美陆军创新网络安全作战试验鉴定合作方式

当前，美陆军战术网络与任务指挥系统日益复杂，互联互通性日益增强，对网络空间领域的任务保证要求越来越高，网络安全作战试验鉴定也因此面临挑战。大量的设备、海量的数据、软件的快速升级换代以及常见的人为因素风险等，使得评估所用网络的真实安全问题变得复杂。美军认为，要想在网络安全领域应对上述快速变化的问题，就必须彻底改变当前的惯性思维。为此，美陆军对网络安全作战试验鉴定中的传统合作方式进行改革，使用创新的合作方式来确保网络安全作战试验鉴定的顺利开展。

一、传统合作方式

在传统的网络安全作战试验鉴定中，参试方要严格区分为网络威胁方（红方）和网络防御方（蓝方）。这样做，虽然可以反映出试验的作战真实性，但通常达不到理想的网络评估效果。其主要原因就是缺乏对系统的及时、详细反馈，使得网络安全作战试验鉴定仅能发现一些表面的、简单的问题，不利于网络攻击因素与方式的深度、综合挖掘。

作为网络安全作战试验鉴定的关键角色，红蓝双方通常是在所有试验都结束后才进行反馈。这样做尽管可以揭露一些常见问题（如缺省的密码、错误的硬件配置、用户行为不合规范以及无法弥补的脆弱性），达到了验证网络脆弱性作战风险的目的，但在发现系统脆弱性、及时提出改进策略等方面没能发挥其全部价值，经常导致项目主任无法在系统生命周期尽早发现“坏消息”，以至于再做出调整和改变时的成本已经很高，耗时更长，无法做到有效的系统防护。

二、创新合作方式

在2016年5月举行的“网络集成鉴定”（NIE）16.2演习期间，当时的美陆军试验鉴定司令部下属作战试验司令部司令设想通过一种创新的合作方式——多机构组队合作，重新建立“一个团队”的概念，打破红蓝对抗的氛围，有效开展网络安全作战试验鉴定。

（一）创新核心

组队合作的方式，其核心是在红蓝双方之间建立更加频繁的互动，使蓝方获得更多关于红方如何进行网络攻击的信息，从而在网络威胁的预防、探测、响应和最终的防御以及系统恢复方面处于有利位置，最终在14天的测试时间里对被试系统的网络安全状况做出更加综合的评估。

除了加强网络安全作战试验鉴定中的紧密合作，这种合作方式还特别关注真实作战环境的完整性和有效性。在规划作战试验中的交换活动时，允许研制方、防御方和试验方之间进行谨慎的数据交换。各方不掩饰系统问题，通过大量信息的交换，让系统在试验中比在实际作战环境中表现的还好，从而确保将合格的装备部署到战场。

（二）具体做法

试验前和试验中，红蓝双方将讨论各自遇到的问题，且需要在监督下进行，以保证各方没有过多关注网络和系统的某一个方面，确保讨论的公平性。

试验接近结束时，红蓝双方将进行更加开放、技术性更强的讨论（称为“技术交换”）。具体内容为各自在不同试验阶段采取的计划和行动，其中一项重要内容是针对蓝方所采取的威胁应对措施进行及时、深入、系统地分析与评估，涵盖了具体的软硬件脆弱性及其发现过程。此外，红蓝双方的领域专家还将与系统研制方共同讨论，如何彻底改进被试系统。通过讨论，蓝方和系统工程与设计方能够从中获得更多经验，进而确保系统够满足战场需要这个作战试验核心目标的实现。

三、创新方式应用

在NIE 16.2演习中，参试方包括来自美陆军助理部长办公室（负责采办、后勤与技术）的项目主任，以及来自美陆军试验鉴定司令部、研究实验室、训练与条例司令部G-2和威胁系统管理办公室的试验人员，主要负责战术网络和任务指挥系统的开发、测试、部署以及最终的运营和防御。其中，来自陆军各旅、师以及地区网络中心的网络防御人员组成网络防御小组，威胁系统管理办公室则充当对抗角色。

新的合作方式在此次演习中显示了积极效果，不仅使各参试方能够针对演习开展大量信息交换，还满足了被试系统测试环境的完整性需求，使得系统在各方合作下表现得更好。其中，由“指挥、控制与通信-战术”项目执行办公室负责组织试验后问题讲评，利用其他分析活动中的问题领域网络图表和截屏，在综合分析试验结果基础上，对各种修改后可增强网络安全性的源代码和软件特征进行评估。这一活动加强了各参试方之间的合作，使其更好地掌握被试系统的网络安全现状与性能。一位来自蓝方的观察员表示，他从此次演习中获得的经验，比以往历次演习加起来都多。“作战人员信息网络-战术”项目主任认为，讨论可及时获得针对网络和应用程序潜在脆弱性的分析，支持其采取快速改进措施，持续加固网络。“指挥、控制与通信-战术”项目信息保证计划主管在演习后总结道：红方与项目办公室之间进行“技术交换”的意义和价值重大，使我们能够以新的眼光看待脆弱性问题，并在实验室加紧解决这些挑战。

