编者按
美国国防部网络防御司令部司令兼美国国防信息系统局局长保罗·斯坦顿3月24日向美国参议院军事委员会网络安全小组委员会就美国国防部信息网络防御议题发表证词。保罗·斯坦顿指出,美国国防部网络防御司令部与国防信息系统局正围绕国防部信息网络实施系统性变革,通过架构转型、安全重塑、理念升级和人才赋能,将美军信息网络打造为核心武器系统,以确保在对抗环境下持续为联合作战提供决策与信息优势。
保罗·斯坦顿表示,美国国防部网络防御司令部和美国国防信息系统局正在进行根本性变革,以确保美国国防部信息网络作为关键武器系统,能够为作战人员提供决策优势;联合部队致胜取决于一项核心任务,即在正确的时间将正确的数据安全、快速地传递到正确的地点,从而比敌方更快、更好地做出决策;美国防部信息网络是武器系统的集成体系,提升作战节奏,连接传感器和射击器,并对敌方造成致命打击;作为支撑联合和联盟作战的中枢神经系统,美国防部信息网络的完整性、可用性和韧性至关重要;美国国防部网络防御司令部和美国国防信息系统局的首要目标是确保美国防部信息网络在压力环境下正常运行,并为各级指挥官提供决定性的、不间断的信息优势;为此,美国防部将从根本上变革运作和支援联合部队的方式,构建现代化的、可防御的架构并从设计上确保其安全性,将作战思维从被动防御转变为主动对抗,并提升网络安全队伍的战备状态。
一是架构转型:构建统一韧性网络体系。保罗·斯坦顿表示,美国防部将通过体系标准化和通用基线将国防部信息网络整合为一个单一且易于理解的环境,从而能够更有效地保护该庞大且多样的攻击面,并为未来能力运行提供稳定的技术基础;美国国防信息系统局通过“国防部网络”(DoDNet)为国防机构和外勤机构提供支持,整合其分散的网络,为各种作战支援职能创建统一安全的环境;美国国防信息系统局将通过“指挥网络”(CommandNet)将快速敏捷执行策略推广至作战总部,使专业人员摆脱日常管理并专注于C4I规划与直接支援;美国国防信息系统局将通过“任务网络即服务”(MNaaS)将目前分散的、单一用途的网络整合到一个单一的、安全的机密架构中,使指挥官可以根据任务需求快速组合标准化模块,简化美军各军种在联合环境中部署作战软件的流程,使一线作战人员可以更快、更可靠地获取决策所需情报和作战数据;美国国防信息系统局将把“联盟信息环境”(CIE)用作美国国防部“任务伙伴环境”战略的技术引擎,以及MNaaS服务交付模式赖以运行的现代化网络,旨在打破历史上阻碍联合行动的技术壁垒;美国国防信息系统局将利用下一代传输技术和软件定义广域网对“国防信息系统网络”(DISN)进行现代化改造,以增强其弹性、完整性和可用性,确保基础传输层能够在对抗条件下承受损害并动态重新路由流量。
二是安全重塑:从设计上内建体系防御。保罗·斯坦顿表示,美国国防信息系统局将从设计之初就将安全性融入到各项能力的基础中,基于“三大支柱”来保护用户、边界和任务。具体包括:首先,实施零信任原则,通过持续验证用户和设备来提供细粒度控制并阻止对手横向移动,根据具体任务向特定伙伴授予定制的数据访问权限,从而以前所未有的速度实现联盟行动,例如部署“雷霆穹顶”解决方案;其次,实践纵深防御策略,在网络边界抵御网络威胁,将全球互联网接入点作为防御咽喉要道和统一传感器网络,提供有效指挥控制美国防部信息网络所需的态势感知,并利用AI分析、识别和阻止恶意流量;再次,执行量身定制、以任务为中心的防御,集中力量于关键优先级目标,识别任务路径以制定机动分析方案,围绕对作战成功至关重要的能力构建全面、优先的防御体系。
