美军网络安全 (六)：备受关注的云安全

作者：柯善学

一、前言

美军JIE （联合信息环境）的目标是实现“三个任意”的愿景——美军作战人员能够用 任意设备、在 任意时间、在 任意地方获取经授权的所需信息，以满足联合作战的需求。

笔者归纳了JIE的 关键领域：1）网络现代化/规范化；2）网络安全体系架构（SSA/CCA）；3）身份和访问管理（IdAM/ICAM）；4）企业运营；5）企业服务；6）云计算；7）数据中心整合；8）任务伙伴环境（MPE）；9）移动性。“美军网络安全”系列将围绕这些主题进行介绍。

本系列之前的内容包括：

• 《美军网络安全 | 开篇：JIE（联合信息环境）概述》：介绍了美军JIE（联合信息环境）的总体情况。

• 《美军网络安全 | 第2篇：JIE网络安全架构SSA（单一安全架构）》和 《美军网络安全 | 第3篇：JIE联合区域安全栈JRSS》：分别介绍了JIE网络安全体系架构和重要实现。

• 《美军网络安全 | 第4篇：跨域解决方案（CDS）》：介绍了不同密级网络之间安全连接的解决方案。

• 《美军网络安全 | 第5篇：身份和访问管理（IdAM）》：介绍了身份和访问安全的解决方案。

本篇将介绍云安全。咋一看，似乎找不到它在JIE框架中的位置：

换成奇安信蓝，就非常明显了：

由于整体JIE未来都是云环境，所以云安全对于JIE的重要性可想而知。

二、美军云计算发展历程

美军发展云计算近20年，简单梳理如下：

在2008年的时候，美国国防部已经围绕云计算能否用于军事计算基础设施进行了 长达12年的调研。终于在2008 年确认：云计算在军事领域有着广阔的应用前景，可以为美军战场提供信息优势。当时，DISA首席信息官认为，如果在某处部署一支部队以应付某种灾难，他们应该能像普通老百姓在家里上网一样联到网上，以获得那个时刻、那个地点所需要的服务和信息。

2011年，美国白宫颁布 《联邦云计算战略》,提出“ 云优先策略”,计划将美国1/4的IT资金用于云计算，同时确定 云迁移路线图。同年，美国国家标准技术研究所(NIST)颁布《云计参考体系架构》。

2012年，为响应联邦战略，美国国防部首席信息官签署 《国防部云计算战略》，成为美军云计算发展的纲领性文件。

《国防部云计算战略》明确了国防部云计划目标：实施云计算，使之成为最具创新性、最高效和最安全的信息和IT服务交付平台，支持在 任意地点、任意时间、任意认证设备上，遂行国防部任务。

《国防部云计算战略》明确了 军事云四步走发展规划：

• 一是促进云计算的采用。包括治理国防部云计算环境等。

• 二是优化整合数据中心。主要是整合并虚拟化遗留的应用与数据。

• 三是建立国防部企业云设施。主要是将云设施整合到核心数据中心（CDC）；通过云服务代理优化提供者。

• 四是提供云服务。

2012年还有一件大事：DISA 《2013-2018战略规划》明确提出首要战略目标是建设 联合信息环境（JIE）。JIE是一个鲁棒和弹性的 企业云环境， 在该环境中，无论何种计算设备、无论在什么位置，均可实现安全无缝的信息访问，从而实现更快、更精确的协作和决策。

2015年，美国陆军以《国防部云计算战略》为基调，颁布《陆军云计算战略1.0》，其目标是与国防部相吻合。

2017年，美国防部发布 《加速采用企业云》备忘录，强调云计算一直是国防部的优先发展事项。创建云企业指导组，分两阶段推进云迁移：

• 第1阶段：解决国防部使用商业云的采办问题；

• 第2阶段：国防部各组成部门和/或机构“快速过渡”到云；

或许是受到上面这份备忘录的推动作用，国防部的云应用在2017年明显加速（见上图）。

2018年，是国防云计算规划之年，许多机构开展了相关规划，整理资源和资产以期实现成功转型。2018年3月7日，美国防部发布 JEDI（联合企业国防基础设施）征询建议书草案。美国军方正在向进一步采购 基于商业云的解决方案迈进。

