武器系統(tǒng)網(wǎng)絡(luò)安全：國(guó)防部借助指南來(lái)更好地與承包商溝通項(xiàng)目要求（譯文）

美國(guó)政府問(wèn)責(zé)署

張 玲，羅 仙，楊曉姣，劉力平，譯

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

1 背 景

現(xiàn)代國(guó)防部武器系統(tǒng)依靠軟件和信息技術(shù)來(lái)實(shí)現(xiàn)其預(yù)期性能，與以前的系統(tǒng)相比，這些系統(tǒng)需要更多的通信路徑，以便在各種類型的子系統(tǒng)之間以及與外部系統(tǒng)共享信息，從而實(shí)現(xiàn)一系列作戰(zhàn)能力。正如《2018年國(guó)防戰(zhàn)略》所述，國(guó)防部計(jì)劃通過(guò)對(duì)軟件和IT密集型系統(tǒng)和技術(shù)（如先進(jìn)網(wǎng)絡(luò)、自動(dòng)化和人工智能）的投資，以及通過(guò)將網(wǎng)絡(luò)能力集成到所有類型的軍事行動(dòng)中，來(lái)實(shí)現(xiàn)關(guān)鍵能力的現(xiàn)代化。例如，陸軍計(jì)劃用新系統(tǒng)取代數(shù)十年前的車輛，包括Bradley戰(zhàn)車和Abrams主戰(zhàn)坦克，這些新系統(tǒng)可能集成自動(dòng)或半自動(dòng)操作，需要穩(wěn)健的、安全的網(wǎng)絡(luò)能力。

正如GAO所報(bào)道的，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)或互聯(lián)網(wǎng)驅(qū)動(dòng)的消費(fèi)技術(shù)和設(shè)備的發(fā)展加劇了安全風(fēng)險(xiǎn)，國(guó)防部對(duì)軟件和信息技術(shù)的日益依賴顯著擴(kuò)大了武器的攻擊面。任何信息交換都可能是對(duì)手的潛在接入點(diǎn)。與許多其他系統(tǒng)或子系統(tǒng)進(jìn)行交換信息的系統(tǒng)的潛在漏洞要比沒(méi)有此類連接的系統(tǒng)多。

GAO在2018年報(bào)告中指出，國(guó)防部直到最近才將武器系統(tǒng)網(wǎng)絡(luò)安全列為優(yōu)先事項(xiàng)，并且仍在確定在采辦過(guò)程中如何最好地解決它。國(guó)防部歷來(lái)把網(wǎng)絡(luò)安全工作的重點(diǎn)放在保護(hù)網(wǎng)絡(luò)和傳統(tǒng)IT系統(tǒng)上，而不是保護(hù)武器系統(tǒng)，關(guān)鍵的采辦和需求政策也沒(méi)有把重點(diǎn)放在網(wǎng)絡(luò)安全上。因此，國(guó)防部可能設(shè)計(jì)和研制了許多沒(méi)有足夠網(wǎng)絡(luò)安全保障的系統(tǒng)。在作戰(zhàn)測(cè)試中，國(guó)防部經(jīng)常會(huì)在正在開發(fā)的系統(tǒng)中發(fā)現(xiàn)任務(wù)關(guān)鍵型網(wǎng)絡(luò)安全漏洞。通過(guò)使用一些簡(jiǎn)單的工具和技術(shù)，測(cè)試人員能夠控制系統(tǒng)，并且基本上在未被發(fā)現(xiàn)的情況下進(jìn)行操作，部分原因是由于密碼管理不善和未加密的通信等問(wèn)題。此外，由于測(cè)試范圍和復(fù)雜程度的限制，國(guó)防部可能只了解其武器系統(tǒng)中全部漏洞的一小部分。

GAO還指出，自2014年以來(lái)，國(guó)防部采取了許多重大措施來(lái)改善武器系統(tǒng)的網(wǎng)絡(luò)安全。具體而言，國(guó)防部發(fā)布更新了各種政策、指導(dǎo)文件和備忘錄，以更好地將網(wǎng)絡(luò)安全納入采辦過(guò)程，并促進(jìn)更具網(wǎng)絡(luò)彈性的武器系統(tǒng)。這些措施表明，國(guó)防部越來(lái)越重視武器系統(tǒng)網(wǎng)絡(luò)安全，符合國(guó)防部在2018年網(wǎng)絡(luò)戰(zhàn)略中的承諾，即“保護(hù)自己的網(wǎng)絡(luò)、系統(tǒng)和信息不受惡意網(wǎng)絡(luò)活動(dòng)的影響”，并“確保美軍有能力在包括網(wǎng)絡(luò)空間領(lǐng)域打贏戰(zhàn)爭(zhēng)”。最終，國(guó)防部在改進(jìn)武器系統(tǒng)網(wǎng)絡(luò)安全方面的成功取決于軍種和采辦部門在多大程度上落實(shí)這些舉措，以在他們的項(xiàng)目中產(chǎn)生更好的結(jié)果。

