美軍大數據建設及其安全研究
摘要:隨著大數據技術的不斷發展,以及其軍事應用優勢的日益顯現,以大數據為關鍵基礎,智能決策、智能行動賦能全新作戰樣式、指揮模式和戰爭形態的時代即將到來。基于此,研究了美軍出臺的一系列軍事大數據發展戰略,分析了美軍大力推動大數據建設的主要需求,梳理了美軍加速推動大數據建設的主要途徑和實施方法,闡述了美軍軍事大數據的安全體系及關鍵技術,總結了美軍大數據的發展趨勢,最后提出了大數據發展的建議。
隨著以網絡化、數字化、智能化為主要特征的新信息技術的更迭,數據正全面融入現代軍事領域,成為軍事戰場制勝的重要資源、軍事科研的驅動力量和軍隊管理的核心要素。美軍認為數據能夠提升軍事作戰指揮和行動的效率,通過快速、高效地采集并利用軍事大數據,以達到縮短決策周期、形成信息優勢、增強聯合作戰的效果。
目前美軍處于全球信息技術發展的領先地位,為了繼續擴大其軍事領域技術優勢,發布了《國防部數據戰略》等一系列規劃和文件,引導軍方和政府加大投資力度,啟動一系列軍事大數據項目,調動全社會優勢資源開展大數據前沿技術研發與應用,意圖獲取以數據為中心的全方位軍事優勢,搶占未來數字化、智能化戰爭的先機。
1 美軍大數據發展戰略
美國政府和軍方敏銳地洞察到大數據技術的重要性,在 2012 年 3 月發布了《大數據研究與發展計劃倡議》,這是全球首個國家層面的大數據戰略[1],將大數據從商業行為上升到國家意志層面。該計劃投資 2 億美元,以推動數據發現、數據存儲、數據抽取、數據共享和數據分析等大數據領域內相關技術的創新和關鍵工具的開發。旨在加快大數據在科學和工程領域的創新步伐,推動和完善與大數據相關的采集、組織和分析工具及技術,提升從大量而復雜的大數據集合中萃取關鍵信息的能力,并應用于美國相關部門和軍事基地的信息系統中,以強化美國國家安全,意圖憑借其先進的信息技術,獲取世界信息霸權,持續擴大與其他國家之間的信息化差距。
為加速《大數據研究與發展計劃倡議》的實施進程,2016 年 5 月 23 日,美國政府發布了旨在構建大數據驅動戰略體系的《聯邦大數據研發戰略計劃》。通過該計劃形成以大數據技術為基礎的數據采集、知識提取、共享交換、分析處理以及知識發現和輔助決策的能力,從而激發聯邦機構和整個國家的新潛能,以實現加速大數據領域的科學發現和創新進程的目的。美國大數據戰略的首要目標是提高競爭力,基于此目標,《聯邦大數據研發戰略計劃》在該頂層戰略中規劃設計了以下幾點:
(1)大數據技術和應用的創新戰略;(2)提升計算能力;(3)提高數據可信度;(4)保護隱私;(5)加強基礎設施建設;(6)人才培養;(7)跨機構協作等支撐性內容。美軍通過《聯邦大數據研發戰略計劃》已將大數據技術應用到賽博領域,以及指揮控制、情報偵察、后勤支撐等領域。美國國防部及其下屬美國國防部高級研究計劃 局(Defense Advanced Research Projects Agency,DARPA)開展的典型大數據項目有 8 個,即多尺度異常檢測(Anomaly Detection at Multiple Scales,ADAMS)、洞察力項目(Insight)、心靈之眼項目(Mind’s Eye)、影像檢索和分析項目(Video and Image Retrieval and Analysis Tool)、機器讀取項目(Machine Reading)、X-DATA 項目、美軍智能分析之非傳統信號處理項目(UPSIDE)、數據到決策項目(Data to Decisions)。基于大數據技術在作戰中的應用,美軍軍事戰略正在從“以網絡為中心”向“以數據為中心”轉變,也預示著大數據已逐步成為智能化裝備的重要技術基礎,成為打贏未來智能化戰爭和提升國防管理決策質量效率的重要引擎 。
2019 年 7 月,美國國防部發布了《國防部數字現代化戰略》。戰略介紹的網絡安全措施包括企業邊界保護、企業端點安全、移動終端(Endpoint)安全、中繼(Midpoint)安全、數據安全、大數據平臺(Big Data Platform,BDP)、身份、憑證與訪問管理(Identity and Access Management,ICAM)和加密現代化等 8 類,BDP 是其中很重要的一個組成部分。
2 美軍大數據建設
