2021年3月4日,,美國政府問責(zé)辦公室GAO發(fā)布《武器系統(tǒng)網(wǎng)絡(luò)安全指南》,,稱國防部在改善武器平臺的網(wǎng)絡(luò)保護(hù)方面取得了重要進(jìn)展,但仍需要在武器系統(tǒng)合同中提高對網(wǎng)絡(luò)安全的要求,。報告首先闡述了國防部將網(wǎng)絡(luò)安全融入武器系統(tǒng)研制之初取得的進(jìn)展,;其次審查了國防部和各軍種將武器系統(tǒng)網(wǎng)絡(luò)安全要求納入合同或指南的情況;最后為陸軍,、 海軍和海軍陸戰(zhàn)隊如何將定制的網(wǎng)絡(luò)安全要求納入采辦合同提出了建議,。
一
報告發(fā)布的背景及主要內(nèi)容
近年來,網(wǎng)絡(luò)攻擊日益復(fù)雜化,、智能化的發(fā)展趨勢使武器系統(tǒng)面臨前所未有的網(wǎng)絡(luò)安全威脅,,作為網(wǎng)絡(luò)空間領(lǐng)頭羊的美國,逐漸意識到美軍的武器系統(tǒng)存在較大的安全漏洞,,開始進(jìn)一步關(guān)注武器系統(tǒng)的網(wǎng)絡(luò)安全問題,,國防部陸陸續(xù)續(xù)地發(fā)布或更新了若干關(guān)于改進(jìn)武器系統(tǒng)網(wǎng)絡(luò)安全的政策、指導(dǎo)文件和備忘錄,,以更好地將網(wǎng)絡(luò)安全納入采購過程,,使武器系統(tǒng)更具網(wǎng)絡(luò)彈性。這其實與國防部在2018年網(wǎng)絡(luò)戰(zhàn)略中的承諾相一致,,即“保護(hù)自己的網(wǎng)絡(luò),、系統(tǒng)和信息免受惡意網(wǎng)絡(luò)活動的影響”,并“確保美國軍隊在包括網(wǎng)絡(luò)空間在內(nèi)的任何領(lǐng)域打擊和打贏戰(zhàn)爭的能力”,。正如新發(fā)布的指南所言,,國防部在提高武器系統(tǒng)網(wǎng)絡(luò)安全方面的成功取決于軍事服務(wù)和采購部門在多大程度上實施這些變革。
早在2017年3月美國防部公布的報告就指出,,目前美國軍方的大部分武器系統(tǒng)沒有采取任何旨在保護(hù)其硬件組件免受網(wǎng)絡(luò)攻擊侵?jǐn)_的措施,,而且可能已經(jīng)被植入后門,這意味著其很可能在實際作戰(zhàn)中無法發(fā)揮作用,,甚至能被敵方所利用,,使美方武器陷入癱瘓。報告還指出,,通常武器系統(tǒng)配置在很長一段時間內(nèi)不會改動,,那些存在安全漏洞的微電子元件或已經(jīng)被敵方勢力掌握相關(guān)漏洞信息,或被利用,。2018年10月GAO發(fā)布的《武器系統(tǒng)網(wǎng)絡(luò)安全》報告指出美國國防部開發(fā)的大多數(shù)武器系統(tǒng)存在安全漏洞,,攻擊者可以控制這些武器系統(tǒng),甚至破壞其功能,。報告從武器系統(tǒng)網(wǎng)絡(luò)安全存在的問題,、武器系統(tǒng)的脆弱性,、國防部的應(yīng)對措施等方面討論了如何開發(fā)更安全的武器系統(tǒng)。2020年5月,,美國國際戰(zhàn)略研究中心(CSIS)指出新冠疫情后,,不應(yīng)因預(yù)算收緊影響美國國防部優(yōu)先提高武器系統(tǒng)的網(wǎng)絡(luò)安全,美國網(wǎng)絡(luò)空間日光浴委員會建議疫情過后要優(yōu)先對武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行評估,,建立永久性評估制度,,確保排除武器系統(tǒng)內(nèi)任何漏洞。