三是理念升级:由被动防御转主动对抗。保罗·斯坦顿表示,美国国防部将转变作战思维,超越被动的网络防御,在作战层面真正行使指挥控制能力,从应对个别事件和追踪单个警报转向持续主动地开展针对系统性漏洞和协同威胁行为者的综合行动;美国国防部将在作战层面与对手交锋,利用全球传感器网络提供的深层态势感知能力,并与情报部门协调合作,了解对手目标,并跨美国防部信息网络指导同步行动,在对手造成影响前将其瓦解;美国国防部网络防御司令部将作为中心枢纽,使美国防部能够集中力量开展作战级指挥控制,为协调防御行动创造条件,并在整个体系范围内调动资源以实现战略目标;美国国防部网络防御司令部和国防信息系统局将通过“双帽制”实现高效指挥控制,无缝衔接建设者、运营者和防御者,无缝融合前者操控和防御网络的运营能力以及后者构建和运营的底层基础设施的技术知识。
四是人才赋能:打造可量化的战备能力。保罗·斯坦顿表示,美国国防部网络防御司令部和国防信息系统局首要任务是确保战备状态,正基于“三大支柱”推动一场变革,使战备状态成为客观、可衡量且可靠的标准。具体包括:首先,通过采取积极灵活的招聘策略,运用有针对性的人才战略和精准的招聘措施,确保持续招募到执行任务所需的精英人才;其次,对顶尖网络安全人才进行专项投资,培训其利用人工智能和机器学习等新兴技术,通过投资建立严格的培训和认证体系打造一支具备经认证的专业网络安全队伍,确保其拥有在对抗条件下保护美国国防部信息网络所需的专业技术能力和作战准备;再次,强化问责机制,从单纯合规转向各层级高度责任担当,通过健全的治理框架和客观的体系级绩效指标实现严谨的执行,如制定新的防御政策、明确责任链并强制执行统一的报告标准。
奇安网情局编译有关情况,供读者参考。
迈克·朗兹主席、杰基·罗森资深成员以及各位尊敬的小组委员:
感谢你们给我这个机会,让我汇报我们正在进行的根本性转变,以确保美国国防部信息网络作为关键武器系统,能够为作战人员提供决策优势。我很荣幸能够代表最近升格为次级联合司令部的美国国防部网络防御司令部(DCDC)和国防信息系统局(DISA)的团队。正是这些作战人员,日夜不停地建设、运行和捍卫着这一战略性国家资产。
面对全球各地顽固且实力强大的对手,联合部队在战场上的胜利归根结底取决于一个核心任务:在正确的时间将正确的数据传递到正确的地点,从而比敌人更快、更好地做出决策。从战术前线到战略指挥部,每一项决策、每一项行动、每一项命令都取决于我们能否安全、快速地传输相关数据。但这并非一个相对友好的环境。网络空间是一个充满对抗的战场,我们的对手正积极试图削弱我们的能力,蚕食我们的优势。这种持续不断的日常接触容不得半点失误。
美国防部信息网络是武器系统的综合系统,它推动作战节奏,将传感器与射击器连接起来,并对敌人造成致命打击。作为支撑联合和联盟作战的中枢神经系统,其完整性、可用性和韧性至关重要。现代作战环境的特点是地域辽阔、任务类型多样,需要跨多个领域协调复杂的传感器、多国合作伙伴和联合部队资产。我们的首要目标是确保该平台在压力环境下正常运行,并为各级指挥官提供决定性的、不间断的信息优势,无论敌方采取何种行动或作战环境面临何种挑战。
应对这一挑战需要我们从根本上变革联合部队的运作和支援方式。这条新道路始于以作战人员为中心,在他们需要的时间和地点提供与其任务直接相关的综合能力。为了实现这些能力,我们正在构建现代化的、可防御的架构,从设计之初就确保其安全性。反过来,这种安全的架构使我们能够将作战思维从被动防御转变为主动对抗对手。我们所有努力的基石是我们不容妥协的优先事项:战备,确保我们的部队训练有素、尽职尽责,并随时准备在这个充满挑战的领域取得胜利。
提供决定性作战能力
这种架构转型必然始于体系本身。通过体系标准化,我们可以提升联合部队的杀伤力和防御能力。通用基线将庞大且多样的攻击面简化为一个单一且易于理解的环境,从而使美国国防部网络防御司令部(DCDC)能够更有效地保护该环境。它还提供了一个稳定的技术基础,使未来的能力(例如任务伙伴环境)能够在全球作战中按预期运行。技术进步使我们有机会设计所需的作战环境。