美軍為了牢牢抓住數據發展的戰略機遇,出臺了一系列軍事數據戰略規劃,啟動了多個大數據建設項目,謀求以“數據中心戰”為目標的快速轉型,意圖獲得數據發展領先優勢 。
2.1 標準進展
為 支 撐 大 數 據 建 設 發 展, 美 國 國 家 標 準 與技 術 研 究 院(National Institute of Standards and Technology,NIST)于 2012 年啟動了大數據相關標準研究,并于 2013 年成立了 NIST 大數據公共工作組(Big Data Public Working Group,NBG-PWG),對所有相關方開放,旨在通過結合行業、高校和政府等各方力量加速對大數據技術甚至大數據產業的接納和應用。NIST 發布的大數據標準如表 1 所示。
表 1 大數據標準
2.2 重點項目
2.2.1 聯合信息環境
2011 年,美軍提出和實施了聯合信息環境(Joint Information Environment,JIE),標志著信息化建設重心從“以網絡為中心”轉變為“以數據為中心”。JIE 的建設目標為統一數據,通過建立核心數據中心,將重要信息匯總作為共用資源提供給美軍各軍和各級機構。
JIE 在計算部分主要依托云平臺,在保障用戶得到具有魯棒性和容錯性的計算能力的同時,支撐聯合區域安全棧和數據中心。數據部分主要依托核心數據中心(Core Data Center,CDC),在數據策略管控下,按需向用戶提供數據與服務。
如圖 1 所示,JIE 中不同的作戰層級對應不同的數據中心,數據中心分為以下 4 個層級:(1)CDC:主要運行于各大戰區總部和美國本土,能夠依托統一安全架構提供標準化的承載和存儲服務。(2)設施處理節點(Facility Processing Node,IPN):主要設置于獨立性的局部區域和國防部設施。(3) 特 種 用 途 處 理 節 點(Purpose Processing Node,SPPN):主要用于保障特種用途的相關功能;(4)戰術處理節點(Tactical processing node,TPN):主要是指能夠進行優化調整,適應戰術環境或者部署任務環境的節點。
CDC 的合并措施:(1)集中管理服務器;(2)分為 3 類整合;(3)采用云計算技術;(4)采用虛擬化技術;(5)構建企業數據中心;(6)暫停新投資,依托現有基礎增強服務。
通過合并 CDC,首先可以提高和優化數據中心的使用效益,提高系統效率;其次通過合并 CDC,能使得系統攻擊面減少,安全性增強,并能夠推行統一的安全架構;最后能夠降低成本,統一信息技術(Information Technology,IT)投資,實現一致性的 IT 體系結構。
圖 1 JIE 邏輯設計
建立 CDC 是整合 JIE 數據中心的一項重要工作,并且 CDC 是一個簡化的、標準化的和集中化的信息基礎設施聯合信息環境,能夠隨時通過任何授權網絡為任何應用程序或服務提供高度可用、快速且安全的服務。各部門將特定的 IT 服務集中化部署到 CDC,并通過云平臺交付服務能力,更有效地利用資源。圖 2 為數據中心整合優化后的最終狀態。
圖 2 美軍數據中心最終狀態
綜上所述,美軍對原來分散在各個部門的眾多數據中心進行了整合,其目的是高效利用資源、標準化信息數據、提高數據和應用服務的可用性,這也是《國防部數字現代化戰略》中構建虛擬的單一信息環境工作的組成部分。從長遠來看,整合數據中心是美軍實施大數據和人工智能計劃的需要。
2.2.2 態勢感知分析大數據平臺項目
2016 年 5 月,國防信息系統局(Defense information Systems Agency,DISA)發布了《大數據平臺和賽博態勢感知分析能力》報告,提供一整套基于云和大數據平臺的解決方案,用于收集國防部信息網上的所有數據,并且提供分析與可視化處理工具以理解數據。其中,BDP 是 DISA 開發的分布式大數據平臺,用于支持 PB 級數據的抽取、關聯分析和可視化功能。通過部署在 BDP 上的一組分析工具、攝取碼和數據結構,提供整個國防部信息網的賽博態勢統一感知分析能力。美國防部目前所能實現的最全面、最廣泛的國防部信息網的活動視圖就是由賽博態勢感知分析能力提供,用以增強美國防部網絡的整體安全態勢的同時支持決策。賽博態勢感知分析能力能夠提供以下主要功能:
(1)國防部信息網的運營與態勢感知功能。該功能能夠為系統運營人員提供近實時的態勢感知能力以及傳輸數據流的可感可視,從而快速掌握具體業務情況、數據情況、配置狀態、事故狀態以及安全狀態等態勢信息。(2)賽博空間的防御功能。企業計算機網絡分析人員根據“指標作戰”,采用自動化工作流的方式提取潛在指標并審查,形成網絡威脅報告。還能夠根據指標,提供相應的警報并自動執行應急響應措施。(3)異常檢測功能。異常檢測主要是針對可能對國防部敏感數據的完整性、機密性和可用性造成威脅的已驗證用戶進行檢測,并且能根據歷史趨勢檢測到潛在威脅后,向有關部門發出警告。(4)特定數據抽取與分析功能。該項能力能夠提高賽博態勢感知分析系統快速開發、部署和使用分析工具的效率。該能力主要為運營人員提供找出并分析軍事任務相關數據的能力。
2.2.3 海軍大數據生態系統項目
2013 年至今,美國海軍啟動了“海軍戰術云參考實施”項目。美軍希望通過該項目建造大數據云生態系統平臺,使得海軍的艦載作戰系統、傳感器和飛行器等產生的大量數據得到充分而有效的利用。為實現該項目,美國海軍將采用突破性的大數據分析工具等配套系統,建立面向海軍的大數據生態系統。
該系統由數據分析組件和可視化界面提供相關作戰環境和情況的所有數據實時視圖,主要具有以下 3 大功能:
(1)通用數據基礎表征。面向多源異構的海軍作戰大數據,建立相應的海軍作戰數據基礎體系架構,以用于不同機構間多源異構大數據的表征和共享。(2)分布式數據存儲與索引。通過建立索引,在分布式數據庫中快速查詢存儲作戰數據。(3)數據作戰分析。數據作戰分析是該系統的核心。目前,美軍主要通過研發先進的大數據采集、分析、處理等工具,實現了多種分布式文件系統和作戰系統,支撐反潛作戰和一體化防空反導作戰,增強威脅評估預警、作戰識別、一體化作戰和任務計劃以及執行等能力,提升海軍的作戰效能。
綜上所述,在大數據時代,數據將會成為影響和決定軍事行動的重要力量源泉 。因此,數據搜集、分析和處理能力,以及基于數據作出的決策將會是未來戰場上的制勝關鍵。大數據應用,尤其在聯合作戰中,可以極大地提高信息掌控優勢,從而提升軍事情報偵察預警能力和指揮控制能力,有效提高體系對抗水平。
2.3 發展趨勢
美軍大數據技術的發展趨勢主要有兩個方面。一方面,是關注數據分析和可視化等關鍵技術。在大數據領域,美軍希望能夠憑借關鍵技術,提升對海量異構數據的分析和處理能力。可以看到,美軍在大數據領域的關注重點從獲取基礎信息轉變為分析有價值的數據。美軍在信息化發展領域不斷強調數據分析技術的核心地位,攻關大數據分析基礎理論和技術方法,研發高時效的大數據計算模型、優化技術與系統等。此外,美軍大力發展數據可視化技術,將戰場可視化作為未來戰爭信息優勢獲取的核心技術,敵我位置、戰場態勢、部署情況及戰損、戰果等數據信息都能夠通過可視化技術及時反饋給指揮員。另一方面,美軍擴展了大數據的作戰應用范圍,通過大數據技術在各領域的廣泛應用,美軍將在數據采集、存儲、管理、分析和共享交換等技術和產品方面實現質的飛躍,進而提升美軍戰場態勢感知、情報分析、智能決策以及安全防護能力,大大縮短決策循環(Decision Loop,OODA)周期和從傳感器到射手的反應時間,最終實現“以網絡中心”向“以數據為中心”的作戰轉變。
總之,美軍作為世界軍事信息化建設的領先代表,正在加速向數據中心化作戰轉型。
3 美軍大數據安全
美軍緊盯大數據發展戰略機遇,加緊軍事數據安全建設,進而謀求以數據為中心的全方位軍事優勢。
3.1 大數據安全體系結構
美軍 JIE 的安全核心是單一安全架構(Single Security Architecture,SSA)及聯合區域安全棧(Joint Region Security Stack,JRSS)。SSA 覆 蓋 范 圍 如圖 3 所 示, 包 括 JRSS、 多 協 議 標 簽 交 換(MultiProtocol Label Switching,MPLS)、 戰 術 處 理 節 點(Tactical Processiong Node,TPN)及軍事要地處理節點(Installation Processing Node,IPN)。
從圖 3 可以看到,核心數據中心在圖的中心,其圍繞著傳輸網絡與聯合安全棧、各種網關相連。圖的左側是運行中心及態勢感知分析云。核心數據中心由企業服務、統一能力、管理系統和非軍事區等 5 個要素組成,是聯合信息環境的核心。CDC 的頂層架構如圖 4 所示。
