美軍信息網絡是世界上最複雜的國家級網絡之一,隨著美軍戰略調整始終保持動態演進的態勢,平均每5年就會拋出新的網絡概念、新的網絡架構和新的網絡建設計劃,其安全體系設計也不斷變化,這裡主要梳理美軍網絡整體概況和發展進程,重點關注其網絡隔離與跨域融合的安全保障措施。
美軍通信網絡建設的主管單位是國防部信息系統局(DISA),在DISA的推動引領下,美軍已經建成世界上最先進、最複雜、最強大的天地一體化軍事通信網系,整體上可以劃分為3個層次:全軍共用基礎信息網絡、全軍共用傳感器網絡和作戰部隊網絡。
其中,全軍共用基礎信息網絡,按照其發展歷程,大致可以劃分為國防通信系統(DCS)與國防信息系統網(DISN)、全球信息柵格(GIG)、基於國防部信息網絡(DoDIN)構建聯合信息環境(JIE)等3個階段。
全軍共用傳感器網絡,按照其作戰空間不同,主要包括情報偵察網絡(由天基偵察衛星和高空偵察機組成)、國家戰略預警網絡(由天基預警衛星和遠程預警雷達組成)、國家空間監視網絡(由大型相控陣雷達和對空觀測望遠鏡組成)、國家海洋監視網絡(由海洋監視衛星組成)和其他國家級傳感器網絡(由GPS全球定位系統組成)等。
作戰部隊網絡,按照軍種劃分,主要包括空軍指揮控制星座、陸軍未來作戰系統和海軍部隊網等。
美軍網絡簡單來說,就包括美國防部網絡和軍種網絡等兩類網絡。國防部網絡與軍種網絡是自20世紀60年代起同步建設發展的,國防部網絡發端於1960前後建成的"全球軍事指揮控制系統",物理上通過路由器等網絡設備、使用與國際網際網路相同的協議族將各個指揮系統連接起來,其初衷是國家指揮機構能夠對分散部署的部隊有效行使指揮權,但因應用需求難以統一和技術條件限制,未能實現全面集成的最初目標。
全球軍事指揮控制系統的基礎網絡被稱為"國防通信系統",DISA將國防通信系統分為兩類:加密網際網路協議路由器網SIPRNET和非加密網際網路協議路由器網NIPRNET。
NIPRNET用來在國際網際網路與軍隊內網之間交換非密敏感信息,由國防部部署的所有IP路由器組成,前身稱為MILNET,目前分別在美國內的哥倫比亞城、聖安東尼奧城、梅卡尼克斯堡和俄克拉荷馬城等4個位置與國際網際網路之間設有安全緩衝區。
SIPRNET是美國防部與美國政府(包括駐外大使館)之間進行數據傳輸的計算機網絡,使用美國家安全局認可的加密系統進行數據加密,最高涉密等級達到機密級別。
在此之上,還有一個連接美國政府所有16個情報機構的絕密級網絡,稱為全球聯合情報通信系統JWICS,用於各情報機構之間交換情報信息,其前身是DSNET2和DSNET3等兩個最高機密的國防數據網。
SIPRNET與JWICS兩個網絡,構成了美國防部的保密版網際網路。
20世紀80年代,美軍對全球軍事指揮控制系統進行了大規模升級,在1991年海灣戰爭中發揮了重要作用,但同時也暴露出信息系統之間無法互聯互通互操作、不適應聯合作戰需要等問題,為此美軍1992年開始實施"武士"C4I計劃,將國防部、各軍種和北約盟國的指揮控制系統全部連通,改造形成指揮、控制、通信、情報等要素高度融合的"全球指揮控制系統",該系統將NIPRNET、SIPRNET和JWICS等國防部網絡,與各軍種網絡連接起來,全面採用成熟的商用計算機與網絡技術,形成美國防部能夠進行集成信息處理與支持跨軍種業務應用互操作的"國防信息系統網"(DISN)。
在國防信息系統網中,不同安全等級的物理網絡之間,特別是SIPRNET、JWICS與NIPRNET之間已經開始使用"跨域解決方案"來解決不同密級數據相互交換問題,主要技術設施是隔離網閘;在隔離網閘作用下,不同密級物理網絡之間是"物理隔離"的,即"看起來是連通的,但實際上是斷開的"。NIPRNET與國際網際網路之間設置安全緩衝地帶,主要技術設施是防火牆,兩者之間是"邏輯隔離"的,即"看起來是斷開的,但實際上是連通的"。
20世紀90年代,為有效推進美軍"網絡中心戰"戰略構想落地,解決越來越龐大的軍種網絡信息系統與國防部網絡之間的集成與互操作問題,美國防部發起了"全球信息柵格"建設計劃,以取代以平臺為中心的國防信息基礎設施。
