美國(guó)防部武器系統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題一直以來(lái)是美軍關(guān)注的重點(diǎn)。美國(guó)政府問(wèn)責(zé)署（GAO）近期審查發(fā)現(xiàn)，與過(guò)去的國(guó)防部采購(gòu)項(xiàng)目相比，目前的采購(gòu)項(xiàng)目在開發(fā)過(guò)程中進(jìn)行了或計(jì)劃進(jìn)行更多的網(wǎng)絡(luò)安全測(cè)試。然而，GAO 發(fā)現(xiàn)，多個(gè)采辦項(xiàng)目合同中未明確網(wǎng)絡(luò)安全要求，也未制定采用或拒絕以及驗(yàn)證的標(biāo)準(zhǔn)。國(guó)防部和各軍種已經(jīng)制定了一系列政策和指南來(lái)改善武器系統(tǒng)的網(wǎng)絡(luò)安全，但這類指導(dǎo)文件通常沒(méi)有具體說(shuō)明如何在合同中明確網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程。GAO 審查發(fā)現(xiàn)，只有空軍發(fā)布了內(nèi)部指南，詳細(xì)說(shuō)明了采辦項(xiàng)目應(yīng)如何定義網(wǎng)絡(luò)安全要求，并將這些要求納入合同。報(bào)告建議陸軍、海軍和海軍陸戰(zhàn)隊(duì)就如何將網(wǎng)絡(luò)安全要求納入項(xiàng)目合同提供指導(dǎo)。

　　01

　　背　景

　　現(xiàn)代國(guó)防部武器系統(tǒng)依靠軟件和信息技術(shù)來(lái)實(shí)現(xiàn)其預(yù)期性能，與以前的系統(tǒng)相比，這些系統(tǒng)需要更多的通信路徑，以便在各種類型的子系統(tǒng)之間以及與外部系統(tǒng)共享信息，從而實(shí)現(xiàn)一系列作戰(zhàn)能力。正如《2018 年國(guó)防戰(zhàn)略》所述，國(guó)防部計(jì)劃通過(guò)對(duì)軟件和 IT 密集型系統(tǒng)和技術(shù)（如先進(jìn)網(wǎng)絡(luò)、自動(dòng)化和人工智能）的投資，以及通過(guò)將網(wǎng)絡(luò)能力集成到所有類型的軍事行動(dòng)中，來(lái)實(shí)現(xiàn)關(guān)鍵能力的現(xiàn)代化。例如， 陸軍計(jì)劃用新系統(tǒng)取代數(shù)十年前的車輛，包括Bradley 戰(zhàn)車和 Abrams 主戰(zhàn)坦克，這些新系統(tǒng)可能集成自動(dòng)或半自動(dòng)操作，需要穩(wěn)健的、安全的網(wǎng)絡(luò)能力。

　　正如 GAO 所報(bào)道的，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)或互聯(lián)網(wǎng)驅(qū)動(dòng)的消費(fèi)技術(shù)和設(shè)備的發(fā)展加劇了安全風(fēng)險(xiǎn)，國(guó)防部對(duì)軟件和信息技術(shù)的日益依賴顯著擴(kuò)大了武器的攻擊面。任何信息交換都可能是對(duì)手的潛在接入點(diǎn)。與許多其他系統(tǒng)或子系統(tǒng)進(jìn)行交換信息的系統(tǒng)的潛在漏洞要比沒(méi)有此類連接的系統(tǒng)多。

　　GAO 在 2018 年報(bào)告中指出，國(guó)防部直到最近才將武器系統(tǒng)網(wǎng)絡(luò)安全列為優(yōu)先事項(xiàng)，并且仍在確定在采辦過(guò)程中如何最好地解決它。

　　國(guó)防部歷來(lái)把網(wǎng)絡(luò)安全工作的重點(diǎn)放在保護(hù)網(wǎng)絡(luò)和傳統(tǒng) IT 系統(tǒng)上，而不是保護(hù)武器系統(tǒng)， 關(guān)鍵的采辦和需求政策也沒(méi)有把重點(diǎn)放在網(wǎng)絡(luò)安全上。因此，國(guó)防部可能設(shè)計(jì)和研制了許多沒(méi)有足夠網(wǎng)絡(luò)安全保障的系統(tǒng)。在作戰(zhàn)測(cè)試中， 國(guó)防部經(jīng)常會(huì)在正在開發(fā)的系統(tǒng)中發(fā)現(xiàn)任務(wù)關(guān)鍵型網(wǎng)絡(luò)安全漏洞。通過(guò)使用一些簡(jiǎn)單的工具和技術(shù)，測(cè)試人員能夠控制系統(tǒng)，并且基本上在未被發(fā)現(xiàn)的情況下進(jìn)行操作，部分原因是由于密碼管理不善和未加密的通信等問(wèn)題。此外， 由于測(cè)試范圍和復(fù)雜程度的限制，國(guó)防部可能只了解其武器系統(tǒng)中全部漏洞的一小部分。

