美军网络安全 (三)：联合区域安全栈 (JIE JRSS) 概述

一、前期回顾

“美军网络安全”系列第一篇（美军网络安全 | 开篇：JIE（联合信息环境）概述）介绍了美军JIE（联合信息环境）的总体情况。其主要目标是实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息，以满足联合作战的需求。

JIE的9大关键领域如下（通过合并JIE的6项关键能力和8个现代化领域）：1）网络现代化（网络规范化）；2）网络安全体系架构（单一安全架构-SSA/CCA）；3）身份和访问管理（IdAM）；4）企业运营；5）企业服务；6）云计算；7）数据中心整合；8）任务伙伴环境（MPE）；9）移动性。

本系列第二篇（美军网络安全 | 第2篇：JIE网络安全架构SSA（单一安全架构））介绍了其中第2项：网络安全体系架构，即单一安全架构（SSA/CCA），主要是从安全思想和理念层面描述。

这一篇（即第3篇），将从更落地的层面，继续介绍网络安全体系架构的落地架构JRSS（联合区域安全栈）。

二、JRSS（联合区域安全栈）背景

上一篇介绍过的SSA（单一安全框架）是一个整合网络防御的安全集成框架，其设计目标是在需要执行网络防御作战的任何时间段内实现JIE网络的积极防御。SSA通过缩减网络攻击面，集成独特的部由算法，优化网络响应时间和同步复杂度，使得需要部署安全设备的数目大大降低，实现最大化作战效率。

JRSS（联合区域安全栈）是SSA的重要组成部分和贯彻实施形式，也是美军国防部网络和安全能力现代化的重要支撑手段。

为了切实贯彻和推进SSA的实施，美陆军在整合升级网络、加强网络防御的同时首先开发了JRSS。作为陆军网络现代化工作的一部分，JRSS将解决各军种网络安全框架间的差别问题，为美军国防部网络安全建立标准统一的网络安全框架支撑设施，未来将作为美军国防部网络的中枢神经点，连接数百万的用户，确保通用安全能力的输出，实现全军网络间的透明化，快速应对新兴网络威胁。

三、JRSS概念和思路

JRSS概念：JRSS由一系列相辅相成的安全站点、设备和机制构成。JRSS是一套执行防火墙功能、入侵检测和防御、企业管理、虚拟路由和转发（VRF）并提供大量网络安全功能的设备。

JRSS理论依据：攻击面控制是JRSS的理论基础，JRSS的目标在很大程度上是为了响应SSA中“缩减攻击面”的要求。

区域化思路：在SSA规范下，美军将全球基地划分为若干个区域，每个区域对应一个JRSS。

本地架构->区域架构：通过部署JRSS，网络的安全性被集中到区域架构中，而不是每个军事基地、哨所、营地或站点的本地分布式架构中。

本地堆栈->区域堆栈：DISA正在将陆军现有的全球边界安全基础设施，从数百个本地安全堆栈集中到一个JRSS结构中。空军已经开始使用JRSS结构来保护其基础设施，海军正计划迁移其例外网络，作为使用JRSS保护其基础设施的第一步。

四、何谓“安全栈”

JRSS旨在将网络安全集中化和标准化到区域架构中，而非每个军事基地、哨所、营地或工作站的不同成熟度和生命周期的不同阶段的非标准化架构。

何谓“栈”（Stack）：因为JRSS贯彻了层次化的安全防护思想，如同OSI或TCP/IP协议栈划分为若干功能层次。安全栈在通信的每个层次都描述了安全的控制点和需要进行的工作，以此对安全手段进行清晰的分类和精细化设计，如下图所示。JRSS功能覆盖了TCP/IP的多个安全栈层次，能够在数据链路层、网络层、传输层和应用层并行开展实施。

攻击面控制是JRSS的理论基础，JRSS的构建目标在很大程度上是为了响应SSA中“缩减攻击面”的要求。

五、JRSS构成

每一个JRSS站点都包括支撑防火墙、入侵检测和防护、虚拟路由和转发、大数据分析处理和其它安全能力（如审计）等功能的软硬件设备。

从整体上看，JRSS分为两类能力：栈能力+管理能力。

1）JRSS设备架

每个JRSS都包括设备架（racks of equipment），允许国防部各部门获取、处理和分析大量网络数据。JRSS设备架的物理形态如下图所示：

2）联合管理系统（JMS）

JMS是JRSS的关键组成部分，是JRSS的管理上级。它为国防部信息网络（DoDIN）运营所需的网络安全服务提供了集中管理。

JMS提供对网络传输和相关安全系统的可见性和控制。它能够监控和分析相关的故障和性能数据，以确定对当前运行和趋势分析的影响。这种集中化能力，允许对关键网络传输资产的策略、过程和配置进行标准化。

JMS功能架构如下：

3）JRSS套件

JRSS有非常明确的“套餐”思维。JRSS基本能力套件如下：

• 部级安全套件；

• 基地级安全套件；

• 管理和分析套件。

4）非密版和涉密版

当然，与上一篇所述SSA分为NIPRNET和SIPRNET版本一致，JRSS肯定也是区分为NIPRNET非密版和SIPRNET涉密版的，如下图所示：

为何SIPRNET-JRSS比NIPRNET-JRSS“轻”很多？请自行思考。提示：这与SIPRNET和NIPRNET的网络基础设施和安全基础条件有关。

5）JRSS版本演进

这张图反映了截止2016年的版本演进情况，而且只是NIPRNET JRSS。实际上，期间还演进出SIPRNET JRSS。

六、JRSS部署

1）部署数量和位置

JRSS部署数量：美军将全球基地划分为若干个区域，每个区域对应一个JRSS。利用JRSS，美军国防部预计减少现有的1000多个网络访问接口，替换为全球50个地点的JRSS站点。

