APP下载

美军网络安全技术研究现状及发展趋势★

2022-02-09胡璇李炜玥冷昊程德斌

电子产品可靠性与环境试验 2022年6期
关键词:架构网络安全

胡璇,李炜玥,冷昊,程德斌

(1.工业和信息化部电子第五研究所,广东 广州 511370;2.智能制造装备通用质量技术及应用工业和信息化部重点实验室,广东 广州 511370)

0 引言

科技创新能力已经越来越成为衡量一国综合国力、军事实力的决定性因素,也深刻地影响着武器装备的发展和未来作战模式。以美国为代表的军事强国高度重视并长期坚持科技创新,通过制定战略规划、强化顶层管理和加快项目布局等方式,多措并举推动科技创新,加速前沿科技创新成果的军事应用[1-2]。

纵观21世纪数十年,网络空间问题日益凸显,网络威胁层出不穷,网络空间已成为继陆、海、空、天外的第五主权空间,成为国家主权延伸的新疆域。美国长期以来凭借自身在信息技术领域的巨大优势,成为了当之无愧的网络强国[3]。网络安全技术能够高效、稳定、安全地实现信息收集、信息处理、信息存储和信息传输,跨越了物理层、信息层、认知层和社会层,深度融入陆、海、空、天、网、电各个作战域,是实现联合作战任务规划和信息资源共享利用的核心技术,也是集成指挥控制、情报侦察和预警探测等功能系统的桥梁和纽带。该技术领域是全球研发投入最集中、创新最活跃、技术更新换代最快、军事应用最广泛和辐射带动作用最大的技术创新领域[2]。

网络安全技术的快速发展,在全球范围内带来了巨大的变革,同时对我军信息化建设和作战样式产生了深远的影响,特别是在战场环境下,掌握技术优势的一方往往掌握着战场主动权。抢占网络安全技术的发展高地,既是科技发展的必经之路,也是加快未来兵力建设、夺取战场主动权的迫切需要[2]。

1 美军网络安全模型架构及发展历史

1.1 美国网络安全模型架构分类

美国政府目前主要以以下3种网络安全模型架构作为参考。

a)国防部联合信息环境(JIE)

该网络旨在建立标准化的服务和管制措施,将更多的数据控制在受保护的环境中,并利用49个联合区域安全栈(JRSS)限制与公共网络的连接。JRSS扮演了国防网络与全球互联网之间网关的角色[4-6]。

b)情报界信息技术企业(ICITE)

该网络耗资数十亿美元,包括建立共用传输和安全层,实现情报界IT服务的协调一致和标准化[7]。

c)国土安全部OneNet

它是一种集中式的虚拟网络结构,将国土安全部下属的7大主要部门和15个子部门连接在一起。

从普适性、可参考性等方面考虑,本文将JIE作为主要的研究对象。

1.2 联合信息环境简介

1.2.1 全球网络信息栅格到联合信息环境的发展历史

全球网络信息栅格(GIG:Global Information Grid)[8-10]是美军在提出JIE之前构建实施的巨大而复杂的通信与服务系统,其网络基础结构由不同的分布式服务单元组成,旨在将美国国防部的所有的信息系统、服务及应用,集成为一个无缝隙的、可靠的和安全的网络。但随着GIG演进工作的不断推进,原有的设计逐步地暴露出构建成本高昂、互联能力有限、新技术采用缓慢和事件响应灵活性差等问题,美军构想的信息共享、基础设施建设、系统和服务采办模式、联合训练、通信保障及作战支持等能力并未达到预期目标。其根本原因在于,在GIG所代表的传统信息框架下,各军种具备自行设计网络、开展网络防御的决定权。尽管美军国防部在各军种、军事机构中推动和实施了多个网络安全战略性项目,但GIG各个组成单元之间相互脱节的网络安全策略和保护措施多样化的实现途径,导致网络安全本质上的整体保障能力存在巨大的风险。

