從數字現代化戰略項目來看，美IT建設的轉型 - 網安 - 專業的網絡安全產業、社區、知識平臺

1月15日，美國防部作戰試驗和評估辦公室（DOT&E）發布2020年度報告，對美國防部當前若干重大IT計劃/項目的進展情況進行闡述。在2020年最新報告中，連續7年納入測試和評估監督框架的聯合信息環境（JIE）被“數字現代化戰略（DMS）”項目所取代，其工作內容及重點基本上都在DMS計劃中延伸和拓展。2019年，美軍發布《國防部數字現代化戰略》，只是將DMS視為戰略思想；2020年，國防部決定將DMS視為具體計劃執行，取代JIE繼續引領美軍IT建設。因此，最新DOT&E文件將JIE計劃更名為“DMS相關企業IT倡議”，JIE概念或許將被逐步淡化。

從全球信息柵格（GIG）到JIE，引領了美國防部IT建設的上一個轉型，美軍從高度分散、孤立的架構轉變為統一的單一安全架構（SSA）。在統一架構下，美軍正逐步規劃從JIE轉向DMS，該計劃將引領美國防部IT建設的下一個轉型。

一

背景

（一）美軍《數字現代化戰略》出臺催化項目落地

在新的戰略需求及前沿技術推動下，基于《國防戰略》、《國防部網絡戰略》等頂層戰略思想，結合《國防部人工智能戰略》、《國防部云戰略》等信息化領域文件，美國防部于2019年7月發布《國防部數字現代化戰略》，全面指導美軍在信息技術領域的發展規劃，推進新一輪信息化變革，以盡快實現信息化聯合作戰的戰略目標。

《國防部數字現代化戰略》重申“國防部建設無縫、靈活、彈性、透明和安全的基礎設施和服務的目標，以提升國防部信息優勢，簡化與任務合作伙伴的信息共享”。因此，該戰略從JIE角度對美國防部IT改革活動進行了闡述，指出“本戰略絕大部分工作都屬于JIE轉型范疇”。美軍高度重視國防部企業信息建設，《國防部數字現代化戰略》的出臺促使新一輪IT改革從規劃走向落地。

（二）推進美軍信息系統與資源的全面集成

美軍擁有全球最高的信息化程度和水平，但《數字現代化戰略》指出美軍信息化依舊存在一些問題：一是存在眾多資料和信息未實現數字化與歸類，無法在信息環境下應用；二是國防部內部存在大量煙囪式結構，各軍種、部門各自為政，數字化信息標準不統一，不能互聯互通；三是在標準化數據的定義和標記、元數據注冊、權威數據源注冊等方面，國防部還缺乏必要的基礎設施。為此，美國防部要求加大數字化投入力度，盡快解決制約美軍信息化建設的基礎障礙，建設安全可靠、數據統一、實時有效、靈活機動的信息環境。當前，美軍正通過JIE計劃將通信、服務、計算和企業服務整合到單一平臺中，提升信息任務效果，優化資源和信息技術的效能。

（三）安全架構從“以網絡為中心”轉向“以數據為中心”

近年來，美軍加速對“以網絡為中心”向“以數據為中心”的網絡安全模式轉變，即國防部IT建設模式從以網絡中心戰要求的網絡建設轉至以數據使用和共享為目的的數據建設。從單一安全架構（SSA）到安全云計算架構（SCCA）再到零信任架構（ZTA），國防部對數據資產和關鍵資源的重視程度進一步提升。《國防部數字現代化戰略》強調“將數據視為戰略資產，改善與移動用戶的信息共享”；此后發布的《國防部數據戰略》進一步細化升華數據使用的目標、能力、原則等，將進一步促進安全架構的轉型。

二

主要內容

（一）定義能力目標，擴展升級 JIE

報告中提到，2020年7月國防部首席信息官（CIO）批準了數字現代化基礎設施執行委員會（DMI EXCOM）章程，對JIE能力目標進行調整后，規定了DMS戰略要素的治理、角色和責任。根據章程，DMS能力目標包括國防信息系統網絡（DISN）傳輸基礎設施現代化、國防部網絡與服務組件現代化及優化、作戰人員C4基礎設施和系統現代化等15項內容，多數JIE能力目標都映射至DMS要素。從能力目標上看，DMS與國防部CIO目標、《總統管理議程》及國防部IT改革計劃都具有一致性，是國防部IT改革的全面升級。

表1.DMS與JIE能力目標映射表

DMS在繼承JIE能力目標的基礎上，增加“確保網絡安全風險在整個采購生命周期內得到規劃和管理”與“擴展成熟的軟硬件保障方法使用”。前者根據2020年國防部新版采辦文件，特別強調將網絡安全管理放在軟件采辦的重要位置；后者強調解決軟件并行開發過程中的效率低下問題。

（二）審查推進項目，實時優化建設

1. 關閉、暫緩聯合區域安全堆棧（JRSS）的實施

2013年以來，國防部一直積極部署JRSS，將其網絡防御系統整合到全球相對少數的地區作戰中心。然而，受物聯網、人工智能等因素影響，JRSS已經無法滿足指數級別增長的數據處理需求。