圖 3 JIE 的安全體系架構
圖 4 核心數據中心頂層架構
不論是 SSA 還是 JRSS,最終還是圍繞核心數據中心提供安全保密能力。從 SSA 采用的技術和架構來看,美軍針對軍事信息系統網絡虛擬化、數據中心化、能力服務化、終端移動化趨勢,重點加強了對以數據為中心的安全防護技術的研究,其中數據分類、數據保護和零信任安全技術是重點。通過 JIE 的實施,一方面解決了美軍全球化的區域安全接入效率問題,另一方面推動了安全保密向云和大數據等集約化環境的落地。
數據保護是大數據安全的基石。美國作為網絡安全產業發展強國,先后頒布了眾多的數據安全保護標準規范。其涉及的要素都是圍繞數據提供者、數據消費者、數據監管者、數據服務提供者等開展數據安全保護工作,力求將數據保護范圍、參與方的權利和義務以及行為準則等要點界定清晰。表 2為美國大數據安全相關標準規范。
表 2 大數據安全標準
3.2 大數據安全關鍵技術
3.2.1 數據安全標識技術
數據安全標識技術能夠保障數據在應用過程的可控性以及存儲過程的機密性。為解決數據采集和交換安全,美軍使用了數據安全標識技術。
美國國防部早在 2003 年就研制完成了軍用消息處理系統,以提供數據流轉過程中的安全控制能力,該系統還提供傳輸和交換指定信息、涉密信息及非涉密信息的功能。軍用消息處理系統中安全標識的實現思路為:作為主體的用戶有一個知悉權,該知悉權表示該用戶可以訪問哪個等級的文檔。作為客體的文檔有一個安全標識,以表示其安全級別,從而實現不同安全級別文檔的訪問控制。此外,安全標識還包括“類別”屬性,“類別”包含主題控制、所屬國家等。
后來,該技術增加了新的安全性要求:將一個聲明即敏感標識,附加在電子文件中。它是一小段電子編碼數據,可用來限制信息訪問,確保信息采取合適的傳輸方式。為實現該安全標識,建立了一個可擴展標記語言(Extens ible Markup Language,XML)安全標識系統的原型——可擴展樣式表語言(Extensible Style sheet language,XSL),主要執行兩方面任務:一方面根據規范為文件分配安全標識;另一方面通過網關仲裁權限的方式,執行對已標識文件的訪問控制。
3.2.2 基于分類分級的數據保護技術
美軍數據加密、數據完整性保護和數據分類需求明顯,常采用商業現貨集成方式實現。
2016 年底,IBM 和美國陸軍簽訂了五年的云服務合同,價值 6 200 萬美元。IBM 會為陸軍構建基礎架構并提供基礎架構即服務(Infrastructure as a Servive,IaaS)平臺,主要任務是提高其信息基礎配置的效率。IBM Security Guardium 是一個完整的數據安全平臺,提供了一套完整的能力,比如敏感數據的發現和分類、分級,加密保護,安全性評價,數據和文件活動檢測,并通過偽裝、阻斷、報警和隔離保護敏感數據。Guardium 不僅保護數據庫,它還被擴展到保護數據倉庫、企業內容管理(Enterprise Content Management,ECM)、文件系統和大數據環境(Hadoop or NoSQL)等。除了安全平臺,IBM 架構還提供了云上應用構建的實踐。
IBM 的大數據安全架構包括數據保護、數據完整性和數據分類,并且明確指出云計算數據保護解決方案需要考慮數據加密。數據分類是幫助保護關鍵信息安全的有效方法,在保護敏感信息之前,必須確定和鑒別它的存在 。自動化發現和分類過程,是防止泄漏敏感信息數據保護策略的關鍵組件。Guardium 不論是在云上還是在數據中心,都可以提供集成的數據分類能力和無縫的方法,來發現、鑒別和保護關鍵數據。
3.2.3 跨網跨域共享交換技術
