全球威胁格局不断演变,通过数字现代化战略应对大国竞争已成为各国防务部门的当务之急。2019年7月12日,美国国防部发布《国防部数字现代化战略:国防部2019-2023财年信息资源管理战略规划》。该策略指出了国防部提高网络安全的方法,并记录在《网络安全参考架构》中。方法主要包括:企业边界防护、移动终端安全、中点安全、企业端点安全、数据安全、大数据平台、身份、凭证和访问管理等,本文将对以上方法进行详细介绍。企业周界防护企业周界防护(EnterprisePerimeterProtection,EPP)集成网关安全服务,通过集中管理降低成本,提高安全性。EPP在互联网、任务合作伙伴网络和商业云服务之间建立了一道保护屏障,提供了基于安全策略发现、检测、阻止和拦截流量的能力。EPP提供安全组件,用于路由通过网络接入点的网络流量、通过任务伙伴网关的任务伙伴流量、通过移动网关的未分类网络和分类移动用户流量,以及通过云接入点的商业云流量。利用共享的企业网络安全组件。移动终端安全传统的基于Windows设备的终端安全技术不适用于移动设备。因此,必须完善商用移动安全技术,以抵御移动终端面临的安全威胁。移动安全技术必须在美国国防部安全指南的适用范围内进行评估和部署。中点安全美国国防部保障中点和地区安全的核心是联合地区安全堆栈(JRSS)战略,这是新形势下美军安全体系的新模式。JRSS保障虚拟网络的安全,替代或补充作战指挥、服务和代理机构运营的网络安全系统,整合市场成熟的安全产品,构建集约化、标准化、功能齐全、部署明确的安全防御框架模型。部署在各商务局和军事基地的边界,对进出特定区域的网络流量进行编排、监控和防御,在降低人力和技术总投资成本的同时提高美军网络的整体防御效能。企业端点安全企业端点安全是人员、流程和技术的集成,以防止对端点的未授权访问,识别和删除恶意代码和未授权软件,并防止未授权软件和流程的执行。端点安全利用并集成了跨国防部组件的协作,例如ComplytoConnect(C2C)、遏制策略、可见性和评估工具。C2C是美国国防部的安全框架,旨在使机构能够持续识别网络安全风险、确定这些风险的优先级并首先缓解最严重的问题。此外,端点安全保护连接到国防部信息网络(DODIN)的授权平台或设备,拒绝授权用户使用任何经过身份验证的设备随时随地安全访问联合信息环境(JIE)资源。DoD正在对整个Windows10SHB操作系统进行标准化,以确保该部门可以利用所有DoD计算机的通用应用程序、更快的补丁和低生命周期配置,以达到批准的安全标准。数据安全(面向数据中心和云)大数据平台(BDP)是一个安全、可扩展、灵活和开放的基础设施平台,旨在提供分布式计算解决方案,解决大数据进入企业的问题如何适应企业的成长环境企业并与企业现有的生态系统共存。美国国防部的BDP作为一个公共平台,可以支持国防部的各种网络空间任务,可以支持非机密互联网协议路由器网络(NIPRNET)和安全互联网协议路由器网络(SecureInternetProtocolRouterNetwork)。Network,SIPRNET)对来自各种系统和传感器的结构化和非结构化数据执行聚合、关联、历史趋势和取证分析。DODIN作战和防御性网络作战(DCO)任务需要能够将企业级数据转换为事件关系的简单、动态和可视化表示,并满足某些要求。该机构打算利用传统的数据分析方法为DODIN和DCO操作提供企业态势感知,这一举措将为DPI带来以下好处:(1)全面了解所有传感器警报和端到端(互联网到host)数据流;(2)提供DCO状态和漏洞状态信息;(3)了解受攻击者捕获的信息影响的任务并扰乱系统;(4)根据历史趋势和模式预测攻击。身份、凭证和访问管理(ICAM)美国国防部的身份、凭证和访问管理(ICAM)方法包括四个要素:(1)数字身份治理:建立数字身份和相应的生命周期管理。(2)凭证管理:发行实体或电子代币作为实体权威数字身份的代理。(3)身份验证:通过证书验证身份,确认证书为真实证书。公钥基础设施(PKI)是DoD当前的身份验证技术解决方案。但是,当无法使用PKI时,可以使用多因素身份验证和身份联合服务。(4)授权:基于数字策略、关于请求身份和被访问资源的权威信息授予访问权限。在这种ICAM方法下,所有访问决策都基于权威身份信息,并且这些决策是动态可配置的,以支持不断变化的任务需求。此外,Audit支持实时和历史取证。总结通过上述方法的实施,国防部在保护网络安全方面取得了比较理想的效果。具体成果包括:通过共同的流程和功能,国防部信息网络将作为一个单一的虚拟信息环境得到保护;网络空间防御感知并响应外部和内部威胁,采取适当的补救、缓解和恢复措施;DODINO部队的指挥和控制由跨网络的共享网络态势感知支持;最大限度地共享和重用整个国防部的IT安全研究成果;国防部提供可靠的云计算环境,确保在面临高级持续威胁时任务的连续性;支持国防部信息企业和运营资产的控制系统能够抵御网络攻击。参考资料[1]DoD信息资源管理战略计划FY19-23。[2]https://www.secrss.com/articles/12364。
