美國防部武器系統(tǒng)的網絡安全問題一直以來是美軍關注的重點。美國政府問責署(GAO)近期審查發(fā)現,,與過去的國防部采購項目相比,,目前的采購項目在開發(fā)過程中進行了或計劃進行更多的網絡安全測試。然而,,GAO 發(fā)現,多個采辦項目合同中未明確網絡安全要求,也未制定采用或拒絕以及驗證的標準,。國防部和各軍種已經制定了一系列政策和指南來改善武器系統(tǒng)的網絡安全,但這類指導文件通常沒有具體說明如何在合同中明確網絡安全要求,、驗收標準和驗證過程,。GAO 審查發(fā)現,只有空軍發(fā)布了內部指南,,詳細說明了采辦項目應如何定義網絡安全要求,,并將這些要求納入合同,。報告建議陸軍、海軍和海軍陸戰(zhàn)隊就如何將網絡安全要求納入項目合同提供指導,。
01
背 景
現代國防部武器系統(tǒng)依靠軟件和信息技術來實現其預期性能,,與以前的系統(tǒng)相比,這些系統(tǒng)需要更多的通信路徑,,以便在各種類型的子系統(tǒng)之間以及與外部系統(tǒng)共享信息,,從而實現一系列作戰(zhàn)能力。正如《2018 年國防戰(zhàn)略》所述,,國防部計劃通過對軟件和 IT 密集型系統(tǒng)和技術(如先進網絡,、自動化和人工智能)的投資,以及通過將網絡能力集成到所有類型的軍事行動中,,來實現關鍵能力的現代化,。例如, 陸軍計劃用新系統(tǒng)取代數十年前的車輛,,包括Bradley 戰(zhàn)車和 Abrams 主戰(zhàn)坦克,,這些新系統(tǒng)可能集成自動或半自動操作,需要穩(wěn)健的,、安全的網絡能力,。
正如 GAO 所報道的,面對日益復雜的網絡威脅,,網絡或互聯(lián)網驅動的消費技術和設備的發(fā)展加劇了安全風險,,國防部對軟件和信息技術的日益依賴顯著擴大了武器的攻擊面。任何信息交換都可能是對手的潛在接入點,。與許多其他系統(tǒng)或子系統(tǒng)進行交換信息的系統(tǒng)的潛在漏洞要比沒有此類連接的系統(tǒng)多,。
GAO 在 2018 年報告中指出,國防部直到最近才將武器系統(tǒng)網絡安全列為優(yōu)先事項,,并且仍在確定在采辦過程中如何最好地解決它,。
國防部歷來把網絡安全工作的重點放在保護網絡和傳統(tǒng) IT 系統(tǒng)上,而不是保護武器系統(tǒng),, 關鍵的采辦和需求政策也沒有把重點放在網絡安全上,。因此,國防部可能設計和研制了許多沒有足夠網絡安全保障的系統(tǒng),。在作戰(zhàn)測試中,, 國防部經常會在正在開發(fā)的系統(tǒng)中發(fā)現任務關鍵型網絡安全漏洞。通過使用一些簡單的工具和技術,,測試人員能夠控制系統(tǒng),,并且基本上在未被發(fā)現的情況下進行操作,部分原因是由于密碼管理不善和未加密的通信等問題。此外,, 由于測試范圍和復雜程度的限制,,國防部可能只了解其武器系統(tǒng)中全部漏洞的一小部分。
GAO 還指出,,自 2014 年以來,,國防部采取了許多重大措施來改善武器系統(tǒng)的網絡安全。具體而言,,國防部發(fā)布更新了各種政策,、指導文件和備忘錄,以更好地將網絡安全納入采辦過程,,并促進更具網絡彈性的武器系統(tǒng),。這些措施表明,國防部越來越重視武器系統(tǒng)網絡安全,,符合國防部在 2018 年網絡戰(zhàn)略中的承諾,,即“保護自己的網絡、系統(tǒng)和信息不受惡意網絡活動的影響”,,并“確保美軍有能力在包括網絡空間領域打贏戰(zhàn)爭”,。最終,國防部在改進武器系統(tǒng)網絡安全方面的成功取決于軍種和采辦部門在多大程度上落實這些舉措,, 以在他們的項目中產生更好的結果,。