經(jīng)過國防部的不懈努力,,美軍目前武器系統(tǒng)的網(wǎng)絡(luò)安全狀況相較于3年前得到了較大改善,,但是GAO卻發(fā)現(xiàn)武器系統(tǒng)采辦合同中忽略了對網(wǎng)絡(luò)安全的要求,缺乏網(wǎng)絡(luò)安全的驗收標(biāo)準(zhǔn)和驗證過程,,這為危險的網(wǎng)絡(luò)攻擊打開了大門,。因此GAO希望能夠借助網(wǎng)絡(luò)安全指南的頒布,進(jìn)一步提升美軍武器系統(tǒng)的網(wǎng)絡(luò)安全性,。作為2018版本的延續(xù),,本報告著重強調(diào)了一個被遺漏的關(guān)鍵細(xì)節(jié)--武器采辦合同的網(wǎng)絡(luò)安全要求,報告稱通過對美軍的雷達(dá)項目,、反干擾器,、艦艇、地面車輛和導(dǎo)彈等五種武器系統(tǒng)的采辦進(jìn)行了審查,,發(fā)現(xiàn)現(xiàn)有的網(wǎng)絡(luò)安全措施比2018年充分,,經(jīng)過了更充分的網(wǎng)絡(luò)評估,使用了額外的網(wǎng)絡(luò)安全指南,,并根據(jù)任務(wù)需要改進(jìn)了網(wǎng)絡(luò)需求,,在服務(wù)定制方面取得了進(jìn)展,。但仍然有三個在合同授予中沒有任何網(wǎng)絡(luò)安全要求,,因此武器的網(wǎng)絡(luò)安全措施還不夠,需要加強,。指南由此特別指出,,簽訂網(wǎng)絡(luò)安全要求是武器合同的關(guān)鍵,這些要求應(yīng)該像其他類型的系統(tǒng)要求一樣對待,。網(wǎng)絡(luò)安全要求應(yīng)在采購計劃合同中定義,,并應(yīng)建立接受或拒絕工程的標(biāo)準(zhǔn),以及政府如何驗證要求已得到滿足的標(biāo)準(zhǔn),。網(wǎng)絡(luò)安全要求標(biāo)準(zhǔn)化很困難,,國防部需要更好地向用戶傳達(dá)網(wǎng)絡(luò)安全要求和系統(tǒng)工程,以決定網(wǎng)絡(luò)安全風(fēng)險是否可以接受,。最后建議陸軍,、海軍和海軍陸戰(zhàn)隊制定采購計劃指南,,將量身定制的武器系統(tǒng)網(wǎng)絡(luò)安全要求,驗收標(biāo)準(zhǔn)和驗證過程納入合同,。從中我們不難看出,,面臨日益嚴(yán)峻的網(wǎng)絡(luò)威脅,國防部將會在未來采取更為積極的措施,,提高武器系統(tǒng)的網(wǎng)絡(luò)安全,。
二
美軍武器系統(tǒng)面臨著網(wǎng)絡(luò)威脅
美軍在保護(hù)武器系統(tǒng)免受網(wǎng)絡(luò)威脅方面面臨巨大挑戰(zhàn),這主要是由于武器系統(tǒng)網(wǎng)絡(luò)化,、軟件化的發(fā)展趨勢,、武器系統(tǒng)自身存在安全問題、武器系統(tǒng)網(wǎng)絡(luò)安全保護(hù)起步較晚以及對武器系統(tǒng)安全性理解不夠等多方面原因造成的,。
2.1 武器系統(tǒng)的網(wǎng)絡(luò)化,、軟件化發(fā)展趨勢使其更容易遭受網(wǎng)絡(luò)攻擊
現(xiàn)代戰(zhàn)場比以往任何時候都更加互聯(lián)互通,武器系統(tǒng)要依靠連接才具有作戰(zhàn)能力,,網(wǎng)絡(luò)化是保持國防部作戰(zhàn)能力的基礎(chǔ),,這些連接的網(wǎng)絡(luò)直接關(guān)系到美軍能否成功執(zhí)行任務(wù),獲取信息優(yōu)勢,,掌握全球指揮與控制權(quán)并進(jìn)行遠(yuǎn)程打擊,。正如指南所言,國防部目前開發(fā)和部署了越來越多的軟件密集型網(wǎng)絡(luò)化武器系統(tǒng),,以此作為獲得作戰(zhàn)優(yōu)勢的一種手段,。而每個連接都是潛在的漏洞,系統(tǒng)以各種方式相互連接,,一個系統(tǒng)的漏洞可能被利用來訪問另一個系統(tǒng),。攻擊者可能利用非關(guān)鍵組件或第三級系統(tǒng)中的漏洞來訪問系統(tǒng)中最關(guān)鍵的組件。