2020年,是美军数字现代化战略稳步推进并分阶段实施各项战略目标的一年,是承上启下的关键之年。而网络空间安全,是美军数字现代化战略至关重要的一环。

一、美军数字现代化战略的推进情况

近年来,美军一直不遗余力地推行数字现代化战略,力图以此应对在全球威胁格局不断演变之下大国之间的竞争。

(1)美国国防部的全面数字现代化战略始于2018年的夏天,6月国防部正式发布了《数字工程战略》,旨在推进数字工程在装备全寿命周期管理的应用,实现美国国防部的数字转型;

(2)2019年7月,国防部发布《国防部数字现代化战略:国防部信息资源管理战略规划FY19-23》,这是美军首次发布以“数字”和“现代化”冠名的战略规划,它提出了国防部未来四年在数字现代化领域的战略愿景、目标及要素,是美军非常重要的一份战略文件;

(3)2019年底,国防部开始创建联合企业防御基础架构环境(JEDI),这是一种在所有服务中都可使用的云计算环境,它是美军试图构建的一整套覆盖国防部和各军种信息需求、存储处理所有密级数据,并为美军执行各层级作战任务提供智能支持的企业云服务解决方案;

(4)2020前两个月,联合企业防御基础架构的非密环境构建完成;之后大约用六个月的时间,国防部将完成涉密环境的建立,最后是构建最高机密环境。

到目前为止,美军在数字现代化领域所取得的进展还包括涵盖了云计算与人工智能所支持的C3I(指挥、控制、通信与情报)方面上的网络改进,而且这些改进都得到了强有力的网络空间安全保护。

二、美军数字化能力与网络脆弱性之间的矛盾

当前,美军拥有全球最高的信息化程度和水平,表现在:年度预算高达464亿美元;运行了近万个系统,部署了数千个数据中心、数万台服务器,连接了上百万的计算机和IT设备、10万多商业移动设备;支持130万服役人员、74.2万平民、82.6万国民警卫队和后备力量;基础设施遍布全球5000个地点、3000多万亩的土体、数十万建筑物。数字技术已经成为美国战略、战术、武器等的关键组成部分。

但是,美军的信息化环境同样存在一些问题,比如:数据中心和网络太多,投资分散,效率低下;互操作性不足,影响了信息共享和任务协作;网络安全漏洞威胁到机密信息的利用,也危及国家安全,等等。特别是,美军正面临严重的网络空间威胁,而现有的能力和技术不足以防范技术高超的网络攻击。随着先进黑客技术的不断发展,网络对手可以采购相应技术入侵国防部的网络,影响美军作战任务的完成。同时,美国国防工业基础和下一代武器系统也存在脆弱性。

因此,数字技术在赋予美国巨大能力的同时,也增加了美军的脆弱性,对美国而言,这些能力和脆弱性构成了动态的威胁。随着美国国防部寻求更强大的数字化能力,国防部的作战能力得到极大提升,但也更易遭受先发制人的攻击。美军作战所依赖的数字网络和技术也更容易遭到虚拟和物理攻击。

美军的决策者已经充分认识到数字化能力与脆弱性之间的矛盾,因此,正在努力寻求在军事能力和网络能力中做出平衡。未来美军需要构建一支能力超强且脆弱性最低的军队,数字技术可以用于加强其军事能力,但不会成为其军事力量的关键弱点。

为此,美军对网络空间安全的重视大大提高,透过美军的数字现代化重磅战略可以看到,其中大量内容都是应对当下的美军遇到的网络安全问题,而且提出的解决方案也相当实际。可以说,网络空间安全已成为美军数字化现代化战略中最重要的一环。

三、网络空间安全成为美军数字现代化战略的重要支柱

1.数字现代化战略的总体目标特别强调网络空间安全

美军在2019年7月发布的《国防部数字现代化战略》中明确提出了国防部数字现代化未来四年(2019~2023年)的愿景,即:创建“一个更安全、可协调、无缝的、透明的和具有成本效益的IT体系结构,该结构可将数据转换为可操作的信息,并在面对持续的网络威胁时确保可靠的任务执行。”

为此,国防部提出了以下四项总体目标:

(1)创新以赢得竞争优势;

(2)提升效率和提高能力;

(3)强化网络空间安全,打造敏捷而有弹性的防御态势;

