随着军事领域的信息化、数字化进程不断深入以及人工智能等新兴技术的军事应用愈发普及,不断演进的网络威胁成为国防建设和军事行动面临的主要风险之一,网络安全也进一步融入国家和国防安全建设。年内,美西方军事强国继续加强国防网络安全领域系统性、前瞻性布局,通过革新风险管理框架、全面推广零信任架构、加强新型攻击应对措施、强化国防供应链安全与跨国军事协同防御,着力消除军事领域的网络安全威胁和隐患,提升军事网络安全防护能力,促进集体网络防御和威慑的发展,以在新形势下夺取和保持网络空间战略主动权。
01
革新安全管控,
加强军事网络威胁和风险应对能力
美西方主要军事力量正加速推动网络安全风险管理体系从传统的“静态合规”向“动态韧性”深刻转型。美军正式实施全新的“网络安全风险管理框架”,着手制订“作战人员网络记分卡”,利用新平台、新方法、新技术改善网络安全状况,为军事网络、数据、系统以及武器系统和关键基础设施提供防护,以应对日益复杂和不断演变的网络威胁。上述体系化革新标志着大国国防网络防御正致力于构建自动化、持续监控的主动防御体系,以实时响应能力应对新兴网络威胁,从而在复杂的对抗环境中保持持续运行与任务完成的弹性。
美国防部9月宣布实施新的“网络安全风险管理框架”(CSRMC),将通过动态、自动化和持续的风险管理来解决原有风险管理框架的不足,从而实现以作战速度为美军提供实时网络防御。该框架包含5个阶段和10项原则,旨在构建一个强化、可验证、持续监控和主动防御的环境,以确保美军作战人员在应对快速发展和新兴的网络威胁时保持技术优势。
新框架的5个阶段包括:一是在设计阶段,从初始就嵌入安全性,确保韧性融入系统架构;二是构建阶段,在系统达到初始运行能力时,实施安全设计;三是测试阶段,在全面运行能力前进行全面的验证和压力测试;四是适用阶段,在部署时激活自动持续监控,以维持系统可见性;五是运营阶段,通过实时仪表板和警报机制提供即时威胁检测和快速响应。
新框架秉承的10项核心原则包括:一是自动化,旨在提高效率和规模;二是关键控制,旨在识别和跟踪对网络安全最重要的控制;三是持续监控和操作授权,旨在实现实时态势感知,确保持续的操作状态;四是开发、安全和运维,旨在支持安全、敏捷的开发和部署;五是网络生存能力,旨在支持在对抗环境中开展行动;六是培训,旨在提升人员技能以应对不断变化的挑战;七是体系服务和继承,旨在减少重复和合规负担;八是操作化,旨在确保利益攸关方近乎实时地了解网络安全风险态势;九是互惠,旨在跨系统重复使用评估;十是网络安全评估,旨在整合威胁知情测试以验证安全性。
美国防部5月表示,其正在制定“作战人员网络记分卡”,以帮助作战司令部开展更全面的网络安全评估,并了解武器系统的网络安全态势。各作战司令部的作战人员可通过该记分卡对武器系统实施更全面的网络安全评估并将结果提供给国防部。美国防部将对评估结果开展进一步分析,尤其是对任务影响的分析,并将结果再反馈给作战人员。然后,作战人员将基于以上风险信息参加作战演习,在演习中整合网络漏洞,对构建模拟进行任务分解,模拟武器系统在拆除受影响组件后的运行方式。
美国防部7月连续发布两份安全备忘录。第一份是名为“加强国防部的安全协议”的备忘录,其中指示确保为美国防部开发和采购的所有IT解决方案都经过验证,可抵御对手的供应链攻击。第二份是名为“美国防部针对云服务产品开展的网络安全活动”的指令型备忘录,其中概述了美国防部任务所有者确保其所用云服务网络安全的责任,包括:确保数据以适当的安全级别迁移到云;审查所选云服务提供商的网络安全能力;确保合同明确规定云服务提供商需要提供符合国防部安全要求的数据等。
美国防部认为,人工智能(AI)在国防部数字化、现代化工作中的重要性日益凸显,其进步正在改变国防部对采购乃至日常运营流程的思考方式,并在保护军队及国防工业基础免受间谍活动和数据泄露方面发挥着重要作用。美国国防反情报与安全局(DCSA)正通过整合数据和利用AI驱动的分析技术保护敏感信息,从而极大简化该机构每天开展的背景调查,通过自动化日常任务和快速汇总关键数据,使调查人员的工作更加专注和高效。美国国防信息系统局(DISA)正致力于利用新的AI和机器学习(ML)技术来强化其网络威胁情报框架,希望借此帮助作战人员更有效地了解和侦测敌方行动,从而提升士兵的作战准备,并为其提供更安全的数字环境。
美国国防信息系统局欧洲分局的网络安全服务提供机构(CSSP)团队正与美空军第16航空队、美国欧洲司令部J-3和J-6办公室以及各种防御性网络作战(DCO)任务合作,以加强该机构的基础设施,并在网络空间内外构建和整合所有功能,以弥补各自行动中存在的所有漏洞和不足。其中,一项行动旨在确保各方在跨网络进行DCO行动前,能够整合并共享数据和信息;另一项行动是检查旧日志,利用AI和构建算法及应用程序编程接口,以查看以前网络中的异常情况,同时不断构建和加固网络。
美国国防高级研究计划局(DARPA)6月宣布将推出“弹性软件系统加速器”项目,旨在推广基于“形式化方法”的软件开发实践,提高军事系统抵御网络威胁的能力。“形式化方法”是指用于开发高可信度、经过验证的软件的技术,其并非在软件构建完成后测试漏洞,而是在开发过程中使用数学证明来验证软件行为,从而确保软件完全按照预期运行,在本质上提高了软件的安全性。DARPA将通过“弹性软件系统加速器”为“形式化方法”工具开发者提供种子资金,而开发者将与国防承包商公司合作,识别出能够从其工具的使用中受益的美国防部系统。相关资金将用于支持对美国防部系统漏洞进行初步红队评估、“形式化方法”工具的应用以及第二次红队评估,以衡量其影响和工作量。
