郑 超， 刘映国， 陈亚莎， 高新雨

(军事科学院系统工程研究院， 北京 100089)

0 引 言

装备网络安全是指装备在网络对抗环境下，抵御有意或无意网络威胁，保持其作战效能发挥的能力，是信息化装备的重要能力属性。随着信息化水平的不断提高，装备作战效能对信息系统的依赖越来越强，导致信息系统面临的网络安全风险也日趋突出。一方面，网络战已经成为现代战争必选、首选的作战样式，装备作为战争的物质基础，必将成为主要攻击对象。另一方面，传统计算科学、体系结构、计算模式等方面缺少安全理念和防护手段，使得计算系统不可避免的存在逻辑缺陷[1-2]，换句话说，装备信息化建设开始那一刻就蕴含了网络安全问题。有些网络安全问题给装备带来的隐患可能是致命性的、体系性的。2018年，叙利亚部署的某防空系统，性能达到了世界一流水平，但因受到来自网络空间的致盲攻击，对来自以色列约28架军用飞机的空袭行动毫无反应，作战效能完全被抵消。另外，作为网信体系的重要组成，装备的网络安全问题对整个作战体系也构成了严重威胁。面对极为严峻的网络安全风险挑战，急需依托试验鉴定工作，在交付部队前对装备网络安全能力进行充分、严格的试验考核，摸清能力底数，牵引装备网络安全能力提升。强化装备网络安全试验考核，以装备要素的局部安全促进整个作战体系安全，已经成为了世界各国的普遍做法。2020年，美军发布国防部指示DoDI 5000.89《试验鉴定》[3]将网络安全作为装备一个专项考核内容(互操作、网络安全和导航战)，进行突出强调。加拿大、韩国等国家也纷纷效仿美军构建自己的装备网络安全试验考核体系。

装备网络安全能力建设及其试验考核工作具有极强的重要性和紧迫性，文献4和文献5等学者对美军装备网络安全试验鉴定及其靶场建设做法进行了初步探索，为支撑指导装备网络安全试验考核工作及其体系建设，本文对美军装备网络安全试验考核进行系统分析，希望能为我军装备网络安全试验鉴定发展提供一定借鉴。

1 美军装备网络安全试验鉴定主要做法

美军网络安全建设起步较早，逐步经历了计算机安全、网络安全、信息安全、网络空间安全等几个发展阶段。2014年，美国防部下发DoDI 8500.01《网络安全》阐释了网络安全内涵，并明确结合装备采办工作开展网络安全试验考核，开启了装备网络安全试验考核工作的发展[6]。2015年，美军更新下发《联合能力集成开发手册》、DoDI 5000.02《国防采办系统的运行》和《网络安全试验鉴定指南1.0》3个标志性文件，对采办全寿命周期的装备网络安全试验鉴定工作进行初步规范。在此基础上，为大力促进了装备网络安全试验考核的发展，2020年11月更新发布了《网络安全试验鉴定指南2.1》[10]。

1.1 强调所有信息技术都应开展装备网络安全试验鉴定

为确保指挥员、作战员对网络信息安全充满信心，做出正确决策，美国防部要求所有信息技术均应纳入网络安全试验鉴定范畴。并根据信息技术的特征将国防部信息技术(DoD IT)分为信息系统(IS)、平台信息技术(PIT)、信息技术服务(IT Service)和信息技术产品(IT Product)，如图1所示。其中，信息系统又分为专用系统和重要应用系统，平台信息技术可进一步分为平台信息系统和平台信息技术。专用系统、重要应用系统和平台信息技术系统的功能相对独立、网络边界较为清晰、网络安全风险偏高，被纳入风险管理框架授权管理范畴[6]。

