《软件和硬件保证》由会员分享,可在线阅读,更多相关《软件和硬件保证(5页珍藏版)》请在金锄头文库上搜索。
1、软件和硬件保证摘要:保持DoD硬件和软件技术的安全性比以往任何时候都重要。为了响应 来自国会的授权,美国国防副部长罗伯特沃克特许联合联邦保证中心(JFAC) 作为美国军事部门和代理软件保证(SwA)与硬件保证(HwA)组织和能力的一个 联盟。根据这一特许, JFAC 负责在整个寿命周期中通过专业知识、能力、政策、 指导和最佳做法为项目办公室提供支持。 JFAC 负责协调正在开发、维护和提供 软件和硬件漏洞检测、分析和补救支持的 DoD 组织和活动。 JFAC 的其他作用和 责任包括: 进行SwA和HwA分析和评估以支持国防采办、操作和维持活动; 倡导提升DoD对SwA和HwA研究、开发以及试验
2、和评价活动的兴趣; 在 SwA 和 HwA 方面与其他有兴趣的和实践组织建立关系,如其他政府组 织、学术界和私营企业。1 引言确保DoD软件和硬件只按预期操作是一个非常艰巨的挑战。DoD比以往更 加依赖于任务要求的技术解决方案,这也导致了对于对手可能针对DoD供应链, 将恶意功能插入到软件和硬件中,或者用假冒部件降低关键系统性能等可能性有 了较高的认识。国防工业基础的全球化也导致了与竞争、成本意识以及许多供应 商来源相关的问题。鉴于DoD在SwA和HwA方面能力的潜在差距,以及国防项 目的成本和复杂度以及SwA和HwA在项目的整个寿命周期中的有效性越来越高, DoD 领导人谋求开发和提升企业解
3、决方案,以评价和确保国防系统、部件和服务 器的网络安全,并且在必要的地方实施整治活动。在2014财年的国防授权法案中,国会指示DoD建立一个联合的联邦能力来 支持受信任的国防系统以及确保该部门开发、采办、维护和使用的软件和硬件的 安全性。在2015年2月9日,国防部副部长罗伯特沃克签署了对一个新组织 “联合联邦保证中心(JFAC)”的授权,以协调这方面的工作。JFAC建立了注重增强这一过程的几个早期计划,以评估和执行SwA和HwA, 以及相关的国防系统信任和保证活动。这些活动包括以下工作:提高受信任系统 和网络(TSN)、供应链风险管理(SCRM),以及采办项目经理的要求,以在DoD 采办寿命
4、周期的每个里程碑中提交更新了的项目保护计划( PPP)。 JFAC 将通过 DoD 政策、指南、研究和支持的信息产品来支持这些早期计划并增强系统安全性 工程,并将其作为可提高国防系统硬件和软件信任和保证的全面项目保护过程的 一部分。2 JFAC的宗旨和目标正如其授权所述,JFAC将促进可提供SwA和HwA服务的军事部门和机构之 间的合作,以确保国防项目有效地计划、执行和使用DoD的SwA和HwA能力以 及在整个采办寿命周期的投资。DoD 的目标包括: 通过确定和促进对DoD SwA和HwA专业知识和能力的访问来支持项目 办公室。 JFAC 将是项目办公室访问 SwA 和 HwA 政策、指南、标
5、准、采 办做法、最佳做法、培训和试验支持的一个资源。此外,JFAC将使项目 办公室有权访问有关保证方面的专业知识和能力,以及促进服务提供方 的合作和支持。 确定和开发可用于支持DoD研究和开发(R&D)策略的R&D计划要求, 以创新 SwA 和 HwA 的漏洞分析、测试和保护工具。通过一个 DoD 的 SwA 和HwA能力计划过程,JFAC将确定潜在的差距和所需的能力。 实现有效合作和SwA与HwA设计、分析和试验能力的使用。JFAC将促 进信息、技术和最佳做法的交流,以促进保证作为正常系统工程和 SSE 过程的一部分。作为DoD与关注SwA和HwA的各部门和各机构间的联络点。JFAC将作 为