2019年，美国防部将有大量的能力和服务迁移到云。2019年2月，美国国防部发布 《国防部云战略》将推动国防部采办商业云服务，建立企业云环境，确保全球战略优势。

三、国防部云战略

2019年2月，美国国防部发布 《国防部云战略》，总结了国防部当前信息系统所面临的诸多挑战，制定了未来发展的七个战略目标和四项指导原则，并明确了两条战略实施路径。本战略将推动国防部采办商业云服务，建立企业云环境，确保全球战略优势。

1）战略环境

美国国防部当前的信息系统面临诸多挑战：

• 一是国防部物理信息技术(IT)基础设施基于“最大化利用”理念采购，导致采购的大多数基础设施在多数时间处于空闲状态，且过于严格的政策和采办流程使国防部难以确保硬件和软件得到及时更新，构成安全隐患；

• 二是国防部未在云计算、采用和迁移方面提供明确指导，导致云相关工作相互脱节、采办效率低下，妨碍了部门信息技术现代化工作。

• 三是国防部缺乏关于如何使信息系统适应云以及评估系统是否“云就绪”的总体指导，进一步导致前面提到的数据行为脱节问题，限制了国防部共享信息的能力。

• 四是国防部需要企业云基础设施能力，为着手建立联合人工智能中心（JAIC）提供公共数据和基础设施平台，以充分发挥人工智能的优势。

2）战略目标

• 构建一个可扩展和安全的云环境，确保全球战术优势以及快速访问计算和存储的能力；

• 通过采用具有动态弹性的商业云架构，允许云基础设施自动配置和卸载资源，从而达到最佳的资产利用率；

• 创建标准的云网络架构，满足商业云和内部云的需求， 并制定统一的网络安全架构，不断测试和评估相关能力，确保网络安全属性对不断发展的威胁保持有效；

• 利用人工智能和机器学习技术等现代数据分析技术，迅速做出关键决策，提高作战效率；

• 通过云环境，为前线作战人员提供最新数据和应用程序，全面支持军事行动；

• 利用云计算的分布式、可伸缩和冗余性，保证操作的连续性和有效的故障转移，从而确保任务的全面执行；

• 进一步整合其分散的数据中心资产，推动国防部信息技术改革。

3）指导原则

• 一是在向商业云服务过渡的整个过程中，国防部需要不断测试云解决方案的构建方式，确定不会将士兵及其任务置于风险之中。

• 二是国防部必须推行“云智能-数据智能”方法，利用人工智能和机器学习，实现战场决策优势。

• 三是国防部还必须在其方法中利用商业最佳做法，包括充分利用商业技术、能力和创新；寻求最大限度的商业竞争，确保国防部获得最好的技术和最大的价值等。

• 四是国防部必须形成鼓励持续创新的环境，培养可持续的文化和专业的人才队伍，形成能够持续向云合作伙伴学习的文化。

4）实施路径

国防部正在努力开发一个 由“通用云”和多个“目标适用云”组成的企业云环境。国防部可以通过以下途径实现企业云环境：

• 一是构建新的云平台，接收用于云部署的应用程序、数据或基础设施；

• 二是将现有应用程序迁移至云平台，或在云平台上构建新应用程序。

此外，对于不适用云的应用程序，国防部仍然需保留非云的数据中心。而随着企业云策略的长期采用， 非云环境将会缩小。

上图简单呈现了 国防部的云愿景：提供一个可靠的国防部云计算环境，能够响应国防部快速变化的任务需求，同时提高IT投资回报。

四、美国防部云部署

1）云部署形态

美国防部中云服务的部署方式包括：

