美軍網(wǎng)絡安全試驗鑒定問題研究*

謝偉朋，鄭 超，薛 衛(wèi)

（軍事科學院系統(tǒng)工程研究院，北京 100082）

0 引言

新世紀以來，信息技術已廣泛應用于所有的作戰(zhàn)系統(tǒng)和保障系統(tǒng)之中，使這些武器系統(tǒng)的作戰(zhàn)效能得以大幅提升。然而，隨著武器系統(tǒng)遭受網(wǎng)絡攻擊威脅的不斷增加，如何堵住裝備網(wǎng)絡安全的漏洞和減少網(wǎng)絡安全滲透性的威脅，已成為信息化裝備試驗鑒定工作的一項重要內容。在逼真的對抗環(huán)境下開展網(wǎng)絡安全試驗鑒定就是使軍事任務目標和關鍵保障系統(tǒng)能夠持續(xù)應對不斷變化與發(fā)展的網(wǎng)絡空間威脅。

1 美軍網(wǎng)絡安全試驗鑒定概況

裝備網(wǎng)絡安全試驗鑒定作為檢驗武器系統(tǒng)網(wǎng)絡漏洞的重要手段，被美軍高度重視。為了在國防采辦中開展網(wǎng)絡安全試驗鑒定，美國防部于2017年更新了指示5000.02《國防采辦系統(tǒng)的運行》附件14，將網(wǎng)絡安全試驗鑒定以附件形式呈現(xiàn)。2020年，隨著國防部采辦政策改革落實落地，出臺了5000.89指示《試驗與鑒定》，進一步強調了網(wǎng)絡安全在國防采辦中的重要性，旨在強力推進網(wǎng)絡安全試驗鑒定。

1.1 網(wǎng)絡安全試驗鑒定政策法規(guī)

近年來，美軍逐漸認識到，國防采辦項目在經(jīng)過作戰(zhàn)試驗鑒定后，仍然存在大量的網(wǎng)絡安全漏洞，并且這些漏洞均可能被對手利用，從而實現(xiàn)對系統(tǒng)的控制。在2014年之前，美軍的網(wǎng)絡安全工作重點一直在保護傳統(tǒng)信息系統(tǒng)上，而在國防采辦過程中普遍缺乏對網(wǎng)絡安全的重視，給武器系統(tǒng)履行使命任務帶來嚴重安全隱患。為了提高武器系統(tǒng)履行使命任務的能力，美國防部圍繞國防采辦流程，發(fā)布或更新了至少15項網(wǎng)絡安全試驗鑒定相關政策法規(guī)、指導文件和備忘錄，旨在將網(wǎng)絡安全試驗鑒定納入國防采辦試驗鑒定體系。該文件主要包括：

（1）國防部5000.02《國防采辦系統(tǒng)的運行》指示。該國防部指示囊括了國防采辦管理體制的目的、管理機構的職責和采辦程序，可用于規(guī)范國防采辦流程，并于2017年更新了附件14“國防采辦系統(tǒng)的網(wǎng)絡安全”，主要內容是加強了對采辦過程中網(wǎng)絡安全方面的控制，并要求國防采辦項目開展網(wǎng)絡安全試驗鑒定活動[1]。

（2）國防部5000.75《業(yè)務系統(tǒng)需求與采辦》指示。該國防部指示主要涉及針對國防業(yè)務系統(tǒng)制定的政策與程序，覆蓋業(yè)務系統(tǒng)需求、采辦壽命周期以及管理機構職責等方面。其中包含針對國防業(yè)務系統(tǒng)網(wǎng)絡安全的政策要求，規(guī)定了國防業(yè)務系統(tǒng)采辦必須涵蓋網(wǎng)絡安全流程，并要求采辦項目需通過試驗鑒定降低系統(tǒng)的網(wǎng)絡安全風險[2]。

（3）國防部8500.01《網(wǎng)絡安全》指示。該國防部指示面向國防系統(tǒng)定義了網(wǎng)絡安全政策與程序，將網(wǎng)絡安全的規(guī)劃、實施、試驗與鑒定納入國防采辦壽命周期，并規(guī)定在整個采辦壽命周期內持續(xù)關注網(wǎng)絡安全。同時，該指示制定了網(wǎng)絡安全試驗鑒定流程，并著重強調了作戰(zhàn)彈性評估的重要性[3]。

（4）國防部8510.01《國防部信息技術的風險管理框架》指示。該國防部指示規(guī)范了針對國防部信息技術的網(wǎng)絡安全風險管理政策，并描述了作用于全壽命周期的風險管理框架需執(zhí)行和維護的職責。其中要求將風險管理框架與研制試驗、作戰(zhàn)試驗相集成，并建議加強試驗鑒定之間的合作，減少重復的時間與資源成本[4]。