　　GAO 還指出，自 2014 年以來(lái)，國(guó)防部采取了許多重大措施來(lái)改善武器系統(tǒng)的網(wǎng)絡(luò)安全。具體而言，國(guó)防部發(fā)布更新了各種政策、指導(dǎo)文件和備忘錄，以更好地將網(wǎng)絡(luò)安全納入采辦過(guò)程，并促進(jìn)更具網(wǎng)絡(luò)彈性的武器系統(tǒng)。這些措施表明，國(guó)防部越來(lái)越重視武器系統(tǒng)網(wǎng)絡(luò)安全，符合國(guó)防部在 2018 年網(wǎng)絡(luò)戰(zhàn)略中的承諾，即“保護(hù)自己的網(wǎng)絡(luò)、系統(tǒng)和信息不受惡意網(wǎng)絡(luò)活動(dòng)的影響”，并“確保美軍有能力在包括網(wǎng)絡(luò)空間領(lǐng)域打贏戰(zhàn)爭(zhēng)”。最終，國(guó)防部在改進(jìn)武器系統(tǒng)網(wǎng)絡(luò)安全方面的成功取決于軍種和采辦部門在多大程度上落實(shí)這些舉措， 以在他們的項(xiàng)目中產(chǎn)生更好的結(jié)果。

　　1.1　武器系統(tǒng)網(wǎng)絡(luò)安全實(shí)踐

　　網(wǎng)絡(luò)攻擊是試圖利用系統(tǒng)或網(wǎng)絡(luò)中的漏洞來(lái)破壞其機(jī)密性、完整性或可用性。網(wǎng)絡(luò)安全措施旨在通過(guò)防止、檢測(cè)和響應(yīng)攻擊來(lái)保護(hù)網(wǎng)絡(luò)安全。目標(biāo)是降低攻擊者訪問(wèn)國(guó)防部系統(tǒng)的可能性，并限制攻擊造成的損害。武器系統(tǒng)在整個(gè)采辦過(guò)程中面臨著各種網(wǎng)絡(luò)安全挑戰(zhàn)。2015 年蘭德的一份報(bào)告指出了以下 6 個(gè)武器系統(tǒng)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)。

　?。?）復(fù)雜系統(tǒng)需要專業(yè)知識(shí)?，F(xiàn)代武器系統(tǒng)是高度復(fù)雜的，在不損害功能的情況下發(fā)現(xiàn)和修復(fù)漏洞的任務(wù)更加艱巨。網(wǎng)絡(luò)安全是一項(xiàng)技術(shù)挑戰(zhàn)，涉及的功能可能是系統(tǒng)設(shè)計(jì)中不可或缺的一部分，而可能只有少數(shù)專家詳細(xì)了解了這些功能。

　?。?）功能和安全性難免存在沖突。在功能和安全性之間有必要進(jìn)行權(quán)衡。工程師愿意接受一定程度的漏洞，以實(shí)現(xiàn)操作人員執(zhí)行任務(wù)所需的功能。對(duì)于武器系統(tǒng)來(lái)說(shuō)，安全與功能之間的適當(dāng)平衡是至關(guān)重要的。

　?。?）威脅在不斷演變和適應(yīng)。網(wǎng)絡(luò)威脅正在迅速演變并適應(yīng)應(yīng)對(duì)措施，因此在任何時(shí)間點(diǎn)實(shí)施的安全解決方案都可能不足以應(yīng)對(duì)未來(lái)的威脅。

　?。?）攻擊者具有優(yōu)勢(shì)。網(wǎng)絡(luò)攻擊者比網(wǎng)絡(luò)防御者具有優(yōu)勢(shì)。鑒于攻擊者只需要發(fā)現(xiàn)并利用一個(gè)系統(tǒng)漏洞，但防御者卻需要考慮并降低整個(gè)系統(tǒng)的風(fēng)險(xiǎn)。因此，網(wǎng)絡(luò)防御不僅資源密集，而且難度更大。

　?。?）每個(gè)新連接都是一個(gè)潛在的漏洞。系統(tǒng)以各種方式相互連接，這樣一個(gè)系統(tǒng)中的漏洞就可能被利用來(lái)訪問(wèn)另一個(gè)系統(tǒng)。攻擊者可以利用非關(guān)鍵組件或第三級(jí)系統(tǒng)中的漏洞訪問(wèn)系統(tǒng)最關(guān)鍵的組件。

　?。?）無(wú)法實(shí)現(xiàn)完全安全。由于網(wǎng)絡(luò)威脅不斷演變和適應(yīng)，而網(wǎng)絡(luò)攻擊者相對(duì)于網(wǎng)絡(luò)防御者有一些優(yōu)勢(shì)，因此完全安全是不現(xiàn)實(shí)的。在資源有限的情況下，決策者必須確定什么樣的安全級(jí)別對(duì)他們的系統(tǒng)和任務(wù)是足夠的。

　　1.2　 有效的武器系統(tǒng)網(wǎng)絡(luò)安全實(shí)踐取決于網(wǎng)絡(luò)安全開發(fā)需求和合同

　　國(guó)防部管理主要國(guó)防采辦項(xiàng)目的政策概述了交付滿足能力差距的武器系統(tǒng)的一系列階段和相關(guān)活動(dòng)。雖然在每個(gè)采購(gòu)階段都有重要的網(wǎng)絡(luò)安全考慮因素，但 GAO 之前的工作已經(jīng)表明，建立可靠的、可行的需求是降低風(fēng)險(xiǎn)、制定成功計(jì)劃的早期關(guān)鍵步驟。通過(guò)招標(biāo)和簽訂合同，采辦項(xiàng)目將這些要求傳達(dá)給開發(fā)和研制系統(tǒng)的承包商。承包商可在需求開發(fā)期間向項(xiàng)目提供重要支持，例如與采辦項(xiàng)目辦公室合作，在合同授予后細(xì)化要求。總體而言，定義需求，然后簽訂滿足這些需求的解決方案，既關(guān)系到網(wǎng)絡(luò)安全需求，也關(guān)系到其他類型的性能需求。圖 1 顯示了國(guó)防部主要采辦項(xiàng)目的流程周期。

