|
美国国防科学委员会(DSB)在2017年2月底发布了名为《国防科学委员会网络空间供应链特别小组》的报告。特别小组对将微电子器件用于国防部武器系统的机构、任务和政府机关进行了评估。 该报告主要强调了以下内容: 1.能减少供应链恶意风险和潜在薄弱环节的措施,以及是否有机会来优化或加强这些举措; 2.国防部现有项目保护措施及其他措施,来发现和评估硬件和软件中潜在薄弱环节; 3.拓展到已被报告的商用现货薄弱环节和对国防部系统安全的影响; 4.机构内部的活动,国防部借此能够更好地来减少供应链风险。 报告内容选译如下: 工作组以明确的言辞警告到,现有武器系统可能已经有后门,意味着他们在真枪实弹的战场环境中可能变得无用甚至更糟。 美国大多数武器装备系统在建造过程中都没有采取任何措施来保护其免受硬件器件上的网络攻击,而且已有证据表明,一些已经带有了数字后门,意味着地方能够使其在真正的战争中失效。 尤其是当前国家所仰仗的武器系统,在研发、采购和部署过程中均没有正式的保护计划来防范不被植入恶意器件。这些系统配置通常在非常长的一段时间内保持不变,因此被故意植入漏洞的微电子器件或被敌方发现的漏洞将持续成为易受攻击点。使用同样微电子器件和嵌入式软件的武器装备在战场上的时间越长,敌方越有可能获取系统信息,并嵌入或发现漏洞。 实施攻击所利用的这些漏洞很难从电或机械失效中区分出来,且在触发前难以发现,当最终发现时也许表现为设计缺陷。网络空间供应链漏洞可能在整个系统寿命期内被植入或发现,如从设计、制造、部署到维护的各个阶段。 由于军事系统通常需要花费一段较长时间来设计和建造,但是由于微电子市场发展如此快,当装备部署时其中平均70%的电子元器件已经停产,使得其很难从原始生产商处获得备件。这可能导致国防部从分销商处购买,而来自分销系统的电子元器件安全度低、来源更难追踪。 现在研发的武器系统都要求在安全项目中包括供应链威胁来实施保护,但是“项目保护计划在数量和关注点上都是不均衡的,一些关注点是在保护个人或系统安全,而不是网络空间薄弱环节。即使包括网络空间威胁,安全和信息系统管理者强调安全主要是在系统设计完成后,而这正好站在了安全最佳措施的反面。 而且,尽管武器系统一旦部署后威胁事实上是翻倍的,但项目保护计划在采购阶段之后逐步减少。几乎没有证据证明在系统部署后仍在持续稳健项目保护计划。 通过恶意植入重要武器系统中但未成功实施攻击的案例很难知道这些活动是否是普遍的,但是在供应链中的伪冒电子元器件却是这些攻击的潜在实施者。恶意植入和发现可利用的漏洞是采购和维护供应链都需关注的地方。 尽管有风险方面的考虑,但如果建造和维持一个国防部所持有的“代工厂”来制造其所需芯片,该计划的投资总额并不是一个可行的支出。国防部启动一个可对先进商用代工能力进行长期评估的项目,该商用代工能力并不完全强调可信。 持续对技术支撑策略给予研发投入,以此促进研发能够更好抵御网络空间供应链攻击的新工具;国防部必须加强全寿命周期保护政策,全面推进技术研发来保证国防部武器系统以能够减少网络空间供应链攻击可能性和结果的方式来设计、部署和维护。
|
|
|
