美國國防工業安全保密管控研究
摘 要:
隨著信息化、網絡化、數字化的快速發展,安全保密工作既面臨前所未有的機遇,又面臨新的安全風險與泄密隱患。國防工業承擔著保障國家安全與發展的重大職責,其安全保密問題普遍受到各國政府的高度重視。美國通過構建完善的保密監管體系、加強武器裝備科研生產單位物理防護、增強國防工業領域網絡安全等措施,不斷加強對國防工業安全保密工作的管控,以確保其競爭優勢。
當前,世界進入大國競爭時代,國際戰略競爭呈上升趨勢,世界主要軍事強國圍繞軍事智能化展開激烈競爭。國防工業作為促進國民經濟發展的戰略性和支柱性產業,易成為各方勢力監控和攻擊的重點目標,在新形勢下面臨更多安全保密威脅與挑戰。為保證國防工業領域競爭優勢,確保其安全、穩定發展,美國構建了較為完善的國防工業安全保密管控體系。
1 構建完善的保密管控體系
美國國防工業安全保密管控體系相對較為完善。主要由政府機構對國防工業系列活動中的安全保密事項進行監督管理,同時通過合同中的保密條款約束國防承包商的保密行為。由此可見,履行保密義務既受保密相關法規約束,又要履行合同約定的保密義務。
1.1 在合同中明確保密條款
根據美國《聯邦采購條例》規定,在履行合同過程中,如果需要掌握知悉涉密信息時,則須明確保密條款。同時,由于國防工業領域事關國家安全,會涉及大量敏感涉密信息,美國《國防工業安全計劃》要求,在授予承包商涉密合同前,應與其簽署《合同安全定密細則》。該細則主要是明確承包商在履行合同時接觸的涉密信息及其保密要求,以及如何保護這些信息。同時,在涉密采購中,承包商及其工作人員要接觸或知悉國家秘密,均須事先獲得安全許可。
1.2 監管部門明確分工通力協作
從體系結構上看,美國并沒有專門設立國防工業安全保密管理部門,其安全保密管理職能分散到國防部、國土安全部、國務院、商務部等部門的下設機構中。這些機構之間分工明確,密切配合,為美國國防工業的發展提供了組織保障。
美國國家檔案館、國土安全部、國防部等相關部門及其內設機構分別從國防工業領域保密計劃制定與監督、武器裝備科研生產設施安全、國防科研生產系列活動的安全保密等方面進行監管,如圖 1 所示。
其中,國家安全委員會對國防工業安全保密管理進行頂層設計和指導,同時為總統提供有關安全保密決策的協調和咨詢。
國防工業安全保密計劃的執行和監督工作,由隸屬于國家檔案館的信息安全監督辦公室負責。其還將審查相關定密異議申請和上訴。同時,還負責監管各政府部門的安全教育與培訓計劃的落實情況,并為政府和行業制定分發安全教育材料。
安全保密領域細則標準主要由隸屬于商務部的國家標準與技術研究院制修訂。其還承擔美國政府各部門之間的信息安全保密領域的教育培訓工作,負責協調國家網絡安全教育計劃。
國防部是負責監管美國國防工業安全保密工作的最主要機構,通過合同管理的方式對武器裝備科研、生產、試驗、儲存、維修保障等軍工企業進行監管,國防部下設國防安全服務局、國防研究與技術局、國防合同管理局、人事管理辦公室等機構,具體執行國防工業安全保密相關監管工作。
國防安全服務局負責國防工業科研生產機構及國防合同商的監管和安全審查工作,具體包括國防工業基礎安全保密政策、制度的制定,并開展國防工業安全許可及保密審查、信息系統認證、人員安全調查、安全教育和培訓等活動,以便于統一監管。
圖 1 美國國防工業安全保密監管機構
