前言

2021年3月4日,美国GAO[1]发布《Weapon System Cybersecurity Guidance Would Help DOD Programs Better Communicate Requirements to Contractors》(《武器系统网络安全:国防部借助指南来更好地与承包商沟通项目要求》)报告,该报告是GAO近年来专门针对武器系统网络安全方面形成的重量级研究报告之一。相比于2018年10月GAO发布的另一份研究报告[2]而言,这份报告提出的措施建议更加聚焦,其核心观点是:要降低武器装备网络安全风险,必须在开发需求和合同阶段明确网络安全要求。

当下,正值我军武器装备升级换代的加速期,2021年3月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布,将“国防和军队现代化”列入重要战略任务。国防和军队现代化必须要适应未来信息化战争的发展演变趋势,有效应对网络空间安全威胁是对武器装备现代化基本要求。基于此,我们对GAO的这篇研究报告作以解析和研读,以期为我军武器装备现代化提供参考。

一、报告发布的内在动机

时隔两年,GAO再度发布对武器装备网络安全的专题研究报告,一方面,表明了美政府以及美国防部对武器系统在网络空间遭受到的战争威胁已经有了非常清晰的认识,在推进改善武器系统安全方面已经做了大量研究工作,并开始着手从根源上解决这一问题。另一方面,GAO发布的第二份研究报告,有其内在动机:

一是对2018年报告阐述问题提出解决方案。2018年《武器系统网络安全-国防部开始解决大规模漏洞问题》报告指出:现行环境下,武器系统网络安全问题不可避免,大量网络安全隐患尚未形成有效的解决方案。本版报告力图从根源上提出解决武器系统大规模存在网络安全漏洞的问题。

二是对《2020年国防授权法案》的回应。2020年授权法案中明确要求GAO负责审查国防部正在开发的武器系统落实网络安全情况,本报告是对这一任务的闭环。

GAO通过大量的调研形成了本报告观点,其审查了国防部和各军种武器系统开发的相关网络安全政策、采访了国防部的项目负责人,审查了五个武器系统采购项目文件,还与国防承包商进行了充分接触。

二、报告的主要内容及观点

(一)主要内容

报告的主要脉络是:首先总结了美国防部的改善行动和进展,其次概括了面临的问题和挑战,最后提出行动建议。

1. 国防部实施武器系统网络安全方面采取的改善行动及进展

GAO对包括雷达、反干扰器、轮船、地面车辆和导弹在内的五种武器系统采购方案进行了审查,结果表明:越来越多的领域都愈发注重网络安全,正在投入更多的资源。国防部在改善武器系统网络安全方面采取的行动及取得的进展大致体现在四个方面:

一是武器系统的生产设计需要融入更多的网络专业知识。具体而言,被审查的五个武器系统项目每个项目都有信息系统安全经理,其中四个项目还配有信息系统安全员。信息系统安全经理负责管理系统的网络安全授权过程并维护网络安全程序,信息系统安全员向信息系统安全经理负责。

二是越来越多的武器系统进行了网络安全评估。所有项目都已经或者计划在整个采办过程中进行某种程度的网络安全评估,包括开发和运营测试。在2020年3月,国防部透露在其去年内进行了两次对抗性评估和两次合作脆弱性评估,并且根据这些评估的结果,对设计进行了更改。

三是基于风险管理框架(RMF),武器系统在安全控制方面取得了积极进展。国防部内部组织已经开始开发控制“覆盖层”(overlay)来帮助项目量身定制控制措施。覆盖层是对基准线的一组专门调整,可以应用于相似类型系统的采集程序。多个实际案例表明,更多制定的覆盖层将有助于简化确定和证明控制措施是否适应于系统。

四是各军种更新修订网络安全指南,指导RMF详细政策实施。陆军、海军、空军及海军陆战队都相继发布了RMF指南。军种层级的及时指导十分重要,在被审查的五个项目中的三个,都是在收到军种层级的指示和指南后才实施RMF。

2. 国防部在推进武器系统网络安全进程中所面临的挑战

尽管已经采取了一些行动,但国防部在改善武器系统网络安全方面仍面临挑战。体现在:

