解决关键武器系统的网络漏洞问题

枕戈/编译

【知远导读】本文编译自美国《联合部队季刊》（JFQ）2021年第3季度发表的一篇题为《常规与战略威慑的网络安全挑战》（Cyber Threats and Vulnerabilities to Conventional and Strategic Deterrence）的文章。

美国国会在《2019年国防授权法案》中特许成立了“网络空间日光浴委员会”（Cyberspace Solarium Commission），就保护美国在网络空间免遭攻击的战略方法达成共识。文章认为，目前很少有人关注战争级别以下的敌对网络活动的跨域联系，也很少有人关注这些网络活动对常规力量、核力量及作战能力的影响。尽管美国先进军事能力构成了军事优势基础，但也产生了网络漏洞，对手将利用这些漏洞获取战略优势。因此，美国迫切需要采取行动，解决关键武器系统的网络漏洞问题。文章分析了美国的战略威慑重点、常规威慑和核威慑的网络风险，进而提出了应对网络安全挑战的政策建议。

文章全长约9100字，推送部分为整编节选。需要阅读完整版本的读者，可访问知远外军防务开源情报数据库（http://www.knowfar.net.cn/）或下载“知远防务”手机APP（http://www.knowfar.tech/），即可订阅全文。

一般而言，很少有人会关注战争级别以下的敌对网络活动的跨域联系，也很少有人关注这些网络活动对常规威慑、核威慑及作战能力的影响。与对手相比，美国最重要的作战优势是在常规武器领域的技术优势，但该优势正在减弱。这也就是为什么对手更喜欢在战争级别以下的灰色地带与美国竞争，并在其认为美国具有重大优势的领域内极力避免直接军事对抗。同时，对手正在大力投资技术创新，目的是直接削弱美国这一优势，并通过发展抵消、反介入/区域拒止能力来使自己免受影响。此外，对手正在从事网络间谍活动，识别美国的关键军事能力和系统可能的脆弱之处，以期在危机或冲突时期，通过网络效应使其瘫痪。

因此，尽管美国技术先进的军事能力构成了军事优势基础，但也产生了网络漏洞，毫无疑问，对手将利用这些漏洞获取战略优势。为支持全面威慑战略，美国必须保持可信的常规能力与核能力。而对手可能会在网络空间将这些能力全部置于危险之中，削弱威慑。如果在危机和冲突时期威慑失败，当对手利用网络攻击美国军事系统，美国必须有能力保卫和增强常规能力。因此，美国迫切需要采取行动，解决关键武器系统的网络漏洞问题。

常规力量和核力量面临的网络漏洞

在常规武器和核武器平台上存在的网络漏洞会对保持威慑构成重大风险。随着美国继续推行依赖于脆弱数字基础设施的国防现代化计划，类似风险可能只会增加。这些漏洞分为四类，每一类都具有独特问题：已开发部署的武器系统中存在的技术漏洞、跨网络平台的系统级技术漏洞（“系统的系统”漏洞）、供应链漏洞和源自信息战的非技术漏洞。

连通性、自动化、精确态势感知以及精度是美国防部军事能力的核心组成部分。然而，它们也存在大量的漏洞和网络入侵攻击的接入点。武器技术创新制造出了高度复杂的武器系统，如F-35联合攻击战斗机，它拥有无与伦比的技术、传感器和态势感知能力，但其中一些依赖于脆弱的物联网设备。前美空军参谋长大卫·戈德费恩将F-35形容为“一台碰巧会飞的电脑”。这些武器系统日益电脑化和网络化使得保护难度成倍增加。此外，在现代武器系统中使用商用现货也提出了对漏洞考虑的新要求。2019年美国防部监察长报告指出，国防部采购和使用的现货产品存在网络安全漏洞，对手可能会利用这些漏洞。

因此，一个根本问题是，无论是正在开发的单个武器项目，还是在采购生命周期保障阶段已部署的系统，都存在漏洞困扰。在2014年前，美国防部的许多网络安全工作都是保护网络和信息系统，而不是武器本身。保护信息系统本身非常重要。联邦和私人承包商系统一直是网络入侵目标。美国前海军部部长理查德·斯宾塞称，美海军和工业伙伴的系统正在受到某国黑客的“网络围攻”。而最令人担忧的是，武器系统的网络安全漏洞更是会损害威慑的完整性和可信性。