（5）國防部8530.01《網(wǎng)絡安全活動對國防部信息網(wǎng)絡運行的支持》指示。該國防部指示支持風險管理框架要求，以持續(xù)監(jiān)控安全控制，確定國防部信息網(wǎng)絡和作戰(zhàn)環(huán)境的變更對安全的影響，并執(zhí)行國防部8510.01指示中所描述的補救措施。

1.2 網(wǎng)絡安全對信息化裝備的影響

隨著信息技術在武器裝備中的廣泛應用，人類戰(zhàn)爭和軍事形態(tài)進一步呈現(xiàn)出由機械化向信息化全面轉型的趨勢。信息技術作為武器裝備的力量倍增器，在現(xiàn)代戰(zhàn)爭中的地位與作用愈加凸顯，網(wǎng)絡安全性成為信息化裝備的一個基本特性。

信息化裝備自身所帶有的網(wǎng)絡安全漏洞、網(wǎng)絡安全風險和網(wǎng)絡安全威脅必將對武器系統(tǒng)產(chǎn)生影響，在網(wǎng)絡對抗環(huán)境下，針對武器裝備脆弱性開展的網(wǎng)絡攻擊已逐漸成為影響裝備戰(zhàn)技指標、作戰(zhàn)任務完成能力的關鍵因素。美國作為世界上網(wǎng)絡技術最為強大的國家，武器裝備的信息化也走在世界前列，盡管美軍一直比較重視武器裝備的網(wǎng)絡安全，但在實踐中，美軍武器裝備存在的問題，既有武器裝備在作戰(zhàn)應用中暴露出來的網(wǎng)絡安全問題，也有在對抗演習以及日常管理中暴露出來的武器裝備網(wǎng)絡安全的各種問題。

1.3 網(wǎng)絡安全在作戰(zhàn)試驗中的作用

美軍的作戰(zhàn)試驗由軍方單獨的作戰(zhàn)試驗鑒定機構負責實施，主要是考核檢驗新武器系統(tǒng)在逼真作戰(zhàn)環(huán)境中的作戰(zhàn)效能與適應性。按照國防部《試驗與鑒定》指示要求，作戰(zhàn)試驗鑒定應對所有采辦程序進行網(wǎng)絡脆弱性與滲透性評估和對抗性評估，包括國防部系統(tǒng)和國防業(yè)務系統(tǒng)。作戰(zhàn)試驗的目的是識別系統(tǒng)的網(wǎng)絡脆弱性、檢查攻擊路徑、評估作戰(zhàn)網(wǎng)絡能力，以及確定在網(wǎng)絡威脅環(huán)境下執(zhí)行作戰(zhàn)任務的效果，并通過集成研制試驗事件的數(shù)據(jù)，為系統(tǒng)的作戰(zhàn)效能和適應性提供總體評估信息。開展網(wǎng)絡安全作戰(zhàn)試驗應滿足相應條件，才能開展作戰(zhàn)試驗。一是滿足作戰(zhàn)試驗鑒定的目標要求；二是被測系統(tǒng)必須是足夠成熟的版本；三是網(wǎng)絡安全測試的結果應該是對關鍵任務網(wǎng)絡安全脆弱性的了解，并應在系統(tǒng)部署之前消除每個脆弱性。

2 美軍網(wǎng)絡安全試驗鑒定程序要求

《網(wǎng)絡安全試驗鑒定指南》將網(wǎng)絡安全試驗鑒定程序劃分為確定網(wǎng)絡安全需求、表征網(wǎng)絡攻擊面、協(xié)同脆弱性確認、對抗性網(wǎng)絡安全研制試驗鑒定、協(xié)同脆弱性與滲透評估以及對抗性評估6個階段，其中前4個階段進行研制試驗鑒定工作，后2個階段執(zhí)行作戰(zhàn)試驗鑒定工作[5]。該程序與國防采辦壽命周期的對應關系如圖1所示。

圖1 采辦壽命周期對應的網(wǎng)絡安全試驗鑒定階段

2.1 第1階段：確定網(wǎng)絡安全需求

該階段任務是通過審查系統(tǒng)文件，確定網(wǎng)絡安全標準、作戰(zhàn)彈性和網(wǎng)絡生存能力的需求，以及可能影響試驗條件、環(huán)境、方法或優(yōu)先級的信息，并以此制定網(wǎng)絡安全試驗鑒定的策略與計劃，包括試驗人員、試驗對象、試驗場所、試驗周期、試驗方法、網(wǎng)絡安全評估所需試驗數(shù)據(jù)等。

