文/柯善学

笔者认为,DISA是美军网络安全的保护神,这就是要单独讲它的原因。

而要讲它的更重要的原因是,我们也需要这样一个保护神。如果缺少这样一个专司J网防护的强力机构,我们的网络安全保护组织纵然数量再多,也难以形成有效合力。

为了理解DISA的职责,本文扩展介绍了网络空间作战的相关内容。因为缺乏对DODIN作战、DCO(防御性网络空间作战)、OCO(进攻性网络空间作战)这几种网络空间作战任务的理解,以及对网络空间安全、网络空间防御、网络空间利用、网络空间攻击这几种网络空间作战行动的理解,将难以准确界定DISA的职责。

关键词:DISA(国防信息系统局,Defense Information Systems Agency)DODIN(国防部信息网络,DOD Information Network)、JFHQ-DODIN(联合部队总部-国防部信息网,Joint Force Headquarters-Department of Defense Information Network)、CO(网络空间作战,Cyberspace Operations)、DODIN作战(DODIN operations)、DCO(防御性网络空间作战)、OCO(进攻性网络空间作战)、USCYBERCOM(网络司令部,U.S. Cyber Command)、NSA(国家安全局)

本文目录

一、美国网络空间组织

二、DISA职责和战略

1)DISA职责

2)DISA战略

3)DISA路线图

4)DISA与JFHQ-DODIN

三、理解网络空间作战

1)网络空间控制权分类

2)网络空间作战的分类

3)网络空间任务的分类

4)网络空间行动的分类

四、我们需要自己的DISA

一、美国网络空间组织

首先,我们需要知道DISA(国防信息系统局)在整个美国网络空间组织中的职责和定位。我们先从两份最新的美国权威报告来看看美国网络空间组织的情况。

1)日光浴报告

那么在之前发布的《网络空间日光浴委员会报告》中,日光浴委员会提出了网络空间组织改革的建议,如下图所示:

图1-日光浴报告建议的网络空间组织改革

注意到上图中,有些(如黄色方框)是建议成立的新组织。而我们主要关注其中的现有组织。

尽管在该图中,没有看到DISA的影子。但在《网络空间日光浴委员会报告》的6.1.3节(审查网络空间作战行动的授权)中,专门提到:“国会应该要求国防部在未来网络态势评估报告中,提供关于美国网络司令部(U.S. Cyber Command)、国家安全局(NSA)、国防信息系统局(DISA)、国防部网络犯罪中心(DC3)等国防部部门进一步划分网络相关职能的分析与建议。” 再对照上图仔细查看发现,其中提到的美国网络司令部、NSA、DC3这三个部门都出现在图中,偏偏就少了DISA。笔者只好揣测,也许这是制图人员的一个疏漏吧。

2)战略网络空间作战指南

在2020年6月发布的《战略网络空间作战指南》(2020版)的附录B中,给出了如下的美国网络空间组织列表

I. 美国国务院(DoS)

  • 网络事务协调员办公室

II. 国家情报总监办公室(ODNI)

  • 网络威胁情报整合中心(CTIIC)

III. 美国国土安全部(DHS)

  • 网络安全和基础设施局(CISA)

IV. 美国国防部(DoD)

  • 国家安全局(NSA)

  • 国防部首席信息官(DOD CIO)

  • 国防信息系统局(DISA)

V. 联合组织(Joint Organizations)

  • 美国网络司令部(USCYBERCOM)

  • 联合频谱中心(JSC)

  • 联合通信支援单位(JCSE)

VI. 军种组织(Service Organizations)

  • 陆军网络司令部(ARCYBER)

  • 海军陆战队网络空间司令部(MARFORCYBER)

  • 海军舰队网络司令部/美国第十舰队(FCC/C10F)