1.1 武器系統(tǒng)網(wǎng)絡(luò)安全實(shí)踐

網(wǎng)絡(luò)攻擊是試圖利用系統(tǒng)或網(wǎng)絡(luò)中的漏洞來(lái)破壞其機(jī)密性、完整性或可用性。網(wǎng)絡(luò)安全措施旨在通過(guò)防止、檢測(cè)和響應(yīng)攻擊來(lái)保護(hù)網(wǎng)絡(luò)安全。目標(biāo)是降低攻擊者訪問(wèn)國(guó)防部系統(tǒng)的可能性，并限制攻擊造成的損害。武器系統(tǒng)在整個(gè)采辦過(guò)程中面臨著各種網(wǎng)絡(luò)安全挑戰(zhàn)。2015年蘭德的一份報(bào)告指出了以下6個(gè)武器系統(tǒng)網(wǎng)絡(luò)安全面臨的挑戰(zhàn)。

（1）復(fù)雜系統(tǒng)需要專業(yè)知識(shí)?，F(xiàn)代武器系統(tǒng)是高度復(fù)雜的，在不損害功能的情況下發(fā)現(xiàn)和修復(fù)漏洞的任務(wù)更加艱巨。網(wǎng)絡(luò)安全是一項(xiàng)技術(shù)挑戰(zhàn)，涉及的功能可能是系統(tǒng)設(shè)計(jì)中不可或缺的一部分，而可能只有少數(shù)專家詳細(xì)了解了這些功能。

（2）功能和安全性難免存在沖突。在功能和安全性之間有必要進(jìn)行權(quán)衡。工程師愿意接受一定程度的漏洞，以實(shí)現(xiàn)操作人員執(zhí)行任務(wù)所需的功能。對(duì)于武器系統(tǒng)來(lái)說(shuō)，安全與功能之間的適當(dāng)平衡是至關(guān)重要的。

（3）威脅在不斷演變和適應(yīng)。網(wǎng)絡(luò)威脅正在迅速演變并適應(yīng)應(yīng)對(duì)措施，因此在任何時(shí)間點(diǎn)實(shí)施的安全解決方案都可能不足以應(yīng)對(duì)未來(lái)的威脅。

（4）攻擊者具有優(yōu)勢(shì)。網(wǎng)絡(luò)攻擊者比網(wǎng)絡(luò)防御者具有優(yōu)勢(shì)。鑒于攻擊者只需要發(fā)現(xiàn)并利用一個(gè)系統(tǒng)漏洞，但防御者卻需要考慮并降低整個(gè)系統(tǒng)的風(fēng)險(xiǎn)。因此，網(wǎng)絡(luò)防御不僅資源密集，而且難度更大。

（5）每個(gè)新連接都是一個(gè)潛在的漏洞。系統(tǒng)以各種方式相互連接，這樣一個(gè)系統(tǒng)中的漏洞就可能被利用來(lái)訪問(wèn)另一個(gè)系統(tǒng)。攻擊者可以利用非關(guān)鍵組件或第三級(jí)系統(tǒng)中的漏洞訪問(wèn)系統(tǒng)最關(guān)鍵的組件。

（6）無(wú)法實(shí)現(xiàn)完全安全。由于網(wǎng)絡(luò)威脅不斷演變和適應(yīng)，而網(wǎng)絡(luò)攻擊者相對(duì)于網(wǎng)絡(luò)防御者有一些優(yōu)勢(shì)，因此完全安全是不現(xiàn)實(shí)的。在資源有限的情況下，決策者必須確定什么樣的安全級(jí)別對(duì)他們的系統(tǒng)和任務(wù)是足夠的。

1.2 有效的武器系統(tǒng)網(wǎng)絡(luò)安全實(shí)踐取決于網(wǎng)絡(luò)安全開發(fā)需求和合同

國(guó)防部管理主要國(guó)防采辦項(xiàng)目的政策概述了交付滿足能力差距的武器系統(tǒng)的一系列階段和相關(guān)活動(dòng)。雖然在每個(gè)采購(gòu)階段都有重要的網(wǎng)絡(luò)安全考慮因素，但GAO之前的工作已經(jīng)表明，建立可靠的、可行的需求是降低風(fēng)險(xiǎn)、制定成功計(jì)劃的早期關(guān)鍵步驟。通過(guò)招標(biāo)和簽訂合同，采辦項(xiàng)目將這些要求傳達(dá)給開發(fā)和研制系統(tǒng)的承包商。承包商可在需求開發(fā)期間向項(xiàng)目提供重要支持，例如與采辦項(xiàng)目辦公室合作，在合同授予后細(xì)化要求?？傮w而言，定義需求，然后簽訂滿足這些需求的解決方案，既關(guān)系到網(wǎng)絡(luò)安全需求，也關(guān)系到其他類型的性能需求。圖1顯示了國(guó)防部主要采辦項(xiàng)目的流程周期。