DOT&E年度報告顯示，涉密網、非密網JRSS的網絡評估效果不佳，并決定關閉、暫緩該項目的實施。2020年2月，DOT&E對四個涉密網JRSS進行網絡安全評估，結果顯示該堆棧的網絡安全效果很差，因而項目管理辦公室決定關閉現有的涉密網JRSS，DMS項目委員會推遲JRSS部署并寄希望于零信任架構；1月，項目管理辦公室對非密網JRSS選定加密流量進行中斷和檢查（B&I）能力檢查，評估顯示該堆棧網絡防御效果不佳，無法有效保護國防部門網絡免受網絡攻擊，項目因此被暫緩實施，直到該堆棧的網絡能力及使用方式的有效性得到進一步驗證。

2.重啟、調整企業協作和生產力服務（ECAPS）部署

ECAPS是推動國防部以外購企業云服務的方式獲得優化能力的管理架構。作為ECAPS能力集1，國防企業辦公解決方案（DEOS）既是DMS的關鍵要素之一，還是DISA技術路線圖2.0的三大戰略領域之一。在經歷了5年的合同過程及多次延遲后，DEOS合同于2020年10月被授予通用動力信息技術公司，為整個國防部提供企業云范圍的可見性和協作能力。

由于新冠疫情，國防部CIO將商業虛擬遠程（CVR）環境作為DEOS的臨時解決方案實施，以支持從2020年4月到12月擴展的國防部遠程工作。當前，國防部和各軍種正在建立Microsoft（MS）365環境替代CVR，DISA為第四產業和部分作戰司令部建立國防部365環境；DOT&E正在協調對四個軍種主導的零信任Office 365試點工作進行網絡安全風險評估，以幫助為國防部聯合Office 365工作提供零信任技術選項。

3.加速身份和訪問管理服務（ICAM）落地

ICAM是美國防部的信任基礎設施，是實現JIE“三個任意”愿景的根基。國防部ICAM方案將可最大程度實現對IT系統日常訪問控制的自動化，將使系統訪問更具動態性，實現活動監控與追溯。

2020年3月，國防部CIO批準了國防部ICAM戰略，為個人實體和非人實體安全訪問IT資源創建可信環境。同時，國防部設立聯合計劃整合辦公室，協調整個國防部及各軍種、機構的ICAM工作。2020年6月，DISA授予畢馬威公司ICAM企業試點合同，整合與更新現有ICAM原型系統，并擴展至整個國防部使用。畢馬威將使用云計算和本地軟件進行ICAM開發，確保只有授權人員才能訪問系統信息，增強系統安全性、可審核性。

4.規劃任務伙伴環境（MPE）執行

MPE能力框架是一種規劃執行的指揮控制（C2）環境。該框架旨在整合和重組國防部的28個物理組合企業區域信息交換系統，提供虛擬化持久式和間歇式MPE服務，以滿足與任務伙伴共享從戰略到戰術層面的信息。

（三）規定主管部門，統籌監管發展

在主管部門及其職責上，DMS與JIE也具有延續性、一致性。DMS主管部門及其職責如下。

* 國防部首席信息官（DoD CIO）：負責開發、集成、同步DMS的管理和監督，是DMS的總負責人。

* 執行委員會（EXCOM）：由國防部CIO、網絡司令部、聯合參謀部J6共同組成，為DMS的開發、執行和利用提供指引、指導和監督。

* DISA：DMS能力、使能計劃和測試的主要集成商。

* DOT&E：關注DMS計劃的網絡生存能力，較少關注其作戰效能和適用性。

（四）提出針對建議，保障安全能力

2020年DOT&E報告基于往年JIE的發展建議，對全球新冠疫情蔓延背景下的DMS發展策略及國防辦公安全提出針對性建議。建議要點包括：一是撥款聯合互操作性測試司令部（JITC），基于網絡安全測試指南和政策對DMS企業的商業云能力進行威脅代表性測試，進而為DMI執行委員會的決策提供依據；二是著力發展企業協作和生產力服務（ECAPS），根據非保密互聯網協議路由網絡（NIPRNET）、保密互聯網通信協議路由網絡（SIPRNET）情況實時更新國防企業辦公解決方案（DEOS）的測試和評估計劃，為ECAPS功能集2、3制定發展計劃；三是囿于新冠疫情背景下，研究和發展數字連接和遠程能力。

三

主要特點

（一）能力發展上，強調改進網絡安全

美國防部將IT環境視為一個整體，提出“每個網絡、系統、應用程序和企業服務都必須通過設計實現安全，在整個獲取生命周期內對網絡安全進行管理”的要求。DMS要素中，意圖通過以下方面改進網絡安全：利用商業創新提供國防部企業云環境；轉變國防部網絡安全架構以提高敏捷和增強彈性；部署端到端的身份、憑證與訪問管理（ICAM）基礎設施。

為此，美軍繼續大力推行云計算并縮減數據中心的數量，進一步加強端到端的基于密碼學的訪問控制管理，重點改進軍工業的安全防護系統，并且通過DevSecOps和廣泛使用云計算、軟件定義網絡技術使IT系統變得更加敏捷、彈性。

