联合信息环境(JIE)是美军2011年提出的概念,一直推行至今,影响深远。联合信息环境的目标是实现“三个任意”的愿景:美军作战人员能够用任意设备、在任意时间、在任意地方获取经授权的所需信息,以满足联合作战的需求。

联合信息环境(JIE)是在全球信息栅格(GIG)基础上的继承、发展、提升与创新,将美军信息环境建设的导向从“网络为中心”转向“数据为中心”。

由于联合信息环境具有企业级信息环境的定位和特点,其中所涉及的网络安全架构和技术实现原理,对企业级安全体系建设具有重要的参考和借鉴意义。

一、JIE概述

1、JIE简介

联合信息环境JIEJoint Information Environment)是一个单一、联合、安全、可靠、敏捷的指挥、控制、通信、计算企业级信息环

美军JIE的目标是实现“三个任意”的愿景:美军作战人员能够用任意设备、在任意时间、在任意地方获取经授权的所需信息,以满足联合作战的需求

JIE整体框架如下图所示:

2、主要研究工作

JIE现代化关键领域包括:

1)网络现代化/规范化,如光载波升级、多协议标签交换(MPLS)等;

2)网络安全架构(SSA/CCA),含联合区域安全栈(JRSS)、联合管理系统(JMS)、边界、网络、数据、端点安全等;

3)身份和访问管理(IdAM/ICAM),如动态访问和实体发现、活动监控等;

4)企业级运行,如JIE管理网络(JMN)、网络指挥控制(C2)等;

5)企业级服务,如国防企业电子邮件、协作能力、通用应用等;

6)云计算,如安全云计算架构(SCCA)等;

7)数据中心整合,如核心数据中心(CDC)等;

8)任务伙伴环境(MPE),如联盟信息共享、MPE信息系统(MPE-IS)等;

9)移动性,含国防移动非涉密能力、国防移动涉密能力等。

我们按照上述关键领域进行了针对性、持续性研究,形成了《美军网络安全》系列(见文末 微信链接)。

本篇综述是对《美军网络安全》系列研究内容的精简整理和查漏补缺一方面进行了大幅精简压缩,提炼了要点;另一方面补充了相关内容,包括研究启示、安全配置管理(SCM)、企业级运行中心(EOC)、数据中心整合、企业级服务、任务伙伴环境(MPE)等内容,基本覆盖了JIE的所有关键领域。尽管其中一些是非安全领域,涉及JIE的网络、数据、业务、应用等。从内生安全的角度看,也非常值得了解。

3、本文目录

本文作为对美军联合信息环境(JIE)的综述和启示,目录如下:

  1. 概述

  2. 研究启示

  3. 单一安全架构(SSA/CCA)

  4. 联合区域安全栈(JRSS)

  5. 身份和访问管理(IdAM/ICAM)

  6. 安全云计算架构(SCCA)

  7. 跨域解决方案(CDS)

  8. 安全配置管理(SCM)

  9. 企业级运行中心(EOC)

  10. 数据中心整合

  11. 网络规范化

  12. 企业级服务

  13. 任务伙伴环境(MPE)

二、JIE研究启示

通过对JIE研究,我们可以得到一些启示:

1、对企业安全具有重要参考价值

“企业”概念:根据美国CNSS(国家安全系统委员会)术语解释,企业(Enterprise)是指有明确的任务/目标和边界的组织,使用信息系统来执行该任务,并负责管理自身的风险和性能。从系统论的角度看,Enterprise指某种为特定任务目的建立起来的复杂大型组织机构复杂组织体

美国国防部引入1920年诞生的经济术语“enterprise”,是为了表示国防部或其组成部门要像工业企业那样管理和运行,讲求效率和效益,各个层级能够做到数据、信息和情报共享,其最终目标是把国防部从工业时期的组织结构转变为基于信息和知识的企业。美国国防部还经常将“企业”与其他词汇组合而形成一系列新的词组,如信息企业、企业服务、企业信息环境和企业架构等。

据此,我们认为:美国国防部的安全建设经验不仅值得我军借鉴,也同样值得大型企业客户借鉴

但需要特别注意的一点是:在借鉴的过程中,我们不能只盯着JIE的现状和未来看,还要看JIE的过去。其原因在于:我们当前所处的网络和安全成熟度,可能还处于美军早些年的水平

从JIE的安全解决方案中,我们总结出一些基本的安全准则:

1)缩减攻击面是安全防护的永恒主题。

在缩减攻击面的同时,可以加大安全资源密度,即将有限的安全力量集中至主要的网络出入口,以提高安全检测的覆盖率和资源效费比。减少攻击面是JIE(联合信息环境)的核心原则之一,单一安全架构(SSA)正是贯彻这一安全原则的产物,JIE使用联合区域安全堆栈(JRSS)减少安全区域的数量,从1000多个网络访同点减少到50个。

2)纵深防御永不过时。

JIE所展示的边界防御(互联网访问网关)、中点防御(JRSS)、端点防御(HBSS)体现了防御的纵深。安全云计算架构(SCCA)中的四种组件,即云访问点(CAP)、虚拟数据中心安全栈(VDSS)、虚拟数据中心管理服务(VDMS)、可信云凭据管理器(TCCM),同样把纵深防御的思想展示得淋漓尽致。

3)执行强身份认证和访问控制。

美国国防部的身份与访问管理(IdAM)是这项原则的典型代表。基于零信任原则,降低网络的匿名性,降低敌手网络渗透和横向移动的机动能力;只有经过授权的设备可以访问网络、建立信任。

4)持续加强安全配置管理。

加强资产、配置、漏洞、补丁管理,减少网络的内部和外部攻击向量。安全配置管理(SCM)是安全能力的基础,缺少它,一切只是空中楼阁。

5)标准化是提升安全的重要原则。

推动安全设备接口的标准化和网络事件报告方式的标准化,将提高对网络事件的快速检测和快速反应。单一安全架构(SSA)的基本思想是标准化安全实现,以减小网络攻击面,主要是减小以往由于美国国防部各机构和各军兵种各自为战的多种非标准化安全实现所导致的大量的网络攻击面暴露。

6)安全需要全局化(企业级)、集中化的态势感知、分析、决策和响应能力。

JIE通过汇聚国防部网络的分布式数据,将安全事件的整编分析、安全策略的生成与下发,都依托提供“统一服务”的业务云核心数据中心(CDC)进行,强调集中式安全态势感知、分析和策略生成的作用,并通过JIE管理系统(JMS)进行管理和响应,从感知全局安全态势的顶层角度执行安全管理运维逻辑,提升安全手段的组织和协调效能。

7)坚持安全的实战化、实用化原则。

安全建设的终极目的,是能发挥实际效用,经受实战检验。从防御体系和关键技术的角度审视,联合区域安全堆栈(JRSS)并无太大新意。其实质是基于安全实用化思想,以打造“管用、好用”的安全能力为目标,有机结合通信、安全、管理领域的相关技术,在统一安全框架的指导下能够推进安全能力的深化发展。