  • 空军网络司令部/第16空军

  • 海岸警卫队网络司令部

由于《战略网络空间作战指南》是军队的产物,对网络空间中的军事组织自然会罗列得比较详细。可以清晰地看到军队组织中DISA、NSA、USCYBERCOM的分类定位。而且该指南对上述各个组织的职责都有整体性的描述,方便读者查阅。本文不再一一赘述。

二、DISA职责和战略

1. DISA职责

《战略网络空间作战指南》对DISA的概述DISA是国防部的作战支援机构。该机构由8000多名军人和文职人员组成。该机构提供、运行、确保指挥控制和信息共享能力,以及全球可访问的企业信息基础设施,以直接支持联合作战人员、国家级领导人以及其他任务和联盟伙伴的全谱军事行动

DISA的使命:执行DODIN作战,使得联合作战人员在保卫我们国家的所有作战领域形成杀伤能力。

DISA局长的职责:遵守JFHQ-DODIN(联合部队总部-国防部信息网络)指挥官的指示,在DODIN中由DISA运行的部分网络内,在全球级企业级,执行DODIN作战DCO-IDM(防御性网络空间作战-内部防御措施)任务。

值得强调的是:理解DODIN作战DCO-IDM任务的含义,是理解DISA职责的关键。对这两种任务的理解,必须扩展到更大的网络空间作战领域。将在后面介绍。

从下图这张图中,可以看出,DISA的主要日常职责是三条工作线:运行(Operate)、指挥(Command)、防御(Defend)

图2-DISA的每一天

上面这个漏斗图,充分反映了DISA工作的惊人之处,即如何将亿万级的告警事件,通过态势感知、大数据分析、自动化运行机制,层层筛选至可被人工处置的十位个位量级的事故/行动。

上图还反应了DISA管理的网络空间范围,即图中最上面的DISN、DODIN、Internet。显然,这三张网络显然是依次扩大的。笔者粗浅地认为:

  • DISN(国防信息系统网):是国防部的骨干网(企业级网络),属于DISA直接管理和运维的网络;

  • DODIN(国防部信息网):涵盖所有国防部网络空间(包括国防部骨干网DISN各个国防部部门网络),其中各部门网络(部门级网络)属于DISA管辖(但不直接管理和运维)的网络;

  • Internet(互联网):是外部网络空间(包括美国联邦政府的网络),属于DISA在必要时才会在其中采取行动的网络。

因此,笔者认为DISA是美军网络当之无愧的保护神

2. DISA战略

DISA于2019年发布的《DISA战略规划2019-2022》(DISA Strategic Plan 2019-2022 v1)中的一张战略规划图,就足以概括DISA的使命、愿景、信条、目标、能力。如下图所示:

图3-DISA战略规划(2019-2022)

上面这张图应该就是《DISA战略规划2019-2022》含金量最高的一张图了。它实际上概括了整篇战略规划报告的内容。但是,通过仔细对比,还是可以发现,《DISA战略规划2019-2022》的内容,并没有完全按照上图显示的3级标题,展开细节描述。因此,笔者推测,公开发布的《DISA战略规划2019-2022》应该只是一个精简版。

上图有很多可以细细琢磨的地方。比如,战略目的中明确包含了运行(Operate)和防御(Defend),却没有指挥(Command)。但实际上,它反映在2.1.3-C2(指挥控制)组合中,要求使全球指挥和控制系统现代化,以便在适当的时间进行正确的通信。

注意到图中的1.1.6-联合信息环境(JIE)。是的,这就是笔者之前一直研究的课题。JIE在执行中有三条工作线:治理、作战、技术同步DISA负责JIE的技术方面并领导JIE技术同步办公室(JTSO)。DISA是JIE技术和实施的主管部门,也是JIE服务和测试的主要集成商。

3. DISA路线图

《DISA战略规划2019-2022》中另一张重要的图是技术路线图,如下所示:

