联合信息环境JIE及其安全研究*
2015-09-25李明桂
李 成,李明桂,向 敏
0 引言
当世界各国仍在紧随美军构建本国军事栅格网,努力打造网络中心战能力的时候,美军已经围绕作战人员对信息共享的需求,在实现全球网络互联互通的基础上,开始考虑全球信息栅格[1-2](GIG)下一步可能的发展方向——联合信息环境(JIE)。
联合信息环境(JIE)[3]是囊括美国国防部所有网络的一种统一体系结构,旨在将当前各军种专用的网络空间资源,迁移至一种统一的信息环境。虽然联合信息环境构想目前尚未最后敲定,但是,美国防部副首席信息官认为,未来某个时间JIE或将取代GIG这一术语。
1 研究进展
美国防信息系统局负责任务保证的副首席技术官威廉·A·克里称:“联合信息环境是我们的第一次后退一步,重新设计整个GIG。重新设计的主要推动力之一便是安全性。”
自2012年以来,美国防部陆续发布了《国防部云计算战略》、《国防部移动设备战略 2.0版》、《国防部商用移动设备执行规划》、《国防信息系统局2013~2018年战略规划》、《全球信息栅格(GIG)融合主计划》、《国防部信息企业体系结构2.0版》等一系列重要的战略性文件。虽然以上文件的关注领域不同,但却共同提到了要发展和打造联合信息环境(其“增值1”主要部署在欧洲司令部,“增值2”主要聚焦太平洋地区)[4]。美国防信息系统局联合网络服务处、企业服务处、联合信息环境技术同步办公室和计划执行办公室,为太平洋司令部提供所需的联合信息环境支持,满足其特定需求。同时,国防信息系统局的太平洋处继续与美太平洋司令部及其下属司令部紧密合作,推动本地和地区的联合信息环境工作的同步。此外,美军还重组了国防部首席信息官委员会,设立了联合信息环境技术同步办公室,并重建了联合参谋部J6。这些都在组织管理方面有助于推进联合信息环境的发展建设。
2014年4月9日美国防务系统新闻网站,美海军下一代企业化网络将在9月完成,向联合信息环境过度的步伐加快。对于联合信息环境,海军和国防部是同舟共济,但美国海军领导认为首先要解决安全性、成本和标准方面的问题。海军有时被视为联合信息环境的一个不情愿的合作伙伴,但海军领导人承诺海军的下一代IT将会发生变化。联合信息环境是五角大楼的一个倡议,目的是把国防部的网络整合为一个共同的、全球性的、基于云的系统,可以共享服务,如电子邮件、互联网接入和应用。除了提高效率和节约成本,国防部预计未来的军事行动必然是联合作战,涉及到两个或更多的军种,加上联盟伙伴,从而需要信息共享。海军-海军陆战队内联网即将被下一代企业化网络(NGEN)取代。安全和互操作性需要的共同标准也是需要考虑的问题。海军现在已更多地实施向联合信息环境的过度,海军的下一代企业化网络将在2014年9月建成,下一代企业化网络是过度到联合信息环境的一个中间阶段。
现在,联合信息环境已成为美国信息系统局的一大战略目标以及一项重中之重的工作。联合信息环境正在并会继续推动美军信息共享、基础设施建设、系统和服务采办模式、联合训练、通信保障及作战支持等能力发生重大变化[5]。
2 联合信息环境
2. 1 美国防部的IT挑战
近年来,越来越复杂的赛博攻击对美国防部敲响了警钟,如图1所示。
美国防部主要面临以下6个方面的IT挑战:
1)几百个数据中心和网络造成不必要的经费开销。
2)互联互通互操作还不畅通,给信息共享和联合任务带来不便。
3)装备发展过程中,引入新技术的需求不断增长。
4)IT管理和规划不能快速、有效地满足新技术的需求。
5)赛博安全的脆弱性威胁到涉密数据并破坏国家安全。
6)当前的IT订购制度不利于引入商业化新兴技术。
图1 赛博攻击的演进Fig.1 Evolution of cyber attack
2. 2 联合信息环境的特点
联合信息环境(JIE)是在2011年9月美国防部长正式签署的《信息技术企业战略和路线图》中提出的,主要包括网络化作战中心、核心数据中心、全球身份管理系统的内容,旨在为美国及盟国作战人员提供统一安全体系结构下的信息技术基础设施和企业级服务[6]。
联合信息环境作为美国防部的一项倡议,可将当前各军种的专用网络空间资源迁移至一种统一的信息环境,从而更好地集成信息技术,增强跨系统安全漏洞的响应能力。
联合信息环境将为整个国防部构建6种能力:网络的规范化和传输、统一的安全体系结构、企业作战中心和带宽外管理、统一的身份和访问管理,以及企业级核心数据中心,其中统一的安全体系结构是联合信息环境的一个关键特征。