DARPA还将通过其“弹性软件系统顶点项目”与美军各军种合作开展演示活动。该顶点项目由多个联合资助的作战平台项目组成,旨在评估关键发现,包括弹性、成本、时间的水平以及采用各种“形式化方法”能力所需的专业水平。美国空军是首个确定其试点武器系统的机构,正在通过为MQ-9“死神”无人机加装软件来启动顶点演示。美国海军部、陆军部以及美国国家航空航天局也将与DARPA合作开展其他顶点项目平台实验。
美国空军参谋长被提名人肯尼斯·威尔斯巴赫10月表示,美空军的目标是确保控制系统和武器系统在整个生命周期内即使在遭受网络攻击的情况下也能继续运行,而控制系统网络弹性办公室(CROCS)和武器系统网络弹性办公室(CROWS)项目在防止对手通过网络攻击获得优势方面发挥着至关重要的作用,体现在:一是通过保卫联网、运营技术和武器系统来最大化空中力量,确保空军有效投射力量的能力不受限制;二是确保控制系统和武器系统即使在遭受网络攻击的情况下也能继续运行,从而保持战备状态以及在必要时应对威胁的能力;三是保护关键基础设施免受可能对美空军作战和国家安全造成连锁影响的网络攻击;四是保护武器系统免受可能损害其功能性、准确性或安全性的网络威胁,从而维护美空军武器库的有效性并防止对手通过网络攻击获取优势;五是提供端到端保护,解决控制系统和武器系统从设计开发到部署维护的整个生命周期中的漏洞;六是通过保护联网、控制系统和武器系统来保持美空军关键战略优势。
日本政府考虑为警察和自卫队建立一个新的联合中心,作为该国采用主动网络防御或预防性网络攻击的先发制人行动的一部分。新中心旨在促进警察和自卫队间的密切合作,以便迅速应对网络威胁,并可能使用东京市防卫省大楼附近的一处国有设施作为驻地。
02
实施全栈防护,
拓展国防体系零信任架构覆盖范围
美军零信任架构在国防领域的应用已超越信息技术范畴,向运营技术与武器系统全面扩展。美国防部发布运营技术零信任指南,推进体系身份认证与管理的现代化,打造零信任旗舰标杆项目,旨在构建一个从后方数据中心到前线战术边缘、从办公网络到工业控制环境的统一、无边界防御体系。美国陆军在战术边缘的实践探索、海军通过新框架强化基础设施以及空军尝试在基地控制系统试点应用,均表明美军各军种正在根据需求“裁剪”零信任架构,以适应严苛、动态的作战环境。相关动态表明,美军已经不满足仅仅为虚拟信息技术环境构建动态防御体系,更着眼于为物理国防关键基础设施和武器系统注入内生零信任能力,从而实现从网络到物理的全链路国防体系韧性防护。
美国防部正加紧推动零信任网络安全框架的全面推广,通过加强顶层规划扩大零信任框架的覆盖范围,通过公私合作加快关键项目的技术研发、评估验证和落地部署。美国防部7月发布了题为“实施国防部零信任战略”的指令型备忘录,旨在将零信任投资组合管理办公室正式纳入国防部首席信息官办公室,并设立首席零信任官负责管理该办公室,以推动国防部2027年零信任目标。
美国防部零信任投资组合管理办公室计划汇编一份“成功的零信任实施清单”,帮助在国防部集中实施零信任并开发测试程序,以在2025年增加国防部对零信任技术的采购和安装,并推动零信任技术的发展。相关试点项目将以集中方式进行,如果在国防部取得成功,那么其他军种就可以遵循国防部方法,轻松获取相关许可并实施零信任。该办公室9月还表示,其与国防部首席数据和人工智能办公室(CDAO)合作制定了全体系范围内的数据标记和标注的新指南,旨在为国防部标记和标注数据提供一致的框架,从而实现更好的数据治理、更安全的数据共享,以及在整个国防部更强有力地执行零信任政策。CDAO将牵头推出这些标准,而零信任投资组合管理办公室将提供战略投入,以解决阻碍国防部全面实施零信任网络安全战略的长期问题。
美国防部在推动信息技术零信任工作时面临缺乏身份、凭证和访问管理(ICAM)工具以及自动数据标记等方面的挑战。美国国防信息系统局(DISA)正在创新和现代化美军ICAM解决方案,目标是实现美军内部的联合ICAM,同时将联合ICAM扩展到国际盟友和合作伙伴。联合ICAM旨在简化美国防部信息网络以及与国际盟友和合作伙伴的信息共享,将允许一个机构接受另一机构的身份流程和程序,以便在现有平台上实现数据互访。目前,DISA已经实施了自动化账户配置以取代了授予用户系统访问权限的手动流程,可以通过主用户记录来跟踪用户访问和活动并在必要时删除访问权限;已于2024年底成立了一个联合中心,以整合美国防部现有的ICAM实现,计划在2025年内逐步在陆军、海军和空军的非机密网络上实现联合ICAM连接,然后在国防部内推广联合ICAM,未来将在机密网络上开展相关工作;已在2024年底与盟友开展了联合ICAM试点,实现了与加拿大武装部队的联合ICAM连接,未来会将这一能力扩展到所有北约国家和其他盟国,以支持联合作战。
美国防部7月启动18个月的过渡计划,使用名为myAuth的新平台取代传统的DS Logon身份验证系统以及不同部门维护的其他身份验证系统,旨在简化和保护约2000万用户的军事和退伍军人网络的登录访问。myAuth于5月上线,是基于一款商业身份即服务产品,并托管在安全的国防部云平台中,目前已获美国防信息系统局授权。myAuth的主要优势之一是可根据安全需求提供灵活的登录选项,包括使用集成的Okta Verify移动应用程序,通过面部或指纹识别等功能实现安全访问。这使其可为没有通用访问卡(CAC)的用户(如退休人员)提供访问权限,还可为在旅行或远程工作时无法访问支持CAC设备的持卡人员提供服务。但是,CAC仍是最高级别的身份验证。