8)安全防御要兼顾边缘

JIE网络规划的突出特点是实现具有简洁高效的通用数据路由转发功能的网络中枢,而将具体的用户和高层网络应用服务放置在网络边缘,便于异构网络的接入与新业务的部署。与其对应,联合区域安全栈(JRSS)的安全控制重点也随之向边缘、向“端系统”推移,在最靠近安全威胁的地点集中安全资源、强化安全控制。实际上这也是随着信息化往边缘的衍生,特别是美国国防部在前线支撑作战,所以其安全防护紧随IT向边缘推进。这正是安全与IT融合的内生安全思想的反映。

9)尊重商业化的创新发展。

美国国防部统计表明,美国国防IT项目的完成周期,通常是工业界IT更新换代周期的2~3倍。也就是说,当国防IT项目完成时,工业界又完成了2轮技术升级换代。这使得美军更愿意与美国商业供应商产品保持一致,而不是总想着专门定制。2016年发布的《国防部网络安全准则》中的一条准则就是“与网络安全/计算机网络防御服务供应商保持一致”。因此,国防部才会考虑采用单笔合同超过100亿美元的商业云项目——绝地云(JEDI),以增强国防部的云能力。也正是因为美国政府和美军整体上坚持采用商用现货,才确保他们的产品和技术跟得上商业创新的步伐。

2、安全需要从顶层设计

美国国防部JIE框架本身,是网络、业务、安全的综合架构,是自上而下体系化设计的代表。JIE框架中安全防护的最大特色是其整体安全架构,即单一安全架构(SSA)。通过它将JIE整合至统一安全架构。在信息系统持续集成和整合的大背景下,逐步实现各军兵种现存安全架构的整合统一,进而解决在实施任务保障时存在的机构重叠、职责不清等问题,消除安全系统烟囱和网络安全边界,在降低成本的同时提高效率。

正是由于单一安全架构(SSA)奠定的基本安全思想,才会进而采取联合区域安全栈(JRSS)的标准化实现,解决中间点安全的问题;采取安全云计算架构(SCCA)的标准化要求,解决云安全问题;采用零信任架构(ZTA)思想,解决身份与访问安全问题。

安全要从顶层进行体系化设计,要从安全规划和安全架构做起。每个企业级用户都应该有适应自身业务特色的安全架构,才能有自己的安全“主心骨”和“脉络”,才能实现自身安全的持续演进。

关于CISO(首席信息安全官)和CIO(首席信息官)开展安全规划建议,可参见《以安全规划助力CISO建设新安全体系》《CIO的关键任务是整合安全与IT运营》

3、安全需要从基础做起

美军之美,美在架构;美军之强,强在基础;架构虽好,基础需强。

JIE的整体蓝图和愿景是美好的,是每个企业用户都渴望的目标。单一安全架构(SSA)的思想也是美好的,是每个企业用户都想拿来主义的安全架构。

然而,国内和美国的网络成熟度有很大的差别。美军经过多年系统化的建设和稳步的推进,其网络和安全基础设施已经达到了比较高的成熟度,而这种成熟度是其进一步展望未来、实现“三个任意”愿景的重要基础。而国内的网络和安全基础设施情况,可能远未达到可以架构JIE和SSA愿景的条件。总之,当我们抬头看天、瞄准方向之后,仍需低头看地,步步为营。

先看JIE与GIG(全球信息栅格)的关系。可以说,JIE的前身是GIG。美国国防部自己的说法是:从GIG到JIE,意味着美军基础设施的建设模式从部门间相互协同转变为真正的一体化,美军从“以网络为中心”转变为“以数据为中心”。并在大多数场合否定GIG的作用。但是请思考一下:如果没有网络连通,怎么可能有数据的汇聚?!没有曾经的“网络为中心”,又何来如今的“数据为中心”?!所以,客观地看,GIGJIE的关系,就像经济基础与上层建筑的关系。正是由于GIG建网络(如DoDIN)、建系统,提供了良好的网络基础设施,JIE才得以进行上层的整体联合、整体运行、整体应用间集成,再从应用往数据和共享的维度转,到达数据这个层面,实施整合、共享、集约化,才能向其“三个任意”的愿景演进。至于美军为何刻意否定GIG,想想为何每次对JRSS(联合区域安全栈)的否定,都会带来其预算的提升。

除了网络和系统的坚实基础,美国国防部十年磨一剑的重要安全基础工作是安全配置管理(SCM),它全面打通了以资产、配置、漏洞、补丁为核心的四大流程。而安全配置管理(SCM)的工作主要体现在GIG建设时期,其公开资料相对陈旧,与当前安全界广泛流行的态势感知、威胁情报、追踪溯源相比也显得很“土气”。如果不回查GIG时期的SCM资料,将难以理解美军在这方面的设计思路。

值此“十四五规划”之际,强烈建议军政企用户直面隐性问题,打牢安全基础。

4、安全需要以实战化运行为导向

安全建设应以能力建设为导向,安全运行应以实战化运行为导向安全的驱动因素包含合规、业务、威胁等主要方面,但如果安全仅仅以合规为导向,则难免落入安全产品堆叠却无法发挥实效的窘境。

安全需要形成体系化、实战化、常态化安全能力体系化强调了整体设计,实战化强调了运行效果,常态化强调了力量配置。这里的实战化并非指狭义的攻防,而是能输出有效能力,能够应对环境和敌情变化。

在JIE框架中,非常强调安全运行能力的建设。其多级部署的运行中心(即全球/全局级运行中心GEOC、区域级运行中心EOC、局域级运行中心)分别实现了对美军全球、区域、局域级的网络空间可见性和可控性,分别遂行全球性、区域性、局域性的网络空间行动,为网络司令部、各作战司令部、各基地提供所需支持。此外,美军在各级单位中建立了网空防御力量,应对日益增长的网空威胁,提供防御性作战能力。

面向十四五之际,军政企客户也应以自身力量,结合第三方安全厂商资源,建立安全运行团队,逐步形成实战化运行能力。

5、安全控制需要深度结合、全面覆盖

安全没有捷径,攻防并非全部。以攻击能力推导防御能力,逻辑上并不能自洽。攻击可以单点突破,而防御却需要全面覆盖。我们经常把攻击比作矛,把防御比作盾。矛是点,盾是面。两者的覆盖面有显著差异性。从美军的现实看,DISA(美国国防信息系统局)长期负责网空防御作战;但在2010年,DISA的网空防御职能曾移交给新成立的美军网络司令部;然而到了2015年,DISA再次重新统领美军的网空防御作战。这表明,攻击能力最强的美军网络司令部并非网空防御力量的最佳统领。