联合信息环境的关键益处在于,作战指挥官将能够“通过网络一看到底”,从而洞悉其关键链路和节点上正在发生的真实情况。从长远来看,联合信息环境将能使指挥与控制以及网络防御达到一个更高层次,简化指挥与控制结构,减少潜在的受攻击面以及易受攻击的访问点的数量。
2. 3 联合信息环境建设的5个关键领域
美国防信息系统局将在5个关键领域帮助实现国防部当前正在开发的顶层信息体系结构,这5个关键领域是:
1)数据中心整合。缩减数据中心数量,减少不必要经费开销。
2)网络会聚。当前的努力方向是一切皆 IP(EoIP),已经进行了多个EoIP试点,并力求在2015财年发布一种统一的能力。
3)安全性。JIE需要拥有一种统一的安全体系结构,以便实现对数据的保护。现在的重点是保护数据,而不是保护网络。
4)移动性。国防信息系统局已经在移动生态系统中部署了多种应用,目前正在对更多的应用进行测试。
5)云计算。如何建设云以及云代理,以便客户决定将其能力放在私有云、公共云还是国防部云方面,国防信息系统局仍处于早期阶段,希望2014财年能有一个自动化的系统。
联合信息环境建成后,在各方面均有较大的能力提升,详见表1。
表1 能力指标提升Table 1 Enhancement of Capacity Index
2. 4 联合信息环境的终极状态
联合信息环境可以实现当前及未来体系结构、工程设计、企业服务、能力和应用的同步。其预期的最终状态是一种由共享的信息技术基础设施、且有服务和统一的安全体系结构组成的信息环境,可实现全谱优势,提高任务有效性,提升安全性,并最终实现信息技术效益。
联合信息环境的终极状态,如图2所示,其特点描述如下:
1)基于企业标准、规范和配置在各个部门之间共享IT基础设施。
2)运行在共享IT基础设施之上的组件,将遵循USCC方向相关企业技术和标准。
3)不管服务提供者是否采用通用的企业级战术、技术和过程,共享IT基础设施都将会在视觉、体验和运行维护上表现出相同的外部效果。
4)共享IT基础设施的网络属性包括:虚拟统一策略的战术防御;美国防部级别的数据中心和网络运维中心整合;统一安全体系结构;整个企业服务。
5)企业服务具备按需跨域信息共享、合作和互操作。
6)企业服务可以采取联合、委托或集中的商业模式。
7)允许任何服务或机构作为服务提供商,提供企业服务或供应基础设施,从而,这些服务和机构可以为整个国防部提供企业服务。
图2 联合信息环境的终极状态Fig.2 End state of JIE
3 JIE的安全性研究
相比全球信息栅格(GIG),联合信息环境(JIE)的最大特点就是对国防部企业总体安全性改善,它将把国防部广阔的网络空间,拆分成多个可管理的、安全的区域,把传感器放置在最佳的、最有效的位置,实现特定流程的自动化,并对特定运行要素、工具和人员进行整合,以便平稳、快速地对威胁做出响应,实现网络空间防御。
就对安全的影响而言,我们需要关注JIE的两大特点:统一的安全体系结构、统一的身份和访问管理解决方案。
3. 1 统一的安全体系结构
联合信息环境所需的最重要能力就是统一的安全体系结构,它将明确提出一个陆海空三军共用的安全体系结构。这里的统一安全体系结构,不同于各军种目前所开展的标准纵深防御,而是构建一种“企业级”体系结构,最终实现随时随地的数据共享。联合信息环境将是下一代保密云的关键,目前,五角大楼领导人正努力确保陆海空三军都在执行第一阶段的实施工作。其目标是实现基于云的互操作网络和服务,在需要的时间和地点提供安全的语音、数据和情报。
DISA日前公布的计划还要求JIE纳入新的网络空间作战能力,即“分析云”。例如,使用大数据技术深入挖掘网络攻击和内部威胁。
3. 2 统一的身份和访问管理解决方案
联合信息环境还有一个特点是,信息访问方式将发生变化。它将通过改变信息访问方式来提高信息的安全访问及防御能力,如采用公钥基础设施发放的标准统一的网络空间身份证书,而不是惯用的口令密码来进行信息访问。也就是说,美军正在将安全层从现行位置向位于物理和逻辑边界的数据迁移。即,以身份为中心的体系结构,它将使用户能够根据授权访问所需信息,但无需访问不需要的信息。身份的定义和接入方式将达成一致,从而将身份管理扩展到机构之间和联盟信息共享。
