美國如何保證國防電子元器件供應鏈安全

原標題：美國如何保證國防電子元器件供應鏈安全

2017年2月底,美國國防科學委員會(DSB)網路空間供應鏈特別工作小組發布報告,指出美國國防電子元器件供應鏈安全所面臨的嚴峻形勢,包括假劣偽冒元器件的大舉泛濫和軟硬體漏洞的恐被植入。在分析了美國國防部採購話語權有限、元器件日益複雜、武器系統服役後長時間保持不變、國防元器件供應體系複雜等外部原因基礎上,工作組對國防部現有供應鏈安全管理舉措進行了審視,發現了項目保護計劃不到位、資料庫發展落後、信息管理機構缺少執行力、「可信代工」面臨挑戰等一系列問題,並針對性地提出了應對建議。

2017年2月底,美國國防科學委員會(DSB)網路空間供應鏈工作組發布了名為《國防科學委員會網路空間供應鏈工作組》的報告。工作組對國防部現有電子元器件供應鏈相關安全措施展開全面調查,指出國防供應鏈中的薄弱環節,並提出相關建議。國防科學委員會是美國聯邦諮詢委員會,宗旨是為國防部部長提供獨立的建議。

▲根據目前硬體攻擊手段，只需幾百甚至幾十個門電路就可植入比軟體漏洞更難以去除的硬體漏洞

面臨嚴峻安全形勢

美國國防部自2007年起開展的一系列調查和舉證顯示出偽冒元器件已大量進入美軍武器裝備。2010年美國商務部發布的《國防工業基礎評估:偽冒元器件》報告中稱,美國國防採辦中偽冒元器件案件數由2005年的3369件增長到2008年的8644件,增幅達2倍多。2011年美國政府問責署(GAO)在對國防後勤局、導彈防禦局等國防部門和若干裝備的調查中均發現了偽冒元器件。2012年美國參議院軍事委員會發布的《國防供應鏈偽冒元器件調查》報告中稱,其調查的1800件偽冒元器件案件中,發現總數超過100萬片的偽冒元器件已進入美軍現役裝備,包括空軍C-17、C-130J、C-27J運輸機和P-8A反潛機,海軍陸戰隊AH-64、SH-60B、CH-46直升機,以及陸軍「薩德」系統等。

美軍表示偽冒元器件可導致武器系統可靠性每年下降5%～15%,甚至可使裝備失效。美政府問責署例證,導航系統中的偽冒振蕩器將造成無人機無法返回。參議院軍事委員會也例證,已部署到阿富汗的2架C-27J運輸機中發現偽冒存儲器,會使飛機發動機狀態、燃料情況、診斷數據等重要信息極易丟失。而更重要的是,偽冒元器件的大舉入侵暴露出美國防電子元器件供應鏈安全措施的薄弱,美軍擔心惡意軟硬體漏洞的植入會藉由供應鏈的薄弱環節在美武器裝備中長驅直入,實現從性能退化到功能故障,再到系統崩潰的各種攻擊。美國國防科學委員會在此次調查中也發現了已被惡意植入武器系統但尚未實施攻擊的漏洞。

為此,2014年11月美國負責採辦、技術與後勤的副部長責成國防科學委員會成立網路空間供應鏈工作組,審查國防部電子元器件供應鏈安全管理舉措,並研究如何減少缺陷和防範惡意軟硬體漏洞在國防電子元器件中的植入。

▲部署到阿富汗的2架C-27J運輸機中發現偽冒存儲器，會導致飛機發動機狀態、燃料情況、診斷數據等重要信息極易丟失

外部原因分析

美國國防部用電子元器件強烈依賴全球半導體商業供應鏈。通過該供應鏈,敵方擁有多種機會來損害器件或利用/植入軟硬體漏洞來發起攻擊。確保國防電子元器件不受攻擊是一項艱巨的任務,其中外部原因主要體現在以下幾個方面。

元器件複雜度不斷提升,傳統測試難以發現漏洞

隨著技術發展,擔負系統信息處理功能的中央處理器、存儲器等電子系統中最常用的數字集成電路動輒包含數十億門電路,特別是使用日益廣泛、具備更高靈活性、可在武器系統部署前後重新寫入功能的現場可編程門陣列等器件。根據目前硬體攻擊手段,只需幾百甚至幾十個門電路就可植入比軟體漏洞更難以去除的硬體漏洞。而費時費力的傳統性能測試僅能保證器件具備所需功能,由於無法窮盡對所有功能的測試,故無法保障元器件不包含非預設功能。

