摘 要:

美国防部武器系统的网络安全问题一直以来是美军关注的重点。美国政府问责署(GAO)近期审查发现,与过去的国防部采购项目相比,目前的采购项目在开发过程中进行了或计划进行更多的网络安全测试。然而,GAO 发现,多个采办项目合同中未明确网络安全要求,也未制定采用或拒绝以及验证的标准。国防部和各军种已经制定了一系列政策和指南来改善武器系统的网络安全,但这类指导文件通常没有具体说明如何在合同中明确网络安全要求、验收标准和验证过程。GAO 审查发现,只有空军发布了内部指南,详细说明了采办项目应如何定义网络安全要求,并将这些要求纳入合同。报告建议陆军、海军和海军陆战队就如何将网络安全要求纳入项目合同提供指导。

01 背 景

现代国防部武器系统依靠软件和信息技术来实现其预期性能,与以前的系统相比,这些系统需要更多的通信路径,以便在各种类型的子系统之间以及与外部系统共享信息,从而实现一系列作战能力。正如《2018 年国防战略》所述,国防部计划通过对软件和 IT 密集型系统和技术(如先进网络、自动化和人工智能)的投资,以及通过将网络能力集成到所有类型的军事行动中,来实现关键能力的现代化。例如, 陆军计划用新系统取代数十年前的车辆,包括Bradley 战车和 Abrams 主战坦克,这些新系统可能集成自动或半自动操作,需要稳健的、安全的网络能力。

正如 GAO 所报道的,面对日益复杂的网络威胁,网络或互联网驱动的消费技术和设备的发展加剧了安全风险,国防部对软件和信息技术的日益依赖显著扩大了武器的攻击面。任何信息交换都可能是对手的潜在接入点。与许多其他系统或子系统进行交换信息的系统的潜在漏洞要比没有此类连接的系统多。

GAO 在 2018 年报告中指出,国防部直到最近才将武器系统网络安全列为优先事项,并且仍在确定在采办过程中如何最好地解决它。

国防部历来把网络安全工作的重点放在保护网络和传统 IT 系统上,而不是保护武器系统, 关键的采办和需求政策也没有把重点放在网络安全上。因此,国防部可能设计和研制了许多没有足够网络安全保障的系统。在作战测试中, 国防部经常会在正在开发的系统中发现任务关键型网络安全漏洞。通过使用一些简单的工具和技术,测试人员能够控制系统,并且基本上在未被发现的情况下进行操作,部分原因是由于密码管理不善和未加密的通信等问题。此外, 由于测试范围和复杂程度的限制,国防部可能只了解其武器系统中全部漏洞的一小部分。

GAO 还指出,自 2014 年以来,国防部采取了许多重大措施来改善武器系统的网络安全。具体而言,国防部发布更新了各种政策、指导文件和备忘录,以更好地将网络安全纳入采办过程,并促进更具网络弹性的武器系统。这些措施表明,国防部越来越重视武器系统网络安全,符合国防部在 2018 年网络战略中的承诺,即“保护自己的网络、系统和信息不受恶意网络活动的影响”,并“确保美军有能力在包括网络空间领域打赢战争”。最终,国防部在改进武器系统网络安全方面的成功取决于军种和采办部门在多大程度上落实这些举措, 以在他们的项目中产生更好的结果。

1.1 武器系统网络安全实践

网络攻击是试图利用系统或网络中的漏洞来破坏其机密性、完整性或可用性。网络安全措施旨在通过防止、检测和响应攻击来保护网络安全。目标是降低攻击者访问国防部系统的可能性,并限制攻击造成的损害。武器系统在整个采办过程中面临着各种网络安全挑战。2015 年兰德的一份报告指出了以下 6 个武器系统网络安全面临的挑战。

(1)复杂系统需要专业知识。现代武器系统是高度复杂的,在不损害功能的情况下发现和修复漏洞的任务更加艰巨。网络安全是一项技术挑战,涉及的功能可能是系统设计中不可或缺的一部分,而可能只有少数专家详细了解了这些功能。