圖1 國(guó)防部主要采辦項(xiàng)目流程周期圖

1.3 制定武器系統(tǒng)網(wǎng)絡(luò)安全要求有助于項(xiàng)目采辦成功

制定滿足軍事需求的要求是成功獲取武器系統(tǒng)的關(guān)鍵組成。網(wǎng)絡(luò)安全要求是系統(tǒng)總體要求的一部分。國(guó)防部采辦政策規(guī)定，網(wǎng)絡(luò)安全是國(guó)防部所有采辦項(xiàng)目的要求之一，必須在采辦周期的所有階段實(shí)施。它還要求采辦項(xiàng)目經(jīng)理將網(wǎng)絡(luò)安全納入系統(tǒng)性能規(guī)范。2015年《采辦項(xiàng)目經(jīng)理網(wǎng)絡(luò)安全指南》描述了武器系統(tǒng)網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵原則，即“像對(duì)待其他系統(tǒng)需求一樣”對(duì)待網(wǎng)絡(luò)安全需求。

自2015年以來(lái)，國(guó)防部要求某些采辦項(xiàng)目將網(wǎng)絡(luò)生存能力作為強(qiáng)制性系統(tǒng)生存能力關(guān)鍵性能參數(shù)的一部分，這是一種頂級(jí)項(xiàng)目要求或?qū)傩?，定義了武器系統(tǒng)的關(guān)鍵性能目標(biāo)。然而，每個(gè)系統(tǒng)如何實(shí)現(xiàn)網(wǎng)絡(luò)生存能力的細(xì)節(jié)取決于系統(tǒng)的任務(wù)、內(nèi)部和外部通信路徑的數(shù)量和類型，以及它可能面臨的網(wǎng)絡(luò)威脅的類型等。表1概述了采辦周期早期的關(guān)鍵需求以及網(wǎng)絡(luò)安全需求在其中的作用。

表1 采辦初期的關(guān)鍵文件和網(wǎng)絡(luò)安全

1.4 除非合同明確了網(wǎng)絡(luò)安全要求，否則承包商的解決方案很難符合軍方要求

國(guó)防承包商通常設(shè)計(jì)和制造武器系統(tǒng)。這意味著國(guó)防部必須將其要求轉(zhuǎn)化為合同條款和條件，從而在政府和承包商之間建立協(xié)議。武器系統(tǒng)合同通常包括要執(zhí)行工作的成本或價(jià)格，交付物或時(shí)間周期以及性能要求等。國(guó)防部政策要求采購(gòu)項(xiàng)目經(jīng)理確認(rèn)將網(wǎng)絡(luò)安全和系統(tǒng)安全要求納入合同中。網(wǎng)絡(luò)安全要求可能出現(xiàn)在合同的不同地方。合同條款應(yīng)相互補(bǔ)充，并采用一致的方法來(lái)發(fā)展武器系統(tǒng)。表2列出了合同中部分網(wǎng)絡(luò)安全要求。

表2 關(guān)鍵合同文件

承包商通常負(fù)責(zé)履行合同條款，因此合同必須反映政府的要求。國(guó)防部指南指出，政府應(yīng)在合同中包含使系統(tǒng)可接受的所有適用條款和條件。這適用于系統(tǒng)的方面，包括性能要求，例如速度、范圍、容量和網(wǎng)絡(luò)安全性。根據(jù)國(guó)防部指南，合同要求應(yīng)明確，以便政府和承包商對(duì)要執(zhí)行的工作和可接受的效果有共同了解。國(guó)防部指南描述了應(yīng)如何以合同語(yǔ)言規(guī)范要求，包括合同定義要求，確定采用或拒絕的標(biāo)準(zhǔn)以及建立政府將如何驗(yàn)證是否滿足要求的標(biāo)準(zhǔn)。圖2顯示按國(guó)防部指導(dǎo)合同應(yīng)該包含的內(nèi)容。

圖2 將網(wǎng)絡(luò)安全納入合同的三方面內(nèi)容

1.5 國(guó)防部建立了風(fēng)險(xiǎn)管理框架來(lái)減輕武器系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2014年，國(guó)防部建立了風(fēng)險(xiǎn)管理框架（RMF），通過(guò)六個(gè)步驟來(lái)管理國(guó)防部包括采辦武器系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在2015年的相關(guān)指南中，國(guó)防部指出空軍已經(jīng)將風(fēng)險(xiǎn)管理方法應(yīng)用到了風(fēng)險(xiǎn)管理框架中。國(guó)防部的采購(gòu)政策表明，RMF可以為國(guó)防部IT提供信息，但不能代替國(guó)防部IT的采購(gòu)流程。RMF步驟和相關(guān)活動(dòng)如圖3所示。

圖3 國(guó)防部（DOD）風(fēng)險(xiǎn)管理框架的六個(gè)步驟

RMF圍繞識(shí)別、實(shí)施、評(píng)估和管理安全控制而構(gòu)建，安全控制是應(yīng)用于系統(tǒng)的保護(hù)措施和對(duì)策，以保護(hù)系統(tǒng)及信息的機(jī)密性、完整性和可用性。例如，為與系統(tǒng)的每種類型的無(wú)線連接建立保護(hù)是一種防范未授權(quán)訪問(wèn)的保護(hù)措施。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的指導(dǎo)，應(yīng)將安全控制納入系統(tǒng)工程流程中，這是采購(gòu)計(jì)劃滿足其安全要求的計(jì)劃的一部分。根據(jù)NIST，國(guó)防部指南指出，采購(gòu)計(jì)劃應(yīng)基于對(duì)威脅和對(duì)任務(wù)的潛在影響的風(fēng)險(xiǎn)評(píng)估，實(shí)施一套量身定制的安全控制措施。RMF通常按如下方式實(shí)現(xiàn)。