(4)强化数字化人才培养。网络空间安全是其中非常重要的实现目标之一。

为了确保上述战略目标的落地,美军的数字现代化明确了以下四个优先战略方向,它们是:

(1)网络空间安全;

(2)人工智能;

(3)云;

(4)指挥、控制和通信。这里,国防部特别强调网络空间安全。

2.明确规划网络空间安全的实现目标

在网络空间安全方面,美国国防部在战略层面已经把IT环境视为一个整体,并且提出了“每个网络、系统、应用程序和企业服务都必须通过设计实现安全,在整个采办生命周期内对网络安全进行管理”的要求。特别是在网络空间安全方面明确提出了:

(1)改造国防部网络安全体系架构,增加敏捷和弹性。具体措施包括:改进端点安全并持续监视;强化数据中心安保;在Win10主机安全基线上标准化等。

(2)部署端到端身份、凭证和访问管理基础设施(ICAM)。具体措施包括:扩展公钥启用能力;实施以数据为中心的方法来收集、验证、维护和共享身份和其他属性等。

(3)保护国防部敏感信息以及国防工业基础的非涉密网络和信息系统的关键程序和技术。具体措施包括:支持开发一致性程序,评估承包商是否遵守网络安全要求;将网络安全威胁信息共享扩展到未获批准的国防承包商;规划并执行国防工业基础“网络安全探路者”计划。

(4)改革国防部网络安全风险管理政策和实践。具体措施包括:推进风险管理框架改革;增加国防部对制定联邦政府和国际商业网络安全标准的参与。

至少到2022年之前,美军还会继续大力推行云计算并缩减数据中心的数量,进一步加强端到端基于密码学的访问控制管理,重点改进军工行业的安全防护体系,并且通过DevSecOps和广泛使用云计算、软件定义网络技术来使IT变得更加敏捷和富有弹性。

3.详细制定国防部增强网络空间安全的方法

美军的数字现代化战略明确指出了国防部提高网络空间安全的方法,并记录在《网络安全参考架构》中,方法主要包括:企业周界保护,移动终端安全,中点安全,企业端点安全,数据安全,大数据平台,身份、凭证及访问管理等。

(1)企业周界保护(Enterprise Perimeter Protection,EPP)

企业周界保护整合了网关安全服务,通过集中管理的方式降低成本、提高安全性。EPP在Internet、任务伙伴网络和商业云服务之间建立保护屏障,提供根据安全策略发现、检测、阻塞手机流量的能力。EPP为通过网络接入点路由网络流量,通过任务伙伴网关路由任务伙伴流量,通过移动网关路由未分类网络和分类移动端用户流量,通过云端接入点路由商业云流量提供安全组件,该组件是利用共享的企业网络安全组件。

(2)移动终端安全

基于Windows设备的传统终端安全技术不适用于移动设备,因此必须提高商用移动安全技术来抵御移动端所面临的安全威胁,在美国国防部安全指南的适用范围内评估、部署移动安全技术。

(3)中点安全(Midpoint Security)

美国国防部保障中点和区域安全的核心是联合区域安全堆栈(Joint Regional Security Stacks,JRSS)策略,它是新形势下美军安全体系建设的一种新模式。JRSS保障虚拟网络的安全,替代或补充由作战司令部、各军兵种和代理机构运营的网络安全系统,集成市场成熟安全产品,以确定的编配模型构建集约化、标准化、全功能的安全防御框架,部署在各军兵种和军事基地边界处,对进出特定区域的网络流量进行编排、监测和防御,在降低人力和技术等总投入成本的情况下,提高美军网络整体防御效能。

(4)企业端点安全

企业端点安全性是集成人员、流程和技术一起,共同阻止对端点的未授权访问、识别和删除恶意代码和未经授权的软件,防止未授权软件和流程的执行。端点安全利用并集成了国防部部门之间的协作,如合规连接(Comply to Connect,C2C)、遏制政策、可见性和评估工具。C2C是美国国防部的安全框架,该框架旨在使各机构能够持续识别网络安全风险,确定这些风险的优先级,并首先缓解最严重的问题。

此外,端点安全性保护连接国防部信息网络(DoD Information Network, DODIN)的授权平台或设备,拒绝授权用户使用任何经过身份验证的设备随时随地安全访问联合信息环境(Joint Information Environment,JIE)资源。美国国防部正在整个Windows 10 SHB操作系统上实现标准化,确保该部门能够利用通用的应用程序更快的修补软件,并以低生命周期将所有国防部计算机配置为批准的安全标准。