同時,,伴隨著武器系統(tǒng)網(wǎng)絡(luò)化的發(fā)展趨勢,,武器系統(tǒng)中的軟件數(shù)量也正在呈指數(shù)級增長,并嵌入在無數(shù)子系統(tǒng)中,,幾乎其所有功能都是由計算機控制的,,從最基本的生命支持功能到攔截發(fā)射的導(dǎo)彈。從網(wǎng)絡(luò)安全的角度來講,,越來越依賴網(wǎng)絡(luò)和軟件明顯增加了武器系統(tǒng)的攻擊面,,使武器系統(tǒng)更容易遭受網(wǎng)絡(luò)攻擊。此外,,目前舊武器平臺占據(jù)國防部絕大多數(shù),,且比新武器系統(tǒng)更易受到網(wǎng)絡(luò)攻擊。
2.2武器系統(tǒng)自身存在網(wǎng)絡(luò)安全問題
據(jù)美媒披露,,美軍整一代武器系統(tǒng)存在廣泛的網(wǎng)絡(luò)安全缺陷,,甚至美軍最先進(jìn)的武器系統(tǒng)一樣存在著網(wǎng)絡(luò)安全漏洞,,在戰(zhàn)場上使用存在網(wǎng)絡(luò)安全漏洞的先進(jìn)武器很容易被對手接管,甚至?xí)粚κ掷脕泶驌艏悍讲筷?,而一旦核心系統(tǒng)被攻陷,,所有的軍事信息傳輸數(shù)據(jù)鏈都將癱瘓。
作為美陸軍最新一代主戰(zhàn)裝備的斯特賴克裝甲車近期就被爆出在數(shù)據(jù)共享,、導(dǎo)航和數(shù)字通信等系統(tǒng)存在致命的網(wǎng)絡(luò)漏洞,,容易成為黑客突破的環(huán)節(jié);F-35戰(zhàn)斗機也存在系統(tǒng)默認(rèn)密碼過于簡單的問題,,黑客只需要9秒就能將其破解,,取得飛機控制權(quán),其過于開放性的航電架構(gòu)也容易成為黑客入侵目標(biāo),;美國防部督察長辦公室在2018年發(fā)布的一份報告稱美反導(dǎo)系統(tǒng)網(wǎng)絡(luò)安全堪憂,,這些漏洞可能使美國的對手得以避開導(dǎo)彈防御系統(tǒng),從而使美國遭遇導(dǎo)彈襲擊,。對此,,美國一位網(wǎng)絡(luò)安全專家表示,以高科技為核心的美軍武器系統(tǒng)正面臨致命的網(wǎng)絡(luò)安全威脅,,如果放任不管,,美軍的技術(shù)優(yōu)勢將喪失殆盡。美軍在網(wǎng)絡(luò)安全領(lǐng)域大筆投入,,但最基本的安全措施卻被忽略掉,。
2.3 武器系統(tǒng)網(wǎng)絡(luò)安全保護(hù)起步晚
以往,網(wǎng)絡(luò)安全并不是武器系統(tǒng)開發(fā)過程中的重點,,美軍在武器系統(tǒng)研發(fā)和采辦的過程中都沒有將網(wǎng)絡(luò)安全要求納入其中,,沒有將網(wǎng)絡(luò)抗毀能力納入關(guān)鍵性能參數(shù)中。因此從一開始就忽略了網(wǎng)絡(luò)安全要求,,系統(tǒng)都是在沒有充分考慮網(wǎng)絡(luò)安全的情況下設(shè)計和建造的,,這使得這些武器系統(tǒng)自身面臨著巨大的網(wǎng)絡(luò)安全風(fēng)險,極易成為敵人的攻擊目標(biāo),。
近幾年來,,美軍才開始重視武器系統(tǒng)的網(wǎng)絡(luò)安全問題,,將其納入武器系統(tǒng)的全生命周期,。2016年國防部啟動了網(wǎng)絡(luò)安全漏洞的評估;2017年國防部要求在采辦初始階段通過定義網(wǎng)絡(luò)安全要求,,解決武器系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全問題,,并在整個采辦過程中持續(xù)評估和消減武器系統(tǒng)內(nèi)的安全漏洞。國防部還要求對2017年之前投入使用的武器系統(tǒng)也要進(jìn)行網(wǎng)絡(luò)安全評估,。2019年,,軍方確立了武器系統(tǒng)內(nèi)部網(wǎng)絡(luò)漏洞評估的制度,,并撥款2.2億美元(陸軍、海軍和空軍分別為8800萬,、4800萬 和8500萬美元)用于網(wǎng)絡(luò)漏洞評估,,但新冠疫情中斷了該項工作。