（二）技術使用上，推廣企業云環境

商業云功能的出現正在改變國防部開發、交付、部署并最終應用程序、系統和服務的方式。云是國防部構建和擴展更有效的網絡安全和高級分析能力的技術基礎，它使國防部能組織大量數據，支持快速信息獲取，改進決策，從而保持和擴大軍事優勢。云計算將成為美軍信息化建設的重要支柱。

在企業云環境建設上，美國防部啟動了三個云支柱項目——軍事云2.0、國防企業辦公解決方案（DEOS）、聯合企業防御基礎設施（JEDI）。根據《國防部云戰略》，JEDI云架構是為國防部提供通用企業云的基本方法，而軍事云2.0提供了一套基于云的基礎設施服務集成套件，DEOS將通過美國的非機密網站和機密網站提供服務。

（三）安全架構上，探索零信任方法

美國防部《5G生態系統：對美國國防部的風險與機遇》、《國防部數字現代化戰略》、《DISA戰略計劃2019-2022》、《零信任架構（ZTA）建議》等報告中都明確提及美國防部網絡模式要向零信任架構演進。以ICAM、持續多因素認證、移動持續多因素認證為代表的零信任架構，是美國防部安全建設的重中之重。未來網絡防御的戰略重點將圍繞零信任網絡安全架構展開。

目前，DISA正在與美國國家安全局、網絡司令部和國防部CIO合作開發一種零信任實驗室環境，將用于協調零信任所需的核心能力；NIST推動網絡安全與風險管理框架（FISMA）、聯邦身份憑證和訪問管理框架（FICAM）、持續針對和緩解（CDM）、智能云和數據中心優化計劃更新等研究。2019年起草的用于JEDI項目的云端部署指南，即默認安裝零信任架構設計和推進。

（四）消費模式上，轉向IT即服務

美國防部IT現代化思路表明，它希望從IT運維業務中脫身，將IT作為一種服務從云服務提供商處進行消費。然而，國防部IT基礎設施的許多底層設計都植根于十多年前開發的基礎架構，花費了多年時間才投入生產，導致國防部各個機構只能繼續運維大量的IT基礎設施，無法立即轉向IT即服務的方式。

通過IT即服務模型，防御機構將能夠輕松擴展規模，減少對持續更新和管理硬件的需求，降低管理成本，并在與對手的競爭中獲得更大的優勢。美國防部正在探索并實施企業提供商的“企業IT即服務”解決方案。國防部ECAPS就是轉向IT即服務的示例，國防企業電子郵件（DEE）使國防部從分布式電子郵件解決方案遷移到集中式企業服務，并為轉變到即服務方式提供的云辦公解決方案鋪平了道路；2019年美國陸軍發布信息征詢書，尋求企業網絡以及核心IT服務（EITaaS）模式，該模式將協調企業最佳做法與能力，提供標準、創新、敏捷的IT服務，為美國陸軍提升性能、安全并改善用戶體驗。

四

幾點啟示

（一）重視頂層設計，整體謀劃架構

美國國防部IT架構，是網絡、業務、安全的綜合體，是自上而下體系化設計的代表。JIE安全防護的最大特色是其安全架構——單一安全架構（SSA）。正是由于SSA奠定的基本安全設計，才會采取JRSS的標準化解決中間點安全的問題；采取安全云計算架構（SCCA）的標準化要求，解決云安全問題；采用零信任架構（ZTA），解決身份與訪問安全問題。

安全要從頂層進行體系化設計，要從安全規劃和安全架構做起。我軍應充分吸收和借鑒美軍IT建設經驗教訓，在發展網絡信息體系時，加強頂層設計，做好戰略規劃，設計適合自身特色的安全架構，實現自身安全的持續演進。

（二）緊跟前沿技術，擴大數據使用

數字化轉型背景下，會產生海量、異構的數據，但在云計算、人工智能、大數據分析等新興技術的推動下，美國防部可以從數據中快速獲取有用信息，用于改善決策、保持及擴大軍事優勢，實現數據驅動系統發展。

基于前沿技術的發展，信息系統的處理、服務提供、管理環節將日益自動化、智能化。對此，我軍應充分認識到數據的重要性和應用價值，借鑒美軍數據戰略的經驗，明確數據使用的目標、能力、原則，緊跟前沿技術發展，建立配套系統，加速數據應用。

（三）利用商用創新，構建信息服務能力

美軍對信息環境的理解已從脆弱的網絡為中心的環境，發展為一種靈活的以數據為中心的環境。通過利用商用信息技術的強大力量和通用性改造現有的網絡信息環境，將改變美軍未來作戰中信息的傳輸和共享方式，更好地提高軍隊任務完成的效率和安全性。

我軍應借鑒并發展服務體系架構（SOA），借助商業能力，尤其是云計算提供的虛擬化能力、基礎設施即服務、軟件即服務、平臺即服務等服務能力，構建信息系統提供企業服務與終端用戶服務，實現信息主導權從生產者向用戶轉移。