美军也已成功开展一些标杆零信任项目。美国海军的“侧翼速度”云服务(基于云的Microsoft Office 365平台)在2024年10月就实现了151项零信任要求(美军零信任共有152项要求,包括91项目标零信任活动和61项高级零信任活动),到2025年已满足了国防部设定的所有152项要求。美国国防信息系统局“雷穹”项目已通过美国防部首席信息官紫队确认,完全达到美国防部高级零信任目标,并自2025年开始在国防部机构内部署。该项目由美国防信息系统局委托博思艾伦咨询公司开展,已通过原型开发并进入生产部署阶段;通过一整套信息技术和网络安全技术提供卓越的机器系统和环境,可供美国防部各机构用作零信任解决方案;利用了体系ICAM、商业安全访问服务边缘功能以及软件定义的广域网络和安全工具。美国防部还审核通过了戴尔公司的“零号堡垒项目”,认为其已达到了美国防部目标级零信任。该项目是戴尔公司牵头的一项计划,汇集了30多家科技公司合作伙伴;可提供主权本地私有云,并通过使用AI/ML提供有条件的用户访问、协助网络分析决策、标记和分类数据、自动化加密过程、防止数据丢失、分析行为以及自动化访问策略等功能。
美国陆军尝试在战术边缘落实58种最关键的网络保护,而不是国防部的91项目标零信任活动。陆军零信任职能管理办公室与网络卓越中心合作制定了详细说明58项能力的战略,并引入了作战部队、各部门网络安全专家以及项目执行办公室团队,以找出差距和弥补方法。目前,陆军驻坎贝尔堡的第101空降师已开始在战术上试行零信任实施,并在评估和威胁评估中表现非常出色,证明了零信任的架构、设计和实施可被纳入战术层面。陆军已经准备好制定操作概念,并正制定G6级别的指导,希望2025年开始在各编队实施零信任。
美国陆军2月发布信息征询书,征求战术数据使用安全解决方案,即一种可“无缝集成”到陆军现有基础设施,同时可在拒止、降级、间歇或有限环境中运行的零信任解决方案。美国陆军表示,这种受限、高度动态且易受敌对攻击的战术环境对于实施满足任务需求的零信任解决方案将是一个挑战;陆军正转向零信任来保护其数据,因为网络威胁的日益复杂使得传统安全模型已不再适用;该项征集专门寻找提供高级加密和异常检测功能以及可防范当前和未来威胁的“安全通信协议”解决方案。
美国防部还在信息技术系统外开始启动运营技术系统和武器系统的零信任工作。美国防部11月发布名为《运营技术零信任》的最新指导方针,旨在促进美军在当前和未来在运营技术环境中采用零信任原则。该指南延续了信息技术零信任的两个成熟度级别,但具体活动缩减为105项,其中“目标级别”84项,“高级级别”21项。
该指南指出,该文件以美国防部零信任指导性文件为基础,并根据运营技术环境的独特特征和挑战进行调整,同时与现有的运营技术和控制系统网络安全政策和指南保持一致;文件中所提供的运营技术零信任活动和成果与体系级信息技术零信任活动和成果保持一致,以促进两者间的互操作性和一致性;该文件重点关注美国防部拥有的运营技术环境和控制系统,直至并包括分界点,涵盖设施相关控制系统、电网、水处理设施、安保和生命安全系统、能源管理系统、传输网络、物流处理和制造控制系统,其范围延伸至武器系统或国防关键基础设施的边界,例如为武器系统供电的配电系统。
该指南指出,已确定的运营技术系统参考架构基于分层模型,但该文件旨在为系统所有者提供高层次的需求,使其更具适应性和动态性,因此使用更高层次的抽象来描述运营技术环境比传统的五层拓扑结构更为便捷;为描述运营技术环境中的零信任原则,该文件将运营技术环境划分为运行层和过程控制层;运行层在概念上包括普渡模型的第4层和第5层,以及监控层和自动化层中的传统工具和功能,而过程控制层则包含模型第0层至第2层;上述对常用普渡模型的概括性描述是一种灵活且适应性强的方法,能够灵活适应各种未来的运营技术环境,并兼容不同的安全参考架构,从而允许根据具体的系统配置灵活地进行实施,避免死板地将组件、设备和用户拘泥于特定架构层。
美国海军认为运营技术系统至关重要,海军的武器系统、平台和设施必须纳入零信任保护范围。美国海军部正仿照国防部零信任战略,为运营技术系统制定一套零信任实施标准;这些标准是海军“增强工业控制系统态势感知”(MOSAICS)框架的一部分,旨在为其设施开发和展示网络防御能力。MOSAICS由美国海军信息战中心大西洋分部牵头开发,是一项旨在对关键工业控制系统实施网络防御的网络安全和系统工程创新,并使用一套集成到自动化系统中的与供应商无关、非专有、商用现货的软硬件工具来帮助保护运营技术免遭网络威胁。目前,美国国防部有意将MOSAICS纳入国防部建筑规范《统一设施标准》,以帮助国防部确保关键基础设施的安全性、可靠性、耐用性和功能性。
美国空军即将开始在其基地和基础设施的工业控制系统中应用零信任网络安全原则。美国空军表示,运营技术可能成为关键任务的攻击面,敌方无需入侵网络即可干扰飞行任务和任务计划,瘫痪基地内的公用设施或支持系统就能达到同样的效果,就像破坏基地外部的电力供应导致基地断电一样;运营技术环境通常涉及较长的生命周期、特定供应商的软硬件以及有限的可见性,这对安全框架构成严重挑战;运营技术环境不能原封不动地照搬美国防部针对信息技术系统提出的零信任网络安全要求,例如可编程逻辑控制器的运行、接口和连接方式与计算机系统完全不同;零信任永无止境,空军的最终目标并非仅是实现合规性检查,而是要构建即使在遭受攻击的情况下也能持续运行的基础设施,此项工作需要时间和反复迭代。
根据美国国防授权法案,美国防部需要重点关注信息技术、运营技术和武器系统的零信任,其中武器系统是实现零信任实施的最后要素。美国防部计划利用运营技术零信任经验为武器系统零信任提供指导,在2035年前实现武器系统的零信任架构,即在飞机、坦克和舰船等系统中构建零信任架构。
