冬训营丨国外国防供应链安全现状及应对举措

时间 :  2022年01月29日  来源:  安天


1.供应链安全与国家安全

国防供应链的安全与国家安全息息相关,它在战略威慑、军事对抗、国际军贸以及国家能力带动等方面,都具有非常重要的战略价值。美国早在布什政府时期,就认为渗入朝鲜核计划是可能的;到了奥巴马时期,认为在核威慑失败的情况下,可以通过对朝导弹供应链的攻击作为渗入朝导计划的一种选项。在实际调查行动中,美国针对朝鲜光明星-3的导弹残片进行了大量的分析,结果表明,通过对供应链的攻击渗入朝鲜战略武器计划是可行的。这体现了国防供应链对于一个国家的重要价值所在。

2.国防供应链的安全风险

当前网络快速发展,加之国防供应链的重要战略价值,因此备受各类攻击者的青睐。此部分主要通过介绍典型的软硬件供应链攻击案例,阐述当前国防供应链的风险状况。

2020年12月13日,《华盛顿邮报》报道称美国知名IT公司网络监控软件Orion的更新服务器被入侵并植入了恶意代码。SolarWinds事件是一个典型的网络安全影响传统安全的攻击案例,造成了非常严重的后果,受影响的机构包括政府部门、关键基础设施以及多家全球的500强企业。目前,供应链攻击已经成为APP攻击中的常用手段,能够造成极大危害。

图1 NSA通过劫持物流链植入恶意程序

2020年2月,《华盛顿邮报》报道称CIA自二战后就长期控制瑞士的密码机公司Crypto AG,在其产品当中植入漏洞,以此窃听全球120多个国家的最高机密。通过网络公开资料和长期跟踪研究证实,NSA会通过物流链劫持的方式进行硬件植入操作。首先拦截发送到目标地区的计算机和网络设备,然后由特定入口行动办公室(TAO)的情报和技术人员完成硬件固件植入程序,并重新打包发送到目标地区。攻击者可通过劫持物流链的方式在目标资产中植入恶意程序,从而窃取机密信息。

3.美方武器系统供应链安全认知

美国在历史上曾出现过一些网络安全问题,例如利用26 美元购买Skygrabber软件破坏伊拉克战场上的关键武器,“捕食者”和“死神者”军事无人机系统也曾经被感染病毒等系列安全问题。对此,美国政府问责局(GAO)分别于2018年和2021年发布两份报告《武器系统网络安全——国防部开始解决大规模漏洞问题》和《武器系统网络安全:国防部借助指南更好地与承包商沟通项目要求》,阐述美国国防部在保护武器系统免受网络威胁方面面临的巨大的挑战,同时给出相关的改进建议。

2017年2月,美国国防科技委员会发布了《网络空间供应链安全》的报告指出,国防供应链暴露的攻击面包括全球商业供应链、国防采办供应链和国防维持供应链;给出供应链的主要攻击类型--通过多步骤执行恶意插入和利用现存的潜在漏洞。武器系统,整个生命周期中都可能存在漏洞。目前已并已部署的武器系统中的元器件就很可能存在这类漏洞。一旦攻击者掌握了潜在漏洞,就可以绕过物理访问实现攻击。

图2 美国加强武器系统网络安全的政策(部分)

基于如此严峻的风险,美国在理解供应链风险、减轻潜在脆弱性、改变采购方式、支持寿命周期操作和寻求技术解决方案等方面都做了大量的努力和实践。政策和战略方面,美国在2015年的国防部网络战略中,指出要通过居民融合、信息共享来加强武器系统的网络安全。自2018年来,密集发布了一系列政策性文件,从机制、流程、标准和技术等多个方面去指导建设安全弹性的国防供应链体系。组织/机构方面,美国军事部门从2015年开始陆续设立了各自专门负责武器系统网络安全的机构。

图3 JAPEC协作成员部门

除上述新设机构外,国防部分别在2015年和2016年成立了联合联邦保障中心(JFAC)与联合采购保护与开发部门(JAPEC),加强武器系统网络安全能力保障建设。项目/计划方面,国防部发布网络安全成熟度模型认证计划(CMMC)、政企数据交换计划(GIDEP)、项目保护计划(PPP)、网空供应链风险管理计划(C-SCRM)等系列计划,针对关键部件供应链的可见性进行大量研究和分析,并将相关信息纳入国防部应用程序数据库,提供决策支持。技术研发方面,国防部积极提倡与先进制造商建立合作关系,加大对国防高级研究计划局的持续投资,投入大量资源探索构建安全弹性的国防系统软硬件供应链的前瞻性技术,以此寻求更有效的解决方案,从而保障国防软硬件供应链的安全。

图4 网络安全成熟度模型认证(CMMC V 1.0)

近年来,美、欧、日等发达经济体都开始重视全球供应链安全,为防范各类风险对关键产业、产品和基础设施的影响,构建供应链风险应对机制与弹性供应链。通过创新等手段提高供应链智能化与可持续的水平,从而提升产业竞争力。

4.总结

针对当前存在的国防供应链安全风险,再加上新冠疫情的大环境,各国都纷纷调整供应链战略,并且制定预案。整体是呈现出如下特点:首先是高度重视国家的供应链安全,同时制定并出台供应链战略。第二,新增专门机构去负责相关工作的推进和落地,进行供应链安全立法,从源头确保供应链安全。最后,高度重视国防军工重点产业、高技术产业的供应链体系建设,积极推进提升供应链安全的项目和计划,确保安全可持续的供应链体系,从而增强全球的竞争优势。