　　圖片

　　圖 1 國(guó)防部主要采辦項(xiàng)目流程周期圖

　　1.3　制定武器系統(tǒng)網(wǎng)絡(luò)安全要求有助于項(xiàng)目采辦成功

　　制定滿足軍事需求的要求是成功獲取武器系統(tǒng)的關(guān)鍵組成。網(wǎng)絡(luò)安全要求是系統(tǒng)總體要求的一部分。國(guó)防部采辦政策規(guī)定，網(wǎng)絡(luò)安全是國(guó)防部所有采辦項(xiàng)目的要求之一，必須在采辦周期的所有階段實(shí)施。它還要求采辦項(xiàng)目經(jīng)理將網(wǎng)絡(luò)安全納入系統(tǒng)性能規(guī)范。2015 年《采辦項(xiàng)目經(jīng)理網(wǎng)絡(luò)安全指南》描述了武器系統(tǒng)網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵原則，即“像對(duì)待其他系統(tǒng)需求一樣”對(duì)待網(wǎng)絡(luò)安全需求。

　　自 2015 年以來(lái)，國(guó)防部要求某些采辦項(xiàng)目將網(wǎng)絡(luò)生存能力作為強(qiáng)制性系統(tǒng)生存能力關(guān)鍵性能參數(shù)的一部分，這是一種頂級(jí)項(xiàng)目要求或?qū)傩裕x了武器系統(tǒng)的關(guān)鍵性能目標(biāo)。然而，每個(gè)系統(tǒng)如何實(shí)現(xiàn)網(wǎng)絡(luò)生存能力的細(xì)節(jié)取決于系統(tǒng)的任務(wù)、內(nèi)部和外部通信路徑的數(shù)量和類型，以及它可能面臨的網(wǎng)絡(luò)威脅的類型等。表 1 概述了采辦周期早期的關(guān)鍵需求以及網(wǎng)絡(luò)安全需求在其中的作用。

　　表 1   采辦初期的關(guān)鍵文件和網(wǎng)絡(luò)安全

　　圖片

　　1.4　除非合同明確了網(wǎng)絡(luò)安全要求，否則承包商的解決方案很難符合軍方要求

　　國(guó)防承包商通常設(shè)計(jì)和制造武器系統(tǒng)。這意味著國(guó)防部必須將其要求轉(zhuǎn)化為合同條款和條件，從而在政府和承包商之間建立協(xié)議。武器系統(tǒng)合同通常包括要執(zhí)行工作的成本或價(jià)格，交付物或時(shí)間周期以及性能要求等。國(guó)防部政策要求采購(gòu)項(xiàng)目經(jīng)理確認(rèn)將網(wǎng)絡(luò)安全和系統(tǒng)安全要求納入合同中。網(wǎng)絡(luò)安全要求可能出現(xiàn)在合同的不同地方。合同條款應(yīng)相互補(bǔ)充， 并采用一致的方法來(lái)發(fā)展武器系統(tǒng)。表 2 列出了合同中部分網(wǎng)絡(luò)安全要求。

　　表 2   關(guān)鍵合同文件

　　圖片

　　承包商通常負(fù)責(zé)履行合同條款，因此合同必須反映政府的要求。國(guó)防部指南指出，政府應(yīng)在合同中包含使系統(tǒng)可接受的所有適用條款和條件。這適用于系統(tǒng)的方面，包括性能要求， 例如速度、范圍、容量和網(wǎng)絡(luò)安全性。根據(jù)國(guó)防部指南，合同要求應(yīng)明確，以便政府和承包商對(duì)要執(zhí)行的工作和可接受的效果有共同了解。國(guó)防部指南描述了應(yīng)如何以合同語(yǔ)言規(guī)范要求，包括合同定義要求，確定采用或拒絕的標(biāo)準(zhǔn)以及建立政府將如何驗(yàn)證是否滿足要求的標(biāo)準(zhǔn)。圖 2 顯示按國(guó)防部指導(dǎo)合同應(yīng)該包含的內(nèi)容。

　　圖片

　　圖 2 將網(wǎng)絡(luò)安全納入合同的三方面內(nèi)容

　　1.5　國(guó)防部建立了風(fēng)險(xiǎn)管理框架來(lái)減輕武器系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

　　2014 年，國(guó)防部建立了風(fēng)險(xiǎn)管理框架（RMF），通過(guò)六個(gè)步驟來(lái)管理國(guó)防部包括采辦武器系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在 2015 年的相關(guān)指南中，國(guó)防部指出空軍已經(jīng)將風(fēng)險(xiǎn)管理方法應(yīng)用到了風(fēng)險(xiǎn)管理框架中。國(guó)防部的采購(gòu)政策表明，RMF 可以為國(guó)防部 IT 提供信息，但不能代替國(guó)防部 IT 的采購(gòu)流程。RMF 步驟和相關(guān)活動(dòng)如圖 3 所示。