安全控制应坚持完整性原则,需要深度结合、全面覆盖。

深度结合是指安全能力需要与信息化建设紧密结合。信息化建设包括各个层面,如物理主机层、Overlay网络层、虚拟化层、云管层、应用层、数据层等,安全建设要与所有这些层面进行深度结合/聚合/融合。如果信息系统在设计之初就已经内生/内置/内嵌了相应的安全措施和控制,则是最佳的,只需接受安全管理和运行系统的对接、管理和控制;如果信息系统自身欠缺相应的安全机制,则需要通过第三方安全措施进行补充和加固,或者进一步要求信息系统开发相应的内生安全机制。

全面覆盖是指安全能力要覆盖所有的业务场景,包括连接、访问、共享、数据、服务、指挥控制、态势感知等。比如对于云数据中心的安全防护而言,需要覆盖云数据中心边界安全(数据中心内部接入边界、专有云接入边界、公有云接入边界、外部网络接入边界等)、云基础平台安全(云平台管理、虚拟化管理、虚拟化及资源、物理机、平台基础网络等)、云服务交付安全(云边界、应用系统边界、DMZ、虚拟化主机、容器等)等各方面需求。

深度结合深深反映了内生安全的思想。全面覆盖反映了有备无患的基本认识。这次肺炎疫情期间,有些地方平时用而不备,导致了疫时仓促应战;有些地方平时备而不用,方能疫时快速应急。

6、安全需要向零信任架构(ZTA)演进

企业客户一直信奉边界保护的理念。这并没有错,但仅仅单纯依赖网络边界抵御威胁是不够的,面对高级别威胁层出不穷的现代环境,需要增加身份边界加强防御。而零信任架构正是在传统网络边界防御的基础上,增加了身份边界防御的能力。虽然看起来这条新的身份边界并非什么颠覆性的新技术,但安全行业的历史表明,每一条安全新防线,都是一次质的提升和飞跃。

当然,从继承和演进的角度看,零信任的核心之意是精细化和动态化。即将过去的相对粗颗粒度的、静态的防御机制,从最早的网络级,到后来的子网级或业务网络级,然后再到应用级,再到应用中的操作级,再往后到达数据级。这个发展的过程,就是一个越来越细粒度、越来越动态的过程,而且要以信任体系为支撑。

现代企业环境正在不可避免地向云环境迁移,而零信任的特性非常适合云环境部署。零信任关于网络不可信、不受控的假设,特别适合云基础设施。特别是在使用商业云时,如果云基础设施本身受到威胁,则零信任架构可提供保护,避免敌手在我们的虚拟网络中扎根。

美国国防部不断加强的身份与访问管理(IdAM)实践,已经充分展示了美国国防部对身份边界的重视。在美国国防部2019年发布的《5G生态系统:对美国国防部的风险与机遇》、《美国国防部数字现代化战略:国防部信息资源管理战略计划FY19-23》、《国防信息系统局(DISA)战略计划2019-2022 》、《零信任架构(ZTA)建议》等报告中,越来越明确地表明美国国防部要向零信任架构演进。尤其是2019年10月27日国防创新委员会(DIB)发布的《零信任架构(ZTA)建议》报告中,第一条建议就是:国防部应将零信任实施列为最高优先事项,并在整个国防部内迅速采取行动。

美国联邦政府同样大力推进零信任架构的标准化和实施落地,具体参见ACT-IAC(美国技术委员会-工业咨询委员会)于2019年4月发布的《零信任网络安全当前趋势》,NIST(美国国家标准与技术研究院)于2019年9月发布的《零信任架构标准(草案)》,NIST于2020年2月发布的《零信任架构标准(第2版草案)》和两个版本的详细对比《零信任架构标准(第2版草案)全文对比》

考虑到零信任架构的体系性,建议军政企客户在选择零信任安全集成商时,应充分考虑其对零信任架构的理解和积累,而不能只从网络、应用、云平台单方面考虑,在没有整体安全架构视野的情况下,零散拼凑零信任解决方案和产品,导致零信任的实施难以落地,效果难以达成。

作为零信任理念的引入者和倡导者,奇安信身份安全团队组织翻译了《零信任网络》,已经面市。同时,奇安信积极探索零信任架构的落地实践,已经推出零信任安全产品体系和解决方案,并在国内率先试点落地。

三、单一安全架构(SSA/CCA

减少攻击面是美军网络安全的关键原则之一,而单一安全架构(SSA)正是贯彻这一安全原则的重要产物。由于多种非标准化安全实现带来大量的国防部网络攻击面暴露,所以SSA的基本思想是标准化安全实现,以减小网络攻击面。

单一安全架构(SSA)在较新文件中可能被称为CCA(一致网络安全架构)。

1、SSA定义

SSA(单一安全框架)是一个整合网络防御的安全集成框架,其设计目标是在需要执行网络防御作战的任何时间段内实现JIE网络的积极防御。SSA通过缩减网络攻击面,集成独特的路由算法,优化网络响应时间和同步复杂度,使得需要部署安全设备的数目大大降低,实现最大化作战效率。

JIE SSA是一个联合的国防部安全架构,为美军国防部所有军事机构的计算机和网络防御,提供通用方法:

  • (1)使用标准化的安全防护功能集/套件,在最佳位置开展防御;

  • (2)移除冗余的不必要的信息保障手段,以提高效能;

  • (3)通过集中式计算机网络防御数据库,控制用户数据流动,并向B/P/C/S(基地/哨所/营地/台站)提供全局态势感知;

  • (4)在服务器、用户资产与骨干网分离时,保护网络飞地;

  • (5)在JIE指定的美军国防部EOC(企业级运行中心)中,提供用于监视和控制所有安全手段的工具集。

2、SSA目的

SSA的目的是打破军兵种间分割和安全防御的各自为战,整合成一个安全集成框架,即:

  • 将最佳的CC/S/A(作战司令部/军种/机构)的信息保障能力和实践,应用于JIE安全体系结构。

  • 用户在SSA支撑下,能够连接以前从未访问过的外部网络,从而获得更灵活的战术优势。

  • SSA通过规整网络安全边界,减少外部攻击面、管理标准化和操作、技术控制,确保在所有任务背景下美国国防部信息资产的保密性、完整性、可用性,同时能够促进快速攻击侦察、诊断、控制、响应能力的实现。

  • 试图解决在实施任务保障时存在的机构重叠、职责不清等问题,消除系统烟囱和网络安全边界,减少暴露于外部的攻击面,实现参战单元的信息互通及快速、安全的数据共享,推进安全机制和协议规范的复用,降低已有系统改造和集成的耗费,从而使得信息基础设施管理员们更方便地监控和发现潜在安全威胁,并更迅速地应对。

3、SSA的安全能力

SSA的安全能力包含了JIE中所有安全能力:国防部企业边界保护、端点安全、移动端点安全、数据中心安全、网络安全态势感知分析能力、身份和访问管理。如下图所示:

美国防部网络区分为NIPRNet(非密网)和SIPRNet(涉密网),SSA作为整体的安全架构设计,在这两种网络中的安全架构本质上是一致的。但由于两种网络的安全等级差异,对应的SSA的能力要求还是有所不同。