JRSS部署位置：JRSS部署在DoD MPLS网络的边缘处，包括B/P/C/S前哨站、DISA DECC（企业防御计算中心）以及CDC（核心数据中心）等子网的接入处，对所有进出的流量进行检测和控制，以达到预设的安全目标。

区域化配置管理：JRSS采用集中式的安全配置管理和标准化的安全工具、策略和行为，来取代之前各军种在基地、前沿阵地、指挥所等地实施的分散式配置管理和非标准化做法，从顶层角度统一负责各自区域内各军种的网络安全事务。

防失效部署模式：为防止因网络攻击或故障导致的失效，美军初期建立的部分JRSS节点之间进行了防失效的部署模式，如美国中西部的St.Louis和东北部的Meade节点即互为备份。

一图胜千言，下图表明了JRSS的部署位置，不仅有在JIE中的逻辑位置，还有在真实世界中的物理位置。其中，以世界地图为背景的蓝色圆点，就是一个个JRSS接入点。请大家自行数数共有多少个。

毫无疑问，此图的重要性与之前的JIE架构图有一拼。

2）JRSS套件的逻辑部署

下图展示了企业级JRSS和基地级JRSS套件的部署逻辑：

其中，带箭头的虚线表示流入JMS中的镜像流量。

3）JRSS部署计划

下图的信息量也比较大：

它反映了自2014财年开始实施JRSS直到最终目标实现的效果：

• 一方面增加DoD设施连接：从0个站点，到400多个站点；

• 另一方面减小攻击面：从1000多个松散的接入点，到50个牢固的接入点；

试想：还有什么比“既增加网络连接性，又减小网络攻击面”更好的结果呢！

七、JRSS与CSAAC（网络态势感知与分析能力）

从外延上讲，JRSS包含了CSAAC。或者，可以更简单地概括为：

JRSS价值主张=标准化安全架构+网络态势感知。

上图突出显示了JRSS和CSAAC。

JRSS主要负责：

• 筛查所有进出国防部设施的网络流量；

• 控制流量、传感器以识别和阻止未经授权的流量；

• 隔离网络入侵；

CSAAC主要负责：

• 网络威胁签名监视列表；

• 筛查网络事务；

• 事故和事件监控；

• 任务影响分析；

八、JRSS预算

美军的预算已经说明一切：JRSS预算在2018、2019、2020财年分别为455万、795万、1800万美元。

2020财年预算之所以突然增高，是因为下一代JRSS的架构、试点和测试。

下一代JRSS是什么样子？还需进一步跟踪。

九、JRSS启示

JRSS是美军推进网络现代化和安全防护能力现代化的重要举措，体现了将攻击面理论与信息安全实践、网络效率提升相融合的思想。

从防御体系和关键技术的角度审视，JRSS并无太大新意。但其实质上基于安全实用化思想，以打造“管用、好用”的安全能力为目标，有机结合通信、安全、管理领域的相关技术，在统一安全框架的指导下能够推进安全能力的深化发展。

（1）整合至统一安全架构。在信息系统持续集成和整合的大背景下，JRSS逐步实现各军兵种现存信息安全体系结构的整合统一，能够解决在实施任务保障时存在的机构重叠、职责不清等问题，消除安全系统烟囱和网络安全边界，在降低成本的同时提高效率。

（2）防护重点向边缘推移。JIE网络规划的突出特点是实现通用数据路由转发功能的简洁、高效的网络中枢，而将具体用户、高层网络应用服务放置在网络边缘，便于异构网络的接入与新业务的部署，保证网络良好的扩展性。与其对应，JRSS网络安全防护事实上的控制重点也因此不断向边缘、向“端系统”推移，在最靠近安全威胁的地点强化控制，提升安全统管与自治水平。

（3）缩减攻击面，加大安全资源密度。聚焦JRSS站点在网络边界部署的地缘特性，将有限的安全力量集中至主要的网络出入口，通过安全设备间的智能、软件定义化互联，提高检测的覆盖率和资源效费比，以简洁、高效、易扩展的方式实现军兵种的业务互联和安全交换。

（4）集中态势认知、决策和响应。通过汇聚DoD网络的分布式数据，将安全事件的整编分析、安全策略的生成与下发，都依托提供“统一服务”的业务云CDC进行，强调集中式安全态势感知、分析和策略生成的作用，并通过JMS进行管理和响应，从认知全局安全态势的顶层角度执行安全管理运维逻辑，提升安全手段组织和协调效能。

十、总结和预告

本篇主要介绍了美JIE环境之统一安全架构SSA/CCA思想的关键落地实现架构JRSS。

关于JRSS，已经研究的并不止于此，而且仍会持续跟踪。但本系列对SSA/JRSS的介绍，打算就此打住。

我发现，在最近的一些重大项目中，对于跨域防护问题多有提及，但是对跨域概念的描述却有所混淆。这个问题正好契合了我们早先对美军CDS（跨域解决方案）的研究工作。

国内方面，CDS发展曾经长期停滞不前。美军方面，却在持续推进中。他们关于CDS概念的澄清/区分，场景的设计/分类，商业化的推进/鼓励，政策的推动/标准化，都是值得我们学习和反思的。

而且，CDS在JIE框架中也占据了举足轻重的地位：如果没有CDS，不同密级的网络就不可能联通，又怎么能实现美军三个任意的目标呢？！

你在上图中找到了CDS吗？

声明：本文来自蓝海科学，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。