一、上期回顾 公众号的上一篇(美军网络安全 | 开篇:JIE(联合信息环境)概述)介绍了美军JIE(联合信息环境)的总体情况。其主要目标是实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息,以满足联合作战的需求。 同时,提到了JIE为国防部构建的6项关键能力:SSA(单一安全架构)、网络规范化、IAM(身份与访问管理)、企业服务、云计算、数据中心整合。还提到了JIE的8个现代化领域:网络现代化、网络安全体系结构、企业运营、计算与存储、企业服务、任务伙伴环境(MPE)、身份和访问管理(IdAM)、移动性。 这一篇,就谈6项关键能力的第1项和8个现代化领域的第2项——JIE网络安全架构SSA(单一安全架构)。 注意:SSA(单一安全架构)在最新的文件中可能被称为CCA(一致网络安全架构)。 二、国防部网络安全准则 根据美国防部2016年发布的《国防部网络安全准则实施计划》列出了朴实得不能再朴实的基本安全准则: ·努力方向1:强身份验证:降低对手在国防部信息网络上的机动能力。美国防部将执行更为严格的访问要求并降低网络的匿名性。 ·努力方向2:设备加固:减少进入国防部信息网络的内部和外部攻击向量。确保设备正确配置和软件补丁为最新,该项工作还包括禁用电子邮件中的活动链接。 ·努力方向3:减少攻击面:减少进入国防部信息网络的外部攻击载体。指挥官和监察人员必须确保只有经过授权的设备可以访问网络、与国防部网络建立信任。此外,减少被攻击面也是JIE(联合信息环境)的目标之一。JIE使用联合区域安全堆栈(JRSS)减少安全区域的数量,从1000多个网络访同点减少到50个。 ·努力方向4:与网络安全/计算机网络防御服务提供商保持一致:提高对敌方活动的探测和响应能力。监控网络外围,推动网络事件报告方式的标准化,将提高对网络事件的快速检测和快速反应。 从第3个努力方向可以看出:减少攻击面是其关键原则之一。而SSA正是贯彻这一安全原则的产物。 三、设计SSA的背景原因 美国防部设计SSA的根本原因是GIG存在问题。 1、GIG初衷: GIG是美军在提出JIE之前构建实施的巨大而复杂的通信与服务系统,其网络基础结构由不同的分布式服务单元组成,旨在将美国国防部的所有的信息系统、服务及应用,集成为一个无缝隙的、可靠的和安全的网络。 2、GIG结果: 但是随着GIG演进工作的不断推进,原有的设计逐步暴露出构建成本高昂、互联能力有限、新技术采用缓慢、事件响应灵活性差等问题,美军构想的信息共享、基础设施建设、系统和服务采办模式、联合训练、通信保障及作战支持等能力并未达到预期目标。 3、GIG问题披露: 2012年,美国网络司令部司令兼国家安全局局长,亚历山大将军,接受联邦新闻电台采访时说:“对于现在的DoD体系结构,我认为保护它们真的是非常困难。我们有15000个飞地,每个都是单独管理的。其结果是,每一个都要被修补,像一个独立的采邑一样运行。负责保护它们的人看不到防火墙以外的东西。基于主机的安全系统有所帮助,但实事求是的讲,态势感知是不存在的。” 2014年,美军在《陆军网络安全企业参考架构2.0》中提出,当前网络安全防护手段存在以下缺点:
4、原因分析: 在GIG所代表的传统信息框架下,各军种具备自行设计网络、开展网络防御的决定权。 尽管美军国防部在各军种、军事机构中推动和实施了多个网络安全战略性项目,但GIG各组成单元间相互脱节的网络安全策略和保护措施多样化的实现途径,导致网络安全本质上的整体保障能力存在巨大风险。 四、SSA的背后思想 SSA的设计思想是减少网络攻击面暴露。 由于多种非标准化安全实现带来大量的DoD网络攻击面暴露,所以SSA的基本思想是标准化安全实现,以减小网络攻击面。从SSA的名称“单一安全体系结构”也可以领会到这一点。 四、SSA定义&定位 1、SSA定义: JIE SSA是一个联合的国防部安全架构,为美军国防部所有军事机构的计算机和网络防御,提供通用方法:
2、SSA定位: SSA的提出体现了美军为扭转安全防护的不利态势,而在JIE中做出的不懈努力。 SSA在JIE中定位:SSA对应于JIE关键目标中的“建立整体的企业化安全架构,以确保优化的和同步化的网络、项目和企业化服务、以及联合和联盟作战行动”这一要求。 SSA与JRSS关系:JRSS是SSA的重要组成部分和贯彻实施形式。 SSA的主要原理:降低所需的信息技术设备总量、实现配置标准化,建立企业级的安全共享协议和简化数据路由等。 3、SSA目的: SSA目的:打破军兵种间分割和安全防御的各自为战,整合成一个安全集成框架;
五、SSA方案和能力分解 1、SSA方案 美国防部网络区分为NIPRNet(非密网)和SIPRNet(涉密网),对应的SSA方案有所不同。 NIPRNet的SSA方案如下图: SIPRNet的SSA方案如下图: 留个作业:请自行对比上面两张图的区别。 看到这两张图,应该会很自然地联想到上一篇的JIE整体框架图: 现在,兑现上期的承诺:给出JIE整体框架的汉化版: 实际上,图中所有深红色标记的安全能力都属于SSA的覆盖范畴,当然标记为SSA和JRSS的那些模块最为直接。 2、SSA能力分解 对应地,两种网络中SSA的能力也有所不同。 NIPRNet的SSA能力如下图: SIPRNet的SSA能力如下图: 可以看出,SSA覆盖的安全能力包括:国防部企业边界保护、端点安全、移动端点安全、数据中心安全、网络安全态势感知分析能力、身份和访问管理。可谓面面俱到。 六、总结和预告 这一篇主要介绍了美JIE环境的整体安全架构思想SSA。 关注于落地实现细节的童鞋,可能会有很多疑问。 是的。SSA更多的是一种安全思想,而其落地实现则会分解到更多的安全能力模块中,比如JRSS(联合区域安全栈)就是SSA的核心实现之一。 若想进一步了解SSA实现细节,且等下回分解。 注意是“且等”,感兴趣却没有耐心的童鞋,还请自行分析研究,欢迎交流沟通。 |
|
来自: kaller_cui > 《网络空间作战》