美軍進攻性網絡作戰架構

通常認為，網絡攻擊是一種"小作坊"的工作方式，從來不覺得它與高大上有何關聯。但是，美軍就真地把它變得高大上了。

自2018年來，美國網絡司令部嘗試建立"正規軍"的網絡作戰方式——聯合網絡作戰架構（JCWA）。但遺憾的是，我們對美國國防部的進攻性網絡作戰架構，難以有深入的了解。因為進攻性網絡作戰的領導者是網絡司令部，它的前身是NSA（國家安全局），這兩個部門都是出了名的嘴巴嚴，很少透露深度資料。

但嘴巴再嚴，也有被迫張開嘴的時候。特別是在GAO（政府問責局）的審計要求下，它不得不透露更多的信息；而在一些國防部對外采購會議上，它也不得不展示一些細節。這也使得我們看到了一些真面目。雖然不多，但勝于無。

不論網絡攻擊，還是網絡防御，都有兩個共性難題：一是時間（效率），二是空間（規模）。而解決之道，唯有自動化。放在防御領域，就是安全自動化；放在攻擊領域，就是攻擊自動化。

很多人曾經認為：美國國防部（由DISA主導）以急先鋒姿態推進的零信任架構（ZTA）是一種虛張聲勢！但現實是：美國國家級別的聯邦政府零信任戰略已經頒布；美國國防部級別的零信任戰略和零信任參考架構已經發布；國防部的零信任試點項目（雷霆穹頂）正在加速推進。

很多人仍然認為：美國國防部（由網絡司令部主導）以顛覆者姿態推出的聯合網絡作戰架構（JCWA）是一種虛張聲勢！但現實是：該架構的所有六大支柱型產品均已具備交付能力，正在按照推進時間表有序迭代。

我們當然可以懷揣著阿Q精神/精神勝利法，繼續對自己小作坊式的攻擊方式感到沾沾自喜，但請不要對美軍的集團軍式的網絡作戰架構掉以輕心。

關鍵詞：JCWA（聯合網絡作戰架構，Joint Cyber Warfighting Architecture）；UP（統一平臺，Unified Platform）；JCC2（聯合網絡指揮與控制，Joint Cyber Control and Command）；JCAP（聯合通用訪問平臺，Joint Common Access Platform）；PCTE（持續網絡演訓環境，Persistent Cyber Training Environment）；JADC2（聯合全域指揮與控制，Joint All-Domain Command and Control）；GAO（政府問責局，Government Accountability Office）；

目 錄

1. 網絡司令部的創新戰略

2. What：JCWA是什么？

2.1 JCWA是什么？

2.2 JCWA的體系組成圖

2.3 JCWA的六大支柱

3. Why：為什么要開發JCWA？

3.1 JCWA的根因是網絡司令部要獨立

3.2 為什么情報工具和作戰工具必須分開

3.3 JCWA成為作戰工具的天選之子

4. How： JCWA的運行機理

4.1 JCWA在網絡司令部使命中的定位

4.2 JCWA的運行機理

4.3 JCWA如何用于網絡作戰

4.4 值得深究的 JCWA傳感器

5. How：如何推進JCWA建設工作？

5.1 JCWA的建設預算

5.2 JCWA的建設進度

5.3 對JCWA的評估情況

網絡司令部的創新戰略

網絡司令部在2022年8月的一次對外采購會議PPT上展示了它的創新戰略。

網絡司令部創新戰略的目的：建立并培養一種鼓勵和獎勵創新思維和冒險精神的文化。

網絡司令部創新戰略的目標：

• 開發一個框架，在我們最具挑戰性的問題上實現協作，并展示前所未有的能力和大幅提高的效率。
• 將投資投入到相關的、前瞻性的概念上，以創造能力優勢，同時獲得切實的、重大的任務成功。
• 擴大網絡創新團體的規模、專業性、影響力；讓網絡司令部成為思想領袖——“塑造網絡空間作戰的未來”。

