美国政府问责局报告指出，NASA应更新航天器采购政策和网络安全标准

远望智库开源情报中心 忆竹 编译

美国政府问责局(GAO)5月3日在题为“NASA网络安全计划需要更新航天器采购政策和标准”报告中对NASA的网络安全实践进行了审查，并确定了更新航天器采购政策和标准的计划的必要性。具体而言，该机构的任务是评估NASA航天器项目合同中概述的网络安全要求。

1.背景

GAO在其报告中披露，它审查了NASA关于航天器网络安全的政策和标准。该机构选择了三个航天器项目的非概括样本，选择它们是因为它们代表了不同的中心和发展阶段，并包括至少一个机器人和一个载人航天项目。对于这三个项目，GAO分析了合同和项目文件，同时还采访了项目和网络安全官员。

GAO被要求审查航天器项目合同中的网络安全要求。该报告评估了NASA将网络安全纳入选定航天器合同的程度，并确定其航天器采购政策和标准是否需要额外的网络安全更新。审查的重点是航天器，而不是地面系统或承包商信息的安全性。

GAO正在开展另一项工作，评估NASA根据指导方针和标准以及领先的网络安全做法实施信息安全控制的程度。

NASA自发布其2019年网络安全要求以来，已考虑但尚未实施对其航天器采购政策和标准的更新。NASA2023年发布了一份空间最佳做法指南，其中载有关于网络安全原则和控制、威胁行为者能力和潜在缓解战略等方面的信息。然而，这种指导对于航天器项目是可选的。

美国政府问责局（GAO）指出，NASA官员解释说，他们尚未将该指南纳入所需采购政策和标准的一个关键原因是，这样做需要很长时间。该机构承认，制定标准的过程可能需要时间，但至关重要的是，NASA方面应该按照要求制定标准。

2.网络安全风险管理框架（RMF）

然而，官员们表示，他们没有将额外的安全控制纳入采购政策和标准的实施计划和时间表。因此，NASA面临着网络安全控制实施不一致的风险，并且缺乏航天器对攻击进行分层和全面防御的保证。国家标准和技术研究所(NIST)发布了一套信息安全标准和准则《信息系统和组织的风险管理框架（RMF）》（见下图），为管理网络安全风险提供了全面指导。RMF分为七个步骤：（1）准备；（2）分类：（3）挑选：（4）实施；（5）评估；（6）授权；（7）监督。

该监督机构确定，每个选定的NASA航天器合同都包括网络安全相关要求，包括承包商证明他们满足这些要求，符合2019年NASA空间系统保护标准。“我们审查的所有三个项目——Orion（猎户座）、Gateway（网关） PPE、SPHEREx——都是在NASA发布空间系统保护标准之前开发的。NASA要求此类项目与总工程师办公室协调，以确定是否应根据威胁纳入任何要求。”

它补充说，猎户座和网关PPE官员说，在空间系统保护标准发布后，他们审查了他们计划的网络安全方法，并确定他们的项目要求与标准中的要求一致。“SPHEREx项目保护计划表明，系统需求包括标准中所有适用的需求。总工程师办公室的官员同意这些项目的评估。”

GAO补充说，其“对每个选定项目的合同和系统规格文件的审查确认，每个项目要么包括与满足空间系统保护标准目标相关的要求，要么计划通过其他方式解决威胁的风险。”

除了处理空间系统保护标准之外，还有项目为处理合同文件中的网络安全而采取行动的其他例子，例如网关个人防护设备合同包括要求系统使用空间数据链路安全协议，这是一种通信标准，旨在提供一种结构化的方法来实现卫星和地面系统之间的通信安全。

此外，Orion合同包括一项要求，即卫星控制功能应与其他功能分开。将系统组件相互隔离，也称为分段，是加强网络安全的一种常用方法，因为它可以允许系统的某些部分继续正常工作，即使系统的其他部分受到危害。美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)认为，缺乏网络分段是大型组织中常见的网络安全问题。

此外，SPHEREx合同包括验证命令和拒绝无效命令的要求。这是一种保护航天器免受恶意行为者接管航天器的方式，恶意行为者接管航天器可能导致失控，从而导致损坏、破坏或飞行器丢失。CISA已经发现了许多利用不当输入验证的网络安全攻击。

3.结论和建议

美国政府问责局的报告在结论中指出，预防、检测和应对网络威胁对NASA的信息系统和航天器至关重要。“确保其航天器政策和标准纳入对有效管理网络安全风险至关重要的指导方针，将使NASA能够在网络安全领域做出一致、知情、基于风险的决定。虽然我们审查的航天器合同包括与网络安全相关的要求，但对NASA来说，确保网络安全实践在航天器项目中得到一致实施是很重要的。”

它补充说，NASA已经采取了一些重要措施来确定如何最好地保护航天器免受网络攻击。可以理解的是，NASA必须采取谨慎的态度来引入可能影响航天器运行的网络安全变化。

然而，鉴于网络威胁的动态和不断演变的性质，NASA应该在这种谨慎与积极主动之间取得平衡。“确保其航天器政策和标准的更新及时完成，将使NASA对其航天器抵御网络安全威胁的能力更有信心，并降低不利后果的风险。”

GAO建议NASA制定一个有时间表的计划，以修改其航天器采购政策，包括必要的控制。NASA管理员应确保关键人员制定带有时间表的实施计划来更新这些政策和标准，以集成针对网络威胁的基本控制措施。虽然NASA同意更新其政策，但没有承诺制定一项有具体日期的计划。高认为，没有一个明确的计划，实施的时间仍然不确定，因此支持建议的有效性。

今年3月，美国政府问责局（GAO）对CISA的13项作战技术网络安全产品和服务进行了审查。审查发现，虽然13个非联邦实体中有12个报告了对CISA产品的积极体验，但也强调了CISA和其中7个实体面临的挑战。

美国白宫本周早些时候宣布，拜登总统签署了一份国家安全备忘录（NSM），以确保和增强美国关键基础设施部门的弹性。此举将取代美国总统奥巴马十年前发布的一份关于关键基础设施保护的总统政策文件，并启动一项全面努力来保护美国基础设施免受当前和未来的所有威胁和危害。

Xage Security的联合创始人兼产品高级副总裁罗曼·阿鲁秋诺夫（Roman Arutyunov）在一份电子邮件声明中评论了这一行动，他写道:“我认为不将太空列为关键基础设施部门是一个错失的机会。奥巴马政府表示，他们计划重新考虑是否将其加入该名单，但鉴于实力接近的竞争对手构成的威胁不断上升，我们等不起。”

他补充说，毕竟，“太空部队旨在保护我们的社会和人民——从任何战场的制高点——如果没有正确的基础和法规，这是无法做到的。”

https://industrialcyber.co/news/gao-report-indicates-that-nasa-should-update-spacecraft-acquisition-policies-and-standards-for-cybersecurity/

声明：本文来自战略前沿技术，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。