背景
隨著科技的迅猛發展���,現代裝備系統已經從傳統的機械化發展到數字化��、網絡化的時代����。然而�,隨之而來的是網絡安全威脅的激增,這對裝備系統的安全性和作戰彈性提出了前所未有的挑戰。強化網絡安全試驗鑒定,以裝備要素的局部安全促進整個體系的安全����,已經成為世界各國的普遍做法�����。尤其是對于美軍而言,作為世界上最強大的軍事力量之一,其系統的網絡安全至關重要���。為了應對這一挑戰,美軍積極開展了一系列的網絡安全試驗鑒定,以確保其系統的安全性和作戰彈性����。
美軍網絡安全試驗鑒定政策
為了保障系統的安全性和作戰彈性��,美國國防部圍繞國防采辦流程���,發布或更新了至少15項網絡安全試驗鑒定相關政策法規、指導文件和備忘錄�,旨在將網絡安全試驗鑒定納入國防采辦試驗鑒定體系��。
(1)《國防采辦系統的運行》,DoDI 5000.02
該文件是美國國防部關于國防采辦過程的指導性文件��,它規定了美國國防部在采辦裝備系統時的一般原則���、程序和要求�。其中的附件14《國防采辦系統的網絡安全》,著重介紹了網絡安全在采辦系統過程中的重要性和實施方式��,包括網絡安全試驗鑒定的指導和要求���。
(2)2016財政年度國防授權法案(NDAA)第804條款
2016年國會通過了國防授權法案第804條款����,它解決了利用創新技術快速開發可實現的原型,并在獲得批準的需求后的5年內展示新能力,以滿足新興的軍事需求。中層采辦項目需要制定的網絡安全試驗鑒定流程�����,以保持與快速采辦和部署時間表的步調一致����。
(3)《業務系統需求與采辦》,DoDI 5000.75
該文件定義了針對美國國防業務系統的政策和程序���。其中包括網絡安全方面的內容,它規定了國防業務系統采辦的實施計劃必須包括網絡安全流程���,通過試驗鑒定來降低業務系統的技術風險。
(4)《網絡安全》����,DoDI 8500.01
該文件定義了網絡安全的政策和程序�����。它規定在美國國防采辦過程中納入網絡安全規劃�、實施和試驗鑒定,同時要求采辦項目必須進行作戰彈性評估����。該評估要求在真實的網絡環境下進行��,以鑒定防止和減輕滲透利用的能力,以及數據和信息恢復的能力����。
(5)《國防部信息技術的風險管理框架》���,DoDI 8510.01
該文件旨在規定和指導國防部信息技術系統的風險管理���。它要求將風險管理框架與研制試驗和作戰試驗過程集成��,加強試驗鑒定之間的合作關系,以減少冗余的測試�、評估����、文檔以及相關的時間和資源成本���。
(6)《網絡安全活動對國防部信息網絡運行的支持》�����,DoDI 8530.01
該文件旨在規定和指導網絡安全活動以支持國防部信息網絡的運行��。它要求網絡安全試驗鑒定應通過在試驗事件期間測試防御性網絡運營防御措施來驗證和確認適當的安全措施是否有效地集成到系統邊界中。
美軍網絡安全試驗鑒定指南
網絡安全試驗鑒定的目標是在裝備部署前識別和減輕影響能力的可利用系統漏洞����,包括網絡安全標準符合性��、系統網絡生存性和作戰彈性。《網絡安全試驗鑒定指南》將網絡安全試驗鑒定劃分為6個階段�,分別是理解網絡安全需求�、表征網絡攻擊面��、協同脆弱性識別����、對抗性網絡安全研制試驗鑒定�、協同脆弱性和滲透評估、對抗性評估���。這些階段的有機銜接和逐步推進,保障了網絡安全試驗鑒定工作的系統性和完整性����。
(1)第一階段:理解網絡安全需求
本階段通過對系統文件的仔細審查�����,確定系統的網絡安全標準符合性、系統網絡生存性和作戰彈性的需求�。同時�����,還要考慮可能會影響試驗條件、環境、方法和系統優先級的信息��,并確保這些需求是可衡量��、可測試����、有意義且可實現的���,以制定網絡安全試驗鑒定的初始和后續策略和計劃�����。
(2)第二階段:表征網絡攻擊面
本階段確定所有形式的通信、網絡連接、軟件�����、硬件���、供應鏈和人機交互�����,創建攻擊面列表��,用于識別關鍵的網絡組件和潛在的攻擊向量。此外�����,還需分析和分解系統執行的任務�,將任務依賴關系映射到組件、系統和任務線程級別的攻擊面����,并識別攻擊路徑和優先級�����,評估對任務的影響并完善試驗鑒定計劃。
