2021年3月4日，美國(guó)政府問責(zé)辦公室GAO發(fā)布《武器系統(tǒng)網(wǎng)絡(luò)安全指南》，稱國(guó)防部在改善武器平臺(tái)的網(wǎng)絡(luò)保護(hù)方面取得了重要進(jìn)展，但仍需要在武器系統(tǒng)合同中提高對(duì)網(wǎng)絡(luò)安全的要求。報(bào)告首先闡述了國(guó)防部將網(wǎng)絡(luò)安全融入武器系統(tǒng)研制之初取得的進(jìn)展；其次審查了國(guó)防部和各軍種將武器系統(tǒng)網(wǎng)絡(luò)安全要求納入合同或指南的情況；最后為陸軍、 海軍和海軍陸戰(zhàn)隊(duì)如何將定制的網(wǎng)絡(luò)安全要求納入采辦合同提出了建議。

　　一

　　報(bào)告發(fā)布的背景及主要內(nèi)容

　　近年來，網(wǎng)絡(luò)攻擊日益復(fù)雜化、智能化的發(fā)展趨勢(shì)使武器系統(tǒng)面臨前所未有的網(wǎng)絡(luò)安全威脅，作為網(wǎng)絡(luò)空間領(lǐng)頭羊的美國(guó)，逐漸意識(shí)到美軍的武器系統(tǒng)存在較大的安全漏洞，開始進(jìn)一步關(guān)注武器系統(tǒng)的網(wǎng)絡(luò)安全問題，國(guó)防部陸陸續(xù)續(xù)地發(fā)布或更新了若干關(guān)于改進(jìn)武器系統(tǒng)網(wǎng)絡(luò)安全的政策、指導(dǎo)文件和備忘錄，以更好地將網(wǎng)絡(luò)安全納入采購(gòu)過程，使武器系統(tǒng)更具網(wǎng)絡(luò)彈性。這其實(shí)與國(guó)防部在2018年網(wǎng)絡(luò)戰(zhàn)略中的承諾相一致，即“保護(hù)自己的網(wǎng)絡(luò)、系統(tǒng)和信息免受惡意網(wǎng)絡(luò)活動(dòng)的影響”，并“確保美國(guó)軍隊(duì)在包括網(wǎng)絡(luò)空間在內(nèi)的任何領(lǐng)域打擊和打贏戰(zhàn)爭(zhēng)的能力”。正如新發(fā)布的指南所言，國(guó)防部在提高武器系統(tǒng)網(wǎng)絡(luò)安全方面的成功取決于軍事服務(wù)和采購(gòu)部門在多大程度上實(shí)施這些變革。

　　早在2017年3月美國(guó)防部公布的報(bào)告就指出，目前美國(guó)軍方的大部分武器系統(tǒng)沒有采取任何旨在保護(hù)其硬件組件免受網(wǎng)絡(luò)攻擊侵?jǐn)_的措施，而且可能已經(jīng)被植入后門，這意味著其很可能在實(shí)際作戰(zhàn)中無法發(fā)揮作用，甚至能被敵方所利用，使美方武器陷入癱瘓。報(bào)告還指出，通常武器系統(tǒng)配置在很長(zhǎng)一段時(shí)間內(nèi)不會(huì)改動(dòng)，那些存在安全漏洞的微電子元件或已經(jīng)被敵方勢(shì)力掌握相關(guān)漏洞信息，或被利用。2018年10月GAO發(fā)布的《武器系統(tǒng)網(wǎng)絡(luò)安全》報(bào)告指出美國(guó)國(guó)防部開發(fā)的大多數(shù)武器系統(tǒng)存在安全漏洞，攻擊者可以控制這些武器系統(tǒng)，甚至破壞其功能。報(bào)告從武器系統(tǒng)網(wǎng)絡(luò)安全存在的問題、武器系統(tǒng)的脆弱性、國(guó)防部的應(yīng)對(duì)措施等方面討論了如何開發(fā)更安全的武器系統(tǒng)。2020年5月，美國(guó)國(guó)際戰(zhàn)略研究中心（CSIS）指出新冠疫情后，不應(yīng)因預(yù)算收緊影響美國(guó)國(guó)防部?jī)?yōu)先提高武器系統(tǒng)的網(wǎng)絡(luò)安全，美國(guó)網(wǎng)絡(luò)空間日光浴委員會(huì)建議疫情過后要優(yōu)先對(duì)武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，建立永久性評(píng)估制度，確保排除武器系統(tǒng)內(nèi)任何漏洞。