图4-DISA技术路线图

该技术路线图描述了DISA将用于实现战略规划中目的和目标的路径。它提供了一个框架,帮助国防部建立一个始终连接、无缝安全的信息环境。

《DISA战略规划2019-2022》并没有对该路线图的详细解释。笔者对此图的理解是:

  • 左侧之网络服务:发挥连接作用,依靠各种通信传输方式,实现始终连接的能力;

  • 中间之计算服务:发挥安全作用,关键依靠身份安全和零信任架构,实现无缝安全的能力;

  • 右侧之端点:发挥移动特性,促成三个任意目标的实现,即作战人员用任意设备、在任意时间、在任意地点获取经授权的所需信息。

4. DISA与JFHQ-DODIN

DISA与JFHQ-DODIN(联合部队总部-国防部信息网)的关系比较微妙,需要辨析。

两者的主要区别如下图所示:

  • DISA:是国防部的首要IT提供商,致力于成为可信的提供商,发挥构建、连接、保护作用;

  • JFHQ-DODIN(联合部队总部-国防部信息网):则专注于维护防御性网络作战(DCO)指挥和控制(C2)

图5-DISA与JFHQ-DODIN的使命

JFHQ-DODIN的职责:与所有CCDR(作战指挥官)和其他国防部部门协调,对全球性DODIN作战DCO-IDM任务进行作战级(operational-level )的规划、指导、协调、执行和监督。维持与所有战区/职能的DODIN作战DCO-IDM的CCDR之间的支援关系。JFHQ-DODIN指挥官被支持开展全球性DODIN作战和DCO-IDM;CCDR被支持开展DODIN作战和DCO-IDM,其效果限制在其AOR或职能任务区域内。JFHQ-DODIN根据CDRUSCYBERCOM(美国网络司令部指挥官)的授权,对所有国防部部门实施DACO(网络空间作战指令权)。

正如NSA的局长与美国网络司令部的指挥官是同一人DISA的局长与JFHQ-DODIN的指挥官也是同一个人,而且这种安排是故意的,表明两个机构的任务之间具有很强的联系和互补性。下图反映了这种“双帽”特点,也进一步反映了4个机构之间的关系:

图6-DISA与其它机构的关系

上图也说明,DISA局长直接向国防部首席信息官(DoD CIO)汇报。

三、理解网络空间作战

要理解并区分网络空间作战,建议从《战略网络空间作战指南》入手。该指南更新地比较频繁,近几年来,几乎一两年更新一次。笔者至少看到了2016、2017、2018、2020年的多个版本。

前面提到,理解DODIN作战DCO-IDM任务的含义,是理解DISA职责的关键。在前一章中,已经介绍了网络空间作战环境,算是做了铺垫。本章中将引出DODIN作战DCO-IDM任务的明确含义。

1. 网络空间控制权分类

美军依据网络控制权,将网络空间划分蓝色、红色、灰色三种。

  1. 蓝色网络空间:表示受美国及其任务合作伙伴保护的网络空间以及国防部受命保护的其他区域。虽然国防部在常规情况下仅保护DODIN国防部信息网络,但网络空间部队时刻准备,会根据命令或应其他机构要求,防御或保护美国政府其他部门或其他网络空间,以及与美国及其伙伴国关键基础设施和关键资源相关的网络空间。

  2. 红色网络空间:指由对手或敌人拥有或受其控制的网络空间部分。在这种情况下,“控制”不仅仅意味着“存在”,“控制”意味着指挥网络空间中某个特定链接或节点的行动的能力。

  3. 灰色网络空间:指所有不符合“蓝色”或“红色”描述的网络空间

2. 网络空间作战的分类

网络空间作战(CO,Cyberspace Operations)是指对网络空间能力运用,其主要目的是在网络空间内通过网络空间来实现目标。

网络空间作战(CO)可以分解为网络空间任务(Cyberspace Missions)网络空间行动(Cyberspace Actions)。

网络空间任务(Cyberspace Missions)可以分为3类

  1. 国防部信息网络(DODIN)作战;