1.2.2 联合信息环境的概念、意义及整体框架

2011年,美军基于安全性考虑,对整个GIG重新设计,提出了JIE。其技术实现由美国国防信息系统局(DISA)主导,是一个单一、联合、安全、可靠和敏捷的指挥、控制、通信和计算企业信息环境。美军的目标是使得JIE包含所有的国防部网络,在2020年前,利用JIE使所有的军种实现互联互通,以安全、高效的方式为作战人员提供所需的信息服务,实现“3个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需的信息,以满足联合作战的需求[11]。JIE的预期效果如图1所示。

图1 JIE的预期效果

JIE的主要目的是通过减少基础设施和人员配置来提高运营效率,增强网络安全性,节省资金。从GIG到JIE,意味着美军基础设施的建设模式从部门间相互协同转变为真正的一体化,美军从“以网络为中心”转变为“以数据为中心”[11]。

JIE为美国国防部构建了6项关键能力:单一安全架构(SSA)、网络规范化、身份与访问管理(IAM)、企业服务、云计算、数据中心整合。JIE的8个现代化领域包括:网络现代化、网络安全体系结构、企业运营、计算与存储、企业服务、任务伙伴环境(MPE)、身份和访问管理(IdAM)、移动性。JIE整体框架如图2所示。

图2 JIE的整体框架

鉴于单一安全架构的重要作用,下面将对其进行详细的介绍,并对其核心实现之一的JRSS、进一步发展演进的安全云计算架构(SCCA)和零信任架构(ZTA)进行介绍。

1.2.3 SSA简介

减少攻击面是美国防部网络安全建设的关键原则之一,而SSA正是贯彻这一安全原则的产物,其对应前述JIE的6项关键能力的第1项和8个现代化领域的第2项[11]。下面对单一安全架构进行介绍。

a)SSA的基本思想

由于多种非标准化安全实现带来大量的美国防部网络攻击面暴露,所以SSA的基本思想是标准化安全实现,以减小网络攻击面暴露,SSA的名称“单一安全架构”也体现了这一思想。

b)SSA的定义与定位

1)SSA定义

SSA是一个联合的安全架构,为美国防部所有军事机构的计算机和网络防御提供了通用方法[12-13]:

使用标准化的安全防护功能集/套件,在最佳位置开展防御;

移除冗余的、不必要的信息保障手段,以提高效能;

通过集中式计算机网络防御数据库,控制用户数据流动,并向基地/哨所/营地/台站(B/P/C/S)提供全局态势感知;

在服务器、用户资产与骨干网分离时,保护网络飞地;

在JIE指定的美国防部企业操作中心(EOC)中,提供用于监视和控制所有安全手段的工具集。

2)SSA定位

SSA的提出体现了美军为扭转安全防护的不利态势而在JIE中做出的不懈努力。SSA在JIE中的定位为:SSA对应于JIE关键目标中的“建立整体的企业化安全架构,以确保优化的和同步化的网络、项目和企业化服务,以及联合和联盟作战行动”这一要求。其主要原理为:降低所需的信息技术设备总量、实现配置标准化,建立企业级的安全共享协议和简化数据路由等。

c)SSA目的

建立SSA的目的是打破军兵种间分割和安全防御的各自为战,整合成一个安全集成框架。

1)将最佳的作战司令部/军种/机构(CC/S/A)的信息保障能力和实践,应用于JIE安全体系结构中。

2)用户在单一安全架构支撑下,能够连接以前从未访问过的外部网络,从而获得更灵活的战术优势。

3)SSA通过规整网络安全边界,减少外部攻击面、管理标准化和操作、技术控制,确保在所有的任务背景下美军国防部信息资产的保密性、完整性和可用性,同时能够促进快速攻击侦察、诊断、控制和响应能力的实现。

4)试图解决在实施任务保障时存在的机构重叠、职责不清等问题,消除系统烟囱和网络安全边界,减少暴露于外部的攻击面,实现参战单元的信息互通及快速、安全的数据共享,推进安全机制和协议规范的复用,降低已有系统改造和集成的耗费,从而使得信息基础设施管理员们更方便地监控和发现潜在的安全威胁,并更迅速地应对。

