承上啟下的關鍵之年。而網(wǎng)絡空間安全,是美軍數(shù)字現(xiàn)代化戰(zhàn)略至關重要的一環(huán)。
一
美軍數(shù)字現(xiàn)代化戰(zhàn)略的推進情況
近年來,美軍一直不遺余力地推行數(shù)字現(xiàn)代化戰(zhàn)略,力圖以此應對在全球威脅格局不斷演變之下大國之間的競爭。
?。?)美國國防部的全面數(shù)字現(xiàn)代化戰(zhàn)略始于2018年的夏天,6月國防部正式發(fā)布了《數(shù)字工程戰(zhàn)略》,旨在推進數(shù)字工程在裝備全壽命周期管理的應用,實現(xiàn)美國國防部的數(shù)字轉(zhuǎn)型;
?。?)2019年7月,國防部發(fā)布《國防部數(shù)字現(xiàn)代化戰(zhàn)略:國防部信息資源管理戰(zhàn)略規(guī)劃FY19-23》,這是美軍首次發(fā)布以“數(shù)字”和“現(xiàn)代化”冠名的戰(zhàn)略規(guī)劃,它提出了國防部未來四年在數(shù)字現(xiàn)代化領域的戰(zhàn)略愿景、目標及要素,是美軍非常重要的一份戰(zhàn)略文件;
?。?)2019年底,國防部開始創(chuàng)建聯(lián)合企業(yè)防御基礎架構環(huán)境(JEDI),這是一種在所有服務中都可使用的云計算環(huán)境,它是美軍試圖構建的一整套覆蓋國防部和各軍種信息需求、存儲處理所有密級數(shù)據(jù),并為美軍執(zhí)行各層級作戰(zhàn)任務提供智能支持的企業(yè)云服務解決方案;
?。?)2020前兩個月,聯(lián)合企業(yè)防御基礎架構的非密環(huán)境構建完成;之后大約用六個月的時間,國防部將完成涉密環(huán)境的建立,最后是構建最高機密環(huán)境。
到目前為止,美軍在數(shù)字現(xiàn)代化領域所取得的進展還包括涵蓋了云計算與人工智能所支持的C3I(指揮、控制、通信與情報)方面上的網(wǎng)絡改進,而且這些改進都得到了強有力的網(wǎng)絡空間安全保護。
二
美軍數(shù)字化能力與網(wǎng)絡脆弱性之間的矛盾
當前,美軍擁有全球最高的信息化程度和水平,表現(xiàn)在:年度預算高達464億美元;運行了近萬個系統(tǒng),部署了數(shù)千個數(shù)據(jù)中心、數(shù)萬臺服務器,連接了上百萬的計算機和IT設備、10萬多商業(yè)移動設備;支持130萬服役人員、74.2萬平民、82.6萬國民警衛(wèi)隊和后備力量;基礎設施遍布全球5000個地點、3000多萬畝的土體、數(shù)十萬建筑物。數(shù)字技術已經(jīng)成為美國戰(zhàn)略、戰(zhàn)術、武器等的關鍵組成部分。
但是,美軍的信息化環(huán)境同樣存在一些問題,比如:數(shù)據(jù)中心和網(wǎng)絡太多,投資分散,效率低下;互操作性不足,影響了信息共享和任務協(xié)作;網(wǎng)絡安全漏洞威脅到機密信息的利用,也危及國家安全,等等。特別是,美軍正面臨嚴重的網(wǎng)絡空間威脅,而現(xiàn)有的能力和技術不足以防范技術高超的網(wǎng)絡攻擊。隨著先進黑客技術的不斷發(fā)展,網(wǎng)絡對手可以采購相應技術入侵國防部的網(wǎng)絡,影響美軍作戰(zhàn)任務的完成。同時,美國國防工業(yè)基礎和下一代武器系統(tǒng)也存在脆弱性。
