当前位置 :

美国海军计算机网络防御体系分析及启示

2011-02-26 网络战研究会会议论文集(2010) 李健

摘要:美军认为,计算机网络防御(CND)是真正实现网络战斗力、有效完成作战任务的必要条件。本文对美国海军计算机网络纵深防御概念、体系结构、建设现状及发展趋势进行了详细的分析。

关键词:美国海军 计算机网络防御 防御体系 网络安全 任务安全
 
1.前言
如今的美军运行在一个以网络为中心的环境中,并实现了在信息方面所具有的优势。美军依赖网络进行指挥和控制、通信、情报、作战和后勤保障。因此,美国国防部认为“网络空间”对“掌控全球范围内的军事行动至关重要”[1]在这个空间之中,电子和电磁频谱是人们借以行动的介质,使用效果如何则有赖于他们利用的手段方式。[2],而
美国国防部大约超过700万台设备在全球65个国家1500多个基地的15000个网络、21个卫星和20000个商业线路,传输非密、秘密和机密的信息[3]。国家和军方信息设施之间的联系则更为紧密,包括因特网、电子通信网、计算机系统等。图1显示了网络空间的连接状态。据美国国防部披露,其国防系统每小时可能受到25万次非授权探测,每天次数达600万次。应该说,因美军网络结构的特殊性与网络应用的广泛性[4],使其军方承受着比其他国家军用网络更多网络安全威胁。鉴于网络系统的复杂性和脆弱性,美军更加强调积极的计算机网络防御(Computer Network Defense,简称CND)能力,全方位优化网络安全措施,构建纵深防御体系。以下我们以美国海军为例[5],对美军现行计算机网络防御体系进行分析。
 

 
图1,网络空间(Cyberspace)连接示意图
 
2.美军计算机网络防御(CND)的定义
计算机网络战(Computer Network Defense,简称CND)是被广泛定义的网络空间(Cyberspace)[6]和网络空间战(cyberspace operations)[7]的要素之一(其逻辑关系图见图2所示),是信息战(IO)与网络空间(Cyberspace)的交叉部分(见图3所示)。计算机网络防御(CND)则是计算机网络战(CNO)的组成部分之一。计算机网络战(CNO)的三个组成部分是:计算机网络攻击(Computer Network Attack,简称CNA),计算机网络刺探(Computer Network Exploitation,简称CNE)和计算机网络防御(CND)。
计算机网络攻击(CNA)是指网络战士利用计算机网络中断、抵制、削弱或摧毁敌方计算机和网络中的信息,以及计算机和网络本身的活动。计算机网络刺探(CNE)是指使我方具备作战和情报收集能力,引导我方利用计算机网络收集来自敌方自动信息系统和网络的数据的网络活动。计算机网络防御(CND)是指保护信息、计算机和网络免受扰乱或摧毁的措施,主要行动包括监视、检测和响应所有非法授权的计算机行动。[8]其常用技术是被动信息保障(诸如防火墙、数据加密)、主动诱骗((诸如蜜罐/蜜网)、网络空间冲突规避技术、网络隐形技术(VPN)、入侵检测系统(IDS)和网络扫描器等。并协助其它军兵种相关部门,确保实现更广泛的全球信息网格(the Global Information Grid,简称GIG)的安全防御。


2,网络空间领域


[i] 网络空间是五个域之一;其它四个域为空、陆、海、天。这五个域是相互依赖的。网络空间的节点从物理分布上讲存在于所有域中。网络空间中的活动支撑了其它域中活动的行动自由,其它域中的活动同样能在网络空间或借助网络空间产生影响。
[i]
 


图3,信息战(IO)与网络空间的交叉部分为计算机网络战(CNO)
美军认为,在当前的网络中心战时代,计算机和网络技术几乎渗透进所有的军事系统和互联互操作的军事单元。计算机网络防御(CND)是真正实现网络战斗力、信息共享、战场感知、快速下达指令和有效完成任务的必要条件。第24空军航空队司令洛德少将曾预想“网络作战约85%的行动为防御行动,防御军队网络不受攻击,并且确保网络不会中断。剩余15%的行动为针对对手的网络力量开展的进攻行动。”[9]另一方面,计算机网络防御(CND)与美军的作战行动及作战任务是密切联系的。图4说明了计算机网络防御(CND)从任务到作战,再到战略目标的逻辑关系。
 