武器系統長時間保持不變,給予敵方充足攻擊時間

武器裝備長達數十年的服役期大幅增加敵方發現系統內可被攻擊弱點的可能性。而且如能利用現有漏洞而無需植入,則是最具成本效益和最低風險的攻擊實施方式,這將極大簡化攻擊的難度和縮短攻擊實施時間。工作組估計,到2025年前,現已部署的武器裝備所提供的軍事實力佔美國總軍事實力的80%還多。這些系統就像多年來一直等待攻擊的「靜態目標」,如愛國者導彈、地面環境集成系統(AEGIS)和中距空-空導彈(AMRAAM)等前線作戰系統就是最好的例子。因為維護或更換的招標公告是公開的,敵方可充分研究其所需的重要組件和供應鏈,定位關鍵部分的關鍵器件,進而找到可實施攻擊的潛在漏洞。

國防電子元器件供應體系複雜,難以有效跟蹤和防範

根據實施主體和目標的不同,國防部電子元器件供應鏈細分為全球商業供應鏈、國防部採購供應鏈和國防部維護供應鏈,每個供應鏈都在攻擊範圍內,為攻擊者提供不同的成本和收益,具體如表1所示。每個供應鏈都包含多個主體,如生產商、分銷商、子系統集成商和國防裝備商等,每個主體又包含多個層級和多家企業,並呈現複雜的交織供應關係。在全球龐大、非線性商業供應基礎上,進入國防部的電子元器件難以跟蹤其流轉過程。一旦敵方滲透進供應鏈並過濾出有關武器系統的功能和技術信息,就可通過尋找特定電子元器件和系統漏洞實施攻擊。與此同時,裝備系統日益複雜,國防部和國防裝備商幾乎難以了解最底層電子元器件使用情況。因此,即使確認了電子元器件中含有漏洞,由於沒有全面的材料清單,也很難快速找出使用了這些電子元器件的武器裝備。

特別是在國防部維護供應鏈中,由於武器裝備系統經過數年的研製在投入使用時,所用電子元器件,特別是微電子器件極有可能已經停產,無法從原始生產商或授權分銷商處獲取。例如,根據國防部的長期採購經驗,在武器裝備部署前,大約70%的電子元器件已經淘汰或不再生產。停產斷檔問題迫使國防部或國防裝備商從未經授權或認證的分銷商處採購,顯著增加了買入已受篡改電子元器件的機會,在美國國防部此前的多項調查中也充分證實了這點。

▲2015年7月IBM公司微電子製造業務出售給所有權隸屬阿聯酋的格羅方德公司後，格羅方德經過資格審查取代IBM成為國防部最先進微電子製造工藝的唯一可信供應商

國防部現有舉措存在問題

工作組對國防部現有管理國防電子元器件供應鏈的機構和措施展開全面調查,發現儘管國防部一直在著力解決目前面臨的嚴峻安全形勢,但仍力有未逮。

項目保護計劃實施不到位

2011年,美國國防部意識到其嚴重依賴美國以外地區生產的微電子器件來實現尖端技術,要求項目管理人員在項目保護計劃中解決供應鏈威脅。項目保護計劃旨在制定出完備方法來保護包括網路安全在內的全面系統安全,以及採取行動來保護未保密的項目信息安全。

目前的項目保護計劃主要存在以下幾方面問題,減小了其對整體項目和供應鏈質量的保護作用:

①未有效延續至維修保障階段,即幾乎沒有證據表明在武器裝備部署後仍在持續有力地實施項目保護計劃,或當武器裝備通過維修不斷升級時,相應記錄也在持續更新。

②不同項目保護計劃的質量、重點和深度差異較大,如一些項目側重於保護電子元器件的可用性,一些項目則強調保護人員或系統安全,還可能因要獲得階段性批准的壓力而限制了保護的範圍和深度。

③負責制定和執行項目保護計劃的項目管理辦公室缺乏足夠的專業知識、專家指導和系統工程界的參與。

④此前研發的武器裝備並沒有採取項目保護計劃,關鍵電子元器件的認定方式也未統一,供應商也未接受今天所要求的審查。

⑤任何已發現的漏洞仍然存在,沒有正式的移除步驟,也沒有對新發現的攻擊做出反應的機制。

資料庫發展滯後且上報不及時

美國用於報告元器件失效,以及收集和發布電子元器件、零部件和材料信息的資料庫稱為「政府-行業數據交換項目」(GIDEP),這是一個先於互聯網存在的自願參與計劃。GIDEP目前是國防部收集和發布關於偽冒電子產品或其他不符合要求零部件報告的主要手段。