2.2 第2階段：表征網(wǎng)絡攻擊面

該階段任務是分析系統(tǒng)中所有形式的通信、網(wǎng)絡連接、軟件、硬件、供應鏈以及人機交互，識別、形成攻擊面列表，并進一步分解系統(tǒng)任務，構建“任務—系統(tǒng)—攻擊面”之間的依賴關系。在此基礎上，分析攻擊面可能面臨的網(wǎng)絡威脅以及相應的網(wǎng)絡攻擊路徑，結合任務依賴關系，確定網(wǎng)絡攻擊面及其優(yōu)先級，同時該分析結果可用于指導試驗鑒定計劃的完善以及測試用例的設計。

2.3 第3階段：協(xié)同脆弱性確認

該階段的目的是確認硬件、軟件、接口、操作和體系結構中的已知網(wǎng)絡安全脆弱性，并評估與這些脆弱性相關的系統(tǒng)任務風險，進一步確定適當?shù)木徑獯胧┗驅Σ咭越档惋L險。根據(jù)系統(tǒng)工程定義的關鍵技術參數(shù)評估測試數(shù)據(jù)，并向系統(tǒng)設計者和工程師提供反饋，以解決發(fā)現(xiàn)的脆弱性。脆弱性評估團隊還可以執(zhí)行協(xié)同滲透測試，以證明已發(fā)現(xiàn)漏洞的可利用性，并提高系統(tǒng)網(wǎng)絡生存能力和彈性。

2.4 第4階段：對抗性網(wǎng)絡安全研制試驗鑒定

該階段同樣是制定試驗計劃，內容包括試驗目標、完成試驗所需數(shù)據(jù)、試驗資源、交戰(zhàn)規(guī)則、試驗流程及測試用例等，并形成相關文檔。在完成試驗條件準備后，針對系統(tǒng)關鍵功能，在具有代表性的作戰(zhàn)環(huán)境中，使用現(xiàn)實的威脅利用技術充分挖掘此前未知的關鍵脆弱性，并確定其對系統(tǒng)任務的影響，以評估任務范圍內的系統(tǒng)作戰(zhàn)彈性以及網(wǎng)絡生存能力。

2.5 第5階段：協(xié)同脆弱性與滲透評估

該階段在作戰(zhàn)試驗鑒定期間，進行網(wǎng)絡安全試驗的設計與執(zhí)行，并利用試驗事件中獲取的測試數(shù)據(jù)來表征作戰(zhàn)環(huán)境下的系統(tǒng)網(wǎng)絡安全狀態(tài)，以評估系統(tǒng)在預期作戰(zhàn)環(huán)境下完成關鍵作戰(zhàn)任務的能力。

2.6 第6階段：對抗性評估

該階段針對訓練有素且已裝備有被試系統(tǒng)的作戰(zhàn)單位，設計并執(zhí)行具有代表性的網(wǎng)絡威脅活動，并根據(jù)試驗結果分析網(wǎng)絡威脅對關鍵作戰(zhàn)任務產(chǎn)生的影響以及系統(tǒng)防御能力的有效性，評估作戰(zhàn)單位在面臨網(wǎng)絡威脅的情況下，完成關鍵作戰(zhàn)任務的能力。

3 美軍網(wǎng)絡安全試驗鑒定資源建設

近年來，美軍將應對網(wǎng)絡空間威脅作為其維護國家安全和爭奪未來軍事優(yōu)勢的戰(zhàn)略任務，不僅加強了網(wǎng)絡安全試驗鑒定，而且加大了網(wǎng)絡安全試驗環(huán)境建設、網(wǎng)絡安全人才隊伍培養(yǎng)，以及試驗技術的發(fā)展，為網(wǎng)絡對抗環(huán)境下打贏未來信息化戰(zhàn)爭夯實基礎。

3.1 試驗靶場的建設

美國作為全球信息化程度較高的國家，率先開展了國家網(wǎng)絡靶場的建設，旨在保證其網(wǎng)絡霸權地位并確保其在網(wǎng)絡戰(zhàn)中具有絕對主動權，以實現(xiàn)網(wǎng)絡空間作戰(zhàn)能力的重大變革。特別是從2015財年開始，國防部試驗鑒定管理中心在其監(jiān)管的試驗資源建設計劃中，開展了全面評估網(wǎng)絡安全試驗能力差距工作，并按照近期、中期與遠期對網(wǎng)絡安全試驗能力建設規(guī)劃進行部署，為避免網(wǎng)絡靶場分散重復建設、獨立發(fā)展等問題，美國愈加重視網(wǎng)絡靶場的體系化建設，將現(xiàn)有和擬建的網(wǎng)絡靶場統(tǒng)籌協(xié)調，逐步形成了從綜合到專業(yè)、兼顧軍民需求、功能定位互補、可實現(xiàn)集成測試演練的網(wǎng)絡靶場體系，力圖打造技術水平更先進的網(wǎng)絡安全試驗鑒定與作戰(zhàn)部隊訓練演習評估能力。為推進網(wǎng)絡安全試驗鑒定活動持續(xù)開展，確保滿足對試驗資源的需求，美軍近年來高度重視網(wǎng)絡靶場與試驗設施建設，通過新建和原有靶場改造，目前已擁有多個具備相應試驗能力的網(wǎng)絡靶場與設施。