2.4 對武器系統(tǒng)安全性的理解存在誤區(qū)
武器系統(tǒng)和傳統(tǒng)的IT信息基礎(chǔ)設(shè)施一樣也容易受到網(wǎng)絡(luò)攻擊,。即使武器系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)進(jìn)行物理隔離,,網(wǎng)絡(luò)攻擊者也還是可以利用無線電、雷達(dá)和保障端口等對外接口侵入武器系統(tǒng)內(nèi),,訪問武器系統(tǒng)內(nèi)部的計算機,,破壞武器系統(tǒng)的正常運行。傳統(tǒng)上,,網(wǎng)絡(luò)安全工作主要集中在IT層面而不是武器系統(tǒng)內(nèi)部,。國防部最新的網(wǎng)絡(luò)安全計劃-網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)也只要求承包商關(guān)注IT層面。IT系統(tǒng)安全固然重要,,但確保IT安全并不能替代武器系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全,。因此,國防部過去未將發(fā)展武器系統(tǒng)網(wǎng)絡(luò)安全作為優(yōu)先項,,主要關(guān)注自身網(wǎng)絡(luò)的網(wǎng)絡(luò)安全,,而不是武器系統(tǒng)的網(wǎng)絡(luò)安全。國防部在嘗試?yán)斫狻叭绾螌⒕W(wǎng)絡(luò)安全應(yīng)用到武器系統(tǒng)中”仍處于早期階段,。
2.5 武器系統(tǒng)供應(yīng)鏈的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻
供應(yīng)鏈一直是美軍武器系統(tǒng)網(wǎng)絡(luò)安全所面臨的巨大難題,,它涵蓋了采辦、開發(fā),、外包,、集成、交付,、使用和服務(wù)等環(huán)節(jié),。隨著新型信息技術(shù)及相關(guān)產(chǎn)業(yè)的爆發(fā)式發(fā)展,武器系統(tǒng)供應(yīng)鏈面臨的網(wǎng)絡(luò)風(fēng)險不斷攀升,,且尤其以軟硬件供應(yīng)鏈風(fēng)險為甚,,目前針對軟硬件的網(wǎng)絡(luò)攻擊持續(xù)增加,攻擊深度和廣度不斷延伸,;與此同時合作第三方供應(yīng)商引發(fā)的網(wǎng)絡(luò)安全事件層出不窮,,供應(yīng)鏈的數(shù)字化發(fā)展趨勢在帶來商業(yè)價值的同時,也進(jìn)一步推高了武器供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險,。此外,,在供應(yīng)鏈全球化發(fā)展的今天,武器系統(tǒng)面臨的攻擊滲入點也不斷增多,,這些都會使武器系統(tǒng)面臨前所未有的網(wǎng)絡(luò)安全風(fēng)險,。
除了上述問題以外,,武器系統(tǒng)安全還面臨著其他方面的挑戰(zhàn),主要有:復(fù)雜的武器系統(tǒng)使得發(fā)現(xiàn)和恢復(fù)漏洞更為困難,,因此需要具備更強的專業(yè)知識技能,;功能性和安全性有時會不一致,需要在二者之間適當(dāng)平衡,;網(wǎng)絡(luò)威脅正在迅速演變并適應(yīng)對策,,因此在任何時間點實施的安全解決方案都不足以應(yīng)對未來的威脅。這些都是國防部在今后的工作中需要解決的問題,。
三
美軍正積極應(yīng)對武器系統(tǒng)網(wǎng)絡(luò)安全
盡管美軍的武器系統(tǒng)面臨諸多的網(wǎng)絡(luò)安全風(fēng)險,,但隨著美國國防部對武器系統(tǒng)網(wǎng)絡(luò)安全的重視,在意識到武器系統(tǒng)的網(wǎng)絡(luò)安全問題后,,美軍積極采取多種措施提升武器系統(tǒng)的網(wǎng)絡(luò)安全,,目前正逐步將網(wǎng)絡(luò)安全有關(guān)規(guī)定適用于武器系統(tǒng)。