1.1 武器系統(tǒng)網絡安全實踐
網絡攻擊是試圖利用系統(tǒng)或網絡中的漏洞來破壞其機密性、完整性或可用性,。網絡安全措施旨在通過防止,、檢測和響應攻擊來保護網絡安全。目標是降低攻擊者訪問國防部系統(tǒng)的可能性,,并限制攻擊造成的損害,。武器系統(tǒng)在整個采辦過程中面臨著各種網絡安全挑戰(zhàn)。2015 年蘭德的一份報告指出了以下 6 個武器系統(tǒng)網絡安全面臨的挑戰(zhàn),。
(1)復雜系統(tǒng)需要專業(yè)知識?,F代武器系統(tǒng)是高度復雜的,,在不損害功能的情況下發(fā)現和修復漏洞的任務更加艱巨。網絡安全是一項技術挑戰(zhàn),,涉及的功能可能是系統(tǒng)設計中不可或缺的一部分,,而可能只有少數專家詳細了解了這些功能。
?。?)功能和安全性難免存在沖突,。在功能和安全性之間有必要進行權衡。工程師愿意接受一定程度的漏洞,,以實現操作人員執(zhí)行任務所需的功能,。對于武器系統(tǒng)來說,,安全與功能之間的適當平衡是至關重要的。
?。?)威脅在不斷演變和適應,。網絡威脅正在迅速演變并適應應對措施,因此在任何時間點實施的安全解決方案都可能不足以應對未來的威脅,。
?。?)攻擊者具有優(yōu)勢。網絡攻擊者比網絡防御者具有優(yōu)勢,。鑒于攻擊者只需要發(fā)現并利用一個系統(tǒng)漏洞,,但防御者卻需要考慮并降低整個系統(tǒng)的風險。因此,,網絡防御不僅資源密集,,而且難度更大。
?。?)每個新連接都是一個潛在的漏洞,。系統(tǒng)以各種方式相互連接,這樣一個系統(tǒng)中的漏洞就可能被利用來訪問另一個系統(tǒng),。攻擊者可以利用非關鍵組件或第三級系統(tǒng)中的漏洞訪問系統(tǒng)最關鍵的組件,。
(6)無法實現完全安全,。由于網絡威脅不斷演變和適應,,而網絡攻擊者相對于網絡防御者有一些優(yōu)勢,因此完全安全是不現實的,。在資源有限的情況下,,決策者必須確定什么樣的安全級別對他們的系統(tǒng)和任務是足夠的。
1.2 有效的武器系統(tǒng)網絡安全實踐取決于網絡安全開發(fā)需求和合同
國防部管理主要國防采辦項目的政策概述了交付滿足能力差距的武器系統(tǒng)的一系列階段和相關活動,。雖然在每個采購階段都有重要的網絡安全考慮因素,,但 GAO 之前的工作已經表明,建立可靠的,、可行的需求是降低風險,、制定成功計劃的早期關鍵步驟。通過招標和簽訂合同,,采辦項目將這些要求傳達給開發(fā)和研制系統(tǒng)的承包商,。承包商可在需求開發(fā)期間向項目提供重要支持,例如與采辦項目辦公室合作,,在合同授予后細化要求,。總體而言,定義需求,,然后簽訂滿足這些需求的解決方案,,既關系到網絡安全需求,也關系到其他類型的性能需求,。圖 1 顯示了國防部主要采辦項目的流程周期,。
圖片
圖 1 國防部主要采辦項目流程周期圖
1.3 制定武器系統(tǒng)網絡安全要求有助于項目采辦成功
制定滿足軍事需求的要求是成功獲取武器系統(tǒng)的關鍵組成。網絡安全要求是系統(tǒng)總體要求的一部分,。國防部采辦政策規(guī)定,,網絡安全是國防部所有采辦項目的要求之一,必須在采辦周期的所有階段實施,。它還要求采辦項目經理將網絡安全納入系統(tǒng)性能規(guī)范,。2015 年《采辦項目經理網絡安全指南》描述了武器系統(tǒng)網絡安全的一個關鍵原則,即“像對待其他系統(tǒng)需求一樣”對待網絡安全需求,。