然而GIDEP在傳播偽冒元器件信息方面並非迅速且可靠的方法,主要存在以下問題:

①因為資金不足,GIDEP無力更新其信息系統使其變得現代化,仍在採用已過時的方法來履行其重要責任,具體體現在主要依靠參與者(政府和承包商)的主動報告,不能自動捕獲所有疑似或已確認的偽冒電子產品;沒有引入大規模數據分析技術來處理和應用大型數據集,無法適應不斷擴大的威脅和加速對這些威脅的反饋。

②無法實現「立即」和「所有」上報的預期效果,如在國防部相關條例中,規定「在承包商意識到的60天內」向GIDEP以書面方式報告偽冒電子產品事件,而且國防部並沒有明確規定所有國防供應鏈參與者均有責任進行報告,部分承包商會擔心因此蒙受聲譽損失或其他不利商業後果而避免上報。

③信息無法立刻有效傳達,GIDEP並非立即將所獲取的偽冒電子產品報告公之於眾,也因未能將攻擊信息與可能受影響的設備相關聯,無法將該信息告知處於風險中的用戶,阻礙了向操作者發出警告、阻止攻擊擴散、及時採取應急和修復措施等進一步操作。

④對偽冒電子產品的報告既不解決電子元器件中軟硬體漏洞的引入,也不代表建立隔離和識別惡意植入或潛在漏洞的現行行業標準或「最佳做法」。

聯合聯邦保障中心缺少執行力

2015年2月,國防部根據《2014財年國防授權法案》中的要求,創建了聯合聯邦保障中心(JFAC),目標是「建立聯邦聯合能力來支持可信防禦系統的需求,確保國防部開發、採購、維護和使用的軟體和硬體的安全」。JFAC由指導委員會領導,成員包括國防部副部長和國防部首席信息官(CIO)、軍事部門、導彈防禦局(MDA)、國家安全局(NSA)、國家偵察局(NRO)、國防信息系統局(DISA)和國防微電子中心(DMEA)。JFAC強調通過聯邦內部及協作機構和團體來開發、維護和提供軟硬體漏洞檢測、分析和修復能力。JFAC負責聯繫和協調工作,各成員進行不同數量的研究、工具開發和評估,並對項目管理辦公室提供支撐。

雖然JFAC向國防部提供有關軟硬體保障的重要專業知識,但其設立方式意味著沒有自己的權力、資源或能力。JFAC支撐項目管理辦公室並幫助改善國防部軟硬體保障的能力完全取決於JFAC成員的自願承諾。鑒於每個成員都有自己的管理方向、資金和獨立於JFAC的優先事項,儘管個別JFAC成員可能通過向其對應的國防部機構報告來向項目管理辦公室提供一定程度的支撐工作,但總體而言不太可能提供實際支持。JFAC提供了建立機構間協同工作並分享方法和結果的媒介,但JFAC章程中沒有任何內容可確保會實現此類工作或共享,或使項目管理辦公室受益。

「可信代工廠」面臨管理和資金挑戰

為建設並維持武器裝備和情報系統用微電子器件的供應基礎,並能夠持續享用不斷進步的先進商用工藝帶來的技術優勢,美國國防部從2004年開始實施「可信代工」項目,扶持了IBM公司建設可信代工線,又從2007年起進一步對微電子器件設計、掩模、製造、封裝、測試等全產業鏈的供應商進行認證,增加可信代工線數量,以滿足軍方更豐富的需求。

「可信代工」項目通過利用雙重用途的商業設施提供了解決方案,但外資所有權和全球商業競爭將降低國防部對其的控制力。2015年7月IBM公司微電子製造業務出售所有權給隸屬阿聯酋的格羅方德公司後,格羅方德經過資格審查取代IBM成為國防部最先進微電子製造工藝的唯一可信供應商。而在全球掌握最先進位造工藝的公司中,美國僅英特爾公司佔有一個席位。但是,如果由國防部出資來建立和運營一個國防部所有的代工廠,以解決國防部可依賴的本土微電子製造商數量不斷減少的困境,在資金成本上並不可行。並且在未來,隨著智能或自動化系統的增長,國防部將持續需要獲得可靠、先進、專用微電子器件,這部分不斷上漲的需求將得不到滿足。

