周光霞

网络信息体系,是信息化作战体系的基本形态,是打赢信息化战争的基础支撑.我军信息化建设将以网络信息体系为抓手,实施跨越式发展[1].而联合信息环境可以说是美军信息化建设的集大成者.因此,分析美军联合信息环境建设情况,可以为网络信息体系建设发展提供参考和借鉴.

1 美军联合信息环境建设情况分析

1.1 联合信息环境概况

2011年,为了加快信息技术在军队战斗力生成中的作用,美国防部发布国防部信息技术企业战略和路线图(IT enterprise strategy and roadmap,ITESR),在ITESR中提出了联合信息环境(Joint information environment,JIE)的初步设想[2].同年12月16日美国国防部正式发出倡议,将建设联合信息环境作为一个重要项目.

目前,联合信息环境是美军正在进行的规模最大的信息技术工作,目标是通过建设陆、海、空三军共用的安全架构,确保整个国防部实现无缝、互通、高效的端对端信息共享,实现基于云的互操作和企业化服务,允许在网络边缘使用任意授权设备(包括移动设备)进行操作,加速指挥与控制节点扁平化,在统一的安全架构下为作战人员及任务合作伙伴提供共享的信息技术基础设施和服务的能力[3−5].

联合信息环境目标能力最终状态如图1所示[6].

图1 联合信息环境最终目标状态图

1.2 联合信息环境的建设动因分析[7]

1.2.1 赛博战的兴起

2009年美军正式建立赛博司令部.2011年,美国防部发布《赛博空间行动战略》,正式将赛博空间发展为一个作战域,与传统的陆、海、空、天作战域并列[8].

美军网络中心战的功效和威力的证明,是建立在假说和推理的基础上,即通过4个基本要点推断网络中心战的力量源泉及其相互关系[9].4个基本要点是:1)鲁棒的联网的部队增进了信息共享和协作;2)信息共享既提高了信息的质量,也提高了共享态势感知的质量;3)共享态势感知,使协作和自同步得以实现,增强了支持能力,提高了指挥速度;4)通过前面3个基本要点的相互结合,最终导致作战效果的极大提高.

全球信息栅格(GIG)是实现网络中心战的物质基础.然而赛博战直指网络中心战假说的根基—“鲁棒的联网”,对全球信息栅格的安全提出了严峻的挑战.而事实上,由于GIG采用网络中心的架构,本身存在严重的安全漏洞,任何对GIG系统或子系统的蓄意破坏都将妨碍任务执行,导致网络中心化的武器无法使用,影响各作战层级互信的交互数据和信息,直接影响网络中心战的实施.这迫使美军必须对全球信息栅格作出改进和发展,以迎接赛博战的挑战.

1.2.2 “全球一体化作战”的提出

根据国际形势的发展和作战环境的变化,特别是赛博战的发展,2012年9月,美军参联会发布了《联合作战顶层概念:2020年的联合部队》,提出了包含全球机动作战、全球火力战、赛博战和全球特种作战在内“全球一体化作战”的新作战概念.在“全球一体化作战”概念中,美军高度重视太空和赛博空间,甚至提出了未来战争可能只发生在赛博空间的构想[10].

作为联合作战顶层概念,新概念对美军2020年前后的军队建设、作战理论、信息系统的发展产生了重要的影响.2013年,美军参联会发布的《联合信息环境白皮书》就明确指出[11],为了满足“全球一体化作战”的需求,需要对国防部当前的信息环境作出变革,建设联合信息环境.

1.2.3 现有的IT基础设施存在诸多问题

概括起来,美军当前的IT基础设施存在的主要问题是规模庞大、结构复杂、效率低下、互操作能力差、赛博安全能力薄弱,远不能支持作战人员在任意时间、在全球任意地点、在任意授权设备上安全地访问信息基础设施、获取所需的信息,没有完全发挥IT系统应有的作用,没有充分发挥美军在IT技术方面的优势以及由此而产生的行动优势.

此外,2008年的次债危机后,美国政府的“自动减赤计划”减赤850亿美元,其中一半砍向国防开支,迫使美军必须进一步合并数据中心、去除网络冗余、对应用程序实行标准化,以缩减IT管理费用.

1.2.4 新兴技术发展带来的机遇

云计算、物联网、大数据、移动互联网和智能终端技术是当前新兴信息技术的代表,这些新兴技术发展迅速、应用广泛、普及率高,极大地改变了当今社会的政治、经济、生产和生活方式.

