美军研究软件保障(SWA)已有十多年的历史,不同于软件的安全性、可靠性等特性,是一种软件可信水平的体现。在过去,软件安全问题导致关键数据和技术的损失,然而随着软件在武器系统中越来越重要,软件安全问题将直接影响国家安全,甚至降低战斗力。美国国防部定义软件保障(SWA):软件有无漏洞或有意无意地设计或插入作为软件的一部分,并按预定工程运行的可信度水平。

2007年,美军发布《软件安全保障研究报告》,指出“安全软件是能够抵御大多数攻击的软件,能够容忍大多数攻击,并且能够从它所不能抵御的极少数攻击中快速地以最小的代价恢复。软件攻击有三个主要目的:它们要么试图破坏软件,要么使其失效或变得不可用,通过改变软件的操作方式(通过修改它或执行嵌入其中的恶意逻辑)来颠覆软件,或者了解更多关于软件的运行和环境,使能够更有针对性攻击软件。软件的破坏总是导致软件安全性以及一些其他属性失效。这些特性包括正确性、可预测性、可用性、互操作性、可靠性和安全性等属性。软件保障的目标是为采购方和用户提供软件持续拥有其相关属性的过程。在这些属性中,安全性非常重要,使得软件即使在软件受到攻击时也能维持其他属性。”这份报告系统研究了软件保障问题,为美国国防部实施软件保障奠定基础。

2014年国防授权法案中,国会指示DoD建立一个联合联邦能力来支持国防系统开发、采办、维护和使用的软件和硬件的安全性。2015年2月9日,国防部组建“联合联邦保证中心(JFAC)”,用来提高可信系统和网络(TSN)、供应链风险管理(SCRM),采办项目经理要求,以在武器系统寿命周期中项目保护计划(PPP),为国防部提供一站式的要求、评估,并获得资源来提高自身的软件保证实践。

2016年7月,JFAC SWA技术工作组确定了63个国防部能力缺口,这些差距阻碍国防部采办过程中软件保障的有效规划和执行。目前,美军正针对这些能力缺口实施一系列计划,提升软件保障能力。下面占知智库简要介绍美国国防部软件保障(SWA)有关情况。

声明:本文来自占知智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。