美军网络安全防护的最新发展与启示

孙学涛

(中国电子设备系统工程公司研究所，北京100141)

美军网络安全防护的最新发展与启示

孙学涛

(中国电子设备系统工程公司研究所，北京100141)

简述近年来美军网络安全防护领导体制的新变化并探究了其原因，从技术层面分析美军网络安全防护的当前关注重点，包括制定指南文件、提高态势感知能力、增强网络弹性、加强身份认证、加强安全测试等，进而提出对我国加强网络安全防护的启示。

美军;网络安全;防护;当前关注;启示

0 引言

美军拥有庞大的信息网络，其安全防护备受关注。近年来，美军信息网络的安全防护在领导体制上经历了新变化，在技术层面做了若干探索，取得了一些经验教训，值得我们借鉴。

1 美军信息网络及安全防护概况

2013年初，美国国防部用“国防部信息网络”(DoDIN)取代了先前所称的“全球信息栅格”(GIG)。根据美国国防部2016年2月版的《国防部军事与相关术语词典》，DoDIN是“信息能力和相关流程的集合，其中包括用于为政策制订者、作战人员和支持人员按需采集、处理、存储、分发和管理信息的流程，无论所用设备是联网状态还是单机状态，包括自有的和租借来的通信和计算系统或服务，包括软件(含应用)、数据、安全服务及其它相关服务，还包括若干种国家安全系统”[1]。可见，DoDIN是美军信息网络的总称。

根据美国国防部2014年3月颁布的第8500.01号指令文件，网络安全防护是指“采取措施防范、检测、刻画、抵御或减缓DoDIN中的安全漏洞和非法行为”。2016年3月7日，美国国防部首席信息官(CIO)签发第8530.01号国防部指示文件，称“美国防部综合运用技术能力和非技术能力，采用隔离、遏制、冗余、分层防护、最小权限、态势感知等多种措施对DoDIN和国防部信息进行安全防护，确保其机密性、完整性和可用性”。该文件进一步明确了国防部各机构在DoDIN运维与使用方面的网络安全职责，列出了国防信息系统局(DISA)的8大项职责，其中包括对国防部的信息传输和企业级服务进行安全防护、在全军层面上规划和实施DoDIN运维及安全防护等。

2 美军网络安全防护的领导体制

长期以来，在DoDIN的建设、运维和安全防护方面，美国国防信息系统局(DISA)发挥着核心统领作用。DISA由国防部首席信息官直接领导，目前该局的愿景是“国防中的信息优势”，致力于在全谱行动中提供、运维和确保指挥控制能力、信息共享能力及可全球接入的企业级信息基础设施，为联合作战人员、国家领导人、任务伙伴及盟友提供直接支持[2]。

由DISA局长负责指挥网络防御作战已有十余年的历史。1998年，美国国防部首次组建计算机网络防御联合任务部队(JTF－CND)。2000年秋，美国国防部决定把计算机网络的攻与防合二为一，将JTF－CND改称为计算机网络作战联合任务部队(JTF－CNO)，由DISA副局长兼任该部队司令。2004年4月，JTF－CNO又被改称为全球网络运维联合任务部队(JTF－GNO);同年6月，国防部长指定DISA局长兼任JTF－GNO司令，负责领导全球信息栅格的运维和防御。2010年，DISA的网络安全防护职能移交给了新成立的美军网络司令部。

四年后，2014年11月，美军网络司令部发布《国防部信息网络联合部队司令部(JFHQ－DoDIN)作战概念》，明确了将网络安全防护力量重新划归DISA的设想。2015年1月，在DISA内新设立的JFHQ－DoDIN具备初始作战能力，由DISA局长兼任该司令部司令，主要负责防御性网络空间作战。该司令部的设立，标志着DISA加入作战指挥序列，美军的网络安全防护再次由DISA统领。

美军的网络安全防护为什么要由DISA来统领?根本原因是网络安全防护必须以对网络的深刻理解为基础。DISA长期负责DoDIN的建设和运维，从设计理念到运维细节，DISA是美军最清楚DoDIN的部门。2016年5月初，美军网络司令部作战部部长承认，在美军网络司令部组建网络安全防护力量的过程中，一个重要教训是:缺乏对网络的理解。

