一张图看懂美军网军部队系列有一段时间没有更新,主要原因是考虑得不成熟。如何用一张图来讲美军网军的装备,确实挠头。最近受“分而治之”思想启发,决定从不同的任务类型出发,分别来介绍好了。因为主要是从开源获取相关信息,要想罗列出现在所有防御装备也不太现实,这张图主要想讲清楚装备技术体系和发挥核心作用的装备能力。

第一张图看懂美军网军部队组成提到美军网军部队分为国家任务部队、战斗任务部队和网络空间保卫部队三类。其中网络空间保卫部队主要是负责美军军网运维和防御。我们先从军网防御装备体系开始来进行介绍。

一、国防部信息网(Department of Defense Information Networks, DODIN)

要讲美军的军网安全,先得介绍一下美军的军事信息网络。美军信息网络从1960年代开始建设,先后经历了国防通信系统(DCS)、国防信息系统网(DISN)、全球信息栅格(GIG)、以及现在的国防部信息网(DODIN)四个阶段。其网络架构随着美军战略和网络空间安全形势的变化而不断调整。目前的国防部信息网是基于JIE架构建设的。我放了一张DODIN的图让大家有个直观印象(开胃菜)。

国防部信息网是收集、处理、存储、传播和管理美军决策人员、作战人员和支持人员所需信息的网络,包括自有和租赁的通信和计算系统和服务、软件、数据、安全服务、其他相关服务和国家安全系统。由美国国防部下属的国防信息系统局(DISA)负责建设、运营和安全防御。国防部信息网是一张以DISN为核心,主干网络采用MLPS,由数千个涉密和非密网络接入构成的复杂网络。由作战指挥、服务和机构网络组成,向下一直覆盖到美军的基地、哨所、营地和工作站(以下简称B/P/C/S)各级别的军事机构,通过不同类型的网关接入了商业云、互联网、任务合作伙伴网络、机密网、卫星网、移动网等。

二、联合信息环境(Joint InformationEnvironment, JIE)

为了让大家更清晰的了解,我放上一张JIE架构图来进行说明(甜点)。

美军从2012年由GIG转向JIE。JIE为DODIN提供的关键能力包括:

· 统一网络运营:统一的IT服务和管理流程;

· 网络规范化:端到端的IP传输,安全的架构模式,可预测的安全边界;

· 单一安全架构(SSA);

· 数据中心整合:建设标准化和集中的数据中心,例如云计算;

· 统一的通用服务:在全网统一提供通用服务,比如电子邮件、Web门户、即时通信,IP电话等;

· 统一的身份与访问管理(IdAM):提供DODIN用户和实体在任何时间、任何地点可靠地访问任何资源的能力。

JIE的核心思想是采用统一的标准集中建设IT和网络基础设施,摒弃了GIG时代各军种各自建设IT基础设施的方式。从防御的角度来说,攻击面缩小,同时统一的技术架构有利于形成全局的网络态势感知和分析能力,这就是单一安全架构带来的变化。SSA的安全架构思想包括:

· 将网络划分为可管理的安全区域,以实施一致的策略和标准化的方法;

· 在最佳网络位置设置标准化安全套件;

· 将传感器放置在最有效的位置以进行流量捕获和检查;

· 通过集中的网络安全大数据提供全局态势感知和安全分析;

· 在服务器和用户资产分离后保护飞地;

· 拆除多余的信息安全保障(IA)系统;

· 集中的运营中心、工具、运营和防御人员,监控JIE中的所有安全机制;

SSA最主要的组件包括联合区域安全栈(JRSS)和网络安全态势感知与分析能力(CSAAC),下面重点加以介绍。

DODIN是一张遍布全球的网络,按照JIE的单一安全架构划分为48个区域,通过联合区域安全堆栈(JRSS)将这些区域连入DODIN。一个军事区域及其下属的B/P/C/S各前线阵地,通过JRSS整体接入DODIN。JRSS通过一套标准化的、被称为“堆栈”的安全设备来实现安全防御能力,堆栈一词强调了安全设备的标准化及其部署安装的标准化。安全堆栈具体包括防火墙、入侵检测与防御、系统管理、虚拟专网(VRF)等网络安全设备。DODIN安全运营中心能够查看、管理和评估通过堆栈的数据,以保持对系统的态势感知,并管理数据数量和性能标准,确保响应时间。