網絡司令部還引用了下面的創新類型矩陣圖：

圖1-創新頻譜

這個創新頻譜并沒有什么稀罕的，而真正令我稀罕的是網絡司令部隨后展示的這張圖：

圖2-網絡司令部的持續創新：跨越創新頻譜

筆者對此圖的理解是：

• “跨越創新頻譜”之含義：是指4種類型的創新（圖中最右側）都需要；
• “轉折點”之含義：是指如果缺少顛覆型創新，就不可能在能力上超越網絡對手。原因何在？因為敵手的能力是指數性增長的（即圖中的紅色曲線），而增量型創新、進化型創新、徹底型創新都是線性增長的（即圖中的藍色直線），僅靠這些類型的創新永遠追趕不上敵手的能力；而顛覆型創新才具有指數性增長的潛能（即圖中的綠色曲線），所以它也是唯一的希望。

問題來了：網絡司令部的顛覆型創新是指什么呢？毫無疑問，正是聯合網絡作戰架構（JCWA）！

What：JCWA是什么？

2.1 JCWA是什么？

JCWA是網絡空間進攻領域的作戰架構：

• JCWA是一個能力套件；
• 數據整合：JCWA整合了進攻性數據和防御性數據；
• 作用領域：JCWA涵蓋競爭、危機、沖突領域；
• 目標：JCWA使得指揮官能夠

ZH-CN;mso-bidi-language:AR-SA;">●  衡量風險；

ZH-CN;mso-bidi-language:AR-SA;">●  及時做出決策；

ZH-CN;mso-bidi-language:AR-SA;">●  以足夠快的速度 （時間維度）和足夠大的規模 （空間維度）展開行動。（筆者注：這一條正是筆者認為國防部努力實現攻擊自動化的佐證。）

筆者的觀點：JCWA的關鍵要求是互操作性、集成性、自動化，核心目標是實現網絡 攻擊自動化。

JCWA是一種企業架構。與國防部（DoD）和情報界（IC）的企業觀一致，網絡司令部將聯合網絡作戰架構（JCWA）視作一種企業方法。網絡司令部的執行主任稱“就像任何公司企業都會考慮如何管理廣泛的業務一樣，我們將網絡司令部視為一個企業，而聯合部隊總部也是該企業的一部分。”聯合網絡作戰架構（JCWA）正是這樣一種企業作戰架構。當然，JCWA的五大不同組件可以在統一架構之下由不同軍種開發，比如統一平臺（UP）由空軍開發，聯合網絡指揮和控制（JCC2）系統由陸軍開發。

2.2 JCWA的體系組成圖

圖3-JCWA的組成

2.3 JCWA的六大支柱

如上圖所示，聯合網絡作戰架構（JCWA）包括五個組成部分：

1. 統一平臺（UP，Unified Platform）：是JCWA的大數據分析平臺，負責數據管理和集成，目的是為網絡作戰人員和支撐人員提供數據同步和系統訪問。它被認為是攝取、分析、共享數據的核心。
2. 聯合網絡指揮與控制（JCC2，Joint Cyber Control and Command）系統：是決策平臺，目標是整合來自多個來源的態勢感知數據，以支持指揮官的作戰決策；旨在戰略、戰役、戰術各個層面增強美軍網絡空間作戰的態勢感知和戰斗管理，從而加強網絡指揮和控制，提升聯合作戰效能。
3. 聯合通用訪問平臺（JCAP，Joint Common Access Platform）：是任務執行平臺，目的是為美軍網絡空間作戰部隊提供一個通用的網絡火力投送平臺。
4. 持續網絡演訓環境（PCTE，Persistent Cyber Training Environment）：是演訓平臺，旨在為網絡空間作戰部隊提供持續的網絡演訓、評估、任務演練；
5. 傳感器：用于傳遞情報、監視和偵察數據，支持網絡防御和推動作戰決策。由于傳感器常常被忽視，筆者專門用一小節（詳見第4.4節）來討論它。
6. 網絡工具：是用于保衛己方網絡和攻擊敵方系統的各種網絡工具。

下圖中關于各個支柱的能力分解，有助于理解六大支柱的基本功能：

圖4-JCWA六大支柱的基本功能

這6大支柱如何統籌運行，以開展網絡作戰行動呢？筆者專門在4.3節中，用一張2022年8月新發布的網絡作戰示意圖（圖9；也是本篇微信的封面圖）和流程解讀，來回答這個問題。