近年来，尽管美国防部已开始评估单武器平台的网络漏洞，但基础设施中的关键缺口仍然存在。例如，尽管威胁环境呈动态变化且漏洞不恒定，但没有制度来定期评估已部署系统的漏洞。这意味着单一的静态评估不太可能捕捉到漏洞如何随时间变化。2018年，美政府问责局一份报告指出，在大多数武器系统中，普遍存在严重的关键任务漏洞。2012-2017年间，美国防部渗透测试人员（负责评估计算机系统网络安全漏洞）发现，“几乎所有正在开发的武器系统都存在关键任务网络漏洞”。这些武器具有阻止对手进入平台的网络安全控制，而渗透测试团队能够成功穿透这些控制，躲避检测，侵入系统。

更令人担忧的是，在某些情况下，测试小组并未试图逃避检测，只是公开操作，但仍然未被发现。国防部一些操作人员甚至不知道系统已被破坏，认为“不明原因的系统崩溃是正常的”。甚至当入侵检测系统发出警报时，仍认为“这并没有提高用户对测试团队活动的认识，因为警告非常普遍，以至于操作人员对此不再敏感。”现有测试计划非常有限，国防部无法全面了解武器系统漏洞，而缺少熟练渗透测试人员也加剧了这种情况。

单武器平台实际上并不是彼此孤立地运转。相反，大多数现代武器系统由一系列复杂的系统组成，这些系统的系统需要“以协作方式操作多个平台和系统，来执行军事任务。”一个例子是“宙斯盾”武器系统，它包含各种集成子系统，包括探测、指挥控制、瞄准和动能能力。因此，单平台漏洞评估无法识别当这些功能作为网络化平台的一部分进行交互或共同工作时出现的漏洞。传统武器和新型武器系统间的相互作用，使保护这些复杂系统变得更加复杂。而美国大部分武器平台都是传统武器平台，传统武器系统的网络安全设备非常糟糕或根本没有，这可能会危及其所连接的新系统和更大的系统，因为对手可利用传统系统的漏洞（这是链路中最薄弱的环节）来访问多个系统。如果不用系统过程来映射复杂网络系统间的依赖关系，预测对手入侵系统后的连锁影响将是一个挑战。

对手利用武器系统漏洞的另一个途径是美国国防部的供应链。该供应链代表着美国防部的全球生产能力及流程，这是由国防部的采购战略、法规和需求决定的。十多年来，美国防部和能源部一直关注新兴技术采购过程中的漏洞。供应链中任何一点不安全的硬件或软件都可能危及交付的最终产品，并成为对手恶意访问的途径。

然而，至今都没有清晰的战略来保障国防部供应链和采购流程，缺少一个负责实施并合规的中央实体，对这些问题采取的行动也明显不足。相反，国防部责任分散，许多应对措施无法全面了解供应链，对漏洞的范围和规模也没有一个动态理解，无法对漏洞进行快速修复。

截至目前，美国防部的主要采购要求也没有系统解决网络安全问题。例如，没有要求项目将网络攻击生存能力作为关键性能参数。这些要求通常在采购初期建立，并推动后续的系统设计决策。如果在此过程后期，或在武器系统部署后，再增加网络安全要求，则解决这些问题的难度和成本将增大很多，成功概率却减小很多。2016年，根据美国国家标准与技术研究院（NIST）标准，美国防部更新了《国防联邦采购法规补充》（DFARS），为国防承包商制定了网络安全要求。随后，由于《国防联邦采购法规补充》中部分网络安全标准的符合性、验证和执行方面存在不一致，美国防部于2019年发布了《网络安全成熟度模型认证》（CMMC），在《国防联邦采购法规补充》的基础上建立了新的分层网络安全标准。然而，这导致了对需求的混淆，独立审计和验证符合性的过程仍处于开发的初期阶段。同时，在《2019财年国防授权法案》（NDAA）中，国会通过立法，禁止政府从中国企业（包括华为和中兴）及其附属机构采购电信产品或签订电信技术协议。这引起了强烈反对，尤其是中小分包商对其合规性的强烈反对。