  2. 防御性网络空间作战(DCO);

  3. 进攻性网络空间作战(OCO)。

网络空间行动(Cyberspace Actions)可以分为4类

  1. 网络空间安全;

  2. 网络空间防御;

  3. 网络空间利用;

  4. 网络空间攻击。

下图说明了网络空间任务和网络空间行动之间的关系。

图7-网络空间任务和行动

这张图对于理解美军网络空间作战的分类极有帮助。前面提到,DISA的职责主要是执行DODIN作战DCO-IDM任务。那么,结合上图可以判断:DISA主要是从事网络空间安全网络空间防御行动,属于内部网络空间作战的范畴。也就是说,DISA主要负责国防部网络空间安全防护,而不是进攻性网络空间作战。

后面两节将分别介绍3类网络空间任务4类网络空间行动的具体含义。

3. 网络空间任务的分类

1)国防部信息网络(DODIN)作战

DODIN作战任务是为保护、配置、操作、扩展、维护和保障DOD网络空间以及建立和保持DODIN的机密性、可用性和完整性而采取的行动,包括为解决DODIN或DODIN特定网段的漏洞所采取的主动的网络空间安全活动。DODIN行动聚焦于网络,不针对特定威胁:执行此任务的网络空间部队和人员尽其所能,将所有威胁拒之于所保护的特定网络或系统之外。尽管许多DODIN作战行动定期执行,但不应将其视为日常活动,而应作为长期任务,因为其总体效果是建立了大多数国防部任务所依赖的框架。

特别强调的是:“DODIN作战”(DODIN operations)是一个不可分割的术语,不要拆分解读。

2)防御性网络空间作战(DCO)

国防部网络空间部队执行DCO任务是为了保护DODIN或其他受命保护的网络空间,免受网络空间的主动威胁。具体而言,这些任务旨在通过挫败正在进行或即将发生的恶意网络空间行动,维持利用蓝色网络空间能力以及保护数据、网络、网络设备和其他指定系统的能力。DCO任务和DODIN作战的不同在于:DCO与特定威胁相关,目的是挫败绕过、破坏或即将破坏安全措施的特定威胁;而DODIN作战是在特定威胁活动发生之前设法保护国防部网络空间免受所有威胁。DCO的目标是消除特定对手的威胁和/或将被入侵网络恢复到安全状态并正常运行。DCO的组件包括:

2.1)DCO-IDMDCO内部防御措施

DCO-IDM在被保护网络空间内,根据授权进行防御行动大多数DCO任务都属于DCO-IDM,包括针对高级和/或持续威胁的主动和积极的内部威胁捕猎,以及用于消除这些威胁并缓解其影响的主动的内部对策和响应

2.2)DCO-RADCO响应行动

DCO-RA在被保护网络空间之外采取行动,而无需受影响系统所有者的许可。DCO-RA行动通常发生在国外网络空间。有些DCO-RA任务中的行动可能需要升级到使用武力,对敌方系统造成物理破坏或损毁。DCO-RA任务要求有协调一致的军事命令

3)进攻性网络空间作战(OCO)

OCO作为CO任务,是指为支援作战指挥官或国家目标而采取的行动,目的是国外网络空间内或通过国外网络空间营造影响力。OCO可专门攻击敌方网络空间功能或在网络空间中创建一阶效应,以精准控制对物理域的级联效应,从而影响武器系统、指挥控制过程、后勤节点、高价值目标等等。若CO任务在蓝色网络空间之外按指挥官意图进行,而不是保护蓝色网络空间不受正在发生或即将发生的网络空间威胁影响,则为OCO任务。与DCO-RA任务一样,有些OCO任务中涉及的行动可能会升级到使用武力,对敌方系统造成物理破坏或损毁。OCO任务要求有协调一致的军事命令