　　圖片

　　圖 3 國(guó)防部（DOD）風(fēng)險(xiǎn)管理框架的六個(gè)步驟

　　RMF 圍繞識(shí)別、實(shí)施、評(píng)估和管理安全控制而構(gòu)建，安全控制是應(yīng)用于系統(tǒng)的保護(hù)措施和對(duì)策，以保護(hù)系統(tǒng)及信息的機(jī)密性、完整性和可用性。例如，為與系統(tǒng)的每種類型的無(wú)線連接建立保護(hù)是一種防范未授權(quán)訪問(wèn)的保護(hù)措施。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的指導(dǎo)，應(yīng)將安全控制納入系統(tǒng)工程流程中，這是采購(gòu)計(jì)劃滿足其安全要求的計(jì)劃的一部分。根據(jù) NIST，國(guó)防部指南指出，采購(gòu)計(jì)劃應(yīng)基于對(duì)威脅和對(duì)任務(wù)的潛在影響的風(fēng)險(xiǎn)評(píng)估，實(shí)施一套量身定制的安全控制措施。RMF 通常按如下方式實(shí)現(xiàn)。

　　步驟 1：根據(jù)發(fā)生安全漏洞時(shí)，機(jī)密性、完整性和可用性受損所造成的潛在影響（低、中、高）對(duì)系統(tǒng)進(jìn)行分類。

　　步驟 2：根據(jù)武器系統(tǒng)的分類和其他因素選擇武器系統(tǒng)的安全控制。

　　步驟 3：通過(guò)設(shè)計(jì)、生產(chǎn)或部署實(shí)施控件。一些控件（例如加密）已合并到系統(tǒng)的硬件或軟件中。其他控件可能會(huì)從外部來(lái)源或系統(tǒng)的操作方式中繼承。

　　步驟 4：評(píng)估控件以確保其正確實(shí)施。制定、審查和批準(zhǔn)安全控制評(píng)估計(jì)劃，使之與項(xiàng)目的其他測(cè)試和認(rèn)證活動(dòng)保持一致。

　　步驟 5：授權(quán)系統(tǒng)連接到運(yùn)營(yíng)網(wǎng)絡(luò)或其他系統(tǒng)。

　　步驟 6：在操作環(huán)境中監(jiān)視系統(tǒng)，以查看可能會(huì)影響系統(tǒng)安全狀態(tài)的配置更改或可能表明安全控制未有效運(yùn)行的性能指標(biāo)。

　　RMF 步驟是連貫性的，并且大致與一個(gè)或多個(gè)采購(gòu)階段相一致 ; 然而，根據(jù) NIST 指南， 該過(guò)程應(yīng)該是靈活的和迭代的，允許采購(gòu)項(xiàng)目根據(jù)新的信息或環(huán)境進(jìn)行調(diào)整。例如，第 4 步的評(píng)估結(jié)果可能需要重新評(píng)估第 3 步的控制措施。圖 4 展示了 RMF 步驟與主要國(guó)防采購(gòu)項(xiàng)目采購(gòu)流程的總體概況。

　　圖片

　　圖 4  美國(guó)國(guó)防部采購(gòu)流程中的風(fēng)險(xiǎn)管理框架

　　0２

　　國(guó)防部及軍種已采取行動(dòng)改善武器系統(tǒng)網(wǎng)絡(luò)安全

　　近年來(lái)，國(guó)防部在改善武器系統(tǒng)網(wǎng)絡(luò)安全方面取得了長(zhǎng)足的進(jìn)步，大致表現(xiàn)在四個(gè)方面：增加獲取網(wǎng)絡(luò)專業(yè)知識(shí)的機(jī)會(huì)、更多地使用網(wǎng)絡(luò)評(píng)估、更好地制定安全控制以及額外的網(wǎng)絡(luò)安全指導(dǎo)。

　　2.1　更多地獲取網(wǎng)絡(luò)專業(yè)知識(shí)

　　國(guó)防部的采購(gòu)人員在拓展網(wǎng)絡(luò)安全專業(yè)知識(shí)方面面臨長(zhǎng)期挑戰(zhàn)，國(guó)防部在其運(yùn)營(yíng)測(cè)試辦公室 2019 年年度報(bào)告中指出，國(guó)防部的網(wǎng)絡(luò)測(cè)試團(tuán)隊(duì)與國(guó)家威脅之間的能力差距越來(lái)越大。采購(gòu)項(xiàng)目很難在設(shè)計(jì)過(guò)程早期就將專家與網(wǎng)絡(luò)安全測(cè)試工作技能結(jié)合起來(lái)，而這將有助于提高測(cè)試質(zhì)量。

　　五個(gè)武器系統(tǒng)的負(fù)責(zé)人表示，盡管在招聘和保留網(wǎng)絡(luò)安全人員方面遇到了一些挑戰(zhàn)，但這并不影響獲得更多的網(wǎng)絡(luò)安全專業(yè)知識(shí)，這個(gè)問(wèn)題在 2018 年還是比較明顯地存在著。盡管本次審查中被發(fā)現(xiàn)和指出了這種挑戰(zhàn)仍然存在， 但是明顯在可控范圍內(nèi)。