W hy：為什么要開發JCWA？

3.1 JCWA的根因是網絡司令部要獨立

官方的說法是：網絡司令部一直希望擺脫各個軍種獨立開發各自網絡戰工具的情況，希望創建一個更具聯合性的架構，使得各個軍種都可以為整個網絡任務部隊開發工具和能力。于是，網絡司令部在2018年創建聯合網絡作戰架構（JCWA）。

但筆者認為：從根因分析的角度來看，開發JCWA的根本原因是網絡司令部要真正地獨立。絕大部分人不會意識到這一點。

了解美國國防部“雙帽體制”的人都清楚，網絡司令部是從NSA（國家安全局）拆分出來的，而且網絡司令部和NSA一直擁有同一個最高領導人（這被稱為“雙帽體制”）。

為了防止2009年新成立的網絡司令部的夭折，也為了防止NSA做甩手掌柜，2017年《國防授權法案》中規定了一項硬性要求：“在分裂之前，參謀長聯席會議主席和國防部長必須證明，如果分裂，網絡司令部和NSA的能力都不會降低。” 也就是說，如果不能證明這一點，網絡司令部和NSA就只能維持雙帽體系，而不能徹底分離。

筆者認為：網絡司令部和NSA的徹底分離必須包含以下三個方面：

1. 人員和員工的分離：這一步是完成時，即由6千多人組成的133個網絡任務部隊；
2. 基礎設施和工具的分離：這一步是進行時，將在下面小節專門解釋；
3. 領導人的分離：這一步是將來時，也是徹底分離的標志，網絡司令部和NSA將不再共用同一領導人。

3.2 為什么 情報工具和作戰工具必須分開

由于作戰需要情報支撐這一天然需求，網絡司令部與NSA的合作關系將永遠保持下去。

但是，兩者畢竟扮演不同的角色：NSA是一個情報組織，執行情報任務；網絡司令部是一個作戰組織，執行作戰任務。

所以，從長遠來看，正確的答案是將兩者分開。這幾乎是不可避免的。

正是因為網絡司令部具有與NSA不同的任務集，當然就需要單獨的基礎設施、工具、培訓才能獨立運作。想想看，旨在延遲、降級、破壞等等的作戰工具，與旨在駐留和提取信息的情報工具，確實是很不相同的。而兩者主要重疊的部分在于網絡滲透。

從另一方面看，如果網絡司令部和NSA共享同一套基礎設施和工具集，將對情報工作帶來巨大的潛在風險：因為作戰行動通常執行破壞目標網絡的嘹亮、進攻性軍事行動，并不會過多考慮網絡通道的隱蔽性。那么，這些嘹亮的攻擊行動就可能會導致承載它的網絡通道被對手追溯，從而將對手帶回 NSA服務器，并獲悉NSA的情報能力。這就對NSA的情報工作造成了破壞它。

說得簡單點：網絡司令部的思考方式是“我正在打仗，會不會被抓并不重要！”而NSA的思考方式是“我在搞間諜活動，絕不想被抓住！” 讓者兩撥人使用同一套基礎設施，一定會造成互相傷害的。

想想看，如果你搞情報活動的工具上有作戰組織的簽名，那么你的情報活動就很有可能被誤會為戰爭行動，從而違反國際法。但事實上，這本來只是一項微不足道的情報監視活動。

也正是因為上述原因，情報工具和作戰工具必須分開，情報組織和作戰組織必須分離。

3.3 JCWA成為 作戰工具的天選之子

在很長一段時間里，網絡司令部都使用著NSA的各種工具集，包括斯諾登泄露的那些。但那是過去時。

網絡戰士為了成功執行網絡作戰任務，需要適合的平臺、界面、工具集、基礎設施，就像更傳統物理領域中的戰士一樣。獨立的網絡司令部必然需要自己的基礎設施，來執行自己的作戰任務。

國防部的多數高層領導認為：除非網絡司令部擁有一個單獨平臺來獨立開展作戰任務，否則就不主張將網絡司令部與NSA分開。

這個單獨平臺的歷史使命最終落到JCWA的身上。當然，它在早期也有別的名字，比如軍事網絡作戰平臺（MCOP）。

所以，筆者才認為：JCWA是網絡 作戰平臺的天選之子。

所以，JCWA不僅從網絡司令部獨立的角度來看是必不可少的，而且對于行使網絡作戰職責的指揮部來說也是必不可少的。