其他問題

網路空間覺知演習缺少定期實施機制。網路空間覺知演習可發現關鍵武器系統中可被利用的網路供應鏈漏洞。如果定期對主要武器裝備系統和子系統進行演習,其結果將很好地服務於目前處於購置和維護階段的系統。目前還沒有一種機制可以向項目管理辦公室和項目管理人員常規性地提供網路空間覺知結果,或向後勤人員和實踐維護人員提供適當分類和分級的網路空間覺知培訓。在國防科學委員會此次發布的報告中,並未對網路空間覺知演習做出詳細說明,須直接聯繫美軍方以獲取更多內容。

沒有專門負責硬體漏洞事件收集的國防部機構。從20世紀90年代初開始,美國計算機應急準備隊(CERT)協調中心(最近被稱US-CERT)運營著一個跟蹤軟體漏洞報告的資料庫,以及一個與漏洞相關用戶和需對漏洞做出反饋的供應商列表。國防部通過「信息保障漏洞警報」(IAVA)流程來應對漏洞警告。但是US-CERT並不跟蹤硬體漏洞,國防部內部也沒有一個與軟體漏洞已建立過程相類似的穩定的硬體漏洞資料庫或警告工作流程。

對元器件淘汰和漏洞跟蹤缺乏國防部級別的統籌。國防部缺乏對武器裝備所用電子元器件的全面掌控,導致出現問題時更換受損器件或子系統是一個緩慢的自下而上的過程。國防部機構也未能定期將系統安全工程要求施加給承包商,為控制供應鏈風險而採取的供應商審批方法差異較大。而現有批准電子元器件供應商的人工認證過程在確保真實性和防止偽冒或受損電子元器件進入國防供應鏈方面是一個低效的方法。

▲偽冒元器件可導致武器系統可靠性每年下降5%～15%，甚至可使裝備失效

加強和改進建議

在全球半導體市場快速變化的背景下,國防部必須適應快速發展的外部環境,通過制定包括技術研發、設計、製造、部署、維護等在內的全生命周期策略,來保證國防電子元器件供應鏈的安全。

實施武器系統全生命周期保護

項目保護計劃應轉化為全面管理包括新系統和現有系統在內的關鍵武器系統全生命周期安全性的文件,要確保廣泛的保護和可恢復性。具體包括以下幾個方面:①從系統設計之初,明確提出可恢復性設計要求,允許基於檢測到的異常行為對子系統進行全部或部分的快速替換或更新,如採用能實現隔離和容錯功能的模塊化系統架構以提高響應和對抗攻擊的能力,採用能快速升級的系統架構以改進通過消除受影響組成部分實現從攻擊中恢復的能力;採用能提供內置主動監控的設計策略以提高檢測開發和響應的能力。②在電子元器件設計、製造、裝運過程中,防止器件受到惡意植入漏洞等篡改,並做好對潛在停產元器件的預案。③在運行過程中,及時獲取元器件和子系統上的最新漏洞信息;主動搜索和連續自動監控以全面檢測系統故障和進行脆弱性評估;在子系統和系統級別採取有效的響應程序以便對預期或已檢測到的故障進行補救。(4)加強對供應商的考核,採用更好的器件來源保證策略,加強對電子元器件採購、操作和維護人員的培訓,提供從設計到退役的全生命周期的專家級安全設計和審查支持。

建立硬體漏洞資料庫和加強數據共享

建立一個共享的漏洞資料庫和器件應用情況資料庫,如建立硬體CERT以跟蹤商用現貨軟硬體漏洞,將極大促進漏洞信息和修復舉措在整個武器系統內的傳播。一旦發現一次攻擊事件,國防部具備迅速找到類似設備的能力,並將事件信息及時有效反饋給有同樣危險的系統的操作者。在資料庫的建設中,國防部應更多地了解和學習商業公司在數據型供應鏈風險管理中運用的策略和方法論,並使用先進的自動化工具、信息收集和分析技術來識別供應鏈中薄弱環節暴露的弱點,對已暴露或受損的器件自動發出提示,甚至可根據攻擊事件做出行動,減少由此招致的攻擊及降低攻擊發生時帶來的危害。