(2)功能和安全性难免存在冲突。在功能和安全性之间有必要进行权衡。工程师愿意接受一定程度的漏洞,以实现操作人员执行任务所需的功能。对于武器系统来说,安全与功能之间的适当平衡是至关重要的。

(3)威胁在不断演变和适应。网络威胁正在迅速演变并适应应对措施,因此在任何时间点实施的安全解决方案都可能不足以应对未来的威胁。

(4)攻击者具有优势。网络攻击者比网络防御者具有优势。鉴于攻击者只需要发现并利用一个系统漏洞,但防御者却需要考虑并降低整个系统的风险。因此,网络防御不仅资源密集,而且难度更大。

(5)每个新连接都是一个潜在的漏洞。系统以各种方式相互连接,这样一个系统中的漏洞就可能被利用来访问另一个系统。攻击者可以利用非关键组件或第三级系统中的漏洞访问系统最关键的组件。

(6)无法实现完全安全。由于网络威胁不断演变和适应,而网络攻击者相对于网络防御者有一些优势,因此完全安全是不现实的。在资源有限的情况下,决策者必须确定什么样的安全级别对他们的系统和任务是足够的。

1.2 有效的武器系统网络安全实践取决于网络安全开发需求和合同

国防部管理主要国防采办项目的政策概述了交付满足能力差距的武器系统的一系列阶段和相关活动。虽然在每个采购阶段都有重要的网络安全考虑因素,但 GAO 之前的工作已经表明,建立可靠的、可行的需求是降低风险、制定成功计划的早期关键步骤。通过招标和签订合同,采办项目将这些要求传达给开发和研制系统的承包商。承包商可在需求开发期间向项目提供重要支持,例如与采办项目办公室合作,在合同授予后细化要求。总体而言,定义需求,然后签订满足这些需求的解决方案,既关系到网络安全需求,也关系到其他类型的性能需求。图 1 显示了国防部主要采办项目的流程周期。

图 1 国防部主要采办项目流程周期图

1.3 制定武器系统网络安全要求有助于项目采办成功

制定满足军事需求的要求是成功获取武器系统的关键组成。网络安全要求是系统总体要求的一部分。国防部采办政策规定,网络安全是国防部所有采办项目的要求之一,必须在采办周期的所有阶段实施。它还要求采办项目经理将网络安全纳入系统性能规范。2015 年《采办项目经理网络安全指南》描述了武器系统网络安全的一个关键原则,即“像对待其他系统需求一样”对待网络安全需求。

自 2015 年以来,国防部要求某些采办项目将网络生存能力作为强制性系统生存能力关键性能参数的一部分,这是一种顶级项目要求或属性,定义了武器系统的关键性能目标。然而,每个系统如何实现网络生存能力的细节取决于系统的任务、内部和外部通信路径的数量和类型,以及它可能面临的网络威胁的类型等。表 1 概述了采办周期早期的关键需求以及网络安全需求在其中的作用。

表 1  采办初期的关键文件和网络安全

1.4 除非合同明确了网络安全要求,否则承包商的解决方案很难符合军方要求

国防承包商通常设计和制造武器系统。这意味着国防部必须将其要求转化为合同条款和条件,从而在政府和承包商之间建立协议。武器系统合同通常包括要执行工作的成本或价格,交付物或时间周期以及性能要求等。国防部政策要求采购项目经理确认将网络安全和系统安全要求纳入合同中。网络安全要求可能出现在合同的不同地方。合同条款应相互补充, 并采用一致的方法来发展武器系统。表 2 列出了合同中部分网络安全要求。

表 2  关键合同文件

承包商通常负责履行合同条款,因此合同必须反映政府的要求。国防部指南指出,政府应在合同中包含使系统可接受的所有适用条款和条件。这适用于系统的方面,包括性能要求, 例如速度、范围、容量和网络安全性。根据国防部指南,合同要求应明确,以便政府和承包商对要执行的工作和可接受的效果有共同了解。国防部指南描述了应如何以合同语言规范要求,包括合同定义要求,确定采用或拒绝的标准以及建立政府将如何验证是否满足要求的标准。图 2 显示按国防部指导合同应该包含的内容。