美军大力加强网络安全试验鉴定能力建设

本文由“国防科技要闻”（ID：CDSTIC）授权转载

  刘映国  中国国防科技信息中心

▲资料图：密歇根网络靶场进行演练与测验

一、持续发布相关指导文件

进一步完善网络安全试验鉴定规程

美军武器装备网络安全试验鉴定规范要求与美国联邦信息安全管理法规保持一致。2002年，美国政府颁布《联邦信息安全管理法案》，目的是运用自动化工具，开发关键的信息安全标准与指南，分3个阶段实施：阶段1（2003年～2008年），开发标准和指南；阶段2（2007年～2010年），形成安全能力；阶段3（2008年～2009年）。在实施一段时间后，根据实际情况将进度调整为：阶段1（2003年～2012年），开发标准和指南；阶段2（2007年～2012年），提供实施和评估帮助。

2009年4月，美国家标准与技术研究院、国防部和情报总监办公室组建联合任务工作组，目标是为联邦政府建立统一的信息安全框架。国家标准与技术研究院代表美国政府于2010年先后发布《联邦政府信息系统风险管理框架应用指南(SP 800-37rev1)》、《评估联邦信息系统和组织的安全控制措施及建立有效的安全评估计划指南(SP 800-53A rev1)》等文件。根据这些文件，国防部于2012年实施了“国防部信息保证认证与认可计划”，目标是将联邦政府信息系统风险管理框架转化到国防部体系。此后，美军在国防采办文件中开始引入网络安全试验鉴定问题，并先后发布相关指导性文件（见表1）。

表1 美军发布网络安全试验鉴定指导性文件列表

这些文件的发布与实施，逐步完善了网络安全试验鉴定的内容要求、基本规范与实施步骤等，有效推动了这项工作的稳步开展。根据这些文件要求，美军将网络安全试验鉴定活动划分为以下6个阶段：

一）确认网络安全需求

这一阶段的目的是了解采办装备的网络安全需求，制定进行网络安全试验鉴定的初始方案与计划。里程碑决策点A之前，在初始能力文件、项目保护计划、风险管理框架安全计划中提出网络安全需求与详细说明。文件要求尽可能在采办过程早期，由首席研制试验官与试验鉴定工作层一体化产品小组合作，核查所有可能获得的采办装备文件，以形成对装备网络安全需求的初步认识。牵头作战试验机构也要作为试验鉴定工作层一体化产品小组成员单位，参加网络安全需求确认工作。

二）表征网络攻击面

攻击面是指武器系统暴露的可接触和可利用的脆弱项，包括所有硬件、软件、连接部分、数据交换、服务项与可移动载体等，即可能将系统暴露给潜在威胁者的部件式功能。在这一阶段主要是识别网络攻击者利用武器系统的机会，目的是通过试验来鉴定这些机会是否会被持续利用。系统工程人员与合同商确认这些脆弱项，以及关键项目信息与关键部件，在工程与研发阶段作为系统安全工程流程的一部分。试验鉴定工作层一体化产品小组将在里程碑决策点B（工程与制造开发阶段的起点）的《试验鉴定主计划》中，规划出系统易受网络威胁需要进行试验鉴定的要素与接口。

三）协同脆弱性确认（识别）

这一阶段的工作包括细化武器装备网络安全脆弱性试验计划与实施内容，目的是通过试验与分析，为关键设计审查提供支撑，并为“试验准备审查”提供输入和做准备。网络安全脆弱性试验由一个或多个试验事件组成，主要任务是通过确认脆弱项为系统设计人员、研发人员和工程制造人员提供信息，以降低提高武器装备网络安全弹性的难度。所进行的试验、分析、校准与试验程序，将在装备研制过程中及早并持续地为处置网络安全脆弱性提供支撑，以在采办全寿命周期及早实施高效费比的降低风险措施。