一是审查的采办项目合同并未包括网络安全要求、验收标准和验证过程。此次审查的采购项目合同在网络安全要求方面存在疏漏,在合同中没有明确定义网络安全要求。

是军种的大多数指南不涉及网络安全要求、验收标准和验证流程。目前除了空军,其他军种的指南均没有明确采购项目合同应该如何规范武器系统的网络安全要求、验收标准和验证过程,而这正是国防部和项目官员认为有利于加强系统网络安全的地方。

3. 对推进武器系统网络安全的行动建议

此次GAO审查发现附加指南并没有解决如何有效地将网络安全概念转化为合同中详细具体要求的问题。各军种关于将网络安全纳入采购的指南中也存在未说明项目应如何在合同中明确网络安全要求,并提供明确的验收标准和验证方法的问题。四个军种中只有空军已经通过制定内部指南将项目特定的网络安全要求纳入合同。因此,GAO针对其他三个军种建议:陆军、海军、海军陆战队分别应该为采购项目制定指南,明确如何将特定的武器系统网络安全、验收标准和验收过程纳入合同。

(二)主要观点

1. 武器系统网络安全面临挑战,究其原因是国防部行动指导偏差及武器系统自身的天然属性造成

一是国防部行为指导偏差所致。国防部历来把网络安全工作的重点放在保护网络和传统IT系统上,而不是保护武器系统。关键的采办和需求政策也没有把重点放在网络安全上。因此,国防部可能已经设计和制造了许多没有足够网络安全保障的武器系统。

二是武器系统自身的天然属性所致。1)现代武器系统高度复杂,发现和修复漏洞的任务更加艰巨,武器系统网络安全成了只有少数专家才了解的一项技术挑战。2)对于武器系统而言,功能和安全性之间存在一定的权衡关系。必要时刻,需要用可以接受的漏洞换取执行任务所需的功能。3)网络威胁正在迅速演变并适应对应对策,因此任何网络安全解决方案都不是一劳永逸的。4)相比于武器系统网络安全防御,攻击行为具有不对称优势,有时候只需要利用一个漏洞,就可以展开全面攻击。5)武器系统之间的每一个新的连接都有可能是一个潜在的漏洞。6)武器系统的绝对安全是不现实的。

2. 有效的武器系统网络安全实践取决于网络安全开发需求和合同

GAO之前的工作表明,武器系统建立可靠、可行的需求是降低网络安全风险、制定成功采办计划的关键早期步骤。武器系统在采办周期内通过招标、签订合同将这些需求以带有法律约束力的形式传达给开发和研制系统的承包商,承包商可在需求开发期间向项目提供重要支持,如与采办项目办公室合作,在合同授予后细化需求。总而言之,签订满足需求的合同,既关系到武器系统网络安全需求,也关系到其他功能性能需求,利于与承包商在采办项目早期就建立一种共识,以及武器系统整个生命周期的网络安全建设和管理。

3. 除非合同明确了网络安全要求,否则承包商的解决方案很难符合军方要求

国防承包商通常负责以履行合同条款为前提设计和制造武器系统,这意味着国防部必须将其要求转化为合同条款和条件,从而在政府和承包商之间建立协议。DOD指南指出,政府应在合同中明确包含使系统可接受的所有适用条款和条件,包括性能要求,例如速度、范围、容量和网络安全性,以便政府和承包商对要执行的工作和可接受的效果达成共识。

三、2018年报告与本版本报告的对比分析

2018年研究报告(以下简称“老版报告”)以及2021年研究报告(以下简称“新版报告”),是近年来美国国防部在推进武器系统网络安全方面的显著缩影。对比两份研究报告的主要内容和观点,反映出几个转变:

(一)阶段转向:从“发现”问题走向“解决”问题

老版报告的主要观点是:“几乎所有武器都存在网络安全漏洞,甚至有时候对武器系统进行扫描都可能使其停止工作”,分析原因:一是国防部武器系统日益提高的计算机与网络化的本质,引入了网络安全风险;二是国防部过去未将发展武器系统网络安全作为优先项,导致武器系统存在大量网络安全隐患;三是国防部对“如何最好地开发具有网络安全特性的武器系统”的理解不透彻,武器系统网络安全尚未形成有效的解决方案,属于“发现问题”阶段。