图1 美国国防部信息技术分类

1.2 将网络安全作为装备的能力属性进行考核

《网络安全试验鉴定指南2.1》明确装备网络安全试验考核内容主要包括网络安全标准符合性、系统网络生存性和作战弹性三个方面。1)网络安全标准符合性是指系统符合相关安全标准规范的需求，主要包括与风险管理框架中安全控制的符合性，以及与网络空间防御措施相关标准的符合性两个方面。2)系统网络生存性，主要包括系统对网络威胁的预防、缓解、恢复能力，是系统生存性关键性能参数(SS-KPP)的重要组成。3)作战弹性，旨在提升系统在丢失所有信息资源和连接的情况下，根据需要动态分配信息资源以维持任务运行，将信息资源快速恢复到受信任状态，保持对正在进行任务的支持等方面的能力，主要包括三个方面：一是针对授权的用户，在任何时间、任何地点信息和服务是可用的、可信任的，满足任务需要、优先级和角色职责调整；二是针对任务所有者、网络操作者，从独立组件、软件到集成的体系的安全态势是被感知的、相互关联的、可视的；三是任何情况下，软硬件组件在很少或不需要人为干预的条件下具备重新配置、优化、自我防御和恢复的能力[10]。

美军突出对装备在网络空间的生存性和弹性的考核，不仅要回答“安全状态”问题，更要侧重回答“安全能力”问题，确保装备抵御网络威胁的能力，满足未来作战的需要。这一转变将有力的牵引零信任框架等内生安全技术在装备中的应用，促进装备建设的改革，有助于从根本上提升其装备体系在网络空间对抗环境下的作战能力。

1.3 在采办全寿命周期开展装备网络安全试验鉴定工作

《网络安全试验鉴定指南2.1》将装备网络安全试验鉴定工作分为6个阶段。其中，第1阶段，确定网络安全需求，主要完成网络安全标准、系统网络生存性和作战弹性等方面需求，以及其他影响网络安全试验的因素，并根据分析结果更新原型和系统开发征求意见书；第2阶段，表征网络攻击面，主要生成攻击面分析报告、可能导致系统暴露于潜在威胁的接口和数据连接清单、确认攻击面保护职责、列出系统中已知的脆弱性问题、明确网络安全试验鉴定资源需求；第3阶段，协同脆弱性确认，由首席研制试验官和网络安全工作组指导开展安全标准符合性试验、作战弹性试验和系统网络生存性试验，对装备中存在的脆弱性问题及修复情况进行确认，并形成评估报告，分析下一阶段需要的试验资源；第4阶段，对抗性网络安全研制试验鉴定，由经过认证的专业人员在典型作战环境下，利用真实的威胁攻击技术开展作战弹性试验和系统网络生存性试验，生成试验评估报告，开展网络安全评估支撑里程碑C等决策；第5阶段，协同脆弱性与渗透评估，作战试验鉴定局根据已经开展的网络安全试验事件中获取的数据来识别发现新的脆弱性，并从作战角度对脆弱性进行评估，表征系统在作战环境下的网络安全标准和作战弹性，并对系统运行状态进行跟踪以支持对抗性评估；第6阶段，对抗性评估，从作战对手视角，依托受过训练的使用部队，评估典型网络威胁活动对被试装备遂行关键任务能力的影响，及其系统防御能力的有效性，以支撑全速率生产/全面部署等决策[10-11]。

分析美军提出的6个阶段网络安全试验鉴定工作，可以总结出3个特点：一是合作性试验准备、对抗性试验实施，第1、2、3、5阶段的主要工作为试验准备，第4、6阶段实际开展试验事件，美军强调研制单位、试验单位协同合作开展试验的分析和策略制定等准备工作，确保试验方案的充分性，而具体试验实施过程坚持对抗性原则。二是坚持研制试验和作战考核双视角，第3、4阶段属于研制试验鉴定活动，侧重关键性能参数的验证和问题的修复；第5、6阶段为作战试验活动，侧重关键作战问题的考核。三是突出网络安全能力考核，研制试验和作战试验的网络安全试验活动主要针对装备的作战弹性和系统网络生存性的考核，而网络安全标准的符合性和脆弱性确认主要通过静态分析和附带考核，较少设置独立的试验活动。