四）对抗性网络安全研制试验鉴定

在任务背景下和有代表性的作战环境中，采用真实威胁开发技术对武器装备的网络安全进行鉴定。利用脆弱性报告、安全评估报告、研制试验鉴定报告，由研制试验小组完成网络安全杀伤链分析，确定攻击者如果进入试验系统将如何行动，以及试验系统受到如此攻击后将如何反应。这包括对抗性评估试验，即模拟经确认的威胁能力文件中所描述的威胁。尽管对抗性评估包含侵入试验，可能导致试验系统的损坏，但其意图并不是要在研制试验鉴定中进行破坏性试验。再者，侵入试验更有利于了解对被试武器装备的风险。因此，根据所承受的风险，网络安全研制试验鉴定应使用网络靶场，以降低对现有网络和官方数据资源附带损伤的风险。

五）协同脆弱性与侵入评估

由作战试验鉴定机构根据实际在里程碑决策点C（生产与部署阶段的起点）前后实施，其目的是在安全作战背景下提供武器装备网络安全状态的综合评价，以在必要时支持对抗性试验替代的侦察活动。该阶段由对武器装备进行公开和协作检查两部分组成，以确认网络安全脆弱性。这一阶段的工作由脆弱性评估与侵入试验小组实施，内容包括文件审查、物理检查、人员面谈，以及自动扫描使用、密码试验和开发适用工具。评估工作应由典型操作人员在预期作战环境中实施。

六）对抗性评估

这一阶段将评估一个作战单元配备该武器系统后，在承受确认的和有代表性的网络威胁活动时对任务的支持能力。在评估其任务执行的有效性时，作战试验机构还将鉴定装备在保护、探测威胁活动等方面的能力。这一阶段由作战试验机构委派经认证的对抗性试验小组（红队）实施，并扮演网络入侵者。对抗性试验小组将利用装备脆弱性可能对任务产生的影响，为其完成作战任务的风险评估提供支持。对抗性评估还包括有代表性的操作人员和用户，本地和非本地网络防护人员（上一级节点的计算机网络安全服务人员），作战网络体系架构和在承载预期网络信息流量时的代表性任务。考虑到作战限制与安全性，试验可以使用模拟器、封闭环境，以及经作战试验鉴定局批准对主机实施网络威胁的有代表性的作战工具，以演示对任务的影响情况。

在美军武器装备网络安全试验鉴定所设置的6个阶段中，前4个主要对研制试验鉴定提供支持，目标是在里程碑决策点C之前确认在受到网络威胁时，恢复武器系统作战能力的问题。后两个阶段为作战试验鉴定提供支持，目标是鉴定配备该装备的作战单元，在预期作战环境中对指定任务提供支持的能力。网络安全试验鉴定主要有两个特点：一是将早期试验鉴定包含在试验规划与实施过程中；二是网络安全试验鉴定阶段是一个迭代过程，即在系统架构发生变化，出现新的威胁或系统环境发生变化时，这些活动都要反复多次进行。

二、加快网络靶场与试验设施建设

确保满足网络安全试验资源需求

网络靶场是指可提供在网络空间环境下开展相应军事能力研究、发展、试验与鉴定的一体化能力和环境。同时，网络靶场还可用于训练从事网络作战的军事人员，制定战术、技术与规程，以及演示在网络对抗环境下关键任务维持等。使用网络靶场在提供更真实对抗环境的同时，可降低作战网络的风险。

为推进网络安全试验鉴定活动持续开展，确保满足对试验资源的需求，美军近年来高度重视网络靶场与试验设施建设，通过新建和对原有靶场进行改造，目前已拥有多个具备相应试验能力的网络靶场与设施。其中，主要网络靶场与试验设施有以下5个：

一）指挥、控制、通信与计算机评估部（C4AD）

其任务是在稳定的指挥、控制、通信与计算机（C4）环境中开展现有与新研发C4能力评估，以实现满足联合作战需求的互操作与一体化解决方案目标。通过复现联合作战人员C4系统，试验评估这些系统的互操作性。

二）国防部网络安全靶场

其任务是为试验鉴定、演示、训练和培训提供稳定的保障环境。基本特点是模拟美国国防部信息网络1级节点环境，具有为真实系统/网络鉴定提供配套网络服务的作用。

三）联合信息作战靶场

其任务是生成一个灵活、无缝和稳定的环境（基础设施），使作战人员和分队指挥官在使用信息作战武器时可获得相应的自信与经验。

四）国家网络靶场

其任务是为国家网络研究与技术发展提供真实的量化评估手段。国家网络靶场将推动美国网络能力的变革，并加速技术的转化。该设施采用灵活的多独立层安全结构，为标志性项目的试验提供非保密的、秘密的和敏感隔离信息的环境。

五）联合任务环境试验能力设施

由国防部试验资源管理中心负责运营的网络安全试验设施，其任务是在联合系统之系统与网络环境中，为试验鉴定提供稳定与强大的基础设施和技术支持，以形成一体化“真实、虚拟、构造的”系统。其中，基础设施包括：网络、一体化软件、工具与重复使用仓库。