3.1 發(fā)布戰(zhàn)略性政策法規(guī)為武器系統(tǒng)網(wǎng)絡(luò)安全保駕護(hù)航
近年來,,美國防部制定了一系列政策和指導(dǎo)文件來提高武器系統(tǒng)的網(wǎng)絡(luò)安全,。2015年,國防部發(fā)布了《國防部網(wǎng)絡(luò)戰(zhàn)略》,,要求評估當(dāng)前或未來武器系統(tǒng)的安全性,、強制實施未來武器系統(tǒng)的安全標(biāo)準(zhǔn)、更新采辦政策和事件,,促進(jìn)整個系統(tǒng)生命周期的網(wǎng)絡(luò)安全,;發(fā)布了《將網(wǎng)絡(luò)風(fēng)險管理框架整合到系統(tǒng)采辦生命周期中適用的國防部項目管理指導(dǎo)手冊》,明確了這些控制措施適用于武器系統(tǒng)的網(wǎng)絡(luò)安全,;發(fā)布的《網(wǎng)絡(luò)安全檢測與評估指南》旨在對國防部內(nèi)部及其他關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)信息環(huán)境開展安全性檢測與評估工作,,提供了一些關(guān)鍵技術(shù)理論和指導(dǎo)方法。2017年,,國防部發(fā)布《網(wǎng)絡(luò)生存能力認(rèn)可實施指南》,,幫助贊助商闡明網(wǎng)絡(luò)生存性要求。管理者將根據(jù)系統(tǒng)的使命,、網(wǎng)絡(luò)依賴,、威脅能力以及系統(tǒng)受損對任務(wù)的影響等為其項目劃定風(fēng)險類別。同年,,特朗普簽署了《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施安全》的行政令,,提出“美國國防工業(yè)基地當(dāng)前所面臨的安全風(fēng)險,具體包括其供應(yīng)鏈,、美國軍事平臺,、系統(tǒng),、網(wǎng)絡(luò),、能力以及緩解這些風(fēng)險的建議”等,。2020年,國防部先后更新了5000.01國防部指令文件《國防采辦系統(tǒng)》和5000.02《自適應(yīng)采辦框架的運行》,,作為國防部指導(dǎo)和規(guī)范武器系統(tǒng)采辦的頂層文件,。
3.2 成立武器系統(tǒng)網(wǎng)絡(luò)安全機構(gòu)加強對武器系統(tǒng)網(wǎng)絡(luò)安全的管理
2015年海軍成立了網(wǎng)絡(luò)警醒特遣部隊,旨在幫助確保關(guān)鍵作戰(zhàn)信息技術(shù)和系統(tǒng)組件及流程的生存能力和彈性能力,。為系統(tǒng)和組件提供增強的保障要求,,保證網(wǎng)絡(luò)作戰(zhàn)系統(tǒng)的安全。2017年美國空軍成立了武器系統(tǒng)網(wǎng)絡(luò)彈性辦公室(CROWS),,該辦公室責(zé)成國防部識別和減輕武器系統(tǒng)的網(wǎng)絡(luò)安全漏洞,,最初側(cè)重于老式遺留系統(tǒng),現(xiàn)在瞄準(zhǔn)了新武器的網(wǎng)絡(luò)安全問題,。同年陸軍成立了特遣部隊,,在整個陸軍范圍內(nèi)進(jìn)行深入審查,以評估陸軍的網(wǎng)絡(luò)需求,、優(yōu)勢,、劣勢和資產(chǎn)。通過這些信息,,陸軍將計劃制定一個整體方法來解決武器系統(tǒng)和工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題,。
3.3 投入重金加強對武器系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)