因此,數(shù)字技術在賦予美國巨大能力的同時,也增加了美軍的脆弱性,對美國而言,這些能力和脆弱性構成了動態(tài)的威脅。隨著美國國防部尋求更強大的數(shù)字化能力,國防部的作戰(zhàn)能力得到極大提升,但也更易遭受先發(fā)制人的攻擊。美軍作戰(zhàn)所依賴的數(shù)字網(wǎng)絡和技術也更容易遭到虛擬和物理攻擊。
美軍的決策者已經(jīng)充分認識到數(shù)字化能力與脆弱性之間的矛盾,因此,正在努力尋求在軍事能力和網(wǎng)絡能力中做出平衡。未來美軍需要構建一支能力超強且脆弱性最低的軍隊,數(shù)字技術可以用于加強其軍事能力,但不會成為其軍事力量的關鍵弱點。
為此,美軍對網(wǎng)絡空間安全的重視大大提高,透過美軍的數(shù)字現(xiàn)代化重磅戰(zhàn)略可以看到,其中大量內(nèi)容都是應對當下的美軍遇到的網(wǎng)絡安全問題,而且提出的解決方案也相當實際??梢哉f,網(wǎng)絡空間安全已成為美軍數(shù)字化現(xiàn)代化戰(zhàn)略中最重要的一環(huán)。
三
網(wǎng)絡空間安全成為美軍數(shù)字現(xiàn)代化戰(zhàn)略的重要支柱
1.數(shù)字現(xiàn)代化戰(zhàn)略的總體目標特別強調(diào)網(wǎng)絡空間安全
美軍在2019年7月發(fā)布的《國防部數(shù)字現(xiàn)代化戰(zhàn)略》中明確提出了國防部數(shù)字現(xiàn)代化未來四年(2019~2023年)的愿景,即:創(chuàng)建“一個更安全、可協(xié)調(diào)、無縫的、透明的和具有成本效益的IT體系結構,該結構可將數(shù)據(jù)轉(zhuǎn)換為可操作的信息,并在面對持續(xù)的網(wǎng)絡威脅時確保可靠的任務執(zhí)行?!?/p>
為此,國防部提出了以下四項總體目標:(1)創(chuàng)新以贏得競爭優(yōu)勢;(2)提升效率和提高能力;(3)強化網(wǎng)絡空間安全,打造敏捷而有彈性的防御態(tài)勢;(4)強化數(shù)字化人才培養(yǎng)。網(wǎng)絡空間安全是其中非常重要的實現(xiàn)目標之一。
為了確保上述戰(zhàn)略目標的落地,美軍的數(shù)字現(xiàn)代化明確了以下四個優(yōu)先戰(zhàn)略方向,它們是:(1)網(wǎng)絡空間安全;(2)人工智能;(3)云;(4)指揮、控制和通信。這里,國防部特別強調(diào)網(wǎng)絡空間安全。
2.明確規(guī)劃網(wǎng)絡空間安全的實現(xiàn)目標
在網(wǎng)絡空間安全方面,美國國防部在戰(zhàn)略層面已經(jīng)把IT環(huán)境視為一個整體,并且提出了“每個網(wǎng)絡、系統(tǒng)、應用程序和企業(yè)服務都必須通過設計實現(xiàn)安全,在整個采辦生命周期內(nèi)對網(wǎng)絡安全進行管理”的要求。特別是在網(wǎng)絡空間安全方面明確提出了:
(1)改造國防部網(wǎng)絡安全體系架構,增加敏捷和彈性。具體措施包括:改進端點安全并持續(xù)監(jiān)視;強化數(shù)據(jù)中心安保;在Win10主機安全基線上標準化等。
?。?)部署端到端身份、憑證和訪問管理基礎設施(ICAM)。具體措施包括:擴展公鑰啟用能力;實施以數(shù)據(jù)為中心的方法來收集、驗證、維護和共享身份和其他屬性等。
?。?)保護國防部敏感信息以及國防工業(yè)基礎的非涉密網(wǎng)絡和信息系統(tǒng)的關鍵程序和技術。具體措施包括:支持開發(fā)一致性程序,評估承包商是否遵守網(wǎng)絡安全要求;將網(wǎng)絡安全威脅信息共享擴展到未獲批準的國防承包商;規(guī)劃并執(zhí)行國防工業(yè)基礎“網(wǎng)絡安全探路者”計劃。
