美国国防部发布 2019-2023 年数字现代化战略

-w600

作为蓝星上最强的军事力量,美军的信息化水平也一直是让蓝星上各家所仰望的。先让我们通过数字来感受一下蓝星最强军事力量所面对的 IT 复杂度:

  • 年度预算 464 亿美元
  • 运行了近万个系统,部署数千个数据中心、数万台服务器,连接了上百万的计算机和 IT 设备、10 万多商业移动设备
  • 支持 130 万服役人员、74.2 万平民、82.6 万国民警卫队和后备力量
  • 基础设施遍布全球 5000 个地点、3000 多万亩的土体、数十万建筑物

作为蓝星上信息化程度最高的美军认为自己的 IT 环境存在一些问题:

  • 数据中心和网络太多,投资分散,效率低下
  • 互操作性不足,影响了信息共享和任务协作
  • 快速发展的设备对新技术的需求日益增加
  • IT 计划平均需要 81 个月,完全无法满足作战人员的需求
  • 网络安全漏洞威胁到机密信息的利用,也危及国家安全
  • IT 交付流程阻碍了商业技术的应用

这些年来,美帝一直说自己的民生基础设施投资不足嚷嚷着更新基础设施,政客们吵来吵去嗨没什么实质性的动静,讲究执行力的美军却从来没有放过更新基础设施的机会。于是美军从总统发布的国家安全战略(National Security Strategy)逐层解读和分解形成了国防部数字现代化战略(DoD Digital Modernization Strategy),并制定了网络空间风险战略(Cyber Risk Strategy)、人工智能战略(Artificial Intelligence Strategy)、云战略(Cloud Strategy)、信息技术重构战略(IT Refor Strategy)、命令控制和通信现代化战略(C3 Modernization Strat)。作为国防部战略落地的重要承接部门,国防部信息系统局(DISA)也推出了自己的 2019-2022 年战略计划。

-w600

-w600

国防部数字现代化战略(DoD Digital Modernization Strategy)就是美国国防部的信息化资源管理战略计划,目的是明确资源投资的方向和优先级,提出了国防部数字现代化战略的 4 大目的和 27 个目标。

  • 目的一:为竞争优势而创新
  • 目的二:为效率和能力改进而优化
  • 目的三:为实现敏捷和弹性防御态势而改进网络安全
  • 目的四:为数字化人才就绪而培养

-w600

-w600

为了确保战略目的落地,美军的 IT 现代化会优先四大方向:

  • 网络空间安全
  • 人工智能
  • 命令、控制、通信

会重点关注人工智能、大数据分析、绿色 IT、DevSecOps、超融合、无服务器架构(或事件驱动计算架构)、软件定义网络(SDN)、区块链、现代密码学、量子计算、物联网(IoT)、5G、IPv6、无源光纤网络(PON)、零信任安全架构、微电子学这几个方面。DISA 作为主要的战略承接单位计划通过 3 个方面 7 个目标来进行落地,并且制定了技术路线图。

  • 防御与运营
    • 1.1. 对基础设施进行现代化更新
    • 1.2. 增强运营
  • 采用、购买和创建解决方案
    • 2.1. 优化企业
    • 2.2. 增强网络空间安全
    • 2.3. 驱动创新
  • 使能人员并进行机构改革
    • 3.1. 使能人员
    • 3.2. 机构改革

-w600

-w600

网络空间安全

在网络空间安全方面,国防部在战略层面已经把 IT 环境视为一个整体,并且提出了“每个网络、系统、应用程序和企业服务都必须通过设计实现安全(must be secure by design),在整个获取生命周期内对网络安全进行管理”的要求。特别是在网络空间安全方面明确提出了:

  • 改革国防部网络安全体系以提高灵活性和增强弹性
  • 部署端到端的标识、凭据和访问管理(ICAM)基础设施
  • 保护国防部敏感信息以及国防工业基地的非机密网络和信息系统的关键程序和技术
  • 改革国防部网络安全风险管理策略和行动

