随着现代武器系统的数字化应用不断推进,其面临网络威胁也愈演愈烈。尤其是近年来网络武器加速向非国家行为体扩散,全球范围内针对核武器的网络攻击频发,网络攻击成为核武器系统面临的重大风险来源。如2020 年美国核武器承包商 Westech 遭 Maze 勒索软件攻击,敏感数据泄露;2021 年核武器承包商 Sol Oriens 遭黑客团队 REvil 勒索软件攻击,内部数据泄露。
一、核武器面临安全风险
近年来,NNSA及其承包商逐步增加了对先进计算机和数字化信息系统的使用,通过将信息系统集成至核武器系统中,从而实现核武器设计及自动化生产,利用计算机能力评估武器性能等目标。随着基于信息系统的核武器全生命周期支持功能增多,其嵌入式组件、系统也呈现指数级增长,其可能遭受的攻击面也随之极大增加,使得核武器系统更易遭受网络攻击。同时,人工智能、机器学习、大数据等新兴技术在武器系统中的扩展应用,亦加剧了核武器系统遭受网络攻击的风险。在高度数字化、智能化的核武器信息系统中,恶意对手极可能开发持续性威胁工具,采取秘密行动、欺骗等手段,控制或欺骗核武器系统,从而威胁国家核安全。
(二)核武器供应链安全落实不到位,无法切实阻止恶意组建植入
美国国防工业供应链尤其是微电子技术对非本土企业的依赖程度呈逐年上升趋势,同时针对软硬件供应链的网络攻击也随之增加由点及面的供应链攻击已逐渐成为一种战略性武器。NNSA依靠管理和运营承包商执行其研发、生产任务,而总承包商则依赖于数量众多的分包商提供各种服务、设备和组件,私营化的核武器开发和系统管理可能会带来供应链安全问题,严重破坏国家核武器系统安全。例如,2020年“太阳风日爆木马(SolarWinds SunBurst)供应链APT攻击侵入NNSA及多家承包商,导致承包商数据泄露,NNSA下属办公室部分职能受到影响。
(三)核武器设计不完善,网络安全问题缺乏思考
二、美政府安全管理措施
数十年间,美国政府持续发布行政命令、法律法规,制定保护联邦信息系统和管理网络风险的安全要求。例如,2014年《联邦信息安全现代化法案》要求能源部(DOE)与NNSA等机构制定、记录和实施支持保障关键业务及资产的信息系统安全计划;2021年《改善国家网络安全》行政命令指出联邦政府必须利用资源保护重要的IT信息系统及数据安全。
同时,美国多个政府机构及标准组织发布指导方案及标准指南,为部门制定了网络安全风险管理框架,应用于任务目标、业务流程和活动准则。例如,美国国防部创建网络安全成熟度模型认证(CMMC)框架,为国防承包商提供统一安全标准;国家标准和技术研究院(NIST)建立风险管理框架,为各机构管理和应对风险提供一致方案。
(二)确定风险管理角色责任,实施全组织安全方案计划
按照NIST标准政策规定,各组织应确定并指派个人或团队承担网络安全风险管理作用和责任,以更好地进行全组织范围监督,促进利益相关方合作。对此,NNSA通过其网络安全咨询委员会建立了风险治理结构,确定机构首席信息安全官为风险主管,指导并监督风险管理方案。
同时,各机构要求必须审查、记录并实施全组织范围内网络安全方案计划,要求联邦人员和承包商遵守网络安全要求和政策。NNSA共更新发布三个版本的网络安全方案计划,记录相关网络安全风险政策法案、条例指令,并要求每3年审查一次指令,以确认其相关性和准确性。
(三)建立风险管理战略,实施持续性监测策略
根据管理与预算办公室(OMB)、国家安全系统委员会(CNNS)管理要求,各机构应制定并实施风险管理战略,为确定、评估、应对和监测安全风险提供信息支持。2016年NNSA首次制定网络安全风险管理战略,充分考虑供应链、国家安全系统等风险因素,并于2021年进行审查更新。