网络安全态势感知与分析能力CSAAC主要由以下四个能力构成:

(1)网络运营能力

· DODIN全网的态势感知;

· 为DOD统一电子邮件系统的健康状态提供可视指标;

· 能够快速查看问题概况;

· 能够了解发生系统问题时受影响的用户的数量、位置和业务;

(2)网络防御能力

· 网络威胁分析;

· 从报告中自动接收、分析和更新网络威胁信息;

· 根据已接收的数据对发现的威胁进行判断:

    • 以前是否出现过这种威胁;谁报告过这种威胁;

    • 出现过这种威胁的网络位置;

    • 是否有现成的应对措施;

· 利用自动工作流创建新的应对措施;

(3)异常检测能力

· 内部威胁分析;

· 汇集非密网(NIPRNet)和涉密网(SIPRNet)的数据以识别异常;

· 提供国防部用户网络活动的可视性,以协助事件查询和调查程序;

· 使用大数据进行复杂的分析,生成聚焦的结果;

(4)任务网络地形映射能力(Mission Mapping)/持续监测能力

这是一种将网络安全范式从以IT为中心转变为以任务为导向的新方法,为了捍卫网络空间中的任务,必须理解该任务对网络空间和网络资产的依赖性,持续监测网络资产以提供网络安全风险可视化,定量显示安全状况,收集可以安全执行任务的情报,通过捍卫与任务相关的网络地形来提供任务保证,从而在危险的网络环境中执行任务。其中持续监测由持续监测和风险评分系统(CMRS)和安全配置管理系统(SCM)支撑。

三、DODIN防御装备能力体系

这张图用来说明军网防御装备的能力体系(主菜),它的形态是由JIE结构的变化来塑造的。边界安全、区域安全、飞地和端点安全、移动安全适用于不同接入场景下的安全能力,通过SSA支撑形成全网统一的运维和环境感知能力。DODIN的安全防御有三个主要特点,第1是网上设施和服务的标准化与集中(JJRSS);第2是网络安全态势感知与分析(CSAAC);第3是网络安全情报共享(ESSA),标准化与集中是为了提升效率和缩小攻击面;消费、生产、共享网络威胁情报是网络安全防御运营的必要条件;全局的网络安全态势感知和分析是DODIN应对国家级网络安全威胁的基本手段。

美军网军的技术能力在全球处于领先地位,但网络攻击技术的发展对其防御体系也形成新的压力。原来局域性、静态化,以规则为基础的安全防御手段无法适应国家级网络攻防对抗的需求。美军深刻的认识到这一级点,在利用JRSS等方式缩小网络攻击面,高效使用网络安全防御力量,做好传统的纵深防御的同时,网络防御的重点转向利用安全大数据研发全局态势感知和分析能力,建立全网情报共享和面向任务的动态网络环境管理能力。

互联网上关于DODIN的资料浩如烟海,想用一张图阐述清楚美军军网防御装备能力体系是非常困难的。本文最后这一张图试图从架构发展驱动能力变化的角度理解美军军网防御。一家之言,欢迎探讨争论。

参考资料:

1、Jon Marcy,DODINCapabilities Framework Overview,2019

2、Danielle Metz,Joint Information Environment Single SecurityArchitecture (JIE SSA),2014

3、Daniel V. Bart,Big DataPlatform (BDP) and Cyber Situational Awareness Analytic Capabilities (CSAAC),2016

4、Dan Bart & Bob Landreth,Cyber Situational Awareness - Big Data Solution,2015

声明:本文来自京书房,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。