自 2015 年以來,,國防部要求某些采辦項目將網絡生存能力作為強制性系統(tǒng)生存能力關鍵性能參數的一部分,這是一種頂級項目要求或屬性,,定義了武器系統(tǒng)的關鍵性能目標,。然而,每個系統(tǒng)如何實現網絡生存能力的細節(jié)取決于系統(tǒng)的任務,、內部和外部通信路徑的數量和類型,,以及它可能面臨的網絡威脅的類型等。表 1 概述了采辦周期早期的關鍵需求以及網絡安全需求在其中的作用,。
表 1 采辦初期的關鍵文件和網絡安全
圖片
1.4 除非合同明確了網絡安全要求,,否則承包商的解決方案很難符合軍方要求
國防承包商通常設計和制造武器系統(tǒng)。這意味著國防部必須將其要求轉化為合同條款和條件,,從而在政府和承包商之間建立協(xié)議,。武器系統(tǒng)合同通常包括要執(zhí)行工作的成本或價格,交付物或時間周期以及性能要求等,。國防部政策要求采購項目經理確認將網絡安全和系統(tǒng)安全要求納入合同中,。網絡安全要求可能出現在合同的不同地方。合同條款應相互補充,, 并采用一致的方法來發(fā)展武器系統(tǒng),。表 2 列出了合同中部分網絡安全要求。
表 2 關鍵合同文件
圖片
承包商通常負責履行合同條款,,因此合同必須反映政府的要求,。國防部指南指出,,政府應在合同中包含使系統(tǒng)可接受的所有適用條款和條件,。這適用于系統(tǒng)的方面,包括性能要求, 例如速度,、范圍,、容量和網絡安全性。根據國防部指南,,合同要求應明確,,以便政府和承包商對要執(zhí)行的工作和可接受的效果有共同了解。國防部指南描述了應如何以合同語言規(guī)范要求,,包括合同定義要求,,確定采用或拒絕的標準以及建立政府將如何驗證是否滿足要求的標準。圖 2 顯示按國防部指導合同應該包含的內容,。
圖片
圖 2 將網絡安全納入合同的三方面內容
1.5 國防部建立了風險管理框架來減輕武器系統(tǒng)的網絡安全風險
2014 年,,國防部建立了風險管理框架(RMF),通過六個步驟來管理國防部包括采辦武器系統(tǒng)的網絡安全風險,。在 2015 年的相關指南中,,國防部指出空軍已經將風險管理方法應用到了風險管理框架中。國防部的采購政策表明,,RMF 可以為國防部 IT 提供信息,,但不能代替國防部 IT 的采購流程。RMF 步驟和相關活動如圖 3 所示,。
圖片
圖 3 國防部(DOD)風險管理框架的六個步驟
RMF 圍繞識別,、實施、評估和管理安全控制而構建,,安全控制是應用于系統(tǒng)的保護措施和對策,,以保護系統(tǒng)及信息的機密性、完整性和可用性,。例如,,為與系統(tǒng)的每種類型的無線連接建立保護是一種防范未授權訪問的保護措施。根據美國國家標準技術研究院(NIST)的指導,,應將安全控制納入系統(tǒng)工程流程中,,這是采購計劃滿足其安全要求的計劃的一部分。根據 NIST,,國防部指南指出,,采購計劃應基于對威脅和對任務的潛在影響的風險評估,實施一套量身定制的安全控制措施,。RMF 通常按如下方式實現,。
步驟 1:根據發(fā)生安全漏洞時,機密性,、完整性和可用性受損所造成的潛在影響(低,、中,、高)對系統(tǒng)進行分類。
步驟 2:根據武器系統(tǒng)的分類和其他因素選擇武器系統(tǒng)的安全控制,。
步驟 3:通過設計,、生產或部署實施控件。一些控件(例如加密)已合并到系統(tǒng)的硬件或軟件中,。其他控件可能會從外部來源或系統(tǒng)的操作方式中繼承,。
步驟 4:評估控件以確保其正確實施。制定,、審查和批準安全控制評估計劃,,使之與項目的其他測試和認證活動保持一致。