同时,各机构应根据要求制定实施持续性、周期性的定期更新监测策略,以提供对全组织范围内的网络安全态势的持续监测。NNSA于2021年的“信息系统持续监测计划”全面实施了持续监测策略,但该策略并未考虑到界定持续控制评估方法、处理机构监测要求等。
(四)评估更新安全风险,制定可延续控制措施
根据NIST标准指南,各机构应从全组织角度进行识别、评估安全风险,并通过持续更新保障信息系统的正常运作及使用。NNSA曾发布2020年风险评估报告,确定了组织范围内的部分安全风险,并使用风险登记册跟踪、管理安全风险。
三、美军核武器安全进展
美军持续更新核武器系统,对其软硬件进行升级更新,从而实现与其他作战系统的安全联网。2019年,美国空军淘汰“战略性自动指挥与控制系统(SACCS)”使用的软盘,替代使用更为安全的固态数字存储设备;2019年,NNSA启动“核武器数字保证(NWDA)”项目,使得核武器IT环境网络安全与基本风险管理保持一致;2021年,美军战略司令部启动“下一代核指控通信(NC3 Next)”项目,对核指控通信系统进行现代化升级改造,增加网络兼容能力、弹性及灵活性。
(二)积极利用新兴技术保障核武器安全
美军积极运用人工智能、区块链技术开发防御工具,以更好地识别网络行为模式的变化、检测网络异常和软件代码漏洞,协助建立更加牢固的安全防线。2016年,美国防高级研究计划局(DARPA)与计算机安全公司Galois合作开发区块链项目,旨在安全储存国防部内部数据,尤其是核武器或军用卫星等高度机密项目;2020年,美国防创新单元授予ForAllSecure公司武器系统网络安全测试合同,将利用Mayhem自动化网络安全平台进行安全漏洞检测与修复。
(三)有序开展演习测试核武器网络风险
四、几点启示
美国防部敏感军事数据屡次陷入险境,究其原因国防工业承包商扮演着威胁发源地角色。通过攻破合作伙伴、供应商实现对目标精准打击的供应链攻击方式,在网络战中的作用愈发凸显。为此,美国陆续出台一系列加强供应链安全管理的政策法规。2018年白宫发布《国家网络战略》,针对联邦政府、国防系统、关键基础设施等领域供应链安全管理提出具体要求;2020年,美国网络空间日光浴委员会发布《构建可信信息通信技术供应链》,确保更可信的供应链和关键信息通信技术的可用性;2022年,NIST发布《网络供应链风险管理框架指南》,强调软件供应链的安全性和完整性,并分享了供应链攻击相关趋势和最佳实践。
(二)压实国防承包商的网络安全实践
近年来,美国家网络空间战略、国防部网络空间战略、国防授权法案等都提出加强国防工业基础(DIB)企业网络安全的要求,以顶层文件引导国防承包商打造符合网络安全标准的DIB企业,其中将网络安全要求强制纳入采购合同是美军提升武器系统网络安全的核心举措。为此,美国防部推出“网络安全成熟度模型认证(CMMC)”,编制CMMC框架五级标准,授权第三方机构对DIB企业的流程及实践进行网络安全成熟度等级认证,并将成熟度等级作为授予国防订单的先决条件。同时,国防部建立风险管理框架(RMF),通过六个步骤管理国防部包括采办武器系统的网络安全风险。
(三)新兴技术赋能武器系统安全
随着新兴技术日益成熟,积极开发运用人工智能、区块链、超级计算等技术,可帮助国家先发制人地应对网络攻击,减少武器系统遭受攻击的风险,使新兴技术为国家战略稳定提供支撑。如DARPA开展“可靠自主性”项目,为基于机器学习的网络物理系统在设计和运行阶段的安全性和功能提供保障;NNSA开展“高级模拟与运算项目(ASC)”项目,将利用美国劳伦斯•利弗莫尔国家实验室(LLNL)和IBM公司合作开发的深度学习超级计算机,用以核武器网络安全、核武器储备和防扩散管理等方面。
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
还没有评论,来说两句吧...