如图2所示，阶段1、2需要持续开展，分析装备网络安全试验需求，为其他阶段提供支撑。阶段3、4在工程制造开发阶段开展，阶段5、6在里程碑C后开展，实际工作中，美军优先选取一体化试验的方式来提高试验效率。

图2 美军网络安全试验鉴定阶段划分示意图

1.4 开发基于任务的装备网络风险评估方法

网络空间没有绝对安全，装备网络安全的问题空间难以穷尽，美军提出基于任务的网络风险评估(MBCRA)方法，聚焦装备核心使命任务和关键作战问题，实现网络安全试验考核任务的有效收敛[12]。为实现对MBCRA的支撑，美军开发了网络生存性认可流程、基于任务的网络风险评估过程(Mission-based Risk Asseeement Process for Cyber，MRAP-C)等方法[13]。网络生存性认可流程由美联合参谋部和美国防部首席信息官开发[7]，用于分析评估系统网络生存性和作战弹性的任务影响，核心是网络生存性风险类别分析，一般分为5个步骤：确定系统任务类型、确定对抗威胁等级、确定网络依赖水平、确定系统受损的影响等级，最终确定系统网络生存性风险类别[14]，如图3所示。

图3 网络生存性认可一般流程

基于任务的网络风险评估过程是指依据系统可能对国防部作战任务的影响，对网络安全风险进行识别、预计、评估、分级的过程。该方法是在安全性系统理论过程分析(System-theoretic Process Analysis for Security，STPA-SEC)理论基础上开发演化而来，是美军网络安全需求分析中主要依托的一种方法[13]，由网络安全工作组实施，贯穿整个装备网络安全试验过程。网络桌面推演是基于任务的网络安全风险评估一种最佳实践方法，通过控制小组、蓝队小组、红队小组三种角色的模拟推演，探讨网络攻击行动对作战系统能力的影响，分析高优先级或高任务影响的网络威胁，确定高价值的后续试验评估工作，生成实用、可承担、可行的试验方案。网络桌面推演主要在装备网络安全试验鉴定前4个阶段开展，一般分为准备阶段、执行阶段、分析阶段和报告4个工作步骤[15]，如图4所示。

图4 网络桌面推演的一般流程

2 美军装备网络安全试验鉴定体系支撑

经过多年的发展，美军在装备网络安全试验鉴定方面已经形成了较为完善的政策体系、协作机制和试验条件，能够有效支撑装备网络安全建设和发展。

2.1 形成健全的政策体系牵引工作开展

美国十分注重促进装备网络安全建设的法规体系建设，经过了多年的发展和经验总结，已经形成了相对完备的政策体系。美国法典第 10 篇第 2224 节明确“信息和信息系统的可用性、完整性、机密性、可验证性、不可抵赖性，以及快速恢复能力是国防信息基础设施的必要元素”，为开展装备网络安全试验鉴定工作提供了基本依据。军事需求层面，参谋长联席会议发布的联合能力集成开发系统明确系统网络生存性为SS-KPP的重要内容，明确装备网络安全为装备的强制建设属性。采办政策层面，更新发布DoDI 8500.01《网络安全》、DoDI 5000.01《国防采办系统》、DoDI 5000.02《适应性采办框架的运行》、DoDI 5000.75《业务系统要求和采办防御业务系统业务能力获取周期》、DoDI 5000.89《试验鉴定》等采办文件[6-7]，阐释网络安全的内涵，明确装备网络安全试验鉴定为采办工作的重要内容，并提出了贯穿装备采办全寿命周期开展装备网络安全试验鉴定工作的强制要求。政策实施层面，国防部开发《网络安全试验鉴定指南》规范装备采办全寿命周期开展装备网络安全试验考核的流程、步骤、方法。各军兵种结合自身特点和理解制定具体的实施办法，如美空军发布指令AFI 63-101/20-101《集成生命周期管理》、AFI99-103《基于能力的测试和评估》，以及《武器系统项目保护/系统安全工程指南》支撑装备网络安全试验鉴定具体落地。可以看出，美军从法典、军事需求到采办工作，从国防部、军兵种到具体实施力量，从法律、政策、备忘录、实施指南到具体方法技术等各层面围绕装备网络安全试验鉴定形成了相对完备、落地的软实力体系，支撑装备网络安全能力建设。

