶意网络攻击的威胁。对手国家不断地利用网络空间发起攻击，造成能力上的不对称，网络和软件的漏洞越来越多。攻击者现在可以利用软件引起系统故障或阻止系统完全运行，而不是利用导弹瞄准武器平台。威慑的核心要素是要拥有可靠的军事能力，以打败即将来临的攻击或提供生存响应。当前的情况是，美军并不能保证能够抵御这样的攻击。

这就是为什么网络空间日光室委员会要建议，必须提供立法手段来促进关键武器系统的网络安全和弹性。为了实现这个目标，委员会认为国防部必须首先要解决几项关键挑战和问题。

首个挑战是武器系统设计信息惊人失泄。正如美国海军前任秘书长理查德·斯宾塞（Richard Spencer）所指出的那样，海军及其行业合作伙伴受到中国黑客的“网络围攻”。这些网络入侵使对手得以窥探美军技术设计和武器系统运用，使他们能够开发自己的尖端武器并削弱美国长期以来享有的技术优势。尽管到目前为止，这些入侵都集中在窃取武器系统设计上，但持久而有能力的对手可能会通过承包商网络攻击武器系统，从而运行可能破坏或禁用系统的恶意软件。

另一项关键挑战源自国防部采购和需求流程。法规体系决定了国防部内部武器的开发、采购和部署方式。武器系统平台如此脆弱的一个关键原因是，国防部直到最近才将网络安全作为制定采购流程法规应考虑的因素。这样以来，通常情况就是由项目经理在武器开发后期集成网络安全，这种网络安全是“附着式”的而不是“内生式”的。

武器系统采购完成后网络安全因素关注度变低。这一点尤其令人担忧，因为大多数系统在其整个生命周期中都需要不断进行维护。新武器系统在快速部署时，需要考虑后期的网络安全，否则将为对手提供访问网络的机会，这是很难发现和消除的。如果没有采取网络安全措施，在设计、制造武器系统时未充分评估安全因素，就会使武器系统容易受到网络攻击。

网络安全威胁并不仅仅存在于最新和最先进的武器系统中。现代战场比以往任何时候都更加互相联通。不同时期的许多高度复杂的武器每天都在相互影响。1955年开始服役的美国空军B-52轰炸机至今仍在使用，并且与F-35等系统一起使用。旧武器平台占据国防部绝大多数，且比新武器系统更易受到网络攻击。在与新近部署的平台一起运行时，必须采取一种综合性的网络安全措施，评估当一个系统遇到网络入侵时，将对其余系统造成哪些影响。最薄弱的环节遭到破坏将对整个任务造成严重后果。

在恶意行为者的网络威胁变得越来越先进和持久的情况下，国防部未来在制定武器系统相关政策时首先要考虑网络安全因素。最近，国防部已在这项工作中采取了关键步骤。根据国会在2016财年《国防授权法案》（NDAA）提出的要求，国防部开始评估单个主要武器平台网络漏洞。2020财年《国防授权法案》将进一步提高评估要求。

尽管做出了这些努力，武器系统新漏洞数量现在可能已经超出国防部在对手可以利用它们前识别并修补系统的能力，而且问题只会越来越严重。有效网络安全的障碍将持续存在，包括上述已讨论的挑战。最关键的障碍是缺乏永久性的程序来定期评估武器系统的网络安全。国防部测试和评估网络漏洞的能力无法跟上对手日益激进的攻击步伐。正如2019年美国国防部监察长报告指出：“（国防部）没有适当的治理，就无法确保有效识别和管理网络安全风险，因为它将继续面临来自对手的各种网络威胁。”

这就是网络空间日光室委员会建议国防部开始每年向国会报告所有国防部主要武器系统正在进行的网络漏洞评估状况的原因。国防部必须确保对所有武器系统平台和网络漏洞进行评估，该评估应侧重于任务确保和战士网络攻击战斗能力。最终测试是武器系统是否可以在网络竞争的环境中完成其任务。

为这些武器平台及其网络安全漏洞创建一个全面、持续的评估过程可能是乏味且耗时的，但对于确保美国准备好在危机和冲突时期取得胜利至关重要。

本文作者：麦迪逊·克里瑞（Madison Creery），美国网络空间日光室委员会第一工作组网络策略和政策分析师。毕业于乔治敦大学，获得安全研究和军事行动专业硕士学位。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。