此外，采购所有权仍然分散，美国防部内外部不同办公室都发挥着重要作用。国防部的主要利益相关者包括负责采购和保障的副部长、负责情报和安全的副部长、国防反情报与安全局（DCSA）、国家安全局网络安全理事会（NSACD）、国防部网络犯罪中心（CCC）、以及国防工业基地网络安全项目等。在情报界，国家情报总监办公室（ODNI）下辖的国家反情报与安全中心（NCSC）也通过反情报任务，包括国防工业基地，在供应链安全方面发挥作用。此外，美能源部在核安全方面也发挥着关键作用。在这些问题上，没有一个定义明确的领导层战略，也没有明确的角色和职责，不太可能采取系统全面的措施来保护国防部供应链。

在识别和修复国防部武器系统网络漏洞的战略与政策中，来自非技术漏洞的风险已被完全忽视。对手可以在不利用数字基础设施技术漏洞的情况下，破坏指控系统的完整性（对核武器来说最令人担忧）。相反，恶意行为者可以实施网络信息战，目的是操纵或扭曲指控完整性。这可能以积极或消极形式发生，换言之，将信息作为一种手段，可诱使操作人员错误使用一种能力或不执行正确指令。其后果将非常严重，特别是在核指控领域，因为使某种能力失常可能破坏对核武器的控制，并不可避免地破坏核威慑的稳定。

政策建议

认识到网络、常规领域、核领域之间的相互依存关系，美国决策者们必须优先减少常规能力与核能力的网络漏洞，并确保其能够抵御网络空间的敌对行动。对这些系统的网络威胁可能会扭曲或破坏其预期用途，可能使这些能力在关键时刻无法可靠使用。此外，对手针对这些系统进行的网络间谍活动，能够复制美国的尖端国防技术，从而无需再进行研发投资，并可为对手的抵消能力提供信息。诸如此类的漏洞对于威慑和作战具有重要意义。可信、可靠、有效的常规或核能力威慑态势，可能会被对手的网络战所破坏。如果威慑失败，在危机和冲突期间，网络战将破坏或削弱动能武器系统，进而危及作战任务保障。

随着对手的网络威胁日趋复杂，美国防部网络武器系统的安全问题应被优先考虑。2020年3月，网络空间日光浴委员会发布报告，详细介绍了应对这一挑战的政策建议。我们在此介绍该委员会提出的一些具体措施，国会在发挥监督作用时，可与行政部门一起采取这些措施，解决涉及常规与核武器系统网络漏洞的紧迫问题。我们还将介绍基于该委员会建议的2021财年国防授权法案的重要进展。

在立法方面，网络空间日光浴委员会的报告建议，国会应更新最近制定的立法措施，评估武器系统网络漏洞，弥补重要差距，最终目标是使国防部能够对网络漏洞对关键武器系统的范围、规模、影响等有更全面的了解。此前，国会在这个问题上已取得一些重要进展。具体而言，在2016财年国防授权法案第1647节中（2020财年国防授权法案更新为第1633节），国会指示国防部评估每个主要武器系统的网络漏洞。尽管该项工作已经开始，但仍存在差距。例如，没有永久性流程来定期评估已部署系统的网络安全。此外，当前要求评估单个武器平台的漏洞，考虑到众多独立武器系统的网络化属性，仅对单平台进行评估，将会忽略平台相互作用时可能出现的关键漏洞。因此，国防部还必须评估对一个系统的网络入侵或攻击将如何影响整个任务，换言之，国防部必须在系统层面评估漏洞。

由于国会已经为评估武器系统网络漏洞奠定了基础，因此我们有机会在立法上巩固这一进展。如上所述，日光浴委员会建议国会修改2016财年国防授权法案第1647节（在2020财年进行了修改），将每年评估主要武器系统漏洞的要求包括进来。在2021财年国防授权法案中，国会采纳了该建议，指示国防部长将网络安全漏洞评估工作制度化，“把系统升级更新、修改调整、威胁状况的变化考虑在内”。重要的是，国会建议国防部指定一名高级官员监督管理这一过程，这是关键一步，因为这里详细阐明了监督权力下放，明确了国家安全局网络安全理事会在支持该计划中的作用。在2021财年国防授权法案的另一章节中，国会更新了首席网络顾问的角色描述，将其作为在国防部中“与国防工业基地相关网络安全问题”的协调权威，具体负责“同步、协调、解决矛盾，并协调与国防工业基地网络安全相关的所有政策和项目，”包括与网络安全有关的采购与合同执行。