(3)第三階段:協同脆弱性識別
本階段在研制試驗鑒定期間,旨在識別硬件、軟件���、接口��、操作和架構中已知的網絡安全漏洞�,評估與這些漏洞相關的任務風險����,并確定適當的緩解措施以減少風險��。脆弱性評估團隊評估漏洞并向系統研制人員提供反饋,以解決發現的漏洞�����。此外��,脆弱性評估團隊還會執行協同滲透測試�,以驗證已識別漏洞的可利用性�����,并提高系統的網絡生存能力和作戰彈性����。這一階段是迭代的����,包括回歸測試以驗證已實施的緩解措施的有效性。
(4)第四階段:對抗性網絡安全研制試驗鑒定
本階段在研制試驗鑒定期間��,由對抗性測試人員��、專業技術專家����、紅隊����、制定計劃人員和基礎設施保障人員組成的對抗性網絡安全評估團隊�����,使用逼真的威脅利用技術�����,在代表性環境中盡可能地發現以前未知的關鍵漏洞,并通過在安全的運行測試環境中充分利用系統來確定所有漏洞的任務影響���,驗證系統的網絡生存能力和作戰彈性要求。這一階段也是迭代的����。
(5)第五階段:協同脆弱性和滲透評估
本階段在作戰試驗鑒定期間�,使用協同網絡安全試驗事件的數據來表征系統在作戰背景下的網絡安全狀態和作戰彈性����,評估系統在預期的作戰環境中執行關鍵任務的能力,并為下一階段試驗提供支撐。此階段包括評估以前試驗的所有試驗數據,并不是單個試驗事件。
(6)第六階段:對抗性評估
本階段在作戰試驗鑒定期間��,由美國網絡安全局認證的專業紅隊對系統進行對抗性評估�,詳細評估具有代表性的網絡威脅活動對系統關鍵任務執行造成的影響,系統分層防御和關鍵節點防御有效性,系統檢測和抵御網絡攻擊能力�����,以及受到網絡攻擊后的恢復能力���,評估系統在遭受網絡攻擊后能否繼續完成關鍵任務���。
美軍網絡安全試驗鑒定啟示
在網絡空間安全日益重要的當下��,試驗鑒定工作需要與時俱進。美軍率先將試驗域拓展至網絡空間,將網絡威脅納入試驗環境,通過強化試驗鑒定工作推動裝備網絡安全能力建設,極大提升了其網絡空間防御能力����。對美軍的相關做法進行分析和總結���,不僅可以借鑒其經驗����,也為我國提升網絡安全防御能力提供了有益的參考�。
(1)網絡安全檢測
在網絡安全試驗鑒定中,網絡安全檢測類工具的積累起著至關重要的作用�����。這些工具可以用于發現網絡系統和應用程序中的漏洞、弱點和安全隱患,從而提供重要的安全評估信息��。美軍通過不斷積累和研發網絡安全檢測類工具���,建立了龐大的工具庫��,包括漏洞掃描器��、模糊測試系統、配置核查系統等��。這些工具的使用能夠有效地輔助網絡安全試驗鑒定工作�����,幫助評估人員及時發現并解決潛在的安全問題�,提高裝備在網絡環境中的安全性能�����。博智安全風險評估類產品可以幫助客戶識別和評估系統安全、應用安全和網絡安全中網絡安全標準符合性和脆弱性�����。
博智漏洞掃描系統是一款對信息網絡和工控網絡進行脆弱性分析和評估的綜合管理系統�,可全面發現系統中存在的安全漏洞、安全配置問題���、弱口令,收集系統不必要開放的賬號��、服務�、端口,客觀評估網絡風險等級���,形成整體安全風險報告。系統具備發現漏洞��、評估漏洞�����、展示漏洞����、跟蹤漏洞等完備的漏洞管理能力�,并給出詳細的描述和解決方案,從根本解決網絡安全問題。
博智漏洞挖掘平臺是一款采用智能Fuzzing技術,對設備、系統���、操作系統進行未知漏洞挖掘、安全性及協議健壯性測試的評估設備�����。針對不同網絡通信協議的特點精心構造隨機測試報文��,深度挖掘設備或系統的各類未知漏洞,清晰定位問題并提供測試報文便于問題回溯�����,能夠幫助用戶提高工控網絡安全等級����,提升設備廠商產品安全性和競爭力,增強監管單位���、測試機構檢測能力和權威性。
