摘 要:
随着信息化、网络化、数字化的快速发展,安全保密工作既面临前所未有的机遇,又面临新的安全风险与泄密隐患。国防工业承担着保障国家安全与发展的重大职责,其安全保密问题普遍受到各国政府的高度重视。美国通过构建完善的保密监管体系、加强武器装备科研生产单位物理防护、增强国防工业领域网络安全等措施,不断加强对国防工业安全保密工作的管控,以确保其竞争优势。
内容目录:
1 构建完善的保密管控体系
1.1 在合同中明确保密条款
1.2 监管部门明确分工通力协作
2 加强武器装备科研生产单位物理防护
2.1 实施分区保护
2.2 实施分级保护
2.3 执行巡查制度
3 加强国防工业领域网络安全
3.1 完善网络安全战略布局
3.2 推行网络安全成熟度模型认证
3.3 加强远程办公网络安全
4 结 语
当前,世界进入大国竞争时代,国际战略竞争呈上升趋势,世界主要军事强国围绕军事智能化展开激烈竞争。国防工业作为促进国民经济发展的战略性和支柱性产业,易成为各方势力监控和攻击的重点目标,在新形势下面临更多安全保密威胁与挑战。为保证国防工业领域竞争优势,确保其安全、稳定发展,美国构建了较为完善的国防工业安全保密管控体系。
1 构建完善的保密管控体系
美国国防工业安全保密管控体系相对较为完善。主要由政府机构对国防工业系列活动中的安全保密事项进行监督管理,同时通过合同中的保密条款约束国防承包商的保密行为。由此可见,履行保密义务既受保密相关法规约束,又要履行合同约定的保密义务。
1.1 在合同中明确保密条款
根据美国《联邦采购条例》规定,在履行合同过程中,如果需要掌握知悉涉密信息时,则须明确保密条款。同时,由于国防工业领域事关国家安全,会涉及大量敏感涉密信息,美国《国防工业安全计划》要求,在授予承包商涉密合同前,应与其签署《合同安全定密细则》。该细则主要是明确承包商在履行合同时接触的涉密信息及其保密要求,以及如何保护这些信息。同时,在涉密采购中,承包商及其工作人员要接触或知悉国家秘密,均须事先获得安全许可。
1.2 监管部门明确分工通力协作
从体系结构上看,美国并没有专门设立国防工业安全保密管理部门,其安全保密管理职能分散到国防部、国土安全部、国务院、商务部等部门的下设机构中。这些机构之间分工明确,密切配合,为美国国防工业的发展提供了组织保障。
美国国家档案馆、国土安全部、国防部等相关部门及其内设机构分别从国防工业领域保密计划制定与监督、武器装备科研生产设施安全、国防科研生产系列活动的安全保密等方面进行监管,如图 1 所示。
其中,国家安全委员会对国防工业安全保密管理进行顶层设计和指导,同时为总统提供有关安全保密决策的协调和咨询。
国防工业安全保密计划的执行和监督工作,由隶属于国家档案馆的信息安全监督办公室负责。其还将审查相关定密异议申请和上诉。同时,还负责监管各政府部门的安全教育与培训计划的落实情况,并为政府和行业制定分发安全教育材料。
安全保密领域细则标准主要由隶属于商务部的国家标准与技术研究院制修订。其还承担美国政府各部门之间的信息安全保密领域的教育培训工作,负责协调国家网络安全教育计划。
国防部是负责监管美国国防工业安全保密工作的最主要机构,通过合同管理的方式对武器装备科研、生产、试验、储存、维修保障等军工企业进行监管,国防部下设国防安全服务局、国防研究与技术局、国防合同管理局、人事管理办公室等机构,具体执行国防工业安全保密相关监管工作。
国防安全服务局负责国防工业科研生产机构及国防合同商的监管和安全审查工作,具体包括国防工业基础安全保密政策、制度的制定,并开展国防工业安全许可及保密审查、信息系统认证、人员安全调查、安全教育和培训等活动,以便于统一监管。
图 1 美国国防工业安全保密监管机构
国防研究与技术局负责对国防机构研发活动进行监管,防止美国国防工业在军民技术转化过程中出现涉密数据泄露问题,同时确认研发活动所使用的技术是否具有潜在的商用潜力;妥善保护涉密科研成果,对不需要进行保密管理的国防科研成果及时解密,转为民用。
国防合同管理局负责对陆、海、空三军和国防后勤局的所有合同进行监管,并依据合同条款,督促合同承包商认真履行合同保密义务,严守国防工业的安全保密规定。
人事管理办公室负责联邦政府各机构的人员档案和人事管理工作,负责处理人员的背景调查和安全认证事项。
国防工业领域的关键设施安全、应急响应管理工作主要由国土安全部负责。其下设联邦应急管理局、科学与技术局、网络安全与基础设施安全局等机构,其中,联邦应急管理局主要负责应对恐怖袭击和自然灾害,包括预准备和恢复工作。科学与技术局主要负责安全分析、生物取证和威胁表征,在应对动态威胁环境方面发挥着重要作用。网络安全与基础设施安全局主要负责包括国防工业领域在内的关键基础设施的网络安全工作。该机构将网络安全和物理安全整合,从物理空间到信息基础设施均实行保护监管。
美国除加强联邦政府部门间的协作外,还特别注重建立联邦政府与州、地方政府、行业协会、企业间的合作伙伴关系,以期共同加强对国防工业领域的安全保密监管工作。这种合作模式,可以确保已纳入所在地执法和紧急计划中的国防工业基础关键资产和基础设施,在受到威胁时将被优先响应和保护。
2 加强武器装备科研生产单位物理防护
武器装备科研生产单位作为从事国防科研生产任务的主体,其在日常工作中会接触或掌握大量涉及国家秘密的重要信息,易成为各方势力监控和攻击的重点目标,为此,美国实施分区保护、分级保护、执行巡查制度等措施来强化武器装备科研生产单位的物理安全。
2.1 实施分区保护
美国通常采取分区保护的方式对武器装备科研生产单位及其设施周边环境进行保护,即根据距离核心建筑物的远近,以及重要程度,划分出不同的保护区域,并对每个区域制定相应的防护标准和要求。美国一般按照距离重要设施的远近,将重要设施周边环境划分为 3 个层级,分别是控制周界、隔离区和空置区,如图 2 所示。其中,控制周界是指最外层的屏障保护,一般由围栏等防入侵装置构成。隔离区是指重要设施和控制周界之间的区域,停车和道路系统可建设在此区域中。空置区位于隔离区内部,部署在重要设施周边。根据美国《安防工程设施规划手册》规定,武器装备科研生产重要设施距离空置区边界的距离不得少于 10 米,并随着设施的重要程度递增 。同时,为避免恐怖袭击、爆炸等威胁对国防部建筑物造成破坏,美国《国防部建筑物最低反恐标准》要求,国防部所有的现有和新建的常规建筑物必须保持适当的隔离距离,同时还要对建筑物进行防爆加固 。
图 2 美国武器装备科研生产单位周界划分
2.2 实施分级保护
美国通过对可能出现的各种威胁进行预先评估、风险等划分后,再根据等级顺序,制定适当的防护预案,配置相应的保障资源,使安全防护手段发挥最大功效。美国对武器装备科研生产单位及其关键设施实施分级保护,共划分为 5 个等级,保护力度依次递增。
第一级保护由机构及其设施的所有者自行负责;随着威胁的升级,将启动第二级保护,由地方政府介入,对机构所有者提供帮助和指导;如果地方政府不能提供必要的保护,将启动第三级保护,由州或联邦机构介入,以加强保护措施;当威胁情况更为严重时,启动第四级保护,由州长申请其他联邦援助或雇佣国民警卫队进行保护;随着威胁的加剧,在必要的时候,启动第五级保护,由总统派遣美国军队对受威胁的武器装备科研生产单位及其关键设施进行保护。