美軍在意識到武器系統(tǒng)存在嚴(yán)重漏洞后,旋即投入重金進(jìn)行改造,。2018年11月,,美國空軍投入資金修復(fù)F-35戰(zhàn)斗機外部支持系統(tǒng)的網(wǎng)絡(luò)安全漏洞,這些漏洞被認(rèn)為是黑客入侵F-35戰(zhàn)斗機的最簡單的入口,。F-35是一種基于軟件的飛機,,而任何基于軟件的平臺都會受到黑客的攻擊。由洛克希德,?馬丁公司管理的“多層安全保護(hù)”的飛機信息主干網(wǎng)絡(luò)相對安全,。此外,為了便于維護(hù)引入的無線應(yīng)用程序也帶來了必須解決的新漏洞,。2020年5月,,美國防創(chuàng)新單元向ForAllSecure公司授出總價4500萬美元的合同,由后者對國防部武器系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測試,。ForAllSecure公司將主要基于“Mayhem”自動網(wǎng)絡(luò)安全平臺進(jìn)行相關(guān)測試,。該平臺可安裝于武器系統(tǒng)中并自動化完成相關(guān)安全測試,未來將成為提升武器系統(tǒng)網(wǎng)絡(luò)安全的常規(guī)措施,。此外,,美軍重點研究的技術(shù)還包括:實時操作系統(tǒng)(RTOS)下的偵測、保護(hù)、響應(yīng)網(wǎng)絡(luò)攻擊,、從惡意軟件影響中恢復(fù),;預(yù)警系統(tǒng)/態(tài)勢感知/向武器系統(tǒng)操作者提示惡意軟件、網(wǎng)絡(luò)攻擊或即將發(fā)生的網(wǎng)絡(luò)攻擊,;網(wǎng)絡(luò)動態(tài)重新配置,;武器系統(tǒng)網(wǎng)絡(luò)安全和威脅評估模型/方法;對武器系統(tǒng)進(jìn)行分析和使用的系統(tǒng)之系統(tǒng)網(wǎng)絡(luò)架構(gòu),;武器系統(tǒng)網(wǎng)絡(luò)測試能力等等,。
3.4 將網(wǎng)絡(luò)安全納入武器系統(tǒng)全壽命周期,增強武器系統(tǒng)的網(wǎng)絡(luò)彈性
根據(jù)國防部的政策,,采購項目官員應(yīng)該在項目的整個生命周期中盡早規(guī)劃和實施網(wǎng)絡(luò)安全保護(hù),。與在開發(fā)周期后期或系統(tǒng)投入使用后試圖增加或加強網(wǎng)絡(luò)安全保護(hù)相比,從采辦的最初階段就納入網(wǎng)絡(luò)安全實踐通常更容易,、成本更低,、更有效。因此,,自 2015 年以來國防部一直要求某些采購計劃將網(wǎng)絡(luò)生存性作為強制性系統(tǒng)生存性關(guān)鍵性能參數(shù)的一部分,,這是一種頂級計劃要求或?qū)傩裕x了武器系統(tǒng)的關(guān)鍵性能目標(biāo),,且關(guān)鍵性能參數(shù)或?qū)傩詰?yīng)建立應(yīng)對網(wǎng)絡(luò)威脅的系統(tǒng)生存性措施,。此外,鑒于承包商在設(shè)計和建造國防部武器系統(tǒng)中起著關(guān)鍵作用,,國防部必須在其采購計劃合同中傳達(dá)其網(wǎng)絡(luò)安全要求,,就像它與其他類型的性能要求一樣,具體說明采購計劃應(yīng)該如何在合同中包括網(wǎng)絡(luò)安全要求,、驗收標(biāo)準(zhǔn)和驗證過程,。
3.5加強武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞的評估與消減工作