2.2 构建高效的协作机制推进系统建设

网络安全建设属于典型的系统工程，需要多方协作，美军在采办框架下以试验鉴定工作为主要抓手，协同开展威胁情报分析、项目保护/系统安全工程、风险管理框架等工作，推进装备网络安全建设，如图5所示。其中，威胁情报分析为装备网络安全试验鉴定工作提供网络风险和威胁环境的评估报告，牵引各阶段采办工作；项目保护依据威胁情报从信息、技术、组件三个方面分析网络安全脆弱性，支撑国防部作战能力安全风险的综合管理；系统安全工程从系统工程出发，以网络安全、硬件保证、软件保证、防篡改、供应链风险管理、国防出口能力、领域安全等多个视角，分析协调安全需求，并权衡可承受的安全性和可接受的风险。系统安全工程是实施项目保护的基本准则。项目保护计划将系统安全要求总结为保护措施，是对系统安全工程分析工作的总结和计划安排。国防部信息技术风险管理框架[16]的核心是提供一个结构化、动态和递归的过程，支持近实时网络安全风险管理，将信息系统安全和风险管理活动统筹到系统研发生命周期和授权管理中，适用于所有国防部信息系统和含有平台信息技术的系统。试验鉴定是促进装备网络安全建设的主要抓手，需要持续跟踪威胁情报、风险管理、项目保护、系统安全工程等工作，识别试验需求，规划开展试验活动，同时也为其他活动提供支撑。

图5 采办中网络安全相关工作之间的协同关系

四个方面工作从不同时间推进网络安全建设，相关工作不可避免存在交叉重叠，提高工作效率和质量，美军通过能力文件(ICD、CDD、CPD)、项目保护计划、系统工程计划、风险管理框架安全计划(RMF-SP)、试验鉴定主计划(TEMP)等主要文件工具的协同编制和共享，对各项工作进行协调。在具体实施过程中按照RASCI模型组建网络安全工作组，纳入主责单位、管理机构、支撑单位、咨询机构、利益相关方等人员，实现工作的协调和成果共享，促进装备网络安全建设实施一体化。

2.3 打造坚实的靶场等硬件条件支撑试验开展

靶场是支撑网络空间领域技术开发、武器试验、作战演练、人员培训等工作的基础支撑条件，牵引着网络空间领域的理论、方法、技术、人才等方面建设，是装备网络安全试验鉴定的硬件条件。美军2008年率先启动了国家网络靶场建设，被称为新世纪的“曼哈顿工程”。截止2020年，美国已经建设了国家网络靶场、国防部网络空间安全靶场、联合网络空间作战靶场、联合信息作战靶场、持续网络训练环境、海军网络空间作战靶场、战略司令部网络空间作战靶场、陆军国民卫队增强型网络训练模拟器靶场等。其中，国家网络靶场为研究、试验提供真实网络的模拟环境，国防部网络空间安全靶场真实地重建了国防部信息网络(DoDIN)环境，可以支持研究、试验、训练等工作，联合网络空间作战靶场由各军兵种网络空间靶场、模拟器等组成，支持模拟器建模和作战训练，联合信息作战靶场是在各基地真实环境上构建的网络空间作战环境，持续网络训练环境支持网络任务部队在世界任何地方登录，参与培训和演习任务的强大云端网络培训环境。各军兵种结合自身需求建设专用靶场，并积极融入国家、国防层面靶场。靶场作为硬件条件不仅支撑了试验任务的开展，同时为装备网络安全试验鉴定的技术研究、方案验证、试验实施提供了充分支撑。