图4, CND从海军部的任务到目标的纵向排列

3. 计算机网络防御(CND)的纵深防御体系结构
美军网络是在国防部网络一体化管理下采用“深度防御”机制来分层保护服务和系统信息流。计算机网络防御(CND)战略的目标是建立可信赖的信息和网络基础设施,是这种防御结构的最后一个保护层,它迫使敌方必须突破多个防御层才能进入,从而降低其成功的机率。计算机网络防御(CND)采用策略驱动解决方案,在网络边界及其内部进行防御。它包括基于标志的入侵检测、自动分析和响应工具、知识决策支持(将响应与策略和网络管理行动集成为一体)、协调和支持整个GIG的计算机网络防御。美国海军的计算机网络纵深防御结构图详见图5。整个防御体系需要以强有力信息保障(IA) 为基础,并且依赖于人员、技术和计算机网络防御(CND)管理三方面有效配合,以达到最佳的防御效能。
 

图5:美国海军的计算机网络纵深防御结构图
3.1美海军计算机网络防御(CND)的业务管理体制
美军网络司令部是美军网络作战与防御最高指导性机关,提供适当的计划、综合和协调性网络能力,在总统、国防部长和美国战略司令部指挥官的指挥下开展全谱网络战行动以保证美国和盟友的网络行动自由。
美国国防部要求所有信息系统和网络的拥有方都应具备计算机网络防御(CND)的功能。在海军内部,海军和海军陆战队分别通过海军网络防御作战司令部(the Navy Cyber Defense Operations Command,简称NCDOC)和海军陆战队计算机网络作战与安全中心(the Marine Corps Network Operations and Security Center,简称MCNOSC)定制计算机网络防御(CND)服务,并在美国网络司令部下属的联合特遣全球网络作战部队(Joint Task Force-Global Network Operations简称JTF-GNO)的协同和指导下,通过全球信息网格(GIG)执行多重和远程计算机网络防御(CND)作战任务。其一体化管理体制示意图如图6:
 

 
图6,美国海军计算机网络防御一体化管理体制示意图
 
海军网络防御作战司令部,位于弗吉尼亚州的诺福克,共约170--180人。海军网络防御作战司令部源于1995年的舰队信息战中心的一个部门,在2003年,作为海军计算机事件反应小组,成为了独立的司令部。现在网络防御作战司令部隶属海军第十舰队,现任指挥官为罗依·佩蒂上校,技术总监为詹姆斯·格兰哲。
 

 
图7,2008年5月28日,信息技术中士Seng Saeturn 重新装配海军网络防御作战司令部电脑网络线路。
 


 图8,2008年12月3日,在海军网络防御作战司令部观测室内工作人员在监视网络运行情况。
 


图9,2009年3月17日, 海军网络防御作战司令部主管罗伊•佩蒂上校正信息系统技术下士托马斯•赛克斯背后观看其进行日常工作。
 
海军网络防御作战司令部负责建立和管理海军网络和计算机网络防御,它还肩负保卫海军网络和为联合指挥官保障信息安全的特殊职责。海军网络防御作战司令部目前是国防部唯一一个具有三级计算机网络防御服务提供者资格的单位。[10]海军网络防御作战司令部的工作人员监视着海军及海军陆战队的网络,包括海军及海军陆战队内部互联网和战术网络,这些网络分布于16个国家的300个基地,拥有761000个用户。根据网络作战司令部的数据,这些网络每个小时要接收到90000次有潜在危险的探测,自2001年以来受到60000次软件计算机蠕虫和病毒的影响。海军现在每年用于计算机系统防御的费用高达10亿美元。
 