美国国防信息系统局(DISA)的首要任务是通过美国国防部网络(DoDNet)为国防机构和外勤机构(DAFA)提供支持。这项工作旨在整合各DAFA分散的网络,为不可或缺的作战支援职能(从后勤、情报到医疗保健)创建统一的安全环境,从而保障联合部队的战备状态。我很高兴地报告,我们已经成功迁移了超过4万名用户和300多个站点,并且正朝着实现2027财年所有11个美国防部第四部门DAFA的零信任目标稳步迈进。
借鉴这一成熟模式的经验,美国国防信息系统局(DISA)现正通过“指挥网”(CommandNet)将这种快速敏捷的执行策略推广至作战总部。至关重要的是,这将使我们最优秀的网络和通信专业人员重新部署到具有战略意义的领域,从而更有效地利用技术。我们将把他们的工作重心从日常系统管理转移到其核心作战目标:作战指挥、控制、通信、计算机和情报(C4I)规划,以及从战略赋能到战术前沿对作战人员的直接支持。
这种标准化体系是实现通过任务网络即服务(MNaaS)彻底改变向作战人员提供服务的先决条件。通过MNaaS,美国国防信息系统局(DISA)正在将目前分散的、单一用途的网络整合到一个单一的、安全的机密架构中。这种新模式从根本上改变了作战人员的范式。指挥官无需从零开始构建任务网络(这个过程可能需要数月时间),而是可以根据任务需求,将标准化的子部分组合成一个连贯的系统,从而整合作战能力。这将简化美军各军种在联合环境中部署作战软件的流程。对于处于战术前沿的作战人员而言,这意味着他们可以更快、更可靠地获取在对抗环境中做出关键决策所需的情报和作战数据。
然而,鉴于我们认识到任何潜在冲突都将与盟友和伙伴并肩作战,此次架构转型将标准化和服务交付的原则应用于我们面临的最复杂挑战:联盟互操作性。联盟信息环境(CIE)是美国国防部“任务伙伴环境”战略的技术引擎,旨在打破历史上阻碍联合行动的技术壁垒。作为基础架构,CIE将成为任务网络即服务(MNaaS)服务交付模式赖以运行的现代化网络,能够处理最高机密级别的信息。凭借我们在印太地区“联合作战边缘-联盟环境”(JOE-CE)原型系统的成功经验,美国国防信息系统局(DISA)正按计划推进,力争在2027年1月前交付首个可投入实际任务使用的联盟信息环境(CIE)系统。CIE由我们的合作伙伴共同设计和提供资源,将为“五眼联盟”提供接入通道,并是一个灵活的系统,可以根据任何突发事件的需要,在任意数量或组合的合作伙伴之间构建特定的联盟。
整个架构都建立在美国国防信息系统网络(DISN)增强弹性之上,DISN是我们的全球传输骨干网。我们正持续利用下一代传输技术和软件定义广域网(SD-WAN)对DISN进行现代化改造,以增强其弹性、完整性和可用性。在敌方拥有发言权的对抗环境中,无论是通过网络攻击还是动能行动,我们的基础传输层吸收损害并动态重新路由流量的能力对于任务的成功至关重要,尤其是在网络性能下降、间歇性中断和网络受限的情况下。这项工作正在稳步推进。在关键作战区域,美国国防信息系统局(DISA)正在利用商业技术自动路由流量并维持部队的连接,关键站点的弹性增强工作已经完成。我们将在即将举行的演习(包括“奥林匹斯之火2026”演习)中进一步大规模验证这一架构,以确认网络在任何情况下都能维持运行连续性的能力。
从设计上保证安全性的架构
这一转型基于现代化的、可防御的架构,该架构从设计之初就注重安全性。美国国防信息系统局(DISA)从一开始就将安全性融入到每一项能力的基础之中。我们的方法基于三大支柱,旨在保护我们的用户、我们的边界以及最重要的——我们的任务。