?。?)改革國防部網(wǎng)絡安全風險管理政策和實踐。具體措施包括:推進風險管理框架改革;增加國防部對制定聯(lián)邦政府和國際商業(yè)網(wǎng)絡安全標準的參與。
至少到2022年之前,美軍還會繼續(xù)大力推行云計算并縮減數(shù)據(jù)中心的數(shù)量,進一步加強端到端基于密碼學的訪問控制管理,重點改進軍工行業(yè)的安全防護體系,并且通過DevSecOps和廣泛使用云計算、軟件定義網(wǎng)絡技術來使IT變得更加敏捷和富有彈性。
3.詳細制定國防部增強網(wǎng)絡空間安全的方法
美軍的數(shù)字現(xiàn)代化戰(zhàn)略明確指出了國防部提高網(wǎng)絡空間安全的方法,并記錄在《網(wǎng)絡安全參考架構》中,方法主要包括:企業(yè)周界保護,移動終端安全,中點安全,企業(yè)端點安全,數(shù)據(jù)安全,大數(shù)據(jù)平臺,身份、憑證及訪問管理等。
(1)企業(yè)周界保護(Enterprise Perimeter Protection,EPP)
企業(yè)周界保護整合了網(wǎng)關安全服務,通過集中管理的方式降低成本、提高安全性。EPP在Internet、任務伙伴網(wǎng)絡和商業(yè)云服務之間建立保護屏障,提供根據(jù)安全策略發(fā)現(xiàn)、檢測、阻塞手機流量的能力。EPP為通過網(wǎng)絡接入點路由網(wǎng)絡流量,通過任務伙伴網(wǎng)關路由任務伙伴流量,通過移動網(wǎng)關路由未分類網(wǎng)絡和分類移動端用戶流量,通過云端接入點路由商業(yè)云流量提供安全組件,該組件是利用共享的企業(yè)網(wǎng)絡安全組件。
?。?)移動終端安全
基于Windows設備的傳統(tǒng)終端安全技術不適用于移動設備,因此必須提高商用移動安全技術來抵御移動端所面臨的安全威脅,在美國國防部安全指南的適用范圍內(nèi)評估、部署移動安全技術。
?。?)中點安全(Midpoint Security)
美國國防部保障中點和區(qū)域安全的核心是聯(lián)合區(qū)域安全堆棧(Joint Regional Security Stacks,JRSS)策略,它是新形勢下美軍安全體系建設的一種新模式。JRSS保障虛擬網(wǎng)絡的安全,替代或補充由作戰(zhàn)司令部、各軍兵種和代理機構運營的網(wǎng)絡安全系統(tǒng),集成市場成熟安全產(chǎn)品,以確定的編配模型構建集約化、標準化、全功能的安全防御框架,部署在各軍兵種和軍事基地邊界處,對進出特定區(qū)域的網(wǎng)絡流量進行編排、監(jiān)測和防御,在降低人力和技術等總投入成本的情況下,提高美軍網(wǎng)絡整體防御效能。
(4)企業(yè)端點安全
企業(yè)端點安全性是集成人員、流程和技術一起,共同阻止對端點的未授權訪問、識別和刪除惡意代碼和未經(jīng)授權的軟件,防止未授權軟件和流程的執(zhí)行。端點安全利用并集成了國防部部門之間的協(xié)作,如合規(guī)連接(Comply to Connect,C2C)、遏制政策、可見性和評估工具。C2C是美國國防部的安全框架,該框架旨在使各機構能夠持續(xù)識別網(wǎng)絡安全風險,確定這些風險的優(yōu)先級,并首先緩解最嚴重的問題。