总之,SSA更多的是一种安全思想,而其落地实现则会分解到更多的安全能力模块中,如JRSS就是SSA的核心实现之一。

1.2.4 JRSS简介

JRSS[14]开发部署的推进方为美国国防信息系统局、美陆军、美空军和洛克希德·马丁公司,旨在为各军种创造一个联合安全环境而共同努力,确保美国防部使命的完成。JRSS由一系列相辅相成的安全站点、设备和机制构成,部署在美国防部多协议标签交换(MPLS)网络的边缘处。JRSS的关键任务领域包括可信网络接入、多协议标签交换、管理可视化和持续监控等。具体而言,设立该堆栈的最初目的是为了缩小网络攻击面,将来自世界各地无数的机密入口点合并到25个站点中。然而,由于整合不同的商业技术相当复杂,JRSS培训和标准操作流程也尚不成熟,使得JRSS在维护网络安全方面表现不佳,且未达预期。而随着JRSS计划的逐步淘汰,也产生了新的替代方案。

1.2.5 安全云计算架构简介

伴随着美国防部云战略的推进,云上安全日益紧迫。但是,在JIE的单一安全架构中,JRSS家族的互联网访问点(IAP)和云访问点(CAP),传统上只专注于保护网络安全,而非数据或身份安全。而随着越来越多的美国防部员工和承包商开展远程工作并且数据量增加, 传统硬件无法扩展以支持他们。这又引起了对性能、可靠性、延迟和成本的持续关注[15]。

作为对云安全和性能等问题的回应,美国防部利用了来自联邦风险与授权管理计划(Fed RAMP)的授权解决方案,其参考了《安全云计算架构指南》[16],为托管在商业云环境中的4级和5级数据提供边界和应用级安全的标准方法。安全云计算架构的目的是在美国防部信息网络和国防部使用的商业云服务之间提供保护屏障,并优化网络安全的性价比。

1.2.6 零信任架构简介

经历了JIE的单一安全架构和安全云计算架构的发展,仍然不能认为JIE已经实现了从以网络为中心向以数据为中心的转变。保护美国国防信息系统局和美国防部网络的下一步演进,是拥抱具有零信任能力的安全访问边缘模型(SASE)。SASE将基本的安全功能(例如:Web网关防火墙、零信任能力、数据防泄漏和安全网络连接等),全都移到云中。这样一来,美国防部雇员可以直接访问云,而安全性则被推到尽可能地接近用户/数据/设备的位置。

NIST SP 800—27《零信任架构指南》[17]提供了在整个企业环境中迁移和部署零信任的路线图。该指南概述了零信任的必要原则,包括保护所有的通信(无论网络位置如何)和基于会话授予访问权限。这将创建最小特权访问模型,以确保合适的人员、设备和服务可以访问他们所需的数据,同时保护高价值资产。

随着美国防部将JIE架构转变为具有零信任能力的即服务模式,国防机构将节省成本,提高可扩展性,为最终用户和作战人员提供更好的性能,提高可见性,对国防部全网进行控制,最终将获得更强大、更全面的网络安全能力[18]。

1.3 小结

美国防部JIE框架本身,是网络、业务、安全的综合架构,是自上而下体系化设计的代表。JIE框架中安全防护的最大特色是其整体安全架构,即单一安全架构。通过它将JIE整合至统一安全架构中。在信息系统持续集成和整合的大背景下,逐步地实现各军兵种现存安全架构的整合统一,进而解决在实施任务保障时存在的机构重叠、职责不清等问题,消除安全系统烟囱和网络安全边界,在降低成本的同时提高效率。正是由于SSA奠定的基本安全思想,才会进而采取JRSS的标准化实现,解决中间点的安全问题;采取安全云计算架构的标准化要求,解决云安全问题;采用零信任架构思想,解决身份与访问安全问题[11]。

上述发展历程也反映出安全要从顶层进行体系化设计,要从安全规划和安全架构做起。每个企业级用户都应该有适应自身业务特色的安全架构,才能有自己的安全“主心骨”和“脉络”,才能实现自身安全的持续演进[11]。