03
升级威胁响应,
通过技术规制与联盟预警筑牢防线
面对日益常态化的国家背景网络行动、AI赋能的新型攻击手段以及针对关键基础设施的系统性风险,美西方国防与安全机构正从技术基准设定与跨国协同预警两个维度构筑立体化、前瞻性的防御体系。美军安全机构联合国内外安全机构持续发布覆盖运营技术安全、固件安全、软件供应链、AI数据保护等领域的技术指南,将安全基线从应用层延伸至硬件底层与开发生命周期;同时高频发布针对高级威胁组织的实时预警与战术剖析,尤其关注供应链攻击、云服务风险社会工程新手法等方面,旨在构建威胁先知的防御优势。相关举措凸显全球国防网络防御重心正从被动响应转向主动设防,旨在应对混合战背景下“无边界、高隐蔽、深渗透”的复杂网络威胁。
美国国防部3月发布全部门通知,警告部门人员不要使用Signal通讯应用,因为俄罗斯专业黑客组织正利用该应用的漏洞来监视加密对话,同时国防部政策不允许使用该应用处理或存储非公开的非机密信息;8月向微软公司发布正式信函,要求该公司停止“数字护卫”计划,因为该计划允许来自外国的程序员在美国承包商的远程监督下,协助维护国防部敏感的云环境,这对美国国家安全构成了“不可接受的风险”;9月发布《云服务提供商安全要求指南》称,只有“来自非对手国家的人员”才可在国防部云系统上工作,监督这些外国工作人员的护卫人员“必须具备他们所提供访问权限的代码/系统或技术方面的技术资格”,而云服务提供商必须维护详细的审计日志。
美国国家安全局4月发布《运营技术保障伙伴关系:国家安全系统中的智能控制器安全》,对国家安全系统中安装的运营技术智能控制器设备提出安全策略和技术要求。相关要求涉及两个方面:一是在使用控制方面,要求各种组件必须禁用无线接口,并在系统或程序设置中默认禁用无线功能;智能控制器必须能够限制使用可能直接连接的未经授权的可移动媒体设备等。二是在数据保密性方面,要求智能控制器必须支持信息加密能力,也必须使用国家安全系统批准的加密安全机制。
美国国家安全局12月发布《统一可扩展固件接口安全启动管理指南》称,UEFI安全启动是一种2006年推出的启动安全技术并已在计算机系统中得到广泛应用,但如果配置不当会使设备所有者面临固件中可能存在恶意启动工具包等风险;近期涉及安全启动的漏洞表明,企业设备的安全启动配置亟需仔细审查;设备所有者和管理员应采取多项措施检查安全启动是否正确配置并有效执行。
美国国家安全局(NSA)年内还联合其他美国机构和澳大利亚、荷兰等盟国安全机构发布多份安全指南,包括:1月发布《按需安全:运营技术所有者和运营商选择数字产品时的优先考虑事项》,敦促运营技术所有者和运营商应优先考虑具有安全元素的产品,以在选择运营产品时整合安全性;1月发布《缩小软件理解差距》报告,提出了多种技术和政策,以帮助各方更全面地了解软件控制系统,并对这些系统进行适当评估,以验证所有条件下的功能性、安全性和保密性;5月发布关于安全信息和事件管理(SIEM)以及安全编排、自动化和响应(SOAR)的3份网络安全文件,指导网络安全高管和网络防御者实施SIEM和SOAR平台,以有效检测和应对可能的入侵;6月发布《人工智能数据安全:保护用于训练和运行人工智能系统的数据的最佳实践》,提出了贯穿AI系统生命周期各阶段的安全措施,指导各组织确保用于开发、运营和维护AI模型的数据保持安全、可信和防篡改;6月发布《内存安全语言:减少现代软件开发中的漏洞》,呼吁开发人员使用能防止内存相关漏洞的编程语言,以防范漏洞利用行动;8月发布《运营技术网络安全基础:业主和运营商资产清单指南》,提出了关键基础设施领域的运营技术所有者和运营者应做到的关键步骤和关键行动,以帮助其创建和维护全面的运营技术资产清单和分类法;9月发布《网络安全软件物料清单的共同愿景》,敦促任何软件生产商、采购者、和运营商等将软件物料清单生成、分析和共享集成到现有安全流程和实践中的优势,以更好地应对软件安全挑战;11月发布《防弹防御:降低防弹主机提供商带来的风险》,鼓励互联网服务提供商和网络防御者采取相关措施,以缓解犯罪分子对防弹主机基础设施的利用;12月发布《人工智能安全集成到运营技术中的原则》,指导关键基础设施所有者和运营商安全地将AI集成到运营技术系统中,以平衡AI为运营技术环境带来的优势和独特风险。
美国国家安全局(NSA)年内联合其他美国机构及英国、加拿大等盟国安全机构持续发布安全警报,包括:4月警告称,恶意网络行为者正使用名为Fast Flux的新技术来逃避检测并维持弹性运作;5月警告称,俄罗斯总参谋部情报总局第26165部队(又名APT28)长期针对参与协调、运输和交付对乌克兰援助的西方物流实体和IT公司发起网络间谍攻击,并入侵乌克兰边境口岸的联网摄像头,以监控和追踪援助物资运送情况;6月警告称,伊朗网络威胁者可能攻击美国关键基础设施和其他实体,特别是持有以色列研究和国防公司股份或与其建立合作关系的国防工业基础公司;8月警告称,“盐台风”活动正瞄准全球网络,包括但不限于电信、政府、交通运输、住宿和军事基础设施网络;10月警告称,微软Exchange服务器仍面临持续威胁,Exchange环境不断成为攻击目标,应将其视为迫在眉睫的威胁;12月警告称,黑客正使用BRICKSTORM恶意软件,针对政府服务和设施以及信息技术领域机构进行长期持久化攻击;12月警告称,亲俄罗斯黑客正针对关键基础设施实体广泛开展机会主义的、技术含量较低、影响较小的恶意网络活动。