为充分发挥网络靶场与试验设施的作用与效能，美军提出网络靶场的实际应用应包括：评估先进网络影响的范围与持续时间；部件级系统互操作性试验；研制试验、作战试验与一体化试验的联合；风险管理框架流程的评估与批准；伴随快速体验的沉浸式训练等。

三、进一步明确职责与重点领域

着力提升网络安全试验鉴定能力

美国国防部在2015年1月修订的国防部5000.02指示《国防采办系统的运行》中，对网络安全试验鉴定做出明确规定，并就装备采办过程中网络安全试验鉴定的主体责任方，各采办阶段网络安全试验活动内容，以及网络安全试验在整个装备试验鉴定活动及文件中的安排做出具体要求。该指示是美军武器装备采办管理的操作性法规文件，其对实施试验鉴定的规定具有强制性，对提高网络安全试验鉴定能力有重要的指导意义。

该指示明确要求，将网络安全试验鉴定尽早并持续纳入到装备采办全寿命周期，要求项目主任为网络安全试验制定策略，并对所需资源进行规划预算。项目主任要尽可能将试验鉴定活动安排在任务环境下实施，且这种环境具有典型的网络威胁能力。因此，项目主任应充分考虑利用国防部的相关靶场、实验室及其他资源。研制试验鉴定计划要对网络安全评估与批准提供支持，因此，当按规定要求启动研制试验鉴定活动时，要确保关键技术需求可测量、可试验并可实现。

该指示还强调，对于重大国防采办项目、重大自动化信息系统项目、负责采办技术与后勤的副国防部长特别关注的项目，《试验鉴定主计划》中的研制试验鉴定批准当局将在每个里程碑审查与决策点向里程碑决策当局提供评估情况。文件还要求在里程碑A（技术成熟与风险降低阶段的起点）启动时，《试验鉴定主计划》要说明网络安全试验鉴定的策略与确定的资源；在里程碑B开始时，《试验鉴定主计划》中应包括恰当的指标，用于鉴定保护、探测、对抗和恢复持续作战的能力。

与此同时，作战试验鉴定局向作战试验鉴定机构发布备忘录，强调指出网络安全领域正在持续快速出现新的威胁和新的防护能力，而在试验鉴定这些能力方面的差距在不断加大。因此，作战试验鉴定团队要加速开展网络安全评估手段与技术的研发，以努力赶上不断出现的潜在威胁与持续变化。

该备忘录要求，美军作战试验鉴定机构应重点加强非互联网协议数据传输、工业控制系统、多谱网络威胁和定制化系统攻击等4个关键领域的网络安全试验鉴定工作。同时，针对网络安全作战试验鉴定的准备与实施，备忘录要求作战试验机构要重点把握好以下5个方面的问题：

一）系统架构

所有试验计划中都应包括系统物理或逻辑架构的示意图或描述。试验开始前，试验团队应充分了解系统架构，以确保整个系统架构能得到充分评估。

二）端到端试验

试验人员应确认所有系统组件都在现场，并处于开机状态和被试状态。必要时，作战试验机构将对试验范围以外的设备利用脆弱性扫描历史记录或其他客观证据加以评估。

三）试验协调与保障

网络安全试验时只要时间充足，对手即可以通过伪造帐户或口令进入网络和系统。作战试验机构应从系统操作员和管理员处获得恰当的账户或口令，或延缓试验进度使红方能够寻找并伪造所需的账户或口令，以提高试验的有效性。

四）试验执行

开发若干对抗能力（从“难以检测”到“易于检测”）用于对抗性评估，这将有助于国防部收集更多对抗能力信息，以对系统进行进一步保护和监测，并对复杂威胁做出有效应对。

五）数据交付

所有试验数据必须在试验完成60天内提交作战试验鉴定局。同时，还必须报告在试验中发现的、经过验证的所有脆弱性问题，包括已在试验中得到纠正的问题。

美军作战试验鉴定机构通过发布备忘录，强调了网络安全试验鉴定的关键领域和需要重点把握的问题，旨在促进各作战试验机构的技术交流与融合，提高网络安全作战试验鉴定能力，以确保美军大多数关键系统在网络威胁环境中的可生存性。

来源：DOT&E网站等/图片来自互联网

“远望智库”聚焦前沿科技领域，着眼科技未来发展，围绕军民融合、科技创新、管理创新、科技安全、知识产权等主题，开展情报挖掘、发展战略研究、规划论证、评估评价、项目筛选，以及成果转化等工作，为管理决策、产业规划、企业发展、机构投资提供情报、咨询、培训等服务，为推动国家创新驱动发展和军民融合深度发展提供智力支撑。