　　2.2　增強(qiáng)網(wǎng)絡(luò)評(píng)估

　　過(guò)去在向國(guó)防部的報(bào)告中曾提到武器系統(tǒng)網(wǎng)絡(luò)安全評(píng)估的缺乏和不足的問(wèn)題，特別是在2018 年 10 月發(fā)現(xiàn)缺乏測(cè)試意味著程序在開發(fā)過(guò)程中的后期發(fā)現(xiàn)基本的網(wǎng)絡(luò)安全問(wèn)題修復(fù)成本將更高。

　　2020 年 3 月，國(guó)防部透露在其去年內(nèi)進(jìn)行了兩次對(duì)抗性評(píng)估和兩次合作脆弱性評(píng)估，并且根據(jù)這些評(píng)估的結(jié)果，對(duì)設(shè)計(jì)進(jìn)行了更改。越來(lái)越多地使用網(wǎng)絡(luò)安全評(píng)估是一個(gè)積極的進(jìn)展，并且可以幫助程序盡早發(fā)現(xiàn)漏洞。但是， 僅僅是評(píng)估并不能獲得更好的效果，比如在某些系統(tǒng)的多輪測(cè)試中都發(fā)現(xiàn)了相同的漏洞，首次發(fā)現(xiàn)這些漏洞后并未得到妥善解決。

　　除了專業(yè)的網(wǎng)絡(luò)安全知識(shí)和網(wǎng)絡(luò)評(píng)估，國(guó)防部和軍事部還描述了其在兩個(gè)領(lǐng)域的進(jìn)展：網(wǎng)絡(luò)安全控制和 RMF 的改進(jìn)指導(dǎo)，以及更好地為采購(gòu)項(xiàng)目量身定制安全控制。

　　2.3　更好地定制安全控制

　　服務(wù)在針對(duì)類似類型定制 RMF 安全控制方面取得了進(jìn)展。負(fù)責(zé)采購(gòu)的官員表示，選擇控制是 RMF 的第二步，因?yàn)橛锌赡艽嬖诖罅康臐撛诳刂埔约皩⑵鋺?yīng)用于各種復(fù)雜系統(tǒng)的復(fù)雜性， 這可能是一個(gè)困難的過(guò)程。上述大約 300 ～ 500 個(gè)控件的基準(zhǔn)集只是一個(gè)起點(diǎn)，因此程序可能需要根據(jù)其特定需要添加或刪除控件。為了應(yīng)對(duì)這一挑戰(zhàn)，國(guó)防部?jī)?nèi)部組織已經(jīng)開始開發(fā)控制“覆蓋層”（overlay）來(lái)幫助項(xiàng)目量身定制控制。覆蓋層是對(duì)基準(zhǔn)線的一組專門調(diào)整，可以應(yīng)用于類似類型系統(tǒng)的采集程序。多個(gè)實(shí)際案例表明，更多制定的覆蓋層將有助于簡(jiǎn)化確定和證明控件是否適用于系統(tǒng)。

　　2.4　新修訂的網(wǎng)絡(luò)安全指南

　　國(guó)防部和各軍種都發(fā)布了實(shí)施 RMF 的詳細(xì)政策或指導(dǎo)。雖然國(guó)防部的政策廣泛地定義了武器系統(tǒng)的采購(gòu)工作和網(wǎng)絡(luò)安全目標(biāo)，但軍種在開發(fā)和發(fā)布補(bǔ)充性指南方面發(fā)揮了作用，如有必要可在軍種的采購(gòu)范疇內(nèi)實(shí)施。

　　2016 年 12 月，美國(guó)海軍發(fā)布 RMF 流程指南，其中包括執(zhí)行 RMF 的采購(gòu)項(xiàng)目的特定軍種指南。

　　2017 年 2 月，美國(guó)空軍發(fā)布 RMF 實(shí)施指南， 其中包括指南要求的項(xiàng)目應(yīng)確保所有安全控制通過(guò)系統(tǒng)安全工程轉(zhuǎn)化為安全要求的指南。

　　2017 年 7 月，海軍陸戰(zhàn)隊(duì)制定 RMF 實(shí)施指南，其中包括 RMF 流程的概述。

　　最后，2019 年 4 月， 陸軍發(fā)布實(shí)施 RMF 的指導(dǎo)意見(jiàn)，其中包括了各自的角色和職責(zé)。

　　03

　　審查的項(xiàng)目合同中網(wǎng)絡(luò)安全要求情況

　　盡管已經(jīng)采取了一些步驟，但國(guó)防部在改善武器系統(tǒng)的網(wǎng)絡(luò)安全方面仍面臨著挑戰(zhàn)。尤其是，國(guó)防部仍在探索如何在合同中明確武器系統(tǒng)網(wǎng)絡(luò)安全，同時(shí)此次審查的項(xiàng)目也設(shè)法將系統(tǒng)的網(wǎng)絡(luò)安全要求納入合同。

　　3.1　審查的采辦項(xiàng)目合同并未包括網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程

　　此次審查的采購(gòu)項(xiàng)目合同在網(wǎng)絡(luò)安全要求方面存在疏漏，或是在合同中沒(méi)有明確定義網(wǎng)絡(luò)安全要求。