美国国防部首席信息官11月发布备忘录,指示所有国防部门识别并清点所有信息系统中使用的各类型密码技术,并指定专人负责后量子密码过渡事宜,以加速过渡到后量子密码,从而保障信息系统、通信和人员安全。
美国防部网络犯罪中心11月联合其他美国机构及法国、德国、荷兰和欧盟执法机构发布警报称,Akira勒索软件组织可能与已解散的俄罗斯Conti勒索软件组织有联系,自2023年3月以来已对北美、欧洲和澳大利亚的众多企业和关键基础设施实体造成影响,截至2025年9月底已勒索约2.44亿美元;当前,该组织正在更新攻击技术,可通过窃取登录凭证、漏洞利用等方式获取初始访问权限,还滥用远程访问工具,以维持对受害者网络的访问权限,甚至曾在首次访问目标网络后仅用2小时就窃取了数据。
美国陆军11月发布备忘录称,外国情报机构伪装成咨询公司、企业招聘人员、智库和其他看似合法的公司,试图以陆军官兵、文职人员及其家属为目标,通过提供工作或“轻松”赚钱的机会,以收集敏感信息;特别是在近期拨款中断和美国政府停摆的背景下,这些对手机构正通过网络寻找那些寻求新工作机会、表达不满或描述经济困境的人员;现任和前任联邦雇员,尤其是拥有安全许可的雇员,必须警惕这些伎俩,并了解参与其中的潜在后果。
美国海岸警卫队1月发布海上运输系统网络安全最终规则,要求悬挂美国国旗的船只、外大陆架设施以及受2002年海上运输安全法监管的设施实施基本的网络安全措施,包括制定和维护网络安全计划、指定网络安全官员等,以解决海洋运输系统中当前和新兴的网络安全威胁,帮助检测风险、响应网络安全事件并从中恢复。
乌克兰安全机构3月警告称,网络威胁行为者利用被入侵的Signal账户针对国防工业公司的员工和军队成员发送恶意软件;4月警告称,黑客冒充乌克兰无人机制造商和国家机构,通过网络钓鱼邮件传播信息窃取软件,感染乌克兰武装部队、执法机构以及乌克兰东部边境附近地方政府机构的系统;6月警告称,俄罗斯网络间谍组织APT28正在使用加密通讯应用程序Signal攻击乌克兰的政府目标,并使用了两个此前未被记录的恶意软件家族,分别为BeardShell和SlimAgent;7月警告称,俄罗斯网络间谍组织APT28开发了一种新型恶意软件,可利用大语言模型来生成Windows shell命令,并将这些命令作为其攻击链的一部分;8月警告称,名为UAC-0099的威胁行为体正在针对该国政府机构、国防部队和国防工业综合体企业发动网络攻击;10月警告称,俄罗斯黑客越来越多地使用人工智能,并在针对乌克兰的网络攻击中采用新战术,且已取得一定成功。
04
强化内控纠偏,
依托审计和监管加速封堵关键漏洞
美国加强国防体系内部的网络安全监管与审计活动,旨在通过系统性审查揭示从移动设备、通信应用到关键基础设施等多个层面的重大安全漏洞与合规缺失。美国防部监察长办公室和美国国会政府问责局年内发布系列报告,揭示美军在政策执行、内部控制等方面的深层短板。相关审计发现不仅提出了具体的技术与管理整改建议,更从制度层面倒逼国防网络安全体系实现从政策制定、执行监督到违规问责的完整闭环,旨在确保美军在对外构建高边疆防御的同时,对内强化安全基座的稳固性。
美国防部监察长办公室1月发布《美国防部机密移动设备网络安全审计》报告,旨在确定国防部各机构是否有效实施了网络安全控制措施,以保护机密移动设备以及通过这些设备访问、存储或传输的敏感信息。审查发现,美国授权军事官员和文职雇员使用的机密移动设备在隐私、安全和身份验证方面存在重大漏洞,这些缺陷不仅损害了敏感信息的完整性,而且还使美国防部面临潜在的违规行为和内部威胁。报告提出了几项紧急建议,包括更新库存系统以包含所有强制性数据元素、定期进行审计以确保设备责任制,以及实施全面的用户培训计划;还针对各机构提出40项建议,包括要求美国国防信息系统局、欧洲司令部和特种作战司令部授权官员对其机密移动设备计划进行审查,找出网络安全控制缺陷,并制定和实施纠正行动计划等。
美国防部监察长办公室1月发布《美国防部授权第三方机构执行网络安全成熟度模型认证(CMMC)2.0评估流程的审计》报告,指出美国防部未确保授权CMMC第三方机构(C3PAO)执行CMMC第2级评估的流程得到有效实施,原因是美国防部首席信息官没有适当的质量保证流程来验证网络认证机构是否只授权那些满足执行CMMC第2级评估所有要求的C3PAO。为此,报告向美国防部首席信息官、CMMC项目管理办公室主任和国防工业基础网络安全评估中心(DIBCAC)主任提出了10项建议,其中包括美国防部首席信息官制定和实施质量保证流程,以确保在授权C3PAO执行CMMC第2级评估前成功满足C3PAO授权流程中的所有要求。
美国国防部监察长办公室3月致函美参议员罗恩·怀登和埃里克·施密特,透露其办公室将很快启动3个项目,旨在提高国防部电话网络的安全性。第一个项目将于3月启动,重点是加强国防部非机密移动设备的安全要求,并计划于年底发布报告。这涉及美国防部用于购买移动通信设备和服务的Spiral 4合同载体,具体包括其安全要求、执行情况以及SS7电话协议中的漏洞。第二个项目将在第一个项目完成后启动,以审查国防部协作工具中非机密数据和语音通信的加密。第三个项目将作为美国防部监察长办公室2026财年计划的一部分,将调查国防部使用桌面普通老式电话系统对非机密语言通信进行端到端加密的情况。