6、其他联邦部门和机构的接入点参与他们的代表,以提高对工具、基于 证据的做法、支持环境和扩大人才储备的相互了解。 开发和维持专门的SwA和HwA资源库,包括工具许可证。JFAC将研究 和推荐一些方式来增强对企业许可证的访问,以选择自动的软件和硬件 漏洞分析应用程序。JFAC也会考虑其他可能的方式对自动化、审核工具 进行经济的、灵活的访问,以在整个资源库中评估和提高 SwA 和 HwA。3组织对 JFAC 的管理和监督责任在于研究和工程国防部助理部长办公室领导的联 合指导委员会(ASD(R&E),以及来自DoD部门的代表。(ASD(R&E)负责对 SSE、项目保护计划大纲和指导、SwA和HwA的国防
7、政策和指南的制订和监督。 JFAC和(ASD(R&E)的结盟使JFAC能够实现与整个部门SwA和HwA的互动。 JFAC 指导委员会是一个管理机构,并且对 JFAC 的利益和相关事项提供高级的管 理、监督和问责。该指导委员会的成员目前包括来自国防部采办、技术和后勤副 部长办公室的高级行政服务水平代表;DoD首席信息官;陆军、海军和空军部门; 国防信息系统机构;国家安全机构;国家侦察办公室;国防微电子活动;以及导 弹防御机构。随着时间的推移,各利益相关方的数量可能扩展到包括其他国防组 织、问题和利益。JFAC 目前包括三个工作组和一个协调活动。 JFAC 行动官工作组是包括来自 JFAC 指导委
8、员会中各个组织的高级职员,以及由 JFAC 指导委员会认可的其他成 员。JFAC SwA和HwA的技术工作组包括代表DoD服务供应商组织的主题专家和 其他专家(按需求)。JFAC协调活动包括JFAC协调中心(JFAC-CC)和来自SwA 和 HwA 服务供应商的代表。该组织结构是为了便于 SwA 和 HwA 工具和服务的供 应商联盟在项目的整个寿命周期中进行公开对话、协调和对采办项目经理的直接 支持,以及不断强调维持。4 提升现有的保证能力每个参与JFAC的成员组织都会将一组SwA和HwA能力和服务作为他们日常 项目开发、操作和支持活动的一部分进行管理。在一个联合的联邦资质内组合这 些能力将给
9、共享信息、促进最佳做法、确定优先级并分配稀缺资源以研究共享问 题以及编制工具和资源目录并发放许可证带来新的机遇。它将使这些组织能够对 确定 SwA 和 HwA 利益和问题的情报信息、研究、开发,以及试验和评价支持的 方法进行标准化。5 开发新的操作概念和过程JFAC 工作组成员已经投入相当多的时间和精力为该联邦开发一个操作概念, 它将鼓励联邦成员共享其当前的 SwA 和 HwA 专业知识、能力和实力等相关信息。 例如,成员可以通过共享可用于采办、设计、开发、试验和评价可信国防系统和 服务的相关政策、标准、要求、合同文本、指标和规程来获得好处。这些工作组成员与另一个成员以及他们内部的服务支撑组织
10、及其他利益相 关方对该联邦的作用和责任进行沟通,以支持项目办公室,包括在整个 DoD 采 办寿命周期中应用该项目保护来计划过程。将制定SwA和HwA政策和指南改进 方案,并将其应用于“方案保护计划大纲和指南”的下一次更新以及评价标准中。 JFAC 也正在制定个性化的通信计划,以将其作为目前工作的一部分对请求服务和 支持的过程流程和方法进行概述,从而产生JFAC的“初步操作能力(IOC)”的 声明。在IOC声明中(预期在2015年第四季度产生),JFAC将准备给项目管理办公 室提供关于现的有SwA和HwA服务供应商和能力以及指导他们如何在项目管理 活动中计划和整合这些服务和能力的具体信息。6 评
11、估能力需求和填补空白未来几年,JFAC将从IOC发展成为“全操作能力(FOC)”,通过与其成员组 织合作提供SwA和HwA能力和服务以及相关的R&D工作,并将保持SwA和HwA 能力规划,这一规划将包括现有中心的基准以及该部门和其他部门的SwA和HwA 服务能力。JFAC将确定并优先处理保证能力的差距,并制定和推荐一个策略来验 证和解决这些差距。潜在的差距可能包括技术能力、资源和实力、政策、保证指 标、技术指南和项目支持工具或过程。如果所需的能力无法通过现有中心和服务 供应商来满足,那么JFAC工作组将会给JFAC指导委员会提出建议以考虑作为保 证能力和服务的主要拥有者和用户。7 促进合作JF