 
图10,海军陆战队计算机网络作战和安全中心。
海军陆战队计算机网络作战和安全中心的任务是:指导海军陆战队网络体系的全球网络行动和计算机网络防御,为海军陆战队和联合部队全球行动提供技术支持。获得并维持全球态势感知能力,达到全天候有效防护。其任务示意图见图11。
 

 
图11,海军陆战队计算机网络作战和安全中心的目标:获得并维持全球态势感知能力,达到全天候有效防护。
 
与海军网络防御作战司令部相配合提高网络防护水平的还有一个叫计算机网络防御红队的单位(Computer Network Defense Red Team)[11],它的目的有两个:1,确认防御措施可能疏漏的薄弱环节。2,在攻击检测和做出反应方面给予防御者提供有价值的训练。这个分队由海军陆战队上尉斯科特·巴赫楠和海军少尉丹·克拉克共同领导。它包括两个小组,由34 个精通密码技术的网络工程师和7 个技术高超的黑客组成。1995年,根据海军作战部长办公室3430.26指示,大西洋及太平洋联合指控中心与电子战计划署合并,建立了舰队信息战中心。计算机网络防御红队创建于1996年,为舰队信息战中心提供了作战和演习支持,协助他们提高抵挡恶意计算机活动的能力。舰队信息战中心计算机网络防御红队是海军综合弱点评估(NIVA)措施的一个重要角色。在舰队信息战中心又升格为海军信息作战司令部后,其行政下属[12]的计算机网络防御红队就作为一个长期的建制而列入了海军网络战体系。[13]
计算机网络防御红队的工作是计算机网络战领域一把不可或缺的标尺,是一种独立并且颇具威胁的敌方模拟行动,目的就是要促使美方防卫水平和安全系统的改进。计算机网络防御红队的工作目标就是逼真地模拟那些时刻紧盯着国防部信息系统漏洞的敌人的攻击手段。他们采取的方法包括积累(可能成为)目标系统的知识,猜测敌方目标的威胁环境,收集恰当的进攻工具,训练应对进攻的反应措施。这个分队的职责是:寻找海军和海军陆战队现有网络系统中已知的和新的漏洞,并抓住这些漏洞做文章,从而使有关方面明白为什么信息防护和网络安全对于日常工作是如此重要。海军陆战队内网(NMCI)服务级安全协议(SLA)测试由计算机网络防御红队在海军陆战队内网负责人指导下进行,目的是保证海军陆战队内网满足电子数据系统(EDS)合约中规定的安全标准。服务级安全协议测试是为了保证不同的设施中获取的数据可以进行有意义的比较而制定的高标准测试。
2007年,海军计算机网络防御红队得到了国家安全局的认可,也获得了国防部下属的美国战略司令部的授权,并指定评审委员会(DAA)的海军办公室每年都授权海军计算机网络防御红队负责信息系统的安全评估。
海军计算机网络防御红队的职能很宽泛,包括:
测试和评估
为危机行动提供支援——针对真实世界的攻击
在演习中(充当假想敌)阻碍部队行动
进行渗透测试
为海军或者联合司令部提供漏洞分析报告
对新技术进行评定
在世界范围内收集并记录红色战队的测试行动
报告各种安全漏洞所能产生的实际影响
多项漏洞评估
收集开放源代码
接近防护人员,物理侵入
海军信息作战司令部下属的“蓝队”(Blue Team)是为网络制定有效的计算机网络防御政策。根据国防部指令8570.1,蓝队是:“一组对信息系统(IS)或产品进行系统检验的高技能人员,他们的检验目的是为了确定安全措施的缜密程度,找出安全问题上的不足,评估安全措施的效用以及在这些措施实行之后确定它们是否足以解决问题”。
3.2美国海军计算机网络防御(CND)的技术措施[14]
国防部(DoD)和海军部(DON)的特定需求推动了计算机网络防御的发展。为了发展和不断改进计算机网络防御(CND)的形态和性能,海军部正在进行的主要技术措施有:
1.       普罗米修斯系统(Prometheus)