• 私有云：基础设施仅针对单个客户的需求进行部署；

• 公共云：基础设施由云服务提供商设施的不同租户共享；

• 社区云：基础设施由具有类似需求的相似类型租户共享（例如国防部Milcloud）；

• 混合云：客户的IT基础设施包括私有云和公有云。更加敏感的处理过程和数据保存在私有云上，较不敏感的处理过程在公有云上执行。

2）美国防部云形态的变化趋势

下图反映了国防部云部署模式的发展趋势：

可见，整体上国防部 云从早期的私有云向混合云、公有云发展。

3）美国防部应对云化挑战的措施

为了能够充分应对云化的挑战，国防部启动了如下准备工作：

4）美国防部云部署架构

国防部云部署方式如图所示：

为了更好理解这张 云部署架构图，后文将按以下顺序（信息分级-云安全-云本身），介绍图中相关内容：

• 一是 信息影响等级（IL）；

• 二是与安全关系最密切的 安全云计算架构（SCCA）；

• 三是 场内云，即 军事云（以milCloud为代表）；

• 四是场外云，即商业云（以绝地云为代表）。

之所以先介绍云安全再介绍云本身，还是因为云安全是我们关心的重点。

五、影响级别（IL）

1）信息影响等级划分

美国国防部以 信息影响等级策略实现商业云的分级应用。在之前提出的“云安全模型”6层级别的基础上，合并简化为4级：

可见，信息 影响级别（IL，Impact Level）划分为四级：2，4，5，6级。

2）军事信息系统分级要求

根据信息影响的程度，军事机构可以对将要采用云计算服务的信息资源进行安全分级，确立军事系统属于四级中的哪一类。

• 低级别 ( 2 级) ：允许机构将军事信息资源放入 公共云中，提供公开利用或FOIA检索发现；

• 中级别 ( 4－5 级) ：通过虚拟云环境，安全链接至 美军专网，以CAC（通用访问卡） 或其他授权证书的方式，提供对敏感信息的受限利用；

• 高级别 ( 6 级) ：主要针对 国家安全系统，必须采用 军事云或/和 云隔离。

3）国防部云迁移分级推进策略

美国国防部在云迁移过程中采取分级推进策略：

• 低级和中级军事信息系统：首先推动低和中级军事信息系统的云应用，应用云服务于日常用于处理 非敏感信息的系统，使用 商业云服务支持低风险的信息和任务功能。

• 高级军事信息系统：对于高级别的军事系统，在取得一定云应用安全经验的情况下，美军未来将进一步颁布其云应用方面的安全标准，实现云在军事领域的递进式发展。国防部目前主要有五个先驱项目，包括采用 AWS云服务测试4级数据的安全保管。

六、安全云计算架构（SCCA）

现在，我们聚焦于下图中的安全云计算架构（SCCA）。

1）SCCA背景

美军在将其数据迁移到云上时面临着的最大风险是：如何为应用程序提供适当级别的安全服务。

通常，云和网络空间的边界保护，是指采用监控和限制网络、密码保护以及其他拒绝访问手段。但是，对于云上的网络保护而言，这些手段已经不再充分。

未来，云上的网络保护必须从数据本身开始，转向 数据安全。

为此，国防信息系统局在2017年底创建了一个名叫安全云计算架构（SCCA）的程序。

SCCA目的：SCCA专门用于 解决商业云提供商提供的安全措施与 国防部希望站在他们的安全角度能够提供的安全措施这二者之间的那些问题，进而推动商业云提供商切实弥补这中间的差距。