美軍通過跨網跨域安全共享交換技術,能夠提供不同的軍事安全域之間自動或者手動傳輸和訪問軍事信息的能力。跨網跨域共享交換技術與防火墻技術不同,其功能更加強大,美軍的跨域共享交換技術可用于不同密級的網絡之間;而防火墻僅支持一個密級網絡之間交換數據。跨域共享交換技術分為 3 類:一是傳輸類,能夠在不同軍事安全域中運行網絡或信息系統,并將之聯系在一起,實現不同安全域間的信息傳輸;二是訪問類,能夠憑借單個工作站提供多個不同安全域信息的可視化能力和可操作能力,而各個軍事安全域之間無須進行任何數據的交互和傳輸;三是多級類,能夠對不同安全級別和不同安全域的信息進行處理、分析或存儲,并且基于用戶的許可和授權能夠允許該信息被其他用戶訪問或重新標記。美軍的跨域交換技術采用了多獨立級別安全(Multiple Independent Levels of Security,MILS)和多級安全(Multi-LevelSecurity,MLS) 這 兩 種 安 全 理 論 架 構。MILS 架構能夠提供進程隔離和內核隔離兩種類型的隔離手段。MLS 架構則使用強制訪問控制(Mandatory Access Control,MAC)模式和可信標簽,在驗證修改權限和讀取權限時,根據標簽和用戶的憑據及權限進行區分。
3.2.4 基于區塊鏈的高敏數據保護技術
在探索如何將區塊鏈技術應用于軍事領域上, 美 軍 走 在 前 面, 美 國 航 空 航 天 局(National Aeronautics and Space Administration,NASA)、DARPA、NIST、 美 國 國 防 信 息 系 統 局(Defense Information Systems Agency,DISA)等軍方科研機構開展了多項關于區塊鏈技術的研究和應用嘗試。基于區塊鏈技術,可以永久記錄動態的數據庫,并實時記錄保護系統中各個組件的配置變更狀態,并在安全的數據庫中持續實時地監控和跟蹤,從而保護了數據的安全性。不論在何時,非法修改了何種配置,幾乎都能夠被基于區塊鏈的安全防護系統實時檢測并報警,以有效抵御非法入侵分子。同時,憑借分布在多個設備之間的網絡日志系統,可以最小化系統受到攻擊的安全風險。在核武器、衛星、指控系統等關鍵設施中使用這種實時跟蹤并報警的功能,對保護指揮信息、控制信息和命令信息等的完整性至關重要。
2021 年,DISA 的新興技術(Emerging Techno logies,EM)部門向工業界尋求一種解決方案,主要解決如何基于區塊鏈技術保護高敏感數據的問題,并且希望該方案能夠確保關鍵數據在其整個生命周期內保持完整性和不可篡改性,并在數據以任何方式被篡改時提供報警機制。他們尋找到了一種以去中心化和分布式方式維護關鍵數據的最佳實踐辦法。同時也找到了一種場景示例,該場景主要是采用區塊鏈技術進行探測并報警。該場景設定為,非授權用戶執行惡意活動引起網絡入侵,各種記錄的活動會被系統后臺跟蹤,此時,通過區塊鏈,能夠持續安全地保存這些日志,使日志不受影響。此外,能夠采用分布式賬本技術(Distributed Ledger Technology,DLT),以分布式的方式和去中心化的方式共享或復制相應的數據。若網絡入侵者試圖憑借任意方式掩蓋自己的蹤跡,如增加、刪除或修改存儲信息,系統將探測到相關行為并自動生成警報。
4 大數據發展建議
為推進新時代大數據建設工作,有以下 3 點建議:一是開展數據基礎問題研究,打造大數據理論體系。開展數據基礎理論和應用理論研究,發揮數據驅動作用,加強數據融合共享,打破數據孤島。在數據感知與融合數據分析研判、數據全生命周期安全、數據可視化等關鍵技術上下功夫。重點開展大數據需求體系、大數據戰略體系、大數據體系、大數據技術體系、大數據標準規范體系及管理規章制度研究,形成具有本土特色的大數據理論體系。
二是重視大數據安全建設,保障數據能用、敢用、好用。制定大數據安全管理標準規范,創新大數據安全技術,加強物理安全防護等,通過建立精細化數據管理權限策略,部署端到端身份認證設備,定期評估數據安全狀態,核準數據使用記錄、研究數據意外發布與披露防控技術、形成授權管控和數據應用全面審計等系列措施,在最大限度利用數據的基礎上,提升大數據安全防護的規范性、可操作性和有效性。形成物防、人防和技防等相結合的組合拳,加強數據應用全要素和全領域的安全防護工作。
三是加強大數據人才培養,打造精通數據分析知識和國防業務的復合型人才隊伍。為相關部門技術人員提供數據分析、處理與應用的專業技能培訓,并建立數據專家與業務專家的高效互動生態環境。與民用領域大數據技術研究優勢院校和研究機構合作,培養數據分析、機器學習、數據安全等“數業俱精”的復合型數據人才,提升大數據團隊能力水平。
5 結 語
本文闡述了美軍發展戰略和美國大數據相關標準進展,梳理了大數據重點項目,總結了美軍大數據安全體系及大數據安全關鍵技術,最后給出了大數據發展建議。