步驟1：根據(jù)發(fā)生安全漏洞時(shí)，機(jī)密性、完整性和可用性受損所造成的潛在影響（低、中、高）對(duì)系統(tǒng)進(jìn)行分類。

步驟2：根據(jù)武器系統(tǒng)的分類和其他因素選擇武器系統(tǒng)的安全控制。

步驟3：通過(guò)設(shè)計(jì)、生產(chǎn)或部署實(shí)施控件。一些控件（例如加密）已合并到系統(tǒng)的硬件或軟件中。其他控件可能會(huì)從外部來(lái)源或系統(tǒng)的操作方式中繼承。

步驟4：評(píng)估控件以確保其正確實(shí)施。制定、審查和批準(zhǔn)安全控制評(píng)估計(jì)劃，使之與項(xiàng)目的其他測(cè)試和認(rèn)證活動(dòng)保持一致。

步驟5：授權(quán)系統(tǒng)連接到運(yùn)營(yíng)網(wǎng)絡(luò)或其他系統(tǒng)。

步驟6：在操作環(huán)境中監(jiān)視系統(tǒng)，以查看可能會(huì)影響系統(tǒng)安全狀態(tài)的配置更改或可能表明安全控制未有效運(yùn)行的性能指標(biāo)。

RMF步驟是連貫性的，并且大致與一個(gè)或多個(gè)采購(gòu)階段相一致;然而，根據(jù)NIST指南，該過(guò)程應(yīng)該是靈活的和迭代的，允許采購(gòu)項(xiàng)目根據(jù)新的信息或環(huán)境進(jìn)行調(diào)整。例如，第4步的評(píng)估結(jié)果可能需要重新評(píng)估第3步的控制措施。圖4展示了RMF步驟與主要國(guó)防采購(gòu)項(xiàng)目采購(gòu)流程的總體概況。

圖4 美國(guó)國(guó)防部采購(gòu)流程中的風(fēng)險(xiǎn)管理框架

2 國(guó)防部及軍種已采取行動(dòng)改善武器系統(tǒng)網(wǎng)絡(luò)安全

近年來(lái)，國(guó)防部在改善武器系統(tǒng)網(wǎng)絡(luò)安全方面取得了長(zhǎng)足的進(jìn)步，大致表現(xiàn)在四個(gè)方面：增加獲取網(wǎng)絡(luò)專業(yè)知識(shí)的機(jī)會(huì)、更多地使用網(wǎng)絡(luò)評(píng)估、更好地制定安全控制以及額外的網(wǎng)絡(luò)安全指導(dǎo)。

2.1 更多地獲取網(wǎng)絡(luò)專業(yè)知識(shí)

國(guó)防部的采購(gòu)人員在拓展網(wǎng)絡(luò)安全專業(yè)知識(shí)方面面臨長(zhǎng)期挑戰(zhàn)，國(guó)防部在其運(yùn)營(yíng)測(cè)試辦公室2019年年度報(bào)告中指出，國(guó)防部的網(wǎng)絡(luò)測(cè)試團(tuán)隊(duì)與國(guó)家威脅之間的能力差距越來(lái)越大。采購(gòu)項(xiàng)目很難在設(shè)計(jì)過(guò)程早期就將專家與網(wǎng)絡(luò)安全測(cè)試工作技能結(jié)合起來(lái)，而這將有助于提高測(cè)試質(zhì)量。

五個(gè)武器系統(tǒng)的負(fù)責(zé)人表示，盡管在招聘和保留網(wǎng)絡(luò)安全人員方面遇到了一些挑戰(zhàn)，但這并不影響獲得更多的網(wǎng)絡(luò)安全專業(yè)知識(shí)，這個(gè)問(wèn)題在2018年還是比較明顯地存在著。盡管本次審查中被發(fā)現(xiàn)和指出了這種挑戰(zhàn)仍然存在，但是明顯在可控范圍內(nèi)。

2.2 增強(qiáng)網(wǎng)絡(luò)評(píng)估

過(guò)去在向國(guó)防部的報(bào)告中曾提到武器系統(tǒng)網(wǎng)絡(luò)安全評(píng)估的缺乏和不足的問(wèn)題，特別是在2018年10月發(fā)現(xiàn)缺乏測(cè)試意味著程序在開發(fā)過(guò)程中的后期發(fā)現(xiàn)基本的網(wǎng)絡(luò)安全問(wèn)題修復(fù)成本將更高。

2020年3月，國(guó)防部透露在其去年內(nèi)進(jìn)行了兩次對(duì)抗性評(píng)估和兩次合作脆弱性評(píng)估，并且根據(jù)這些評(píng)估的結(jié)果，對(duì)設(shè)計(jì)進(jìn)行了更改。越來(lái)越多地使用網(wǎng)絡(luò)安全評(píng)估是一個(gè)積極的進(jìn)展，并且可以幫助程序盡早發(fā)現(xiàn)漏洞。但是，僅僅是評(píng)估并不能獲得更好的效果，比如在某些系統(tǒng)的多輪測(cè)試中都發(fā)現(xiàn)了相同的漏洞，首次發(fā)現(xiàn)這些漏洞后并未得到妥善解決。