根据《设施物理安全设计指南》,将武器装备科研生产单位面临的威胁分为低度威胁、中度威胁、高度威胁和超高度威胁 4 种。根据不同的威胁级别,对建筑物的墙体、屋顶和地板均设有不同的防护要求:一般来讲,低度威胁情况下对墙体、屋顶和地板材质不做要求;中、高度威胁情况下对墙体、屋顶和地板材质有相应要求,应选择砖石混凝土和钢筋混凝土的墙体,屋顶和地板则要求是钢筋混凝土结构;超高度威胁情况下需建立单独区域,用以减轻爆炸等造成的不良影响。
2.3 执行巡查制度
巡查制度是维护武器装备科研生产单位正常秩序和特定目标区域安全的有效措施。通过人员巡逻等方式维护武器装备设施的安全。美国的人员巡逻包括定点守卫、流动巡逻和应急小组 3 种类型。定点守卫的地点一般在瞭望台或观测塔等特殊位置;流动巡逻是指对特定区域进行的周期性巡视和检查;应急小组则负责重要设施的安全防护,在发生突发事件时,能够及时响应。其中,瞭望台一般采用房屋结构,设有用于紧急快速操控的区域,以激活车辆障碍物系统。在瞭望台应配有发声器,以便面临危机情况时可以触发报警系统,引起核心区域安保人员注意。瞭望台的视野应尽量广阔,环视角度至少达到 180°。
3 加强国防工业领域网络安全
近年来,美国国防工业领域网络安全风险事件频发,美国通过完善网络安全战略布局,推行网络安全成熟度模型认证,加强新冠肺炎疫情期间远程办公网络安全等措施,不断加强国防工业领域网络安全。
3.1 完善网络安全战略布局
美国注重从战略全局视角出发,提升网络安全威胁及时发现、实时分析、应急响应的能力,最终实现快速决策与保护。拜登政府非常重视体系化推进网络安全工作,颁布系列纲领性战略文件。2021 年 3 月,拜登政府发布《临时国家安全战略指南》,要求全力维护美国网络安全利益,加强关键基础设施的网络安全。同年 5 月,拜登签署《加强国家网络安全的行政命令》,要求美联邦政府迅速行动起来,确保国家网络安全。
为落实拜登政府对网络安全领域的各项 要 求, 美 国 网 络 安 全 与 基 础 设 施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA)、管理和预算办公室等机构相继发布配套政策。2021 年 11 月,CISA 发布《网络安全事件与漏洞响应指南》,为联邦机构应对网络安全事件和漏洞响应提供一套标准程序手册,从而有效开展网络安全事件及漏洞的识别、应对及上报活动。2022 年 1 月,美国管理和预算办公室发布《联邦零信任战略》,通过加强身份管理、设备管理、网络管理、第三方评估和数据管理等措施,提升应对日益复杂和持续的网络威胁的能力。要求各级政府在 2024 财年结束之前达到各项既定的网络安全标准与目标。通过多因素身份认证的方式增强网络钓鱼行为防御水平,整合机构身份系统,加密进出流量。由此可见,为了更好地应对日益复杂的网络威胁,美联邦政府果断采取措施,及时加强顶层设计,各部门迅速出台细化文件,及时打造智能化、精准化、持续性的网络安全防护体系。
3.2 推行网络安全成熟度模型认证
为加强美国国防工业供应链安全,强化美国技术优势以确保涉密信息和非密受控信息安全,美国国防部于 2020 年发布《网络安全成熟 度 模 型 认 证》(Cybersecurity Maturity ModelCertification,CMMC ①)1.0 版,要求凡是涉及联邦采购合同的承包商要满足网络安全成熟度要求,通过第三方评估的方式,确认满足相应标准与要求后,才能获得国防部合同。CMMC 是一个分层网络安全架构,其根据承包商参与工作所知悉的涉密信息等级和项目安全级别设置不同的要求。CMMC1.0 版实施运行后,一些企业和非传统承包商认为该流程成本高、过程繁琐,全面推行实施存在一定困难。