美国国防部监察长办公室4月启动对3月“信号门”事件(美国高级安全官员意外将记者拉入有关轰炸也门胡塞武装基地的Signal聊天)的调查,并于12月发布两份报告。第一份报告是《对美国防部长报告使用商用即时通讯应用程序处理公务情况的评估》,其中显示:美国中央司令部在3月15日空袭行动之前和期间向国防部长提供了机密空袭细节;美国防部长通过其私人手机上的Signal通讯软件发送了他认为无需保密的作战信息,而该软件未经批准用于传输此类信息;美国防部长和国防部长办公室没有按照联邦法律和国防部政策要求,将部长在Signal通讯软件上的通话记录保存为正式记录;除了“胡塞武装小组”Signal聊天室,美国防部长还有其他Signal聊天室,用于发送有关国防部官方活动的短信并传递非公开信息;美国防部长传播国防部非公开信息的行为给美军任务带来额外风险。第二份报告是《美国防部关于使用非国防部控制的电子通讯系统处理公务的政策和监督报告评估》,其中显示美国防部政策对受控和机密信息的分类、解密和保护提供了具体的流程和程序,但是美国防部人员并未始终遵守关于电子通信和记录保存的政策,国防部尚未完全落实监察长办公室关于使用非国防部控制的电子通信系统的建议,这增加了安全风险。该报告还建议美国防部首席信息官等高级官员施策解决相关问题,包括评估相关活动风险、明确界定可行范围、制定和实施政策培训等。
美国政府问责局2月发布《海岸警卫队:需要加大力度应对海上运输系统的网络安全风险》报告,发现美国海上运输系统(MTS)面临着三方面重大且不断增加的网络安全风险,包括国家支持的威胁行为体和跨国网络犯罪组织带来的威胁、MTS设施和船舶越来越依赖于易受网络攻击的技术以及网络事件的影响。报告指出,为帮助应对上述风险,海岸警卫队通过提供直接技术援助、提供实施网络安全实践的自愿指南以及共享网络威胁信息来协助MTS所有者和运营商,同时通过设施和船舶检查提供监督,包括识别和记录与网络安全相关的缺陷;但是,美国海岸警卫队仍缺乏全面战略来保护此类关键基础设施,无法可靠获取有关网络安全漏洞和过去攻击的数据,并缺乏专业安全人员。报告向海岸警卫队指挥官提出5项建议,包括:制定书面程序以确保识别和跟踪的网络安全事件信息的准确性;更新其设施和船只安全检查案件管理系统以确保完整数据随时可查;确保该部门网络安全战略和计划符合国家战略关键特征;为承担MTS网络责任的人员制定能力需求;通过培训等方式解决劳动力能力差距。
美国空军10月表示,与美国空军SharePoint权限相关的关键个人身份信息和受保护健康信息存在泄露风险;空军已开展初步调查,评估问题的范围、必要的补救措施以及技术补救方案,并将采取适当行动;在调查数据泄露事件时,所有SharePoint网站都将被阻止,并且Microsoft Teams将不可用。
美国海岸警卫队7月与美国网络安全和基础设施安全局发布网络安全公告称,两家机构在对一家关键基础设施组织开展主动威胁搜寻行动后,发现该组织存在诸多网络安全问题,包括:共享本地管理员账户的非唯一密码并以明文形式存储;信息技术和运营技术环境间的网络分段配置不足;事件日志保留和实施不足;生产服务器上存在sslFlags配置错误和SQL连接配置错误。为此,该公告提出多项缓解措施,包括:为管理员账户实施唯一凭证和访问控制措施;安全地存储和管理凭证;在信息技术和运营技术环境间建立网络分段;实施全面的日志记录、保留和分析;安全配置sslFlags和SQL连接等。
05
保供应链安全,
推行强制性认证筑牢国防工业基础
美国、英国、加拿大等国正系统性构建严密的国防供应链网络安全强制认证体系,将安全责任确立为国防采购的刚性准入条件,并将其系统性穿透至主承包商、供应商乃至末端分包商,构筑无盲区的责任链条。通过将认证合规与合同授予直接挂钩、设定分阶段升级的阶梯式门槛、辅以严格执法和行业资源协同,各国旨在确保国防供应链的各个环节都能抵御高级威胁。相关合规管制已成为保障国防供应链安全的“硬约束”,旨在从根本上重塑国防工业基础的网络安全生态,构筑贯穿研发、生产、交付全流程,难以从外部被系统性渗透的“内生韧性”防线。
美国国防部9月发布了《国防联邦采购条例补充规定》(DFARS),要求11月10日正式在国防合同中执行“网络安全成熟度模型认证2.0”(CMMC 2.0)标准,以确保国防承包商妥善保护国防部的联邦合同信息(FCI)和受控非机密信息(CUI)。此前,CMMC 2.0已于2024年10月发布并于12月生效,其中根据国防承包商所处理信息的敏感程度,规定了3个网络安全合规级别。DFARS生效后,国防部将在未来3年内分4阶段实施该计划:第一阶段于2025年11月10日开始,要求在处理1级或2级下敏感度较低的FCI时,国防承包商自行评估其网络安全合规性;12个月后(2026年11月10日),处理2级的CUI数据将需要由经过认证的第三方评估机构进行验证检查;24个月后(2027年11月10日),处理3级的CUI文档将需要国防工业基础网络安全评估中心的认证;36个月后(2028年11月10日)将全面实施,即所有招标和合同都将适用的CMMC级别要求作为合同授予条件。
美国防部通过试点发现,国防承包商可以通过获取云服务提供商和托管服务提供商的服务来快速满足CMMC要求,这为中小型企业提供了经济实惠的解决方案。包括微软、谷歌、亚马逊网络服务和甲骨文在内的云服务提供商已与托管服务提供商合作,主要通过虚拟桌面向国防承包商提供功能。云服务提供商提供了保护数据的方法,如果数据被下载到另一个系统,就会自动进入连续监控模式。美国防部还与CMMC官方认证机构合作,在网上市场上列出此类CMMC相关服务。
美国政府持续加大网络安全执法力度,尤其是国防供应商的安全合规要求。其中,美国国防承包商MORSE公司因未能满足美国军事合同所要求的最低安全控制要求,3月与美国政府达成460万美元的和解协议;美国国防承包商雷神公司和夜翼集团(Nightwing Group)5月同意向美国政府支付840万美元,以解决有关雷神公司未提供足够的网络安全保护而违反国防部合同的指控。