　　經(jīng)過國(guó)防部的不懈努力，美軍目前武器系統(tǒng)的網(wǎng)絡(luò)安全狀況相較于3年前得到了較大改善，但是GAO卻發(fā)現(xiàn)武器系統(tǒng)采辦合同中忽略了對(duì)網(wǎng)絡(luò)安全的要求，缺乏網(wǎng)絡(luò)安全的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過程，這為危險(xiǎn)的網(wǎng)絡(luò)攻擊打開了大門。因此GAO希望能夠借助網(wǎng)絡(luò)安全指南的頒布，進(jìn)一步提升美軍武器系統(tǒng)的網(wǎng)絡(luò)安全性。作為2018版本的延續(xù)，本報(bào)告著重強(qiáng)調(diào)了一個(gè)被遺漏的關(guān)鍵細(xì)節(jié)--武器采辦合同的網(wǎng)絡(luò)安全要求，報(bào)告稱通過對(duì)美軍的雷達(dá)項(xiàng)目、反干擾器、艦艇、地面車輛和導(dǎo)彈等五種武器系統(tǒng)的采辦進(jìn)行了審查，發(fā)現(xiàn)現(xiàn)有的網(wǎng)絡(luò)安全措施比2018年充分，經(jīng)過了更充分的網(wǎng)絡(luò)評(píng)估，使用了額外的網(wǎng)絡(luò)安全指南，并根據(jù)任務(wù)需要改進(jìn)了網(wǎng)絡(luò)需求，在服務(wù)定制方面取得了進(jìn)展。但仍然有三個(gè)在合同授予中沒有任何網(wǎng)絡(luò)安全要求，因此武器的網(wǎng)絡(luò)安全措施還不夠，需要加強(qiáng)。指南由此特別指出，簽訂網(wǎng)絡(luò)安全要求是武器合同的關(guān)鍵，這些要求應(yīng)該像其他類型的系統(tǒng)要求一樣對(duì)待。網(wǎng)絡(luò)安全要求應(yīng)在采購(gòu)計(jì)劃合同中定義，并應(yīng)建立接受或拒絕工程的標(biāo)準(zhǔn)，以及政府如何驗(yàn)證要求已得到滿足的標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全要求標(biāo)準(zhǔn)化很困難，國(guó)防部需要更好地向用戶傳達(dá)網(wǎng)絡(luò)安全要求和系統(tǒng)工程，以決定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是否可以接受。最后建議陸軍、海軍和海軍陸戰(zhàn)隊(duì)制定采購(gòu)計(jì)劃指南，將量身定制的武器系統(tǒng)網(wǎng)絡(luò)安全要求，驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過程納入合同。從中我們不難看出，面臨日益嚴(yán)峻的網(wǎng)絡(luò)威脅，國(guó)防部將會(huì)在未來采取更為積極的措施，提高武器系統(tǒng)的網(wǎng)絡(luò)安全。

　　二

　　美軍武器系統(tǒng)面臨著網(wǎng)絡(luò)威脅

　　美軍在保護(hù)武器系統(tǒng)免受網(wǎng)絡(luò)威脅方面面臨巨大挑戰(zhàn)，這主要是由于武器系統(tǒng)網(wǎng)絡(luò)化、軟件化的發(fā)展趨勢(shì)、武器系統(tǒng)自身存在安全問題、武器系統(tǒng)網(wǎng)絡(luò)安全保護(hù)起步較晚以及對(duì)武器系統(tǒng)安全性理解不夠等多方面原因造成的。