國防研究與技術局負責對國防機構研發活動進行監管,防止美國國防工業在軍民技術轉化過程中出現涉密數據泄露問題,同時確認研發活動所使用的技術是否具有潛在的商用潛力;妥善保護涉密科研成果,對不需要進行保密管理的國防科研成果及時解密,轉為民用。
國防合同管理局負責對陸、海、空三軍和國防后勤局的所有合同進行監管,并依據合同條款,督促合同承包商認真履行合同保密義務,嚴守國防工業的安全保密規定。
人事管理辦公室負責聯邦政府各機構的人員檔案和人事管理工作,負責處理人員的背景調查和安全認證事項。
國防工業領域的關鍵設施安全、應急響應管理工作主要由國土安全部負責。其下設聯邦應急管理局、科學與技術局、網絡安全與基礎設施安全局等機構,其中,聯邦應急管理局主要負責應對恐怖襲擊和自然災害,包括預準備和恢復工作。科學與技術局主要負責安全分析、生物取證和威脅表征,在應對動態威脅環境方面發揮著重要作用。網絡安全與基礎設施安全局主要負責包括國防工業領域在內的關鍵基礎設施的網絡安全工作。該機構將網絡安全和物理安全整合,從物理空間到信息基礎設施均實行保護監管。
美國除加強聯邦政府部門間的協作外,還特別注重建立聯邦政府與州、地方政府、行業協會、企業間的合作伙伴關系,以期共同加強對國防工業領域的安全保密監管工作。這種合作模式,可以確保已納入所在地執法和緊急計劃中的國防工業基礎關鍵資產和基礎設施,在受到威脅時將被優先響應和保護。
2 加強武器裝備科研生產單位物理防護
武器裝備科研生產單位作為從事國防科研生產任務的主體,其在日常工作中會接觸或掌握大量涉及國家秘密的重要信息,易成為各方勢力監控和攻擊的重點目標,為此,美國實施分區保護、分級保護、執行巡查制度等措施來強化武器裝備科研生產單位的物理安全。
2.1 實施分區保護
美國通常采取分區保護的方式對武器裝備科研生產單位及其設施周邊環境進行保護,即根據距離核心建筑物的遠近,以及重要程度,劃分出不同的保護區域,并對每個區域制定相應的防護標準和要求。美國一般按照距離重要設施的遠近,將重要設施周邊環境劃分為 3 個層級,分別是控制周界、隔離區和空置區,如圖 2 所示。其中,控制周界是指最外層的屏障保護,一般由圍欄等防入侵裝置構成。隔離區是指重要設施和控制周界之間的區域,停車和道路系統可建設在此區域中。空置區位于隔離區內部,部署在重要設施周邊。根據美國《安防工程設施規劃手冊》規定,武器裝備科研生產重要設施距離空置區邊界的距離不得少于 10 米,并隨著設施的重要程度遞增 。同時,為避免恐怖襲擊、爆炸等威脅對國防部建筑物造成破壞,美國《國防部建筑物最低反恐標準》要求,國防部所有的現有和新建的常規建筑物必須保持適當的隔離距離,同時還要對建筑物進行防爆加固 。
圖 2 美國武器裝備科研生產單位周界劃分
2.2 實施分級保護
美國通過對可能出現的各種威脅進行預先評估、風險等劃分后,再根據等級順序,制定適當的防護預案,配置相應的保障資源,使安全防護手段發揮最大功效。美國對武器裝備科研生產單位及其關鍵設施實施分級保護,共劃分為 5 個等級,保護力度依次遞增。
第一級保護由機構及其設施的所有者自行負責;隨著威脅的升級,將啟動第二級保護,由地方政府介入,對機構所有者提供幫助和指導;如果地方政府不能提供必要的保護,將啟動第三級保護,由州或聯邦機構介入,以加強保護措施;當威脅情況更為嚴重時,啟動第四級保護,由州長申請其他聯邦援助或雇傭國民警衛隊進行保護;隨著威脅的加劇,在必要的時候,啟動第五級保護,由總統派遣美國軍隊對受威脅的武器裝備科研生產單位及其關鍵設施進行保護。