四、联合区域安全栈(JRSS)

单一安全架构(SSA/CCA)是美国国防部JIE的整体性网络安全架构。联合区域安全栈(JRSS)则是SSA最重要的落地实现

JRSS旨在将网络安全集中化和标准化到区域架构中,而非每个军事基地、哨所、营地或工作站的不同成熟度和生命周期的不同阶段的非标准化架构。

1、JRSS(联合区域安全栈)背景

为了切实贯彻和推进SSA的实施,美陆军在整合升级网络、加强网络防御的同时首先开发了JRSS。

作为国防部网络现代化工作的一部分,JRSS将解决各军种网络安全框架间的差别问题,为美军国防部网络安全建立标准统一的网络安全框架支撑设施,将作为美军国防部网络的中枢神经点,连接数百万的用户,确保通用安全能力的输出,实现全军网络间的透明化,快速应对新兴网络威胁。

2、JRSS概念和思路

JRSS由一系列相辅相成的安全站点、设备和机制构成。JRSS是一套执行防火墙功能、入侵检测和防御、企业管理、虚拟路由和转发(VRF)并提供大量网络安全功能的设备。

“区域安全栈”的名称反映了JRSS最大的特点是安全栈实现方式区域化部署方式

  • 区域化部署:在SSA规范下,美军将全球基地划分为若干个区域,每个区域对应一个JRSS。通过部署JRSS,网络的安全性被集中到区域架构中,而不是每个军事基地、哨所、营地或站点的本地分布式架构中。利用JRSS,美军国防部预计减少原有的1000多个网络访问入口,收缩为全球约50个地点的JRSS站点。

  • 区域化配置管理:JRSS采用集中式的安全配置管理和标准化的安全工具、策略和行为,来取代之前各军种在基地、前沿阵地、指挥所等地实施的分散式配置管理和非标准化做法,从顶层角度统一负责各自区域内各军种的网络安全事务。

  • 安全技术栈:JRSS贯彻了层次化的安全防护思想,JRSS功能覆盖了TCP/IP的多个技术栈层次,能够在数据链路层、网络层、传输层和应用层等各个层面并行实施安全能力。通过JRSS,美军将现有的全球边界安全基础设施,从数以千计的本地安全栈,集中到少数区域化的区域技术栈中。

JRSS部署位置:JRSS部署在DoD MPLS网络的边缘处,包括B/P/C/S(基地/哨所/营地/台站)、DISA DECC(企业防御计算中心)以及CDC(核心数据中心)等子网的接入处,对所有进出的流量进行检测和控制,以达到预设的安全目标。

下图反映了JRSS的重要地位和部署位置:

3、JRSS的安全能力

每一个JRSS站点都包括支撑防火墙、入侵检测和防护、虚拟路由和转发、大数据分析处理和其它安全能力(如审计)等功能的软硬件设备。

从整体上看,JRSS分为两类能力:安全技术栈能力+安全管理能力

JRSS有体现了明显的标准化“套餐”思维。JRSS的能力套件如下

  • 机构级安全套件;

  • 基地级安全套件;

  • 管理和分析套件。

联合管理系统(JMS)是JRSS的管理组件,为国防部信息网络(DoDIN)运行所需的网络安全服务提供了集中管理。这种集中化能力,允许对关键网络传输资产的策略、过程和配置进行标准化。

JRSS的物理形态表现为成套的JRSS设备架,类似一个整体机柜,便于标准化部署。

4、JRSS与CSAAC(网空态势感知与分析能力)

JRSS价值主张=标准化安全架构+网空态势感知。

JRSS主要负责:

  • 筛查所有进出国防部设施的网络流量;

  • 控制流量、传感器以识别和阻止未经授权的流量;

  • 隔离网络入侵;

CSAAC主要负责:

  • 网络威胁签名监视列表;

  • 筛查网络事务;

  • 事故和事件监控;

  • 任务影响分析。

五、身份和访问管理(IdAM/ICAM)

IdAM(身份与访问管理)是美国国防部的信任基础设施,是实现JIE“三个任意”愿景的根基。

美国国防部早在GIG(全球信息栅格)时代,就提出了全球访问的愿景。2009年,全球认证、访问控制、目录服务就是GIG2.0作战概念的3个关键特征,用于确保任何授权用户,利用通用和移动的身份证书,能够从任意地点访问全球网络基础设施,并使所有授权的作战人员、业务支持人员或情报人员都能获得与其任务相关的和可视的信息、服务和应用,同时做到单一签名,在任意时间和地点,实现对网络、信息技术、国家安全系统服务的访问,以及对整个国防部全球地址清单的访问。这与后来JIE提出的“三个任意”的愿景是高度一致的。

1、IdAM概念和作用

IdAM(身份和访问管理服务,Identity and Access Management)是创建、定义和管理身份信息的使用/保护的技术系统、策略和过程的组合。也称为ICAM(Identity, Credential, and Access Management)。

作为一项身份基础设施,IdAM的实现并非DISA能独自完成。将由国防部信息系统局(DISA)、国防人力数据中心(DMDC )、国家安全局(NSA)三家单位,共同组合资源,为国防部提供IdAM解决方案。

简而言之,IdAM可以生成全军全网唯一且可追溯的“身份”,既使得作战人员可以实现三个任意的全球访问,又使得国防部可以有效管理网络上的所有人员和系统。

在JIE框架中,IdAM是实现数据安全及与任务伙伴安全共享信息的根本。人员实体和非人员实体(机器)的“身份”,可在整个国防部范围,实现端到端的、唯一的、明确的区分。通过将用户活动与数字身份进行绑定,确保所有用户都必须经过强有力的认证,且只能访问其经过授权的资源,并能对所有用户进行监控,从而降低内部和外部威胁风险,才得以保证人员实体和非人员实体能够实现“三个任意”的目标。

国防部IdAM方案将可最大程度地实现对IT系统的日常访问控制的自动化,将使系统访问更具动态性,确保实体发现,并可实现活动监控与追溯。

2、IdAM能力模型

IdAM的四个能力支柱是

  • 1)数字身份管理:建立数字身份和生命周期管理。

  • 2)凭证管理:颁发物理或电子令牌(公共访问卡(CAC)/公钥基础设施(PKI)证书和/或帐户),作为实体权威数字身份的代理。

  • 3)认证:通过一个凭证并验证该凭证是否为真实凭证的方式,声明身份。PKI是国防部目前的认证技术解决方案。但是,当不能使用PKI时,可以使用已批准的多因素身份验证和身份联邦服务。

  • 4)授权:基于数字策略和有关请求身份和被访问资源的权威信息,批准访问。

3、IdAM目标状态

国防部IdAM的目标状态是实现动态访问控制,如下图所示:

其主体功能是基于策略的授权服务、身份与凭证管理、策略管理、资源管理四个方面。其关键是基于属性的访问控制(ABAC)和授权。

4、IdAM的特色

1)PKI体系完备

美军的PKI体系包含两大类:

(1)国防部PKI(DoD PKI):国防部向人员实体和非人员实体(如网络服务器、网络设备、路由器、应用程序)颁发证书,以支持国防部的任务和业务运作。

(2)外部证书颁发机构(ECA)PKI:国防部已经建立了ECA计划,以支持向行业合作伙伴和其他外部实体和组织,颁发国防部批准的证书。

其中,国防部PKI进一步按照密级分为两类:

  • 在NIPRNET上:使用国防部PKI根CA。国防部PKI在公共访问卡(CAC)上颁发证书,并颁发软件证书以支持应用程序需求。

  • 在SIPRNET上:使用NSS(国家安全系统)PKI根CA。NSS PKI在SIPRNET硬件令牌颁发证书,并颁发软件证书以支持应用程序需求。

PKI互操作性是国防部及其联邦政府和行业内合作伙伴之间安全信息共享的重要组成部分。这些年来,国防部PKI不断扩展与外部的互操作性,通过联邦桥与批准的外部PKI进行交互。

公钥启用(PKE, Public Key Enablement )是确保应用程序可以使用PKI证书来支持标识和身份验证、数据完整性、机密性和/或不可否认性的过程。PKE的常见用例包括启用:

  • 智能卡登录DoD网络和基于证书的系统认证;

  • 到DoD服务器的安全连接(SSL/TLS);

  • 来自桌面、Web、移动客户端的电子邮件的数字签名和加密。

2)重视设备身份

众所周知,一直以来,美国国防部为其军事人员配备了通用访问卡(CAC),CAC卡允许对人员实体的所有物理和逻辑访问,进行快速身份认证,保障了人员访问的安全性。

另一方面,美国国防部也非常重视设备身份,要求IdAM解决方案生成的“身份”,也可以应用到设备/机器,即非人员实体(NPE)。非人员实体包括NIPRNET和SIPRNET上的设备(如工作站、Web服务器、网络设备)和服务,它们具有更加简化的PKI证书颁发方式。

更进一步,美国防部已经开始实施可靠身份(Assured Identity)计划 :建立并持续验证数字身份,然后为该身份分配属性,并将其与个人或可信设备强关联。

可靠身份的基础能力包括:

  • 利用移动设备上的本机传感器,收集和训练生物特征和上下文因素,以进行持续多因素身份验证。

  • 使用基于硬件的安全因素,发布和保护纯正派生凭证和相关私钥,这些安全因素相当于通用访问卡(CAC)的凭证强度。

  • 观察用户行为,以建立模式和网络授权的关系。

可靠身份的关键步骤如下:

(1)硬件认证:烧录到移动设备硬件中的数字密钥,为传感器数据和本地生成的密钥提供信任。

(2)CMFA(持续多因素认证):移动、桌面或服务器环境的持续身份验证;启用无需口令的物理和逻辑访问;为逻辑和物理方式的设备访问,分配信任分数。

(3)个性化上下文认证:CMFA不断验证身份。

可见,美国国防部为设备建立身份和可靠身份的想法,与零信任不谋而合。

3)发展移动认证

美国国防部正在开发纯正(Purebred)移动认证凭证系统,为DoD PKI用户使用商用移动设备,提供了一种安全、可扩展的分发软件证书的方法。纯正移动安全凭证:

  • 派生凭证

  • 由一个密钥管理服务器和一组应用程序组成:应用程序将密钥管理与设备管理分开;

  • 将密钥管理与设备管理分开:旨在促进密钥管理与设备管理的分离,以使密钥管理保持与PKI的密切关系,并在国防部企业内保持一致,而设备管理可以随每个作战场景而变化。

  • 纯正启用了空中证书认证,取代了对智能卡读卡器的需求。

基于可靠身份和纯正移动安全凭证,可以实现虚拟传输解决方案:

  • 利用云托管的移动电话实例,在一台移动设备上允许访问多个密级;

  • 移动设备上不存储数据,允许使用政府供应设备(GFE)和自带设备(BYOD);

  • 支持完整的设备功能:端点上的无缝虚拟化;

  • 使用派生PKI证书。

5、走向零信任

美国国防部重视设备身份和发展移动身份的行动,为走向零信任架构奠定了基础。

2019年4月发布的《5G生态系统:对美国国防部的风险与机遇》称:“国防部必须采用‘零信任‘网络模式。边界防御模型已经被证明是无效的,5G只会加剧这个问题,因为更多的系统被连接到一个共同的网络。不应仅仅通过连接到特定网络来授予信息访问权限,而应通过网络内的各种安全检查授予信息访问权限。”

2019年7月发布的《美国国防部数字现代化战略:国防部信息资源管理战略计划FY19-23》中,提及了国防部向零信任发展的明确方向,并指出:零信任是一种网络安全策略,它将安全嵌入到整个体系结构中,以阻止数据泄露。零信任这种以数据为中心的安全模型,消除了受信任或不受信任的网络、设备、角色或进程的概念,并转变为基于多属性的信任级别,使身份验证和授权策略在最低特权访问概念下得以实现。

2019年7月发布的《国防信息系统局(DISA)战略计划2019-2022 》中,给出了如下的DISA技术路线图。可见,身份和访问管理(ICAM)、持续多因素认证、移动持续多因素认证为代表的零信任架构,是美国国防部安全建设的重中之重

2019年10月27日国防创新委员会(DIB)发布的《零信任架构(ZTA)建议》报告中,第一条建议就是:国防部应将零信任实施列为最高优先事项,并在整个国防部内迅速采取行动,因为国防部目前的安全架构是不可持续的

六、安全云计算架构(SCCA)

由于JIE未来将以云环境为主,所以云安全对于JIE是重中之重。

1、国防部云战略

2019年2月,美国国防部发布《国防部云战略》,制定了未来发展的七个战略目标

1)构建可扩展和安全的云环境,确保全球战术优势以及快速访问计算和存储的能力;

2)通过采用具有动态弹性的商业化云架构,允许云基础设施自动配置和卸载资源,从而达到最佳的资产利用率;

3)创建标准的云网络架构,满足商业云和场内云的需求, 并制定统一的网络安全架构,不断测试和评估相关能力,确保网络安全属性针对不断发展的威胁保持有效;

4)利用人工智能和机器学习技术等现代数据分析技术,迅速做出关键决策,提高作战效率;

5)通过云环境,为前线作战人员提供最新数据和应用程序,全面支持军事行动;

6)利用云计算的分布式、可伸缩和冗余性,保证操作的连续性和有效的故障转移,从而确保任务的全面执行;

7)进一步整合其分散的数据中心资产,推动国防部信息技术改革。

《国防部云战略》明确将推动国防部采办商业化云服务,建立企业级云环境,确保全球战略优势。对于不适用云的应用程序,国防部仍需保留非云的数据中心。而随着企业级云策略的长期采用,非云环境将会缩小。