4. 网络空间行动的分类

进行OCO、DCO或DODIN作战时,需要完成特定的战术级别的行动或任务,利用网络空间能力在网络空间中达成目标。所有的网络空间任务目标都是通过一个或多个这样的行动来实现的,这些行动完全由它们实现的效果类型来定义。网络空间行动包括:

1)网络空间安全(Cyberspace Security)。网络空间安全行动在受保护的网络空间内被采取,以防止未经授权访问、利用或损坏计算机、电子通信系统和其他信息技术(包括PIT)以及其中包含的信息,以确保其可用性、完整性、认证、保密性、不否认性。尽管网络空间安全行动是以威胁为导向的,但它们是在特定的安全威胁发生之前采取的,DODIN作战任务的主要组成部分网络空间安全行动通过减少或消除对手可能利用的漏洞和/或实施检测恶意网络空间活动的措施,来防范网络空间内的威胁。

2)网络空间防御(Cyberspace Defense)。网络空间防御行动在受保护网络空间内被采取,以挫败已破坏或将要破坏网络空间安全措施的特定威胁,包括检测、描述、抵制和减缓威胁(包括恶意软件或非法用户活动)以及将系统恢复到安全配置。拥有或运营网络的作战司令部(CCMD)、军种、国防部机构,通常被授权采取这些防御活动,但这些活动不得损害各自职责之外网络空间要素的运行

3)网络空间利用(Cyberspace Exploitation)。网络空间利用行动包括军事情报活动、调动、信息搜集以及为未来军事行动做准备的其他行动。网络空间利用行动作为OCO或DCO-RA任务的一部分,包括灰色或红色网络空间中不具有网络空间攻击效果的所有行为

4)网络空间攻击(Cyberspace Attack)。网络空间攻击行动会在网络空间中产生明显的拒止效果(即降级、中断、破坏),抑或通过操控导致物理域中的拒止效果网络空间利用为保证有效性一般暗中进行,而网络空间攻击则显而易见,因为它们会消除一些用户功能。网络空间攻击行动是一种火力形式,作为OCO或DCO-RA任务的一部分被采取,需要与其他美国政府部门和机构协调,并与物理域中计划的火力协同一致。网络空间攻击活动包括拒止(降级、中断、破坏)和操控

四、我们需要自己的DISA

在过去的几十年中,美国国防部形成了“全谱优势”作战思想,认为信息优势可将作战能力成倍放大。在“全谱优势”作战思想的强大影响下,美国国防部内几乎所有可以想见的部门均已联网,并且与其他政府部门、商业和私有实体、联盟伙伴之间构成了复杂的相互交织的网络。这使得美国军队作战时,严重依赖网络和信息系统。那么由谁来保障美军网络空间的连接性和安全性,就成为极为重要的问题

现在,我们已经清楚,DISA主要负责美军网络空间安全防护。但在美军历史上曾经发生变化:在2010年之前,由DISA局长负责指挥网络防御作战已有十余年的历史;然而,在2010年,DISA的网络安全防护职能,移交给了新成立的美军网络司令部;但是,在2015年,DISA局长兼任JFHQ-DoDIN司令,负责防御性网络空间作战,标志着DISA加入作战指挥序列,再次统领美军的网络安全防护

美军的网络安全防护为什么重新由DISA统领?根本原因是网络安全防护必须以对网络和安全的深刻理解为基础。DISA长期负责DoDIN的建设和运维,从设计理念到运维细节,DISA是美军最清楚DoDIN的部门。2016年5月,美军网络司令部作战部部长承认,在美军网络司令部组建网络安全防护力量的过程中,一个重要教训是:缺乏对网络的理解。

了解美军,反观自我;回顾历史,展望未来。断网与连接,加密与安全,传统与现代,是摆在我们面前的重要课题

对此,笔者最后却最想说、简明却最鲜明的观点是:

我们迫切需要一个网络安全保护神,一个强大的类DISA部门

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。