除了專業(yè)的網(wǎng)絡(luò)安全知識(shí)和網(wǎng)絡(luò)評(píng)估，國(guó)防部和軍事部還描述了其在兩個(gè)領(lǐng)域的進(jìn)展：網(wǎng)絡(luò)安全控制和RMF的改進(jìn)指導(dǎo)，以及更好地為采購(gòu)項(xiàng)目量身定制安全控制。

2.3 更好地定制安全控制

服務(wù)在針對(duì)類似類型定制RMF安全控制方面取得了進(jìn)展。負(fù)責(zé)采購(gòu)的官員表示，選擇控制是RMF的第二步，因?yàn)橛锌赡艽嬖诖罅康臐撛诳刂埔约皩⑵鋺?yīng)用于各種復(fù)雜系統(tǒng)的復(fù)雜性，這可能是一個(gè)困難的過(guò)程。上述大約300～500個(gè)控件的基準(zhǔn)集只是一個(gè)起點(diǎn)，因此程序可能需要根據(jù)其特定需要添加或刪除控件。為了應(yīng)對(duì)這一挑戰(zhàn)，國(guó)防部?jī)?nèi)部組織已經(jīng)開始開發(fā)控制“覆蓋層”（overlay）來(lái)幫助項(xiàng)目量身定制控制。覆蓋層是對(duì)基準(zhǔn)線的一組專門調(diào)整，可以應(yīng)用于類似類型系統(tǒng)的采集程序。多個(gè)實(shí)際案例表明，更多制定的覆蓋層將有助于簡(jiǎn)化確定和證明控件是否適用于系統(tǒng)。

2.4 新修訂的網(wǎng)絡(luò)安全指南

國(guó)防部和各軍種都發(fā)布了實(shí)施RMF的詳細(xì)政策或指導(dǎo)。雖然國(guó)防部的政策廣泛地定義了武器系統(tǒng)的采購(gòu)工作和網(wǎng)絡(luò)安全目標(biāo)，但軍種在開發(fā)和發(fā)布補(bǔ)充性指南方面發(fā)揮了作用，如有必要可在軍種的采購(gòu)范疇內(nèi)實(shí)施。

2016年12月，美國(guó)海軍發(fā)布RMF流程指南，其中包括執(zhí)行RMF的采購(gòu)項(xiàng)目的特定軍種指南。

2017年2月，美國(guó)空軍發(fā)布RMF實(shí)施指南，其中包括指南要求的項(xiàng)目應(yīng)確保所有安全控制通過(guò)系統(tǒng)安全工程轉(zhuǎn)化為安全要求的指南。

2017年7月，海軍陸戰(zhàn)隊(duì)制定RMF實(shí)施指南，其中包括RMF流程的概述。

3 審查的項(xiàng)目合同中網(wǎng)絡(luò)安全要求情況

盡管已經(jīng)采取了一些步驟，但國(guó)防部在改善武器系統(tǒng)的網(wǎng)絡(luò)安全方面仍面臨著挑戰(zhàn)。尤其是，國(guó)防部仍在探索如何在合同中明確武器系統(tǒng)網(wǎng)絡(luò)安全，同時(shí)此次審查的項(xiàng)目也設(shè)法將系統(tǒng)的網(wǎng)絡(luò)安全要求納入合同。

3.1 審查的采辦項(xiàng)目合同并未包括網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程

此次審查的采購(gòu)項(xiàng)目合同在網(wǎng)絡(luò)安全要求方面存在疏漏，或是在合同中沒(méi)有明確定義網(wǎng)絡(luò)安全要求。

3.1.1 審查的合同并未都明確了網(wǎng)絡(luò)安全要求

此次審查的五份武器系統(tǒng)合同中有三份在授予合同時(shí)未明確網(wǎng)絡(luò)安全要求，GAO無(wú)法評(píng)估兩份合同網(wǎng)絡(luò)安全要求的完整性。例如，其中一個(gè)項(xiàng)目提及網(wǎng)絡(luò)安全戰(zhàn)略，識(shí)別RMF類別，并描述該項(xiàng)目將如何選擇安全控制。然而，當(dāng)合同授予時(shí)，工作說(shuō)明、系統(tǒng)規(guī)范或合同交付物中并未包括網(wǎng)絡(luò)安全要求。

審查的五份合同中，有三份在授予后進(jìn)行了修改，增加了網(wǎng)絡(luò)安全要求。其中一份合同包括詳細(xì)的網(wǎng)絡(luò)安全要求。然而，其他兩份合同只在一般聲明中闡述了該系統(tǒng)應(yīng)與國(guó)防部網(wǎng)絡(luò)安全政策相一致。一些承包商在交流過(guò)程中表示，建議書中通常會(huì)包含網(wǎng)絡(luò)安全的一般性聲明，如“網(wǎng)絡(luò)彈性”或“遵守RMF”，但承包商認(rèn)為此類聲明提供的信息有限，他們無(wú)法確定政府想要什么系統(tǒng)或如何設(shè)計(jì)系統(tǒng)。

