9月22日,美政府问责局(GAO)发布报告《核武器网络安全:国家核安全管理局(NNSA)应全面实施基本的网络安全风险管理实践做法》。报告评估了NNSA在核武器网络安全风险管理方面存在的问题,并就如何加强核武器网络安全向NNSA提出建议举措。
研究背景
报告称,信息技术(IT)对于美国的核武器而言意义重大。NNSA及其8个场址(包括3个实验室和5个生产场所)的承包商将信息系统集成至核武器,利用IT现代化其制造装备,以及使用计算机模型开展核武器设计。然而,这些网络系统都是恶意行为体攻击的目标。为防范此类威胁,美国联邦法律和政策要求NNSA设立一个项目来管理其网络安全风险,包括实施6项基本网络安全实践做法,还要求NNSA的承包商对分包商网络安全进行监管。同时,2020财年《国防授权法》随附的参议院委员会报告要求GAO对NNSA的网络安全实践做法和政策进行评估。
为此在本报告中,GAO评估了NNSA及其承包商在多大程度上实施了基本的网络安全风险管理实践做法,以及承包商在多大程度上对分包商的网络安全进行了监管,并根据评估结果向NNSA提出加强核武器网络安全的建议举措。
研究发现
报告将传统IT环境、运行技术环境和核武器IT环境定义为NNSA的三大数字环境。其中,传统的IT 环境包括用于武器设计的计算机系统;运行技术环境包括利用嵌入式软件来制造设备和建造控制系统,以监控实体装置或流程;核武器IT系统包括在武器中或与武器接触的IT。研究发现,NNSA及其承包商在核武器的传统IT环境、运行技术环境和核武器IT环境中都没有完全实施6项基本网络安全风险实践做法。
这6项网络安全实践做法包括:确定并分配网络安全风险管理角色和职责;制定和维持机构网络安全风险管理策略;记录和维持网络安全项目政策与计划;评估和更新机构网络安全风险;指定可供信息系统或程序使用的控件;制定并维持持续监控机构风险的策略。这些实践做法是GAO根据国会管理与预算办公室(OMB)、国家安全系统委员会(CNNS)以及国家标准与技术研究所(NIST)的相关网络安全标准与指南等文件而选择的“基本网络安全实践做法”。
建议举措
鉴于NNSA在核武器网络安全风险管理方面存在的不足,GAO为其提出以下9条建议举措,以加强美国的核武器网络安全:
● 将强相关的联邦网络安全要求纳入其计划修订的补充指令205.1“基线网络安全项目”中,并至少每3年对该指令进行一次评审。
● 确保补充指令205.1含有要求对承包商和分包商网络安全举措进行第三方验证的相关描述。
● 全面实施一项持续的IT监管策略。
● 确定和分配NIST指南中要求的所有风险管理角色和职责。
● 运行核场所的承包商应保持该场所范围内的网络安全风险管理策略。
● 判断运行技术环境所需的资源。
● 制定核武器IT网络安全风险管理策略。
● 加强对分包商网络安全的监控。
● 将管理与运营核场所的承包商监管分包商网络安全举措的绩效评估标准纳入承包商绩效评估流程。
来源 | 美国问责局网站
图片 | 互联网
作者 | 申淼
编辑 | 赵霄
注:原文来源网络,文中观点不代表本公众号立场,相关建议仅供参考。
声明:本文来自国防科技要闻,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