2 美军网络安全相关技术进展及重点项目

目前,在人工智能、区块链和网络安全等技术领域中,很多科技创新成果已经取得了突破性进展,未来将对武器装备发展和作战产生深远的影响,值得高度关注[2]。

2.1 人工智能和自动化领域

美国防部将人工智能作为“第三次抵消战略”的核心基础技术,在研的人工智能技术项目约600个。

a)通过“数据决策计划” “数据扩展计划”等,以安全大数据为基础,突破关键技术、开展大型技术项目、研发相关装备,不断地提高基于环境的、动态的、整体的网络威胁感知能力,从全局视角提升对安全威胁的发现识别、理解分析和响应处置能力[2]。

b)美国防高级研究计划局(DARPA)在“人机探索网络安全” (CHESS)项目下设立“防止漏洞利用的合并分析” (MATE)项目,寻求创建自动化的程序分析技术,开发可扩展的人-机混合网络漏洞评估工具,从而实现以下目标:通过自动化相关程序减少单调、耗时的任务,提高网络专家的工作效率;通过开发补充自动推理的新技术,使非专家能够致力于漏洞评估工作;开发先进的自动化工具,对特定应用程序需求的关键漏洞进行检测[19]。

c)在网络安全主动防御智能检测方面,基于人工智能的安全威胁自主学习检测,可大幅度地缩短网络攻击检测时间,根据威胁等级、种类和行为自动制定处置方案,同时还能实现自主学习,不断地提高防御水平[19]。美陆军寻求为战术通信网络开发具有自主网络防护能力的人工智能和机器学习产品,相关技术包括:自主检测和修补已知网络漏洞技术;自主识别和纠正网络及主机错误配置方法;自主检测已知和未知恶意软件样本方法;红队自主决策引擎工具和方法。

d)美国防高级研究计划局开展的“保证人工智能抵御欺骗的稳健性” (GARD)研发项目,旨在开发新一代对机器学习模型对抗性欺骗攻击的防御,对对抗性人工智能的新型响应将集中于3个主要目标:可防御机器学习理论基础的发展和基于其的新防御机制的词汇;在各种环境中创建和测试防御系统;构建一个新的测试平台,用于表征相对于威胁场景的机器学习防御性[19]。

e)美国防高级研究计划局开展的“快速攻击检测、隔离和特征识别系统” (RADICS)研发项目,与国土安全部、能源部、国民警卫队和电力公司开展合作,利用人工智能来解决电网网络安全问题,在电网发生网络攻击时实现“黑启动”恢复[20-21]。

总之,相关人工智能和自动化技术成果已在C4ISR、网络攻防和电子战等领域中开展了初步的技术应用和试验验证。

2.2 区块链领域

美国政府于2017年专门成立由两党成员组成的区块链核心小组,负责完善与区块链技术、数字货币相关的公共政策。政府和业界共同讨论了区块链将如何在数据安全、密钥管理等领域中发挥作用,并发布《区块链:分布式账本为机构带来希望》。美国防部《2018财年国防授权法案》[22]明确提出,要对区块链的网络应用开展全面研究。具体包括以下项目。

a)美国防高级研究计划局重点推进全员匿名弹性通信(RACE)项目[2],开发非对称加密和通信混淆技术以实现匿名,形成具有攻击弹性的移动通信网络环境;同时结合分布式计算与通信协议封装方法,开发提供安全消息传递服务的移动电话应用程序和分布式系统。