　　2.1 武器系統(tǒng)的網(wǎng)絡(luò)化、軟件化發(fā)展趨勢(shì)使其更容易遭受網(wǎng)絡(luò)攻擊

　　現(xiàn)代戰(zhàn)場(chǎng)比以往任何時(shí)候都更加互聯(lián)互通，武器系統(tǒng)要依靠連接才具有作戰(zhàn)能力，網(wǎng)絡(luò)化是保持國(guó)防部作戰(zhàn)能力的基礎(chǔ)，這些連接的網(wǎng)絡(luò)直接關(guān)系到美軍能否成功執(zhí)行任務(wù)，獲取信息優(yōu)勢(shì)，掌握全球指揮與控制權(quán)并進(jìn)行遠(yuǎn)程打擊。正如指南所言，國(guó)防部目前開發(fā)和部署了越來越多的軟件密集型網(wǎng)絡(luò)化武器系統(tǒng)，以此作為獲得作戰(zhàn)優(yōu)勢(shì)的一種手段。而每個(gè)連接都是潛在的漏洞，系統(tǒng)以各種方式相互連接，一個(gè)系統(tǒng)的漏洞可能被利用來訪問另一個(gè)系統(tǒng)。攻擊者可能利用非關(guān)鍵組件或第三級(jí)系統(tǒng)中的漏洞來訪問系統(tǒng)中最關(guān)鍵的組件。同時(shí)，伴隨著武器系統(tǒng)網(wǎng)絡(luò)化的發(fā)展趨勢(shì)，武器系統(tǒng)中的軟件數(shù)量也正在呈指數(shù)級(jí)增長(zhǎng)，并嵌入在無數(shù)子系統(tǒng)中，幾乎其所有功能都是由計(jì)算機(jī)控制的，從最基本的生命支持功能到攔截發(fā)射的導(dǎo)彈。從網(wǎng)絡(luò)安全的角度來講，越來越依賴網(wǎng)絡(luò)和軟件明顯增加了武器系統(tǒng)的攻擊面，使武器系統(tǒng)更容易遭受網(wǎng)絡(luò)攻擊。此外，目前舊武器平臺(tái)占據(jù)國(guó)防部絕大多數(shù)，且比新武器系統(tǒng)更易受到網(wǎng)絡(luò)攻擊。

　　2.2武器系統(tǒng)自身存在網(wǎng)絡(luò)安全問題

　　據(jù)美媒披露，美軍整一代武器系統(tǒng)存在廣泛的網(wǎng)絡(luò)安全缺陷，甚至美軍最先進(jìn)的武器系統(tǒng)一樣存在著網(wǎng)絡(luò)安全漏洞，在戰(zhàn)場(chǎng)上使用存在網(wǎng)絡(luò)安全漏洞的先進(jìn)武器很容易被對(duì)手接管，甚至?xí)粚?duì)手利用來打擊己方部隊(duì)，而一旦核心系統(tǒng)被攻陷，所有的軍事信息傳輸數(shù)據(jù)鏈都將癱瘓。

　　作為美陸軍最新一代主戰(zhàn)裝備的斯特賴克裝甲車近期就被爆出在數(shù)據(jù)共享、導(dǎo)航和數(shù)字通信等系統(tǒng)存在致命的網(wǎng)絡(luò)漏洞，容易成為黑客突破的環(huán)節(jié)；F-35戰(zhàn)斗機(jī)也存在系統(tǒng)默認(rèn)密碼過于簡(jiǎn)單的問題，黑客只需要9秒就能將其破解，取得飛機(jī)控制權(quán)，其過于開放性的航電架構(gòu)也容易成為黑客入侵目標(biāo)；美國(guó)防部督察長(zhǎng)辦公室在2018年發(fā)布的一份報(bào)告稱美反導(dǎo)系統(tǒng)網(wǎng)絡(luò)安全堪憂，這些漏洞可能使美國(guó)的對(duì)手得以避開導(dǎo)彈防御系統(tǒng)，從而使美國(guó)遭遇導(dǎo)彈襲擊。對(duì)此，美國(guó)一位網(wǎng)絡(luò)安全專家表示，以高科技為核心的美軍武器系統(tǒng)正面臨致命的網(wǎng)絡(luò)安全威脅，如果放任不管，美軍的技術(shù)優(yōu)勢(shì)將喪失殆盡。美軍在網(wǎng)絡(luò)安全領(lǐng)域大筆投入，但最基本的安全措施卻被忽略掉。