图 2 将网络安全纳入合同的三方面内容

1.5 国防部建立了风险管理框架来减轻武器系统的网络安全风险

2014 年,国防部建立了风险管理框架(RMF),通过六个步骤来管理国防部包括采办武器系统的网络安全风险。在 2015 年的相关指南中,国防部指出空军已经将风险管理方法应用到了风险管理框架中。国防部的采购政策表明,RMF 可以为国防部 IT 提供信息,但不能代替国防部 IT 的采购流程。RMF 步骤和相关活动如图 3 所示。

图 3 国防部(DOD)风险管理框架的六个步骤

RMF 围绕识别、实施、评估和管理安全控制而构建,安全控制是应用于系统的保护措施和对策,以保护系统及信息的机密性、完整性和可用性。例如,为与系统的每种类型的无线连接建立保护是一种防范未授权访问的保护措施。根据美国国家标准技术研究院(NIST)的指导,应将安全控制纳入系统工程流程中,这是采购计划满足其安全要求的计划的一部分。根据 NIST,国防部指南指出,采购计划应基于对威胁和对任务的潜在影响的风险评估,实施一套量身定制的安全控制措施。RMF 通常按如下方式实现。

步骤 1:根据发生安全漏洞时,机密性、完整性和可用性受损所造成的潜在影响(低、中、高)对系统进行分类。

步骤 2:根据武器系统的分类和其他因素选择武器系统的安全控制。

步骤 3:通过设计、生产或部署实施控件。一些控件(例如加密)已合并到系统的硬件或软件中。其他控件可能会从外部来源或系统的操作方式中继承。

步骤 4:评估控件以确保其正确实施。制定、审查和批准安全控制评估计划,使之与项目的其他测试和认证活动保持一致。

步骤 5:授权系统连接到运营网络或其他系统。

步骤 6:在操作环境中监视系统,以查看可能会影响系统安全状态的配置更改或可能表明安全控制未有效运行的性能指标。

RMF 步骤是连贯性的,并且大致与一个或多个采购阶段相一致 ; 然而,根据 NIST 指南, 该过程应该是灵活的和迭代的,允许采购项目根据新的信息或环境进行调整。例如,第 4 步的评估结果可能需要重新评估第 3 步的控制措施。图 4 展示了 RMF 步骤与主要国防采购项目采购流程的总体概况。

图 4 美国国防部采购流程中的风险管理框架

02 国防部及军种已采取行动改善武器系统网络安全

近年来,国防部在改善武器系统网络安全方面取得了长足的进步,大致表现在四个方面:增加获取网络专业知识的机会、更多地使用网络评估、更好地制定安全控制以及额外的网络安全指导。

2.1 更多地获取网络专业知识

国防部的采购人员在拓展网络安全专业知识方面面临长期挑战,国防部在其运营测试办公室 2019 年年度报告中指出,国防部的网络测试团队与国家威胁之间的能力差距越来越大。采购项目很难在设计过程早期就将专家与网络安全测试工作技能结合起来,而这将有助于提高测试质量。

五个武器系统的负责人表示,尽管在招聘和保留网络安全人员方面遇到了一些挑战,但这并不影响获得更多的网络安全专业知识,这个问题在 2018 年还是比较明显地存在着。尽管本次审查中被发现和指出了这种挑战仍然存在, 但是明显在可控范围内。

2.2 增强网络评估

过去在向国防部的报告中曾提到武器系统网络安全评估的缺乏和不足的问题,特别是在2018 年 10 月发现缺乏测试意味着程序在开发过程中的后期发现基本的网络安全问题修复成本将更高。