博智安全配置核查系統是一款對信息網絡和工控網絡進行配置評估的管理系統���。該產品基于博智安全多年安全服務的積累,形成完善的安全配置知識庫���,該知識庫涵蓋了操作系統、網絡設備����、數據庫���、中間件�、虛擬化平臺、大數據組件等多類設備及系統的安全配置加固建議��。通過該知識庫可以全面的指導IT信息系統的安全配置及加固工作�,自動化的進行安全配置檢查,可以大大提高您檢查結果的準確性���,節省您的時間成本,讓檢查工作變得簡單���。
博智安全等級保護檢查工具箱是一款面向信息系統和工控系統安全檢查的專業工具,提供專業的系統檢查知識和檢查方法��,對采集的資產信息�、漏洞信息、流量信息����、系統的配置核查信息等數據進行統計分析,輸出安全等級保護檢查報告�,從而促進安全執法檢查和企業自查工作的常態化����、標準化和規范化����。
博智信息安全風險評估系統是一款為企業安全監管部門評估信息系統和工控系統安全風險、幫助企業完成自身安全狀況評估、輔助第三方安全測評機構出具安全風險報告的一款便攜式設備��。
博智安全自動化滲透攻擊系統是基于知識圖譜的自動化滲透測試系統���,其具備重要資產資源測繪�����、資產脆弱性檢測���、資產安全健壯性測試等多方面能力���。對指定的目標區域進行資產探測和信息收集����,結合滲透矩陣研究實現對目標的最優滲透�,通過大量滲透案例的先驗知識,實現滲透知識圖譜的構建和積累�。同時��,通過對積累的滲透案例的按需組合和目標系統脆弱性進行針對性的測試評估,為目標系統的防御體系構建提供參考和驗證���。
(2)網絡靶場建設
網絡靶場是模擬真實網絡環境的虛擬實驗場所���,是進行網絡安全試驗鑒定的重要平臺�。美軍通過建設和維護網絡靶場,為網絡安全試驗鑒定提供了必要的實驗環境����。這些網絡靶場通常包括各種網絡拓撲結構�����、應用系統和安全設備,能夠模擬各種網絡攻擊場景和威脅情景,為試驗鑒定人員提供了一個真實、可控的實驗場景。通過在網絡靶場中進行試驗鑒定,可以更好地評估裝備在不同網絡環境下的安全性能,為其后續改進和優化提供重要參考�。
博智孿生仿真靶場是基于網絡空間安全建設目標進行高精擬合����,以孿生仿真技術為基礎�、威脅模擬生成為手段、攻防推演驗證為目標,構建集防御陣地、紅藍對抗���、試驗鑒定、應急處置、安全評估于一體的綜合演訓平臺����。采用的意圖驅動網絡安全靶場場景構建技術是業內領先技術�,基于虛擬化技術�����,軟件定義網絡安全技術�,高效創建新型靶場培訓平臺,提供比賽、訓練場景的分鐘級別按使用者意圖構建�,達到減輕運維負擔���,并能夠做到多次比賽重復執行利用����,重復構建的動態部署���。產品多次入選權威咨詢機構IDC���、賽迪及數世咨詢的分析報告并領跑國內市場���,先后榮獲“網絡安全技術應用試點示范項目”�����、“江蘇省網絡靶場工程技術研究中心”等多項榮譽。
(3)專業網絡紅隊
專業紅隊是指由專業的網絡安全團隊組成的攻擊方����,在授權范圍內對裝備進行模擬攻擊�����,以評估其網絡安全性能。美軍通過聘請專業的紅隊服務機構或組建內部紅隊團隊��,對裝備進行定期的紅隊攻擊和滲透測試��。這些紅隊服務能夠模擬真實的網絡攻擊行為�����,發現裝備中存在的安全漏洞和弱點,幫助評估人員及時改進和優化裝備的安全防護措施���。通過專業紅隊服務,可以全面評估裝備在面對各種網絡攻擊時的應對能力��,提高其在網絡環境中的整體安全性能���。
”博智非攻研究院“為博智安全旗下技術創新�、安全研究的重要部門����,部門擁有一支能力突出、技術過硬���、業務精通、用于創新的技術隊伍�,當前主要專注于應用安全�����、攻防滲透、工業互聯網安全�、物聯網安全����、電信安全���、車聯網安全和人工智能安全等方向���。博智安全提供專業的網絡安全服務���,包括漏洞挖掘����、風險評估、滲透測試、安全培訓、安全競賽��、應急響應、安全加固和代碼審計等�����。自成立以來��,博智非攻研究院獲得多家客戶的認可,收到來自西門子��、施耐德���、ICS-CERT���、組態王等客戶的官方感謝信����。
