前言 三、2018年报告与本版本报告的对比分析 2018年研究报告(以下简称“老版报告”)以及2021年研究报告(以下简称“新版报告”),是近年来美国国防部在推进武器系统网络安全方面的显著缩影。对比两份研究报告的主要内容和观点,反映出几个转变: (一)阶段转向:从“发现”问题走向“解决”问题 老版报告的主要观点是:“几乎所有武器都存在网络安全漏洞,甚至有时候对武器系统进行扫描都可能使其停止工作”,分析原因:一是国防部武器系统日益提高的计算机与网络化的本质,引入了网络安全风险;二是国防部过去未将发展武器系统网络安全作为优先项,导致武器系统存在大量网络安全隐患;三是国防部对“如何最好地开发具有网络安全特性的武器系统”的理解不透彻,武器系统网络安全尚未形成有效的解决方案,属于“发现问题”阶段。 从新版报告可以看出,美国防部针对武器系统网络安全落实了很多执行层面的措施:更多的获取网络安全知识(针对项目设立的信息系统安全经理和信息系统安全员);增强网络安全评估(贯穿整个项目周期的网络安全测试);更好的制定安全控制(国防部内部组织已经开始开发控制“覆盖层”(overlay)来帮助项目量身定制网络安全控制);更新修订网络安全指南(军种层级指南有助于采购合同中明确网络安全要求及实施RMF),属于“解决问题”阶段。 (二)视角转向:从关注“风险面”下沉到解决“问题点” 老版报告明确提出了武器系统的“风险面”——大多数开发中的武器系统存在重大漏洞;众多因素让武器系统网络安全变得愈发棘手;众多武器系统面临着共同的网络安全漏洞;国防部武器系统越来越复杂化和网络化,使得网络漏洞不断增加,网络安全威胁日益严峻。宏观概括了武器系统在网络空间可能遭受到的战争威胁。 而新版报告研究视角明显下沉,GAO选取了五类武器系统进行审查,得出结论是:解决武器系统网络安全问题的根源在于“必须明确网络安全开发需求和合同”,网络安全要求、验收标准和验证流程都应纳入武器系统的采购合同,建议美国防部应首先解决这一缺失问题。考虑到GAO在美政府中具有的重量级地位,以及本报告提及的美国防部对此结论的意见反馈,极有可能下一步美国防部将采纳GAO的行动建议,将网络安全要求明确纳入武器系统的采购合同。 (三)范畴转向:从倾向审查“内部”问题外扩到供应链层面的整个采办周期 老版报告指出,国防部在过去几年里采取的提高武器系统网络安全性的重大措施包括:明确规定网络安全政策适用于武器系统、要求整个武器系统采办周期更加重视网络安全。同时,国防部和国会也启动针对性措施帮助国防部提高对武器系统网络漏洞的认识,以降低风险,增强网络安全弹性。 新版报告重点落到国防部借助军种层级指南来更好的与承包商沟通武器系统网络安全事宜。新版报告不仅局限于国防部内部的整改和调整,而是将武器系统网络安全的解决视野扩展到供应链层面的整个采办周期,并总结建议三军种为采办项目制定指南,明确如何将特定的武器系统网络安全要求、验收标准和验收过程纳入合同,以更好的和供应商达成共识。 四、几点启示 近几年来,美军对武器系统的网络安全问题重视程度持续增加。在2016年《国防授权法案》中,首次要求国防部评估武器系统网络脆弱性;2019年《国防授权法案》中,对陆军、海军陆战队、海军、空军的武器系统网络漏洞评估预算分别为8830万、70万、4880万和9910万美元;2020年《国防授权法案》进一步要求,军队除了完成各主要武器系统的网络漏洞评估外,还需向国会国防委员会提交一份报告,内容包括:确定每个主要武器系统的网络漏洞;确定解决网络漏洞所需的条令、组织、培训、装备、领导和设施等方面的支持;总结排查网络漏洞和网络脆弱性评估方面的经验教训和最佳实践等。可见,美军为降低武器系统网络安全威胁所作的努力不限于表层,已逐步走向实质和深层。 随着网络、太空等新型作战域的迅猛发展,未来战争环境将愈加开放,武器系统将面临越来越严峻的网络威胁。针对武器系统实施网络攻击,可获取情报、致瘫系统、干扰人心,甚至可能扭转战局。最大限度降低武器系统所面临的网络安全威胁,也是各国军队在应对未来战争、发展新质作战能力进程中亟需解决的重要问题。 研究GAO的两份报告,我们有几点启示: 一是武器系统网络安全问题是各国军队发展面临的普遍问题,美军以政府主导的审查摸底获得风险底数,进一步确定问题、解决问题。 二是美军在推进武器系统网络安全上,政策先行,以顶层文件引导国防承包商加大对武器系统的网络安全研发投入。 三是GAO报告显示,将网络安全要求强制纳入采购合同是美军提升武器系统网络安全的核心举措,但网络安全要求的确定则是根据风险管理框架(RMF)形成,可见RMF在美军武器系统网络安全风险控制中的基础性作用。 |
|