全球威胁格局正在不断演变,通过数字现代化战略来应对大国的竞争成了各国国防部的当务之急。2019年7月12日,美国国防部发布《国防部数字现代化战略:国防部2019-2023财年信息资源管理战略规划》,该战略指出国防部提高网络安全的方法,并记录在《网络安全参考架构》中,方法主要包括:企业周界保护,移动终端安全,中点安全,企业端点安全,数据安全,大数据平台,身份、凭证及访问管理等。本文将详细介绍上述方法。
企业周界保护
企业周界保护(Enterprise Perimeter Protection,EPP)整合了网关安全服务,通过集中管理的方式降低成本、提高安全性。EPP在Internet、任务伙伴网络和商业云服务之间建立保护屏障,提供根据安全策略发现、检测、阻塞和手机流量的能力。EPP为通过网络接入点路由网络流量,通过任务伙伴网关路由任务伙伴流量,通过移动网关路由未分类网络和分类移动端用户流量,通过云端接入点路由商业云流量提供安全组件,该组件是利用共享的企业网络安全组件。
移动终端安全
基于Windows设备的传统终端安全技术不适用于移动设备,因此必须提高商用移动安全技术来抵御移动端所面临的安全威胁,在美国国防部安全指南的适用范围内评估、部署移动安全技术。
中点安全(Midpoint Security)
美国国防部保障中点和区域安全的核心是联合区域安全堆栈(JointRegional Stacks,JRSS)策略,它是新形势下美军安全体系建设的一种新模式。IRSS保障虚拟网络的安全,替代或补充由作战司令部、服务和代理机构运营的网络安全系统,集成市场成熟安全产品,以确定的编配模型构建集约化、标准化、全功能的安全防御框架,部署在各业务局和军事基地边界处,对进出特定区域的网络流量进行编排、监测和防御,在降低人力和技术等总投入成本的情况下,提高美军网络整体防御效能。
企业端点安全
企业端点安全性是集成人员、流程和技术一起,共同阻止对端点的未授权访问、识别和删除恶意代码和未经授权的软件,防止未授权软件和流程的执行。端点安全利用并集成了国防部部门之间的协作,如遵守连接(Comply to Connect,C2C)、遏制政策、可见性和评估工具。C2C是美国国防部的安全框架,该框架旨在使各机构能够持续识别网络安全风险,确定这些风险的优先级,并首先缓解最严重的问题。
此外,端点安全性保护连接国防部信息网络(DoDInformation Network, DODIN)的授权平台或设备,拒绝授权用户使用任何经过身份验证的设备随时随地安全访问联合信息环境(Joint Information Environment, JIE)资源。美国国防部正在整个Windows 10 SHB操作系统上实现标准化,确保该部门能够利用通用的应用程序更快的修补软件,并以低生命周期将所有国防部计算机配置为批准的安全标准。
数据安全性(用于数据中心和云)
大数据平台(Big Data Platform,BDP)是一个安全、可扩展、灵活和开放的基础设施平台,旨在提供分布式计算解决方案,解决大数据进入企业的过程中如何适应企业的生长环境,与企业已有的生态系统共存的问题。美国国防部BDP作为一个公共平台,可以支持国防部的各种网络空间任务,可以支持非保密互联网协议路由网(Non-classified Internet Protocol Router Network,NIPRNET)和机密互联协议路由网(Secure Internet ProtocolRouter Network, SIPRNET)环境下各种系统和传感器的结构化和非结构化数据执行聚合、关联、历史趋势和取证分析。DODIN运营和网络空间防御作战(Defensive Cyber Operations,DCO)任务要求能够将企业规模的数据转换为简单的、动态的、可视化的,以描述事件关系并满足一定的要求。
相关部门打算利用常规数据分析方法为DODIN和DCO运营提供企业态势感知,这项举措将为新闻部带来以下好处:
(1)全面了解所有传感器警报以及端到端(Internet到主机)的数据流;
(2)提供DCO状况和漏洞状态信息;
(3)了解受攻击者捕获信息影响的任务,并中断系统;
(4)根据历史趋势和模式预测攻击。
身份、凭证及访问管理
(Identity,Credential,and Access Management,ICAM)
美国国防部对身份、凭证及访问管理(Identity,Credential,and Access Management,ICAM))方法包括四个内容:
(1)数字身份管理:建立数字身份和相应的生命周期管理。
(2)凭证管理:发行物理或电子令牌作为实体权威数字身份的代理。
(3)身份验证:通过凭证验证身份,并将该凭证确认为真实凭证。公共基础设施(Public Key Infrastructure,PKI)是国防部当前身份验证技术的解决方案。但是,当无法使用PKI时,可以使用多因素身份验证和身份联合服务。
(4)授权:根据数字策略、有关请求身份和所访问资源的权威信息来批准访问。
在这种ICAM方法下,所有访问决策均基于权威的身份信息,并且这些决策可动态配置为支持不断变化的任务需求。此外,审计还支持实时和历史取证。
总结
通过实施上述方法,国防部在保护网络安全方面可以达到较为理想的效果,具体结果包括:通过通用流程和功能,国防部信息网络将以单一虚拟信息环境被保护;网络空间防御感知并应对外部和内部威胁,采取适当的补救、减轻和恢复措施;国防部信息网络作战部队的指挥控制由整个网络的共享网络态势感知支持;整个国防部的IT安全研究结果得到最大程度的共享和复用;国防部交付了可靠的云计算环境,确保在面临先进持续威胁时继续执行任务;支持国防部信息企业和运营资产的控制系统对网络攻击具有弹性。
参考文献
[1] DoD Information Resource Management Strategic Plan FY19-23.
[2] https://www.secrss.com/articles/12364.
作者:冯越
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。