零信任原则的实施是我们的基础支柱。这是构建敏捷、以数据为中心的任务伙伴环境的关键模型,使我们能够超越为每个联盟构建孤立的硬件定义网络的传统方法。它提供了必要的细粒度控制,可以根据具体任务向特定伙伴授予定制的数据访问权限,从而以前所未有的速度实现联盟行动。通过持续验证每个用户和设备,这种“永不信任,始终验证”的模型阻止了对手横向移动——这是抵御现代攻击技术的关键防御手段。要实现真正可防御的态势,需要严格且正确的配置。因此,我们针对这一关键能力,在部署了名为“雷霆穹顶”(Thunderdome)的特定解决方案的同时,还投入大量资源进行培训,以确保有效操作该能力。
其次,零信任架构辅以纵深防御策略,该策略始于一道坚固的边界。针对我们网络的恶意和自动化活动数量庞大且持续不断。为了应对这种情况,美国国防部网络防御司令部(DCDC)部队积极管理我们全球部署的互联网接入点(IAP),将其作为关键的防御平台和统一的传感器网络。在这一角色中,它们充当DCDC主导的防御咽喉要道,提供有效指挥控制美国防部信息网络所需的态势感知。与此同时,美国国防信息系统局(DISA)正与DCDC同步,不断升级这些平台,使其具备诸如全内容检查等先进功能,以识别和阻止恶意流量。此外,DISA还利用人工智能分析海量数据,在恶意软件影响任务之前识别并阻止其传播。这种全球防御态势使DCDC能够在边界处抵御许多自动化威胁,从而使我们最优秀的防御人员能够专注于应对那些对任务构成真正威胁的复杂且有针对性的入侵。
保护用户和边界安全固然至关重要,但我们必须进行纵深防御,通过精心设计的防御措施给对手制造麻烦,并保持接触,以便进行反击并使其付出代价。第三个也是最关键的支柱是由美国国防部网络防御司令部(DCDC)执行的量身定制、以任务为中心的防御。这种方法应用了久经考验的作战原则,即集中力量于最重要的目标。为此,DCDC识别并绘制任务路径,以制定机动分析方案——即完成作战功能(例如发出火力呼叫)所需的具体数据路径。准确了解系统在作战环境中的使用方式,决定了其防御方式,从而使DCDC能够围绕对作战成功至关重要的能力构建全面、优先的防御体系。
在战争的作战层面开展综合行动
为了保持战场优势,这些工具必须与我们作战思维的根本转变相结合。我们必须超越被动的网络防御,在作战层面真正行使指挥控制能力。这标志着我们从应对个别事件转向策划持续主动的综合行动。我们的对手并非随机发动攻击;他们的行动是为实现战略目标而进行的协调、有目的的综合行动的一部分。因此,我们必须在作战层面与他们交锋,利用全球传感器网络提供的深层态势感知能力,并与情报部门协调合作,了解他们的目标,并跨美国防部信息网络指导同步行动,在他们造成影响之前将其瓦解。
将美国国防部网络防御司令部(DCDC)提升为美国网络司令部(USCYBERCOM)的下属的次级联合司令部,是实现网络防御运作的基础性第一步,使网络防御从被动防御转变为以与敌人取得并保持接触、给敌人造成损失为重点的态势。此次提升为美国国防部提供了一个中心枢纽,使其能够集中力量开展作战级指挥控制,从而创造必要的条件,协调防御行动,并在整个体系范围内调动资源以实现战略目标。我们正在从追踪单个警报转向开展针对系统性漏洞和协同威胁行为者的综合行动。
美国国防部网络防御司令部(DCDC)和国防信息系统局(DISA)双帽领导制所产生的协同效应是这种高效指挥控制模式的关键,确保了建设者、运营者和防御者之间无缝衔接。该架构将DCDC操控和防御网络的运营能力与DISA对我们构建和运营的底层基础设施的深厚技术知识无缝融合在一起。随着DISA部署新功能并实现网络现代化,DCDC能够全面了解情况并相应地调整其防御态势。这种统一指挥模式推动了互利共赢的优先事项制定,加快了决策速度,并确保我们在设计、扩展和完善环境时始终将运行效能放在首位。
战备革命
我们架构和思维模式的转变,源于我们总体兵力的战备状态。技术提供工具,但训练有素且尽职尽责的人员才能赢得战斗,因此,战备状态是美国国防部网络防御司令部(DCDC)和国防信息系统局(DISA)不容置疑的首要任务。在美国国防部网络防御司令部(DCDC)和国防信息系统局(DISA),我们正推动一场变革,使战备状态成为客观、可衡量且可靠的标准。这场变革建立在三大核心支柱之上:招募精英人才、提供先进培训以及强化问责机制。
