美國戰略與國際問題研究中心(CSIS)日前刊文稱,美國國防部網絡空間委員會建議,疫情過後要優先對武器系統內的網絡安全風險進行評估,建立永久性評估制度,確保排除武器系統內任何漏洞。如果新冠疫情不能緩解,就可能對國防和國家安全產生廣泛而深刻的影響。
一、武器系統內的網絡安全問題
類似於傳統IT信息基礎設施,武器系統內部也容易受到網絡攻擊。即使武器系統內部網絡與外網進行物理隔離,網絡攻擊者也還是可以利用無線電、雷達和保障埠等對外接口侵入武器系統內,訪問武器系統內部的計算機,破壞武器系統的正常運行。
傳統上,網絡安全工作主要集中在IT層面而不是武器系統內部。國防部最新的網絡安全計劃-網絡安全成熟度模型認證(CMMC)也只要求承包商關注IT層面。IT系統安全固然重要,但確保IT安全並不能替代武器系統內部的網絡安全。
2016年國防部啟動了網絡安全漏洞的評估;2017年國防部要求在採辦初始階段通過定義網絡安全要求,解決武器系統內部的網絡安全問題,並在整個採辦過程中(尤其是在使用保障過程中)持續評估和消減武器系統內的安全漏洞。國防部還要求對2017年之前投入使用的武器系統也要進行網絡安全評估。評估結果顯示,2012年至2017年間幾乎所有武器系統內都發現了關鍵節點的網絡漏洞,其數量超過了國防部識別並修補的能力。對手可能利用這些漏洞對武器系統發起網絡攻擊。2019年,軍方確立了武器系統內部網絡漏洞評估的制度,並撥款2.2億美元(陸軍、海軍和空軍分別為8800萬、4800萬 和8500萬美元)用於網絡漏洞評估,但新冠疫情中斷了該項工作。
二、武器系統內的網絡安全漏洞的評估與消減工作
1、 建立永久性程序要求,定期評估武器系統內的網絡安全漏洞;
2、 避免創建單獨用於評估和消減武器系統內網絡漏洞的流程,而應將網絡安全風險評估納入既有的採辦流程中;國防部已經為未來的武器系統建立了網絡安全關鍵性能評價參數,而對於既有的武器系統,應在保障和升級過程中進行網絡漏洞評估並消減。
3、 在採辦層面提升網絡安全監督的責任。項目經理必須向軍方報告武器系統內的網絡安全漏洞評估情況,由軍方依據漏洞威脅情況確定消減行動;
4、 明確規定軍方接受武器系統網絡安全顧問的報告,確立軍方進行協調與管理的地位;
5、 將更多網絡專業力量用於武器系統的網絡安全。因所有的網絡力量都已分配給網軍司令部,所以網軍司令部應分派一些力量用於保護武器系統內網絡。也可雇用其他網絡安全團隊專注於網絡維護和傳統的IT相關任務。
文章認為,疫情之後,美國防部將面臨預算削減,應將網絡安全評估進一步整合到已有的採辦流程中,有效分配資源,優先處理武器系統內的網絡安全,防患於未然。