美軍聯合信息環境建設的主要做法及啟示

陳 力

國防科技大學信息通信學院 湖北 武漢430011

網絡信息體系的構建不僅是信息基礎設施的建設,更要側重于網絡層面的信息從融合到共享的發展,建立一個統一、高效和安全的信息環境。2013年1月,美國參謀長聯席會議主席簽發了《聯合信息環境白皮書》,闡述了聯合信息環境的基本構想,將其視為美軍2020聯合部隊實現全球一體化作戰及任務式指揮的根本賦能要素。美軍聯合信息環境計劃是美軍目前信息化建設最大的工作,深入研究分析美軍聯合信息環境建設情況,有助于為我軍網絡信息環境建設提供理論參考。

一、美軍聯合信息環境提出背景

(一)信息技術的推動。創新是引領發展的第一動力。隨著現代科技水平的快速發展,信息技術已經成為衡量一場戰爭勝負的關鍵因素。近年來,以云計算、大數據、物聯網、AI智能為代表的新技術徹底促進了作戰模式的發展和轉變,相應的作戰信息環境結構、應用模式也必須隨之改變,以便更好適應作戰的需要。美軍提出的聯合信息環境,就是以全球信息柵格網絡(GIG)為基礎,充分利用最新的信息技術來解決當前軍事信息環境中存在的“瓶頸”問題,有效提高數據的處理和分析能力,大幅度提升指揮決策的時效性,使作戰指揮人員能夠基于任意設備、在任意時間和全球范圍內的任意地點獲取所需的信息。

(二)現有信息基礎設施落后。以全球信息柵格網絡(GIG)為主的信息基礎設施為美軍帶來信息優勢的同時,也因其組織系統“煙囪式”的開發,形成了大量的異構網絡和特定技術軟件平臺。這些特定的網絡和系統逐漸暴露出互操作性差、結構過于龐大和復雜、對訪問所需信息的能力受到限制,特別是各軍兵種之間互聯互通困難,嚴重妨礙了戰場信息資源的共享效率,無法滿足作戰對在正確的時間獲取正確信息的要求。國國防部在全球數十個國家的上百個軍事設施中操控著15000多個網絡及700多萬臺計算機設備,維護人員超過9萬人,指揮控制系統非常復雜,與許多網絡存在超過100個對外接口,給整個系統設計和使用帶來很大困難,亟需進行統一標準化管理維護。

(三)“全球一體化作戰”需要。美軍在2012年9月發布的《頂層作戰概念:聯合部隊2020》中提出了“全球一體化作戰”概念,并于2014年3月,在新版的《四年防務評估報告》中提出,要通過戰爭準備再平衡、全球態勢再平衡、聯合部隊再平衡,履行好“保衛本土、構建全球安全、打贏戰爭”的戰略任務[3]。全球一體化作戰本質是作戰人員能快速在各作戰區域、不同層級間進行網絡整合和重組,以提高指揮作戰的靈活性。全球一體化作戰更強調采用“任務式指揮”方式,前沿部隊通過實現快速重組和靈活調配,采用最有效的方式達成上級的作戰意圖,大幅度縮短指揮周期,實現從信息優勢向決策優勢的轉變。因此,美軍需要對信息環境進行快速調整,構建一種能夠實現跨域融合、任務指揮的信息資源共享環境,以便能實時掌握戰場態勢、縮短指揮決策時間。

二、美軍聯合信息環境建設的主要做法

美軍聯合信息環境構建的三大核心要素是:“共享的信息技術設施、優化的企業服務和單一的安全架構”,通過新技術手段,整合全球分散的信息基礎設施,通過基于云計算技術,實現服務以網絡為中心向數據為中心轉變,通過單一安全網絡架構模式,提升網絡安全防御能力。

(一)加強數據中心整合。提高作戰指揮效率的核心在于信息的快速傳遞,而信息快速快遞的核心又在于數據的集成融合和實時共享。美軍計劃將國防部通過現有大量的數據中心和異構網絡的整合為三大類:一是核心數據中心,主要部署在美國本土及各大戰區總部,能夠提供標準化的承載和存儲服務,國防信息系統局企業計算中心、部門企業數據中心以及部門軍事設施數據中心的功能和所交付的服務,將整合到數十個核心數據中心中;二是設施處理節點,主要部署在獨立的國防部設施和局部區域,從技術或經濟方面考慮,這些區域無法由核心數據中心為其提供本地化服務;三是特種用途處理節點,主要用于保障特種用途的相關功能,從技術或者經濟性方面來講,由于基礎設施和設備的差異性,導致這些特種功能無法由核心數據中心或者設施處理節點來提供。

(二)構建單一安全架構。為了解決復雜網絡防御困難、態勢感知能力弱等安全問題,美軍提出了構建單一安全架構的解決方案。單一安全架構通過將服務器與終端用戶分開、計算區物理與邏輯分割和公共用戶放至非軍事區等安全防護措施,并基于“零信任”原則,對所有網絡上人員和機器實現端到端的、唯一的、明確的區分,將訪問用戶和其數字身份綁定在一起,從而降低網絡的匿名性,使網絡防御扁平化、縱深防御集中化,降低網絡防御的復雜性和成本率,大幅提升網絡安全防御能力。聯合信息環境通過整合網絡接入點,減少網絡攻擊面,增加網絡可防御性,在關鍵網絡節點處統一部署標準化安全套件和專業化防御力量。通過制定統一指揮計劃,執行通用戰術、技術和規程,采用強制性標準規范,統一安全防御的各種指令信息運行和管理,促進網絡防御標準化和集中化。

(三)創新網絡運維模式。美軍全球信息柵格(GIG)依靠的是以軍種為中心的非標準運維模式,其戰術、技術和規程以及體系結構和應用都存在非標準化、非集成化、無法互操作等方面的制約。美軍計劃將現有非標準運維模式國防部網絡運行中心整合成三級全球網絡運維中心,為所有作戰任務提供支持。一是設立全球企業運維中心,負責戰略層級全球行動的統籌、協調,為任務伙伴提供外部接口和核心技術支持,實現全球多層級、多領域、多軍種的態勢感知能力。二是設立區域企業運維中心,采用標準化運維模式并互為備份,當一個企業運維中心出現故障,根據故障備份計劃,另外一個指定的企業運維中心自動接管其作戰任務,最終狀態是所有企業運維中心都能夠承擔任何企業運維中心的作戰任務。三是設立戰術級運維中心,負責維護終端基礎設施,對戰術級的單元進行保障,提供國防部聯合信息環境行動的突發響應。

三、幾點的啟示

(一)加強數據中心建設,重在一個“融”字。當前,應借鑒美軍相關經驗及教訓,利用后發優勢,根據聯合作戰需要,統一規劃數據中心建設運用,做好頂層設計,優先出臺數據中心建設、運行、使用、管理等一系列標準規范,從起步之初就確保統一規劃實施、緊貼實戰需求、采用最新技術架構、標準化建設運行的原則,實現數據信息融合。一是規范數據中心建設運用。盡快出臺標準,明確數據中心建設運用的統一原則。例如,在層次方面,將數據中心按照不同領域進行歸類,重點突出全軍通用數據中心、軍兵種專用數據中心、戰術移動數據中心建設。在技術標準方面,應廣泛采用云計算和虛擬化等先進技術,建設通用信息服務架構,為用戶提供透明服務;二是建立數據信息開放共享機制。體系是骨骼、網絡是血管、數據是血液,只有讓血液實時流動,充分融合才能達到作戰要求。網絡信息環境建設必須以作戰為牽引,堅持開放、實時、融合、共享的通用結構和標準,實現對接入數據信息的整合。

(二)加強網絡防護建設,重在一個“統”字。美軍將網絡安全融入聯合信息環境整體設計,通過單一安全架構、強身份認證/訪問控制、統一態勢感知、集中監控防御等方式,實現防御能力大幅提升。當前網絡安全防護建設應以能力建設為牽引,從技術手段、力量建設、法規制度、組織運用等方面系統推進網絡安全防護體系建設,形成統一的安全防御架構體系;一是加強網絡安全建設運用集中統管。適應信息技術發展和聯合作戰需要,統一設計安全體系架構,采用標準化網絡安全架構和技術體制,統建安全防護基礎設施和通用防護手段,統籌安防力量編配,統一安全策略和基線標準,統一業務處置規范,實現網絡防御組織運用集中化、標準化,提高防御效能;二是加快推進統一網絡信任體系建設和組織運用,采用以身份為中心的多因素認證,為末端節點的隨遇接入和控制貫通提供統一身份認證能力。在戰略骨干網邊界和局域網邊界實施入網控制,對應用系統和信息資源實施基于屬性的訪問控制,提供跨域訪問控制能力,確保人員可信入網、網系可信互聯、應用受控訪問、數據安全共享,實現對末端的精細管控能力。

(三)創新網絡運維模式,重在一個“管”字。美軍聯合信息環境致力于將各軍種分散的運維要素整合為由三級運維中心構成的標準化運維架構,這種運維理念與我們“方向+領域”的戰略設計構想基本一致。一是分層進行網絡運維管理。我們應充分利用專業通信主管部門的統建統管優勢,構建“核心—區域—終端”三級的網絡運維模式,明確各層級擔負的任務和職責,確保各類運維力量更好的協同配合、互為備份、運管一致;二是建立基于“云技術”的運維模式。云計算技術是一種可以通過網絡便捷地按需訪問已配置的共享的計算資源池的模式。通過構建核心云服務中心,根據不同的任務需要,各級力量可以依托“云”服務,可實現資源信息隨時按需獲取和高效共享,從而保障任務順利完成。