3 美军网络安全防护的技术关注

3.1 制定和贯彻指南文件

没有规矩，不成方圆。代表美国国防部制定或修订网络安全指南文件是DISA的重要职能。这些指南文件包括安全需求指南、安全技术实施指南等文件，也包括关于管理/控制互联网协议、数据服务及端口的指南和标准。例如在云计算方面，继2015年1月代表国防部发布《云计算安全需求指南(草案)》第1版之后，2015年7月，DISA发布了《云计算安全需求指南(草案)》第1.2版，并同时发布了《云接入点功能需求文档(草案)》、《云计算网络防御行动概念(草案)》等指南文件。2016年3月25日，DISA新发布了《云计算安全需求指南》第1.2版。这些指南文件在信息安全目标/影响等级、云服务风险评估、安全需求、计算机网络防御及事件响应等方面为美军提供了遵循。

DISA从1998年开始建设和维护“信息保障支持环境”(IASE)网站[3]，开发和提供网络安全培训产品及资料。IASE网站是美军关于网络安全政策、技术指南及工具的权威网站，是对美军官兵进行网络安全培训的重要渠道，在贯彻落实指南文件的各项规定方面发挥着重要作用。

3.2 提高态势感知能力

态势感知能力对攻击和防御都至关重要。美军为DoDIN设置了三道安全防线[4]。第一道是在DoDIN与互联网的接入点，对所有Web流量进行监控;第二道是联合区域安全栈(JRSS)，JRSS取代了原来美军在各基地、各营区设置的安全栈;第三道是在用户使用的设备上，即用新一代基于主机的安全系统(HBSS)来检测和应对威胁。

DISA已在使用的“网络态势感知分析能力”(CSAAC)系统包括了涵盖美军涉密网络和非涉密网络的多种解决方案，能够采集、分析来自DoDIN和任务伙伴环境的信息，并能实现这些信息的可视与共享。上述三道防线都设置有传感器，都能将相关数据上传给CSAAC系统。借助CSAAC系统所获得的广泛而详尽的信息，DISA可以为整个网络杀伤链提供态势感知能力，及时应对高级持续威胁(APT)，从而加强对DoDIN的防护，为决策者提供更有力的支持。

2015年底，DISA的一位部门领导透露，由于来自各种传感器的数据量非常巨大，如何迅速找到恰如所需的数据十分关键;在分解数据、按需呈现数据及支持决策方面，也还需要采用更有效的工具。DISA正在积极寻求更富创新的大数据解决方案，以实现更全面、更先进的网络态势感知能力。

3.3 增强网络弹性

在增强网络弹性方面，美军正在密切关注软件定义网络(SDN)、虚拟桌面集成(VDI)等技术[5]。软件定义网络技术不仅有助于降低成本，而且能实现网络的快速变更和变形，或许会使长期持续威胁不复存在。采用虚拟桌面集成技术后，可以避免因特网和电子邮件功能深入到国防部的网络中。由于电子邮件是网络攻击的重要途径，采用虚拟桌面集成技术将会减小攻击面。DISA局长认为，SDN技术和VDI技术“提供了看待网络的新视角”，可能带来网络攻防态势的根本性变化，对网络安全防护意义重大、影响深远。

2015年11月初，DISA开发与业务中心主任称，随着合作伙伴纷纷采用虚拟化架构和虚拟化解决方案，DISA正致力于拓展虚拟化平台。DISA希望通过建设数据中心虚拟环境，使各司令部能迅速建立自己所需要的虚拟网络。DISA正在与美军欧洲司令部、中央司令部协作，搞清各军种对虚拟化的需求和目标。

3.4 加强身份认证

身份认证是防范网络威胁的重要条件。随着技术的发展，越来越多的移动设备进入美军的网络。美军顺应技术发展大势，将允许更多用户借助移动终端使用涉密语音、视频及数据通信服务，如何加强和完善身份认证成为现实而紧迫的问题。在国防部通用访问卡(CAC)已成功使用多年的基础上，DISA正致力于将更先进的身份管理功能嵌入到设备中去。

2014年6月有报道称，DISA和美国海军合作，对使用派生凭证的软件进行测试;2015年11月，DISA拿到了第一批使用派生凭证的绝密级智能手机，正在进行测试，计划在2016年7月前为国防部列装3000部机密级智能手机。在基于商用现货的涉密手机上使用派生凭证，反映出美军在网络身份认证技术方面又前进了一步。

3.5 加强网络安全测试与集成

DISA下设有联合互操作测试司令部(JITC)。JITC是美国国防部唯一一个不隶属于任何军种、负责对信息技术及各种国家安全系统进行测试的作战测试机构。该司令部提供基于风险的测试、评估及认证服务/工具/环境，以确保在联合作战中使用的各种信息技术能力能够顺畅地互操作、能够切实满足任务需求。

2014年8月，美国国防部测试与评估主任签发了《在采办项目中对网络安全进行作战测试与评估的流程》，规定所有能收发数字式信息的系统都要接受网络安全测试。2015年10月，美国国防部首席信息官和分管采办/技术/后勤的国防部副部长联合签发国防部备忘录，颁布关于将网络安全风险管理框架融入系统采办周期的指南文件，要求在系统工程、测试评估等各环节都必须考虑网络安全问题。美军将依据这些文件规定，进一步加强网络安全测试工作。

4 启示

(一)网络安全威胁层出不穷，必须构建多层次全维度的安全防护体系

层出不穷的网络安全威胁已引起全社会的关注。在形形色色的网络安全威胁中，既有来自外部的，也有来自内部的;既有“脚本小子”捣乱，也有敌对国家的高级持续性威胁(APT)。网络安全防护的“老三样”(防病毒、防火墙、入侵检测)依然没有退出历史舞台，能防范各种安全威胁的“万能药”式解决方案短时期内还不会出现，我国网络安全的自主可控任重道远。在这样的时代背景下，网络安全防护必须综合利用多种手段，构建多层次全维度的安全防护体系。

(二)网络安全技术正孕育突破，必须关注能改变游戏规则的创新技术

到目前为止，网络空间易攻难守的基本格局还没有改变。但软件定义网络、深度学习、动态目标防御等技术已经过多年研发，具有改变网络空间游戏规则的潜力，应予以充分关注。美国军方、科研院所、各大公司和诸多初创企业在网络空间安全技术创新方面都不遗余力，在一些方面已经取得了若干进展。我国应抓住机遇，加强基础研究，推动协同攻关，推进科技成果转化，争取早日突破核心技术难题，实现“弯道超车”。

(三)网络安全态势感知面临机遇，必须推进各方面的协同合作

只有“看见”风险，才能有效预警和及时防护，从而保障网络和业务的安全。随着云计算、大数据、移动互联网的日趋普及，网络变得更加开放，安全边界变得模糊，网络安全态势感知面临新的挑战和机遇。应在识别多种风险要素(用户身份、终端类型、接入方式、系统版本、应用类型、数据内容等)的基础上，协同各方面的力量进行深入的关联分析，及时感知态势，精准定位风险，增强网络安全防护能力。

(四)网络安全归根结底是人才竞争，必须切实加强人才队伍建设

网络安全的本质是对抗，对抗的本质是攻防双方人员能力的较量。网络安全防护能力依赖于网络安全精英的聪明才智，也有赖于网络全体用户的安全意识。在不久前召开的网络安全和信息化工作座谈会上，习总书记已经发出了“聚天下英才而用之”的号召，相信在引进人才、保留人才方面会有新的举措。建议在不同层次上开展网络攻防演练，并利用多种方式加强网络安全宣传，既锻炼和培养网络安全专业人才队伍，也增强全体用户的网络安全意识，共筑安全防线，让网络造福国家和人民。

[1] Joint Publication 1－02，Department of Defense Dictionary of Military and Associated Terms[S].2016.02.

[2] Defense Information Systems Agency Strategic Plan 2015－2020[EB/OL].http://www.disa.mil/News/Stories/2015/Strategic－Plan，2015.06.

[3] 关于美军网络安全防护的三道防线.How DISA Defends DoD Networks[EB/OL]，http://www.c4isrnet.com/story/military－tech/disa/2015/05/13/disa－defends－dod－networks/27248881/，2015.05.

[4] 关于“信息保障支持环境”(IASE).[EB/OL].http://iase.disa.mil/.

[5] 关于美军网络安全防护的技术关注.[EB/OL].http://www.disa.mil/News/Conferences－and－Events/2015－AFCEA－Defensive－Cyber－Operations－Symposium.

Development and Enlightenment of US Military Cyber Defense

SUN Xue－tao
(Research Center，China’s Electronic Devices System Engineering Corporation，Beijing 100141，China)

The evolution of the leading system of US military cyber defense is described，and the reason for this new change also explored.The current focuses of the US military cyber defense are technically analyzed，including the formulation of guiding documents，improvement of situation awareness，enchancement of network resilience，user identity ID authentication and cybersecurity.And thus some suggestions are proposed for strengthening of China’s cyber defense.

US military;cybersecurity;defense;current focus;enlightenment

TN915 [文献标志码]A [文章编号]1009－8054(2016)07－0094－03

2016－02－18

孙学涛(1972—)，男，硕士，高级工程师，主要研究方向为网络安全。