b)分布式结构高保障军事网络系统(HACMS)项目[2],开发新型分布式网络结构,用于改进关键任务嵌入式计算系统,构建军事系统安全高保障能力。

c) “无钥签名”基础设施(KSI)[2]利用区块链技术检测网络中隐藏的高持续性威胁,并及时地跟踪到系统被查看或被篡改的情况,有效地保障网络安全。

d)美国国防信息系统局联合美国网络司令部(Cyber Command)要在国防部保密网络秘密互联网协议路由网络(SIPRNet)中试用零信任联网技术。

e)美空军寻求将区块链技术应用于空军网络系统与流程,以实现通信保护、数据安全和任务的有效性[19]。

总之,相关区块链技术成果正在战场通信、国防关键网络基础设施等领域中开展技术应用探索。

2.3 网络安全领域

美军正在大力研发网络主动防御、网络弹性与机动、网络态势感知分析等网络安全技术。

2.3.1 网络主动防御技术

该技术是指利用人工智能、机器学习等技术,使设备和系统能够自动检测网络威胁、发现网络漏洞并自动修复漏洞、抵御攻击,减少设备和系统受攻击面的一类技术[2]。美军重点开展了“脆弱性缓解” “航空电子设备网络脆弱性”等项目,能够优化军事系统和软件的冗余代码,快速地挖掘系统内部漏洞并进行修复[2]。2020年6月, 美国防高级研究计划局发布首个漏洞报告奖励项目——发现漏洞阻止篡改(FETT),为“通过硬件和固件进行系统安全集成” (SSITH)项目发现可能削弱其硬件防护能力的潜在漏洞或缺陷。美陆军与国防部联合建设“大数据平台”,构建允许多种网络传感器进行存储、计算和分析的混合云环境,旨在为陆军打造一个更安全的防御性网络工具开发环境[19]。美空军委托博思艾伦建立了Block IIR GPS卫星的“数字孪生”,随后对GPS卫星的通信链路进行了“中间人”攻击,以识别卫星与其地面控制站之间的潜在漏洞[19]。美泰科技公司(ManTech)推出的“太空靶场” (Space Range),利用对进攻性网络的深入研究来帮助保护美国军事、情报界和商业太空资产免受恶性网络的攻击。该解决方案能够构建网络的精确副本来测试其地面和轨道网络中的漏洞,包括基于物理的流量整形和链路建模、多处理器体系结构和物理在环硬件(HWIL)的无缝集成,还可以培训其网络专业人员[19]。

随着该技术的不断发展,可有效地缩短漏洞挖掘、修复的时间,减轻各类针对系统漏洞的先进持续性威胁,减少受攻击面。

2.3.2 网络弹性与机动技术

该技术是指使网络资源始终处于动态变化状态,增加对手发动网络攻击的难度和成本,同时能够保证系统在网络攻击下正常运行,或快速地从攻击中恢复的一类技术,美陆军的“变体网络技术”、雷神公司的“网络机动指控技术”等都属于该技术范畴[2]。

2.3.3 网络态势感知分析技术

美军当前重点开展“网络态势感知统一平台”“联合指挥控制系统”等项目,以增强美军的多域作战能力,缩短作战规划时间,提升决策品质和速度,缩短网络作战杀伤链路,提高网络作战节奏效能[2]。美国防高级研究计划局开展的“网络安全威胁预测的验证证据和弹性设计” (VERDICT)项目[19],旨在跨多种计算机系统工作,如用于智能设备、船舶、飞机、发电厂和风电场的计算机系统等。其目标是为系统提供对网络威胁的全面评估,对暴露的漏洞提出解决建议,并预测即将发生的攻击的可能性。美军实验室和陶森大学的研究人员共同开发新程序,通过压缩单位内网络流量来提前预测黑客行径并做出反应,从而更快地阻止黑客对国防部网络发动攻击[19]。雷神公司推出针对美军武器系统的网络威胁检测系统(CADS),可查找飞机、卫星、导弹系统和车辆等平台整体系统的异常情况,检测网络入侵、篡改和黑客攻击,并及时地通知飞机和车辆机组人员[19]。美陆军开发“网络态势感知”原型系统,发展可视化网络态势感知能力。该系统利用“指挥所计算环境”基础设施,从时间、物理空间和逻辑空间之间相互关联的角度,快速地展现网络空间事件、事件影响和相关状态,呈现与陆军战略、作战和战术单位网络电磁活动作战环境相关的综合图景,帮助战术指挥官跨越不同威胁向量和行为、各类行动和任务的不同的阶段,及时地掌握威胁态势,进而做出更快速、更明智的行动决策。项目分3个阶段,包括:实现“看见自己的能力”阶段;实现“看见战场的能力”阶段;实现“感知战场态势的能力”阶段[19]。