2020 年 3 月,国防部透露在其去年内进行了两次对抗性评估和两次合作脆弱性评估,并且根据这些评估的结果,对设计进行了更改。越来越多地使用网络安全评估是一个积极的进展,并且可以帮助程序尽早发现漏洞。但是, 仅仅是评估并不能获得更好的效果,比如在某些系统的多轮测试中都发现了相同的漏洞,首次发现这些漏洞后并未得到妥善解决。

除了专业的网络安全知识和网络评估,国防部和军事部还描述了其在两个领域的进展:网络安全控制和 RMF 的改进指导,以及更好地为采购项目量身定制安全控制。

2.3 更好地定制安全控制

服务在针对类似类型定制 RMF 安全控制方面取得了进展。负责采购的官员表示,选择控制是 RMF 的第二步,因为有可能存在大量的潜在控制以及将其应用于各种复杂系统的复杂性, 这可能是一个困难的过程。上述大约 300 ~ 500 个控件的基准集只是一个起点,因此程序可能需要根据其特定需要添加或删除控件。为了应对这一挑战,国防部内部组织已经开始开发控制“覆盖层”(overlay)来帮助项目量身定制控制。覆盖层是对基准线的一组专门调整,可以应用于类似类型系统的采集程序。多个实际案例表明,更多制定的覆盖层将有助于简化确定和证明控件是否适用于系统。

2.4 新修订的网络安全指南

国防部和各军种都发布了实施 RMF 的详细政策或指导。虽然国防部的政策广泛地定义了武器系统的采购工作和网络安全目标,但军种在开发和发布补充性指南方面发挥了作用,如有必要可在军种的采购范畴内实施。

2016 年 12 月,美国海军发布 RMF 流程指南,其中包括执行 RMF 的采购项目的特定军种指南。

2017 年 2 月,美国空军发布 RMF 实施指南, 其中包括指南要求的项目应确保所有安全控制通过系统安全工程转化为安全要求的指南。

2017 年 7 月,海军陆战队制定 RMF 实施指南,其中包括 RMF 流程的概述。

最后,2019 年 4 月, 陆军发布实施 RMF 的指导意见,其中包括了各自的角色和职责。

03 审查的项目合同中网络安全要求情况

尽管已经采取了一些步骤,但国防部在改善武器系统的网络安全方面仍面临着挑战。尤其是,国防部仍在探索如何在合同中明确武器系统网络安全,同时此次审查的项目也设法将系统的网络安全要求纳入合同。

3.1 审查的采办项目合同并未包括网络安全要求、验收标准和验证过程

此次审查的采购项目合同在网络安全要求方面存在疏漏,或是在合同中没有明确定义网络安全要求。

3.1.1 审查的合同并未都明确了网络安全要求

此次审查的五份武器系统合同中有三份在授予合同时未明确网络安全要求,GAO 无法评估两份合同网络安全要求的完整性。例如,其中一个项目提及网络安全战略,识别 RMF 类别, 并描述该项目将如何选择安全控制。然而,当合同授予时,工作说明、系统规范或合同交付物中并未包括网络安全要求。

审查的五份合同中,有三份在授予后进行了修改,增加了网络安全要求。其中一份合同包括详细的网络安全要求。然而,其他两份合同只在一般声明中阐述了该系统应与国防部网络安全政策相一致。一些承包商在交流过程中表示,建议书中通常会包含网络安全的一般性声明,如“网络弹性”或“遵守 RMF”,但承包商认为此类声明提供的信息有限,他们无法确定政府想要什么系统或如何设计系统。

与网络需求相比,其他类型的系统需求包含了更多的细节。GAO 审查的一份合同规定了系统在空运、陆运和海运时必须承受的振动次数,包括在带有喷气发动机和螺旋桨的飞机上运输时的单独要求。同时还明确了与灰尘、沙子、真菌以及许多系统设计和性能的其他方面有关的非网络安全要求。GAO 审查的另一份合同列出了一般要求,比如系统不应该有任何尖锐的边缘,以免操作人员误伤。然而,这两份合同都没有包括任何详细的网络安全要求。