2、国防部云部署架构

国防部云部署方式如图所示:

国防部云部署总体上是混合云方式:

  • 场内云,如军事云(milCloud)

  • 场外云,如绝地云(JEDI)。

1)影响级别(IL)

美国国防部以信息影响级别策略实现商业云的分级应用。在原“云安全模型”6个级别的基础上,合并简化为4级:

根据影响级别(IL),军事机构对采用云计算服务的信息资源进行安全分级,确立军事系统属于四级中的哪一类:

  • 低级别 ( 2 级) :允许机构将军事信息资源放入公共云中,提供公开利用或FOIA检索发现;

  • 中级别 ( 4-5 级) :通过虚拟云环境,安全链接至美军专网,以CAC(通用访问卡) 或其他授权证书的方式,提供对敏感信息的受限利用;

  • 高级别 ( 6 级) :主要针对国家安全系统,必须采用军事云或/和云隔离。

在上面国防部云部署架构图中,上述影响级别都有体现。

2)军事云(milCloud)

2018年2月1日,美国防部宣布“军事云”2.0上线。“军事云”2.0是在“军事云”1.0基础上进行的商业云架构升级。尽管如此,“军事云”2.0仍然是一个专用云基础架构,是一个专用商业级私有云。

除了成本考虑之外,在DISA的数据中心内部构建军事云的最大优势在于安全性:军事云位于国防部网络安全架构之内,这块“云”无论多大,都会控制在相对封闭的空间里。其边界将由一组联合区域安全栈(JRSS)负责防护,大大简化了将云服务连接到国防部的涉密网和非密网的业务的过程。通过让供应商在军事设施上构建和运行“军事云”2.0,仅限军事客户可访问其网络、服务器、存储(器)等计算资源,使得美军在享用最前沿的商业化云服务的同时,亦能保证其核心数据的安全。

军事云2.0的构建将分两个阶段

  • 第一阶段(2016年底开始):将单个商业云提供商的云服务接入两个军事数据中心。在这个阶段,云服务将只处理未加密数据。

  • 第二阶段:云将扩展到多个国防部数据中心,并将开始处理加密和未加密的数据。军事客户将能够通过DISA的目录购买军事云2.0服务。

3)绝地云(JEDI Cloud)

JEDI云(联合企业防御基础设施云)是获得通用云的重要第一步,它能够为国防部的大部分任务,提供基础设施和平台服务。

基本设想:按照美国防部设想,JEDI云战略是一套几乎在任何环境中皆可供作战人员使用的“全球体系”——从F-35到前线战场皆可囊括,包括与武器系统、作战、情报以及核武器相关的信息。这意味着供应商一方需要在环境内构建起几乎一切解决方案。

绝地云将直接服务于前线战斗人员。绝地的问世,将服务于那些在战场需要掌握信息才能作出正确决定的广大人员,其允许战士在需要的时间和地点获得数据,以确保作战人员取得战斗胜利。绝地将包含加固的微型服务器,该服务器小到可以装入悍马甚至是士兵背包,从而确保前线部队能够快速访问网络中所有数据。该系统的较大版本将搭载在舰船上或装进集装箱,形成战区“快速部署数据中心”。

项目范围:JEDI云服务将在所有保密级别提供,从前线到战术边缘,包括断开连接和严苛的环境,以及闭环网络;包括关键性核武器设计信息及其它核机密。因此,美国国防部要求JEDI中标承包商必须能够通过全方位的最高机密政府安全许可,例如美国能源部提出的用于保护受限核数据的“Q”与“L”许可。

招标进展:以十年为周期总额高达100亿美元的绝地云大单,历经一波三折,目前已被微软中标。

3、安全云计算架构(SCCA)

在上面的国防部云部署架构图中,与安全关系最密切的是安全云计算架构(SCCA)。安全云计算架构(SCCA)是美军云安全的核心架构。无论怎么强调其重要性,都不过分。

1)SCCA背景

美军在将其数据迁移到云上时面临着的最大风险是:如何为应用程序提供适当级别的安全服务。

通常,云和网络空间的边界保护,是指采用监控和限制网络、密码保护以及其他拒绝访问手段。但是,对于云上的网络保护而言,这些手段已经不再充分。

未来,云上的网络保护必须从数据本身开始,转向数据安全。

为此,国防信息系统局在2017年底创建了一个名叫安全云计算架构(SCCA)的程序。

SCCA目的:SCCA专门用于解决商业云提供商提供的安全措施与国防部希望站在他们的安全角度能够提供的安全措施这二者之间的那些问题,进而推动商业云提供商切实弥补这中间的差距。

2)SCCA组件

SCCA是一套企业级云安全和管理服务,它为商业云环境中托管的影响级别(IL)4和5的数据,提供了边界和应用程序级别安全的标准方法。

SCCA的产品组件包括:

  • 云访问点(CAP:提供对云的访问(提供连接到经批准的云提供商),并保护DISN免受云发起的攻击。简化保护,重点保护网络边界。

  • 拟数据中心安全栈(VDSS:提供虚拟网络飞地安全,以保护商业云产品中的应用程序和数据。

  • 虚拟数据中心管理服务(VDMS:商业环境中特权用户访问的应用程序主机安全、补丁、配置、管理。

  • 可信云凭证管理器(TCCM:云凭证管理器,用于强制实施RBAC(基于角色的访问控制)和最小特权访问。

3)SCCA组件部署

SCCA四个组件的部署位置如下图所示:

4)云访问点(CAP)

美军云安全策略的最新趋势是建设云访问点,商业云服务商可以通过云访问点,安全链接至国防部军事网络。

云访问点(CAP)是云安全网络防护的重要点。美军规定:

  • 处理信息影响等级4级及以上军事数据的云服务,链接至美军军事网络 ( DISN) 或美军云用户访问云服务时,都必须通过美军国防部批准的CAP( 云访问点)访问;

  • 信息影响等级2级数据属于公开数据,可以通过IAP(互联网访问点)访问,无需云访问点。

  • 云访问点可以由美国信息系统局或美军国防部的部门建设和维护。

CAP是在云服务提供商和美军用户之间的授权连接。提供网络安全、性能监视、入侵防范、共享通用服务、数据丢失预防、完整的数据包捕获、网络路由/交换、网络访问控制、下一代防火墙、应用软件防火墙等功能。可见,云访问点是美军对内部军事网络安全设置的又一道防线。

、跨域解决方案(CDS)

跨域解决方案(CDS)在JIE框架中也占据了举足轻重的地位。如果没有CDS,不同密级的网络就不可能联通,也无法实现JIE三个任意的愿景。

1、CDS的背景

在国内,不用密级间的网络之间一般是不能直接或间接连接的,必须实行物理隔离。如果需要确实有连接需求,可以通过光闸类的单向导入产品。但必须采取“一事一议”的审批方式。