12、AC正在致力于选定由他们上级组织指定的试点方案,以在不增加项目经理 现有需求的情况下,理清结合在项目和保证服务中的操作方面。在帮助项目确定 和研究其他质量控制或测试活动可能忽略的SwA和HwA问题时,JFAC致力于避 免冗余。这些试点正在评判该部门当前的SwA和HwA能力和利益,并制定关于 “JFAC如何能够最佳地组织它自己本身以通过一种有效方式支持项目经理、保证 服务供应商和其他利益相关方的需求”这一理念。JFAC将配合和补充在该部门的其他地方、美国政府和企业中开展的其他SwA 和HwA相关活动,其中包括涉及项目保护的那些工作、DoD SwA界的做法、TSN、 受信任的供应商、SCRM、系统
13、工程、SSE和现场的网络安全做法。JFAC将致力 于并且依赖于这些基本活动,以增强和提高国防系统硬件和软件在整个采办寿命 周期中的信任度和保证。8 提高信任度和保证与国防采办项目经理和其他利益相关方建立关系时,JFAC遵守以下原则:在项目的寿命周期中,针对参与JFAC活动的某个项目决策应该是基于需 求的,从而以项目或系统(开发中)的信任和保证水平实现真实和可度 量的改进。 JFAC人员将设法了解和适应现有过程,以为这些项目提供SwA和HwA 服务,从而通过结合最佳做法来降低自主创新或新过程的再创造以及控 制成本。该项目的SwA和HwA需求应该是具体的、可定义的和可度量的,并且 JFAC提供的协
14、助应该是在其既定范围内的并且是一组能力。 JFAC将集中于确定特定SwA和HwA领域的利益和问题,这些问题可能 没有被项目经理和其他利益相关方充分解决。尽管JFAC的目的是共享信息,但JFAC不打算维持项目中的敏感信息, 并且已经建立保障措施来保护敏感的项目信息,防止未经授权的发布。JFAC将只与具有适当放行证、了解需求、负责确保成功支持和项目结果 以及利益相关方的那些人共享信息。9 支持所需的研究和技术开发在DoD如何促进SwA和HwA利益方面,JFAC已经作出了积极的影响。作为 现有SwA和HwA能力和差距的初步评估的一部分,由几个部门确定的JFAC工作 组需要对SwA和HwA的利益和问题
15、作进一步的研究和技术开发。这一工作组给 JFAC指导委员会推荐了几项技术开发任务建议,而该委员会则批准和分配资金。 这些工作的结果在DoD中将推动先进的SwA和HwA设备和组织。JFAC指导委员会也已经分配资金进行SwA和HwA的工具、技术和过程分析。 用于 SW 和 HW 的 State-of-the-Art Resource ( SOAR)和用于现有 SwA 的 SOARMatrix 等工具为整个 DoD 采办寿命周期中选择和使用自动化保证工具组 提供指导。这一指导委员会分配资金来维持和继续改进SOAR和DoD分析的其 他产品,以供项目使用。10 参与其他感兴趣和实践的部门未来,预计 JF
16、AC 将继续将其责任扩展到纲领的整个范围,包括促进与学术 界、私营企业以及其他联邦政府部门和机构的密切合作。由于R&D是JFAC操作 的一个关键组成部分,因此,JFAC领导将继续确定、合作,以及促进组织致力于 推进可用于SwA和HwA检查、分析、检测、评估和纠正工具和做法的创新解决11 总结DoD正在建立一种联合能力来支持受信任的国防系统并确保该部门开发、采 办、维持和使用软件和硬件的安全性。由于它的不断成熟和发展,JFAC将:确定、操作化和制度化该部门的SwA和HwA能力,以支持项目管理办 公室和其他利益相关方。 评价DoD投资以支持各种SwA和HwA需求和利益的需求的影响。与整个DoD合作,以影响R&D投资并填补SwA和HwA能力的差距。蔡日梅供稿)
