美國政府問責辦公室《武器系統網絡安全》報告解讀*

鄒晶晶

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著計算機的普及和信息技術的不斷發展，美國防部的武器系統比以往更依賴于軟件，且更加網絡化，同時，由于針對武器系統的網絡安全保護相對起步較晚，因此，美國防部在保護武器系統免受網絡威脅方面面臨巨大的挑戰。2018年10月，美國政府問責辦公室（GAO）發布了《武器系統網絡安全：美國防部開始應對規模性漏洞》報告，該報告稱美國防部計劃投入1.66萬億美元用于研發先進武器系統[1]。按照要求，GAO審查了國防部武器系統的網絡安全狀況，并從武器系統網絡安全存在的問題、武器系統的脆弱性、國防部的應對措施等3個方面探討了如何開發一個更安全的武器系統。

1 《武器系統網絡安全》報告發布背景

武器系統是大型的、復雜的系統之系統，它具有各種各樣的形狀和大小，功能也各不相同[2]。盡管在形式、功能和復雜性上都存在明顯差異，但武器系統和其他類型的系統在一些重要方面還是有很多相似之處。例如，許多武器系統都依賴于商業軟件和開源軟件，這些軟件中自身所帶有的網絡安全漏洞、網絡安全風險和網絡安全威脅必將對武器系統產生影響；另外，武器系統依靠防火墻和其他常見的安全控制手段避免遭受網絡攻擊，而如果系統配置不當，武器系統的安全控制可以被利用或繞過；最后，武器系統是由人操作的——對于任何系統來說，人都是最需要注意的網絡安全漏洞。除此之外，由于武器系統所涉及的類型多種多樣，因此會面臨一些獨有的網絡安全問題。研究人員針對武器系統的網絡安全問題制定了相應的攻擊/防御模型，如圖1所示。

圖1 網絡安全問題的攻擊/防御模型

網絡攻擊者通過尋找繞過安全控制的方法，以獲得對系統的完全或部分控制。首先，攻擊者通常會通過偵查等手段盡可能多的了解系統，確定系統中存在的漏洞。攻擊者對系統了解的越多，在設計攻擊活動時的選擇就越多。攻擊者可能會識別到一個系統開發人員以前都未曾意識到的漏洞，或者尋找到一個沒有安裝已知安全更新的系統組件。商業組件的開發人員通常會公開發布所有安全補丁，諷刺的是，這為攻擊者提供了攻擊系統或組件的路線圖[3]。

系統所有者希望阻止（至少減少）企圖破壞系統機密性、完整性和可用性的攻擊行為。開發人員實施的安全控制，譬如防火墻、基于角色的訪問控制和加密等手段，可以減少潛在攻擊點的數量。許多控制手段都需要在系統開發的初期階段安插在系統中。理想情況下，這些控制手段需要設計為協同工作模式，并擁有不同的控制層級。攻擊者為了獲取對系統的控制權，有時需要突破這一控制層級，也就是所謂的“深度防御”。保護系統還包括管理過程，例如要求用戶定期更改密碼并定期安裝系統補丁。但是，沒有一個系統可以稱得上絕對安全，因此系統管理者必須持續監視系統的可疑活動。一旦檢測到此類網絡活動，系統所有者需要采取措施終止攻擊行為，并恢復因攻擊者行為而降級的所有系統功能。

2 國防部武器系統網絡安全問題日益突出

國防部武器系統的網絡安全問題是由多種因素導致的，包括：國防部武器系統日益計算機化和網絡化、國防部過去未將發展武器系統網絡安全作為優先項，以及國防部對“如何更好地開發更安全的武器系統”理解不透徹。如今的國防部武器系統更加依賴于軟件和信息技術的發展，而且更加網絡化。這改變了武器系統的性能，是美國現代軍事能力的根本推動者。然而，這種改變是要付出代價的，越來越多的武器系統開始受到網絡攻擊。直到最近，國防部在武器系統采辦過程中還是沒有優先考慮網絡安全問題，因此，在保護武器系統網絡安全問題的道路上，國防部依舊任重道遠。

2.1 武器系統中的網絡漏洞風險不斷增加

國防部武器系統越來越依賴軟件和信息技術來達到預期性能指標。如今，武器系統中的軟件數量呈指數級增長，并嵌入到眾多技術復雜的子系統中，導致幾乎所有武器系統的功能都由計算機進行控制。然而，對軟件和信息技術的依賴必然導致武器系統攻擊面的增加，任何信息交換都是攻擊方的潛在切入點。即使是出于安全原因，“氣隙”系統沒有與互聯網直接連接，攻擊方也可以借助其他方式（如USB設備或光盤）對其進行訪問[4]。