海军部提出了为海军企业网络提供积极防御所必须的“网络空间感知”(The Network Domain Awareness)计划,在此基础上,由海军网络防御作战司令部与GTSI公司联合开发了“普罗米修斯” (Prometheus)系统。联邦计算机周刊2009年11月29日报道,GTSI公司在2009年4月开始安装“普罗米修斯”(Prometheus)安全系统的工作,用以监控、报告和阻止恶意网络活动,其合同价值1500万美元。该系统以SAS情报平台作为数据存储支持,利用 Novell公司的 “哨兵”(Sentinel)系统作为安全事件管理前台系统(客户端,软探头),监控每天数十万起的网络活动事件。利用“哨兵”(Sentinel)系统作为“普罗米修斯”系统的一部分,海军网络防御作战司令部可以自动将数千个感应器获得的信息进行集中处理,可在几分钟或数小时内得出实时网络入侵报告。海军网络防御作战司令部的主要工作是将美国海军的4个主要网络:海军陆战队内部网、One-Net、IT-21和BUMED合并到一个中央知识库中,以便对事件数据进行集中收集和分析。
2.服从安全配置主动确认(Secure Configuration Compliance Validation Initiative,简称SCCVI)和安全配置主动修正 (Secure Configuration Remediation Initiative,简称SCRI)
为了检测和自动修正安全配置,海军部(DON)正在执行SCCVI和SCRI,确保对不服从安全配置的系统进行重置。
(1)SCCVI是发现漏洞和核实信息是否服从信息保障漏洞警报(Information Assurance Vulnerability Alerts,简称IAVA)的工具。这是一种发现和审核的功能,它能发现和确认包括服务器、数据库、转换器、路由器和无线接入点在内的不同平台和技术上已知的安全漏洞。
(2) SCRI是推动信息保障漏洞警报(IAVA)修补不服从安全配置的系统,对其配置进行重置,并执行消除或减轻己确认漏洞的纠正工作。
3.基于主机的安全系统(Host Based Security System,简称HBSS)
海军部(DON)正在运行基于主机的安全系统(HBSS),实现了对已知的网络攻击进行实时侦测和反击。基于主机的安全系统(HBSS)通过受中心控制的“基于主机的防火墙系统”和“基于主机的防入侵系统”,提供充足的缓冲器溢出保护、基于署名和行为的入侵保护和使用监控,达到保护主机不被利用和免遭恶意攻击的目的。
4.恶意广告软件和间谍软件探测、清除和保护系统(Spyware Detection, Eradication and Protection,简称SDEP)
对于恶意广告软件和SDEP的功能,海军部(DON)依靠基于主机的安全系统(HBSS)的主动防御功能实现。
5.用户自定义操作界面(User Defined Operational Picture,简称UDOP)
为使相关个人或团体能发展和了解在自身系统和网络上的活动和行为,海军部(DON)正在发展和实现一项能共享一般信息,改进对情况的感知,改善对网络的指挥和控制的功能。海军部(DON)正在通过用户自定义操作界面(UDOP)提供入口来实现这一功能,由这个入口获得满足相关个人或团体要求而定制的内容。
6.国防部内部威胁主动侦测系统
为处理“内部威胁”,海军部(DON)正在参与国防部内部威胁主动侦测系统,该系统正在开发和部署一个内部威胁集中侦测工具(Insider Threat Focused Observation Tool,简称InTFOT)。
7.NIPRNET非军事区(DMA)
为加强对内部和外部网络之间的保护,海军部(DON)正在与国家安全局(the National Security Agency,简称NSA)和国防信息系统局(Defense Information Systems Agency,简称DISA)合作,为NIPRNET开发一个新的非军事区体系机构。海军部(DON) 正在运行新非军事区体系机构,来加强内部与外部网络交换信息时的信息保障(IA)策略。在保护内部网络不受外部网络攻击的同时,非军事区(DMZ)对不可信的外部资源使用公开信息进行了限制。
