美军JRSS与安全防护策略研究

为填补GIG 的实施现状与预期能力之间的鸿沟，美军在JIE 中规划了对信息基础设施和运用模式的重塑，其中通过SSA 和JRSS 实现安全保障能力的重大变化和升华，进而极大提升信息技术效率、任务效率和安全效率。JRSS 通过建立标准统一的网络安全框架支撑设施，将有限的安全力量集中至主要的网络出入口，未来将作为美军国防部网络的中枢神经点支撑数百万的用户连接，确保安全能力的输出能够有效应对新兴网络威胁。本文围绕JRSS 提出的背景及需求、目标和作用、构成及关键任务领域、项目推进等方面展开描述，并在最后对JRSS 所折射出的安全策略思路、启示进行归纳与总结。

引言

随着信息化战争形态的加速演变，世界各国在网络空间的战略利益不断拓展，因而网络空间面临的安全形势也更为复杂。就在各国仍在紧随美军构建本国军事栅格网，努力打造面向服务的、从传感器到射手的网络中心战能力的时候，美军已经开始考虑GIG（Global Information Grid，全球信息栅格）下一步可能的发展方向，即围绕作战人员对信息共享的需求，在实现全球网络互联互通的基础上打造JIE（Joint Information Environment，联合信息环境），继续在理念和行动上引导军事信息巨系统的发展方向。

JIE 的主导思想是信息技术基础设施的重塑。即美军的各个军种将不再运行独立的网络，而是逐步在统一的信息技术架构下进行操作。这种更为高效、安全和更易于维护的单一网络使IT 管理员可以开启全局视角看待网络设施，洞悉其关键链路和节点上发生的细节情况，精确查明特定区域的故障是如何造成和扩散的，进而实现网络可维护性和可用性的极大提升；另一方面，随着技术发展美军基于云计算的服务交付、战场态势感知与信息联通能力的不断提升为云基础设施在JIE 中的全面构建奠定了技术基础，JIE 中云计算以IaaS（Infrastructure as a Service, 基础设施即服务）为主的部署模式使前线应用程序的可移动性、硬件无关性显著增强，其对作战能力的提升已经在阿富汗战场得到了检验与证明。美军在Army Network 2020（陆军网络2020）计划中要求不断推进云计算的部署，实现网络容量的增加、安全性的改善、服务能力向边缘的延伸和标准化水平的确保。

相较GIG，JIE 在各领域的设计目标和能力上都体现出崭新的特点，在安全方面也是如此。DISA（Defense Information System Agency，美军国防信息系统局）副首席技术官威廉·A·克里称，重新设计GIG 的主要推动力之一便是安全性。JIE 通过构建一个安全、互操作的云计算环境（包括共享的基础设施、企业级服务以及统一安全框架），简化安全指挥与控制结构，减少潜在的受攻击面以及易受攻击的访问点的数量来使网络防御达到一个更高层次，实现安全保障能力的重大变化和升华，最终极大提升信息技术效率、任务效率和安全效率。

如前文所述，JIE 所构想的信息环境打破了军兵种间的分割，为在一个集成框架里整合网络防御提供了前置条件。这一集成框架即是SSA（Single Security Architecture，统一安全框架），其设计目标是在需要执行网络防御作战的任何时间段内实现JIE 网络的积极防御。SSA 通过缩减网络攻击面，集成独特的部由算法，优化网络响应时间和同步复杂度，使得需要部署安全设备的数目大大降低，实现最大化作战效率。JRSS（Joint Regional Security Stack，联合区域安全栈）由一系列相辅相成的安全站点、设备和机制构成，是SSA 的重要组成部分和贯彻实施形式，也是美军国防部网络和安全能力现代化的重要支撑手段。本文的余下部分将围绕JRSS 提出的背景及需求、目标和作用、构成及关键任务领域、项目推进等方面展开描述，并在最后对JRSS 所折射出的安全策略思路进行归纳总结。

JRSS 的背景和需求

GIG 是美军在JIE 之前构建实施的巨大而复杂的通信与服务系统，其网络基础结构由不同的分布式服务单元组成，旨在将美国国防部的所有的信息系统、服务及应用集成为一个无缝隙的、可靠的和安全的网络。但是随着GIG 演进工作的不断推进，原有的设计逐步暴露出构建成本高昂、互联能力有限、新技术采用缓慢、事件响应灵活性差等问题，美军构想的信息共享、基础设施建设、系统和服务采办模式、联合训练、通信保障及作战支持等能力并未完全达到预期目标。