國防部系統與外界的連接極有可能引入漏洞，從而使系統防御更難進行。目前，國防部幾乎所有的組件都是網絡化的。而且都會通過各種接口實現外部連接。例如，武器系統會連接到被稱為“國防部信息網絡”的泛在網絡，如國防承包商的網絡；技術系統、后勤、人員和其他與業務相關的系統會與武器系統連接到同一網絡。另外，一些武器系統可能不會直接與網絡相連，而是連接到其他系統，這些系統會直接與公共互聯網相連接。在這種情況下，如果攻擊者可以訪問其中一個系統，那么就可能通過連接網絡來訪問其他任何系統。更為復雜的是，武器系統往往依賴于外部系統來執行任務，如果這些系統受到攻擊，就極有可能會影響其任務的執行。

2.2 網絡安全還未成為武器系統采購的重點

美國政府問責辦公室在20世紀90年代初就發現，增加對軟件和網絡的依賴會帶來諸多網絡安全風險。近期，美國防部也開始考慮武器系統的網絡安全。在2014年以前，國防部的網絡安全工作重點一直在保護傳統IT系統上，而在整個武器系統的采購過程中普遍缺乏對網絡安全的重視。

以往，網絡安全并不是武器系統開發過程中的重點。它既不是制定采辦和需求政策的焦點，也不是制定采購決策的焦點。直到幾年前，國防部的主要需求政策都還沒有要求將網絡生存能力納入關鍵性能參數中。關鍵性能參數是開發武器系統時必須滿足的、最重要的系統能力。它們在采辦項目的早期建立，并推動系統設計決策的制定，同時，還被用作衡量項目績效的基準，并在采辦決策和其他監督過程中被審查。由于許多現有的武器系統不需要網絡安全密鑰的性能參數，因此在開始研制時沒有高級別的網絡安全要求，這反過來限制了在武器系統設計、開發和監督期間對網絡安全的重視。此外，項目缺乏網絡安全要求也可能導致在將網絡安全納入武器系統測試時遇到一定阻礙。

由于未將網絡安全納入性能要求和采辦流程的關鍵方面，國防部錯過了使網絡安全在關鍵采辦決策中發揮突出作用的機會[5]。而且，由于缺乏對武器系統網絡安全的關注，國防部可能有一整代系統都是在沒有充分考慮網絡安全的情況下設計和建造的。對這些系統進行網絡安全部署將是非常困難的，不僅這些系統及其任務本身的安全面臨風險，而且舊系統還會對新系統的安全產生影響。

2.3 未確定解決武器系統網絡安全問題的方法

鑒于武器系統在網絡安全需求存在不同之處，并且特別具有挑戰性，國防部一直在商榷如何最好地解決武器系統的網絡安全問題。盡管武器系統與傳統IT系統有相似之處，但在武器系統中采用與傳統IT系統相同的網絡安全方法顯然并不合適。國防部的安全控制是針對IT系統而不是武器系統開發的，因此國防部需要對現有安全政策進行調整，確定如何使具有特定網絡漏洞的武器系統組件盡可能安全。然而，目前國防部官還不清楚哪些工業控制系統嵌入到了他們的武器中，或者使用這些系統的安全含義是什么。近幾年，國防部已經開始資助一些項目，以便更好地理解如何加強這些系統的安全性。

武器系統的一些特殊原因使得定制網絡安全方法變得非常重要，但這也增加了網絡安全防御的難度。由于武器系統可能非常龐大、復雜，系統體系之間存在許多相互依賴關系，因此更新系統的一個組件可能會影響其他組件。此外，武器系統通常分散或部署在世界各地，某些已部署的系統只有在返回特定地點時才能進行軟件更新，這就意味著某些武器系統在已知存在漏洞的情況下仍在運行，并且可能會超時運行。

更嚴重的是，一些項目辦公室可能還沒有對其系統設計的網絡安全影響有一個全面深入的了解。很多政府官員甚至認為，武器系統比其他類型的系統更安全，因為武器系統通常沒有直接連接到互聯網。事實上，武器系統的潛在攻擊途徑非常多，例如可攻擊其無線電通信接收器和雷達接收器。