美軍在加強武器系統(tǒng)內(nèi)網(wǎng)絡(luò)安全漏洞的評估與消減工作方面采取了如下的具體措施:建立永久性程序要求,定期評估武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞,;避免創(chuàng)建單獨用于評估和消減武器系統(tǒng)內(nèi)網(wǎng)絡(luò)漏洞的流程,,而應(yīng)將網(wǎng)絡(luò)安全風(fēng)險評估納入既有的采辦流程中;國防部已經(jīng)為未來的武器系統(tǒng)建立了網(wǎng)絡(luò)安全關(guān)鍵性能評價參數(shù),,而對于既有的武器系統(tǒng),,應(yīng)在保障和升級過程中進(jìn)行網(wǎng)絡(luò)漏洞評估并消減;在采辦層面提升網(wǎng)絡(luò)安全監(jiān)督的責(zé)任,。項目經(jīng)理必須向軍方報告武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞評估情況,,由軍方依據(jù)漏洞威脅情況確定消減行動;明確規(guī)定軍方接受武器系統(tǒng)網(wǎng)絡(luò)安全顧問的報告,,確立軍方進(jìn)行協(xié)調(diào)與管理的地位,;將更多網(wǎng)絡(luò)專業(yè)力量用于武器系統(tǒng)的網(wǎng)絡(luò)安全,。因所有的網(wǎng)絡(luò)力量都已分配給網(wǎng)軍司令部,所以網(wǎng)軍司令部應(yīng)分派一些力量用于保護(hù)武器系統(tǒng)內(nèi)網(wǎng)絡(luò),。也可雇用其他網(wǎng)絡(luò)安全團(tuán)隊專注于網(wǎng)絡(luò)維護(hù)和傳統(tǒng)的IT相關(guān)任務(wù),。
3.6高度重視武器系統(tǒng)ICT供應(yīng)鏈安全
在ICT供應(yīng)鏈全球化的發(fā)展趨勢下,供應(yīng)鏈安全一直是美國政府高度重視的問題,。2019年一場突如其來的疫情讓全球市場數(shù)十年形成的供應(yīng)鏈幾乎斷裂,,供應(yīng)鏈安全更是成了國家綜合實力的體現(xiàn)和大國博弈的焦點,。作為全球ICT技術(shù)和產(chǎn)業(yè)的領(lǐng)跑者,,更是將ICT供應(yīng)鏈的安全問題提到重要議事日程。2019年特朗普總統(tǒng)簽署了《確保ICT和服務(wù)供應(yīng)鏈安全的行政令》,,以保證美國ICT供應(yīng)鏈安全,。2020年網(wǎng)絡(luò)空間日光浴委員會發(fā)布《國家可信信息通信技術(shù)供應(yīng)鏈》報告,提出了如何保護(hù)信息和通信技術(shù)供應(yīng)鏈安全的建議,。2021年1月,,商務(wù)部發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的最新規(guī)則,旨在落實2019年總統(tǒng)令(《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全的總統(tǒng)令》)中列明的相關(guān)要求,,同月美國總統(tǒng)拜登簽署了一項行政命令,,指示聯(lián)邦機構(gòu)包括信息技術(shù)在內(nèi)的各行業(yè)供應(yīng)鏈安全風(fēng)險進(jìn)行審查,解決美國供應(yīng)鏈的脆弱性和風(fēng)險問題,。
四
結(jié)束語
美軍武器系統(tǒng)在應(yīng)對網(wǎng)絡(luò)安全方面面臨巨大挑戰(zhàn),,隨著國防部對武器系統(tǒng)網(wǎng)絡(luò)安全的重視,已先后成立的專門的網(wǎng)絡(luò)安全機構(gòu)來加強對武器系統(tǒng)的管理,,將網(wǎng)絡(luò)安全規(guī)定適用于武器系統(tǒng),,把網(wǎng)絡(luò)安全納入武器系統(tǒng)全壽命周期,并特別要求在武器系統(tǒng)采辦初期就明確網(wǎng)絡(luò)安全基本要求,,同時通過加強對武器系統(tǒng)網(wǎng)絡(luò)安全的保護(hù),,做好武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞的評估與消減工作來提高武器系統(tǒng)的網(wǎng)絡(luò)彈性。