3.1.2 审查的合同并未明确验收标准

此次审查的武器系统合同,在合同授予之初并没有客观地定义网络安全措施,并明确采用或拒绝该系统的依据。如果要求某型车辆至少以每小时 60 英里的速度行驶,而它只实现每小时 55 英里,承包商就没有达到要求。GAO 审查的合同中只有一份明确了详细的网络安全要求,这些要求通常确定了系统必须具有的特定安全控制,而不是基于性能的要求。一个项目办公室的官员说,他们试图使用基于性能的要求, 但无法与承包商达成协议。国防部和承包商官员说,许多合同要求聚焦于系统必备的网络安全控制策略,而不是国防部预期想要的结果,如阻止未经授权的用户访问系统。然而,正如之前所报道的,控制应用并不意味着系统是安全的。控制必须正确实施,然后测试其有效性。

3.1.3 审查的合同并未明确如何验证网络安全要求

在选定的五个项目合同中,GAO 没有发现任何可以证明项目官员在授予合同时就明确指出将如何验证网络安全要求的例子。国防部强调了建立标准对于衡量承包商绩效的重要性。明确客观标准一来可以确保网络安全要求清晰明确,二来也提供了一种机制来验证承包商是否满足要求。对于其他系统需求,此次审查的合同通常确定了一些性能要求,以及政府将如何验证要求达标。例如,在一份合同中,GAO 审查了指定的燃油效率,然后描述了地形类型以及系统在测试期间的运行速度。然而,GAO 没有看到网络安全要求方面的验证细节,且审查的合同中只有一份有详细的网络安全要求。

3.1.4 各军种表示网络安全要求是一个普遍的挑战

国防部和军种官员普遍认为,在合同中明确有效的网络安全要求对采购项目来说是一个挑战。国防部一位高级官员表示,对网络安全要求进行标准化是很难的,国防部需要与用户更好地沟通网络安全要求和系统工程,因为用户将最终决定系统的网络安全风险是否可以接受。国防部另一位高级官员表示,缺乏明确的网络安全要求,给理解和执行网络安全带来了挑战。海军官员举了一个例子,某项目执行办公室在一份合同中列出了全面和详细的网络安全要求清单,但却指出这在海军内部算是一个例外情况。

3.2 军种的大多数指南不涉及网络安全要求、验收标准和验证流程

目前除了空军,各军种的指南没有明确采购项目合同应该如何规范武器系统的网络安全要求、验收标准和验证过程,而这正是国防部和项目官员认为有利于加强系统网络安全的地方。如上所述,自 2014 年国防部制定政策以来, 各军种制定了一系列 RMF 实施指南;将网络安全要求纳入合同至关重要,然而当前军种的指南在这方面普遍存在缺失或不完整。

3.2.1 美国陆军的政策和指南并未反映如何在合同中纳入网络安全要求

陆军高层讨论了政策和指南中的网络安全要求,但没有详细说明采购项目应如何在合同中纳入网络安全要求。根据国防部的政策和指南,陆军在其政策和指南中强调了 RMF 在采购项目中的安全控制和网络安全要求的必要性,然而却并未详细说明采办项目应如何将网络安全要求、验收标准和验证流程纳入合同。2019 年,陆军对其相关规定进行了重大调整, 要求高级领导人在采购中整合网络安全,并要求合同中涵盖确保陆军 IT 系统网络安全的具体要求,包括武器系统。但是,规定没有细化如何开展。

2019 年,陆军还发布了采办项目网络安全策略的新指南,支撑采办项目实现网络安全要求。除其他事项外,该指南明确了项目网络安全策略的内容,如对网络安全要求的描述以及在合同中纳入这些要求的计划,但未说明采购项目应如何制定这些内容。

