详细内容或原文请订阅后点击阅览
NASA 网络安全:更新航天器采购政策和标准所需的计划
GAO 的发现 美国国家航空航天局 (NASA) 开发的航天器依赖于软件和 IT,而软件和 IT 又依赖于网络安全来预防、检测和响应潜在的网络事件。网络事件可能会导致任务数据丢失、太空系统寿命或能力降低、或者太空飞行器失去控制。网络威胁和技术日新月异。作为回应,联邦政府发布了政府范围内的网络安全指南,例如美国国家标准与技术研究所的风险管理框架。GAO 审查了选定 NASA 项目的合同,要求承包商按照 NASA 标准解决网络安全问题。 2019 年,NASA 确定了一系列航天器需要满足的网络安全要求。例如,美国宇航局要求航天器保护定位、导航和授时系统。 GAO 审查的三个航天器项目——网关电源和推进元件;猎户座多用途载人飞行器;宇宙历史分光光度计、再电离时代和冰探测器——在 2019 年之前就开始开发。不过,GAO 发现这些合同包含与 NASA 航天器网络安全标准相关的要求。合同还要求承包商通过测试证明其满足要求。 自发布 2019 年网络安全要求以来,NASA 已考虑但尚未实施其航天器采购政策和标准的更新。 2023 年,NASA 发布了太空最佳实践指南,其中包含有关网络安全原则和控制、威胁行为者能力以及潜在缓解策略等信息。然而,该指南对于航天器项目来说是可选的。 NASA 官员解释说,他们尚未将这一指南纳入所需的采购政策和标准的一个关键原因是这样做需要很长时间。 GAO 承认标准制定过程可能需要时间,但 NASA 必须根据需要的实践来这样做。然而,官员们表示,他们没有将额外的安全控制纳入采购政策和标准的实施计划和时间表。因此,NASA 面临着网络安全控制实施不一致的风险,并且缺乏对航天器对攻击进行分层和全面防御的保证。 GAO 为何进行这项研究 NASA 的太空开发项目组合包括 34 个主要项目,NASA 计划在其中投资超过 830 亿美元。航天器在网络威胁严重的环境中运行,遭受攻击和任务中断的风险增加。 NASA 已经确定了民用太空事件,这些事件表明需要更好地保护航天器免受网络威胁。GAO 被要求检查 NASA 航天器项目合同中的网络安全要求。本报告评估了 NASA (1) 纳入的程度
来源:美国政府问责局__信息安全信息美国政府问责局的发现
美国国家航空航天局 (NASA) 开发的航天器依赖于软件和 IT,而软件和 IT 又依赖网络安全来预防、检测和应对潜在的网络事件。网络事件可能导致任务数据丢失、太空系统寿命或能力下降,或太空飞行器失控。网络威胁和技术瞬息万变。作为回应,联邦政府发布了政府范围的网络安全指南,例如国家标准与技术研究所的风险管理框架。
美国政府问责局审查的选定 NASA 项目的合同要求承包商解决网络安全问题,符合 NASA 标准。2019 年,NASA 确定了一套航天器需要解决的网络安全要求。例如,NASA 要求航天器保护定位、导航和计时系统。美国政府问责局审查的三个航天器项目——Gateway 动力和推进元件;猎户座多用途载人飞船;以及宇宙历史光谱光度计、再电离时代和冰探测器——在 2019 年之前就开始开发了。尽管如此,GAO 发现这些合同包括与 NASA 航天器网络安全标准相关的要求。合同还要求承包商通过测试证明满足要求。
为什么 GAO 进行这项研究
NASA 的太空开发项目组合包括 34 个主要项目,NASA 计划投资超过 830 亿美元。航天器在网络威胁加剧的环境中运行,遭受攻击和任务中断的风险增加。NASA 已经确定了一些民用太空事件,这些事件表明需要更好地保护航天器免受网络威胁。