　　3.1.1　審查的合同并未都明確了網(wǎng)絡(luò)安全要求

　　此次審查的五份武器系統(tǒng)合同中有三份在授予合同時(shí)未明確網(wǎng)絡(luò)安全要求，GAO 無(wú)法評(píng)估兩份合同網(wǎng)絡(luò)安全要求的完整性。例如，其中一個(gè)項(xiàng)目提及網(wǎng)絡(luò)安全戰(zhàn)略，識(shí)別 RMF 類別， 并描述該項(xiàng)目將如何選擇安全控制。然而，當(dāng)合同授予時(shí)，工作說(shuō)明、系統(tǒng)規(guī)范或合同交付物中并未包括網(wǎng)絡(luò)安全要求。

　　審查的五份合同中，有三份在授予后進(jìn)行了修改，增加了網(wǎng)絡(luò)安全要求。其中一份合同包括詳細(xì)的網(wǎng)絡(luò)安全要求。然而，其他兩份合同只在一般聲明中闡述了該系統(tǒng)應(yīng)與國(guó)防部網(wǎng)絡(luò)安全政策相一致。一些承包商在交流過(guò)程中表示，建議書中通常會(huì)包含網(wǎng)絡(luò)安全的一般性聲明，如“網(wǎng)絡(luò)彈性”或“遵守 RMF”，但承包商認(rèn)為此類聲明提供的信息有限，他們無(wú)法確定政府想要什么系統(tǒng)或如何設(shè)計(jì)系統(tǒng)。

　　與網(wǎng)絡(luò)需求相比，其他類型的系統(tǒng)需求包含了更多的細(xì)節(jié)。GAO 審查的一份合同規(guī)定了系統(tǒng)在空運(yùn)、陸運(yùn)和海運(yùn)時(shí)必須承受的振動(dòng)次數(shù)，包括在帶有噴氣發(fā)動(dòng)機(jī)和螺旋槳的飛機(jī)上運(yùn)輸時(shí)的單獨(dú)要求。同時(shí)還明確了與灰塵、沙子、真菌以及許多系統(tǒng)設(shè)計(jì)和性能的其他方面有關(guān)的非網(wǎng)絡(luò)安全要求。GAO 審查的另一份合同列出了一般要求，比如系統(tǒng)不應(yīng)該有任何尖銳的邊緣，以免操作人員誤傷。然而，這兩份合同都沒(méi)有包括任何詳細(xì)的網(wǎng)絡(luò)安全要求。

　　3.1.2　審查的合同并未明確驗(yàn)收標(biāo)準(zhǔn)

　　此次審查的武器系統(tǒng)合同，在合同授予之初并沒(méi)有客觀地定義網(wǎng)絡(luò)安全措施，并明確采用或拒絕該系統(tǒng)的依據(jù)。如果要求某型車輛至少以每小時(shí) 60 英里的速度行駛，而它只實(shí)現(xiàn)每小時(shí) 55 英里，承包商就沒(méi)有達(dá)到要求。GAO 審查的合同中只有一份明確了詳細(xì)的網(wǎng)絡(luò)安全要求，這些要求通常確定了系統(tǒng)必須具有的特定安全控制，而不是基于性能的要求。一個(gè)項(xiàng)目辦公室的官員說(shuō)，他們?cè)噲D使用基于性能的要求， 但無(wú)法與承包商達(dá)成協(xié)議。國(guó)防部和承包商官員說(shuō)，許多合同要求聚焦于系統(tǒng)必備的網(wǎng)絡(luò)安全控制策略，而不是國(guó)防部預(yù)期想要的結(jié)果，如阻止未經(jīng)授權(quán)的用戶訪問(wèn)系統(tǒng)。然而，正如之前所報(bào)道的，控制應(yīng)用并不意味著系統(tǒng)是安全的?？刂票仨氄_實(shí)施，然后測(cè)試其有效性。

　　3.1.3　審查的合同并未明確如何驗(yàn)證網(wǎng)絡(luò)安全要求

　　在選定的五個(gè)項(xiàng)目合同中，GAO 沒(méi)有發(fā)現(xiàn)任何可以證明項(xiàng)目官員在授予合同時(shí)就明確指出將如何驗(yàn)證網(wǎng)絡(luò)安全要求的例子。國(guó)防部強(qiáng)調(diào)了建立標(biāo)準(zhǔn)對(duì)于衡量承包商績(jī)效的重要性。明確客觀標(biāo)準(zhǔn)一來(lái)可以確保網(wǎng)絡(luò)安全要求清晰明確，二來(lái)也提供了一種機(jī)制來(lái)驗(yàn)證承包商是否滿足要求。對(duì)于其他系統(tǒng)需求，此次審查的合同通常確定了一些性能要求，以及政府將如何驗(yàn)證要求達(dá)標(biāo)。例如，在一份合同中，GAO 審查了指定的燃油效率，然后描述了地形類型以及系統(tǒng)在測(cè)試期間的運(yùn)行速度。然而，GAO 沒(méi)有看到網(wǎng)絡(luò)安全要求方面的驗(yàn)證細(xì)節(jié)，且審查的合同中只有一份有詳細(xì)的網(wǎng)絡(luò)安全要求。

　　3.1.4　各軍種表示網(wǎng)絡(luò)安全要求是一個(gè)普遍的挑戰(zhàn)

　　國(guó)防部和軍種官員普遍認(rèn)為，在合同中明確有效的網(wǎng)絡(luò)安全要求對(duì)采購(gòu)項(xiàng)目來(lái)說(shuō)是一個(gè)挑戰(zhàn)。國(guó)防部一位高級(jí)官員表示，對(duì)網(wǎng)絡(luò)安全要求進(jìn)行標(biāo)準(zhǔn)化是很難的，國(guó)防部需要與用戶更好地溝通網(wǎng)絡(luò)安全要求和系統(tǒng)工程，因?yàn)橛脩魧⒆罱K決定系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是否可以接受。國(guó)防部另一位高級(jí)官員表示，缺乏明確的網(wǎng)絡(luò)安全要求，給理解和執(zhí)行網(wǎng)絡(luò)安全帶來(lái)了挑戰(zhàn)。海軍官員舉了一個(gè)例子，某項(xiàng)目執(zhí)行辦公室在一份合同中列出了全面和詳細(xì)的網(wǎng)絡(luò)安全要求清單，但卻指出這在海軍內(nèi)部算是一個(gè)例外情況。

　　3.2　軍種的大多數(shù)指南不涉及網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證流程

　　目前除了空軍，各軍種的指南沒(méi)有明確采購(gòu)項(xiàng)目合同應(yīng)該如何規(guī)范武器系統(tǒng)的網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程，而這正是國(guó)防部和項(xiàng)目官員認(rèn)為有利于加強(qiáng)系統(tǒng)網(wǎng)絡(luò)安全的地方。如上所述，自 2014 年國(guó)防部制定政策以來(lái)， 各軍種制定了一系列 RMF 實(shí)施指南；將網(wǎng)絡(luò)安全要求納入合同至關(guān)重要，然而當(dāng)前軍種的指南在這方面普遍存在缺失或不完整。

　　3.2.1　美國(guó)陸軍的政策和指南并未反映如何在合同中納入網(wǎng)絡(luò)安全要求

　　陸軍高層討論了政策和指南中的網(wǎng)絡(luò)安全要求，但沒(méi)有詳細(xì)說(shuō)明采購(gòu)項(xiàng)目應(yīng)如何在合同中納入網(wǎng)絡(luò)安全要求。根據(jù)國(guó)防部的政策和指南，陸軍在其政策和指南中強(qiáng)調(diào)了 RMF 在采購(gòu)項(xiàng)目中的安全控制和網(wǎng)絡(luò)安全要求的必要性，然而卻并未詳細(xì)說(shuō)明采辦項(xiàng)目應(yīng)如何將網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證流程納入合同。2019 年，陸軍對(duì)其相關(guān)規(guī)定進(jìn)行了重大調(diào)整， 要求高級(jí)領(lǐng)導(dǎo)人在采購(gòu)中整合網(wǎng)絡(luò)安全，并要求合同中涵蓋確保陸軍 IT 系統(tǒng)網(wǎng)絡(luò)安全的具體要求，包括武器系統(tǒng)。但是，規(guī)定沒(méi)有細(xì)化如何開展。

　　2019 年，陸軍還發(fā)布了采辦項(xiàng)目網(wǎng)絡(luò)安全策略的新指南，支撐采辦項(xiàng)目實(shí)現(xiàn)網(wǎng)絡(luò)安全要求。除其他事項(xiàng)外，該指南明確了項(xiàng)目網(wǎng)絡(luò)安全策略的內(nèi)容，如對(duì)網(wǎng)絡(luò)安全要求的描述以及在合同中納入這些要求的計(jì)劃，但未說(shuō)明采購(gòu)項(xiàng)目應(yīng)如何制定這些內(nèi)容。

　　3.2.2　美國(guó)海軍的政策和指南并未反映出如何在合同中納入網(wǎng)絡(luò)安全要求

　　海軍的政策和指南強(qiáng)調(diào)了將網(wǎng)絡(luò)安全納入武器系統(tǒng)采辦過(guò)程的必要性，但沒(méi)有具體說(shuō)明如何在合同中納入網(wǎng)絡(luò)安全要求。海軍采購(gòu)項(xiàng)目網(wǎng)絡(luò)安全管理政策指出，海軍實(shí)施 RMF 為其提供了一個(gè)觀念，即確保網(wǎng)絡(luò)安全是海軍 IT 系統(tǒng)工程不可或缺的一部分，其中包括武器系統(tǒng)采辦。然而，該政策和相關(guān)指南并未涉及如何將網(wǎng)絡(luò)安全要求或安全控制納入合同。

　　海軍空中系統(tǒng)司令部（NAVAIR）負(fù)責(zé)監(jiān)督海軍航空項(xiàng)目的五個(gè)項(xiàng)目執(zhí)行辦公室，已開發(fā)了一套指南來(lái)幫助采購(gòu)項(xiàng)目更好地與承包商溝通其網(wǎng)絡(luò)安全和 RMF 要求。例如，NAVAIR 開發(fā)了標(biāo)準(zhǔn)合同語(yǔ)言和相關(guān)流程，在采購(gòu)項(xiàng)目的合同授予后不久，政府和承包商的網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)就系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題召開會(huì)議，目的是完成 RMF 的前兩個(gè)步驟：分類和控制選擇。

　　NAVAIR 的聲明中還要求承包商在合同授予后不久交付一份網(wǎng)絡(luò)安全戰(zhàn)略實(shí)施計(jì)劃，詳細(xì)說(shuō)明承包商將如何實(shí)現(xiàn)項(xiàng)目在網(wǎng)絡(luò)安全方面的目標(biāo)。