2015 年1 月，美军国防部作战试验与鉴定局对40 多个国防系统进行审查，并发布“2014 财年审查报告”。报告称美军事网络存在可利用的网络漏洞，包括不必要的网络服务或系统功能，以及错误配置、未修复补丁、过时软件和较弱密码等问题。在这样的情况中，开展任何数据交换都为技术娴熟的网络对手提供监控、扰乱或破坏信息系统和作战系统的机会。同月，美国中央司令部的推特及Youtube 账号遭到“伊斯兰国”同情者的攻击。在此次网络破坏事件中，虽然机密信息未遭窃取，且无军事网络遭到破坏。但业内分析人士认为，因美国军事系统高度依赖商业网络，即便有韧性的国防部网络防御也可能会因一条联接外部的薄弱链接而受到威胁，并潜在对网络操作造成破坏性影响。

在GIG 所代表的传统信息框架下，各军种具备自行设计网络、开展网络防御的决定权。尽管美军国防部在各军种、军事机构中推动和实施了多个网络安全战略性项目，但GIG 各组成单元间相互脱节的网络安全策略和保护措施多样化的实现途径导致网络安全本质上的整体保障能力存在巨大风险。随着美军网络面临的网络威胁数量不断增加、安全事件持续爆发和防护复杂度日益提升，美国防部官员公开承认当前国防部GIG 无法进行有效防御，难以应对不断涌现的新型网络空间风险。美军在Army Network Security Reference Architecture 2.0（陆军网络安全参考架构2.0）中提出，当前网络安全防护手段存在以下缺点：

(1) 各军兵种的网络包含重复的、冗余的网络安全手段，同一数据在到达接收方路径中会被检查多次，造成效率低下、时延增加；

(2) 美海军提出的CND 2.0（ComputerNetwork Defense 计算机网络防御体系）在实践中被认为没有达到预期效果，功能不完备；

(3) 安全策略的非标准化情况严重，有时甚至造成冲突，导致安全能力降级；

(4) 许多P/C/S（Post ,Camp, Station，美军不同级别的前线阵地）用户需要同时维护不同网络的多个边界安全防护设备；

(5) 缺乏面向最终用户和设备的态势感知和事件响应能力。

SSA 的提出体现了美军为扭转安全防护的不利态势而在JIE 中做出的不懈努力。SSA 对应于JIE 的6 个关键目标中的“建立整体的企业化安全架构，以确保优化的和同步化的网络、项目和企业化服务、以及联合和联盟作战行动”这一要求，它将为美军国防部所有军事机构的计算机和网络防御提供通用的方法。这种标准安全架构试图解决在实施任务保障时存在的机构重叠、职责不清等问题，消除系统烟囱和网络安全边界，减少暴露于外部的攻击面，实现参战单元的信息互通及快速、安全的数据共享，推进安全机制和协议规范的复用，降低已有系统改造和集成的耗费，从而使得信息基础设施管理员们更方便地监控和发现潜在安全威胁，并更迅速地应对。用户在SSA 的支撑下，能够连接以前从未访问过的外部网络，从而获得更灵活的战术优势。

SSA 反映的主要原理为降低所需的信息技术设备总量、实现配置标准化，建立企业级的安全共享协议和简化数据路由等，其它内容还包括：

(1) 使用标准化的安全防护功能集在最佳位置开展防御；

(2) 移除不必要的信息保障手段以提高效能；

(3) 严格控制用户数据流动，通过CND 容器来获取关于下行流量的全局安全态势；

(4) 在服务器、用户资产与骨干网分离时保护网络飞地；

(5) 在JIE 指派的美军国防部EOC（Enterprise Operations Center，企业级操作中心）中提供用于监视和控制所有安全手段的工具集。

可以看出，SSA 通过规整网络安全边界，减少外部攻击面、管理标准化和操作、技术控制确保在所有任务背景下美军国防部信息资产的保密性、完整性和可用性，同时能够促进快速攻击侦察、诊断、控制、响应能力的实现。为了切实贯彻和推进SSA 的实施，美陆军在整合升级网络、加强网络防御的同时首先开发了JRSS。作为陆军网络现代化工作的一部分，JRSS 将解决各军种网络安全框架间的差别问题，为美军国防部网络安全建立标准统一的网络安全框架支撑设施，未来将作为美军国防部网络的中枢神经点，连接数百万的用户，确保通用安全能力的输出，实现全军网络间的透明化，快速应对新兴网络威胁。

