文/柯善学

作为美国国防部的IT提供商,DISA(国防信息系统局)于2019年7月发布了《DISA战略计划(2019-2022财年)》(即1.0版)。

约一年半后的2020年11月25日(圣诞节),DISA发布了更新版《DISA战略计划 v2.0(2019-2022财年)》(DISA Strategic Plan v2.0 FY2019-2022)。

本文主要从战略框架技术路线图两个方面,对2.0版与1.0版进行了粗略对比,发现几点显著变化:1)技术路线图发生明显变化,反映了DISA工作的优先级调整;2)大幅抬高零信任架构的地位,升至使能活动;3)强调了“在购买之前采用、在创造之前购买”的购置策略。

图1-《DISA战略计划 v2.0》封面

注:图中右下角的60,表示2020年是DISA成立60周年纪念日。DISA前身是1960年5月12日成立的国防通信局(Defense Communications Agency)。

关于DISA(国防信息系统局)的职责,可参见《 美军网络安全 | 我们需要自己的DISA》。

01 DISA战略计划之战略框架

图2-战略框架(2.0版)

战略框架实际上就是该战略计划的目录结构。笔者对其汉化如下:

1.0 运行与防御

1.1 现代化基础设施

1.1.1 网络增强

1.1.2 IPv6

1.1.3 网络运营

1.1.4 频谱

1.2 最终用户支持

1.2.1 第四产业网络优化(4ENO)

1.2.2 五角大楼和国家首都地区支持

1.2.3 国家领导指挥能力

1.3 计算

1.4 DCO-IDM

2.0 先用后买和先买后造

2.1 为企业优化

2.1.1 云

2.1.2 国防企业办公解决方案(DEOS)

2.1.3 移动服务

2.1.4 测试

2.2 加强网络安全

2.2.1 边界防御

2.2.2 区域防御

2.2.3 端点安全

2.3 驱动创新

2.3.1 自动化

2.3.2 开发、安全、运行/敏捷软件开发

2.3.3 业界参与

2.3.4 革新采购

2.3.5 可靠身份

2.3.6 移动/桌面融合

2.3.7 通用网关

3.0 使能人员和改革机构

3.1 使能人员

3.1.1 信任和问责框架

3.1.2 招聘/雇佣

3.1.3 留用

3.1.4 培训

3.1.5 网络例外服务

3.2 改革机构

3.2.1 业务流程系统现代化

3.2.2 数据管理

3.2.3 客户服务

毫无疑问,2.0版战略框架的需要和1.0版战略框架进行比较:

图3-战略框架(1.0版)

简单对比可知:

1)在战略目的(第1级标题)层面:两者完全一致,仍然是三大战略目的。但是,1.0版中的第2个战略目的的名称“采用、购买、创建解决方案”,在2.0版中改成了“在购买之前采用、在创造之前购买”(Adopt Before We Buy And Buy Before We Create)。笔者觉得这个修改很个性!并且可以再简化为“先用再买、先买再造”。

2)在战略目标(第2级标题)层面:2.0版本有了不大的变化。变化主要发生在第1个战略目的(即运行和防御)之下:1.0版的战略目标是2项,即1.1现代化基础设施、1.2提升运行能力;而2.0版战略目标是4项,即1.1现代化基础设施、1.2最终用户支持、1.3计算、1.4 DCO-IDM。但其实可以认为,2.0版的1.2、1.3、1.4是由1.0版的1.2拆分出来的。

3)在战术(第3级标题)层面:变化就太多了,不再枚举。由于这个层面都是DISA职责范围内的具体工作,既然职责不会在一年内有大变化,那么具体工作也就不会有大变化。因此,总体上可以认为,发生的变化只是具体工作层面的重新归类增、删、改。但是,毕竟一年的时间已经过去,有些小目标已经完成,有些工作的优先级需要变化。而这些工作优先级的变化才是重点,它们正好反映在下面要介绍的技术路线图中。

02 DISA战略计划之技术路线图

图4-技术路线图(2.0版)

由于笔者已经做了汉化,不再逐一介绍具体内容。但是同样地,我们需要观察2.0版技术路线图和1.0版技术路线图的差异:

图5-技术路线图(1.0版)

一看便知:技术路线图的风格大变,看起来已经完全不是一回事了。但形式上的不同,是否反映了更加深刻的变化呢?我们还是需要更进一步,观察内容的变化。

注意,技术路线图反映了DISA的各条技术路线的成熟速度。

在1.0版中

  • 通过4种颜色的条框(即:深蓝色-积极参与、浅蓝色-积极寻求、淡蓝色-检测、绿色-使能活动)反映了3大类技术(即:左-网络服务、中-计算服务、右-端点)的技术成熟度。

  • 其中,笔者最关注的零信任架构,被设置为淡蓝色,也就是“监测”状态,即需要跟踪观察的技术,甚至都算不上“积极寻求”,更别说“积极参与”了,距离“使能”的基础性地位就更加遥远了。