8.入侵防御系统(Intrusion Protection Systems,简称IPS)
海军部(DON)正通过运行入侵保护系统(IPS),监控网络和系统中的活动,查找恶意和多余的网络行为,并允许网络防卫人员实时采取果断的行动对其进行阻止或预防。
9.智能代理安全管理者(Intelligent Agent Security Manager,简称IASM)
海军部(DON)正在通过智能代理安全管理者(IASM),做到几乎实时地获取和标准化来自主传感器、防火墙、路由器和操作系统的安全事件日志和警报,完成对基于署名的标准化事件的分析,并对引发特定安全攻击警报的异常事件进行评估。智能代理安全管理者(IASM)能监视网络中的通信,并根据多种标准判断其是错误操作、欺骗行为还是网络攻击。它能对数据进行收集、标准化、关联和分析,实时判断网络攻击的概况。
10.静态数据(Data at Rest,简称DAR)加密
海军部(DON)正在通过施行加密静态数据(DAR)的解决方案,保护储存在政府微型电脑、其它移动电脑设备和移动存储设备中的敏感和非保密数据。
11.用户对计算机网络防御(CND)的认知
海军部(DON)正在不断强调和加强用户对计算机网络防御(CND)认识,确保计算机和网络用户充分意识到威胁的存在,及他们有责任对威胁进行防御。
12.密码登录(Cryptographic Log,简称On CLO)
海军部(DON)己不再信任用户名和口令的安全性,海军部(DON)为提高网络的安全性,正在向完全的密码登陆(CLO)方式转变。
13. 使用硬件代号
海军部(DON)为了克服软件公钥基础设施(Public Key Infrastructure,简称PKI)固有的弱点,正完全忠实地向使用硬件代号(比如:通用访问卡、交替代码、基于硬件的外部授权代码和基于硬件的联合PKI代码)转变。
14.联邦桌面型电脑核心配置(Federal Desktop Core Configuration,简称FDCC)
海军部(DON)为了提高安全性、降低成本和减少软件的兼容性问题,将为运行微软操作系统的桌面型电脑和微型电脑提供统一标准的企业级操作环境,采用为企业开发的通用配置而不是数以百计的自创配置。执行《安全内容自控协议》(the Security Content Automation Protocol,简称SCAP),是成功实现遵从联邦桌面型电脑核心配置(FDCC)的主要途径,该协议采用特殊的标准,能自动完成检测计算机的弱点和审核计算机是否遵循必备安全策略的工作。
15. 内容过滤
海军部(DON)正在通过过滤网络内容的功能,预防来自接入网络的恶意软件、间谍软件、不稳定的恶意代码和其它不适宜的内容,为网络提供实时保护。
16.海上计算机网络防御(CND)
海军正在舰船上运行由遵从安全配置主动确认(SCCVI)、安全配置主动修正(SCRI)和基于主机的安全系统(HBSS)组成的海上计算机网络防御(CND)组件。入侵保护系统(IPS)正被安装在大型水面舰船上。
3.3美国海军计算机网络防御(CND)的未来发展
美国海军的计算机网络防御(CND) 为适应不断变化的威胁,侦测网络上不适宜的活动和行为,并能实时采用正确的应对措施,正在全面建设多层防御—纵深防御体系,主动防御已知的威胁,主动处理新型的和未知的威胁。未来的海军计算机网络防御(CND)在技术方面将包括下列几部分:
1.高级网络访问控制(Network Access Control,简称NAC)
通过这项功能,能评估接入网络的设备的安全状态。一旦设备被接入网络,它就能对其进行不间断的监控,并依据设备的状态采取必要的修正策略。这项功能允许管理包括从防火墙外接入网络的设备在内的所有网络终端,防火墙是网络的第一道外围防御,它在网络的边缘提供真正的点保护。海军部(DON)将使计算机网络防御(CND)与涵盖所有企业访问控制的解决方案充分结合,这个方案支持“第一个为此成立的联盟/非政府组织(NGO)环境联盟”内部的点对点请求,该联盟消除了不同环境信任等级的差异。
