文/柯善学
大家可能知道美国国防部的百亿美元大单——绝地计划(JEDI),其缩写正是《星球大战》系列中绝地武士(JEDI)的拼写和读音。但在美国国防部的云计算合同中,还有一份百亿美元大单,就是本文将介绍的DES(国防飞地服务,Defence Enclave Services)计划。DES和JEDI的另一个共同点是单一合同供应商。
DES是美国国防部推动数字化转型的重要举措,被誉为国防部IT改革的皇冠上的宝石之一。其核心工作内容是通用IT的整合和安全性的提升。
作为庞大的云计算合同,DES的目的是改变国防部“第四产业”(Fourth Estate)的IT运营状况(含安全运营),旨在通过企业电子邮件、语音、视频、协作和更好的网络安全性,来解决第四产业IT生态系统效率低下的问题。所谓“第四产业”,主要是指国防部内除了军种和情报机构之外的国防机构和外勤机构(DAFA)。
理解DES的关键,是理解“飞地”的含义。这也是DES与绝地计划(JEDI)的显著区别。文末对此进行了解释。
一个明显的感受是:不论IT还是安全,美国国防部都在尽可能地对可以通用化的产品和服务进行标准化,以避免各行其是的定制化。当然,归根结底还是那两个字:一是“快”(快速应用和创新),二是“省”(省钱)。
目 录
1.何谓第四产业?
2.第四产业的低效率
3.国防飞地服务(DES)
4.DES的工作条线
5.何谓通用IT?
6.通用IT的具体内容
7.DES追求通用IT的标准化
8.与DES类似的国防部IT转型计划
9.DES和JEDI的区别
01 何谓第四产业?
笔者通过查阅一份2019年的国防部权威指南,找到了第四产业的定义:第四产业(Fourth Estate)是指国防部内除了军事部门(Military Departments)以外的所有其它单位。这里的军事部门主要指各个军种或情报机构。但目前在整个国防部内,对“第四产业”一词的定义和范围存在不同解释。
通过下图,可以直接感受国防部第四产业的范围,笔者用绿色做了标记。咋一看,似乎除了陆军、海军、空军、联合作战司令部之外,都是第四产业的范畴。但有例外,情报部门是不能算在第四产业中,所以国防机构中的NSA(国家安全局)和DIA(国防情报局)应该是需要排除掉的。
图1-国防部组织结构线框图(2019年)
一般认为,第四产业的主体是国防机构和外勤机构(DAFA,Defense Agencies and Field Activities),即上图中的两大部分:国防机构(Defense Agencies)和外勤机构(Field Activities)。总共大概有二十多个机构,当然需要排除掉刚才提到的情报机构。
为何称为“第四产业”?笔者也不知道。但是有一种分类方法可供参考:第一产业-农业;第二产业-工业;第三产业-服务业;第四产业-用户体验产业。笔者引用海军中将Ted Branch说过的话“DES计划的最终结果将是一个数字化的工作场所,并且在一个安全环境中拥有消费者般的体验。” 这似乎算是一个印证。
02 第四产业的低效率
国防部CIO/DISA对国防直属机构和外勤机构(DAFA)的联合审查,显示了国防部第四产业“令人大开眼界的低效率”:
DAFA的IT生态系统跨越了850个独立站点,需要1000多名文职人员和600个IT合同,来运营和维护这个生态系统的网络和服务台。
每个DAFA都有自己的非密/涉密网络以及服务台。
很多组织正在将大部分资源投入到IT方面,而没有投入到更加值得关注的任务方面。
注1:美军的自我审查还是“够狠”的——“令人大开眼界的低效率”几乎就是体无完肤的指责了。但是,美军自己做完检讨后,就可以狮子大开口地申请预算了。所以,自我批评也不是个坏事。
注2:笔者甚至认为,从某种程度上讲,第四产业可能是国防部中IT成熟度相对比较高的产业(与各作战部队相比),已经具备了标准化的前提条件。所以,DES才从第四产业开始。
03 国防飞地服务(DES)计划
DES(国防飞地服务,Defence Enclave Services)正是解决第四产业低效率问题的主要解决方案。DES是国防部的一个云计算项目,旨在为第四产业提供企业电子邮件、语音、视频、协作和更好的网络安全性,从而消除第四产业低效率的问题。
DES的合同总额。DES是一个庞大的云计算合同,将改变国防部“第四产业”的运营状况。DES合同总额为117亿美元,超过了绝地计划。
DES与其它计划的关联。DES是国防部数字现代化战略的一部分,也和联合人工智能中心(JAIC,Joint Artificial Intelligence Center)和绝地云计划密切相关。
DES的管理者。国防信息系统局(DISA)将通过第四产业网络优化(4ENO,Fourth Estate Network Optimization)计划,对DES进行管理。
DES的重要性。DISA负责信息企业的副首席信息官Danielle Metz,在2019年12月的行业年度预测会上说:“DES是我们正在进行的一项极其重要的努力” “它是我们IT改革举措的皇冠上的宝石之一。”(It is one of the crown jewels as far as our IT reform initiatives.)