步驟 5:授權系統(tǒng)連接到運營網絡或其他系統(tǒng),。
步驟 6:在操作環(huán)境中監(jiān)視系統(tǒng),,以查看可能會影響系統(tǒng)安全狀態(tài)的配置更改或可能表明安全控制未有效運行的性能指標。
RMF 步驟是連貫性的,,并且大致與一個或多個采購階段相一致 ; 然而,,根據 NIST 指南, 該過程應該是靈活的和迭代的,,允許采購項目根據新的信息或環(huán)境進行調整,。例如,第 4 步的評估結果可能需要重新評估第 3 步的控制措施,。圖 4 展示了 RMF 步驟與主要國防采購項目采購流程的總體概況,。
圖片
圖 4 美國國防部采購流程中的風險管理框架
02
國防部及軍種已采取行動改善武器系統(tǒng)網絡安全
近年來,國防部在改善武器系統(tǒng)網絡安全方面取得了長足的進步,,大致表現在四個方面:增加獲取網絡專業(yè)知識的機會,、更多地使用網絡評估、更好地制定安全控制以及額外的網絡安全指導,。
2.1 更多地獲取網絡專業(yè)知識
國防部的采購人員在拓展網絡安全專業(yè)知識方面面臨長期挑戰(zhàn),,國防部在其運營測試辦公室 2019 年年度報告中指出,國防部的網絡測試團隊與國家威脅之間的能力差距越來越大,。采購項目很難在設計過程早期就將專家與網絡安全測試工作技能結合起來,,而這將有助于提高測試質量。
五個武器系統(tǒng)的負責人表示,,盡管在招聘和保留網絡安全人員方面遇到了一些挑戰(zhàn),,但這并不影響獲得更多的網絡安全專業(yè)知識,這個問題在 2018 年還是比較明顯地存在著,。盡管本次審查中被發(fā)現和指出了這種挑戰(zhàn)仍然存在,, 但是明顯在可控范圍內。
2.2 增強網絡評估
過去在向國防部的報告中曾提到武器系統(tǒng)網絡安全評估的缺乏和不足的問題,,特別是在2018 年 10 月發(fā)現缺乏測試意味著程序在開發(fā)過程中的后期發(fā)現基本的網絡安全問題修復成本將更高,。
2020 年 3 月,,國防部透露在其去年內進行了兩次對抗性評估和兩次合作脆弱性評估,并且根據這些評估的結果,,對設計進行了更改。越來越多地使用網絡安全評估是一個積極的進展,,并且可以幫助程序盡早發(fā)現漏洞,。但是, 僅僅是評估并不能獲得更好的效果,,比如在某些系統(tǒng)的多輪測試中都發(fā)現了相同的漏洞,,首次發(fā)現這些漏洞后并未得到妥善解決。
除了專業(yè)的網絡安全知識和網絡評估,,國防部和軍事部還描述了其在兩個領域的進展:網絡安全控制和 RMF 的改進指導,,以及更好地為采購項目量身定制安全控制。
2.3 更好地定制安全控制
服務在針對類似類型定制 RMF 安全控制方面取得了進展,。負責采購的官員表示,,選擇控制是 RMF 的第二步,因為有可能存在大量的潛在控制以及將其應用于各種復雜系統(tǒng)的復雜性,, 這可能是一個困難的過程,。上述大約 300 ~ 500 個控件的基準集只是一個起點,因此程序可能需要根據其特定需要添加或刪除控件,。為了應對這一挑戰(zhàn),,國防部內部組織已經開始開發(fā)控制“覆蓋層”(overlay)來幫助項目量身定制控制。覆蓋層是對基準線的一組專門調整,,可以應用于類似類型系統(tǒng)的采集程序,。多個實際案例表明,更多制定的覆蓋層將有助于簡化確定和證明控件是否適用于系統(tǒng),。
2.4 新修訂的網絡安全指南
國防部和各軍種都發(fā)布了實施 RMF 的詳細政策或指導,。雖然國防部的政策廣泛地定義了武器系統(tǒng)的采購工作和網絡安全目標,但軍種在開發(fā)和發(fā)布補充性指南方面發(fā)揮了作用,,如有必要可在軍種的采購范疇內實施,。