2.增强型(下一代)入侵保护系统(IPS)
这项技术改进了侦测和修正的功能,着眼于协议栈中的不同防御层,能实时主动地发挥作用。它利用比简单的关键词匹配更优、更先进的侦测技术,能对内容作更全面的检查;不像异常侦测方法那样需要时间学习和标准化基础流程,这种模式和行为能直接运行,并以最低误报率直接做出评估。
3.增强型反病毒技术
这项技术优于基于署名的检测和修复技术。它支持实时和嵌入式检测和修复,利用全面扫描来发现和清除Rootkits和其它被植入很深的病毒活动。另外,这项增强型技术能防御未知或无法提供签名或修复方法的新生(zero-day)病毒,支持基于行为的病毒防护。
4.简化管理和经营的复杂性
通过自动控制,能简化网络和系统管理和经营的复杂性。将获得能提供更完整的用户、系统和网络活动的情况的功能。这项功能将依靠审查和事件日志,展示数据间的相关性,在有可疑的活动时向网络操作和防御人员提出警告。海军网络操作和防御人员将通过控制界面,处理对网络和系统复杂而精密的管理和经营工作。在控制界背后是自动执行的收集、关联和分析网络和系统数据,并向网络操作和防御人员报告用户和网络活动和行为的工作。另外,海军网络操作和防御人员能设置和授权一些主动防御的特性,如对威胁自动、实时响应和主动报告。最后,海军将把这项可靠的管理功能融入整个网络功能中。
5.识别虚拟环境
通过加强针对所有被激活的虚拟计算机和存档的图像的安全策略,计算机网络防御(CND)必将具备识别虚拟环境,保护在线和离线虚拟图像的功能。
6.高级取证能力
这项功能引入了事后取证和事前取证的关联性,能持续监视网络的状态。它支持对用户、系统和网络的行为进行学习和了解的功能,使行为的标准更容易被确定,进而能主动应对系统和网络中的异常活动和行为。
3.4美国海军计算机网络防御(CND)的人员培训
美军认为,只有通过人员、程序和技术之间的协同配合,才能创造出更大强的防御效果。1993年美国国防大学率先成立了旨在培养信息战人才的信息资源管理学院,首批16名学员被称为“第一代计算机网络战士”,他们的任务就是利用计算机在网络空间与敌人展开全面信息对抗。随着网络空间司令部的成立,美军对信息安全人才需求日益旺盛。为建设一支强大的信息安全队伍,陆海空三军积极采取措施,加强在职人员培训,吸引并保留高水平信息安全文职和军事人员。国防部规定,处理国防部信息业务的人员,必须具有与从事工作相应的资格证书;应聘到国防部门从事信息安全工作的人员,要具备相应的专业证书。在2010财年国防预算案中,国防部把招聘网络空间安全专业人员的数量从目前的80名增加到250名。为鼓励更多美国大学生献身信息安全事业,国家安全局实施的“信息保障奖学金”计划,已从当初的7所大学发展到2009年的106所。[15]
海军网络作战司令部和海军作战部下属的信息优势部(N2/N6)[16]负责对计算机网络战的各个方面进行教育、训练和认证,重点是计算机网络战防御、计算机网络战刺探和计算机网络攻击中的合作和一体化。训练要确保作战经验增强每个士兵职业生涯中每个具体目标的技术技能。训练和认证应当包括文化感知、技术使用、最佳时间和对手的战术、技巧和程序以及思维方式。
海军作战部下属的信息战部(N3IO部门)、海军网络战司令部(NNWC)和海战发展中心将负责制定政策和指导条令的制定,包括计算机网络防御、计算机网络利用和计算机网络攻击行动的综合、协调和避免冲突的战术、技巧和程序,并下放认证权。海军网络战司令部要与其他战役指挥官合作确保在能够进行计算机网络战的海军信息战中心实施分散的训练和认证,利用合适军种、联合部队和国家级的训练与教育设施。
再版的DoD 8570准则(DoD Directive 8570)规定,所有军方、联邦政府、外事单位、约聘雇、全职和兼职的公务人员,都必须依照工作内容通过SCP(资安认证计划,Security Certified Program)的3类资安认证考试SCNS、SCNP及SCNA,相关人员预计在2010年必须全部通过该认证。[17]
 