全球信息柵格主要由3個組成層次:第一層是全球網絡,主要是通過拓寬基礎傳輸光纜帶寬,連通分布於美國國內、太平洋地區和歐洲的主要美軍基地的國防信息基礎設施全部700餘個節點,囊括各軍種作戰網絡和軍事衛星網、聯合戰術無線網絡等;第二層是戰區網絡,包括海軍區域網絡、空軍機載網絡、陸軍戰術網際網路等;第三層是戰術網絡,包括海軍區域網子網、陸戰隊戰術網、空軍戰術網、營區/哨所/兵站節點等。
為確保通信網絡融合與信息系統集成過程中不形成新的安全隱患,保護網絡中傳輸的保密信息並免受外部攻擊,DISA在推動全球信息柵格建設過程中,同時發起了所謂"加密轉型"的安全保障建設計劃,主要內容是利用IPv6和多協議標籤交換MPLS技術來改造現有網絡基礎,使用高安全IP加密網關來打造"黑色核心"網絡,使用虛擬網絡技術與VPN網關在SIPRNET、NIPRNET等物理網絡中劃分各自獨立的"虛擬安全域",分配給各軍種、各機構使用,各單位分布在不同保密等級的物理網絡中的"虛擬安全域",再組成各單位的"作戰行動虛擬網"(網絡作戰域),不同安全等級的終端分別接入相應密級的虛擬安全域,不同密級網絡之間的信息交換,由美國防部統一實施的"跨域解決方案"解決。
經過近二十年的整合與建設,全球信息柵格在系統集成與業務互操作性方面取得很大進展,但同時也形成了全球最大的異構分布式系統,存在很多冗餘、繁複、不兼容、不標準的業務功能和技術環節,各種面向特定作戰功能的作戰網絡與軟體系統,其信息技術資產形成了全球範圍內2000餘個數據中心,年度維護經費超過760億美元。
為此,2012年美國防部提出"聯合信息環境"建設計劃,希望按照標準化和體系化建設思路,將全球範圍內數百個軍事設施、15000餘個獨立軍事網絡、超過700萬套計算機設備整合起來,打造聯合、安全、可靠和敏捷的一體化軍事信息環境,減少基礎設施和人員配置,提高運營效率,增強網絡安全性。
2014年,全球信息柵格更名為"國防部信息網絡";2015年,國防部信息網絡聯合部隊司令部具備初始作戰能力。國防部信息網絡可以認為是實現聯合信息環境的基礎設施,聯合信息環境是建構在國防部信息網絡之上的業務應用架構。國防部信息網絡在安全保障方面的重大舉措就是使用統一安全架構,在縮減後的全球23個數據中心部署聯合區域安全棧,涵蓋了包括身份認證管理、網絡態勢感知、威脅檢測發現、追蹤溯源反制在內的各種安全技術能力,提升全網安全資源調度與主動防禦能力。
總體而言,美軍通信網絡建設的核心目標,是支撐作戰指揮信息系統部署展開,其建設發展階段與美軍戰略調整和指揮信息系統架構變遷相同步。在國防部網絡中,始自20世紀60年代建設形成的NIPRNET、SIPRNET與JWICS,經過全球信息柵格、聯合信息環境等無數次集成建設依然存在;網絡信息集成建設只是加強了國防部網絡與各軍種網絡的資源整合與業務融合,並未改變不同保密等級網絡之間"物理隔離"的狀態,注意這裡是"物理隔離"而非"物理斷開"。
美軍為解決來自不同保密等級網絡間的跨域信息交換問題,特地開發"跨域解決方案"CDS,該方案不是簡單的技術架構,而是涵蓋了政策、組織、機制、管理、技術等各個方面的體系化安全措施,由國防部下屬的統一跨域服務管理辦公室推進實施。此外,美軍長期以來非常重視國際網際網路的組織運用,儘管NIPRNET經常遭受外部攻擊,但美軍從未斷開與國際網際網路的物理連接,反而是積極利用國際網際網路加強部隊建設,比如包括美國防部、參聯會、各軍種、各基地甚至營團都在網際網路上建立網站,展開輿論宣傳,進行兵員招募,實施遠程教育,同時加強信息安全與保密系統建設,安全而合理地利用國際網際網路的連通性與便捷性;美軍情報機構甚至直接使用"暗網"進行情報傳遞和行動協調,美軍最低限度通信網更是直接將國際網際網路作為首輪核生化打擊之後的首選指揮渠道。
奇安信集團資深技術專家,主要從事於安全大數據、信息攻防、漏洞挖掘等領域的研究工作,曾參與網絡中間件、火控系統、軍事信息系統、業務大數據等10餘項安全領域科研課題和項目建設,多年致力於信息安全攻防一線工作。
作為我國首個軍地溝通、軍地協同的網絡空間安全軍民融合發展平臺,中心聚焦網絡空間國防安全領域,探索建立網絡國防安全裝備建設的軍民深度融合創新發展模式,致力於打造成為我軍裝備發展網絡空間安全領域的民間智庫。