2016 年 12 月,美國海軍發(fā)布 RMF 流程指南,,其中包括執(zhí)行 RMF 的采購項目的特定軍種指南,。
2017 年 2 月,美國空軍發(fā)布 RMF 實施指南,, 其中包括指南要求的項目應確保所有安全控制通過系統(tǒng)安全工程轉化為安全要求的指南,。
2017 年 7 月,海軍陸戰(zhàn)隊制定 RMF 實施指南,,其中包括 RMF 流程的概述,。
最后,,2019 年 4 月, 陸軍發(fā)布實施 RMF 的指導意見,,其中包括了各自的角色和職責,。
03
審查的項目合同中網絡安全要求情況
盡管已經采取了一些步驟,但國防部在改善武器系統(tǒng)的網絡安全方面仍面臨著挑戰(zhàn),。尤其是,,國防部仍在探索如何在合同中明確武器系統(tǒng)網絡安全,同時此次審查的項目也設法將系統(tǒng)的網絡安全要求納入合同,。
3.1 審查的采辦項目合同并未包括網絡安全要求,、驗收標準和驗證過程
此次審查的采購項目合同在網絡安全要求方面存在疏漏,或是在合同中沒有明確定義網絡安全要求,。
3.1.1 審查的合同并未都明確了網絡安全要求
此次審查的五份武器系統(tǒng)合同中有三份在授予合同時未明確網絡安全要求,,GAO 無法評估兩份合同網絡安全要求的完整性。例如,,其中一個項目提及網絡安全戰(zhàn)略,,識別 RMF 類別, 并描述該項目將如何選擇安全控制,。然而,,當合同授予時,工作說明,、系統(tǒng)規(guī)范或合同交付物中并未包括網絡安全要求,。
審查的五份合同中,有三份在授予后進行了修改,,增加了網絡安全要求,。其中一份合同包括詳細的網絡安全要求。然而,,其他兩份合同只在一般聲明中闡述了該系統(tǒng)應與國防部網絡安全政策相一致,。一些承包商在交流過程中表示,建議書中通常會包含網絡安全的一般性聲明,,如“網絡彈性”或“遵守 RMF”,,但承包商認為此類聲明提供的信息有限,他們無法確定政府想要什么系統(tǒng)或如何設計系統(tǒng),。
與網絡需求相比,,其他類型的系統(tǒng)需求包含了更多的細節(jié)。GAO 審查的一份合同規(guī)定了系統(tǒng)在空運,、陸運和海運時必須承受的振動次數,,包括在帶有噴氣發(fā)動機和螺旋槳的飛機上運輸時的單獨要求。同時還明確了與灰塵,、沙子,、真菌以及許多系統(tǒng)設計和性能的其他方面有關的非網絡安全要求,。GAO 審查的另一份合同列出了一般要求,比如系統(tǒng)不應該有任何尖銳的邊緣,,以免操作人員誤傷,。然而,這兩份合同都沒有包括任何詳細的網絡安全要求,。
3.1.2 審查的合同并未明確驗收標準
此次審查的武器系統(tǒng)合同,,在合同授予之初并沒有客觀地定義網絡安全措施,并明確采用或拒絕該系統(tǒng)的依據,。如果要求某型車輛至少以每小時 60 英里的速度行駛,而它只實現每小時 55 英里,,承包商就沒有達到要求,。GAO 審查的合同中只有一份明確了詳細的網絡安全要求,這些要求通常確定了系統(tǒng)必須具有的特定安全控制,,而不是基于性能的要求,。一個項目辦公室的官員說,他們試圖使用基于性能的要求,, 但無法與承包商達成協(xié)議,。國防部和承包商官員說,許多合同要求聚焦于系統(tǒng)必備的網絡安全控制策略,,而不是國防部預期想要的結果,,如阻止未經授權的用戶訪問系統(tǒng)。然而,,正如之前所報道的,,控制應用并不意味著系統(tǒng)是安全的??刂票仨氄_實施,,然后測試其有效性。
3.1.3 審查的合同并未明確如何驗證網絡安全要求