(5)数据安全性(用于数据中心和云)

大数据平台(Big Data Platform,BDP)是一个安全、可扩展、灵活和开放的基础设施平台,旨在提供分布式计算解决方案,解决大数据进入企业的过程中如何适应企业的生长环境,与企业已有的生态系统共存的问题。美国国防部BDP作为一个公共平台,可以支持国防部的各种网络空间任务,可以支持非保密互联网协议路由网 (NIPRNET)和机密互联协议路由网(SIPRNET)环境下各种系统和传感器的结构化和非结构化数据执行聚合、关联、历史趋势和取证分析。DODIN运营和网络空间防御作战(Defensive Cyber Operations,DCO)任务要求能够将企业规模的数据转换为简单的、动态的、可视化的数据,以描述事件关系并满足一定的要求。

相关部门打算利用常规数据分析方法为DODIN和DCO运营提供企业态势感知,这项举措将为国防部带来以下好处:

1)全面了解所有传感器警报以及端到端(Internet到主机)的数据流;

2)提供DCO状况和漏洞状态信息;

3)了解受攻击者捕获信息影响的任务,并中断系统;

4)根据历史趋势和模式预测攻击。

(6)身份、凭证及访问管理(ICAM)

美国国防部的身份、凭证及访问管理方法包括四个内容:

1)数字身份管理:建立数字身份和相应的生命周期管理;

2)凭证管理:发行物理或电子令牌作为实体权威数字身份的代理;

3)身份验证:通过凭证验证身份,并将该凭证确认为真实凭证。公钥基础设施(PKI)是国防部当前身份验证技术的解决方案。但是,当无法使用PKI时,可以使用多因素身份验证和身份联合服务;

4)授权:根据数字策略、有关请求身份和所访问资源的权威信息来批准访问。

在这种ICAM方法下,所有访问决策均基于权威的身份信息,并且这些决策可动态配置为支持不断变化的任务需求。此外,审计还支持实时和历史取证。

通过实施上述方法,国防部在保护网络安全方面可以达到较为理想的效果,具体结果包括:通过通用流程和功能,国防部信息网络将以单一虚拟信息环境被保护;网络空间防御感知并应对外部和内部威胁,采取适当的补救、减轻和恢复措施;国防部信息网络作战部队的指挥控制由整个网络的共享网络态势感知支持;整个国防部的IT安全研究结果得到最大程度的共享和复用;国防部交付了可靠的云计算环境,确保在面临先进持续威胁时继续执行任务;支持国防部信息企业和运营资产的控制系统对网络攻击具有弹性。

四.美军数字现代化战略的网络空间安全保证技术

技术是美军实现数字现代化战略的最重要保证,美军在多项战略规划中,比如,国防信息系统局发布的《2019-2022年战略规划》、《国防部网络空间战略》、《国防部数字现代化战略》等,都提供了技术探索框架,描述了实现的技术路线图。这些技术将有助于为国防部提供一个更安全、协调、无缝、透明和成本效益更高的体系结构,将数据转换为可支持行动的信息,并确保在面对持续的网络空间威胁时可靠地执行任务。对于网络空间安全的实现,美军创新发展和应用了多项安全技术。其中,最具发展潜力的安全技术与计划有以下几种:

1.区块链

区块链是一种新的信息技术,可以颠覆网络安全范式。美国防部正在寻求网络安全的区块链解决方案,作为其数字化现代化战略的一部分。国防高级研究计划局(DARPA)目前正在进行至少两个侧重于网络安全的探索性区块链项目,旨在创建一个“更高效、更强大、更安全的平台”,以保护消息传递和提高事务处理的安全性。首先,DARPA试图用区块链技术来构建一个新的或改进的通信和交易平台,该平台可以实现包括各单位与总部之间以及情报官员与五角大楼之间的通信。同时作为数字身份管理的一部分,该机构还可以颁发一个数字令牌来验证代理的身份;其次,DARPA试图用区块链技术创建一个不可破解的代码,在数据库中设置陷阱,防御任何试图攻击数据库的黑客。