2）SCCA组件

SCCA是一套企业级云安全和管理服务，它为商业云环境中托管的影响级别（IL）4和5的数据，提供了边界和应用程序级别安全的标准方法。

SCCA的产品组件包括：

• 云访问点（CAP）：提供对云的访问（提供连接到经批准的云提供商），并保护DISN免受云发起的攻击。简化保护，重点保护网络边界。

• 虚拟数据中心安全栈（VDSS）：提供虚拟网络飞地安全，以保护商业云产品中的应用程序和数据。

• 虚拟数据中心管理服务（VDMS）：商业环境中特权用户访问的应用程序主机安全、补丁、配置、管理。

• 可信云凭据管理器（TCCM）：云凭据管理器，用于强制实施RBAC（基于角色的访问控制）和最小特权访问。

SCCA四个组件的主要功能如下表所示：

3）云访问点（CAP）

美军云计算安全策略的最新趋势是建设云访问点，商业云服务商可以通过云访问点，安全链接至国防部军事网络。

云访问点（CAP）是云安全网络防护的重要点。美军规定：

• 处理信息影响等级 4级及以上军事数据的云服务，链接至美军军事网络 ( DISN) 或美军云用户访问云服务时，都必须通过美军国防部批准的 CAP( 云访问点）访问；

• 信息影响等级 2级数据属于公开数据，可以通过 IAP（互联网访问点）访问， 无需云访问点。

• 云访问点可以由美国信息系统局或美军国防部的部门建设和维护。

CAP是在云服务提供商和美军用户之间的授权连接。提供网络安全、性能监视、入侵防范、共享通用服务、数据丢失预防、完整的数据包捕获、网络路由/交换、网络访问控制、下一代防火墙、应用软件防火墙等功能。可以看出，云访问点是美军对内部军事网络安全设置的又一道防线。

美军目前对云访问点的研究经验包括：

• 1）云访问点必须满足云访问点功能需求文档参考中的安全需求；

• 2）云访问点必须和DoDIN的能力集成，例如联合区域安全栈（JRSS）等提供额外的云安全防护；

• 3）基于云的军事系统和美军内部军事网络通过云访问点连接时，必须经过美国信息系统局授权连接办公室批准、注册和记录，并遵循一定的连接授权规程。

4）SCCA组件部署

SCCA四个组件的部署位置如下图所示：

5）SCC个组件的适用性

SCCA各个组件的适用性如下图所示：

其中，不仅展示了各种网络所能承载的信息影响级别（IL），也反映了 SCCA各个组件（BCAP-边界CAP、ICAP-内部CAP、VDSS、VDMS）在各种云模式（IaaS、PaaS、SaaS）中的适用情况。简洁却不失信息量。

6）SCCA架构在AWS中的部署

AWS是为国防部提供商业云的主力厂商，AWS部署 SCCA架构的方式如下图所示：

七、军事云（milCloud）

1）军事云

军事云（milCloud）是国防信息系统局（DISA）云战略的一个组成部分, 提供IaaS解决方案，采用商用货架产品(COTS)和政府用货架产品(GOTS) 技术，来为国防部提供所需的云服务, 能够初步满足国防部敏感、非保密、保密需求。

milCloud体系结构如下图所示：

milCloud主要由IaaS 和 Orchestrator（编排器）组成：

• IaaS：提供一个自主服务的IaaS 环境，可自动提供虚拟化数据中心（VDC）资源，联合作战用户直接申请VDC资源，根据需求部署操作系统与应用。VDC提供了一个完全的虚拟化环境来部署计算、存储和网络资源，并通过云计算服务管理平台提供自服务的基于Web的订阅、提交和计费功能。

• 编排器（Orchestrator）：提供了虚拟应用的构建和测试环境，milCloud资产库存储并共享了软件、系统、测试序列以及可配置的虚拟应用，支持应用的连续开发与部署。

2）军事云2.0

后来，美国防部采用 商业云架构升级“军事云”2.0。通过建立一个 专用商业级私有云的做法，来提高国防部信息网的速度、服务可靠性、存储灵活性和安全性。

军事云2.0是DISA为DoD提高其信息网的服务质量，而专门 定向招标采购的项目。2017年6月，全球军工百强第39位的美国 CSRA公司最终拿到了美国国防部 期限8年、价值4.98亿美元的合同。该项工作预计在 2020年6月完成。

2018年2月1日，美国防部宣布 “军事云”2.0上线。

尽管此次利用商业云架构升级，“军事云”2.0仍然是一个 专用云基础架构，架构内的虚拟资源，如软件应用或数据存储，只允许在特定范围的人群内通过互联网、光纤和专用网络共享。