3.2 人才資源建設

網(wǎng)絡安全人才是實施網(wǎng)絡安全試驗鑒定的重要基礎，開展武器裝備網(wǎng)絡安全試驗鑒定活動，需要既懂武器裝備又精通網(wǎng)絡攻防對抗的專業(yè)人才，能夠在模擬實戰(zhàn)環(huán)境下進行網(wǎng)絡安全評估測試。然而，美國防部面對數(shù)量龐大的網(wǎng)絡安全試驗鑒定任務、復雜的系統(tǒng)和日益增長的敵對攻擊節(jié)奏，以及人工智能、5G、物聯(lián)網(wǎng)等新興技術的出現(xiàn)，對網(wǎng)絡安全評估人員的數(shù)量和方法提出了新的需求，在2020財年，有62%的試驗計劃指出網(wǎng)絡安全試驗存在局限性，美國防部面臨著巨大的人力資源需求壓力，亟需信息技術和網(wǎng)絡安全領域專業(yè)人才。為加強網(wǎng)絡安全評估專業(yè)人才培養(yǎng)，美軍采取了一系列措施：一是通過提高網(wǎng)絡安全人員的酬薪方式來增加人員隊伍；二是組建先進網(wǎng)絡對抗部隊，成立專業(yè)網(wǎng)絡評估組織。面對復雜的系統(tǒng)和新興網(wǎng)絡攻擊技術的出現(xiàn)，美國防部要求從事網(wǎng)絡安全評估人員，必須通過專業(yè)技術和網(wǎng)絡評估測試培訓，并取得相應資質，從而更好地完成數(shù)量龐大的網(wǎng)絡安全試驗任務以及應對新興技術的試驗鑒定能力。

3.3 試驗技術的發(fā)展

網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、應用數(shù)學、信息論等多種學科的綜合性學科，加之試驗對象多、系統(tǒng)復雜、環(huán)境多變等因素，對試驗鑒定技術提出越來越高的要求。隨著新技術的發(fā)展，網(wǎng)絡空間層出不窮的新型攻擊技術也不斷出現(xiàn)，這些新型攻擊技術更加體系化、自動化、智能化，給武器裝備帶來新的網(wǎng)絡安全威脅，新型攻擊技術加大了網(wǎng)絡安全試驗鑒定難度。國防部《試驗與鑒定》指示要求，網(wǎng)絡安全試驗應在研制試驗和作戰(zhàn)試驗中進行，通過研制試驗和作戰(zhàn)試驗，發(fā)現(xiàn)其系統(tǒng)本身固有的脆弱項以及評估在逼真的作戰(zhàn)環(huán)境下的作戰(zhàn)彈性，并在武器裝備生產(chǎn)和部署前及時采取補救措施，以減少對武器裝備成本、生成進度和性能產(chǎn)生的負面影響。但要準確地測試和評估系統(tǒng)的有效性和脆弱性，檢驗作戰(zhàn)環(huán)境下系統(tǒng)完成任務的能力，需要構建滿足武器裝備作戰(zhàn)效能和網(wǎng)絡安全性能的測試技術標準。由于未來戰(zhàn)爭模式將走向體系與體系間的對抗，以及高新技術和網(wǎng)絡攻擊技術的快速發(fā)展，直接促進了新型武器裝備和先進的網(wǎng)絡攻防技術的發(fā)展，使試驗技術向體系化、智能化方向發(fā)展。

4 結語

隨著信息技術的高速發(fā)展，現(xiàn)代戰(zhàn)爭的形式與特點已逐漸發(fā)生轉變，網(wǎng)絡空間威脅正在成為世界各國面臨的嚴峻挑戰(zhàn)，確保武器裝備網(wǎng)絡安全必然要作為各國國防建設的一項重大任務。網(wǎng)絡安全試驗鑒定在美國已經(jīng)形成較為完善的政策法規(guī)和試驗流程，為美軍開展網(wǎng)絡安全試驗鑒定活動提供頂層指導，強化網(wǎng)絡安全試驗鑒定，確保武器裝備完成使命任務提供有效保障。