战备始于招募合适的人才来执行我们的关键任务。为此,我们采取了积极灵活的招聘策略,运用有针对性的人才战略和精准的招聘措施。我们以目标为导向的方法基于一套行之有效的模式,即直接与目标候选人接洽。这项工作已经取得了显著成效。在我们最近一次的招聘活动中,超过70%的参与者成功进入了招聘流程的下一阶段。仅通过这次招聘活动,美国国防信息系统局(DISA)就有望在短短3周内为关键网络安全岗位招聘到32名候选人。这一成功的模式现已成为我们的人才招聘模板,确保我们能够持续招募到执行任务所需的专业人才。
在美国国防部网络防御司令部(DCDC)和国防信息系统局(DISA),我们致力于营造一种以提升专业作战人员技能为核心的素质文化,确保他们所服务的组织保持凝聚力并做好战斗准备。复杂的数据中心架构需要同等水平的人员专业技能才能在压力下有效运作。个人卓越是我们集体组织力量的基石。正是这种全员参与的战备状态使我们能够作为一个统一的整体行动,确保每个层级都能快速精准地执行命令。至关重要的是,这种战备状态包括对我们顶尖网络安全人才的专项投资,培训他们利用人工智能和机器学习等新兴技术,以确保美国国防部在未来的战斗中保持优势。我们让人才专注于更高层次的技能,而技术则用于解决那些已经非常成熟的任务。
为实现这一目标,我们正从条令、组织、训练、装备、领导与教育、人员、设施和政策(DOTMLPF-P)的角度,对问题进行整体审视。为了打造未来作战所需的专家部队,我们采取了全面的方法,确保我们的条令、组织和人事政策完全一致。一个典型的例子是美国国防信息系统局(DISA)和国防部网络防御司令部(DCDC)共同努力,提升网络安全服务提供机构(CSSP)的标准。通过投资建立严格的培训和认证体系,我们正在打造一支具备经认证的专业网络安全队伍,他们拥有在最严苛的条件下保护美国国防部信息网络免受任何威胁所需的专业技术能力和作战准备。
高素质人才队伍的文化必须辅以有效的问责机制。这标志着从单纯的合规到各层级高度责任担当的根本转变。在实践中,问责意味着通过健全的治理框架和客观的体系级绩效指标,实现严谨的执行。例如,我们正在制定新的防御政策,明确责任链,并强制执行统一的报告标准。这种一致性确保了体系网络运营和防御所需的速度和规模,保证在接到命令时,各层级都能做好准备,并承担起执行的重任,以达到共同的高标准。
结论
我们的变革行动直接回应了一个根本性的现实:信息主导权的争夺并非未来的挑战,而是一场持续不断的日常斗争。我们必须在应对网络空间积极侵略的同时,构建、运行和防御系统。为了应对这一现实,我们摒弃了渐进式变革,正在推动架构、运行理念和力量的根本性转型。
主席、资深成员,美国国防部信息网络的安全与国家安全密不可分。我们在陆地、空中、海洋和太空等各个领域投射力量和捍卫自身利益的能力,始于通过具有韧性且受防护的网络对部队实施指挥控制的能力。我今天详细阐述的转型,是我们致力于确保这一基础性武器系统在持续冲突的时代继续保持我们决定性优势的体现。
在这场持续不断的日常战斗中,始终奋战在最前线的,是美国国防部网络防御司令部(DCDC)和国防信息系统局(DISA)的全体官兵。正是他们的警惕、智慧和战士精神,才将战略愿景转化为切实可行的行动方案。我无比自豪地代表这支由美国陆军、海军、空军、海军陆战队、国民警卫队、敬业的文职人员以及我们的行业伙伴组成的强大队伍。他们是我们最宝贵的财富。
有了本委员会的持续支持,我们将确保美国能够威慑我们的对手,并在必要时在任何领域进行战斗并取得胜利,因为我们深知,美国的指挥、沟通和决策能力是无与伦比的。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