军事云2.0能够真正确保国防部通过商业云提供商提供云服务，并且满足所有部门的安全需求。军事云2.0旨在使军方更多采用云计算，同时减少接入云服务提供商的数量。

3）商业化重构军事云2.0的原因

基于成本考虑：美国防部加速推进“军事云”2.0的最主要的原因是 成本。采用商业云服务，不仅能够提供最前沿的商用云服务，而且价格更为低廉，这对于急于提高网络服务且面临军费削减的美国国防部而言，简直没有更好的选择了。

基于安全性考虑：除了成本之外，军事信息系统的安全性是重中之重。在DISA的数据中心内部构建军事云的最大优势在于，其位于国防部网络安全领域的架构之内。简言之，这块“云”无论多大，都会控制在相对封闭的空间里。该边界将由一组 联合区域安全栈（JRSS）负责防护，大大简化了将云服务连接到国防部的涉密网和非密网的业务。

通过让供应商在军事设施上构建和运行“军事云”2.0，仅限军事客户可访问其网络、服务器、存储（器）等计算资源。使得美军在享用最前沿的云服务的同时，亦能保证其核心数据的安全。

尽管如此，最核心的军事机密，如核武器的指挥控制信息等却不在数据中心里面。

如果这一项目可行并取得较好效果的话，那么未来面向更多军事设施、更多任务区司令部、更多军种的 军事云3.0、4.0将会成为现实。

4）军事云发展路线图

军事云2.0的构建将分两个阶段：

• 第一阶段(2016年底开始)：将单个商业云提供商的云服务接入两个军事数据中心。在这个阶段，云服务将只处理 未加密数据。

• 第二阶段：云将扩展到多个国防部数据中心，并将开始处理 加密和未加密的数据。军事客户将能够通过DISA的目录购买军事云2.0服务。

军事云的发展路线图如下所示：

5）军事云迁移进展

军事云迁移工作的最新进展包括：

• 2019年4月，DISA的强制将非军事国防机构迁移至MilCloud 2.0的工作刚刚过半。

• 2019年夏天，MilCloud 2.0将推出针对机密数据的 影响等级为6的 SIPRNet。对于 非机密工作负载，MilCloud已经能够支持 影响等级5。

• 目前，在MilCloud 2.0中已经有超过2,000个工作负载，但是其中大多数机构都处于“正在了解什么是MilCloud 2.0”的阶段。

• 到2019财年末，像美国国防后勤局这样的“第四产业”机构将开始迁移至MilCloud 2.0。

八、绝地云（JEDI Cloud）

1）绝地云的背景

重要意义： JEDI云（联合企业防御基础设施云）是获得 通用云的重要第一步，它能够为国防部的大部分任务提供基础设施和平台服务。

现有问题：一个分散的、主要是场内部署的计算和存储解决方案，迫使作战人员进入冗长的数据和应用程序管理过程，损害他们快速访问、操作、分析 前线和战术边缘数据的能力。最重要的是，目前的环境并没有优化到使用先进能力如 机器学习和人工智能来支持大型跨领域分析，以满足当前和未来的作战需求和要求。

军事需求：为了保持美国的军事优势，DoD需要一个可扩展的、安全的云环境，该环境将国土扩展到 全球战术边缘，并能够快速访问计算和存储能力，以相关速度应对作战挑战。DoD需要这些基础设施和平台技术来利用现代软件，跟上商业创新的步伐，并大规模利用人工智能和机器学习能力。

项目范围：JEDI云服务将在 所有保密级别提供，从前线到战术边缘，包括断开连接和严苛的环境，以及闭环网络；包括关键性核武器设计信息及其它核机密。因此，美国国防部要求JEDI中标承包商必须能够通过全方位的 最高机密政府安全许可，例如美国能源部提出的用于保护受限核数据的“Q”与“L”许可。

