3月28日,美国兰德智库发布报告《增强武器系统的网络安全与网络弹性》,对美国空军的网络安全工作进行了评估,识别出武器系统全生命周期中在利用工程手段实现网络安全和弹性方面存在的不足,最后提出改进建议。报告探讨了如何通过工程管理来增强武器系统在网络对抗环境下的安全性和弹性,以确保武器系统满足各种网络安全需求。
报告点击链接下载
报告主要结论:
1. 设计阶段:尽管系统安全工程已成为美国国防部武器系统网络安全和弹性的政策,但在空军尚未普遍实施,缺乏具体的实施指导。目前过度依赖风险管理框架(RMF),但RMF主要在系统工程之后才实施。
2. 运行和持续保障阶段:基层组织(如联队)承担了大部分武器系统日常安全监控工作,但存在以下问题:
- 没有要求向项目办公室反馈武器系统网络状态或网络事件
- 网络安全和弹性目前不是持续保障工程或生命周期维持计划的核心内容。
报告建议:
1. 为每个武器系统制定和维护一个全生命周期的、基于工程的网络安全和弹性综合计划。
2. 在设计阶段,通过在项目计划和合同中明确以下内容来加强系统安全工程:
- 具备充分网络可分离性的系统设计标准
- 国防部将用于评估设计网络弹性的方法
以上工程和合同规定需要针对安全结果制定具体和可衡量的内容,这需要在标准和方法上根据经验进行进一步完善。
3.在运行和持续维护阶段,建议加大持续保障工程和生命周期维持计划对网络安全性和弹性的使用。对项目办公室的具体建议:
- 为基层组织配备经批准的武器系统网络监控工具,这些工具需要针对具体武器系统量身定制,采用严谨的、具备安全意识的设计开发测试以避免引入攻击途径,并能全面访问武器系统。
- 为基层组织如任务防御团队提供武器系统网络监控的技术指导。
- 接收系统边界内任何非额定行为或网络事件的信息。
- 指导并批准系统边界内的任何配置变更。
4. 建议空军参考飞机维护生态,为网络持续工程打造类似的生态系统,包括为上述技术指导的差异提供类似22表格的通知流程,以及类似107表格的针对项目办公室的额外网络相关技术援助请求等。
5. 生命周期管理计划应明确概述如何在运行、维持和废弃期间确保每个武器系统的网络安全性和弹性。
6. 报告提出,安全不应被由风险管理框架来实现,而应通过可靠的工程和持续警惕来创造,并由风险管理框架进行严格和持续的评估。
报告原文和译文请点击原文链接下载
联参智库现有全球军事领域情报资料80万份,纵向贯穿战略规划、条令法规、指南手册、标准报告,横向覆盖全球主要50个防务智库报告。
资料专题,作战概念、指挥控制、无人系统、人工智能,试验鉴定等;
数据产品,如全球武装力量数据、军用无人机数据等;
软件产品,如全球装备参数数据库、全球现代军用飞机数据库等;
译文产品,如参联会系列文件、联合部队作战与条令等;
研究报告,如世界无人作战力量建设、星链反制等。