　　2.3 武器系統(tǒng)網(wǎng)絡(luò)安全保護(hù)起步晚

　　以往，網(wǎng)絡(luò)安全并不是武器系統(tǒng)開發(fā)過程中的重點(diǎn)，美軍在武器系統(tǒng)研發(fā)和采辦的過程中都沒有將網(wǎng)絡(luò)安全要求納入其中，沒有將網(wǎng)絡(luò)抗毀能力納入關(guān)鍵性能參數(shù)中。因此從一開始就忽略了網(wǎng)絡(luò)安全要求，系統(tǒng)都是在沒有充分考慮網(wǎng)絡(luò)安全的情況下設(shè)計(jì)和建造的，這使得這些武器系統(tǒng)自身面臨著巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，極易成為敵人的攻擊目標(biāo)。

　　近幾年來，美軍才開始重視武器系統(tǒng)的網(wǎng)絡(luò)安全問題，將其納入武器系統(tǒng)的全生命周期。2016年國(guó)防部啟動(dòng)了網(wǎng)絡(luò)安全漏洞的評(píng)估；2017年國(guó)防部要求在采辦初始階段通過定義網(wǎng)絡(luò)安全要求，解決武器系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全問題，并在整個(gè)采辦過程中持續(xù)評(píng)估和消減武器系統(tǒng)內(nèi)的安全漏洞。國(guó)防部還要求對(duì)2017年之前投入使用的武器系統(tǒng)也要進(jìn)行網(wǎng)絡(luò)安全評(píng)估。2019年，軍方確立了武器系統(tǒng)內(nèi)部網(wǎng)絡(luò)漏洞評(píng)估的制度，并撥款2.2億美元（陸軍、海軍和空軍分別為8800萬、4800萬 和8500萬美元）用于網(wǎng)絡(luò)漏洞評(píng)估，但新冠疫情中斷了該項(xiàng)工作。

　　2.4 對(duì)武器系統(tǒng)安全性的理解存在誤區(qū)

　　武器系統(tǒng)和傳統(tǒng)的IT信息基礎(chǔ)設(shè)施一樣也容易受到網(wǎng)絡(luò)攻擊。即使武器系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)進(jìn)行物理隔離，網(wǎng)絡(luò)攻擊者也還是可以利用無線電、雷達(dá)和保障端口等對(duì)外接口侵入武器系統(tǒng)內(nèi)，訪問武器系統(tǒng)內(nèi)部的計(jì)算機(jī)，破壞武器系統(tǒng)的正常運(yùn)行。傳統(tǒng)上，網(wǎng)絡(luò)安全工作主要集中在IT層面而不是武器系統(tǒng)內(nèi)部。國(guó)防部最新的網(wǎng)絡(luò)安全計(jì)劃-網(wǎng)絡(luò)安全成熟度模型認(rèn)證（CMMC）也只要求承包商關(guān)注IT層面。IT系統(tǒng)安全固然重要，但確保IT安全并不能替代武器系統(tǒng)內(nèi)部的網(wǎng)絡(luò)安全。因此，國(guó)防部過去未將發(fā)展武器系統(tǒng)網(wǎng)絡(luò)安全作為優(yōu)先項(xiàng)，主要關(guān)注自身網(wǎng)絡(luò)的網(wǎng)絡(luò)安全，而不是武器系統(tǒng)的網(wǎng)絡(luò)安全。國(guó)防部在嘗試?yán)斫狻叭绾螌⒕W(wǎng)絡(luò)安全應(yīng)用到武器系統(tǒng)中”仍處于早期階段。