至少到 2022 年之前,美军还会继续大力推行云计算并缩减数据中心的数量,进一步加强端到端基于密码学的访问控制管理,重点改进军工业的安全防护体系,并且通过 DevSecOps 和广泛使用云计算、软件定义网络技术来使 IT 变得更加敏捷和富有弹性。而在国防部信息系统局(DISA)的 2019-2022 年度计划:

  • 在敏捷、智能和虚拟化的下一代信息技术体系架构中通过下一代身份和管理解决方案、合规连接技术和软件定义企业来构建**设计实现安全(must be secure by design)**下一代网络空间体系架构
  • 建设防御性网络运营内部防御度量(DCO-IDM),实现快速识别新的漏洞、消除已知的漏洞、部署新的能力进行纵深防御和事件的响应与分析
  • 除了军队自身以外,加强对军工行业、关键基础设施和其他任务保证相关的基础设施的安全防护
  • 退役老旧系统,使用新系统,增强网络空间安全
  • 加强防御架构,重点是防御外部和内部攻击,检测横向移动,并在同步和标准化的防御实现中充分纳入更强大的端点能力。这种标准化和集中化的安全基础结构支持主动配置管理,同时也具有足够的弹性和灵活性来支持被动和主动缓解措施
  • 实施人工智能(AI)和机器学习(ML),通过自动分析网络传感器、威胁指标和系统输出,协助网络维护者识别恶意行为者
  • 通过实施 DevSecOps 提高自动化水平,使安全更敏捷,也使安全嵌入到系统全生命周期

在技术方面,美国国防部重点关注的 16 项技术除绿色 IT、无服务器架构(或事件驱动计算架构)、物联网(IoT)、5G、IPv6、无源光纤网络(PON)几项和安全没有直接关系以外,其他 10 项都和安全有直接关联:

  • 人工智能:国防部信息管理局(DISA)准备在网络入侵分析方面使用人工智能和机器学习
  • 大数据分析:国防部计划通过大数据分析增强态势感知能力
  • DevSecOps:国防部计划通过 DevSecOps 把安全嵌入到业务系统全生命周期中,实现敏捷和设计实现安全(must be secure by design)
  • 软件定义网络(SDN)、超融合:实现能更敏捷的部署、能够快速的部署新的纵深防御能力、提高事件响应和分析能力
  • 区块链:国防部直接称之为“区块链网络空间安全盾牌”(Block Chain Cybersecurity Shield)。主要方向是国防高级研究计划局(DARPA)正在利用区块链技术开发安全的信息传递平台,并在尝试开发一种无法破解的代码,区块链技术为可以提供“谁入侵了安全数据库”的相关信息(从 DISA 的技术路线图中可以看到是积极发展的)
  • 现代密码学:更新密码算法库,更新相关基础设施(国防部采用的现有身份证书等不符合政府采用的标准)
  • 量子计算:利用量子的特点实现长距离的安全通信,以及利用量子计算来解决传统计算机不擅长的问题(例如,密码学中常见的大数分解的问题)
  • 零信任安全架构:国防部首席信息官正在和国防部信息管理局(DISA)、美国网络司令部(USCYBERCOM)、美国国家安全局(NSA)共同在进行探索。希望通过零信任安全架构实现一个相对当前安全架构而言,更加简单、高效的安全架构。
  • 微电子学:改善供应链安全,增加军工行业的安全标准要求,提供安全能力增强和信息共享机制

从 DoD 和 DISA 发布的内容来看,美国军方和政府都关注的美国军工企业被入侵、供应链安全、高级威胁等都做了回应,近年来业界发展比较快的现代密码学、人工智能、机器学习、大数据分析、区块链技术、零信任架构等等都有关注。对比 2014-2018 年美国国防部资源管理战略计划来看,美国国防部一直都在对身份和访问控制进行投资(这方面和国内有显著差异);另外, 2019-2023 年的计划中对安全的重视大大提高,大量内容都是应对当下的美军遇到的安全问题,而且提出的解决方案也相当接地气。

资料链接

Avatar
sbilly

主要关注 信息安全、网络安全、系统架构、计算机、网络、开发、科技、制造等科技领域

comments powered by Disqus