3 武器系統評估中發現大量關鍵任務漏洞

在2012年至2017年間，幾乎所有經過作戰評估的采辦項目都存在關鍵任務漏洞。評估人員通過使用一些簡單的工具和技術，就能夠在短時間內獲取未經授權的訪問，并實現對武器系統的完全/部分控制。通常，評估人員會對四個安全目標——保護、偵查、響應和恢復——進行網絡安全測試，并在這些目標中發現廣泛存在的漏洞。

3.1 保護

3.1.1 測試人員能夠輕易獲得控制權

盡管武器系統配備了禁止未授權訪問的網絡安全措施，但測試人員仍能夠借助各種手段進入系統。在一個案例中，一個兩人小組僅用了一個小時就獲得了武器系統的初始訪問權，僅用一天時間就完成了對測試系統的完全控制。一旦測試人員獲取初始訪問權，他們常常能夠在整個系統中自由穿行，逐步升級權限，最終獲得系統的部分甚至完全控制權。

3.1.2 測試人員僅需要基礎工具

測試人員僅需要使用初、中級工具和技術就能夠擾亂、進入或控制武器系統。由于安全原因，測試小組掃描完系統后必須停止正在進行的測試。這是大多數攻擊者都會使用的基本技術，幾乎不需要任何專業知識和技能。在測試報告中評估人員發現，密碼管理不善也是一個常見問題。許多武器系統都使用商業或開源軟件，但在安裝軟件時卻沒有更改默認密碼，這使得測試小組能夠在互聯網上查找密碼，并獲取對該軟件的管理員權限。

3.1.3 安全控制不足以確保安全

簡單的網絡安全控制并不意味著系統是安全的，控制實施的程度可以顯著地影響網絡安全。一份測試報告表明，盡管系統已經實施了針對角色的訪問控制，但系統的內部通信并未加密，因此普通用戶可以讀取管理員的用戶名和密碼，并以此獲取系統的更大訪問權限，最終影響系統機密性、完整性和可用性。

3.1.4 項目沒有解決之前發現的一些漏洞

測試人員會利用先前網絡安全評估中識別的漏洞來發現武器系統的漏洞。先前評估中發現的20個網絡漏洞只有1個被糾正，測試人員利用相同的漏洞獲得系統的控制權。當被問及為什么沒有解決漏洞時，項目負責人表示他們已經確定了解決方案，但由于某些原因尚未實施。他們由此將失誤歸咎于承包商。

3.2 偵查

偵查網絡入侵和攻擊活動的常用方法是通過查看系統日志查找異常事件。測試人員的活動將會記錄在系統日志中，但操作人員卻沒有對日志進行審核，武器系統中也沒有用于審查日志的記錄程序。評估報告顯示，在某些安全評估中系統或用戶根本沒有偵查到測試人員的活動。其中，一位測試人員在未被偵查到的情況下活動了數周。即使測試人員故意制造一些攻擊，并且沒有試圖隱藏，其行為也沒有被系統和用戶察覺。在其他情況下，入侵檢測系統能夠正確地將測試人員活動識別為可疑活動，但卻沒有對其進行檢測。系統和用戶毫無察覺，是因為無原因的系統崩潰經常出現，入侵檢測系統雖然偵查到了可疑行為，但鑒于安全警告太過常見，也沒有引起操作人員的注意。

3.3 響應/恢復

多個評估報告表明，操作人員沒有有效地響應測試人員的活動。在多個測試中，操作人員都沒有進行及時響應，因為他們根本沒有意識到測試人員的活動。然而在某些情況下， 即使操作人員確認或被告知遭受了測試人員的攻擊，也無法有效響應，即使操作人員發現了攻擊行為，并采取措施阻止測試人員訪問系統，測試人員仍能夠輕松規避安全措施完成攻擊。在測試人員的活動危及到武器系統的情況下，操作人員甚至需要外部幫助來恢復系統性能。

4 國防部采取措施改善武器系統網絡安全

在過去幾年中，國防部已經采取了幾項重大措施改善武器系統的網絡安全。國防部發布并更新了許多政策和指導性文件，以發展網絡彈性系統。其中，改革措施包括規定網絡安全政策適用于武器系統，要求在武器系統的采辦周期中更多地關注網絡安全。國防部和國會已經提出倡議，幫助國防部提升對武器系統網絡漏洞的理解，并采取措施降低網絡漏洞的風險。