 
 
图12,海军计算机网络技术人员培训与认证体系架构示意图
 
美国海军网络作战司令部要求信息作战指挥官与密码技术人员必须拥有分析威胁、起草并评估需求、获得进入、开发目标、设计武器、计划打击、反制打击、执行作战计划的技能。还必须理解如何通过无线方式和物理方式进入对手计算机网络系统的能力。[18]
 

 
图13,密码技术人员必须掌握的8种技能
 
密码技术人员(网络)必须是海军计算机网络战的专业人员,能够与网络管理中心的信息技术人员密切合作。密码技术人员(网络)的专业技能必须能够应用于计算机网络攻击、计算机网络刺探和计算机网络防御。
密码技术人员(收集)和密码技术人员(技术)是目标开发小组的关键成员,负责分析计算机网络战如何影响对手指挥与控制网络的性能。海军网络战司令部要训练他们基本的计算机网络战的知识和技能,使他们的技术能力在一体化的信息战中得到最大的发挥。
密码技术人员(翻译)是计算机网络战之前、之中和之后所需的内容分析的关键。海军网络战司令部要训练他们基本的计算机网络战知识和技能,使他们的语言技能、地区专长和文化感知能在一体化的信息战中得到最大的发挥。
 
4.启示与思考
美国海军计算机网络防御的概念从九十年代中期提出至今已经过了十多年的发展,已建立了一个完整的防御体系,并在由传统的信息安全向任务安全转型。其中他们很多成功的经验是非常值得我们借鉴的。
一是理论是根本。这为日后建立体系化计算机网络防御打下了坚实的基础。网络空间(cyberspace)的定义自2004年至今美国军方就给出了四个不同的“官方”定义,仅从这一点就能看出上至美国国防部下至各军兵种对理论研究的严谨与精益求精。在坚实的基础之上才可能建造高楼大厦。
二是为战而防。计算机网络防御以作战任务为总需求,在海军部总体作战任务、作战构想的框架之下制定自身的计算机网络防御作战战略目标。为战而防才可能为计算机网络防御提供清晰的发展思路。
三是基与效能。倡导人员、技术和计算机网络防御管理三方面有效配合,以达到最佳防御效能。
四是一体化管理。各军种在国防部主抓网络一体化工作的负责网络信息一体化的助理国防部长(也是国防部首席信息官)与联合参谋部J-6 (C4ISR部门)的主任(也是联合参谋部的首席信息官)统一领导下,保障各自的网络防御业务。这就要求在互通性与通用性上与国防部保持一致,这也为计算机网络纵深防御体系建设创造了可能性。
五是由信息安全向任务安全转型。传统的被动防御思维模式正在向主动防御过渡。正如伯兹艾伦·汉密尔顿公司的高级副总裁托马斯·福尔曼所说“目前的信息安全处在一种‘不停地向外舀水’的状态,但不管怎么舀水,都无济于事,因为攻击者永远领先。”[19]增强“网络空间感知”能力成为下一代计算机网络防御技术的重点。
六是以人为先。美军认为目前导致计算机网络防御体系纵深不足的一个原因可能就是缺少高质量的安全专业人才,以及在职人员大量的专业培训。面对这种现象,以至于美国一家业内公司主管感叹到“网络劳动力问题是我们都面临的共同问题。作为承包商我们不仅要与其他承包商还要与政府争夺人才,因为网络勇士非常少。”
纵观美国海军计算机网络防御体系建设的做法与经验,笔者认为以下几个方面在我军网络安全建设中应该引起重视:
一是理论研究与队伍建设应高于网络环境建设,只有扎实的理论基础与过硬网络安全技术队伍才能真正地立于不败,走的更远;
二是在政府支持下建立网络安全产业联盟,充分而有效地利用民间技术力量为我所用;
三是确立正确计算机网络防御战略目标,以作战需求为牵引,为战而防,消除为防而防、为安全责任而防的消极计算机网络防御思想。