JRSS 的目标和作用

JRSS 的目标

攻击面控制是JRSS 的理论基础，JRSS 的构建目标在很大程度上是为了响应SSA 中“缩减攻击面”的要求。迄今业界对攻击面尚无统一定义，通常攻击面是指攻击者进入信息系统并可能造成破坏的一系列途径，即攻击时使用的操作系统、软件、数据和网络等资源：攻击面越大，系统越不安全。美军国防部负责网络安全的副首席信息官瓦内萨·哈力翰称，因为DoD（Department of Defence，美国国防部）网络无法避免所有网络威胁，因此只能借助于攻击面的缩小来集中安全资源。在JIE 技术栈中，JRSS的位置位于JIE 体系架构的“防护”级，于网络层提供服务，实现任务数据在网络和基于云的核心数据中心之间流转的安全性。

JRSS 之所以被称为“堆栈”（Stack）是因为其贯彻了层次化的安全防护思想，如同OSI（Open Systems Interconnection，开放系统互联组织）或TCP/IP 将协议栈划分为若干个彼此支撑的功能层次一致，安全堆栈在通信的每个层次都描述了安全的控制点和需要进行的工作，以此对安全手段进行清晰的分类和精细化设计，如图1 所示。JRSS 的功能覆盖了TCP/IP 的多个安全堆栈层次，意味着JRSS 的防护能力能够在数据链路层、网络层、传输层和应用层并行开展实施。

JRSS 的作用

JRSS 采用集中式的安全配置管理和标准化的安全工具、策略与行为来取代之前各军种在基地、前沿阵地、指挥所等地实施的分散式配置管理和非标准化做法，从顶层角度统一负责各自区域内各军种的网络安全事务。在SSA 的规范下，美军将全球基地划分为若干个区域，每个区域对应一个JRSS。JRSS 整合了DoD 网络中多个机密和非机密网络，通过减少访问接口、降低网络安全漏洞数量和增强态势感知能力，减少JIE 暴露给对手的攻击面。利用JRSS，美感军国防部预计减少现有的1 000 多个网络访问接口，将其替代为全球50 个地点的联合区域安全栈站点（JRSS site）。

JRSS 的关键效果包括：

1）减少攻击面（从1 000 个减少到数十个DoD 核心网入口节点），使得边界的安全防护资源更集中、安全控制手段的指向性更强，满足网络空间作战域防御的迫切需求，弥补应用安全保障能力差距；

2）提升网络指挥、控制和态势感知能力，在全球范围内获得更佳的态势视图，从而精确修改和调整网络配置；

3）加速通信业务的传输，并降低开销；

4）提升可靠性，提供失效备援、多样性以及关键失效节点排除功能等。

此外，JRSS 的作用还包括以下方面：

(1) 实现标准化安全架构，提高网络安全和效率；

(2) 为JIE 实现标准化的指挥控制平台提速；

(3) 使全域网络行动同步；

(4) 对网络攻击与效果影响的相关性作出分析等。

整体上，JRSS 所采取的“端到端”（Pt-Pt）的网络安全方法将有效提高国防部防御网络攻击的能力。此外，通过标准化和数据共享，DoD将建立更广泛的网络可视化环境，更为快速地执行防御行动。JRSS 与国防企业级网络运行中心共同管理用户访问，提供对网络内部运作的增强了解。各层级网络作战人员可以掌握网络运行和安全状态，增强对网络空间的态势感知能力，进一步提高网络应急的同步性，实现网络操作效率最大化，减少风险。美军国防部预计，在JRSS 的助力下，未来攻击面将显著降低、网络弹性得到提升、成本缩减、网络态势感知将具务检测和诊断能力，并向所有指挥部提供适配过的态势视图，进一步增强网络空间作战和行动优势。