　　2.5 武器系統(tǒng)供應(yīng)鏈的網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴(yán)峻

　　供應(yīng)鏈一直是美軍武器系統(tǒng)網(wǎng)絡(luò)安全所面臨的巨大難題，它涵蓋了采辦、開發(fā)、外包、集成、交付、使用和服務(wù)等環(huán)節(jié)。隨著新型信息技術(shù)及相關(guān)產(chǎn)業(yè)的爆發(fā)式發(fā)展，武器系統(tǒng)供應(yīng)鏈面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)不斷攀升，且尤其以軟硬件供應(yīng)鏈風(fēng)險(xiǎn)為甚，目前針對(duì)軟硬件的網(wǎng)絡(luò)攻擊持續(xù)增加，攻擊深度和廣度不斷延伸；與此同時(shí)合作第三方供應(yīng)商引發(fā)的網(wǎng)絡(luò)安全事件層出不窮，供應(yīng)鏈的數(shù)字化發(fā)展趨勢(shì)在帶來商業(yè)價(jià)值的同時(shí)，也進(jìn)一步推高了武器供應(yīng)鏈的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外，在供應(yīng)鏈全球化發(fā)展的今天，武器系統(tǒng)面臨的攻擊滲入點(diǎn)也不斷增多，這些都會(huì)使武器系統(tǒng)面臨前所未有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　除了上述問題以外，武器系統(tǒng)安全還面臨著其他方面的挑戰(zhàn)，主要有：復(fù)雜的武器系統(tǒng)使得發(fā)現(xiàn)和恢復(fù)漏洞更為困難，因此需要具備更強(qiáng)的專業(yè)知識(shí)技能；功能性和安全性有時(shí)會(huì)不一致，需要在二者之間適當(dāng)平衡；網(wǎng)絡(luò)威脅正在迅速演變并適應(yīng)對(duì)策，因此在任何時(shí)間點(diǎn)實(shí)施的安全解決方案都不足以應(yīng)對(duì)未來的威脅。這些都是國(guó)防部在今后的工作中需要解決的問題。

　　三

　　美軍正積極應(yīng)對(duì)武器系統(tǒng)網(wǎng)絡(luò)安全

　　盡管美軍的武器系統(tǒng)面臨諸多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但隨著美國(guó)國(guó)防部對(duì)武器系統(tǒng)網(wǎng)絡(luò)安全的重視，在意識(shí)到武器系統(tǒng)的網(wǎng)絡(luò)安全問題后，美軍積極采取多種措施提升武器系統(tǒng)的網(wǎng)絡(luò)安全，目前正逐步將網(wǎng)絡(luò)安全有關(guān)規(guī)定適用于武器系統(tǒng)。