此外,端點安全性保護連接國防部信息網(wǎng)絡(DoD Information Network, DODIN)的授權平臺或設備,拒絕授權用戶使用任何經(jīng)過身份驗證的設備隨時隨地安全訪問聯(lián)合信息環(huán)境(Joint Information Environment,JIE)資源。美國國防部正在整個Windows 10 SHB操作系統(tǒng)上實現(xiàn)標準化,確保該部門能夠利用通用的應用程序更快的修補軟件,并以低生命周期將所有國防部計算機配置為批準的安全標準。
?。?)數(shù)據(jù)安全性(用于數(shù)據(jù)中心和云)
大數(shù)據(jù)平臺(Big Data Platform,BDP)是一個安全、可擴展、靈活和開放的基礎設施平臺,旨在提供分布式計算解決方案,解決大數(shù)據(jù)進入企業(yè)的過程中如何適應企業(yè)的生長環(huán)境,與企業(yè)已有的生態(tài)系統(tǒng)共存的問題。美國國防部BDP作為一個公共平臺,可以支持國防部的各種網(wǎng)絡空間任務,可以支持非保密互聯(lián)網(wǎng)協(xié)議路由網(wǎng) (NIPRNET)和機密互聯(lián)協(xié)議路由網(wǎng)(SIPRNET)環(huán)境下各種系統(tǒng)和傳感器的結構化和非結構化數(shù)據(jù)執(zhí)行聚合、關聯(lián)、歷史趨勢和取證分析。DODIN運營和網(wǎng)絡空間防御作戰(zhàn)(Defensive Cyber Operations,DCO)任務要求能夠?qū)⑵髽I(yè)規(guī)模的數(shù)據(jù)轉(zhuǎn)換為簡單的、動態(tài)的、可視化的數(shù)據(jù),以描述事件關系并滿足一定的要求。
相關部門打算利用常規(guī)數(shù)據(jù)分析方法為DODIN和DCO運營提供企業(yè)態(tài)勢感知,這項舉措將為國防部帶來以下好處:1)全面了解所有傳感器警報以及端到端(Internet到主機)的數(shù)據(jù)流;2)提供DCO狀況和漏洞狀態(tài)信息;3)了解受攻擊者捕獲信息影響的任務,并中斷系統(tǒng);4)根據(jù)歷史趨勢和模式預測攻擊。
?。?)身份、憑證及訪問管理(ICAM)
美國國防部的身份、憑證及訪問管理方法包括四個內(nèi)容:1)數(shù)字身份管理:建立數(shù)字身份和相應的生命周期管理;2)憑證管理:發(fā)行物理或電子令牌作為實體權威數(shù)字身份的代理;3)身份驗證:通過憑證驗證身份,并將該憑證確認為真實憑證。公鑰基礎設施(PKI)是國防部當前身份驗證技術的解決方案。但是,當無法使用PKI時,可以使用多因素身份驗證和身份聯(lián)合服務;4)授權:根據(jù)數(shù)字策略、有關請求身份和所訪問資源的權威信息來批準訪問。
在這種ICAM方法下,所有訪問決策均基于權威的身份信息,并且這些決策可動態(tài)配置為支持不斷變化的任務需求。此外,審計還支持實時和歷史取證。
通過實施上述方法,國防部在保護網(wǎng)絡安全方面可以達到較為理想的效果,具體結果包括:通過通用流程和功能,國防部信息網(wǎng)絡將以單一虛擬信息環(huán)境被保護;網(wǎng)絡空間防御感知并應對外部和內(nèi)部威脅,采取適當?shù)难a救、減輕和恢復措施;國防部信息網(wǎng)絡作戰(zhàn)部隊的指揮控制由整個網(wǎng)絡的共享網(wǎng)絡態(tài)勢感知支持;整個國防部的IT安全研究結果得到最大程度的共享和復用;國防部交付了可靠的云計算環(huán)境,確保在面臨先進持續(xù)威脅時繼續(xù)執(zhí)行任務;支持國防部信息企業(yè)和運營資產(chǎn)的控制系統(tǒng)對網(wǎng)絡攻擊具有彈性。
四