美军提出联合信息环境,就是为了能够充分利用云计算、大数据、智能终端等新兴技术来解决国防部当前信息环境中存在的问题,实现未来所期望的信息环境,节约成本、提高效率、增强安全,能够从点对点的信息传输转变为随时随地从云中按需获取信息,支持“全球一体化作战”.

1.3 联合信息环境组成结构

联合信息环境的组成在总体上可分为两部分,即各军兵种接入点(企业运维中心,EOCs)和统一安全架构下的企业级服务[12].其中,企业级服务主要包括国防部企业邮件服务、国防部企业门户服务、国防部在线服务、统一通信服务、企业云代理/云计算服务、企业目录服务、身份认证和访问管理服务、国防部企业移动服务.

图2 联合信息环境组成结构图

从逻辑层面看,联合信息环境实质上是美国防部面向整个国防部的IT基础设施,为美国防部所有的用户提供网络、计算和数据资源及其管理操作.因此,联合信息环境的逻辑概念组成如图3所示.

其中:

1)联合信息环境的网络、计算和数据资源及其运维管理等3个逻辑组成部分,都服从于联合信息环境的统一安全结构,在其管控下操作.

2)计算与软件资源管理部分主要依托云平台,通过云能力确保用户得到鲁棒的计算能力支撑,同时也支撑联合区域安全栈和数据中心.

图3 联合信息环境逻辑组成图

3)网络与通信资源管理部分主要依托联合区域安全栈,调度并管控网络与通信资源,确保用户得到鲁棒的网络能力支撑,同时也支撑云平台和数据中心使用网络能力.

4)数据与服务资源管理部分主要依托数据中心,在国防部数据策略管控下,按需向所有用户提供数据与服务.

1.4 联合信息环境建设重点

1)企业运维中心(EOCs)

目前,美军的信息环境依靠的是以军种为中心的非标准运维中心,其战术、技术和规程(TTPs)以及体系结构和应用都是非标准化的,存在非标准化、非集成化、无法互操作等方面的制约.美军计划在今后3到5年,构建联合信息环境运维体系结构和初始通用作战态势图能力,最终实现完全无缝集成的EOCs,为所有作战任务提供服务.联合信息环境的三级运维中心如图4所示.

图4 联合信息环境的三级运维中心

2)核心数据中心(CDC)

数据中心合并是美国防部的一项长期的工作,通过数据中心的合并,来提高和优化数据中心的使用效益;同时,通过数据中心的合并,能减少整个系统的攻击界面,增强安全性,而且,能够推行统一的安全架构.数据中心合并的另外一个重要效果是能够降低成本,统一IT投资,实现IT体系结构的一致性;数据中心的合并将整个国防部的IT系统效率提高,同时,推进建立了一个简化的、标准化的和集中化的信息基础设施联合信息环境.

不同的作战需求将需要不同的数据中心,因此,美国防部将数据中心分成了以下4类:

a)核心数据中心(Core data center,CDC)

这是运行在本土和各战区总部,在统一的安全架构下,提供标准的服务和存储服务.

b)固定区域处理节点(Installation processing node,IPN)

IPN安装在一个独立的、固定的军事基地、军营、兵站,提供核心数据中心不能提供的服务.

c)特殊处理节点(Special purpose processing node,SPPN)

SPPN主要用于支持特殊目的的功能,这些功能不能由核心数据中心和IPN来支持,主要是因为信息基础设施和设备的差异.

d)战术处理节点(Tactical processing node,TPN)

战术/移动处理节点TPN部署在最前线,能够根据战术/部署环境进行优化.

数据中心整合与优化的过程如图5所示.

核心数据中心的最终状态如图6所示.

3)军用云(milCloud)

军用云是国防信息系统局云战略的一个组成部分,提供IaaS解决方案,采用商用货架产品(COTS)和政府用货架产品(GOTS)技术来为国防部提供所需的云服务,能够初步满足国防部敏感、非保密、保密需求.

在军用云解决方案中,所有产品都遵从统一的云服务特征:按需自服务、宽带访问、资源预存、快速弹性,同时,利用了国防部内部的安全体系结构,支持数据中心合并的应用迁移,提供联合信息环境云服务产品集合,支持能力的集成,提高开发、部署和维护的效率.