此外,美军还在加强“体系化防御技术”创新,突破“点防御”思维局限,通过体系化配合使用监测、拒止、切断、降级和诱骗等诸多技术,实现对网络攻击全过程的体系化跟踪、识别和打击。

2.4 先进加密与检测领域

美国从2011年以来,一直在推行密码现代化计划,积极地研发新型加密技术,意在从根本上解决传统加密技术的各种安全隐患。

a)2019年2月,美海军发布Navy Cryptologic&Cyber Warfare Community Vision》[23],提出充分利用密码学研究成果来应对网络威胁。目前,美国已在生物加密、量子加密和全同态加密等技术领域中取得了领先地位。

b)为降低冗长密码、通用访问卡等传统身份认证技术带来的安全风险,美国防高级研究计划局重点研发在不中断网络用户行为的情况下,实时、主动地检测其身份合法性的“主动认证”技术,可对网络用户的行为特征进行检测,该技术已在2014年实现对军用台式机和笔记本计算机用户进行身份检测[2]。

c)2020年5月,美国防高级研究计划局授出“加密验证与评估信息安全保障” (SIEVE)项目合同,旨在通过研发零知识证明技术来实现复杂军事应用中的加密技术,增强美军方信息安全和可信计算能力[2]。据称,该项目共有3个技术领域:构建有用的零知识语句;构建高效的零知识证明生成编译器;后量子零知识研究。

d)2020年8月,美国防高级研究计划局发布“稳健物联网中超大规模架构的加密技术”(CHARIOT)项目[2],旨在为物联网设备开发快速、高效、低成本、抗量子的革命性加密技术,以保护美军方目前使用的大量物联网设备。这些设备的安全风险随着量子计算和5G无线网络的运用变得愈发突出。另外,由于一些物联网设备预计将使用10年以上,军方需要低功耗的加密解决方案。

e)2020年10月,美国光骑士公司推出首款量子加密产品,使用量子软件与板载量子处理器,利用物理工作空间中的光来传输和加密数据,在通过量子加密保证数据安全的同时,还可将光纤上行链路的量子数据直接传送到物联网设备中,以最大程度地确保安全[2]。

2.5 量子信息领域

美国在量子通信方面的研究起步较早,一些成果已用于军事、国防等领域的国家级保密通信中,目前正在创建一套辐射状的量子互联网,并将量子通信应用于虚拟货币防伪和量子指纹鉴定等。

a)美国国家科学基金会于2017年启动“推动工程学中的通信量子信息研究”项目,支持量子通信系统的跨领域研究,着重解决基础工程挑战,以综合组件、中继器、网络和架构来实现无损、室温、点对点的链接[24]。

b)美陆军于2020年设立量子信息科学项目,研究光和量子系统之间的相互作用,包括原子、离子和固态材料,用于开发分布式量子系统的基本构件,此外还探索量子纠缠态分发的方法[2]。

c)美国国防信息系统局寻求可抵御量子计算机破解的新型加密算法原型,旨在研发可承受量子计算机攻击的先进算法和加密解决方案,用于保护国防部IT基础设施。

2.6 第五代移动通信技术(5G)领域

5G具有高速率、低时延、低功耗和海量连接等特点,有望用于战术通信、指挥控制和情报监视侦察等军事领域。

美国防高级研究计划局开展“开放、可编程、安全5G” (OPS-5G)项目,旨在利用可移植的、开源的、符合标准的5G移动网络栈,化解5G网络被用来开展网络间谍和网络战的风险。OPS-5G研究集中在软件标准、跨尺度5G节点和网络安全、安全切片、可编程防御4个技术领域。