2.零信任安全

零信任安全是国防部首席信息官(CIO)与国防信息系统局(DISA)、美国网络司令部和国家安全局(NSA)共同探索的一项新兴计划。零信任是一种网络安全策略,旨在将安全性嵌入整个体系结构中,以阻止数据泄露。该数据中心安全模型颠覆了信任网络、设备、人员或进程的思想,并使用基于某些属性的信任级别来确保认证和授权符合最小特权的原则。实施零信任需要重新考虑如何利用现有基础架构通过一种更简单、更高效同时可保证无障碍操作的设计方法来实现安全性。

2019年10月24日,美国国防部创新委员会(DIB)发布了《零信任架构(ZTA)建议》,提供了关于国防部零信任实施层面的建议,指出零信任架构是美国国防部网络安全架构的必然演进方向。无论是NIPRNET还是SIPRNET都要向零信任安全架构迈进,也就是全网统一零信任架构。最值得注意的是,DIB建议国防部探索将NIPRNET和SIPRNET融合到同一网络上的可能性,依靠零信任原则来保护访问,并将用户许可级别作为访问的核心属性。NIPRNET和SIPRNET均应采用SIPRNET的边界安全措施,以保持更高的边界安全水平,作为进入的初始屏障。这一建议颠覆了美军之前将NIPRNET作为SIPRNET与互联网之间的屏障这一大创举和特色,DIB认为,零信任架构可以融合这两张不同密级的网络,化繁为简。暂不论两网融合的可行性,这种观点至少充分反映出DIB对零信任架构安全性和先进性的极其认可。

当然,零信任在网络配置、软件定义组网、数据标记、分析、访问控制、策略编排、加密和自动化以及端到端的终端身份、凭证和访问管理(ICAM)的实际实现和运作上还是相当复杂的。企业级的考虑因素包括要确定该保护哪些数据、应用程序、资产和服务,并且要对业务流、策略决策和策略实施点进行映射。

3.密码现代化

密码现代化(CM)的目标是通过提供与作战指令与任务环境一致的透明密码功能来确保国家安全系统达到一种适当的安全状态。自2000年以来,CM用现代功能取代了美国及盟国达到有效密码使用生命期的相关设备。最先启动的任务是淘汰20-30年以上的老技术,将密码系统从点对点过渡到以网络为中心,并针对对手对抗国防部系统的计算机处理能力的不断提高做出应对措施。这些要求需要重新设计或更换大多数战场设备。

当前,国防部和国家安全局正在筹备密码现代化二期,即CM2。CM2将确保国防部远远领先于操作漏洞和新出现的威胁,例如量子计算;它会继续更换老化的设备,并确保美国的加密能力实现现代化,以满足2030年之前的战斗人员需求。

4.大数据分析

美国国防部的大数据分析方法基于大数据平台(BDP),这是一个安全、可扩展、敏捷和开放的基础架构平台,旨在提供分布式计算解决方案。BDP实例能够从各种来源(例如,移动设备、空中(远程)感应、软件日志、相机、麦克风、射频识别(RFID)阅读器和无线传感器网络)读取、存储和可视化极大容量(可达数PB)的数据。

大数据分析应用程序可以分析结构化数据以及传统商业情报(BI)和分析程序通常无法处理的其他形式数据(半结构化和非结构化)。数据挖掘工具以模式和关系搜索来筛选数据集,从而能够对数据进行汇总、关联、历史趋势分析和取证分析。机器学习算法可以分析大型数据集并执行深度学习,这是机器学习的更高级分支,可支持行为预测和其他未来发展的预测分析。

除了上述安全技术,美国国防部还把人工智能(AI)、软件定义网络(SDN)、量子计算,物联网(IoT)、5G、IPv6、无源光网络(PON)等技术视为实现美军数字现代化战略的高效、安全的具有代表性技术。

五.结语

数字化能力是未来各国军事能力的一个重要体现,数字化带来的网络空间安全问题将日益突出。如何平衡数字化能力与网络安全能力将成为各国面临的一项长期任务。当前,我军对数字网络和技术的依赖也日益严重,所面临的各种网络攻击和威胁必须引起高度重视。为此,我们需要借鉴外军经验,制定我军数字化战略的相关网络安全顶层战略,发展先进的网络安全解决技术与方案,防范各种技术高超的网络攻击,使我军的数字化能力真正成为军事能力的一项重要助力!

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。