4)统一通信服务(UC)

统一通信服务能力的目标就是将语音、视频、数据等分离的通信功能,建成一个一体化的、统一的、互操作的、安全的、高效的能力.基于IP的解决方案可以让国防部用户利用即时消息、聊天室、网络电话、全球视频服务、网络视频、网络会议等功能进行更好的协同.

5)身份认证和访问管理(IdAM)

联合信息环境的身份和访问管理(Identity and access management,IdAM),基于属性的访问控制和服务的企业方法,将身份嵌入到数据、应用和IT资源访问过程,提供数字身份管理、凭证化、认证、授权和访问审计等功能,使得企业用户和非私人实体(NPEs)可以可信地在任何地点、任何时间访问任何资源.其战略目标为消除匿名,实现动态访问控制,推动IdAM专职机构管理,并使其制度化.

6)统一安全架构(SSA)

联合信息环境所需的最重要能力就是统一安全架构,它将明确提出一个陆海空三军共用的安全架构.这里的统一安全架构,不同于各军种目前所开展的标准纵深防御,而是构建一种“企业级”架构,解决美军在实施任务保障服务时存在的机构重叠、职责不清等问题,消除以往各军种之间的网络安全边界问题,减少外部攻击面,节省军费,提高各军种之间的信息互通性和实现快速、安全的数据共享.

其中,联合区域安全栈(JRSS)是统一安全架构的重要组成部分,用于存储、管理、分析、监控、探测、处理国防部网络运行产生的大量赛博安全数据,是赛博作战分析的数据基础.

图5 数据中心整合与优化的过程图

图6 核心数据中心最终状态图

图7 联合区域安全栈当前部署状态

图8 国防部应用商店

联合区域安全栈是美军在世界各地运行的网络中枢,使广泛分散的数百万用户彼此相连并使这些用户能够获取信息.联合区域安全栈把国防部网络各处的网络数据流发送到赛博作战分析云,可以帮助快速应对威胁,为美军赛博司令部提供更佳的赛博空间可视性和赛博作战指挥与控制能力.

通过部署联合区域安全栈,网络安全在每个军事基地、哨所、营地或营区集中成为区域体系结构而非本地分布式体系结构.此外,每个物理堆栈均包含可进行大数据分析的设备,允许国防部机构将大量数据存入云,提供处理数据的平台并帮助分析人员理解数据.依托联合区域安全栈进行的大数据分析和评估对网络威胁的预测至关重要.

联合区域安全栈当前状态如图7所示.

7)移动服务

移动能力正在改变着美军作战行动、互联互通与保障等方式,最显著的是,移动解决方案成为作战人员的关键任务工具.为实现任务伙伴可在任何时间、任何地点利用任何授权设备接入联合信息环境以完成其使命任务的目标,移动能力是关键要素之一.

联合信息环境提供了作战人员需要的信息,允许用户从国防部应用商店(DoD app store)中下载工具来获取和使用信息.

2 对网络信息体系发展的启示

2.1 加强顶层谋划,提前制定发展战略

显然,美军的联合信息环境建设走的是“先建设,后治理”的路子.具体而言,就是军兵种在当时的技术条件下先各自建设,形成了大量的烟囱系统,后由国防部统一治理,打破烟囱.早期主要是指挥与控制等业务系统彼此之间不能互连互通互操作,是“业务烟囱”,现在的“烟囱”,则首先是数据中心、网络等层面的IT基础设施的无序建设所导致的“IT烟囱”,并继而导致了更严重的“业务烟囱”.两者相比,目前的情况更为复杂,更需要从顶层设计入手解决.因此,为了指导、规划联合信息环境的建设,统一各类人员对联合信息环境建设的认识,美国国防部2012年发布了国防部信息体系架构(DoD information enterprise architecture,DoD IEA)2.0版[13].IEA运用国防部体系结构框架2.0(DoDAF 2.0)方法,构建了13个体系结构产品,描述了联合信息环境的构想、使命任务、活动、功能、能力等,为从事作战指挥、规划计划、建设管理、系统设计、技术研发和系统维护等各类人员提供了统一规范的描述[14].IEA对联合信息环境的构成、以及各个要素之间如何协同工作来实现有效的信息和服务共享,提供了一个清晰、准确的描述.

因此,充分吸收和借鉴美军联合信息环境建设的经验教训,在发展网络信息体系时,加强顶层设计,超前谋划,做好战略规划,理顺领导体制,首先在组织管理层面实现集中统一领导,进而在技术层面通过标准规范统一体制,充分发挥后发优势.

