近年来,美军一直不遗余力地推行数字现代化战略,力图以此应对在全球威胁格局不断演变之下大国之间的竞争。
(1)美国国防部的全面数字现代化战略始于2018年的夏天,6月国防部正式发布了《数字工程战略》,旨在推进数字工程在装备全寿命周期管理的应用,实现美国国防部的数字转型;
(2)2019年7月,国防部发布《国防部数字现代化战略:国防部信息资源管理战略规划FY19-23》,这是美军首次发布以“数字”和“现代化”冠名的战略规划,它提出了国防部未来四年在数字现代化领域的战略愿景、目标及要素,是美军非常重要的一份战略文件;
(3)2019年底,国防部开始创建联合企业防御基础架构环境(JEDI),这是一种在所有服务中都可使用的云计算环境,它是美军试图构建的一整套覆盖国防部和各军种信息需求、存储处理所有密级数据,并为美军执行各层级作战任务提供智能支持的企业云服务解决方案;
到目前为止,美军在数字现代化领域所取得的进展还包括涵盖了云计算与人工智能所支持的C3I(指挥、控制、通信与情报)方面上的网络改进,而且这些改进都得到了强有力的网络空间安全保护。
二
美军数字化能力与网络脆弱性之间的矛盾
当前,美军拥有全球最高的信息化程度和水平,表现在:年度预算高达464亿美元;运行了近万个系统,部署了数千个数据中心、数万台服务器,连接了上百万的计算机和IT设备、10万多商业移动设备;支持130万服役人员、74.2万平民、82.6万国民警卫队和后备力量;基础设施遍布全球5000个地点、3000多万亩的土体、数十万建筑物。数字技术已经成为美国战略、战术、武器等的关键组成部分。
但是,美军的信息化环境同样存在一些问题,比如:数据中心和网络太多,投资分散,效率低下;互操作性不足,影响了信息共享和任务协作;网络安全漏洞威胁到机密信息的利用,也危及国家安全,等等。特别是,美军正面临严重的网络空间威胁,而现有的能力和技术不足以防范技术高超的网络攻击。随着先进黑客技术的不断发展,网络对手可以采购相应技术入侵国防部的网络,影响美军作战任务的完成。同时,美国国防工业基础和下一代武器系统也存在脆弱性。
因此,数字技术在赋予美国巨大能力的同时,也增加了美军的脆弱性,对美国而言,这些能力和脆弱性构成了动态的威胁。随着美国国防部寻求更强大的数字化能力,国防部的作战能力得到极大提升,但也更易遭受先发制人的攻击。美军作战所依赖的数字网络和技术也更容易遭到虚拟和物理攻击。
美军的决策者已经充分认识到数字化能力与脆弱性之间的矛盾,因此,正在努力寻求在军事能力和网络能力中做出平衡。未来美军需要构建一支能力超强且脆弱性最低的军队,数字技术可以用于加强其军事能力,但不会成为其军事力量的关键弱点。
为此,美军对网络空间安全的重视大大提高,透过美军的数字现代化重磅战略可以看到,其中大量内容都是应对当下的美军遇到的网络安全问题,而且提出的解决方案也相当实际。可以说,网络空间安全已成为美军数字化现代化战略中最重要的一环。
三
网络空间安全成为美军数字现代化战略的重要支柱
1.数字现代化战略的总体目标特别强调网络空间安全
美军在2019年7月发布的《国防部数字现代化战略》中明确提出了国防部数字现代化未来四年(2019~2023年)的愿景,即:创建“一个更安全、可协调、无缝的、透明的和具有成本效益的IT体系结构,该结构可将数据转换为可操作的信息,并在面对持续的网络威胁时确保可靠的任务执行。”
为此,国防部提出了以下四项总体目标:(1)创新以赢得竞争优势;(2)提升效率和提高能力;(3)强化网络空间安全,打造敏捷而有弹性的防御态势;(4)强化数字化人才培养。网络空间安全是其中非常重要的实现目标之一。
为了确保上述战略目标的落地,美军的数字现代化明确了以下四个优先战略方向,它们是:(1)网络空间安全;(2)人工智能;(3)云;(4)指挥、控制和通信。这里,国防部特别强调网络空间安全。
2.明确规划网络空间安全的实现目标
在网络空间安全方面,美国国防部在战略层面已经把IT环境视为一个整体,并且提出了“每个网络、系统、应用程序和企业服务都必须通过设计实现安全,在整个采办生命周期内对网络安全进行管理”的要求。特别是在网络空间安全方面明确提出了:
(1)改造国防部网络安全体系架构,增加敏捷和弹性。具体措施包括:改进端点安全并持续监视;强化数据中心安保;在Win10主机安全基线上标准化等。
(2)部署端到端身份、凭证和访问管理基础设施(ICAM)。具体措施包括:扩展公钥启用能力;实施以数据为中心的方法来收集、验证、维护和共享身份和其他属性等。
(3)保护国防部敏感信息以及国防工业基础的非涉密网络和信息系统的关键程序和技术。具体措施包括:支持开发一致性程序,评估承包商是否遵守网络安全要求;将网络安全威胁信息共享扩展到未获批准的国防承包商;规划并执行国防工业基础“网络安全探路者”计划。
(4)改革国防部网络安全风险管理政策和实践。具体措施包括:推进风险管理框架改革;增加国防部对制定联邦政府和国际商业网络安全标准的参与。
至少到2022年之前,美军还会继续大力推行云计算并缩减数据中心的数量,进一步加强端到端基于密码学的访问控制管理,重点改进军工行业的安全防护体系,并且通过DevSecOps和广泛使用云计算、软件定义网络技术来使IT变得更加敏捷和富有弹性。
3.详细制定国防部增强网络空间安全的方法
美军的数字现代化战略明确指出了国防部提高网络空间安全的方法,并记录在《网络安全参考架构》中,方法主要包括:企业周界保护,移动终端安全,中点安全,企业端点安全,数据安全,大数据平台,身份、凭证及访问管理等。
(1)企业周界保护(EnterprisePerimeterProtection,EPP)
企业周界保护整合了网关安全服务,通过集中管理的方式降低成本、提高安全性。EPP在Internet、任务伙伴网络和商业云服务之间建立保护屏障,提供根据安全策略发现、检测、阻塞手机流量的能力。EPP为通过网络接入点路由网络流量,通过任务伙伴网关路由任务伙伴流量,通过移动网关路由未分类网络和分类移动端用户流量,通过云端接入点路由商业云流量提供安全组件,该组件是利用共享的企业网络安全组件。
(2)移动终端安全
基于Windows设备的传统终端安全技术不适用于移动设备,因此必须提高商用移动安全技术来抵御移动端所面临的安全威胁,在美国国防部安全指南的适用范围内评估、部署移动安全技术。
(3)中点安全(MidpointSecurity)
美国国防部保障中点和区域安全的核心是联合区域安全堆栈(JointRegionalSecurityStacks,JRSS)策略,它是新形势下美军安全体系建设的一种新模式。JRSS保障虚拟网络的安全,替代或补充由作战司令部、各军兵种和代理机构运营的网络安全系统,集成市场成熟安全产品,以确定的编配模型构建集约化、标准化、全功能的安全防御框架,部署在各军兵种和军事基地边界处,对进出特定区域的网络流量进行编排、监测和防御,在降低人力和技术等总投入成本的情况下,提高美军网络整体防御效能。
(4)企业端点安全
(5)数据安全性(用于数据中心和云)
大数据平台(BigDataPlatform,BDP)是一个安全、可扩展、灵活和开放的基础设施平台,旨在提供分布式计算解决方案,解决大数据进入企业的过程中如何适应企业的生长环境,与企业已有的生态系统共存的问题。美国国防部BDP作为一个公共平台,可以支持国防部的各种网络空间任务,可以支持非保密互联网协议路由网(NIPRNET)和机密互联协议路由网(SIPRNET)环境下各种系统和传感器的结构化和非结构化数据执行聚合、关联、历史趋势和取证分析。DODIN运营和网络空间防御作战(DefensiveCyberOperations,DCO)任务要求能够将企业规模的数据转换为简单的、动态的、可视化的数据,以描述事件关系并满足一定的要求。
(6)身份、凭证及访问管理(ICAM)
在这种ICAM方法下,所有访问决策均基于权威的身份信息,并且这些决策可动态配置为支持不断变化的任务需求。此外,审计还支持实时和历史取证。
