编者按
美国防部正在制订“作战人员网络记分卡”,以帮助作战司令部开展更全面的网络安全评估,了解武器系统的网络安全态势。
美国防部官员5月15日表示,虽然美国防部正在对武器系统进行网络安全评估分析,例如通过“战略网络安全计划”审查关键基础设施漏洞,但未提取重要的风险信息并将信息呈现给作战人员;美国防部未正确传达网络安全缺乏可能对武器系统乃至作战人员造成的风险严重性,无法让各作战司令部了解武器系统网络风险对其任务的影响;美国防部计划向各作战司令部的作战人员提供“网络安全评估计分卡”,作战人员将通过该记分卡对武器系统实施更全面的网络安全评估并将结果提供给美国防部;美国防部将对评估结果进行进一步的分析,尤其对任务影响的分析,并将把结果再反馈给作战人员,但只会分享“红色风险区域”;作战人员将基于以上风险信息参加作战演习,在演习中整合网络漏洞,对构建模拟进行任务分解,模拟武器系统在拆除受影响组件后的运行方式。
美国防部还在其他领域努力加强武器系统的网络安全。美国防部官员4月曾表示,希望在2035年前实现武器系统的零信任架构,即在飞机、坦克和舰船等系统中构建零信任架构; 美国防部计划与武器系统供应商合作,从而更好地利用业界专长;美国防部计划在2030年全面实施运营技术零信任,从而为武器系统的零信任实施提供指导。美国防部零信任战略要求该部门重点关注信息技术、运营技术和武器系统的零信任,其中武器系统是实现零信任实施的最后要素。
奇安网情局编译有关情况,供读者参考。
美国防部主管网络的副首席信息官兼首席信息安全官戴维·麦基翁5月15日在波托马克军官俱乐部网络峰会上表示,美国防部正在创建网络安全评估工具,即“记分卡”,以确定作战司令部内武器系统的网络态势。
戴维·麦基翁表示,“作战人员记分卡”将帮助美军人员更好地了解其武器系统在哪些方面存在漏洞,他们目前还不完全了解这一点。目前此类评估确实存在,但不如记分卡那么全面。
戴维·麦基翁表示,“作战司令部需要了解所有这些系统所面临的风险。我们对武器系统进行了分析,并进行了发布,但我认为作战司令部并不真正了解其任务的影响。因此,我们将努力推动更多任务影响分析。”
戴维·麦基翁表示,除了目前的评估缺乏任务影响分析外,美国防部也没有正确传达网络安全缺乏可能对武器系统乃至作战人员造成的风险严重性。
戴维·麦基翁表示,“整个美国防部都有各种各样的治理措施,通过战略网络安全计划开展了大量卓有成效的工作,审查关键基础设施,了解系统易受攻击的地方。然而,我们在向作战人员披露这些信息方面做得并不好。我们做了所有这些工作,但却没有提取重要的风险信息并将其呈现给作战人员。”
戴维·麦基翁表示,美国防部的计划是向各作战司令部的作战人员提供记分卡,以便对其武器系统进行测试,并将结果返回给戴维·麦基翁和他的同事,他们随后将分享进一步的分析结果。不过,戴维·麦基翁表示,他们只会与作战人员分享“红色”区域,也就是所谓的“风险区域”。
戴维·麦基翁表示,有了这些信息,作战人员就应该参加作战演习,在演习中他们将整合网络漏洞,然后练习将受影响的组件从武器系统中取出,这样他们就可以确定如果系统在现实世界中受到威胁行为者的攻击,系统将如何运行。
戴维·麦基翁表示,这将要求作战人员“分解”他们的任务,以弄清楚如何在没有某些网络功能的情况下开展行动。
戴维·麦基翁表示,“你必须把我们正在研究的所有这些构建模块进行任务分解。他们需要知道它们是如何组合在一起的。比如,如果我因为网络攻击而拆除了这些构建模块,会对系统产生什么影响?”
戴维·麦基翁表示,美国防部仍在制定记分卡,将在他的办公室以及战略网络安全计划和美国防部的采购和维持部门内完成。
在美国防部努力在其他领域加强武器系统网络安全之际,创建武器系统记分卡的举措也随之而来。美国防部零信任资产组合管理办公室主任兰迪·雷斯尼克4月2日在先进技术学术研究中心(ATARC)的国防部零信任研讨会上曾表示,美国防部希望在2035年前实现武器系统的零信任架构。这意味着要在飞机、坦克和舰船等系统中构建零信任架构。兰迪·雷斯尼克表示,这绝非易事,但他希望能在未来10年内实现。
兰迪·雷斯尼克称,“我们讨论的是可能存在于武器系统内部的东西。这不是我们的专长。这需要我们与五角大楼的其他部门以及设计这些系统的供应商合作,尤其是那些尚未设计的新系统。我们距离目标还很远。我建议在2035财年及以后实现这一目标。这实际上可能是一项10年甚至更长时间的工作。”
根据美国防部的零信任战略,《2022年美国国防授权法案》中的条款要求美国防部重点关注信息技术(IT)、运营技术(OT)和武器系统的零信任,其中武器系统是实现零信任实施的最后要素。
兰迪·雷斯尼克表示希望到2030年,运营技术(OT)零信任将全面实施,这将有助于为武器系统提供指导。他强调,尽管美国国会要求对武器系统实施零信任,但让每个系统都符合零信任标准可能并不合理。
兰迪·雷斯尼克称,“我们需要开始思考和讨论如何将零信任元素融入武器系统,以及这是否有意义。这种想法非常新颖,我们希望采取更多措施来控制这些系统。我们持开放态度。但我们只是把它作为一个占位符,因为我想让每个人都明白,即使在商业世界中,可能不仅限于武器系统,零信任也不会随着信息技术而结束。”
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。