美国国防部在广泛听取意见,进行内部审查后,迅速行动及时调整,于 2021 年 11 月发布 CMMC2.0 版。该版本将原来的 5 个等级简化为 3 个等级,进一步明确了监管要求、政策要求和合同要求,可操作性更强。第一级为基础等级,即承包商需满足 17 项基本实践;第二级为高级等级,即承包商需满足 110 项基本实践,且要符合美国国家标准与技术研究院特别出版物 SP 800-171 的要求,同时还要对关键安全信息进行三年一次的第三方评估,对特定项目进行年度自评;第三级为专家级等级,除符合上述要求外,还要通过政府主导的评估。CMMC2.0 版预计于 2023 年5 月全面实施,这将极大增强美国国防工业基础的网络安全,通过与工业部门建立更加协调的关系,有助于其采用最佳实践来防止网络威胁。
3.3 加强远程办公网络安全
2020 年初新冠肺炎疫情突然爆发,制约了美国国防工业各层级承包商的正常工作,受其影响的美国国防工业领域单位实施远程办公。为加强国防工业领域远程办公网络安全,防止敏感数据成为网络窃取目标,利用热点事件发送钓鱼邮件,以及传播木马病毒、恶意程序等问题发生,CISA 密集发布文件,加强远程办公网络安全。
2020 年 4 月,CISA 及时发布《可信互联网连接 3.0 临时远程办公指南》。从文件、电子邮件、网络、域名服务器、入侵检测、远程访问、统一通信与协作、数据保护等 8 个方面,给出了新冠肺炎疫情期间远程办公网络安全要求。随着疫情的持续发酵,2021 年 4 月,美国国家安全局又发布针对国防部、国家安全系统和国防工业部门的《制止针对互联网运维技术的恶意网络活动指南》。指南提供了系列实用方法,以更好地提高国防工业领域网络安全。一是隔离系统,断开不必要连接以降低系统风险,只在执行关键任务时启动连接;二是明确将信息技术系统连接到运维技术系统和控制系统的必要性;三是甄别将信息技术系统连接到运维技术系统和控制系统时的风险;四是量化为降低风险所带来的成本增加;五是为决策者提供调查结果,从而有效评估这些必要性、风险与成本。
同 年 9 月,CISA 发 布《 保 护 虚 拟 专 用 网络(VPN)安全指南》。VPN 是远程访问企业网络和敏感数据与服务的入口,因此极易成为高 级 持 续 性 威 胁(Advanced Persistent Threat,APT)攻击的重要目标。指南给出 4 点具体措施:一是选择 / 使用国家信息保障联盟(National Information Assurance Partnership,NIAP)产品列表上通过测试与认证的 VPN 产品;二是采用多因子身份认证等强认证方法;三是及时应用与更新补丁;四是尽量通过禁用非 VPN 相关特性的方式来减少 VPN 的攻击面。
4 结 语
随着安全形势不断变化,美国在努力建设先进国防工业、大力提高武器装备自主创新能力和科研生产能力的同时,更不断加强国防工业的安全保密工作。一方面,美国构建了较为完善的安全保密管控组织体系和法律法规标准体系;另一方面,美国结合数字时代的特点,使传统防护技术与新技术有机结合,通过构建智能、敏捷的安全保密防护机制和应急响应机制确保美国国防工业领域安全。
引用格式:李艳霄 . 美国国防工业安全保密管控研究 [J]. 信息安全与通信保密 ,2022(6):154-160.
作者简介
李艳霄,女,硕士,高级工程师,主要研究方向为网络空间安全。
选自《信息安全与通信保密》2022年第6期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。