　　3.1 發(fā)布戰(zhàn)略性政策法規(guī)為武器系統(tǒng)網(wǎng)絡(luò)安全保駕護(hù)航

　　近年來，美國(guó)防部制定了一系列政策和指導(dǎo)文件來提高武器系統(tǒng)的網(wǎng)絡(luò)安全。2015年，國(guó)防部發(fā)布了《國(guó)防部網(wǎng)絡(luò)戰(zhàn)略》，要求評(píng)估當(dāng)前或未來武器系統(tǒng)的安全性、強(qiáng)制實(shí)施未來武器系統(tǒng)的安全標(biāo)準(zhǔn)、更新采辦政策和事件，促進(jìn)整個(gè)系統(tǒng)生命周期的網(wǎng)絡(luò)安全；發(fā)布了《將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理框架整合到系統(tǒng)采辦生命周期中適用的國(guó)防部項(xiàng)目管理指導(dǎo)手冊(cè)》，明確了這些控制措施適用于武器系統(tǒng)的網(wǎng)絡(luò)安全；發(fā)布的《網(wǎng)絡(luò)安全檢測(cè)與評(píng)估指南》旨在對(duì)國(guó)防部?jī)?nèi)部及其他關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)信息環(huán)境開展安全性檢測(cè)與評(píng)估工作，提供了一些關(guān)鍵技術(shù)理論和指導(dǎo)方法。2017年，國(guó)防部發(fā)布《網(wǎng)絡(luò)生存能力認(rèn)可實(shí)施指南》，幫助贊助商闡明網(wǎng)絡(luò)生存性要求。管理者將根據(jù)系統(tǒng)的使命、網(wǎng)絡(luò)依賴、威脅能力以及系統(tǒng)受損對(duì)任務(wù)的影響等為其項(xiàng)目劃定風(fēng)險(xiǎn)類別。同年，特朗普簽署了《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施安全》的行政令，提出“美國(guó)國(guó)防工業(yè)基地當(dāng)前所面臨的安全風(fēng)險(xiǎn)，具體包括其供應(yīng)鏈、美國(guó)軍事平臺(tái)、系統(tǒng)、網(wǎng)絡(luò)、能力以及緩解這些風(fēng)險(xiǎn)的建議”等。2020年，國(guó)防部先后更新了5000.01國(guó)防部指令文件《國(guó)防采辦系統(tǒng)》和5000.02《自適應(yīng)采辦框架的運(yùn)行》，作為國(guó)防部指導(dǎo)和規(guī)范武器系統(tǒng)采辦的頂層文件。

　　3.2 成立武器系統(tǒng)網(wǎng)絡(luò)安全機(jī)構(gòu)加強(qiáng)對(duì)武器系統(tǒng)網(wǎng)絡(luò)安全的管理

　　2015年海軍成立了網(wǎng)絡(luò)警醒特遣部隊(duì)，旨在幫助確保關(guān)鍵作戰(zhàn)信息技術(shù)和系統(tǒng)組件及流程的生存能力和彈性能力。為系統(tǒng)和組件提供增強(qiáng)的保障要求，保證網(wǎng)絡(luò)作戰(zhàn)系統(tǒng)的安全。2017年美國(guó)空軍成立了武器系統(tǒng)網(wǎng)絡(luò)彈性辦公室（CROWS），該辦公室責(zé)成國(guó)防部識(shí)別和減輕武器系統(tǒng)的網(wǎng)絡(luò)安全漏洞，最初側(cè)重于老式遺留系統(tǒng)，現(xiàn)在瞄準(zhǔn)了新武器的網(wǎng)絡(luò)安全問題。同年陸軍成立了特遣部隊(duì)，在整個(gè)陸軍范圍內(nèi)進(jìn)行深入審查，以評(píng)估陸軍的網(wǎng)絡(luò)需求、優(yōu)勢(shì)、劣勢(shì)和資產(chǎn)。通過這些信息，陸軍將計(jì)劃制定一個(gè)整體方法來解決武器系統(tǒng)和工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題。

　　3.3 投入重金加強(qiáng)對(duì)武器系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)