JRSS 的构成和关键任务领域

JRSS 的构成

根据美军公开文档的描述，每个JRSS 由一系列网络和防御软硬件组成，它采用集中式安全配置，提供更易管理的环型防线，以减少网络受攻击面，增强网络透明度，大大提高网络安全性。美军国防部的网络防御和网络运维分队将在这些安全堆栈上定制安全规则和配置，以满足自己的任务要求。每一个JRSS 站点都包括支撑防火墙、入侵检测和防护、虚拟路由和转发、大数据分析处理和其它安全能力（如审计）等功能的软硬件设备。尽管具体的设备组成与连接方式没有披露，但美军STG 公司2016 年7 月中旬发布的一份招聘JRSS Network Administrator的要求中，可以推断出JRSS 站点的管理员需要熟悉以下网络设备和技术：

(1)Palo Alto Next Gen FW（Palo Alto 下一代防火墙）；

(2)Cisco ASR 9000（大容量运营商级别边缘路由器平台）；

(3)Juniper routers （加载Juniper 网络操作系统的路由器）；

(4)Cisco ASA（思科下一代模块化防火墙）；

(5)Nexus 7000（模块化数据中心级交换机）；

(6)MPLS（Multi-Protocol Label Switching，多协议标签交换）；

同时，JRSS 要求在站点选址时所必须具备以下前置条件：

(7) 从美军国防部网络边缘接入的鲁棒、高速和高可用的物理网络基础设施；

(8) 具有严格保护、可生存性强的基础设施，能够抵御自然或人为灾害；

(9) 具备终端用户环境，提供可靠和弹性的连通性，例如前线IT 环境等。

为防止因网络攻击或故障导致的失效，美军初期建立的部分JRSS 节点之间进行了防失效的部署模式，如美国中西部的St.Louis 和东北部的Meade 节点即互为备份。

在管理方面，由于JRSS 位于美国国防部机构间数据流动的主要链路上，需要确保成千上万用户的在各种情况下的正常使用，因而通过手动方式对JRSS 进行网络监控和管理是不现实的。JRSS 的IT 专业人员能够在JIE 提供的NetOps（Network Operations，美军一体化网络操作工具）流程和解决方案的帮助下提升管理、监控的效率和安全性。JMS（JIE Management System，JIE管理系统）是JRSS 的管理上级，也是推动JRSS成功的关键，它在数据分析、评估、预测网络威胁方面起着积极作用，有助于管理员对各作战单元进行管理、指挥、控制，提高网络的可视化和运营效果。JMS 同时允许部队在不影响彼此的情况下对网络进行监控和操作。通过软件配置，DISA 能够对多用户环境进行调控[4]。

JRSS 的能力发展

美军国防部NIPRNET（非保密但敏感IP 路由器网）/SIPRNET（保密IP 路由器网络）中部署的JRSS 能力分为若干个版本描述，主要内容如表1 所述。

表1JRSS 能力演进

JRSS 的关键任务领域

JRSS 部署在DoD MPLS 网络的边缘处，包括B/P/C/S 前哨站、DISA DECC（Defensive Enterprise Computing Center，企业防御计算中心）以及CDC（Core Data Center，核心数据中心）等子网的接入处，对所有进出的流量进行检测和控制，以达到预设的安全目标。JRSS 的关键任务领域包括可信网络接入、MPLS、管理可视化和持续监控等。

(1) 可信网络接入

JRSS 基于PKE 802.1x 实现局域网可信NAC（Network Access Control, 网络接入控制）功能。只有操作系统干净完整、安装了合法应用程序的计算机才能够通过具有802.1x 功能的交换机接入网络。

(2)MPLS

MPLS 是网络通信流加速与管理的业界标准技术，也是DoD 网络基础设施向JIE 和云能力迁移的基础。JRSS 采用MPLS 路由器建立虚拟通信管理系统，能够改进网络指挥与控制，区分并按数据流优先级依次传输，显著降低由于容量或大或拥塞而造成数据延迟或丢失的几率。其干线带宽将达到100Gb/s，同时前线指挥部带提升至10Gb/s。JRSS 中的MPLS 不与特定基础网络设施绑定，实现通用虚拟流量控制功能，从而实现高度可扩展的，能够兼容多类网络协议、提供带有智能路径学习的交换机制。