美国国防部首席信息官5月敦促波音公司落实CMMC和零信任,并确保其分包商也使用CMMC以及实施零信任,以确保美国空军高度机密的F-47战斗机计划免受黑客攻击。
美国国防部网络犯罪中心(DC3)5月宣布,其正在扩大其漏洞披露计划(VDP)和国防工业基础协作信息共享环境(DCISE)的覆盖范围,以应对日益增多的网络攻击和漏洞。VDP由美国防部2016年设立,旨在接收漏洞报告和与支持美国防部信息网络的众包网络安全研究人员互动,从而通过纵深防御网络安全策略加强美国防部信息网络的安全性。VDP已于2024年开始将范围扩大到国防工业基础(DIB),以纳入约30万家国防承包商,初期目标是在头1至3年内纳入约1500家公司。DC3还希望利用人工智能和机器学习来简化VDP的企业加入流程和漏洞评估流程,以高效拓展覆盖范围。
DCISE是美国防部DIB网络安全计划的运营中心,负责保护非机密承包商网络上的知识产权和国防部内容,并促进公私网络威胁信息共享,以及为各种DIB实体提供威胁分析、缓解策略、最佳实践和信息交流。目前,DCISE支持超过1100家公司,但已于2024年被授权将未经批准的国防承包商纳入覆盖范围,使所服务的公司达到约8万家,目标是为上述公司带来该机构提供的所有功能,并支持美国防部CMMC 2.0计划。
英国国防部5月发布新的国防网络认证(DCC)框架,旨在提升英国国防供应链的网络弹性。DCC强调组织的整体安全性和弹性,并提供单一的、组织级别的保证,可用于支持英国国防采购。相关组织成功获得并维持DCC认证,即表明其对网络弹性的持续承诺,以支持英国国防网络弹性的持续改善。DCC分为4个级别,包括零级(3个控制措施)、一级(101个控制措施)、二级(139个控制措施)、三级(144个控制措施)。DCC认证过程涉及根据英国国防标准进行即时评估,且所有级别均需获得Cyber Essentials认证,二级和三级则需获得Cyber Essentials Plus认证。Cyber Essentials是一项英国政府支持的认证计划,其控制措施可帮助保护各组织的数据免受网络攻击;Cyber Essentials Plus则是升级版的认证计划,需经过更严格、独立的技术测试。
英国国防部9月更新了第4版网络安全模型(CSMv4),旨在提供一种基于风险的适度方法,将网络安全融入国防部供应链。CSM包括4部分内容:一是旨在确定网络风险概况的CSM风险评估;二是国防供应商网络安全标准“国防标准05-138”;三是用于自我评估的供应商保证问卷(SAQ);四是“向下传递”,即供应商对分包业务进行风险评估,分包商则填写相应的SAQ。如果供应商无法满足相关要求,包括未能获得国防网络认证(DCC),则必须提交一份网络安全改进计划(CIP),说明何时能达到所需的合规级别,以及相关时间表或无法达标的原因。
CSMv4是该模型的一项重大变革,旨在支持英国国防部的《国防网络弹性战略》;将CSM的重点从第3版的“国防部可识别信息”转向组织安全和弹性;引入了由0级到3级这4个新的网络风险等级(CRP);采用“国防标准05-138”第4版中规定的控制措施;提供全新的在线供应商网络安全保护服务,用于完成新的CSM风险评估和SAQ问卷。CSMv4包括7个流程:一是“新机遇”。主管部门将提供有关新的或现有的国防部活动的风险评估参考(RAR)编号和所需的CRP级别。二是完成SAQ。有意参与招标的供应商必须使用“供应商网络安全保护服务”并完成SAQ,根据CRP进行自我评估。三是供应商评估。SAQ将根据CRP自动评分,并立即通知供应商是否符合要求。四是视情完成CIP。如果供应商不符合要求,则必须完成CIP,以承诺提升网络安全弹性并达到所需的CRP。五是供应商选择。主管部门在选择供应商时会考虑供应商的合规性或CIP提案。六是合同授予。合同将由主管部门和供应商协商确定,其中包括任何约定的资本投入。七是合同维护。供应商每年需完成一份新的SAQ,以确定其是否仍然合规;如果不合规,则将考虑启动CIP。
加拿大公共服务和采购部3月开始实施“加拿大网络安全认证计划”(CPCSC)第一阶段。该计划包括3个级别的强制性网络安全认证要求,将为在国防承包中处理敏感非机密政府信息的公司制定网络安全标准。其中,第一级要求公司每年进行网络安全自我评估;第二级需要公司由认可的认证机构主导开展外部网络安全评估;第三级需要加拿大国防部对公司进行网络安全评估。
CPCSC的实施将分三个阶段。第一阶段(2025年3月至2026年3月):新的网络安全标准(涵盖第一级和第二级)即将发布,第一级认证要求和指导材料也将公开提供。第二阶段(2026年4月至2027年3月),国防合同将采用新的合同网络安全风险评估方法进行评估;第一级要求自2026年4月起生效;企业必须进行自我评估,并在其“加拿大采购”档案中提供自我声明;加拿大标准委员会将开始接受希望协助认证合规性并建立第二级认证体系的组织的申请;将会分享针对第二级和第三级的指导意见;第一级自我声明将在合同授予时要求提交,而不是在投标过程中提交。第三阶段(2027年4月至2028年3月):第三级认证要求将逐步纳入部分国防合同;第三级要求和认证合规活动将由国防部门负责执行;根据行业反馈,第一级和第二级要求可能适用于加拿大政府的所有国防合同。
06
开展国际合作,
借助双多边协作构建集体安全机制