　　美軍在意識(shí)到武器系統(tǒng)存在嚴(yán)重漏洞后，旋即投入重金進(jìn)行改造。2018年11月，美國(guó)空軍投入資金修復(fù)F-35戰(zhàn)斗機(jī)外部支持系統(tǒng)的網(wǎng)絡(luò)安全漏洞，這些漏洞被認(rèn)為是黑客入侵F-35戰(zhàn)斗機(jī)的最簡(jiǎn)單的入口。F-35是一種基于軟件的飛機(jī)，而任何基于軟件的平臺(tái)都會(huì)受到黑客的攻擊。由洛克希德？馬丁公司管理的“多層安全保護(hù)”的飛機(jī)信息主干網(wǎng)絡(luò)相對(duì)安全。此外，為了便于維護(hù)引入的無線應(yīng)用程序也帶來了必須解決的新漏洞。2020年5月，美國(guó)防創(chuàng)新單元向ForAllSecure公司授出總價(jià)4500萬美元的合同，由后者對(duì)國(guó)防部武器系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全測(cè)試。ForAllSecure公司將主要基于“Mayhem”自動(dòng)網(wǎng)絡(luò)安全平臺(tái)進(jìn)行相關(guān)測(cè)試。該平臺(tái)可安裝于武器系統(tǒng)中并自動(dòng)化完成相關(guān)安全測(cè)試，未來將成為提升武器系統(tǒng)網(wǎng)絡(luò)安全的常規(guī)措施。此外，美軍重點(diǎn)研究的技術(shù)還包括：實(shí)時(shí)操作系統(tǒng)（RTOS）下的偵測(cè)、保護(hù)、響應(yīng)網(wǎng)絡(luò)攻擊、從惡意軟件影響中恢復(fù)；預(yù)警系統(tǒng)/態(tài)勢(shì)感知/向武器系統(tǒng)操作者提示惡意軟件、網(wǎng)絡(luò)攻擊或即將發(fā)生的網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)動(dòng)態(tài)重新配置；武器系統(tǒng)網(wǎng)絡(luò)安全和威脅評(píng)估模型/方法；對(duì)武器系統(tǒng)進(jìn)行分析和使用的系統(tǒng)之系統(tǒng)網(wǎng)絡(luò)架構(gòu)；武器系統(tǒng)網(wǎng)絡(luò)測(cè)試能力等等。

　　3.4 將網(wǎng)絡(luò)安全納入武器系統(tǒng)全壽命周期，增強(qiáng)武器系統(tǒng)的網(wǎng)絡(luò)彈性

　　根據(jù)國(guó)防部的政策，采購(gòu)項(xiàng)目官員應(yīng)該在項(xiàng)目的整個(gè)生命周期中盡早規(guī)劃和實(shí)施網(wǎng)絡(luò)安全保護(hù)。與在開發(fā)周期后期或系統(tǒng)投入使用后試圖增加或加強(qiáng)網(wǎng)絡(luò)安全保護(hù)相比，從采辦的最初階段就納入網(wǎng)絡(luò)安全實(shí)踐通常更容易、成本更低、更有效。因此，自 2015 年以來國(guó)防部一直要求某些采購(gòu)計(jì)劃將網(wǎng)絡(luò)生存性作為強(qiáng)制性系統(tǒng)生存性關(guān)鍵性能參數(shù)的一部分，這是一種頂級(jí)計(jì)劃要求或?qū)傩?，定義了武器系統(tǒng)的關(guān)鍵性能目標(biāo)，且關(guān)鍵性能參數(shù)或?qū)傩詰?yīng)建立應(yīng)對(duì)網(wǎng)絡(luò)威脅的系統(tǒng)生存性措施。此外，鑒于承包商在設(shè)計(jì)和建造國(guó)防部武器系統(tǒng)中起著關(guān)鍵作用，國(guó)防部必須在其采購(gòu)計(jì)劃合同中傳達(dá)其網(wǎng)絡(luò)安全要求，就像它與其他類型的性能要求一樣，具體說明采購(gòu)計(jì)劃應(yīng)該如何在合同中包括網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過程。

　　3.5加強(qiáng)武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞的評(píng)估與消減工作