JIE的身份和访问管理(IdAM,Identity and Access Management),基于属性的访问控制和服务的企业方法,将身份嵌入到数据、应用和IT资源访问过程,提供数字身份管理、凭证化、认证、授权和访问审计等功能,使得企业用户和非私人实体(NPEs)可以可信地在任何地点、任何时间访问任何资源。其战略目标为消除匿名,实现动态访问控制,推动IdAM专职机构管理,并使其制度化。
3. 3 JIE的安全功能
JIE的安全功能分为基础能力、运作与防御、管控三大方面,包括连接、访问、共享、运作、防御、管控等六大功能,详见表2。JIE在基础能力、运作与防御、管控等三方面的安全功能,如图3所示。
表2 JIE的安全功能Table 2 Security features of JIE
图3 JIE的安全功能Fig.3 Security functions of JIE
4 结语
GIG是美军网络中心战思想的实践,而JIE则是在GIG的实践过程中,美军对安全问题重新审视的产物。因而,JIE成为GIG下一步可能的发展方向。文中跟踪了美军JIE的最新研究进展,在全面阐述JIE特点的基础上,从基础能力、运作与防御、管控等三个层面进一步研究了JIE的安全功能,特别是,就JIE统一的安全体系结构、统一的身份和访问管理解决方案作了深入论述。本文作者希望通过对JIE的研究,为我国相关军事基础设施的建设提供思想营养。
[1] 曾梦岐,谭平嶂,陈剑锋.美军GIG3.0进展研究[J].信息安全与通信保密,2011(12):50-53.
ZENGMeng-qi,TAN Ping-zhang,CHEN Jian-feng.Study on Development of USMilitary GIG3.0[J].Information Security and Communications Privacy,2011,(12):50-53.
[2] 王玉龙,曾梦岐.美军GIG基于VPN的作战网络域构建技术[J].通信技术,2014,47(02):168-171.WANG Yu-long,ZENG Meng-qi,VPN-based Operational Network Domain of GIG for USArmed Forces[J].Communications Technology,2014,(02):168 -171.
[3] XENIA Wickett,RORY Kinane.Asia - Pacific Security:A Changing Role for the United States[EB/OL].England:Chatham House Report,2014(2014-04-01)[2014 -08 -25].http://www.chathamhouse.org/publications/papers/view/199098.
[4] JARED Serbu.DoD finalizing tech specs for Joint Information Environment[EB/OL].America:Federal News Radio,2013(2013-05-27)[2014-08-27].http://www.federalnewsradio.com/394/3629764/DoD -finalizing-tech-specs-for-Joint-Information-Environment.2014-05-27.
[5] CLAUDETTE Roulo. Joint Information Environment Serves Warfighters,Official Says[EB/OL].Fairfax:U.S.Department of Defense,2013(2013-05-21)[2014- 09 - 05].http://www.defense.gov/news/newsarticle.aspx?id=120099.
[6] AMAANI Lyle.Official Describes Joint Information Environment Blueprint[EB/OL].BALTIMORE:U.S.Department of Defense,2013(2013-06-27)[2014-09- 11].http://www.defense.gov/news/newsarticle.aspx?id=120378.