在2.0版中

  • 通过一条“道路”,直观反映了路线图的走向;

  • 通过三面方旗,反映了三大战略技术领域1)网络防御;2)云;3)国防企业办公解决方案

  • 注意到,DISA是国防部的IT提供商,并非纯碎的网络安全提供商。所以其业务范围非常广泛,绝不仅仅只是网络安全。简单地说,其业务涵盖了IT+安全。那么,在三面大旗中,把网络防御作为第一面大旗,就更加凸显了网络安全对于DISA乃至对于美国国防部IT建设的第一位的重要性

  • 网络防御方面:零信任架构地位也被直线抬升零信任架构被定位为网络防御方面的使能活动,可以说地位被连升3级(从第4级升至第1级)

  • 云方面:云技术领域的使能活动是DevSecOps。这反映了敏捷软件开发已经被视为DISA的创新速度之源。这也是安全内置(或安全内生)的直接要求。

  • 国防企业办公解决方案(DEOS)方面:DEOS在新版路线图中作为一个方面军被提出,显然是反映了DISA对办公效率的高度重视。笔者认为,大部分人会对此非常不解。所以,计划在后期专门介绍这套方案,此处不再赘述。

综上,笔者认为技术路线图的变化是2.0版的最大变化。新版的技术路线图明确了DISA具体工作的优先级,更加清晰明了,也更具可操作性。

03 总结与发现

前面从战略框架技术路线图两个方面,对2.0版与1.0版进行了粗略对比。稍微结合战略计划报告原文,还可以有以下发现:

1)DISA工作的优先级调整

这恰恰是技术路线图的变化所反映出来的。(参见第2节)

2)大幅抬高零信任架构的地位

从技术路线图中可见,将零信任从虚无缥缈的监测技术,升至网络防御方面的使能活动。(参见第2节)

从战略计划报告的文字内容看,也有显著变化:

  • 在1.0版中:你会惊讶地发现,在文字内容中找不到“零信任”字样。唯一的“零信任”文字,仅仅出现在技术路线图中。

  • 在2.0版中:专门有一段文字,用来阐述零信任的地位和进展:“我们追求一个健壮的防御架构的方法之一是通过我们的“零信任”架构计划,该计划充当一个使能属性,将所有安全解决方案集绑定在一起。DISA正与国家安全局、美国网络司令部、国防部首席信息官合作,开发一个动态的零信任实验室环境,能够复制现有的和接近实际的技术,以测试零信任能力。”

3)强调了“先用再买,先买再造”的技术采用策略

先用再买:要求买之前就已经采用/试用过了,可以保证买来之后是可以发挥实际效用的。

先买再造:能买的尽量够买,尽量不要自己创造和研发。使用商业产品和创新能力,避免反复造轮子。这本质上是为了加快创新步伐

4)对人才的重视

这里只想强调,DISA之所以秉持开放性(比如对外发布其战略计划),很大一个原因就是:需要让外部人员了解DISA究竟在做些什么,从而可以吸引到更加优秀的人才加入DISA。下面从两个方面来佐证这一点:

在第2.3.3节(业界参与)中,DISA强调了保持与业界的伙伴关系

  • DISA为业界提供了与DISA领导层、高级管理人员、项目经理全年会面的机会

  • DISA在每年一次、为期一天的年度会议“Forecast to Industry(业界预测)上亲自或虚拟地接待行业代表。

  • DISA还参与全年性的AFCEA活动

  • DISA的资深人员和项目经理向业界通报DISA的未来计划,并提供一份全面的签约机会清单(每半年更新一次)。

在整个3.1节(使能人员)中,竟然用了5个小节、共计2700字(译文)的篇幅,来说明如何招人和用人。比如DISA为了网罗人才,在招聘方面提到几种有趣的方法:

  • 就业品牌和营销:DISA寻求制定一个全面的就业品牌战略,要在政府、业界、学术界推广自己。加强DISA的社会媒体存在感,扩大DISA的劳动力市场影响力。

  • 使用自动化招聘技术:利用虚拟征聘,应对无法面谈的场景。利用社交媒体平台LinkedIn、Facebook、Twitter,为招聘会和活动做广告。

  • DISA的大使计划:培训DISA的员工成为宣传大使宣传DISA是首选雇主,使他们成为推广DISA品牌的力量倍增器,从而吸引有才华、高素质的专业人士加入DISA。

笔者想说,DISA在招人方面也算绞尽脑汁。这算不算是——以人为本

5)该战略计划的更新

本战略计划中提到,DISA将在每个财年开始时审查和更新战略计划。而美国财政年度是指上一年的10月1日至当年的9月30日为一个。所以,在每年的年底,我们都可以期待获得一份更新版的DISA战略计划。

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。