聯合信息環境JIE及其安全研究*

李 成，李明桂，向 敏

0 引言

當世界各國仍在緊隨美軍構建本國軍事柵格網，努力打造網絡中心戰能力的時候，美軍已經圍繞作戰人員對信息共享的需求，在實現全球網絡互聯互通的基礎上，開始考慮全球信息柵格［1－2］(GIG)下一步可能的發展方向——聯合信息環境(JIE)。

聯合信息環境(JIE)［3］是囊括美國國防部所有網絡的一種統一體系結構，旨在將當前各軍種專用的網絡空間資源，遷移至一種統一的信息環境。雖然聯合信息環境構想目前尚未最后敲定，但是，美國防部副首席信息官認為，未來某個時間JIE或將取代GIG這一術語。

1 研究進展

美國防信息系統局負責任務保證的副首席技術官威廉·A·克里稱:“聯合信息環境是我們的第一次后退一步，重新設計整個GIG。重新設計的主要推動力之一便是安全性。”

自2012年以來，美國防部陸續發布了《國防部云計算戰略》、《國防部移動設備戰略 2．0版》、《國防部商用移動設備執行規劃》、《國防信息系統局2013～2018年戰略規劃》、《全球信息柵格(GIG)融合主計劃》、《國防部信息企業體系結構2．0版》等一系列重要的戰略性文件。雖然以上文件的關注領域不同，但卻共同提到了要發展和打造聯合信息環境(其“增值1”主要部署在歐洲司令部，“增值2”主要聚焦太平洋地區)［4］。美國防信息系統局聯合網絡服務處、企業服務處、聯合信息環境技術同步辦公室和計劃執行辦公室，為太平洋司令部提供所需的聯合信息環境支持，滿足其特定需求。同時，國防信息系統局的太平洋處繼續與美太平洋司令部及其下屬司令部緊密合作，推動本地和地區的聯合信息環境工作的同步。此外，美軍還重組了國防部首席信息官委員會，設立了聯合信息環境技術同步辦公室，并重建了聯合參謀部J6。這些都在組織管理方面有助于推進聯合信息環境的發展建設。

2014年4月9日美國防務系統新聞網站，美海軍下一代企業化網絡將在9月完成，向聯合信息環境過度的步伐加快。對于聯合信息環境，海軍和國防部是同舟共濟，但美國海軍領導認為首先要解決安全性、成本和標準方面的問題。海軍有時被視為聯合信息環境的一個不情愿的合作伙伴，但海軍領導人承諾海軍的下一代IT將會發生變化。聯合信息環境是五角大樓的一個倡議，目的是把國防部的網絡整合為一個共同的、全球性的、基于云的系統，可以共享服務，如電子郵件、互聯網接入和應用。除了提高效率和節約成本，國防部預計未來的軍事行動必然是聯合作戰，涉及到兩個或更多的軍種，加上聯盟伙伴，從而需要信息共享。海軍－海軍陸戰隊內聯網即將被下一代企業化網絡(NGEN)取代。安全和互操作性需要的共同標準也是需要考慮的問題。海軍現在已更多地實施向聯合信息環境的過度，海軍的下一代企業化網絡將在2014年9月建成，下一代企業化網絡是過度到聯合信息環境的一個中間階段。

現在，聯合信息環境已成為美國信息系統局的一大戰略目標以及一項重中之重的工作。聯合信息環境正在并會繼續推動美軍信息共享、基礎設施建設、系統和服務采辦模式、聯合訓練、通信保障及作戰支持等能力發生重大變化［5］。

2 聯合信息環境

2． 1 美國防部的IT挑戰

近年來，越來越復雜的賽博攻擊對美國防部敲響了警鐘，如圖1所示。

美國防部主要面臨以下6個方面的IT挑戰:

1)幾百個數據中心和網絡造成不必要的經費開銷。

2)互聯互通互操作還不暢通，給信息共享和聯合任務帶來不便。

3)裝備發展過程中，引入新技術的需求不斷增長。

4)IT管理和規劃不能快速、有效地滿足新技術的需求。

5)賽博安全的脆弱性威脅到涉密數據并破壞國家安全。

6)當前的IT訂購制度不利于引入商業化新興技術。

圖1 賽博攻擊的演進Fig．1 Evolution of cyber attack

2． 2 聯合信息環境的特點

聯合信息環境(JIE)是在2011年9月美國防部長正式簽署的《信息技術企業戰略和路線圖》中提出的，主要包括網絡化作戰中心、核心數據中心、全球身份管理系統的內容，旨在為美國及盟國作戰人員提供統一安全體系結構下的信息技術基礎設施和企業級服務［6］。

聯合信息環境作為美國防部的一項倡議，可將當前各軍種的專用網絡空間資源遷移至一種統一的信息環境，從而更好地集成信息技術，增強跨系統安全漏洞的響應能力。

聯合信息環境將為整個國防部構建6種能力:網絡的規范化和傳輸、統一的安全體系結構、企業作戰中心和帶寬外管理、統一的身份和訪問管理，以及企業級核心數據中心，其中統一的安全體系結構是聯合信息環境的一個關鍵特征。

聯合信息環境的關鍵益處在于，作戰指揮官將能夠“通過網絡一看到底”，從而洞悉其關鍵鏈路和節點上正在發生的真實情況。從長遠來看，聯合信息環境將能使指揮與控制以及網絡防御達到一個更高層次，簡化指揮與控制結構，減少潛在的受攻擊面以及易受攻擊的訪問點的數量。

2． 3 聯合信息環境建設的5個關鍵領域

美國防信息系統局將在5個關鍵領域幫助實現國防部當前正在開發的頂層信息體系結構，這5個關鍵領域是:

1)數據中心整合。縮減數據中心數量，減少不必要經費開銷。

2)網絡會聚。當前的努力方向是一切皆 IP(EoIP)，已經進行了多個EoIP試點，并力求在2015財年發布一種統一的能力。

3)安全性。JIE需要擁有一種統一的安全體系結構，以便實現對數據的保護。現在的重點是保護數據，而不是保護網絡。

4)移動性。國防信息系統局已經在移動生態系統中部署了多種應用，目前正在對更多的應用進行測試。

5)云計算。如何建設云以及云代理，以便客戶決定將其能力放在私有云、公共云還是國防部云方面，國防信息系統局仍處于早期階段，希望2014財年能有一個自動化的系統。

聯合信息環境建成后，在各方面均有較大的能力提升，詳見表1。

表1 能力指標提升Table 1 Enhancement of Capacity Index

2． 4 聯合信息環境的終極狀態

聯合信息環境可以實現當前及未來體系結構、工程設計、企業服務、能力和應用的同步。其預期的最終狀態是一種由共享的信息技術基礎設施、且有服務和統一的安全體系結構組成的信息環境，可實現全譜優勢，提高任務有效性，提升安全性，并最終實現信息技術效益。

聯合信息環境的終極狀態，如圖2所示，其特點描述如下:

1)基于企業標準、規范和配置在各個部門之間共享IT基礎設施。

2)運行在共享IT基礎設施之上的組件，將遵循USCC方向相關企業技術和標準。

3)不管服務提供者是否采用通用的企業級戰術、技術和過程，共享IT基礎設施都將會在視覺、體驗和運行維護上表現出相同的外部效果。

4)共享IT基礎設施的網絡屬性包括:虛擬統一策略的戰術防御;美國防部級別的數據中心和網絡運維中心整合;統一安全體系結構;整個企業服務。

5)企業服務具備按需跨域信息共享、合作和互操作。

6)企業服務可以采取聯合、委托或集中的商業模式。

7)允許任何服務或機構作為服務提供商，提供企業服務或供應基礎設施，從而，這些服務和機構可以為整個國防部提供企業服務。

圖2 聯合信息環境的終極狀態Fig．2 End state of JIE

3 JIE的安全性研究

相比全球信息柵格(GIG)，聯合信息環境(JIE)的最大特點就是對國防部企業總體安全性改善，它將把國防部廣闊的網絡空間，拆分成多個可管理的、安全的區域，把傳感器放置在最佳的、最有效的位置，實現特定流程的自動化，并對特定運行要素、工具和人員進行整合，以便平穩、快速地對威脅做出響應，實現網絡空間防御。

就對安全的影響而言，我們需要關注JIE的兩大特點:統一的安全體系結構、統一的身份和訪問管理解決方案。

3． 1 統一的安全體系結構

聯合信息環境所需的最重要能力就是統一的安全體系結構，它將明確提出一個陸海空三軍共用的安全體系結構。這里的統一安全體系結構，不同于各軍種目前所開展的標準縱深防御，而是構建一種“企業級”體系結構，最終實現隨時隨地的數據共享。聯合信息環境將是下一代保密云的關鍵，目前，五角大樓領導人正努力確保陸海空三軍都在執行第一階段的實施工作。其目標是實現基于云的互操作網絡和服務，在需要的時間和地點提供安全的語音、數據和情報。

