美軍網絡安全防護的最新發展與啟示

孫學濤

(中國電子設備系統工程公司研究所，北京100141)

美軍網絡安全防護的最新發展與啟示

孫學濤

(中國電子設備系統工程公司研究所，北京100141)

簡述近年來美軍網絡安全防護領導體制的新變化并探究了其原因，從技術層面分析美軍網絡安全防護的當前關注重點，包括制定指南文件、提高態勢感知能力、增強網絡彈性、加強身份認證、加強安全測試等，進而提出對我國加強網絡安全防護的啟示。

美軍;網絡安全;防護;當前關注;啟示

0 引言

美軍擁有龐大的信息網絡，其安全防護備受關注。近年來，美軍信息網絡的安全防護在領導體制上經歷了新變化，在技術層面做了若干探索，取得了一些經驗教訓，值得我們借鑒。

1 美軍信息網絡及安全防護概況

2013年初，美國國防部用“國防部信息網絡”(DoDIN)取代了先前所稱的“全球信息柵格”(GIG)。根據美國國防部2016年2月版的《國防部軍事與相關術語詞典》，DoDIN是“信息能力和相關流程的集合，其中包括用于為政策制訂者、作戰人員和支持人員按需采集、處理、存儲、分發和管理信息的流程，無論所用設備是聯網狀態還是單機狀態，包括自有的和租借來的通信和計算系統或服務，包括軟件(含應用)、數據、安全服務及其它相關服務，還包括若干種國家安全系統”[1]。可見，DoDIN是美軍信息網絡的總稱。

根據美國國防部2014年3月頒布的第8500.01號指令文件，網絡安全防護是指“采取措施防范、檢測、刻畫、抵御或減緩DoDIN中的安全漏洞和非法行為”。2016年3月7日，美國國防部首席信息官(CIO)簽發第8530.01號國防部指示文件，稱“美國防部綜合運用技術能力和非技術能力，采用隔離、遏制、冗余、分層防護、最小權限、態勢感知等多種措施對DoDIN和國防部信息進行安全防護，確保其機密性、完整性和可用性”。該文件進一步明確了國防部各機構在DoDIN運維與使用方面的網絡安全職責，列出了國防信息系統局(DISA)的8大項職責，其中包括對國防部的信息傳輸和企業級服務進行安全防護、在全軍層面上規劃和實施DoDIN運維及安全防護等。

2 美軍網絡安全防護的領導體制

長期以來，在DoDIN的建設、運維和安全防護方面，美國國防信息系統局(DISA)發揮著核心統領作用。DISA由國防部首席信息官直接領導，目前該局的愿景是“國防中的信息優勢”，致力于在全譜行動中提供、運維和確保指揮控制能力、信息共享能力及可全球接入的企業級信息基礎設施，為聯合作戰人員、國家領導人、任務伙伴及盟友提供直接支持[2]。

由DISA局長負責指揮網絡防御作戰已有十余年的歷史。1998年，美國國防部首次組建計算機網絡防御聯合任務部隊(JTF－CND)。2000年秋，美國國防部決定把計算機網絡的攻與防合二為一，將JTF－CND改稱為計算機網絡作戰聯合任務部隊(JTF－CNO)，由DISA副局長兼任該部隊司令。2004年4月，JTF－CNO又被改稱為全球網絡運維聯合任務部隊(JTF－GNO);同年6月，國防部長指定DISA局長兼任JTF－GNO司令，負責領導全球信息柵格的運維和防御。2010年，DISA的網絡安全防護職能移交給了新成立的美軍網絡司令部。

四年后，2014年11月，美軍網絡司令部發布《國防部信息網絡聯合部隊司令部(JFHQ－DoDIN)作戰概念》，明確了將網絡安全防護力量重新劃歸DISA的設想。2015年1月，在DISA內新設立的JFHQ－DoDIN具備初始作戰能力，由DISA局長兼任該司令部司令，主要負責防御性網絡空間作戰。該司令部的設立，標志著DISA加入作戰指揮序列，美軍的網絡安全防護再次由DISA統領。

美軍的網絡安全防護為什么要由DISA來統領?根本原因是網絡安全防護必須以對網絡的深刻理解為基礎。DISA長期負責DoDIN的建設和運維，從設計理念到運維細節，DISA是美軍最清楚DoDIN的部門。2016年5月初，美軍網絡司令部作戰部部長承認，在美軍網絡司令部組建網絡安全防護力量的過程中，一個重要教訓是:缺乏對網絡的理解。

3 美軍網絡安全防護的技術關注

3.1 制定和貫徹指南文件

沒有規矩，不成方圓。代表美國國防部制定或修訂網絡安全指南文件是DISA的重要職能。這些指南文件包括安全需求指南、安全技術實施指南等文件，也包括關于管理/控制互聯網協議、數據服務及端口的指南和標準。例如在云計算方面，繼2015年1月代表國防部發布《云計算安全需求指南(草案)》第1版之后，2015年7月，DISA發布了《云計算安全需求指南(草案)》第1.2版，并同時發布了《云接入點功能需求文檔(草案)》、《云計算網絡防御行動概念(草案)》等指南文件。2016年3月25日，DISA新發布了《云計算安全需求指南》第1.2版。這些指南文件在信息安全目標/影響等級、云服務風險評估、安全需求、計算機網絡防御及事件響應等方面為美軍提供了遵循。

DISA從1998年開始建設和維護“信息保障支持環境”(IASE)網站[3]，開發和提供網絡安全培訓產品及資料。IASE網站是美軍關于網絡安全政策、技術指南及工具的權威網站，是對美軍官兵進行網絡安全培訓的重要渠道，在貫徹落實指南文件的各項規定方面發揮著重要作用。

3.2 提高態勢感知能力

態勢感知能力對攻擊和防御都至關重要。美軍為DoDIN設置了三道安全防線[4]。第一道是在DoDIN與互聯網的接入點，對所有Web流量進行監控;第二道是聯合區域安全棧(JRSS)，JRSS取代了原來美軍在各基地、各營區設置的安全棧;第三道是在用戶使用的設備上，即用新一代基于主機的安全系統(HBSS)來檢測和應對威脅。

DISA已在使用的“網絡態勢感知分析能力”(CSAAC)系統包括了涵蓋美軍涉密網絡和非涉密網絡的多種解決方案，能夠采集、分析來自DoDIN和任務伙伴環境的信息，并能實現這些信息的可視與共享。上述三道防線都設置有傳感器，都能將相關數據上傳給CSAAC系統。借助CSAAC系統所獲得的廣泛而詳盡的信息，DISA可以為整個網絡殺傷鏈提供態勢感知能力，及時應對高級持續威脅(APT)，從而加強對DoDIN的防護，為決策者提供更有力的支持。

2015年底，DISA的一位部門領導透露，由于來自各種傳感器的數據量非常巨大，如何迅速找到恰如所需的數據十分關鍵;在分解數據、按需呈現數據及支持決策方面，也還需要采用更有效的工具。DISA正在積極尋求更富創新的大數據解決方案，以實現更全面、更先進的網絡態勢感知能力。

3.3 增強網絡彈性

在增強網絡彈性方面，美軍正在密切關注軟件定義網絡(SDN)、虛擬桌面集成(VDI)等技術[5]。軟件定義網絡技術不僅有助于降低成本，而且能實現網絡的快速變更和變形，或許會使長期持續威脅不復存在。采用虛擬桌面集成技術后，可以避免因特網和電子郵件功能深入到國防部的網絡中。由于電子郵件是網絡攻擊的重要途徑，采用虛擬桌面集成技術將會減小攻擊面。DISA局長認為，SDN技術和VDI技術“提供了看待網絡的新視角”，可能帶來網絡攻防態勢的根本性變化，對網絡安全防護意義重大、影響深遠。

2015年11月初，DISA開發與業務中心主任稱，隨著合作伙伴紛紛采用虛擬化架構和虛擬化解決方案，DISA正致力于拓展虛擬化平臺。DISA希望通過建設數據中心虛擬環境，使各司令部能迅速建立自己所需要的虛擬網絡。DISA正在與美軍歐洲司令部、中央司令部協作，搞清各軍種對虛擬化的需求和目標。

3.4 加強身份認證

身份認證是防范網絡威脅的重要條件。隨著技術的發展，越來越多的移動設備進入美軍的網絡。美軍順應技術發展大勢，將允許更多用戶借助移動終端使用涉密語音、視頻及數據通信服務，如何加強和完善身份認證成為現實而緊迫的問題。在國防部通用訪問卡(CAC)已成功使用多年的基礎上，DISA正致力于將更先進的身份管理功能嵌入到設備中去。

2014年6月有報道稱，DISA和美國海軍合作，對使用派生憑證的軟件進行測試;2015年11月，DISA拿到了第一批使用派生憑證的絕密級智能手機，正在進行測試，計劃在2016年7月前為國防部列裝3000部機密級智能手機。在基于商用現貨的涉密手機上使用派生憑證，反映出美軍在網絡身份認證技術方面又前進了一步。

3.5 加強網絡安全測試與集成

DISA下設有聯合互操作測試司令部(JITC)。JITC是美國國防部唯一一個不隸屬于任何軍種、負責對信息技術及各種國家安全系統進行測試的作戰測試機構。該司令部提供基于風險的測試、評估及認證服務/工具/環境，以確保在聯合作戰中使用的各種信息技術能力能夠順暢地互操作、能夠切實滿足任務需求。

2014年8月，美國國防部測試與評估主任簽發了《在采辦項目中對網絡安全進行作戰測試與評估的流程》，規定所有能收發數字式信息的系統都要接受網絡安全測試。2015年10月，美國國防部首席信息官和分管采辦/技術/后勤的國防部副部長聯合簽發國防部備忘錄，頒布關于將網絡安全風險管理框架融入系統采辦周期的指南文件，要求在系統工程、測試評估等各環節都必須考慮網絡安全問題。美軍將依據這些文件規定，進一步加強網絡安全測試工作。

4 啟示

(一)網絡安全威脅層出不窮，必須構建多層次全維度的安全防護體系

層出不窮的網絡安全威脅已引起全社會的關注。在形形色色的網絡安全威脅中，既有來自外部的，也有來自內部的;既有“腳本小子”搗亂，也有敵對國家的高級持續性威脅(APT)。網絡安全防護的“老三樣”(防病毒、防火墻、入侵檢測)依然沒有退出歷史舞臺，能防范各種安全威脅的“萬能藥”式解決方案短時期內還不會出現，我國網絡安全的自主可控任重道遠。在這樣的時代背景下，網絡安全防護必須綜合利用多種手段，構建多層次全維度的安全防護體系。

(二)網絡安全技術正孕育突破，必須關注能改變游戲規則的創新技術

到目前為止，網絡空間易攻難守的基本格局還沒有改變。但軟件定義網絡、深度學習、動態目標防御等技術已經過多年研發，具有改變網絡空間游戲規則的潛力，應予以充分關注。美國軍方、科研院所、各大公司和諸多初創企業在網絡空間安全技術創新方面都不遺余力，在一些方面已經取得了若干進展。我國應抓住機遇，加強基礎研究，推動協同攻關，推進科技成果轉化，爭取早日突破核心技術難題，實現“彎道超車”。

(三)網絡安全態勢感知面臨機遇，必須推進各方面的協同合作

只有“看見”風險，才能有效預警和及時防護，從而保障網絡和業務的安全。隨著云計算、大數據、移動互聯網的日趨普及，網絡變得更加開放，安全邊界變得模糊，網絡安全態勢感知面臨新的挑戰和機遇。應在識別多種風險要素(用戶身份、終端類型、接入方式、系統版本、應用類型、數據內容等)的基礎上，協同各方面的力量進行深入的關聯分析，及時感知態勢，精準定位風險，增強網絡安全防護能力。

(四)網絡安全歸根結底是人才競爭，必須切實加強人才隊伍建設

網絡安全的本質是對抗，對抗的本質是攻防雙方人員能力的較量。網絡安全防護能力依賴于網絡安全精英的聰明才智，也有賴于網絡全體用戶的安全意識。在不久前召開的網絡安全和信息化工作座談會上，習總書記已經發出了“聚天下英才而用之”的號召，相信在引進人才、保留人才方面會有新的舉措。建議在不同層次上開展網絡攻防演練，并利用多種方式加強網絡安全宣傳，既鍛煉和培養網絡安全專業人才隊伍，也增強全體用戶的網絡安全意識，共筑安全防線，讓網絡造福國家和人民。

[1] Joint Publication 1－02，Department of Defense Dictionary of Military and Associated Terms[S].2016.02.

[2] Defense Information Systems Agency Strategic Plan 2015－2020[EB/OL].http://www.disa.mil/News/Stories/2015/Strategic－Plan，2015.06.

[3] 關于美軍網絡安全防護的三道防線.How DISA Defends DoD Networks[EB/OL]，http://www.c4isrnet.com/story/military－tech/disa/2015/05/13/disa－defends－dod－networks/27248881/，2015.05.

[4] 關于“信息保障支持環境”(IASE).[EB/OL].http://iase.disa.mil/.

[5] 關于美軍網絡安全防護的技術關注.[EB/OL].http://www.disa.mil/News/Conferences－and－Events/2015－AFCEA－Defensive－Cyber－Operations－Symposium.

Development and Enlightenment of US Military Cyber Defense

SUN Xue－tao
(Research Center，China’s Electronic Devices System Engineering Corporation，Beijing 100141，China)

The evolution of the leading system of US military cyber defense is described，and the reason for this new change also explored.The current focuses of the US military cyber defense are technically analyzed，including the formulation of guiding documents，improvement of situation awareness，enchancement of network resilience，user identity ID authentication and cybersecurity.And thus some suggestions are proposed for strengthening of China’s cyber defense.

US military;cybersecurity;defense;current focus;enlightenment

TN915 [文獻標志碼]A [文章編號]1009－8054(2016)07－0094－03

2016－02－18

孫學濤(1972—)，男，碩士，高級工程師，主要研究方向為網絡安全。