與網(wǎng)絡(luò)需求相比，其他類型的系統(tǒng)需求包含了更多的細(xì)節(jié)。GAO審查的一份合同規(guī)定了系統(tǒng)在空運(yùn)、陸運(yùn)和海運(yùn)時(shí)必須承受的振動(dòng)次數(shù)，包括在帶有噴氣發(fā)動(dòng)機(jī)和螺旋槳的飛機(jī)上運(yùn)輸時(shí)的單獨(dú)要求。同時(shí)還明確了與灰塵、沙子、真菌以及許多系統(tǒng)設(shè)計(jì)和性能的其他方面有關(guān)的非網(wǎng)絡(luò)安全要求。GAO審查的另一份合同列出了一般要求，比如系統(tǒng)不應(yīng)該有任何尖銳的邊緣，以免操作人員誤傷。然而，這兩份合同都沒(méi)有包括任何詳細(xì)的網(wǎng)絡(luò)安全要求。

3.1.2 審查的合同并未明確驗(yàn)收標(biāo)準(zhǔn)

此次審查的武器系統(tǒng)合同，在合同授予之初并沒(méi)有客觀地定義網(wǎng)絡(luò)安全措施，并明確采用或拒絕該系統(tǒng)的依據(jù)。如果要求某型車輛至少以每小時(shí)60英里的速度行駛，而它只實(shí)現(xiàn)每小時(shí)55英里，承包商就沒(méi)有達(dá)到要求。GAO審查的合同中只有一份明確了詳細(xì)的網(wǎng)絡(luò)安全要求，這些要求通常確定了系統(tǒng)必須具有的特定安全控制，而不是基于性能的要求。一個(gè)項(xiàng)目辦公室的官員說(shuō)，他們?cè)噲D使用基于性能的要求，但無(wú)法與承包商達(dá)成協(xié)議。國(guó)防部和承包商官員說(shuō)，許多合同要求聚焦于系統(tǒng)必備的網(wǎng)絡(luò)安全控制策略，而不是國(guó)防部預(yù)期想要的結(jié)果，如阻止未經(jīng)授權(quán)的用戶訪問(wèn)系統(tǒng)。然而，正如之前所報(bào)道的，控制應(yīng)用并不意味著系統(tǒng)是安全的。控制必須正確實(shí)施，然后測(cè)試其有效性。

基于BGP的二維路由協(xié)議與傳統(tǒng)BGP的信息交互過(guò)程一樣，只不過(guò)需要對(duì)信息交互報(bào)文進(jìn)行必要的擴(kuò)展，使其能夠支持二維路由相關(guān)信息的傳遞。另外為了能夠支持二維路由的增量部署，在設(shè)計(jì)BGP二維路由協(xié)議的時(shí)候，需要保證二維路由協(xié)議與傳統(tǒng)路由協(xié)議的兼容。在本文中，我們是基于MP-BGP實(shí)現(xiàn)的域間二維路由協(xié)議。

3.1.3 審查的合同并未明確如何驗(yàn)證網(wǎng)絡(luò)安全要求

在選定的五個(gè)項(xiàng)目合同中，GAO沒(méi)有發(fā)現(xiàn)任何可以證明項(xiàng)目官員在授予合同時(shí)就明確指出將如何驗(yàn)證網(wǎng)絡(luò)安全要求的例子。國(guó)防部強(qiáng)調(diào)了建立標(biāo)準(zhǔn)對(duì)于衡量承包商績(jī)效的重要性。明確客觀標(biāo)準(zhǔn)一來(lái)可以確保網(wǎng)絡(luò)安全要求清晰明確，二來(lái)也提供了一種機(jī)制來(lái)驗(yàn)證承包商是否滿足要求。對(duì)于其他系統(tǒng)需求，此次審查的合同通常確定了一些性能要求，以及政府將如何驗(yàn)證要求達(dá)標(biāo)。例如，在一份合同中，GAO審查了指定的燃油效率，然后描述了地形類型以及系統(tǒng)在測(cè)試期間的運(yùn)行速度。然而，GAO沒(méi)有看到網(wǎng)絡(luò)安全要求方面的驗(yàn)證細(xì)節(jié)，且審查的合同中只有一份有詳細(xì)的網(wǎng)絡(luò)安全要求。

3.1.4 各軍種表示網(wǎng)絡(luò)安全要求是一個(gè)普遍的挑戰(zhàn)

國(guó)防部和軍種官員普遍認(rèn)為，在合同中明確有效的網(wǎng)絡(luò)安全要求對(duì)采購(gòu)項(xiàng)目來(lái)說(shuō)是一個(gè)挑戰(zhàn)。國(guó)防部一位高級(jí)官員表示，對(duì)網(wǎng)絡(luò)安全要求進(jìn)行標(biāo)準(zhǔn)化是很難的，國(guó)防部需要與用戶更好地溝通網(wǎng)絡(luò)安全要求和系統(tǒng)工程，因?yàn)橛脩魧⒆罱K決定系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是否可以接受。國(guó)防部另一位高級(jí)官員表示，缺乏明確的網(wǎng)絡(luò)安全要求，給理解和執(zhí)行網(wǎng)絡(luò)安全帶來(lái)了挑戰(zhàn)。海軍官員舉了一個(gè)例子，某項(xiàng)目執(zhí)行辦公室在一份合同中列出了全面和詳細(xì)的網(wǎng)絡(luò)安全要求清單，但卻指出這在海軍內(nèi)部算是一個(gè)例外情況。