DISA日前公布的計劃還要求JIE納入新的網絡空間作戰能力，即“分析云”。例如，使用大數據技術深入挖掘網絡攻擊和內部威脅。

3． 2 統一的身份和訪問管理解決方案

聯合信息環境還有一個特點是，信息訪問方式將發生變化。它將通過改變信息訪問方式來提高信息的安全訪問及防御能力，如采用公鑰基礎設施發放的標準統一的網絡空間身份證書，而不是慣用的口令密碼來進行信息訪問。也就是說，美軍正在將安全層從現行位置向位于物理和邏輯邊界的數據遷移。即，以身份為中心的體系結構，它將使用戶能夠根據授權訪問所需信息，但無需訪問不需要的信息。身份的定義和接入方式將達成一致，從而將身份管理擴展到機構之間和聯盟信息共享。

JIE的身份和訪問管理(IdAM，Identity and Access Management)，基于屬性的訪問控制和服務的企業方法，將身份嵌入到數據、應用和IT資源訪問過程，提供數字身份管理、憑證化、認證、授權和訪問審計等功能，使得企業用戶和非私人實體(NPEs)可以可信地在任何地點、任何時間訪問任何資源。其戰略目標為消除匿名，實現動態訪問控制，推動IdAM專職機構管理，并使其制度化。

3． 3 JIE的安全功能

JIE的安全功能分為基礎能力、運作與防御、管控三大方面，包括連接、訪問、共享、運作、防御、管控等六大功能，詳見表2。JIE在基礎能力、運作與防御、管控等三方面的安全功能，如圖3所示。

表2 JIE的安全功能Table 2 Security features of JIE

圖3 JIE的安全功能Fig．3 Security functions of JIE

4 結語

GIG是美軍網絡中心戰思想的實踐，而JIE則是在GIG的實踐過程中，美軍對安全問題重新審視的產物。因而，JIE成為GIG下一步可能的發展方向。文中跟蹤了美軍JIE的最新研究進展，在全面闡述JIE特點的基礎上，從基礎能力、運作與防御、管控等三個層面進一步研究了JIE的安全功能，特別是，就JIE統一的安全體系結構、統一的身份和訪問管理解決方案作了深入論述。本文作者希望通過對JIE的研究，為我國相關軍事基礎設施的建設提供思想營養。

［1］ 曾夢岐，譚平嶂，陳劍鋒．美軍GIG3．0進展研究［J］．信息安全與通信保密，2011(12):50－53．

ZENGMeng－qi，TAN Ping－zhang，CHEN Jian－feng．Study on Development of USMilitary GIG3．0［J］．Information Security and Communications Privacy，2011，(12):50－53．

［2］ 王玉龍，曾夢岐．美軍GIG基于VPN的作戰網絡域構建技術［J］．通信技術，2014，47(02):168－171．WANG Yu－long，ZENG Meng－qi，VPN－based Operational Network Domain of GIG for USArmed Forces［J］．Communications Technology，2014，(02):168 －171．

［3］ XENIA Wickett，RORY Kinane．Asia － Pacific Security:A Changing Role for the United States［EB/OL］．England:Chatham House Report，2014(2014－04－01)［2014 －08 －25］．http://www．chathamhouse．org/publications/papers/view/199098．

［4］ JARED Serbu．DoD finalizing tech specs for Joint Information Environment［EB/OL］．America:Federal News Radio，2013(2013－05－27)［2014－08－27］．http://www．federalnewsradio．com/394/3629764/DoD －finalizing－tech－specs－for－Joint－Information－Environment．2014－05－27．

［5］ CLAUDETTE Roulo． Joint Information Environment Serves Warfighters，Official Says［EB/OL］．Fairfax:U．S．Department of Defense，2013(2013－05－21)［2014－ 09 － 05］．http://www．defense．gov/news/newsarticle．aspx?id=120099．

［6］ AMAANI Lyle．Official Describes Joint Information Environment Blueprint［EB/OL］．BALTIMORE:U．S．Department of Defense，2013(2013－06－27)［2014－09－ 11］．http://www．defense．gov/news/newsarticle．aspx?id=120378．