美国发布关于中国制造无人机系统的网络安全指南

作者: 2024-04-11 11:21 来源:
放大 缩小

117日,美国国土安全部(DHS)网络安全与基础设施安全局(CISA)联合美国联邦调查局(FBI)共同发布《网络安全指南:中国制造的无人机系统》,旨在提高美国各界对中国制造的无人机系统(UAS)所构成威胁的认识,并向关键基础设施和合作伙伴提供网络安全保障措施建议,以降低美国网络和敏感信息所面临的风[1]

CISA负责基础设施安全的相关负责人指出,美国的能源、化工和通信等关键基础设施部门,正越来越多地依赖无人机系统执行任务,以降低运营成本并提高人员安全。但使用中国制造的无人机系统有可能暴露敏感信息,危及美国的国家安全、经济安全以及公众健康与安全。CISA鼓励关键基础设施机构使用由美国公司设计制造的无人机系统。

1、信息泄露途径

该指南指出,无人机系统是能够接收和传输数据的信息和通信技术设备,每个连接点都是潜在目标,可被利用从而泄露敏感信息。潜在的泄露途径包括:数据传输和收集,通过智能手机和其他联网设备控制的无人机系统在美国关键基础设施上收集情报;补丁和固件更新,在用户不知情的情况下引入未知的数据收集和传输功能;更广泛的数据收集,随着无人机系统及其外围设备融入网络,中国等外国对手将获得敏感图像、测量数据、设施布局等之前无法获得的情报。

2、信息泄露造成的后果

敏感信息和潜在的网络访问权限可能会对美国关键基础设施的安全和弹性造成重大后果。获取此类数据或网络访问权限有可能推进中国的战略目标,并通过以下方式对美国经济和国家安全产生负面影响:将知识产权暴露给中国公司,损害美国机构的竞争优势;提供美国关键基础设施运营和漏洞的详细信息,提高中国破坏美国关键服务的能力;损害美国的网络安全和物理安全控制,导致潜在的物理影响,例如盗窃或破坏关键资产;暴露美国网络访问详细信息,增强中国向美国关键基础设施发起网络攻击的能力。

3、无人机系统网络安全建议

对此,指南鼓励使用无人机系统收集敏感或国家安全信息的公共和私营部门,采购或过渡到由美国设计制造的安全无人机系统,并从以下4个方面提出建议,以进一步增强其网络安全态势。

1)在规划/设计方面,确保无人机系统项目的目标、政策和程序在整个机构范围内安全发展。将无人机系统及其组件纳入物联网设备的机构网络安全框架,使其受到与其他机构ICT(信息与通信技术)设备一样的相同级别的保护和监控;隔离或分段网络,防止任何潜在的恶意软件或漏洞传播到企业网络,最大限度减少潜在网络攻击对机构的影响;为无人机系统机队实施零信任框架,确保所有网络访问和交易得到持续验证和认证,最大限度减少未经授权的访问并缩小整体攻击面;实施防网络钓鱼的因素身份验证方法,保护机构账户和数据安全;考虑整合整个机构的网络安全和物理安全功能,实现统一的风险管理。

2)在采购方面,确定并选择最能够满足机构运营和安全要求的无人机系统平台。采购遵循安全设计原则的无人机系统,主动解决漏洞和新出现的威胁;了解无人机系统的产地及其受哪些法律管辖,明确安全标准并评估供应链风险;查看所选无人机系统的隐私政策,包括数据存储和共享方式及位置,维护数据隐私和安全;实施ICT设备供应链风险管理(SCRM)计划,确保无人机系统在生命周期内的完整性、安全性和可靠性;确保无人机系统关键信息和通信组件经过软件物料清单和硬件物料清单审查,并考虑实施两个清单的长期管理,最大限度地减少固有供应链风险,提高无人机产业生态系统弹性。

3)在可持续方面,根据机构的计划和程序进行定期更新、分析和培训。根据信息技术资产框架管理无人机系统计划,确保适当的跟踪、监控、控制、合规性、安全控制和风险管理;实施漏洞管理计划,识别、确定优先级、获取、验证和安装固件补丁和更新,解决新出现的漏洞并确保及时应用必要的安全修复程序;实施配置和变更管理计划,维持足够的安全措施和操作能力;确保固件补丁和更新仅从无人机系统制造商或受信任的第三方获得,最大限度地降低系统受损风险;考虑使用沙箱或独立终端来下载固件补丁和更新并进行安全验证,为验证文件完整性提供隔离环境;定期执行日志分析和合规性检查,确定是否存在任何异常情况,以便及时识别未经授权的访问尝试;实施信息技术安全教育和培训计划,重点关注当前威胁和最佳实践,识别和降低风险,有效应对新出现的网络安全威胁。

4)在操作方面,确保遵循正确的无人机系统操作和安全策略。在操作无人机系统之前验证其是否已安装最新的软件和固件版本,最大程度地减少新出现的威胁和漏洞;保持稳健的静态数据和传输中数据的加密和存储程序,确保无人机系统所收集数据的机密性和完整性;数据存储之前需从无人机系统中取出SD卡等便携式存储设备并确保其安全,以防止未经授权的访问;数据传输和存储后,删除无人机系统所收集的数据,包括图像、GPS历史记录和飞行遥测数据;在操作过程中与无人机系统保持安全连接,使用虚拟专用网络或其他加密方法来保护通信路径的机密性和完整性;阻止在互联网上进行广播或直播,防止未经授权获取实时敏感数据。                   (王海霞)



[1] Release Cybersecurity Guidance on Chinese-Manufactured UAS for Critical Infrastructure Owners and

Operators. https://www.cisa.gov/news-events/news/release-cybersecurity-guidance-chinese-manufactured-uas-critical-infrastructure-owners-and-operators


附件: