|
一張圖看懂美軍網(wǎng)軍部隊系列有一段時間沒有更新����,主要原因是考慮得不成熟����。如何用一張圖來講美軍網(wǎng)軍的裝備,確實(shí)撓頭�。最近受“分而治之”思想啟發(fā)���,決定從不同的任務(wù)類型出發(fā)�����,分別來介紹好了��。因?yàn)橹饕菑拈_源獲取相關(guān)信息�,要想羅列出現(xiàn)在所有防御裝備也不太現(xiàn)實(shí)���,這張圖主要想講清楚裝備技術(shù)體系和發(fā)揮核心作用的裝備能力����。 第一張圖看懂美軍網(wǎng)軍部隊組成提到美軍網(wǎng)軍部隊分為國家任務(wù)部隊、戰(zhàn)斗任務(wù)部隊和網(wǎng)絡(luò)空間保衛(wèi)部隊三類���。其中網(wǎng)絡(luò)空間保衛(wèi)部隊主要是負(fù)責(zé)美軍軍網(wǎng)運(yùn)維和防御�。我們先從軍網(wǎng)防御裝備體系開始來進(jìn)行介紹。 一�����、國防部信息網(wǎng)(Department of Defense Information Networks, DODIN) 要講美軍的軍網(wǎng)安全��,先得介紹一下美軍的軍事信息網(wǎng)絡(luò)�����。美軍信息網(wǎng)絡(luò)從1960年代開始建設(shè),先后經(jīng)歷了國防通信系統(tǒng)(DCS)����、國防信息系統(tǒng)網(wǎng)(DISN)����、全球信息柵格(GIG)�、以及現(xiàn)在的國防部信息網(wǎng)(DODIN)四個階段��。其網(wǎng)絡(luò)架構(gòu)隨著美軍戰(zhàn)略和網(wǎng)絡(luò)空間安全形勢的變化而不斷調(diào)整�。目前的國防部信息網(wǎng)是基于JIE架構(gòu)建設(shè)的�。我放了一張DODIN的圖讓大家有個直觀印象(開胃菜)�����。 
國防部信息網(wǎng)是收集、處理���、存儲、傳播和管理美軍決策人員�、作戰(zhàn)人員和支持人員所需信息的網(wǎng)絡(luò)�����,包括自有和租賃的通信和計算系統(tǒng)和服務(wù)���、軟件����、數(shù)據(jù)�、安全服務(wù)�����、其他相關(guān)服務(wù)和國家安全系統(tǒng)。由美國國防部下屬的國防信息系統(tǒng)局(DISA)負(fù)責(zé)建設(shè)���、運(yùn)營和安全防御��。國防部信息網(wǎng)是一張以DISN為核心��,主干網(wǎng)絡(luò)采用MLPS�,由數(shù)千個涉密和非密網(wǎng)絡(luò)接入構(gòu)成的復(fù)雜網(wǎng)絡(luò)��。由作戰(zhàn)指揮、服務(wù)和機(jī)構(gòu)網(wǎng)絡(luò)組成�����,向下一直覆蓋到美軍的基地��、哨所���、營地和工作站(以下簡稱B/P/C/S)各級別的軍事機(jī)構(gòu)���,通過不同類型的網(wǎng)關(guān)接入了商業(yè)云���、互聯(lián)網(wǎng)���、任務(wù)合作伙伴網(wǎng)絡(luò)��、機(jī)密網(wǎng)、衛(wèi)星網(wǎng)�����、移動網(wǎng)等����。 二����、聯(lián)合信息環(huán)境(Joint InformationEnvironment, JIE) 為了讓大家更清晰的了解�,我放上一張JIE架構(gòu)圖來進(jìn)行說明(甜點(diǎn))�。 
美軍從2012年由GIG轉(zhuǎn)向JIE。JIE為DODIN提供的關(guān)鍵能力包括: · 統(tǒng)一網(wǎng)絡(luò)運(yùn)營:統(tǒng)一的IT服務(wù)和管理流程�����; · 網(wǎng)絡(luò)規(guī)范化:端到端的IP傳輸�,安全的架構(gòu)模式���,可預(yù)測的安全邊界���; · 單一安全架構(gòu)(SSA)���; · 數(shù)據(jù)中心整合:建設(shè)標(biāo)準(zhǔn)化和集中的數(shù)據(jù)中心,例如云計算; · 統(tǒng)一的通用服務(wù):在全網(wǎng)統(tǒng)一提供通用服務(wù)���,比如電子郵件�、Web門戶、即時通信�����,IP電話等����; · 統(tǒng)一的身份與訪問管理(IdAM):提供DODIN用戶和實(shí)體在任何時間��、任何地點(diǎn)可靠地訪問任何資源的能力。 JIE的核心思想是采用統(tǒng)一的標(biāo)準(zhǔn)集中建設(shè)IT和網(wǎng)絡(luò)基礎(chǔ)設(shè)施����,摒棄了GIG時代各軍種各自建設(shè)IT基礎(chǔ)設(shè)施的方式。從防御的角度來說����,攻擊面縮小����,同時統(tǒng)一的技術(shù)架構(gòu)有利于形成全局的網(wǎng)絡(luò)態(tài)勢感知和分析能力�,這就是單一安全架構(gòu)帶來的變化。SSA的安全架構(gòu)思想包括: · 將網(wǎng)絡(luò)劃分為可管理的安全區(qū)域�����,以實(shí)施一致的策略和標(biāo)準(zhǔn)化的方法; · 在最佳網(wǎng)絡(luò)位置設(shè)置標(biāo)準(zhǔn)化安全套件��; · 將傳感器放置在最有效的位置以進(jìn)行流量捕獲和檢查����; · 通過集中的網(wǎng)絡(luò)安全大數(shù)據(jù)提供全局態(tài)勢感知和安全分析; · 在服務(wù)器和用戶資產(chǎn)分離后保護(hù)飛地����; · 拆除多余的信息安全保障(IA)系統(tǒng); · 集中的運(yùn)營中心����、工具����、運(yùn)營和防御人員�����,監(jiān)控JIE中的所有安全機(jī)制����; SSA最主要的組件包括聯(lián)合區(qū)域安全棧(JRSS)和網(wǎng)絡(luò)安全態(tài)勢感知與分析能力(CSAAC),下面重點(diǎn)加以介紹�。 DODIN是一張遍布全球的網(wǎng)絡(luò),按照J(rèn)IE的單一安全架構(gòu)劃分為48個區(qū)域�,通過聯(lián)合區(qū)域安全堆棧(JRSS)將這些區(qū)域連入DODIN���。一個軍事區(qū)域及其下屬的B/P/C/S各前線陣地�,通過JRSS整體接入DODIN���。JRSS通過一套標(biāo)準(zhǔn)化的�、被稱為“堆?���!钡陌踩O(shè)備來實(shí)現(xiàn)安全防御能力���,堆棧一詞強(qiáng)調(diào)了安全設(shè)備的標(biāo)準(zhǔn)化及其部署安裝的標(biāo)準(zhǔn)化����。安全堆棧具體包括防火墻�、入侵檢測與防御���、系統(tǒng)管理、虛擬專網(wǎng)(VRF)等網(wǎng)絡(luò)安全設(shè)備�����。DODIN安全運(yùn)營中心能夠查看����、管理和評估通過堆棧的數(shù)據(jù)�,以保持對系統(tǒng)的態(tài)勢感知�����,并管理數(shù)據(jù)數(shù)量和性能標(biāo)準(zhǔn)����,確保響應(yīng)時間。 網(wǎng)絡(luò)安全態(tài)勢感知與分析能力CSAAC主要由以下四個能力構(gòu)成: (1)網(wǎng)絡(luò)運(yùn)營能力 · DODIN全網(wǎng)的態(tài)勢感知��; · 為DOD統(tǒng)一電子郵件系統(tǒng)的健康狀態(tài)提供可視指標(biāo)����; · 能夠快速查看問題概況; · 能夠了解發(fā)生系統(tǒng)問題時受影響的用戶的數(shù)量�����、位置和業(yè)務(wù)�; (2)網(wǎng)絡(luò)防御能力 · 網(wǎng)絡(luò)威脅分析; · 從報告中自動接收����、分析和更新網(wǎng)絡(luò)威脅信息; · 根據(jù)已接收的數(shù)據(jù)對發(fā)現(xiàn)的威脅進(jìn)行判斷: 以前是否出現(xiàn)過這種威脅���;誰報告過這種威脅���; 出現(xiàn)過這種威脅的網(wǎng)絡(luò)位置�; 是否有現(xiàn)成的應(yīng)對措施���;
· 利用自動工作流創(chuàng)建新的應(yīng)對措施; (3)異常檢測能力 · 內(nèi)部威脅分析�; · 匯集非密網(wǎng)(NIPRNet)和涉密網(wǎng)(SIPRNet)的數(shù)據(jù)以識別異常�; · 提供國防部用戶網(wǎng)絡(luò)活動的可視性����,以協(xié)助事件查詢和調(diào)查程序; · 使用大數(shù)據(jù)進(jìn)行復(fù)雜的分析,生成聚焦的結(jié)果; (4)任務(wù)網(wǎng)絡(luò)地形映射能力(Mission Mapping)/持續(xù)監(jiān)測能力 這是一種將網(wǎng)絡(luò)安全范式從以IT為中心轉(zhuǎn)變?yōu)橐匀蝿?wù)為導(dǎo)向的新方法�����,為了捍衛(wèi)網(wǎng)絡(luò)空間中的任務(wù)�����,必須理解該任務(wù)對網(wǎng)絡(luò)空間和網(wǎng)絡(luò)資產(chǎn)的依賴性,持續(xù)監(jiān)測網(wǎng)絡(luò)資產(chǎn)以提供網(wǎng)絡(luò)安全風(fēng)險可視化��,定量顯示安全狀況,收集可以安全執(zhí)行任務(wù)的情報��,通過捍衛(wèi)與任務(wù)相關(guān)的網(wǎng)絡(luò)地形來提供任務(wù)保證,從而在危險的網(wǎng)絡(luò)環(huán)境中執(zhí)行任務(wù)����。其中持續(xù)監(jiān)測由持續(xù)監(jiān)測和風(fēng)險評分系統(tǒng)(CMRS)和安全配置管理系統(tǒng)(SCM)支撐�。 三���、DODIN防御裝備能力體系 
這張圖用來說明軍網(wǎng)防御裝備的能力體系(主菜)��,它的形態(tài)是由JIE結(jié)構(gòu)的變化來塑造的����。邊界安全、區(qū)域安全��、飛地和端點(diǎn)安全�、移動安全適用于不同接入場景下的安全能力�,通過SSA支撐形成全網(wǎng)統(tǒng)一的運(yùn)維和環(huán)境感知能力�����。DODIN的安全防御有三個主要特點(diǎn),第1是網(wǎng)上設(shè)施和服務(wù)的標(biāo)準(zhǔn)化與集中(JRSS)�����;第2是網(wǎng)絡(luò)安全態(tài)勢感知與分析(CSAAC);第3是網(wǎng)絡(luò)安全情報共享(ESSA),標(biāo)準(zhǔn)化與集中是為了提升效率和縮小攻擊面;消費(fèi)、生產(chǎn)、共享網(wǎng)絡(luò)威脅情報是網(wǎng)絡(luò)安全防御運(yùn)營的必要條件;全局的網(wǎng)絡(luò)安全態(tài)勢感知和分析是DODIN應(yīng)對國家級網(wǎng)絡(luò)安全威脅的基本手段����。 美軍網(wǎng)軍的技術(shù)能力在全球處于領(lǐng)先地位�����,但網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展對其防御體系也形成新的壓力��。原來局域性、靜態(tài)化���,以規(guī)則為基礎(chǔ)的安全防御手段無法適應(yīng)國家級網(wǎng)絡(luò)攻防對抗的需求。美軍深刻的認(rèn)識到這一點(diǎn)�����,在利用JRSS等方式縮小網(wǎng)絡(luò)攻擊面�����,高效使用網(wǎng)絡(luò)安全防御力量�,做好傳統(tǒng)的縱深防御的同時����,網(wǎng)絡(luò)防御的重點(diǎn)轉(zhuǎn)向利用安全大數(shù)據(jù)研發(fā)全局態(tài)勢感知和分析能力��,建立全網(wǎng)情報共享和面向任務(wù)的動態(tài)網(wǎng)絡(luò)環(huán)境管理能力���。 互聯(lián)網(wǎng)上關(guān)于DODIN的資料浩如煙海��,想用一張圖闡述清楚美軍軍網(wǎng)防御裝備能力體系是非常困難的�����。本文最后這一張圖試圖從架構(gòu)發(fā)展驅(qū)動能力變化的角度理解美軍軍網(wǎng)防御。一家之言����,歡迎探討爭論���。 參考資料:
1��、Jon Marcy����,DODINCapabilities Framework Overview,2019 2����、Danielle Metz,Joint Information Environment Single SecurityArchitecture (JIE SSA),2014 3、Daniel V. Bart���,Big DataPlatform (BDP) and Cyber Situational Awareness Analytic Capabilities (CSAAC)��,2016 4��、Dan Bart & Bob Landreth�,Cyber Situational Awareness - Big Data Solution,2015
|