在選定的五個項目合同中,,GAO 沒有發(fā)現任何可以證明項目官員在授予合同時就明確指出將如何驗證網絡安全要求的例子,。國防部強調了建立標準對于衡量承包商績效的重要性。明確客觀標準一來可以確保網絡安全要求清晰明確,,二來也提供了一種機制來驗證承包商是否滿足要求,。對于其他系統(tǒng)需求,此次審查的合同通常確定了一些性能要求,,以及政府將如何驗證要求達標,。例如,在一份合同中,,GAO 審查了指定的燃油效率,,然后描述了地形類型以及系統(tǒng)在測試期間的運行速度,。然而,GAO 沒有看到網絡安全要求方面的驗證細節(jié),,且審查的合同中只有一份有詳細的網絡安全要求,。
3.1.4 各軍種表示網絡安全要求是一個普遍的挑戰(zhàn)
國防部和軍種官員普遍認為,在合同中明確有效的網絡安全要求對采購項目來說是一個挑戰(zhàn),。國防部一位高級官員表示,,對網絡安全要求進行標準化是很難的,國防部需要與用戶更好地溝通網絡安全要求和系統(tǒng)工程,,因為用戶將最終決定系統(tǒng)的網絡安全風險是否可以接受,。國防部另一位高級官員表示,缺乏明確的網絡安全要求,,給理解和執(zhí)行網絡安全帶來了挑戰(zhàn),。海軍官員舉了一個例子,某項目執(zhí)行辦公室在一份合同中列出了全面和詳細的網絡安全要求清單,,但卻指出這在海軍內部算是一個例外情況,。
3.2 軍種的大多數指南不涉及網絡安全要求、驗收標準和驗證流程
目前除了空軍,,各軍種的指南沒有明確采購項目合同應該如何規(guī)范武器系統(tǒng)的網絡安全要求,、驗收標準和驗證過程,而這正是國防部和項目官員認為有利于加強系統(tǒng)網絡安全的地方,。如上所述,,自 2014 年國防部制定政策以來, 各軍種制定了一系列 RMF 實施指南,;將網絡安全要求納入合同至關重要,,然而當前軍種的指南在這方面普遍存在缺失或不完整。
3.2.1 美國陸軍的政策和指南并未反映如何在合同中納入網絡安全要求
陸軍高層討論了政策和指南中的網絡安全要求,,但沒有詳細說明采購項目應如何在合同中納入網絡安全要求,。根據國防部的政策和指南,陸軍在其政策和指南中強調了 RMF 在采購項目中的安全控制和網絡安全要求的必要性,,然而卻并未詳細說明采辦項目應如何將網絡安全要求,、驗收標準和驗證流程納入合同。2019 年,,陸軍對其相關規(guī)定進行了重大調整,, 要求高級領導人在采購中整合網絡安全,并要求合同中涵蓋確保陸軍 IT 系統(tǒng)網絡安全的具體要求,,包括武器系統(tǒng),。但是,規(guī)定沒有細化如何開展。
2019 年,,陸軍還發(fā)布了采辦項目網絡安全策略的新指南,,支撐采辦項目實現網絡安全要求。除其他事項外,,該指南明確了項目網絡安全策略的內容,,如對網絡安全要求的描述以及在合同中納入這些要求的計劃,但未說明采購項目應如何制定這些內容,。
3.2.2 美國海軍的政策和指南并未反映出如何在合同中納入網絡安全要求
海軍的政策和指南強調了將網絡安全納入武器系統(tǒng)采辦過程的必要性,,但沒有具體說明如何在合同中納入網絡安全要求。海軍采購項目網絡安全管理政策指出,,海軍實施 RMF 為其提供了一個觀念,,即確保網絡安全是海軍 IT 系統(tǒng)工程不可或缺的一部分,其中包括武器系統(tǒng)采辦,。然而,,該政策和相關指南并未涉及如何將網絡安全要求或安全控制納入合同。
海軍空中系統(tǒng)司令部(NAVAIR)負責監(jiān)督海軍航空項目的五個項目執(zhí)行辦公室,,已開發(fā)了一套指南來幫助采購項目更好地與承包商溝通其網絡安全和 RMF 要求,。例如,,NAVAIR 開發(fā)了標準合同語言和相關流程,,在采購項目的合同授予后不久,政府和承包商的網絡安全團隊應就系統(tǒng)網絡安全問題召開會議,,目的是完成 RMF 的前兩個步驟:分類和控制選擇,。