3.2.2 美国海军的政策和指南并未反映出如何在合同中纳入网络安全要求

海军的政策和指南强调了将网络安全纳入武器系统采办过程的必要性,但没有具体说明如何在合同中纳入网络安全要求。海军采购项目网络安全管理政策指出,海军实施 RMF 为其提供了一个观念,即确保网络安全是海军 IT 系统工程不可或缺的一部分,其中包括武器系统采办。然而,该政策和相关指南并未涉及如何将网络安全要求或安全控制纳入合同。

海军空中系统司令部(NAVAIR)负责监督海军航空项目的五个项目执行办公室,已开发了一套指南来帮助采购项目更好地与承包商沟通其网络安全和 RMF 要求。例如,NAVAIR 开发了标准合同语言和相关流程,在采购项目的合同授予后不久,政府和承包商的网络安全团队应就系统网络安全问题召开会议,目的是完成 RMF 的前两个步骤:分类和控制选择。

NAVAIR 的声明中还要求承包商在合同授予后不久交付一份网络安全战略实施计划,详细说明承包商将如何实现项目在网络安全方面的目标。

3.2.3 美国海军陆战队的政策和指南并未反映出如何在合同中纳入网络安全要求

与陆军和海军类似,海军陆战队在网络安全和 RMF 实施方面的政策并未明确规定如何在合同中纳入网络安全要求。相关政策指导采购项目经理需确保网络安全要求得已明确,并将网络安全集成到系统设计、开发和实施过程中。该政策还明确 RMF 安全控制作为安全需求,应该通过系统工程来细化。然而,该政策并没有明确如何将网络安全要求或 RMF 安全控制纳入合同。一名海军陆战队高级官员表示,在签订合同之初明确网络安全至关重要,迄今为止海军陆战队在这方面做出了努力,但仍是其项目采购部门需改进的领域。

3.2.4 美国空军已制定指南将网络安全要求纳入合同

空军内部最近发布了针对将网络安全要求纳入合同的指南,部分是利用现有部门政策和指导。虽然空军实施 RMF 的政策强调了使用系统工程将 RMF 安全控制纳入系统需求的重要性,但它没有细化如何将这些需求纳入合同。2019 年,空军武器系统网络弹性办公室(CROWS)开发了空军武器系统项目保护和系统安全工程指南(以下简称 CROWS 指南)。CROWS 指南将不同的国防部和空军指令或指南合并为一个独立的文件,同时也提供更详细的解释和实施建议。CROWS 指南还提供了示例, 如项目说明书应要求承包商使用建模和仿真来验证规范,并应确保政府有机会参与到所有的测试中去。

04 结 论

自 2018 年 GAO 发布武器系统网络安全研究报告以来,国防部致力于将网络安全纳入采购过程,并取得了一些进展。宏观层面上,虽然各军种附加的网络安全指南和资源有助于进一步将网络安全实践融入国防部文化。然而, GAO 审查发现,附加的指南并没有解决如何有效地将网络安全概念转化为合同中详细具体要求的问题,网络安全要求应与其他系统要求处于同等重要的地位。尤其是,在各军种关于将网络安全纳入采购的指南中未说明项目应如何在合同中明确网络安全要求,并提供明确的验收标准和验证方法。空军已经采取了积极的行动,通过制定内部指南将项目特定的网络安全要求纳入合同。陆军、海军和海军陆战队未来也可借鉴空军的做法。正如空军利用现有的政策和指南一样,陆军、海军和海军陆战队也可以采用现有的资源来实现其采购的网络安全需求。在采取这些措施之前,项目将继续面临网络安全风险,合同中有可能未对详细具体的网络安全要求进行明确。

05 行动建议

GAO 提出了三条建议,其中一条是给陆军的,另两条是给海军的,具体如下。

建议 1:陆军部长应该为采购项目制定指南,明确如何将特定的武器系统网络安全要求、验收标准和验证过程纳入合同。

建议 2:海军部长应该为采购项目制定指南,明确如何将特定的武器系统网络安全要求、验收标准和验证过程纳入合同。

建议 3:海军部长应采取措施,确保海军陆战队为采购项目制定指南,明确如何将特定的武器系统网络安全要求、验收标准和验证过程纳入合同。