2.2 实施安全内在化,实现发展与安全同步

相比全球信息栅格,联合信息环境的最大特点就是对国防部企业总体安全性改善.就对安全的影响而言,联合信息环境的两大特点是统一安全架构和统一身份和访问管理[15].统一安全架构使网络响应同步的复杂性最小化,作战效率最大化,同时降低了风险.此外,标准化的安全架构能更好地保护信息的完整性,防止非授权访问,同时提高了对系统漏洞作出反应的能力和国防部运行全球网络并确保其安全的能力.

目前,我国是典型的网络大国,但并不是网络强国.无论是技术,还是标准,还是治理,与世界先进国家相比,还是有较大的差距.因此,在网络信息体系建设中,发展是第一位的,特别是在网络技术日新月异、新技术层出不穷的情况下.但是在大力发展的同时,需要正确处理好发展与安全的关系,两手抓,两手都要硬.特别是相较于外军,我军的网络信息系统安全基础更为薄弱,可谓“内有隐患、外有强敌”[16].因此,在发展的时候,要牢固树立安全意识.具体而言,就是要将安全性融入到网络信息体系的全生命周期中,实现安全内在化.在网络信息体系总体架构设计、功能要素分解、技术体制和标准制定、研制开发和系统评估过程中实现安全防护设计内在化,构建安全内在化的系统设计和研发平台,促进网络信息体系建设和安全防护体系的协调发展,提高网络信息体系的安全可信能力.

2.3 民技军用,实现深度军民融合

在IT发展的初期,很多技术都是从军用发展起来再扩展到民用.但随着IT发展的越来越快,目前军民两个领域技术之间的融合成为主流.美军发现,在过去几年中,通过社交媒体,例如,“脸谱”(Facebook)和“推特”(Twitter),信息分享的方式已经发生了革命性变化.利用智能手机,使用“脸谱”或“推特”等社交媒体工具,可以告诉朋友我们在哪里,正在做什么,下一步的计划等.这些民用技术对美军形成了极大的吸引力,美军希望开发军用脸谱或推特,形成移动服务能力,使指挥官们将能够分享自己部队的位置、敌军可能的位置信息,并发送短信和视频.

我国目前正在开展全国性的创新活动,相信在发展最为迅速、创新最活跃的信息技术领域,一定能够有大量的新兴技术可应用于网络信息体系建设中.因此,需要开拓视野、打破常规、积极创新,发挥我国网络大国、人才众多的优势,开发、挖掘类似微信、滴滴打车等信息化工具的军事应用价值,实现跨越式发展.

2.4 积极开展软件定义技术的研究与应用

随着云计算、移动互联网、物联网、大数据等新技术的快速发展和普及应用,软件定义技术包括软件定义网络、软件定义数据中心、软件定义安全直至软件定义系统等正在成为软件技术发展应用的新潮流.网络信息体系强调以网络为中心,将各类作战资源联为一体,实现网络化接入能力、系统的全网服务能力,软件定义技术为资源的充分互联与协同运用提供了必要的技术支撑.因此,积极开展软件定义技术的研究与应用,能够为网络信息体系“又快又好”地发展提供技术支撑.

2.5 加强韧性评估理论方法和技术研究

所谓韧性(Resilience),是系统为应对各种扰动、变化而呈现的一种能力或品质特性,即系统对来自自然或人为事件的干扰进行预测、抵抗、吸收、反应,适应并恢复的能力.系统韧性已成为系统安全发展的新方向,具备韧性的系统能够更好适应快速多变、不确定、对抗激烈的战场环境,满足作战需求[17].但是目前系统韧性能力发展更多的是工程实践,理论方法尚不成体系,特别是韧性的评估理论方法和技术.对于网络信息体系这样的复杂巨系统的韧性程度的评估,更是难题,亟需加强研究、聚力攻关,尽快形成可指导工程实践的韧性评估理论方法和技术.

3 结论

联合信息环境是美军IT现代化的基石,是美军实现在任意时间、全球任意地点、通过任意授权认证设备(新“3个Any”)获取所需信息和服务的保证,是从以网络为中心,向以数据为中心发展的重要举措,是美军实现全球一体化作战及任务式指挥的根本赋能要素.因此,深入分析和研究美军联合信息环境,能够为我军网络信息体系发展提供理念、架构、方法上的参考和借鉴.