DES的下一步计划。DISA计划为DES授予两份合同。第一份合同是一个完整的和开放的单一授予无限期交付/无限量合同,针对所有第四产业DAFA,计划在FY22第一季度授予。第二份DES合同是一份针对小型企业的单一授予一揽子采购协议,计划于2021财年第三季度授予。
04 DES的工作条线
图2-DES的工作条线
如上图所示,与DES相关的主要工作有三条:
1)通用IT整合:
减少孤岛网络飞地和重复环境的数量;
优化和整合IT管理工具;
通过减少重复工作和成本,改进合同管理;
将全球分散和多样化的约30个服务台,转变为一个共同的、标准化的服务支持环境。
2)加强网络安全:
通过整合加固,减少国防部的网络攻击面。
引入更强大、更一致的网络标准:整合基于主机的安全系统(HBSS);淘汰国外/超差设备。
增强与网络防御和响应的一致性。
3)单一服务提供商:(这个服务商就是DISA)
降低重复的通用IT环境成本;
DoDNet提供最佳实践和最先进网络能力;
通过消除非核心能力,使得第四产业能够更加聚焦于任务。
这三方面的努力,伴随着各种各样的挑战,特别是在资源有限的环境中。DISA的DES主管Llewellyn “Don” Means说:“第四产业网络优化的目标之一是整合服务,为国防部以及最终为我们国家的作战人员节省成本。” “主要的挑战是,每一个国防机构和外勤机构(DAFA)都很重要,而且我们必须使能他们的所有任务,同时提升效率。”
05 何谓通用IT?
图3-通用IT vs. 不可分割/任务IT
通用IT整合是DES的第一条工作线。上图解释了通用IT(Common Use IT)和不可分割/任务IT(Non-Severable / Mission IT)的区别。笔者尝试对其做个解读:
1)通用IT(Common Use IT):主要包含基础设施、网络、流程、工具、合同等,以及通用IT桌面。这里,比较有意思的是把合同(Contracts)作为通用IT服务。但如果你联想到现有的第四产业中有600个IT合同时,就容易理解合同管理的基础性作用了。
2)不可分割/任务IT(Non-Severable / Mission IT):这里的关键词是任务(Mission),不妨简单地理解为军事任务。这部分IT包括与任务相关的应用程序、装备、网络等。对于“不可分割IT”,至少有两种理解:一是指这种IT与任务强关联、与任务不可分割,需要各种定制化;二是指这种IT服务只能在整个项目完成后才能发挥作用,不能进行阶段性拆分。
3)不可分割的通用IT(Non-Severable Common Use IT):这种类型的IT令人比较费解。
上图是对通用IT与非通用IT的概念化区分,比较抽象。而下图将给出通用IT的具体内容,更加有助于理解。
06 通用IT的具体内容
图4-通用IT包含的内容
从该图中可见,DES包含的具体内容分为五大块:企业服务(Enterprise Services);资产管理(Asset Services);网络服务(Network Services);运行(Operations);网络安全(Cybersecurity)。它们都被视为通用IT。其中,网络安全(Cybersecurity)作为一种保障服务,同时为其他4个部分提供支撑。充分反映了网络安全是国防部数字化转型的基石。
注意到,DES的网络安全能力并不都集中在网络安全(Cybersecurity)部分,而是散落在5大块内容中:
网络安全(Cybersecurity):
端点安全、补丁管理、扫描、网络安全服务供应商(CSSP)等;
企业服务(Enterprise Services):
移动性(包含移动安全)、身份管理(包含IAM);
资产管理(Asset Services):
供应链风险管理(SCRM)合规性;
网络服务(Network Services):
跨域解决方案(Cross Domain Solutions)、IAP(互联网接入点)/CAP(云接入点)、安全栈(Security Stack)、VPN等;
运行(Operations):
安全运营中心(SOC)等。
07 DES追求通用IT的标准化
DES云计算合同被视为一项高效计划,因为它将标准化IT流程,并创建更具成本效益的服务台。此外,DES还将释放出资源,供联合部队用来从事针对Z国和俄罗斯的大国竞争。