基本设想：按照美国防部设想，JEDI云战略是一套几乎在 任何环境中皆可供作战人员使用的“全球体系”——从F-35到前线战场皆可囊括，包括与武器系统、作战、情报以及核武器相关的信息。这意味着供应商一方需要在环境内构建起几乎一切解决方案。

绝地云（JEDI）已经出现在较新版的JIE框架图中：

2）绝地云将直接服务战斗人员

绝地将向前线战斗人员提供战场信息，这些信息过去仅服务于将军级别人员。军方需要明确这一事实，即信息不再仅用于供高层领导作出决定并随后向战场上的士兵、水手、海军陆战队员以及空军士兵下达命令。

绝地的问世，将服务于那些在战场需要掌握信息才能作出正确决定的广大人员，其允许战士在需要的时间和地点获得数据，以确保作战人员取得战斗胜利。

绝地将包含加固的微型服务器，该服务器小到可以装入悍马甚至是士兵背包，从而确保前线部队能够快速访问网络中所有数据。该系统的较大版本将搭载在舰船上或装进集装箱，形成战区“快速部署数据中心”。

绝地掌握全球信息，为作战人员提供了各种新的可能性：通过云连接向前线部队提供数据，数据可能会直接进入到F-35、M1“艾布拉姆斯”坦克甚至潜入潜艇等。

3）绝地云的目标

绝地云的8大目标如下：

• 可用和弹性服务；

• 全球可访问；

• 集中管理和分散控制；

• 易用性；

• 商业平价；

• 现代化和弹性的计算、存储和网络基础设施；

• 强化安全；

• 高级数据分析；

4）项目争议

五角大楼计划投资近 100亿美元构建JEDI云，以 十年为周期，委托云战略小组负责整合全部云采购事务。

这个项目存在的巨大争议是：云战略小组拟将全部合约授予同一家云服务供应商，即 单一云策略。

这个争议的背后是 多云与单云之争：

我们一般认为：美国防部采取的是多云策略。 多云策略的主要理由包括：

• 第一个重要原因是成本管理：企业相信通过选择不同的云服务组合可以降低总体成本。

• 第二个重要原因是避免云锁定和灵活性。

• 另一个重要现实原因是容灾和备份。

另一方面， 单云策略的赞成者认为：

• 第一大好处是安全。在单云环境中，安全职责划分比在多云环境中更容易实现。此外，单一云服务供应商可以更容易、更全面地满足美国国防部在全球各地的安全和管理需求以及整体安全策略的规划、制订、实施和更新。

• 第二大好处是简化接口、标准和管理。美国国防部内各种机构林立，单一云服务商便于与各个分支机构对接，更容易在总部和分支机构之间建立整体的接口、标准和管理流程。如果企业想走多云之路，最基本的是要实现最底层的标准化，但现实是不同的云平台都不一样。

• 容灾和备份方面也有重大好处。通常来说，每一家云服务商的容灾服务都不是为多云环境而设计的。反过来，与单一云服务商合作，更容易设计和满足美国国防部这样超大型组织的各种容灾需求。

各说各有理，也正是这个争议，使得绝地云项目备受关注。所以，本期的标题也贴上了“备受关注”的标签。

5）招标进展

2017年9月：由国防部副部长帕特里克•沙纳汉（Patrick Shanahan）提出绝地云项目。

2018年3月：美国五角大楼发布JEDI项目，也被称为“战争云计算”系统。当月，五角大楼宣布它收到了来自产业界的1000多条反馈，许多人谴责赢家通吃计划。

2018年10月：JEDI项目的投标截止于2018年10月12日，微软公司于当日提交了投标方案。但同日，署名为“微软员工”的新账号在Medium网站上发布公开信：拒绝将AI技术用于增强杀伤力，施压微软公司放弃投标美国国防部JEDI项目，声称“我们加入微软，是希望为这个星球上的人们光辉未来赋能，并不是为了终结人类生命亦或助纣为虐”。在此背景下， 谷歌退出JEDI项目竞标，并且表示该项目违背该公司的AI伦理准则。