3.2 軍種的大多數(shù)指南不涉及網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證流程

目前除了空軍，各軍種的指南沒(méi)有明確采購(gòu)項(xiàng)目合同應(yīng)該如何規(guī)范武器系統(tǒng)的網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程，而這正是國(guó)防部和項(xiàng)目官員認(rèn)為有利于加強(qiáng)系統(tǒng)網(wǎng)絡(luò)安全的地方。如上所述，自2014年國(guó)防部制定政策以來(lái)，各軍種制定了一系列RMF實(shí)施指南；將網(wǎng)絡(luò)安全要求納入合同至關(guān)重要，然而當(dāng)前軍種的指南在這方面普遍存在缺失或不完整。

3.2.1 美國(guó)陸軍的政策和指南并未反映如何在合同中納入網(wǎng)絡(luò)安全要求

陸軍高層討論了政策和指南中的網(wǎng)絡(luò)安全要求，但沒(méi)有詳細(xì)說(shuō)明采購(gòu)項(xiàng)目應(yīng)如何在合同中納入網(wǎng)絡(luò)安全要求。根據(jù)國(guó)防部的政策和指南，陸軍在其政策和指南中強(qiáng)調(diào)了RMF在采購(gòu)項(xiàng)目中的安全控制和網(wǎng)絡(luò)安全要求的必要性，然而卻并未詳細(xì)說(shuō)明采辦項(xiàng)目應(yīng)如何將網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證流程納入合同。2019年，陸軍對(duì)其相關(guān)規(guī)定進(jìn)行了重大調(diào)整，要求高級(jí)領(lǐng)導(dǎo)人在采購(gòu)中整合網(wǎng)絡(luò)安全，并要求合同中涵蓋確保陸軍IT系統(tǒng)網(wǎng)絡(luò)安全的具體要求，包括武器系統(tǒng)。但是，規(guī)定沒(méi)有細(xì)化如何開展。

2019年，陸軍還發(fā)布了采辦項(xiàng)目網(wǎng)絡(luò)安全策略的新指南，支撐采辦項(xiàng)目實(shí)現(xiàn)網(wǎng)絡(luò)安全要求。除其他事項(xiàng)外，該指南明確了項(xiàng)目網(wǎng)絡(luò)安全策略的內(nèi)容，如對(duì)網(wǎng)絡(luò)安全要求的描述以及在合同中納入這些要求的計(jì)劃，但未說(shuō)明采購(gòu)項(xiàng)目應(yīng)如何制定這些內(nèi)容。

3.2.2 美國(guó)海軍的政策和指南并未反映出如何在合同中納入網(wǎng)絡(luò)安全要求

海軍的政策和指南強(qiáng)調(diào)了將網(wǎng)絡(luò)安全納入武器系統(tǒng)采辦過(guò)程的必要性，但沒(méi)有具體說(shuō)明如何在合同中納入網(wǎng)絡(luò)安全要求。海軍采購(gòu)項(xiàng)目網(wǎng)絡(luò)安全管理政策指出，海軍實(shí)施RMF為其提供了一個(gè)觀念，即確保網(wǎng)絡(luò)安全是海軍IT系統(tǒng)工程不可或缺的一部分，其中包括武器系統(tǒng)采辦。然而，該政策和相關(guān)指南并未涉及如何將網(wǎng)絡(luò)安全要求或安全控制納入合同。

海軍空中系統(tǒng)司令部（NAVAIR）負(fù)責(zé)監(jiān)督海軍航空項(xiàng)目的五個(gè)項(xiàng)目執(zhí)行辦公室，已開發(fā)了一套指南來(lái)幫助采購(gòu)項(xiàng)目更好地與承包商溝通其網(wǎng)絡(luò)安全和RMF要求。例如，NAVAIR開發(fā)了標(biāo)準(zhǔn)合同語(yǔ)言和相關(guān)流程，在采購(gòu)項(xiàng)目的合同授予后不久，政府和承包商的網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)就系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題召開會(huì)議，目的是完成RMF的前兩個(gè)步驟：分類和控制選擇。

NAVAIR的聲明中還要求承包商在合同授予后不久交付一份網(wǎng)絡(luò)安全戰(zhàn)略實(shí)施計(jì)劃，詳細(xì)說(shuō)明承包商將如何實(shí)現(xiàn)項(xiàng)目在網(wǎng)絡(luò)安全方面的目標(biāo)。