(3) 管理可视化

DoD 通过JRSS 防护能力的标准化和数据共享，建立更广泛的网络可视化环境，更为快速地执行防御行动。其可视化的流程包括数据采集、数据分析、可视化处理和信息共享四个步骤，使美军网络司令部能够从全局视图的高度精细化地修改和调整网络。

(4) 持续监控

JRSS 中的持续监控能够对整个网络的性能、可用性和可靠性作出全天候的自动监测和报告。持续网络监控可以有效实现DoD 提高效率和安全这一目标，还有助于确定潜在安全漏洞、未经授权用户和有漏洞的区域。

JRSS 的项目推进情况

JRSS 的开发部署的推进方为DISA、美陆军、空军和洛克希德马丁公司，旨在为各军种创造一个联合安全环境而共同努力，确保DoD 使命的完成。截至目前，JRSS 的进度时间表如表2 所示。

表2JRSS 项目推进历程

当前，空军和陆军是JRSS 的主要用户。空军逐步将自有的网关设施以实现向JRSS 架构的过渡，而到2018 年，陆军将会有超过44 处军事设施纳入到JRSS 内，包括陆军工程师兵团、陆军预备役、陆军国民警卫队的网络等。至完成时，陆军力量的60％都将纳入到JRSS 中。同时，国防信息系统局将与海军、海军陆战队合作推进JRSS 2.0。

安全策略启示

JRSS 是美军推进网络现代化和安全防护能力现代化的重要举措，体现了将攻击面理论与信息安全实践、网络效率提升相融合的思想。尽管从防御体系级关键技术的角度审视，JRSS 并无太大新意，但其实质上基于安全实用化的思想，以打造“管用、好用”的安全能力为目标，有机结合通信、安全和管理领域的相关技术、在统一安全框架的指导下能够推进安全能力的深化发展。JRSS 对各国制订网络空间安全策略、关键技术研究和能力建设提供了积极的启示：

（1）整合至统一安全架构。在信息系统持续集成和整合的大背景下，JRSS 逐步实现各军兵种现存信息安全体系结构的整合统一，能够解决在实施任务保障时存在的机构重叠、职责不清等问题，消除安全系统烟囱和网络安全边界，在降低成本的同时提高效率。

（2）防护重点向边缘推移。JIE 网络规划的突出特点是实现通用数据路由转发功能的简洁、高效的网络中枢，而将具体用户、高层网络应用服务放置在网络边缘，便于异构网络的接入与新业务的部署，保证网络良好的扩展性。与其对应，JRSS 网络安全防护事实上的控制重点也因此不断向边缘、向“端系统”推移，在最靠近安全威胁的地点强化控制，提升安全统管与自治水平。

（3）缩减攻击面，加大安全资源密度。聚焦JRSS 站点在网络边界部署的地缘特性，将有限的安全力量集中至主要的网络出入口，通过安全设备间的智能、软件定义化互联提高检测的覆盖率和资源效费比，以简洁、高效、易扩展的方式实现军兵种的业务互联和安全交换。

（4）集中态势认知、决策和响应。通过汇聚DoD 网络的分布式数据，将安全事件的整编分析、安全策略的生成与下发都依托提供“统一服务”的业务云CDC 进行，强调集中式安全态势感知、分析和策略生成的作用，并通过JMS 进行管理和响应，从认知全局安全态势的顶层角度执行安全管理运维逻辑，提升安全手段组织和协调效能。

结语

JRSS 是安全领域美国国防部的最优先计划之一，可以提供各级网络的可见性和安全性。通过建立标准统一的网络安全框架支撑设施，将有限的安全力量集中至主要的网络出入口，未来将作为美军国防部网络的中枢神经点支撑数百万的用户连接，确保安全能力的输出能够有效应对新兴网络威胁。JRSS 通过规范化整个网络和信息化设施的安全基线，有助于降低成本、提升功能、改进配置管理，基于云计算、大数据的成熟实践输出安全特征和能力，具有较鲜明的时代特色和较强的防御效能。

（为便于排版，已省去原文注释）

作者

唐红梅，助理研究员，工程硕士, 研究方向为科研项目管理。

陈剑锋，高级工程师，博士，研究方向为信息化、信息安全。

闫春杰，工程师，学士，研究方向为信息化管理。

王亚翔，高级工程师，学士，研究方向为计算机网络与信息安全。

（本文选自《信息安全与通信保密》2017年第八期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。