在美军这边,他们的SIPRNet和NIPRNet和互联网早已连在一起,其解决方案就是CDS(跨域解决方案)。

2、CDS的概念

CDS(Cross Domain Solution,跨域解决方案):是一种受控接口,提供在不同安全域之间手动和/或自动访问和/或传输信息的能力。

CDS与防火墙的最主要区别之一是:CDS用于不同密级的网络之间;而防火墙用于同一密级网络之间。

3、CDS的分类

上图中也区分了CDS的三种类别:

  • 传输型CDS:这类方案将在不同安全域中运行的网络或信息系统进行互连,并在它们之间传输信息。

  • 访问CDS:这类方案通过单个工作站提供来自多个安全域的信息的同时可视化,而无需在各个域之间进行任何数据传输。

  • 多级CDS:这类方案存储和处理来自不同安全级别的不同安全域的信息,并允许基于用户许可和授权的访问和重新标记。

简单地说,传输型CDS其实就是网闸和光闸这类隔离交换产品;访问型CDS则是多网切换和跨网终端类产品;多级型CDS则是包含访问CDS和传输CDS能力的一站式CDS(这种产品非常罕见)。

4、CDS的基础理论

CDS使用了两种安全理论模型MILS(多独立级别安全)MLS(多级安全)。其中,访问CDS基于MILS架构;多级CDS基于MLS架构

MILS架构提供两种类型的隔离:进程隔离和内核隔离。

MLS架构则使用可信标签和强制访问控制(MAC)模式,根据用户凭据和权限分析数据,以验证读取权限和权限。

5、跨域企业服务

CDES(Cross Domain Enterprise Service,跨域企业服务):通过实施、部署和提供CDS技术的生命周期支持,为作战指挥、军种和机构提供支持,在整个国防部提供安全互操作能力。

6、美军跨域政策

美国国防部出台了专门的CDS政策文件,对跨域安全提出了一系列明确要求。比如:必须通过统一跨域服务管理办公室(UCDSMO)管理的CDS基线列表中列出的CDS,满足国防部跨域能力要求。

美国国防部为CDS的认证、评估、实施、部署,配套设置了标准化的制度和流程,而且努力压缩评估周期,才使得CDS产品成为美军不同密级网络间联通的标准化配置,而非“一事一议”。

7CDS启示

美军CDS在概念的澄清/区分,场景的设计/分类,商业化的推进/鼓励,政策的推动/标准化等方面,值得我们借鉴。其中,尤为值得借鉴的是跨域政策的推动和跨域制度的标准化。

我国已经具有相当普遍的传输型CDS产品,即网闸和光闸系列。但是对于访问型CDS产品,尚无很好的解决方案。考虑到MLS(多级安全)产品需要建立在可信操作系统之上,建议采取更容易实现的MILS(多独立级安全)架构,来实现访问型CDS。

、安全配置管理(SCM)

网络安全从资产发现开始。一旦企业发现了所有资产,就应该转到安全配置管理(SCM)。SANS和CIS(互联网安全中心)强调,一旦清点了硬件和软件,最重要的安全控制是安全配置。

1、SCM的重要性

两个原因使得安全配置管理如此重要:一方面,攻击者正在寻找具有易受攻击、立即见效的默认设置的系统;另一方面,一旦攻击者利用系统,他们就会造成配置变更。而SCM不仅可以识别使系统易受攻击的错误配置,还可以识别关键文件或注册表项的“异常”更改。

新的零日威胁不断出现,而基于特征的防御不足以检测到高级威胁。为了及早发现威胁突破 ,组织不仅需要了解关键设备上的变化,还需要能够识别“坏”的变化。而SCM工具使组织能够准确地了解关键资产的变化。

SCM是一种基础控制。IT安全和IT运维在SCM上相遇,因为这个基础控制将关键实践融合在一起,例如漏洞评估、自动修复、配置评估。因此,组织可以利用SCM解决方案,通过主动、持续地监视和加固操作系统、应用程序和网络设备的安全配置,来减少其攻击暴露面。

2、安全配置管理概念

安全配置管理(SCM)是指管理和控制信息系统的配置,以实现安全性并促进信息安全风险的管理。

安全配置管理一般包括四个步骤:

  • 第一步,是资产发现。

  • 第二步,组织应该将可接受的安全配置定义为每种受管设备类型的基线。比如,可以使用互联网安全中心(CIS)或国家标准与技术研究所(NIST)发布的指南,来实现这一目标。

  • 第三步,他们根据预先定义的频率策略,来评估他们管理的设备。

  • 第四步,他们应该确保有人修复了问题或准许它作为异常而存在。

3、国防部SCM项目

国防部SCM项目的目标是进行企业级信息保障(IA)应用、工具和数据标准的集成和优化,以支持自动化过程,从而支持风险管理和近实时感知。使得信息系统监控成为国防部持续监控战略的一部分——支持资产、系统配置和漏洞的初始数据集。

国防部SCM项目的能力:

  1. (1)利用固有的CC/S/A(作战司令部/军种/机构)中使用的SCM能力;

  2. (2)基于通用数据标准提供普及的企业级能力和接口自动化能力,以增强和加速CC/S/A能力:

  • 识别资产

  • 检查系统配置是否符合政策和标准

  • 搜索潜在漏洞

  • 针对系统/网络的已知风险态势,对已知漏洞采取行动

  • 报告状态并与需要了解的人共享信息

4、SCM的生命周期

SCM的生命周期如下图所示:

5、SCM的运行视图

SCM非常强调运行效果。SCM的运行视图如下所示:

其中,两级运行中心在政策因素和威胁因素的双重驱动下,通过安全内容管理、策略符合性分析、资产配置态势感知、风险控制等运行化能力,对所有资产(包括固定资产、虚拟化资产、移动设备等)进行资产发现、持续监控、风险削减,确保系统安全。

、企业级运行中心(EOC)

企业级运行中心(EOC)是联合信息环境的运行机构,在联合信息环境中占据重要地位。

1、运行中心的作用

美国国防部通过企业级运行中心(EOC),实施指挥控制,并提供实时的网络空间的态势感知。

2、运行和防御的一体化要求

JIE要求网络运行和安全防御实现标准化和一体化。JIE的核心要素之一是国防部的网络运行人员和防御人员必须作为一个团队来工作。

JIE不仅仅是一套新的信息技术,同时也将使每个级别的运行人员和防御人员,能够看清楚网络的状态,使国防部对抗网络威胁具有共性。国防部将知道谁在网络上进行操作、他们在干什么,并以非常高的信息追溯他们的行动性质。

这些能力将能够最大程度地降低同步网络响应的复杂性,使网络运行效率最大,从而降低风险。

3、运行中心的分级管理

JIE的运行管理分为三级:

1)全球企业级运行中心(GEOC:由网络空间司令部、DISA掌管,具有对美国国防部和全球美军的完全可见性,并遂行全球/全局性网络行动,为各作战司令部(COCOM)提供持。