　　美軍在加強(qiáng)武器系統(tǒng)內(nèi)網(wǎng)絡(luò)安全漏洞的評(píng)估與消減工作方面采取了如下的具體措施：建立永久性程序要求，定期評(píng)估武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞；避免創(chuàng)建單獨(dú)用于評(píng)估和消減武器系統(tǒng)內(nèi)網(wǎng)絡(luò)漏洞的流程，而應(yīng)將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估納入既有的采辦流程中；國(guó)防部已經(jīng)為未來的武器系統(tǒng)建立了網(wǎng)絡(luò)安全關(guān)鍵性能評(píng)價(jià)參數(shù)，而對(duì)于既有的武器系統(tǒng)，應(yīng)在保障和升級(jí)過程中進(jìn)行網(wǎng)絡(luò)漏洞評(píng)估并消減；在采辦層面提升網(wǎng)絡(luò)安全監(jiān)督的責(zé)任。項(xiàng)目經(jīng)理必須向軍方報(bào)告武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞評(píng)估情況，由軍方依據(jù)漏洞威脅情況確定消減行動(dòng)；明確規(guī)定軍方接受武器系統(tǒng)網(wǎng)絡(luò)安全顧問的報(bào)告，確立軍方進(jìn)行協(xié)調(diào)與管理的地位；將更多網(wǎng)絡(luò)專業(yè)力量用于武器系統(tǒng)的網(wǎng)絡(luò)安全。因所有的網(wǎng)絡(luò)力量都已分配給網(wǎng)軍司令部，所以網(wǎng)軍司令部應(yīng)分派一些力量用于保護(hù)武器系統(tǒng)內(nèi)網(wǎng)絡(luò)。也可雇用其他網(wǎng)絡(luò)安全團(tuán)隊(duì)專注于網(wǎng)絡(luò)維護(hù)和傳統(tǒng)的IT相關(guān)任務(wù)。

　　3.6高度重視武器系統(tǒng)ICT供應(yīng)鏈安全

　　在ICT供應(yīng)鏈全球化的發(fā)展趨勢(shì)下，供應(yīng)鏈安全一直是美國(guó)政府高度重視的問題。2019年一場(chǎng)突如其來的疫情讓全球市場(chǎng)數(shù)十年形成的供應(yīng)鏈幾乎斷裂，供應(yīng)鏈安全更是成了國(guó)家綜合實(shí)力的體現(xiàn)和大國(guó)博弈的焦點(diǎn)。作為全球ICT技術(shù)和產(chǎn)業(yè)的領(lǐng)跑者，更是將ICT供應(yīng)鏈的安全問題提到重要議事日程。2019年特朗普總統(tǒng)簽署了《確保ICT和服務(wù)供應(yīng)鏈安全的行政令》，以保證美國(guó)ICT供應(yīng)鏈安全。2020年網(wǎng)絡(luò)空間日光浴委員會(huì)發(fā)布《國(guó)家可信信息通信技術(shù)供應(yīng)鏈》報(bào)告，提出了如何保護(hù)信息和通信技術(shù)供應(yīng)鏈安全的建議。2021年1月，商務(wù)部發(fā)布《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》的最新規(guī)則，旨在落實(shí)2019年總統(tǒng)令（《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全的總統(tǒng)令》）中列明的相關(guān)要求，同月美國(guó)總統(tǒng)拜登簽署了一項(xiàng)行政命令，指示聯(lián)邦機(jī)構(gòu)包括信息技術(shù)在內(nèi)的各行業(yè)供應(yīng)鏈安全風(fēng)險(xiǎn)進(jìn)行審查，解決美國(guó)供應(yīng)鏈的脆弱性和風(fēng)險(xiǎn)問題。

　　四

　　結(jié)束語

　　美軍武器系統(tǒng)在應(yīng)對(duì)網(wǎng)絡(luò)安全方面面臨巨大挑戰(zhàn)，隨著國(guó)防部對(duì)武器系統(tǒng)網(wǎng)絡(luò)安全的重視，已先后成立的專門的網(wǎng)絡(luò)安全機(jī)構(gòu)來加強(qiáng)對(duì)武器系統(tǒng)的管理，將網(wǎng)絡(luò)安全規(guī)定適用于武器系統(tǒng)，把網(wǎng)絡(luò)安全納入武器系統(tǒng)全壽命周期，并特別要求在武器系統(tǒng)采辦初期就明確網(wǎng)絡(luò)安全基本要求，同時(shí)通過加強(qiáng)對(duì)武器系統(tǒng)網(wǎng)絡(luò)安全的保護(hù)，做好武器系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全漏洞的評(píng)估與消減工作來提高武器系統(tǒng)的網(wǎng)絡(luò)彈性。