2018年12月：亚马逊的竞争对手Oracle提起 诉讼，指控就职于亚马逊的五角大楼前雇员Deap Ubhi帮助设计了这份云合同，使其更利于亚马逊。

2019年4月：美国国防部官员本周决定，只有两家云供应商能够满足项目的要求：亚马逊、微软。亚马逊的AWS被认为是最有可能拿下JEDI合同的供应商。

2019年7月：法院支持五角大楼，称所谓的冲突对采购的完整性没有影响。

2019年8月：新国防部长（马克•埃斯佩尔）上任后，重启了对该项目合同的审查，并暂停了该合同流程。埃斯佩尔部长向国会和美国公众承诺，他正在评估这一项目的流程，在他完成评估之前，不会对该项目做出任何决定。

后续如何，拭目以待。

九、美军云练习簿

实现云迁移，对美军来说，也非易事。要不然，DISA怎么会印制这么可爱的云练习簿呢！

十、总结和预告

1）问题和思考

• 如何看待军事商业化道路：美国军方总是试图与美国联邦政府保持一致，而不是总想着另辟蹊径、别出心裁。所以，才会最终考虑吸收 商业云，增强国防部的云能力。正是因为美国政府和美军整体上坚持采用商用现货，才确保他们的产品和技术跟上商业创新的步伐。

• 如何看待战场态势感知需求：有人认为态势是只给统帅和将军看的，也有人认为态势是可以给 前线战斗人员看的。前者是一种决策需求，而后者算得上是保命需求。不论哪种需求更强烈，肯定是后一种需求的人数更多，也更容易推动战术边缘技术的发展。

• 如何看待军民融合的正确姿势：没怎么听到美国人大谈军民融合，也许是他们早就过了喊口号的时代。但是，仅仅想到美国防部在官网上不断放出国防部网络安全技术资料进行宣传并接受广泛质询，笔者就真的感到惊讶无比。惊讶的真正原因在于，笔者对本土的了解实在令人汗颜。这多多少少说明一个问题：当 BM压倒 安全之后，安全是很难翻身的。

• 如何看待军事安全需求的来源：安全需求一般源于法律合规驱动、安全事件驱动、信息化驱动、业务驱动等主要因素。目前看来，制约军事安全发展的主要因素是信息化驱动、业务驱动因素。军事领域的核心业务是打仗，如果不打仗，它的业务价值是难以发现的，自然也很难驱动安全发展；业务驱动不足，还会导致信息化驱动不足，比如网络联通性不足、云和大数据发展不足，这些都直接导致安全的土壤不够肥沃。

• 如何看待美军网络安全研究的意义：也许美军的网络安全经验不能为我军所用，但一定可以 为我民所用，因为民间政企客户的网络基础设施、业务发展态势、理念开放程度、安全意识层次已经具备了这样的条件。这也是笔者做此研究的最大欣慰。

以上观点，仅代表个人。

2）下一步设想

上面的思考，多少令人感觉这个系列快要结束了。不得不承认，笔者的确有尽快收场的想法。

在JIE的关键领域中，本系列截止目前的介绍，已经基本覆盖了美国国防部网络安全的主要领域。

而网络规范化、企业运营、企业服务、数据中心整合、任务伙伴环境、移动性等内容，尚未系统介绍。这些内容多少都与美军网络基础设施和上层业务关系更大，看似与网络安全的关系不是很紧密，但其实很符合我们关于业务安全甚至内生安全的提法。会在以后择机概述。

与做文章相比，我还是对研究技术本身更感兴趣。采用二八原则，以最小成本搞清楚问题的重点，一直是笔者的追求。

也许，我会把这个系列稍作搁置，把我更关心的安全架构和安全自动化提上日程。

3）祝愿与感谢

在2019国庆来临之际，提前祝大家节日快乐！

也由衷感谢我的部门同事：你们的见识能力和人格魅力，无与伦比。

声明：本文来自蓝海科学，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。