从新版报告可以看出,美国防部针对武器系统网络安全落实了很多执行层面的措施:更多的获取网络安全知识(针对项目设立的信息系统安全经理和信息系统安全员);增强网络安全评估(贯穿整个项目周期的网络安全测试);更好的制定安全控制(国防部内部组织已经开始开发控制“覆盖层”(overlay)来帮助项目量身定制网络安全控制);更新修订网络安全指南(军种层级指南有助于采购合同中明确网络安全要求及实施RMF),属于“解决问题”阶段。

(二)视角转向:从关注“风险面”下沉到解决“问题点”

老版报告明确提出了武器系统的“风险面”——大多数开发中的武器系统存在重大漏洞;众多因素让武器系统网络安全变得愈发棘手;众多武器系统面临着共同的网络安全漏洞;国防部武器系统越来越复杂化和网络化,使得网络漏洞不断增加,网络安全威胁日益严峻。宏观概括了武器系统在网络空间可能遭受到的战争威胁。

而新版报告研究视角明显下沉,GAO选取了五类武器系统进行审查,得出结论是:解决武器系统网络安全问题的根源在于“必须明确网络安全开发需求和合同”,网络安全要求、验收标准和验证流程都应纳入武器系统的采购合同,建议美国防部应首先解决这一缺失问题。考虑到GAO在美政府中具有的重量级地位,以及本报告提及的美国防部对此结论的意见反馈,极有可能下一步美国防部将采纳GAO的行动建议,将网络安全要求明确纳入武器系统的采购合同。

(三)范畴转向:从倾向审查“内部”问题外扩到供应链层面的整个采办周期

老版报告指出,国防部在过去几年里采取的提高武器系统网络安全性的重大措施包括:明确规定网络安全政策适用于武器系统、要求整个武器系统采办周期更加重视网络安全。同时,国防部和国会也启动针对性措施帮助国防部提高对武器系统网络漏洞的认识,以降低风险,增强网络安全弹性。

新版报告重点落到国防部借助军种层级指南来更好的与承包商沟通武器系统网络安全事宜。新版报告不仅局限于国防部内部的整改和调整,而是将武器系统网络安全的解决视野扩展到供应链层面的整个采办周期,并总结建议三军种为采办项目制定指南,明确如何将特定的武器系统网络安全要求、验收标准和验收过程纳入合同,以更好的和供应商达成共识。

四、几点启示

近几年来,美军对武器系统的网络安全问题重视程度持续增加。在2016年《国防授权法案》中,首次要求国防部评估武器系统网络脆弱性;2019年《国防授权法案》中,对陆军、海军陆战队、海军、空军的武器系统网络漏洞评估预算分别为8830万、70万、4880万和9910万美元;2020年《国防授权法案》进一步要求,军队除了完成各主要武器系统的网络漏洞评估外,还需向国会国防委员会提交一份报告,内容包括:确定每个主要武器系统的网络漏洞;确定解决网络漏洞所需的条令、组织、培训、装备、领导和设施等方面的支持;总结排查网络漏洞和网络脆弱性评估方面的经验教训和最佳实践等。可见,美军为降低武器系统网络安全威胁所作的努力不限于表层,已逐步走向实质和深层。

随着网络、太空等新型作战域的迅猛发展,未来战争环境将愈加开放,武器系统将面临越来越严峻的网络威胁。针对武器系统实施网络攻击,可获取情报、致瘫系统、干扰人心,甚至可能扭转战局。最大限度降低武器系统所面临的网络安全威胁,也是各国军队在应对未来战争、发展新质作战能力进程中亟需解决的重要问题。

研究GAO的两份报告,我们有几点启示:

一是武器系统网络安全问题是各国军队发展面临的普遍问题,美军以政府主导的审查摸底获得风险底数,进一步确定问题、解决问题。

二是美军在推进武器系统网络安全上,政策先行,以顶层文件引导国防承包商加大对武器系统的网络安全研发投入。

三是GAO报告显示,将网络安全要求强制纳入采购合同是美军提升武器系统网络安全的核心举措,但网络安全要求的确定则是根据风险管理框架(RMF)形成,可见RMF在美军武器系统网络安全风险控制中的基础性作用。

注释:

[1] GAO,Government Accountability Office,美国政府责任署/美国审计总署。

[2] 2018年10月9日,GAO发布《武器系统网络安全-国防部开始解决大规模漏洞问题》(Weapon System Cybersecurity -DOD Just Beginning toGrapple with Scale of Vulnerabilitie)。

声明:本文来自网安思考,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。