美国防部力争在2027年达到预定的零信任水平,武器IT系统将被纳入范围,不过OT环境的武器系统和其他非传统系统还是一项“艰巨任务”。
7月9日消息,美国各军种和国防机构需在2027年之前建立起零信任架构。美国高级官员认为,虽然这一任务不包括坦克或飞机等武器系统,但支持武器平台的IT系统也应当符合零信任要求。
今年4月,美国国防部首席信息安全官David McKeown在国防部零信任研讨会上说道:“武器系统背后有大量支持系统。这些系统本质上与正常的网络和计算机一样,都是IT系统。我们认为这些系统需要符合零信任要求,因为它们是非机密互联网协议路由器网络(NIPR)和秘密互联网协议路由器网络(SIPR)环境的一部分。”
“我们将继续研究,如何在实际的武器系统平台上应用零信任。所有与武器系统相关的支持系统有时也被认为是武器系统的一部分或者是武器系统本身。如果这些支持系统是基于网络或应用程序的,就应该符合零信任要求。”
尽管无法将零信任技术改装到一些现有的武器系统中,但美国国防部首席信息官办公室将努力实现,在2027年前让指挥和控制、物流和维护等功能的IT基础设施达到零信任目标水平。
国防部首席信息官John Sherman表示:“展望未来,我们将继续关注其他领域。对武器系统实施零信任将是一项艰巨的任务。我们必须弄清楚如何实现这一点。在网络上实现零信任是一回事,在武器系统或武器平台、操作技术等方面实现零信任是另一回事。”
从一开始就考虑OT和武器系统网络安全
美国政府问责局(GAO)多次审计武器系统的网络安全状况。该机构2018年发布报告称,国防部在开发过程中“经常”发现其武器系统存在网络漏洞。2021年其发现国防部取得了一些进展,但未能将网络安全要求纳入合同。GAO表示,一些合同根本没有包含网络安全要求的条款。
美国空军控制系统网络弹性技术总监Daryl Haegley表示,国防部在推进零信任实施时,必须将操作技术(OT)纳入所有规划过程。
Haegley说道:“我真正希望看到的重大举措是,将OT纳入所有规划过程。这样,当我们讨论如何整合解决方案时,就能全面考虑从OT到 IT的情况。我们还没有找到一个,可以在没有OT的情况下运行的IT系统。然而,我们会坚持不将网络应用于OT。”
去年,Haegley的团队在位于德国的斯潘达勒姆空军基地实施了一项零信任试点项目。派往该基地的团队成功应对了91项攻击活动中的38项,保护了五个供水系统和两个废水系统。
这一试点项目从去年12月开始运行,得到了零信任项目管理办公室的资助。虽然该项目在使用零信任原则保护操作技术方面取得了振奋人心的成果,但在美国国防部努力将零信任应用于网络和操作技术系统的过程中,仍然面临协调不足等挑战。
Haegley表示:“很高兴看到有很多创新,供应商提供了适用于操作技术的零信任解决方案。然而,我们从这个过程中了解到,与空军部其他部分的协调程度还远远不够。”
参考资料:
federalnewsnetwork.com
原文来源:安全内参
“投稿联系方式:010-82992251 sunzhonghao@cert.org.cn”