4.1 發布并更新政策和指導性文件

2014年以來，國防部已發布或更新了至少15個國防部級別的政策、指導性文件和備忘錄，旨在推廣更多的網絡安全武器系統，如表1所示。其中，兩個重要的變化是：

（1）國防部已有的網絡安全政策現在明確適用于武器系統；

（2）由于意識到系統不可能100%安全，國防部已經開始在新政策中強調網絡彈性。

政策和指導性文件中所涉及的變化，采用的是已經在政府范圍內普遍存在的風險框架，加強了國防部對武器系統網絡安全的重視。然而，現在來評估這些改變是否會改善武器系統的網絡安全還為時尚早。因為對需求流程的更改主要適用于新得程序，因此，采用新流程的系統可能需要很多年才能進行運行測試和部署。

4.2 采取措施解決武器系統的網絡漏洞

《國防授權法案》要求國防部長在2019年底之前評估每個國防部武器系統的網絡漏洞，并制定策略以降低這些漏洞所產生的風險。對此，國防部網絡戰略辦公室要求國防部著手改進現有武器系統的網絡安全，提高對武器系統漏洞的認識，為今后開發更安全的系統提供保障。國防部正在梳理現有的漏洞信息，并開始一些新的測試，以提供關于各個系統的網絡安全態勢信息。作為這項舉措的一部分，國防部一直在努力將網絡安全納入大規模軍事演習，以便能夠對各系統漏洞造成的影響有更全面地了解。

表1 國防部旨在改進武器系統網絡安全的重要政策與指導性文件

同時，軍事服務部門還建立了以網絡安全為重點的武器系統辦公室，以改善其網絡安全態勢，表2對此做了簡要說明。

表2 側重于武器系統網絡安全的軍事服務舉措

4.3 著力解決武器系統安全面臨的挑戰

如今，在推進武器系統網絡安全過程中，國防部所面臨的第一個挑戰就是人員問題。國防部難以雇用和留住網絡安全專業人員，即使找到填補空缺的人員，也可能未必具備適當的專業知識。武器系統網絡安全是一個專業領域，該領域的專家需要了解國防部的采購流程，特定武器系統的專業技術，以及網絡安全知識。在沒有專業知識的情況下，項目很難有效地實施網絡安全政策和指南。如今，國防部正在努力招募國防部網絡安全人員并加強其技能。各軍兵種也期望通過實習與高校建立合作伙伴關系來招聘網絡安全分析人員。此外，各軍兵種還將制定相關培訓課程，以提高現有采辦人員的專業知識。

國防部面臨的第二個挑戰是信息共享。對信息進行保護，攻擊者就無法訪問，而通過信息共享，國防部可以擁有一支具有信息優勢的人員隊伍，因此，很難在二者之間找到平衡。對武器系統網絡漏洞和威脅信息的這種高級別保密分級有助于保護敏感信息，但這使國防部難以與內部網絡安全人員共享有關武器系統網絡安全方面的信息。更廣義地說，因為他們沒有跨項目共享漏洞和威脅信息，所以項目并未察覺到存在的全部風險，并且國防部可能對其武器系統組合中的漏洞情況了解的較少。美國政府內部多個機構都承認在國防部內進行各密級信息共享將會面臨諸多挑戰，部分示例詳見表3。

表3 網絡漏洞和威脅信息共享所面臨的挑戰

5 結 語

根據對美軍武器系統網絡安全情況的跟蹤研究發現，美國在政策支持、財政投入、技術研究等方面均對武器系統網絡安全發展有著日益顯著的支持。該報告對我國武器系統網絡安全發展啟示如下。

（1）武器系統存在網絡安全漏洞，必須重視武器系統網絡安全問題。如同絕大多數IT系統存在安全漏洞一樣，再先進的武器系統也同樣存在網絡安全漏洞，我們需要提高對武器系統網絡安全迫切性和重要性的認識，大力普及武器系統網絡安全知識，加強武器系統網絡安全的培訓教育，深入開展武器系統網絡安全風險分析，開展網絡對抗演練，提高對武器系統網絡安全的重視程度。

（2）信息技術的引入增加了武器系統的攻擊面，必須加強對武器系統的網絡安全測評。武器系統大量運用信息技術以提高其性能，與此同時也增加了武器系統的受攻擊面，引入更多風險。因此，必須加強網絡安全測評，推進對現役武器系統的網絡安全掃描以及風險評估，為網絡安全防護加固奠定基礎。

（3）武器系統復雜龐大，必須對武器系統網絡安全進行一體化設計。武器系統由不同的子系統構成，系統之間的依賴程度高，網絡安全測評和加固，對系統的功能和性能會造成較大影響，因此，必須對武器系統網絡安全進行一體化設計，將網絡安全納入武器系統指標體系。