3 推进我军装备网络安全发展的启示

网络空间作战成为了重要作战样式，要求试验鉴定工作也必须做出相应调整。美军率先完成了试验域向网络空间的拓展，将网络威胁环境纳入了试验环境的必要组成，通过强化试验鉴定工作牵引促进了装备网络安全能力建设，极大提升了其网络空间作战能力。另一方面，网络空间作战作为全新作战样式，具备对传统作战力量构成降维打击的潜力。为适应未来战争，加快推进装备信息化、智能化建设，急需加强装备网络安全试验考核，提升装备网络安全能力。分析梳理美军的相关做法，总结其经验教训，对促进我军装备网络安全试验鉴定的发展，加快构建先进实用的装备网络安全试验体系有以下几点启示。

1)以能力建设为出发点，推动装备网络安全理论发展。装备网络安全是一个全新的事物，国内外尚没有形成统一的共识概念，对其内涵外延的认识处在不断深入、发展的过程。总体上看，装备网络安全是网络安全的重要内容，遵循网络安全的原理和要求，但也有明显的自身特点，属于军事装备学和网络空间安全交叉融合的产物。装备网络安全强调装备抵御网络威胁保持作战效能发挥的能力，是信息化装备的重要属性，反映的是装备在网络空间环境的适用性，与网络空间安全态势、网络安全风险等不同。应聚焦未来战争和装备发展的需要，突出能力属性，厘清装备网络安全的学科定位和核心内涵，全面推动装备网络安全理论的发展和体系建设，将装备网络安全发展成为信息化装备的通用特性。

2)以试验鉴定为着力点，统筹装备网络安全能力建设。网络空间属于典型的开放复杂系统，装备的网络安全问题解决十分复杂，必须在系统工程理论指导下，科学统筹网络安全与信息化发展之间的矛盾、作战需求和装备建设两方的实际情况、军内军外两股力量、军事装备学和网络空间安全两个学科，以及装备建设各环节协同推进装备网络安全建设，急需破局抓手。装备试验鉴定工作作为战、建结合部，新体制下装备建设工作中最活跃的因素，为装备网络安全建设提供了现实抓手[17]。同时，装备试验鉴定工作贯穿装备全寿命周期，便于持续发现解决网络安全问题，加强武器装备网络安全试验考核有助于牵引装备论证、设计等前端工作，促进装备网络安全能力建设发展。

3)以使命任务为落脚点，牵引装备网络安全试验考核。受网络空间非动力学特征和攻防技术飞速发展的影响，装备网络安全呈现出客观性、相对性、动态性、涌现性、体系性、不确定性、体系性、复杂性、隐蔽性、传播性、零和性等特征，导致装备网络安全建设成为一项极为复杂的系统工程。网络安全的问题空间极为庞杂，且随着装备信息系统结构、规模、智能化程度的提高呈非线性增涨，确保装备在网络空间绝对安全已经不可能，“有限安全”成为不得不面对的事实，聚焦主要矛盾收敛问题空间，达成“适度安全”成为主流的设计哲学。装备建设主要目的是支撑作战使命任务的达成，满足未来战争需要。装备网络安全建设也应坚持问题导向，从装备的使命任务出发，分析装备面临的主要网络威胁，识别装备网络安全问题，提出针对性解决方案。美军经过多年的装备网络安全建设实践，总结提出了基于任务的网络风险分析方法，按照从关键作战信息到任务、行动、子系统、组件、子组件等逐层分析装备网络安全问题，实现了问题空间的有效收敛。

4 结 语

“没有网络安全，就没有国家安全”。历史表明，新空间的出现，往往牵动世界秩序的更替，率先掌握了新空间制权的力量毫无例外的迅速崛起，相反必将遭到降维打击。装备网络安全已经发展成为信息化装备的重要属性，是装备试验鉴定的重要内容。同时，我们也应注意到装备网络安全与其他传统的装备功能性能指标的试验考核相比，具有鲜明的特征，属于典型的复杂系统问题，且无法用传统动力学理论进行指导，急需要开展理论、技术、机制等方面的研究，构建先进实用的试验鉴定体系，培养塑造适应装备网络安全学科发展的学术生态。