3 美军网络安全技术发展趋势

近年来,美军以“军方主导、业界协同”思想为指导,充分地借助业界技术和能力,加强网络空间态势感知、人工智能和自动化、零信任、网络靶场、虚拟技术、量子加密、5G等安全技术装备的研发,提升网络安全技术水平,维持其在全球的作战能力优势。从前述对美军网络安全相关技术进展及重点项目的分析可知,美军网络安全技术发展具有如下趋势。

a)聚焦网络前沿攻防,提升网络空间态势感知能力

网络态势感知是网络攻击追踪溯源和网络空间攻防行动的基础,也是美国网络空间威慑战略的前提。该技术是指应用了人工智能、机器学习技术,为网络作战人员提供快速、准确的网络空间信息获取能力,并能够自动地对网络空间海量情报数据进行分析处理,从海量非结构化异构数据中提取有效信息的一类技术。

b)实时响应网络威胁,提升威胁智能自动处理能力

网络空间攻击行动以接近光速传播和实施,并且能够对特定目标造成整体性影响,这种瞬间和整体攻击能力也成为网络空间行为的特质。人工智能和自动化技术的发展为美国网络空间安全带来了新的发展机遇,成为美军提升网络安全能力的倍增器。基于人工智能的安全威胁检测,可大幅度地缩短网络攻击检测时间,根据威胁等级、种类和行为自动地制定处置方案,同时实现自主学习,不断地提高防御能力。

c)打造可信验证体系,提升身份验证授权管理能力

零信任建立了以数据为中心的安全模型,消除了受信任或不受信任的网络、设备、角色或进程的概念,并转变为基于多属性的信任级别,使身份验证和授权策略在最低特权访问概念下得以实现。美军基于零信任原则开展身份与访问管理,以此降低网络的匿名性,降低敌手网络渗透和横向移动的机动能力。美国防部2019年7月发布的《国防部数字现代化战略:国防部2019—2023财年信息资源管理战略规划》[25]将零信任列为重要目标,美国防创新委员会(DIB)同年10月发布的《零信任架构建议》[26]提出“国防部应将零信任实施列为最高优先事项,并在整个国防部内迅速地采取行动”。

d)构建虚拟仿真环境,提升安全技术研发验证能力

当前,网络空间对抗形势日趋严峻,网络靶场平台成为支撑网络空间安全技术验证、网络武器试验、攻防对抗演练和网络风险评估的重要手段。美军发展网络靶场平台环境,根据需要模拟复杂多样的网络环境,从而开展网络攻防演练、网络空间对抗动态推演,以及攻防工具和系统验证。

e)突出新兴领域运用,提升新型对抗技术创新能力

量子加密、5G等新兴技术不断地取得突破发展,同时也带来了新的网络安全威胁。一方面网络攻击者可以利用新兴技术突破传统的网络安防体系,另一方面新兴技术领域网络安全成熟度不高也带来新的漏洞隐患。应对新兴技术产生的网络安全威胁,美军加强相应的网络安全技术研发和创新,以保持技术领先优势,慑止对手利用新兴技术开展网络攻击渗透活动。

4 结束语

美国是创新技术发展的引领者,其技术研究布局、发展趋势及研究项目代表了技术发展的热点。网络安全正在成为影响国民经济发展的重要因素,并且不断地向民生、政治、经济和文化等各个层面渗透。我国在建设网络强国的道路上需要加强网络安全,掌握关键核心技术。因此,我国一方面要合理地布局新兴技术,特别关注新兴技术的交叉融合所带来的新的安全威胁和机遇,例如人工智能与网络安全的融合、物联网安全和5G安全等问题;另一方面,可以借鉴美国“军方主导、业界协同”的发展思路,学习美军的军民融合发展模式,在网络安全领域加强政产学研用的协调合作,打造多维生态合作,推动网络安全产业高端集聚发展。

猜你喜欢

架构网络安全
基于FPGA的RNN硬件加速架构
自主式MaaS系统多维架构映射关系设计
功能架构在电子电气架构开发中的应用和实践
基于云服务的图书馆IT架构
网络安全
网络安全人才培养应“实战化”
上网时如何注意网络安全?
WebGIS架构下的地理信息系统构建研究
计算机网络安全
网络安全监测数据分析——2015年11月