　　3.2.3　美國(guó)海軍陸戰(zhàn)隊(duì)的政策和指南并未反映出如何在合同中納入網(wǎng)絡(luò)安全要求

　　與陸軍和海軍類似，海軍陸戰(zhàn)隊(duì)在網(wǎng)絡(luò)安全和 RMF 實(shí)施方面的政策并未明確規(guī)定如何在合同中納入網(wǎng)絡(luò)安全要求。相關(guān)政策指導(dǎo)采購(gòu)項(xiàng)目經(jīng)理需確保網(wǎng)絡(luò)安全要求得已明確，并將網(wǎng)絡(luò)安全集成到系統(tǒng)設(shè)計(jì)、開發(fā)和實(shí)施過(guò)程中。該政策還明確 RMF 安全控制作為安全需求，應(yīng)該通過(guò)系統(tǒng)工程來(lái)細(xì)化。然而，該政策并沒(méi)有明確如何將網(wǎng)絡(luò)安全要求或 RMF 安全控制納入合同。一名海軍陸戰(zhàn)隊(duì)高級(jí)官員表示，在簽訂合同之初明確網(wǎng)絡(luò)安全至關(guān)重要，迄今為止海軍陸戰(zhàn)隊(duì)在這方面做出了努力，但仍是其項(xiàng)目采購(gòu)部門需改進(jìn)的領(lǐng)域。

　　3.2.4　美國(guó)空軍已制定指南將網(wǎng)絡(luò)安全要求納入合同

　　空軍內(nèi)部最近發(fā)布了針對(duì)將網(wǎng)絡(luò)安全要求納入合同的指南，部分是利用現(xiàn)有部門政策和指導(dǎo)。雖然空軍實(shí)施 RMF 的政策強(qiáng)調(diào)了使用系統(tǒng)工程將 RMF 安全控制納入系統(tǒng)需求的重要性，但它沒(méi)有細(xì)化如何將這些需求納入合同。2019 年，空軍武器系統(tǒng)網(wǎng)絡(luò)彈性辦公室（CROWS）開發(fā)了空軍武器系統(tǒng)項(xiàng)目保護(hù)和系統(tǒng)安全工程指南（以下簡(jiǎn)稱 CROWS 指南）。CROWS 指南將不同的國(guó)防部和空軍指令或指南合并為一個(gè)獨(dú)立的文件，同時(shí)也提供更詳細(xì)的解釋和實(shí)施建議。CROWS 指南還提供了示例， 如項(xiàng)目說(shuō)明書應(yīng)要求承包商使用建模和仿真來(lái)驗(yàn)證規(guī)范，并應(yīng)確保政府有機(jī)會(huì)參與到所有的測(cè)試中去。

　　04

　　結(jié)　論

　　自 2018 年 GAO 發(fā)布武器系統(tǒng)網(wǎng)絡(luò)安全研究報(bào)告以來(lái)，國(guó)防部致力于將網(wǎng)絡(luò)安全納入采購(gòu)過(guò)程，并取得了一些進(jìn)展。宏觀層面上，雖然各軍種附加的網(wǎng)絡(luò)安全指南和資源有助于進(jìn)一步將網(wǎng)絡(luò)安全實(shí)踐融入國(guó)防部文化。然而， GAO 審查發(fā)現(xiàn)，附加的指南并沒(méi)有解決如何有效地將網(wǎng)絡(luò)安全概念轉(zhuǎn)化為合同中詳細(xì)具體要求的問(wèn)題，網(wǎng)絡(luò)安全要求應(yīng)與其他系統(tǒng)要求處于同等重要的地位。尤其是，在各軍種關(guān)于將網(wǎng)絡(luò)安全納入采購(gòu)的指南中未說(shuō)明項(xiàng)目應(yīng)如何在合同中明確網(wǎng)絡(luò)安全要求，并提供明確的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證方法?？哲娨呀?jīng)采取了積極的行動(dòng)，通過(guò)制定內(nèi)部指南將項(xiàng)目特定的網(wǎng)絡(luò)安全要求納入合同。陸軍、海軍和海軍陸戰(zhàn)隊(duì)未來(lái)也可借鑒空軍的做法。正如空軍利用現(xiàn)有的政策和指南一樣，陸軍、海軍和海軍陸戰(zhàn)隊(duì)也可以采用現(xiàn)有的資源來(lái)實(shí)現(xiàn)其采購(gòu)的網(wǎng)絡(luò)安全需求。在采取這些措施之前，項(xiàng)目將繼續(xù)面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，合同中有可能未對(duì)詳細(xì)具體的網(wǎng)絡(luò)安全要求進(jìn)行明確。

　　0５

　　行動(dòng)建議

　　GAO 提出了三條建議，其中一條是給陸軍的，另兩條是給海軍的，具體如下。

　　建議 1：陸軍部長(zhǎng)應(yīng)該為采購(gòu)項(xiàng)目制定指南，明確如何將特定的武器系統(tǒng)網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程納入合同。

　　建議 2：海軍部長(zhǎng)應(yīng)該為采購(gòu)項(xiàng)目制定指南，明確如何將特定的武器系統(tǒng)網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程納入合同。

　　建議 3：海軍部長(zhǎng)應(yīng)采取措施，確保海軍陸戰(zhàn)隊(duì)為采購(gòu)項(xiàng)目制定指南，明確如何將特定的武器系統(tǒng)網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程納入合同。