美西方国家加强双边和多边军事网络安全合作,折射出网络防御合作的全球化与分层化趋势,凸显集体安全机制在应对体系化网络冲突中的关键作用。美军年内与盟国军事伙伴开展双边战术交流、联合规划与能力共建,致力于凝聚联合应对网络威胁的共识,促进网络安全力量融合和整体网络威慑。美西方向乌克兰提供的军事网络安全援助的“信息技术联盟”以及其他新兴合作的兴起,标志着网络防御合作已超越传统的情报共享,进入联合装备供应、协同作战响应、共建基础设施的深度融合新阶段。相关动向表明,由美国及其盟国主导、旨在通过技术共享、能力互补和联合行动来提升体系威慑与协同防御弹性的全球网络集体安全网络正在加速成形。
美国空军第16航空队和罗马尼亚网络司令部7月举行首次双边会谈,就安全运营中心流程、网络保护团队和网络作战规划共享了策略,并讨论了安全措施、网络防护和威胁情报等议题。美国方面表示,要在网络空间威慑对手,就必须投资于伙伴关系;有效的拒止威慑要求各方强化自身网络,使对手无法承受代价;通过强大的网络防御系统让对手付出代价,对挫败网络攻击具有显著效果。罗马尼亚方面表示,建立信任的伙伴关系是在新环境下有效作战的途径,在网络空间取得成功需要团队合作和相互支持,与盟国合作对于在全球范围内战胜对手至关重要。
美国空军第16航空队与波兰网络司令部12月通过一系列活动,巩固了双方合作关系,并展示了双方共同致力于威慑和打击恶意网络攻击者的决心。期间,双方网络作战人员进行了技术交流,共享了在关键任务领域的战术、技术、经验教训和流程。双方领导人也在会晤中强调了在网络空间持续开展合作的重要性,并声称美国与波兰需要并肩作战、共同防御,以确保在对手伤害两国人员或基础设施前就予以识别、揭露并瓦解。此外,波兰方面还向第16航空队司令及部分人员颁发了波兰国防奖章,以表彰他们为推进两国战略目标的网络行动所做贡献。
美国空军第16航空队与瑞典网络司令部2月就互操作性问题进行了交流。美国方面介绍了为联盟赋能的能力、新的作战概念和协作部队规划,并强调,双方通过联合网络空间部队开展作战和共享信息,建立共同应对全球安全挑战的真正能力,为未来双边关系奠定了方向。瑞典方面介绍了其在北极地区的网络专业知识,并指出,瑞典的专业知识与美国雄厚的技术资源和网络能力相结合将成为力量倍增器。
美国空军国民警卫队驻阿拉斯加州的第168联队通信小队和第176通信中队1月前往蒙古,与新成立的蒙古网络安全司令部开展合作交流,以确定蒙古方面的培训需求,并为未来的网络安全交流创建有针对性的课程。通过合作讨论,两国团队确定了具体的网络安全培训目标,探讨了共享的知识主题和工作角色,并制定了有针对性的培训计划。
美西方国家通过“信息技术联盟”向乌克兰武装部队和国防部提供信息技术、通信和网络安全领域的支持。乌克兰国防部8月发布消息称,该联盟2025已经提供五次交付,包括:1月,爱沙尼亚、荷兰和卢森堡向乌克兰移交了价值330万欧元的设备;2月移交了价值750万欧元的设备;4月移交了价值约200万欧元的设备;7月、8月,卢森堡、爱尔兰、比利时和爱沙尼亚出资提供了总价值1000万欧元的设备,包括笔记本电脑、数据处理中心设备、路由器等。乌克兰国防部10月发布消息称,该联盟举行了第11次会议,与会者就加快乌克兰武装部队技术采购的新方法以及向国防部门数字化分配更多资源达成一致意见;自2023年9月成立以来,该联盟已筹集超过12亿欧元,用于提升乌克兰武装部队的技术能力;特别是,伙伴国家近期向乌克兰军队提供了战术级通信设备,以及来自爱沙尼亚、瑞典、丹麦和芬兰的卫星和移动通信系统。
德国与英国10月举行防长会议,探讨深化打击网络攻击的合作。双方同意开发一个安全的云网络,以更好地共享数据和情报,从而增强两国网络防御能力;还承诺将采取更多措施保护北约的后勤和运输网络免受网络威胁。
加拿大派遣军事小组协助拉脱维亚应对俄罗斯网络攻击。相关行动由拉脱维亚网络事件响应机构与加拿大武装部队和加拿大网络安全中心共同开展。行动中,加拿大军事小组借助开源的全球网络攻击威胁监视系统,与拉脱维亚专家一起开展威胁搜寻,并就网络安全事件进行数字取证,以保护拉脱维亚的网络和系统安全,以及了解俄罗斯的行动策略,从而为保护加拿大的关键基础设施提供帮助。11月初,加拿大和拉脱维亚的网络专家联合举办了为期4天的威胁狩猎研讨会,旨在帮助北约盟国成为主动防御者,能够在威胁发生前予以识别。此次研讨会由拉脱维亚国防部、拉脱维亚网络事件响应机构和加拿大武装部队网络司令部合作举办,为两国专家提供了一个交流见解的平台。
韩国与北约9月举行高层会谈,双方同意加强应对网络威胁的合作,共同评估印度-太平洋地区和欧洲-大西洋地区的网络安全风险;同时开展实质性活动,进一步深化和扩大在网络空间和人工智能等领域合作。
印尼国防部与日本自卫队4月举行会晤,希望学习日本在太空和网络防御战略中采用的技术,以增强印尼抵御太空和网络空间威胁的能力,并借此进一步加强双方关系。
阿塞拜疆和格鲁吉亚10月举行国防网络安全会议,分享了军事网络防御作战经验,就进一步发展网络安全领域的合作与新视角、新的网络安全战略、联合项目机会等议题广泛交换了意见,并探讨了在通信系统、IT基础设施、服务器管理以及人工智能应用等领域的合作议题。
作者简介:
赵慧杰
虎符智库专家、网络空间安全军民融合创新中心高级研究员、奇安网情局主任/总编辑。主要从事网络安全领域研究工作,对国外国防网络建设发展、网络空间战略政策、网络空间国际斗争、网络武器研发和新兴技术应用等方向长期进行跟踪研究。
孟然
网络空间安全军民融合创新中心研究员,奇安网情局主编,长期从事网络安全领域研究工作,持续跟踪国外网络战略政策、网络安全问题、网络空间博弈等动向。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