美軍數(shù)字現(xiàn)代化戰(zhàn)略的網(wǎng)絡空間安全保證技術
技術是美軍實現(xiàn)數(shù)字現(xiàn)代化戰(zhàn)略的最重要保證,美軍在多項戰(zhàn)略規(guī)劃中,比如,國防信息系統(tǒng)局發(fā)布的《2019-2022年戰(zhàn)略規(guī)劃》、《國防部網(wǎng)絡空間戰(zhàn)略》、《國防部數(shù)字現(xiàn)代化戰(zhàn)略》等,都提供了技術探索框架,描述了實現(xiàn)的技術路線圖。這些技術將有助于為國防部提供一個更安全、協(xié)調(diào)、無縫、透明和成本效益更高的體系結構,將數(shù)據(jù)轉(zhuǎn)換為可支持行動的信息,并確保在面對持續(xù)的網(wǎng)絡空間威脅時可靠地執(zhí)行任務。對于網(wǎng)絡空間安全的實現(xiàn),美軍創(chuàng)新發(fā)展和應用了多項安全技術。其中,最具發(fā)展?jié)摿Φ陌踩夹g與計劃有以下幾種:
1.區(qū)塊鏈
區(qū)塊鏈是一種新的信息技術,可以顛覆網(wǎng)絡安全范式。美國防部正在尋求網(wǎng)絡安全的區(qū)塊鏈解決方案,作為其數(shù)字化現(xiàn)代化戰(zhàn)略的一部分。國防高級研究計劃局(DARPA)目前正在進行至少兩個側重于網(wǎng)絡安全的探索性區(qū)塊鏈項目,旨在創(chuàng)建一個“更高效、更強大、更安全的平臺”,以保護消息傳遞和提高事務處理的安全性。首先,DARPA試圖用區(qū)塊鏈技術來構建一個新的或改進的通信和交易平臺,該平臺可以實現(xiàn)包括各單位與總部之間以及情報官員與五角大樓之間的通信。同時作為數(shù)字身份管理的一部分,該機構還可以頒發(fā)一個數(shù)字令牌來驗證代理的身份;其次,DARPA試圖用區(qū)塊鏈技術創(chuàng)建一個不可破解的代碼,在數(shù)據(jù)庫中設置陷阱,防御任何試圖攻擊數(shù)據(jù)庫的黑客。
2.零信任安全
零信任安全是國防部首席信息官(CIO)與國防信息系統(tǒng)局(DISA)、美國網(wǎng)絡司令部和國家安全局(NSA)共同探索的一項新興計劃。零信任是一種網(wǎng)絡安全策略,旨在將安全性嵌入整個體系結構中,以阻止數(shù)據(jù)泄露。該數(shù)據(jù)中心安全模型顛覆了信任網(wǎng)絡、設備、人員或進程的思想,并使用基于某些屬性的信任級別來確保認證和授權符合最小特權的原則。實施零信任需要重新考慮如何利用現(xiàn)有基礎架構通過一種更簡單、更高效同時可保證無障礙操作的設計方法來實現(xiàn)安全性。
2019年10月24日,美國國防部創(chuàng)新委員會(DIB)發(fā)布了《零信任架構(ZTA)建議》,提供了關于國防部零信任實施層面的建議,指出零信任架構是美國國防部網(wǎng)絡安全架構的必然演進方向。無論是NIPRNET還是SIPRNET都要向零信任安全架構邁進,也就是全網(wǎng)統(tǒng)一零信任架構。最值得注意的是,DIB建議國防部探索將NIPRNET和SIPRNET融合到同一網(wǎng)絡上的可能性,依靠零信任原則來保護訪問,并將用戶許可級別作為訪問的核心屬性。NIPRNET和SIPRNET均應采用SIPRNET的邊界安全措施,以保持更高的邊界安全水平,作為進入的初始屏障。這一建議顛覆了美軍之前將NIPRNET作為SIPRNET與互聯(lián)網(wǎng)之間的屏障這一大創(chuàng)舉和特色,DIB認為,零信任架構可以融合這兩張不同密級的網(wǎng)絡,化繁為簡。暫不論兩網(wǎng)融合的可行性,這種觀點至少充分反映出DIB對零信任架構安全性和先進性的極其認可。