3.2.3 美國(guó)海軍陸戰(zhàn)隊(duì)的政策和指南并未反映出如何在合同中納入網(wǎng)絡(luò)安全要求

與陸軍和海軍類似，海軍陸戰(zhàn)隊(duì)在網(wǎng)絡(luò)安全和RMF實(shí)施方面的政策并未明確規(guī)定如何在合同中納入網(wǎng)絡(luò)安全要求。相關(guān)政策指導(dǎo)采購(gòu)項(xiàng)目經(jīng)理需確保網(wǎng)絡(luò)安全要求得已明確，并將網(wǎng)絡(luò)安全集成到系統(tǒng)設(shè)計(jì)、開發(fā)和實(shí)施過(guò)程中。該政策還明確RMF安全控制作為安全需求，應(yīng)該通過(guò)系統(tǒng)工程來(lái)細(xì)化。然而，該政策并沒(méi)有明確如何將網(wǎng)絡(luò)安全要求或RMF安全控制納入合同。一名海軍陸戰(zhàn)隊(duì)高級(jí)官員表示，在簽訂合同之初明確網(wǎng)絡(luò)安全至關(guān)重要，迄今為止海軍陸戰(zhàn)隊(duì)在這方面做出了努力，但仍是其項(xiàng)目采購(gòu)部門需改進(jìn)的領(lǐng)域。

3.2.4 美國(guó)空軍已制定指南將網(wǎng)絡(luò)安全要求納入合同

空軍內(nèi)部最近發(fā)布了針對(duì)將網(wǎng)絡(luò)安全要求納入合同的指南，部分是利用現(xiàn)有部門政策和指導(dǎo)。雖然空軍實(shí)施RMF的政策強(qiáng)調(diào)了使用系統(tǒng)工程將RMF安全控制納入系統(tǒng)需求的重要性，但它沒(méi)有細(xì)化如何將這些需求納入合同。2019年，空軍武器系統(tǒng)網(wǎng)絡(luò)彈性辦公室（CROWS）開發(fā)了空軍武器系統(tǒng)項(xiàng)目保護(hù)和系統(tǒng)安全工程指南（以下簡(jiǎn)稱CROWS指南）。CROWS指南將不同的國(guó)防部和空軍指令或指南合并為一個(gè)獨(dú)立的文件，同時(shí)也提供更詳細(xì)的解釋和實(shí)施建議。CROWS指南還提供了示例，如項(xiàng)目說(shuō)明書應(yīng)要求承包商使用建模和仿真來(lái)驗(yàn)證規(guī)范，并應(yīng)確保政府有機(jī)會(huì)參與到所有的測(cè)試中去。

4 結(jié) 論

自2018年GAO發(fā)布武器系統(tǒng)網(wǎng)絡(luò)安全研究報(bào)告以來(lái)，國(guó)防部致力于將網(wǎng)絡(luò)安全納入采購(gòu)過(guò)程，并取得了一些進(jìn)展。宏觀層面上，雖然各軍種附加的網(wǎng)絡(luò)安全指南和資源有助于進(jìn)一步將網(wǎng)絡(luò)安全實(shí)踐融入國(guó)防部文化。然而，GAO審查發(fā)現(xiàn)，附加的指南并沒(méi)有解決如何有效地將網(wǎng)絡(luò)安全概念轉(zhuǎn)化為合同中詳細(xì)具體要求的問(wèn)題，網(wǎng)絡(luò)安全要求應(yīng)與其他系統(tǒng)要求處于同等重要的地位。尤其是，在各軍種關(guān)于將網(wǎng)絡(luò)安全納入采購(gòu)的指南中未說(shuō)明項(xiàng)目應(yīng)如何在合同中明確網(wǎng)絡(luò)安全要求，并提供明確的驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證方法?？哲娨呀?jīng)采取了積極的行動(dòng)，通過(guò)制定內(nèi)部指南將項(xiàng)目特定的網(wǎng)絡(luò)安全要求納入合同。陸軍、海軍和海軍陸戰(zhàn)隊(duì)未來(lái)也可借鑒空軍的做法。正如空軍利用現(xiàn)有的政策和指南一樣，陸軍、海軍和海軍陸戰(zhàn)隊(duì)也可以采用現(xiàn)有的資源來(lái)實(shí)現(xiàn)其采購(gòu)的網(wǎng)絡(luò)安全需求。在采取這些措施之前，項(xiàng)目將繼續(xù)面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，合同中有可能未對(duì)詳細(xì)具體的網(wǎng)絡(luò)安全要求進(jìn)行明確。

5 行動(dòng)建議

GAO提出了三條建議，其中一條是給陸軍的，另兩條是給海軍的，具體如下。

建議1：陸軍部長(zhǎng)應(yīng)該為采購(gòu)項(xiàng)目制定指南，明確如何將特定的武器系統(tǒng)網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程納入合同。

建議2：海軍部長(zhǎng)應(yīng)該為采購(gòu)項(xiàng)目制定指南，明確如何將特定的武器系統(tǒng)網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程納入合同。

建議3：海軍部長(zhǎng)應(yīng)采取措施，確保海軍陸戰(zhàn)隊(duì)為采購(gòu)項(xiàng)目制定指南，明確如何將特定的武器系統(tǒng)網(wǎng)絡(luò)安全要求、驗(yàn)收標(biāo)準(zhǔn)和驗(yàn)證過(guò)程納入合同。