通过实施上述方法,国防部在保护网络安全方面可以达到较为理想的效果,具体结果包括:通过通用流程和功能,国防部信息网络将以单一虚拟信息环境被保护;网络空间防御感知并应对外部和内部威胁,采取适当的补救、减轻和恢复措施;国防部信息网络作战部队的指挥控制由整个网络的共享网络态势感知支持;整个国防部的IT安全研究结果得到最大程度的共享和复用;国防部交付了可靠的云计算环境,确保在面临先进持续威胁时继续执行任务;支持国防部信息企业和运营资产的控制系统对网络攻击具有弹性。
四
美军数字现代化战略的网络空间安全保证技术
技术是美军实现数字现代化战略的最重要保证,美军在多项战略规划中,比如,国防信息系统局发布的《2019-2022年战略规划》、《国防部网络空间战略》、《国防部数字现代化战略》等,都提供了技术探索框架,描述了实现的技术路线图。这些技术将有助于为国防部提供一个更安全、协调、无缝、透明和成本效益更高的体系结构,将数据转换为可支持行动的信息,并确保在面对持续的网络空间威胁时可靠地执行任务。对于网络空间安全的实现,美军创新发展和应用了多项安全技术。其中,最具发展潜力的安全技术与计划有以下几种:
1.区块链
区块链是一种新的信息技术,可以颠覆网络安全范式。美国防部正在寻求网络安全的区块链解决方案,作为其数字化现代化战略的一部分。国防高级研究计划局(DARPA)目前正在进行至少两个侧重于网络安全的探索性区块链项目,旨在创建一个“更高效、更强大、更安全的平台”,以保护消息传递和提高事务处理的安全性。首先,DARPA试图用区块链技术来构建一个新的或改进的通信和交易平台,该平台可以实现包括各单位与总部之间以及情报官员与五角大楼之间的通信。同时作为数字身份管理的一部分,该机构还可以颁发一个数字令牌来验证代理的身份;其次,DARPA试图用区块链技术创建一个不可破解的代码,在数据库中设置陷阱,防御任何试图攻击数据库的黑客。
2.零信任安全
2019年10月24日,美国国防部创新委员会(DIB)发布了《零信任架构(ZTA)建议》,提供了关于国防部零信任实施层面的建议,指出零信任架构是美国国防部网络安全架构的必然演进方向。无论是NIPRNET还是SIPRNET都要向零信任安全架构迈进,也就是全网统一零信任架构。最值得注意的是,DIB建议国防部探索将NIPRNET和SIPRNET融合到同一网络上的可能性,依靠零信任原则来保护访问,并将用户许可级别作为访问的核心属性。NIPRNET和SIPRNET均应采用SIPRNET的边界安全措施,以保持更高的边界安全水平,作为进入的初始屏障。这一建议颠覆了美军之前将NIPRNET作为SIPRNET与互联网之间的屏障这一大创举和特色,DIB认为,零信任架构可以融合这两张不同密级的网络,化繁为简。暂不论两网融合的可行性,这种观点至少充分反映出DIB对零信任架构安全性和先进性的极其认可。
当然,零信任在网络配置、软件定义组网、数据标记、分析、访问控制、策略编排、加密和自动化以及端到端的终端身份、凭证和访问管理(ICAM)的实际实现和运作上还是相当复杂的。企业级的考虑因素包括要确定该保护哪些数据、应用程序、资产和服务,并且要对业务流、策略决策和策略实施点进行映射。
3.密码现代化
当前,国防部和国家安全局正在筹备密码现代化二期,即CM2。CM2将确保国防部远远领先于操作漏洞和新出现的威胁,例如量子计算;它会继续更换老化的设备,并确保美国的加密能力实现现代化,以满足2030年之前的战斗人员需求。
4.大数据分析
大数据分析应用程序可以分析结构化数据以及传统商业情报(BI)和分析程序通常无法处理的其他形式数据(半结构化和非结构化)。数据挖掘工具以模式和关系搜索来筛选数据集,从而能够对数据进行汇总、关联、历史趋势分析和取证分析。机器学习算法可以分析大型数据集并执行深度学习,这是机器学习的更高级分支,可支持行为预测和其他未来发展的预测分析。
除了上述安全技术,美国国防部还把人工智能(AI)、软件定义网络(SDN)、量子计算,物联网(IoT)、5G、IPv6、无源光网络(PON)等技术视为实现美军数字现代化战略的高效、安全的具有代表性技术。