當然,零信任在網(wǎng)絡配置、軟件定義組網(wǎng)、數(shù)據(jù)標記、分析、訪問控制、策略編排、加密和自動化以及端到端的終端身份、憑證和訪問管理(ICAM)的實際實現(xiàn)和運作上還是相當復雜的。企業(yè)級的考慮因素包括要確定該保護哪些數(shù)據(jù)、應用程序、資產(chǎn)和服務,并且要對業(yè)務流、策略決策和策略實施點進行映射。
3.密碼現(xiàn)代化
密碼現(xiàn)代化(CM)的目標是通過提供與作戰(zhàn)指令與任務環(huán)境一致的透明密碼功能來確保國家安全系統(tǒng)達到一種適當?shù)陌踩珷顟B(tài)。自2000年以來,CM用現(xiàn)代功能取代了美國及盟國達到有效密碼使用生命期的相關設備。最先啟動的任務是淘汰20-30年以上的老技術,將密碼系統(tǒng)從點對點過渡到以網(wǎng)絡為中心,并針對對手對抗國防部系統(tǒng)的計算機處理能力的不斷提高做出應對措施。這些要求需要重新設計或更換大多數(shù)戰(zhàn)場設備。
當前,國防部和國家安全局正在籌備密碼現(xiàn)代化二期,即CM2。CM2將確保國防部遠遠領先于操作漏洞和新出現(xiàn)的威脅,例如量子計算;它會繼續(xù)更換老化的設備,并確保美國的加密能力實現(xiàn)現(xiàn)代化,以滿足2030年之前的戰(zhàn)斗人員需求。
4.大數(shù)據(jù)分析
美國國防部的大數(shù)據(jù)分析方法基于大數(shù)據(jù)平臺(BDP),這是一個安全、可擴展、敏捷和開放的基礎架構平臺,旨在提供分布式計算解決方案。BDP實例能夠從各種來源(例如,移動設備、空中(遠程)感應、軟件日志、相機、麥克風、射頻識別(RFID)閱讀器和無線傳感器網(wǎng)絡)讀取、存儲和可視化極大容量(可達數(shù)PB)的數(shù)據(jù)。
大數(shù)據(jù)分析應用程序可以分析結構化數(shù)據(jù)以及傳統(tǒng)商業(yè)情報(BI)和分析程序通常無法處理的其他形式數(shù)據(jù)(半結構化和非結構化)。數(shù)據(jù)挖掘工具以模式和關系搜索來篩選數(shù)據(jù)集,從而能夠?qū)?shù)據(jù)進行匯總、關聯(lián)、歷史趨勢分析和取證分析。機器學習算法可以分析大型數(shù)據(jù)集并執(zhí)行深度學習,這是機器學習的更高級分支,可支持行為預測和其他未來發(fā)展的預測分析。
除了上述安全技術,美國國防部還把人工智能(AI)、軟件定義網(wǎng)絡(SDN)、量子計算,物聯(lián)網(wǎng)(IoT)、5G、IPv6、無源光網(wǎng)絡(PON)等技術視為實現(xiàn)美軍數(shù)字現(xiàn)代化戰(zhàn)略的高效、安全的具有代表性技術。
五
結 語
數(shù)字化能力是未來各國軍事能力的一個重要體現(xiàn),數(shù)字化帶來的網(wǎng)絡空間安全問題將日益突出。如何平衡數(shù)字化能力與網(wǎng)絡安全能力將成為各國面臨的一項長期任務。當前,我軍對數(shù)字網(wǎng)絡和技術的依賴也日益嚴重,所面臨的各種網(wǎng)絡攻擊和威脅必須引起高度重視。為此,我們需要借鑒外軍經(jīng)驗,制定我軍數(shù)字化戰(zhàn)略的相關網(wǎng)絡安全頂層戰(zhàn)略,發(fā)展先進的網(wǎng)絡安全解決技術與方案,防范各種技術高超的網(wǎng)絡攻擊,使我軍的數(shù)字化能力真正成為軍事能力的一項重要助力!