國防部應指示國防標準化計劃辦公室對GIDEP報告系統進行現代化升級,包括:①提高GIDEP的功能、資金和人員配置,要能將漏洞、事件和消除措施快速傳達給遭受攻擊或處於危險中的電子元器件用戶;②擴大GIDEP章程範圍以涵蓋對軟體、固件和硬體攻擊的報告;③通過自動化手段向JFAC報告仿冒電子元器件信息。此外,國防部還應頒布新法規,消除企業自行上報偽冒元器件產品中的阻礙因素。在關鍵電子元器件的鑒定中,還需要一套成體系的方法和標準,並對《國防聯邦採辦補充條例》(DFARS)做出相應修訂,不能再沿用現階段只能通過可嵌入證明和可跟蹤信息來證明電子元器件血統和來源的方法。

強化聯合聯邦保障中心的作用

JFAC作為專業知識來源應扮演更重要的角色,以更好支持項目管理人員實施全生命周期項目保護計劃和系統安全工程。JFAC章程應更新為:①將JFAC建成為國防部範圍內的軟硬體保障機構;②為軟硬體保障流程和工具制定規範性標準和要求;③在項目無法遵守標準或要求情況下,項目管理人員和JFAC指導委員能獨立表達所含風險;④根據新的攻擊和安全技術定期(如每年)更新標準和要求。

研發拆分製造和安全認證技術

面對半導體先進位造能力不斷向亞洲集中的現實,應研究拆分製造技術和實施方案,以此作為利用不完全信任的最先進代工廠的一種解決方案。拆分製造指先在先進位造工藝代工廠中製造晶體管,然後移至可信但製造工藝相對落後的代工廠中進行布線。在這種方式中,第一個工廠並不會知曉晶元的功能,由第二個工廠的可信來保證器件的安全。由於製造布線層這一生產步驟的成本和技術水平都相對較低,使得這一方法的監管和維護較為實現。在可信代工廠的下一步發展上,國防部不應局限於現階段所要求的可信,而應通過與商業最先進代工廠建立多層次的合作關係來滿足發展需求。

與此同時,國防先期研究計劃局等國防部研發管理機構應繼續推進新識別和驗證技術及配套工具的發展,多手段防範電子元器件被篡改。保護對象既包括晶元設計過程中的設計庫、計算機輔助設計工具和模擬器、掩模版設計和製造,也包括器件在供應鏈流轉過程中對裸晶元的獨特識別等,使得國防部可以放心使用各種來源的電子元件器件,而非只能依賴「可信代工」這唯一來源。研究內容包括可連續監控關鍵系統和成本可接受的感測器,對各種電子元器件進行標識的標籤、監控和認證方法等。

其他建議

加強合作。美國國防部應和其他聯邦機構和國際通信組織開展充分合作,如US-CERT、國土安全部工業控制系統網路急救反應小組(ICS-CERT)、信息共享和分析中心(ISAC)、信息共享和分析組織(ISAO)等,共同提高對已知或者疑似網路—物理攻擊的信息採集,加快通知和評估,並建議應急和修正措施。

非最先進器件可選擇替代方案。在不需要最先進性能的情況下,應優先使用來自可信供應源的現場可編程門陣列產品。DMEA則繼續提供無法在商業上買到的非最先進的元器件,同時保證不違背與現有硬體和軟體的透明集成。

重視網路空間覺知演習。國防部應以一定組織實體為單位開展至少一次全面網路覺知演習來測試供應鏈攻擊的脆弱性,並形成定期進行網路覺知演習的工作規範。

結 語

在全球商業領域已出現大量偽冒元器件,並正不斷向國防等傳統相對封閉領域快速滲透。除了可使系統功能退化和失效的偽冒元器件外,各國更擔心的是被植入軟硬體漏洞的電子元器件,因為後者不僅可使系統功能退化和失效,還可進行信息竊取和監聽,以及對武器裝備的操控和使作戰任務失敗。要防範武器裝備不被植入軟硬體漏洞,需建立電子元器件和武器裝備兩個層級的全生命周期項目保護計劃,以及研發必需的技術、標準和流程,嚴格保證兩者在各自的設計、製造、使用、淘汰各個階段的安全。同時,充分利用大數據採集、智能分析等現代化技術手段,促進硬體漏洞信息的收集和共享;加強對裝備所用電子元器件的了解,收集裝備各組成部分的材料清單,建立電子元器件—裝備—用戶關聯在一起資料庫,確保在發現漏洞或潛在威脅可以迅速通知到位,將損失降至最低。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！