[1] 美国参谋长联席会议主席办公室。国家网络战军事战略((NMS-CO)(U),(华盛顿:美国参谋长联席会议主席,2006年9月)vii
[2] Convertino, et. al.《在网络空间中翱翔和战斗》(40号文件,麦克斯韦,AL:AU出版社,2007年7月),第7页。
[3] 数据来源自《美国网络安全政策和美国网络司令部的角色》,国际战略研究中心网络安全政策研讨会上美军网络司令部司令亚力山大将军的发言。
[4] 美国军队不是只开发自己的信息通信技术知识库和系统,而是广泛依靠商业信息通信技术,而且对全球商业服务的依赖不断增加,包括使用英特网支持指挥与控制系统的某些部分。除了英特网之外,军队还是其他商业产品的用户,如无线网络,蜂窝电话、黑莓手机、电信、卫星和有线网络、无线电和电视等----引自《美军方视角看网络力量》(Military Perspectives on Cyberpower)第1章“美国各军种网络综述,美国国防大学2009年7月出版。
[5] 美国海军在信息化建设方面一直走在三军的前列。例如,1997年海军首次提出“网络中心战”思想;2002年3月成立海军网络作战司令部,是第一个拥有专业部队进行计算机网络作战的军种;首次将网络、ISR、太空战、电子战等功能溶合为一;2009年底成立“信息优势部”(N2/N6);控制地域广,作战单位遍布全球。以海军为研究对象具有代表性。
[6] 术语“网络空间”(Cyberspace)是信息环境中的一个全球领域,它是由包括英特网、电信网络、计算机系统和嵌入式处理器、控制器组成的相互依赖的信息技术基础设施网络。 Cyberspace is a global domain within the information environment, consisting of the interdependent network of information technology infrastructures, including the Internet ,telecommunications networks, computer systems, and embedded processors and controllers. (《国防部常务副部长备忘录》2008年5月2日)
[7] 术语“网络空间战”(cyberspace operations)是指:通过网络或在网络内部,以达成军事目的或影响为主要目标而对网络功能的运用。这样的作战是指为了操控和防护全球信息网格,所进行的计算机网络作战和行动。(The term, cyberspace operations, has been proposed to mean the employment of cyber capabilities where the primary purpose is to achieve military objectives or effects in or through cyberspace. Such operations include computer network operations and activities to operate and defend the Global Information Grid----VCJS Memo to DEPSECDEF,题目:网络空间战的定义,2008年9月29日)
[8] 引自联合出版物3-13,《信息战》。
[9]埃里克·福尔摩斯,“唐利提出网络司令部结构”《空军时报》,2009年2月26日。
[10] 美国海军网络战司令部战略规划09-13
[11] 红队指的是在训练演习中扮演敌人角色的主题专家小组。
[12] 在业务上海军红队是独立于海军部门之外。
[13]每个军种均拥有一支红队。
[14] 摘自2009年5月发布的《美海军计算机网络防御路线图》
[15] 《2009年美军信息安全建设发展回眸》,2010年《现代军事》第4期,周保太。
[16] 2009年10月,美国海军作战部长办公室宣布将情报部和通信网络部合并为一个部——信息优势部(N2/N6),这标示着美国海军“信息优势兵”的产生。
[17]《人员培训在网络防御中至关重要》,《信号》杂志2008年第12期,亨利·肯因。
[18] 引自《美军方视角看网络力量》(Military Perspectives on Cyberpower)第3章“海军实现网络空间军事力量的作战行动”,美国国防大学2009年7月出版。
[19]《新威胁迫使国防部重新思考网络战略》,《国防系统》杂志2010年1月22日,作者为西恩·加拉赫。

[责任编辑:诺方知远]

共1条记录/1页  
[收藏]