此外，仍有许多工作有待完成。为加强国会监督，推动问题解决与受到关注，定期进行漏洞评估后还应拟制一份事后报告，内容包括在更广泛任务地区解决相互依赖和网络化武器系统的网络漏洞问题，当前和计划所做的工作，其目的是获得这些平台的任务保证。此外，考虑到网络系统的范围和规模，识别相互依赖的漏洞，其难度将超越技术漏洞评估，应采取风险管理方法来推动优先级排序。目标是提高系统的整体弹性，并确定二级和三级依赖关系，重点是快速修复已知漏洞。除了评估已部署系统漏洞外，国防部还应在采购生命周期初期对正在开发的系统贯彻网络安全要求，确保这些要求成为过程前端的重要组成，而不是在之后再加以“固化”。这样做，国防部将从本质上使武器系统网络漏洞评估制度化，进而保持实施关键举措的势头。

此外，鉴于网络威胁可能对核威慑和指挥控制造成毁灭性后果，加之当前核现代化项目可能产生意外网络风险，核指挥、控制、通信（NC3）的网络安全与国家领导层指挥能力（NLCC）应给予特别关注。在2018财年国防授权法案第1651节中，国会要求国防部对核指挥控制系统各部分的弹性进行年度评估，重点是任务保证。2021财年国防授权法案在这方面取得了重要进展。目前国会呼吁为核指挥控制的网络防御制定作战概念和监督机制。这有效扩大了2018财年国防授权法案的评估范围，使其不仅关注任务保证，还包括全面计划，从而可以主动识别和减少核指挥控制系统各部分的网络漏洞。建立明确的监督机制也有望建立另一机制，确保国防部定期评估核指挥、控制、通信与国家领导层指挥能力，从而实现网络安全最佳实践、封堵漏洞、发现证据。

当前，国会试图以监督身份对国防部提出额外要求，这与国防部希望获得更大自主权存在矛盾。然而，保持核心常规威慑、核威慑及作战能力的完整性事关重大，迄今为止所做的工作仍不够全面。

除了国会通过国防授权法案采取的行动之外，国防部还采取一系列措施加强立法工作，改进关键武器系统的网络安全。例如，作为对国防部评估武器系统网络漏洞制度化的补充，国防部可以在整个体系内将持续寻找和补救网络威胁能力的工作正规化。这就是为什么网络空间日光浴委员会建议国防部组建一支新型部队，形成整个国防部信息网络（DODIN）的威胁追踪能力，并覆盖全部非核力量与核力量。威胁追踪需要主动搜索资产与网络上的威胁。具体而言，国防部可以为威胁追踪能力制定计划，采用基于风险的方法来分析威胁情报，并评估美国和盟国中可能引发对手兴趣的目标。基于此，该能力可对已识别的网络和资产进行主动威胁追踪，寻找入侵证据，识别漏洞，部署对策，实施预警，挫败对手行动。鉴于网络威胁对核指挥、控制、通信（NC3）与国家领导层指挥能力（NLCC）具有重大影响，应优先识别对这些网络和系统的威胁，并进行相应的威胁追踪。

实施该建议可能存在的障碍是，许多网络威胁跨多个作战司令部，包括美国网络司令部、美国战略司令部及地域作战司令部。为使跨国防部信息网络（DODIN）的威胁追踪力量结构更加无缝、灵活机动，国防部应考虑制定一个工作流程来协调工作权限，实现对所有国防部的网络、系统、项目实施威胁追踪。

若对手针对核指挥控制决策流程成功实施网络信息战，将造成极其严重后果，鉴于此，美国防部应考虑对相关人员进行全面教育和培训。国防部还需考虑将这些工作纳入现有的桌面推演与核力量部署方案，同时将汲取的经验教训纳入未来培训。落实这些建议，将巩固美国防部的当前工作，对增强国防部的安全和弹性、支撑关键武器系统产生重要影响。

声明：本文来自知远战略与防务研究所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。