根據《設施物理安全設計指南》,將武器裝備科研生產單位面臨的威脅分為低度威脅、中度威脅、高度威脅和超高度威脅 4 種。根據不同的威脅級別,對建筑物的墻體、屋頂和地板均設有不同的防護要求:一般來講,低度威脅情況下對墻體、屋頂和地板材質不做要求;中、高度威脅情況下對墻體、屋頂和地板材質有相應要求,應選擇磚石混凝土和鋼筋混凝土的墻體,屋頂和地板則要求是鋼筋混凝土結構;超高度威脅情況下需建立單獨區域,用以減輕爆炸等造成的不良影響。
2.3 執行巡查制度
巡查制度是維護武器裝備科研生產單位正常秩序和特定目標區域安全的有效措施。通過人員巡邏等方式維護武器裝備設施的安全。美國的人員巡邏包括定點守衛、流動巡邏和應急小組 3 種類型。定點守衛的地點一般在瞭望臺或觀測塔等特殊位置;流動巡邏是指對特定區域進行的周期性巡視和檢查;應急小組則負責重要設施的安全防護,在發生突發事件時,能夠及時響應。其中,瞭望臺一般采用房屋結構,設有用于緊急快速操控的區域,以激活車輛障礙物系統。在瞭望臺應配有發聲器,以便面臨危機情況時可以觸發報警系統,引起核心區域安保人員注意。瞭望臺的視野應盡量廣闊,環視角度至少達到 180°。
3 加強國防工業領域網絡安全
近年來,美國國防工業領域網絡安全風險事件頻發,美國通過完善網絡安全戰略布局,推行網絡安全成熟度模型認證,加強新冠肺炎疫情期間遠程辦公網絡安全等措施,不斷加強國防工業領域網絡安全。
3.1 完善網絡安全戰略布局
美國注重從戰略全局視角出發,提升網絡安全威脅及時發現、實時分析、應急響應的能力,最終實現快速決策與保護。拜登政府非常重視體系化推進網絡安全工作,頒布系列綱領性戰略文件。2021 年 3 月,拜登政府發布《臨時國家安全戰略指南》,要求全力維護美國網絡安全利益,加強關鍵基礎設施的網絡安全。同年 5 月,拜登簽署《加強國家網絡安全的行政命令》,要求美聯邦政府迅速行動起來,確保國家網絡安全。
為落實拜登政府對網絡安全領域的各項 要 求, 美 國 網 絡 安 全 與 基 礎 設 施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA)、管理和預算辦公室等機構相繼發布配套政策。2021 年 11 月,CISA 發布《網絡安全事件與漏洞響應指南》,為聯邦機構應對網絡安全事件和漏洞響應提供一套標準程序手冊,從而有效開展網絡安全事件及漏洞的識別、應對及上報活動。2022 年 1 月,美國管理和預算辦公室發布《聯邦零信任戰略》,通過加強身份管理、設備管理、網絡管理、第三方評估和數據管理等措施,提升應對日益復雜和持續的網絡威脅的能力。要求各級政府在 2024 財年結束之前達到各項既定的網絡安全標準與目標。通過多因素身份認證的方式增強網絡釣魚行為防御水平,整合機構身份系統,加密進出流量。由此可見,為了更好地應對日益復雜的網絡威脅,美聯邦政府果斷采取措施,及時加強頂層設計,各部門迅速出臺細化文件,及時打造智能化、精準化、持續性的網絡安全防護體系。
3.2 推行網絡安全成熟度模型認證