NAVAIR 的聲明中還要求承包商在合同授予后不久交付一份網絡安全戰(zhàn)略實施計劃,詳細說明承包商將如何實現項目在網絡安全方面的目標,。
3.2.3 美國海軍陸戰(zhàn)隊的政策和指南并未反映出如何在合同中納入網絡安全要求
與陸軍和海軍類似,,海軍陸戰(zhàn)隊在網絡安全和 RMF 實施方面的政策并未明確規(guī)定如何在合同中納入網絡安全要求。相關政策指導采購項目經理需確保網絡安全要求得已明確,,并將網絡安全集成到系統(tǒng)設計,、開發(fā)和實施過程中。該政策還明確 RMF 安全控制作為安全需求,,應該通過系統(tǒng)工程來細化,。然而,該政策并沒有明確如何將網絡安全要求或 RMF 安全控制納入合同,。一名海軍陸戰(zhàn)隊高級官員表示,,在簽訂合同之初明確網絡安全至關重要,迄今為止海軍陸戰(zhàn)隊在這方面做出了努力,,但仍是其項目采購部門需改進的領域,。
3.2.4 美國空軍已制定指南將網絡安全要求納入合同
空軍內部最近發(fā)布了針對將網絡安全要求納入合同的指南,部分是利用現有部門政策和指導。雖然空軍實施 RMF 的政策強調了使用系統(tǒng)工程將 RMF 安全控制納入系統(tǒng)需求的重要性,,但它沒有細化如何將這些需求納入合同,。2019 年,空軍武器系統(tǒng)網絡彈性辦公室(CROWS)開發(fā)了空軍武器系統(tǒng)項目保護和系統(tǒng)安全工程指南(以下簡稱 CROWS 指南),。CROWS 指南將不同的國防部和空軍指令或指南合并為一個獨立的文件,,同時也提供更詳細的解釋和實施建議。CROWS 指南還提供了示例,, 如項目說明書應要求承包商使用建模和仿真來驗證規(guī)范,,并應確保政府有機會參與到所有的測試中去。
04
結 論
自 2018 年 GAO 發(fā)布武器系統(tǒng)網絡安全研究報告以來,,國防部致力于將網絡安全納入采購過程,,并取得了一些進展。宏觀層面上,,雖然各軍種附加的網絡安全指南和資源有助于進一步將網絡安全實踐融入國防部文化,。然而, GAO 審查發(fā)現,,附加的指南并沒有解決如何有效地將網絡安全概念轉化為合同中詳細具體要求的問題,,網絡安全要求應與其他系統(tǒng)要求處于同等重要的地位。尤其是,,在各軍種關于將網絡安全納入采購的指南中未說明項目應如何在合同中明確網絡安全要求,,并提供明確的驗收標準和驗證方法??哲娨呀洸扇×朔e極的行動,,通過制定內部指南將項目特定的網絡安全要求納入合同。陸軍,、海軍和海軍陸戰(zhàn)隊未來也可借鑒空軍的做法,。正如空軍利用現有的政策和指南一樣,陸軍,、海軍和海軍陸戰(zhàn)隊也可以采用現有的資源來實現其采購的網絡安全需求,。在采取這些措施之前,項目將繼續(xù)面臨網絡安全風險,,合同中有可能未對詳細具體的網絡安全要求進行明確,。
05
行動建議
GAO 提出了三條建議,其中一條是給陸軍的,,另兩條是給海軍的,,具體如下。
建議 1:陸軍部長應該為采購項目制定指南,,明確如何將特定的武器系統(tǒng)網絡安全要求,、驗收標準和驗證過程納入合同。
建議 2:海軍部長應該為采購項目制定指南,明確如何將特定的武器系統(tǒng)網絡安全要求,、驗收標準和驗證過程納入合同,。
建議 3:海軍部長應采取措施,確保海軍陸戰(zhàn)隊為采購項目制定指南,,明確如何將特定的武器系統(tǒng)網絡安全要求,、驗收標準和驗證過程納入合同。