美国空军认为,过去数年,他们在武器系统网络安全这一新兴领域的提升取得重大进展,足以让他们开始向太空军推广长期使用的策略。
近年来,人们越发深刻地认识到武器平台容易受到网络威胁,需要不同于传统信息技术系统的安全策略加以应对。为此,美国空军于2017年首度采取措施,成立了武器系统网络弹性办公室(CROWS)。
过去三四年间,美国空军主要采用将专家团队“嵌入”采购办公室,帮助项目经理将网络安全问题纳入采购和维护方案。这些方案不仅针对新系统,也针对已经服役数十年的老系统。
这些专家团队被美国空军称作网络焦点小组,现在分别驻扎在马萨诸塞州汉斯科姆空军基地、俄亥俄州怀特-帕特森空军基地、犹他州希尔空军基地,佛罗里达州埃格林空军基地、俄克拉荷马州廷克尔空军基地、佐治亚州罗宾斯空军基地。
“对于我们的新系统,我们不受任何旧系统的限制,可以从零开始设计。”CROWS项目主管Joe Bradley在接受美媒联邦新闻网采访时说,“所以,我们正在和项目经理、后勤人员、测试和评估人员、系统工程师,甚至我们的财务人员合作,因为他们有切身利益。我可以开发一个非常复杂的解决方案,但如果它在财务上不可行,那么我就浪费了时间和金钱。这就需要整个采购团队从一开始就正确地构建它……网络安全不仅仅是工程问题,而是全局性问题。”
对于已部署系统,CROWS也一直在想方设法“补强”老旧武器平台的网络弹性。这些武器平台是数年乃至数十年前设计的。当时,网络威胁还不是多么重要的问题。
“CROWS通过我们的网络焦点小组推动对网络健康进行多方面评估,具体包括项目保护方案、获得操作授权需提交的各类信息和文档、风险管理框架的相关元素、网络威胁演化如何影响我们的应对方式。”CROWS物资主管Zach Lehmann中校表示,“我们会通过年度报告披露这些信息,同时也提供给项目执行人员和他们的工程总监,让大家思考‘怎样才能更好地理解采购实践,合理应用资源,逐步改进产品?’”
一直以来,整个美国国防部都面临一大难题——应该怎样将网络安全问题融入采购流程,比如怎样拟定合适的合同。美国政府问责署(以下简称“问责署”)在2021年报告中指出,大多数军种没有制定指导方针,说明如何为武器系统采购订立网络安全需求合同。问责署指出,美国空军是唯一的例外。2019年以来,美国空军通过CROWS办公室,持续发布《武器系统项目保护和系统安全工程指南》。该《指南》的最新版(5.0版)即将公开发布。
“在涉及网络安全的行业领域,我敢说,有一万多页的政策和指导方针散见于不同的职能部门。少数指导意见已经触达了部分从业人员。” Lehmann说,“这份《指南》视角广阔,提出了一系列问题‘我们如何从纷繁的信息中提炼出系统安全工程最佳实践?我们如何简化所有这些指导方针,消解重复或矛盾之处?我们如何只编制一份文件,就能覆盖任何盲点?我们如何整合不同职能视角,初步拟定采购时间表,并确定在哪里应用这些最佳实践?’”
当然,Lehmann表示,美国空军的供应商也是这份《指南》的目标读者。
“《指南》本质上是进行预期管理。打个比方,我们要在需求里塞入一个标准的关键绩效参数,用来衡量系统生存能力。具体的项目办公室决定了参数描述会转化为怎样的合同措辞。不同的办公室会有不同的解读。”他说,“《指南》告诉我们如何对采购流程中的设计审批加以管理,如何为政府采购方和行业伙伴简化设计审批流程,因为各方需要携手走完整个收购流程。”
至于CROWS具体如何推广到太空军,大多数细节仍然有待明确。Bradley表示,他们办公室在一月份和太空军官员进行了初步讨论,太空军系统可能采取空军的既有策略:引入多学科团队协助项目办公室,保证大型复杂系统可以逐渐提升网络弹性。
“我们正与太空军合作,确定他们希望将哪些系列、类别、级别的工件加入他们的项目组合”,他说,“我们在讨论的是在非太空军项目组合中使用过,并被证明行之有效的模板。因此,尽管还在起步阶段,我们已经开始借鉴我们与非太空军人员的合作经历,逐步将架构丰富起来。”
文章来源: https://hackernews.cc/archives/43681
如有侵权请联系:admin#unsafe.sh