為加強美國國防工業供應鏈安全,強化美國技術優勢以確保涉密信息和非密受控信息安全,美國國防部于 2020 年發布《網絡安全成熟 度 模 型 認 證》(Cybersecurity Maturity ModelCertification,CMMC ①)1.0 版,要求凡是涉及聯邦采購合同的承包商要滿足網絡安全成熟度要求,通過第三方評估的方式,確認滿足相應標準與要求后,才能獲得國防部合同。CMMC 是一個分層網絡安全架構,其根據承包商參與工作所知悉的涉密信息等級和項目安全級別設置不同的要求。CMMC1.0 版實施運行后,一些企業和非傳統承包商認為該流程成本高、過程繁瑣,全面推行實施存在一定困難。美國國防部在廣泛聽取意見,進行內部審查后,迅速行動及時調整,于 2021 年 11 月發布 CMMC2.0 版。該版本將原來的 5 個等級簡化為 3 個等級,進一步明確了監管要求、政策要求和合同要求,可操作性更強。第一級為基礎等級,即承包商需滿足 17 項基本實踐;第二級為高級等級,即承包商需滿足 110 項基本實踐,且要符合美國國家標準與技術研究院特別出版物 SP 800-171 的要求,同時還要對關鍵安全信息進行三年一次的第三方評估,對特定項目進行年度自評;第三級為專家級等級,除符合上述要求外,還要通過政府主導的評估。CMMC2.0 版預計于 2023 年5 月全面實施,這將極大增強美國國防工業基礎的網絡安全,通過與工業部門建立更加協調的關系,有助于其采用最佳實踐來防止網絡威脅。
3.3 加強遠程辦公網絡安全
2020 年初新冠肺炎疫情突然爆發,制約了美國國防工業各層級承包商的正常工作,受其影響的美國國防工業領域單位實施遠程辦公。為加強國防工業領域遠程辦公網絡安全,防止敏感數據成為網絡竊取目標,利用熱點事件發送釣魚郵件,以及傳播木馬病毒、惡意程序等問題發生,CISA 密集發布文件,加強遠程辦公網絡安全。
2020 年 4 月,CISA 及時發布《可信互聯網連接 3.0 臨時遠程辦公指南》。從文件、電子郵件、網絡、域名服務器、入侵檢測、遠程訪問、統一通信與協作、數據保護等 8 個方面,給出了新冠肺炎疫情期間遠程辦公網絡安全要求。隨著疫情的持續發酵,2021 年 4 月,美國國家安全局又發布針對國防部、國家安全系統和國防工業部門的《制止針對互聯網運維技術的惡意網絡活動指南》。指南提供了系列實用方法,以更好地提高國防工業領域網絡安全。一是隔離系統,斷開不必要連接以降低系統風險,只在執行關鍵任務時啟動連接;二是明確將信息技術系統連接到運維技術系統和控制系統的必要性;三是甄別將信息技術系統連接到運維技術系統和控制系統時的風險;四是量化為降低風險所帶來的成本增加;五是為決策者提供調查結果,從而有效評估這些必要性、風險與成本。
同 年 9 月,CISA 發 布《 保 護 虛 擬 專 用 網絡(VPN)安全指南》。VPN 是遠程訪問企業網絡和敏感數據與服務的入口,因此極易成為高 級 持 續 性 威 脅(Advanced Persistent Threat,APT)攻擊的重要目標。指南給出 4 點具體措施:一是選擇 / 使用國家信息保障聯盟(National Information Assurance Partnership,NIAP)產品列表上通過測試與認證的 VPN 產品;二是采用多因子身份認證等強認證方法;三是及時應用與更新補丁;四是盡量通過禁用非 VPN 相關特性的方式來減少 VPN 的攻擊面。
4 結 語
隨著安全形勢不斷變化,美國在努力建設先進國防工業、大力提高武器裝備自主創新能力和科研生產能力的同時,更不斷加強國防工業的安全保密工作。一方面,美國構建了較為完善的安全保密管控組織體系和法律法規標準體系;另一方面,美國結合數字時代的特點,使傳統防護技術與新技術有機結合,通過構建智能、敏捷的安全保密防護機制和應急響應機制確保美國國防工業領域安全。