美国国防部(DoD)副首席信息官John Sherman说:“当今的组织形成了单独IT(individual IT)环境,只能满足每个组织自己的需求。” “当今的主要挑战是同行和近同行的竞争对手、日益增长的网络威胁、有限资源的最大限度利用。这些都要求我们实施一个数字企业,保持与商业创新同步,改善我们的网络安全态势,高效交付,最重要的是使国防部能够作为一支真正的联合部队进行战斗和防御。”
不仅仅是标准化,还有创新。尽管DES不像JEDI那样被认为是一个作战平台,但它仍然可以被视为创新的驱动力,因为它引入了标准化应用程序、商业创新和效率工具。
海军中将Ted Branch曾是负责信息战的前海军作战副司令,也是Perspecta公司的海军/海军陆战队内网项目的负责人。他说,“DES计划要实现的目标有一个明确的需求:在一个整合网络上的通用IT,只有单一供应商,从而降低成本和风险。” “在标准化和创新之间找到平衡点是关键。考虑到当前的环境状况,用一个提供商提供所有预期的功能本身就是一种创新。实现这一目标需要新的思维、特定的技术、标准化的应用程序和工具。最终的结果将是一个数字化的工作场所,并且在一个安全环境中拥有消费者般的体验。”
08 与DES类似的国防部转型计划
通过DES,国防部将通过使用安全云将风险降至最低,这是减少网络数量和重复环境的有效方法。DES云还将优化IT管理工具,增强网络安全。例如,Perspecta公司最近在陆军总弹药管理系统(TAMIS,Army’s Total Ammunition Management System)中采用了这种模式。
TAMIS为陆军、海军陆战队、国民警卫队和预备队提供的所有战术和训练弹药请求和支出,都转移到AWS GovCloud,这是亚马逊为国防部和联邦机构提供的安全云服务。
Perspecta为AWS GovCloud环境构建了一个敏捷的DevOps框架,为陆军的TAMIS带来了系统效率:生产时间缩短了80%,操作效率提高了63%,IT开支减少了50%。也许最重要的是,TAMIS能够在迁移到AWS云的整个过程中继续执行其任务 (即不会产生迁移中断)。
DES转型的另一个关键组成部分预计将是使用托管服务(managed services),这将是向第四产业的22个不同机构提供服务套件的有效方式。
最后,预计DES将采用软件定义网络(SDN)以获得最大的灵活性。自2017年在DISA使用以来,SDN通过软件应用程序而不是底层硬件技术,实现网络控制,创造了一种更高效、更灵活的方法。
Perspecta在2020年6月价值报告中指出,通过下一代企业网络(NGEN)合同,Perspecta为海军和海军陆战队提供了全面的IT服务。
09 DES和JEDI的区别
最后,笔者根据自己的理解,来总结下DES与JEDI的主要区别:
1)看似两者的范围不同。JEDI适用于整个国防部,而DES仅适用于第四产业。但这并不是说,国防部其它军种就不搞DES。比如文中提到Perspecta公司在陆军、海军、海军陆战队都在按照DES模式开展类似的IT转型。只是DES本身作为一个合同而言,仅限于第四产业而已。但DES模式却是整个国防部通用的。
2)两者的平台属性不同。通过之前第4节的描述来看,JEDI被视为一个作战平台,而DES则是一个日常工作平台。
3)两者的应对场景不同。来看这两个项目的名称,JEDI(Joint Enterprise Defense Infrastructure)是联合企业防御基础设施,“联合”意味着跨单位,“企业”意味着全局性,所以JEDI显然是个跨部门、全局性的IT云服务。而DES是国防飞地服务,作为美军极为常见的网络术语,“飞地”大概是局域网/内网的意思,所以DES是指为第四产业的每个单位的内网环境提供IT云服务。可以说,DES和JEDI两者实现了互补,使得整个国防部能更好地访问云服务。
4)两者的影响力:笔者还是认为JEDI的重量级更高。JEDI合同比DES合同更早,JEDI是美国国防部对通用云的首次国防部范围的尝试。为什么叫通用云?因为之前国防部搞了太多太多的专用云,形成了一个一个的孤岛。
那么,回过头来想一想,国防部在JEDI之后,再起一个合同总金额更大的DES计划,来专门解决各下级单位内网的IT标准化问题。似乎可以理解成,国防部把自己的手伸到了下级部门的自留地中,还是很有魄力的。
声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