2)企业级运行中心(EOC:由美军各作战司令部掌管,以区域为中心,具有对其在企业中对应部分的完全可见性,同时遂行区域性网络行动,为各作战司令部(COCOM)的优先任务提供支持,或按照全球企业级运行中心(GEOC)的指示,为全球/全局性任务提供支持。

3)局域运行中心(LEOC):即战术级运行中心,由各作战司令部/军种/厅局等部门掌管,维护其本地基础设施,支持战术部队,服务独特任务。

各级运行中心的职责如下图所示:

4、运行中心的监管范围

国防部企业级运行中心可以监管的范围包括:网络服务、企业级服务、全局性应用、传输、专用网络等。

如下图所示:

5、网空态势感知分析能力(CSAAC)

态势感知是EOC的关键能力网空态势感知分析能力(CSAAC)系统包括了涵盖美军涉密网络和非涉密网络的多种解决方案,能够采集、分析来自DoDIN和任务伙伴环境的信息,并能实现这些信息的可视与共享。

美军为DoDIN设置了三道安全防线:

  • 第一道是在DoDIN与互联网的接入点,对所有Web流量进行监控;

  • 第二道是联合区域安全栈(JRSS),JRSS取代了原来美军在各基地、各营区设置的安全栈;

  • 第三道是在用户使用的设备上,即用新一代基于主机的安全系统(HBSS)来检测和应对威胁。

上述三道防线都设置有传感器,都能将相关数据上传给CSAAC系统。借助CSAAC系统所获得的广泛而详尽的信息,DISA可以为整个网络杀伤链提供态势感知能力,及时应对高级持续威胁(APT),从而加强对DoDIN的防护,为决策者提供更有力的支持。

十、数据中心整合

整合美国国防部众多的数据中心,是JIE的一项极其重要的、长期的工作,而且也符合联邦首席信息官牵头制定的联邦数据中心整合倡议(FDCCI)。

1、数据中心整合的价值

通过数据中心的合并,提高和优化国防部数据中心的使用效益,减少整个系统的攻击暴露面,增强安全性,并推行统一的安全架构。

数据中心合并的另外一个重要效果是能够降低成本,统一IT 投资,实现IT架构的一致性。

2、数据中心整合后的分类

美国防部制定了数据中心整合策略,将数据中心分成了以下4 类以应对不同的需求:

1)核心数据中心(CDC):运行在美国本土和各战区总部,在统一的安全架构下,提供标准的服务和存储服务。核心数据中心的数量预计将在十个以内。

2)军事要地处理节点(IPN):安装在一个独立的、固定的军事基地、军营、兵站,提供核心数据中心不能提供的服务。军事要地处理节点的数量预计将在数百个。

3)特殊用途处理节点(SPPN):主要用于支持特殊目的的功能,这些功能不能由核心数据中心和IPN 来支持,主要是因为信息基础设施和设备的差异。

4)战术处理节点(TPN):部署在最前线,能够根据战术/部署环境进行优化。

3、数据中心整合的过程

数据中心的整合过程如下图所示:

4、数据中心整合的最终状态

数据中心的最终状态如下所示:

十一、网络规范化

网络规范化是由全球信息栅格(GIG)向联合信息环境(JIE)成功转型的基础。

1、网络规范化的意义

在GIG时代,国防部的许多异构网络直接到基地/哨所/营地/台站,利用隧道协议(如IPSec和GRE)访问单位内网,导致无法提供态势感知,也很难排除故障。

网络规范化的目的是提供一个安全、可靠、无缝连接作战人员的单一、受保护的信息环境,支持单一安全架构。

2、网络规范化的要素

网络规范化有3个关键要素:

  1. 广泛采用多协议标签交换(MPLS)虚拟专用网络;

  2. 基于以太网传输方式;

  3. 最优化的企业级服务。

网络规范化的核心结果是形成了MPLS VPN的Mesh网络。

3、JIE网络平面划分

JIE通过MPLS对网络进行了规整,划分了四种MPLS VPN

  1. 生产MPLS

  2. 带外管理MPLS

  3. 数据备份MPLS

  4. 测试评估MPLS

下图中反映了前三种MPLS网络:

通过划分不同的网络平台,如用户平面、数据平面、管理平面,保证了各个平面的逻辑隔离,减小了各个平面的攻击暴露面。如下所示:

企业级服务

企业级服务的目的是通过面向用户的服务和面向机器的服务,实现端到端的信息共享,为“三个任意”愿景提供服务基础

企业级服务是像电子邮件之类的服务,以通用方式在整个机构中提供,由作为企业服务供应商的单个组织提供。

所谓“企业级”主要是与“部门级”相对应的概念。如下图所示:

国防部的企业级服务很多,如下图所示:

国防部的核心企业服务包括:

  • 国防企业电子邮件

  • 国防企业门户服务

  • 国防在线连接

  • 统一能力(UC)

  • 企业云代理

  • 云计算服务

  • 企业目录服务/身份和访问管理(IdAM)

  • 国防企业移动性

、任务伙伴环境(MPE)

任务伙伴(MP)是国防部与其合作以实现国家目标的伙伴,如美国政府的其他部门和机构;州和地方政府;盟国、联盟成员、东道国和其他国家;多国组织;非政府组织;私营部门。可见,任务伙伴包含了美国国内的其他部门和机构。

任务伙伴环境(MPE)是一种运行环境,使得运行支持规划和执行的指挥和控制(C2),能够在网络基础设施上使用通用语言在单一安全级别进行。

MPE提供了以下应用和服务:聊天;语音;带附件的电子邮件;地理态势感知;视频;目录;Web基本文件共享;文件共享;访问控制;办公自动化;打印;组织消息服务;语言翻译等。

从下图中可以看出,作为一种环境,MPE与JIE地位相当,既有一些重复之处,又有不同之处。比如单一安全架构(SSA)就属于两者交集;而跨域解决方案(CDS)主要在MPE侧。

进一步,从下图可以看出,美国国防部持续改进与任务伙伴的互操作性,目标就是过渡到MPE。而在这个过程中,跨域解决方案(CDS)提供了关键的解决方案,包括前面提到过的传输型CDS和访问型CDS。

参考:《美军网络安全》系列微信链接:

  1. 《美军网络安全 | 开篇:JIE(联合信息环境)概述》

  2. 《美军网络安全 | 第2篇:JIE网络安全架构SSA(单一安全架构)》

  3. 《美军网络安全 | 第3篇:JIE联合区域安全栈JRSS》

  4. 《美军网络安全 | 第4篇:跨域解决方案(CDS)》

  5. 《美军网络安全 | 第5篇:身份和访问管理(IdAM)》

  6. 《美军网络安全 | 第6篇:备受关注的云安全》

关于作者

柯善学:奇安信集团战略咨询规划部咨询规划总监、虎符智库专家、密码学博士。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。