承上啟下的關(guān)鍵之年。而網(wǎng)絡(luò)空間安全，是美軍數(shù)字現(xiàn)代化戰(zhàn)略至關(guān)重要的一環(huán),。

　　一

　　美軍數(shù)字現(xiàn)代化戰(zhàn)略的推進(jìn)情況

　　近年來(lái)，美軍一直不遺余力地推行數(shù)字現(xiàn)代化戰(zhàn)略,，力圖以此應(yīng)對(duì)在全球威脅格局不斷演變之下大國(guó)之間的競(jìng)爭(zhēng)。

　?。?）美國(guó)國(guó)防部的全面數(shù)字現(xiàn)代化戰(zhàn)略始于2018年的夏天,，6月國(guó)防部正式發(fā)布了《數(shù)字工程戰(zhàn)略》，旨在推進(jìn)數(shù)字工程在裝備全壽命周期管理的應(yīng)用,，實(shí)現(xiàn)美國(guó)國(guó)防部的數(shù)字轉(zhuǎn)型,；

　　（2）2019年7月,，國(guó)防部發(fā)布《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略：國(guó)防部信息資源管理戰(zhàn)略規(guī)劃FY19-23》,，這是美軍首次發(fā)布以“數(shù)字”和“現(xiàn)代化”冠名的戰(zhàn)略規(guī)劃，它提出了國(guó)防部未來(lái)四年在數(shù)字現(xiàn)代化領(lǐng)域的戰(zhàn)略愿景,、目標(biāo)及要素,，是美軍非常重要的一份戰(zhàn)略文件；

　?。?）2019年底,，國(guó)防部開(kāi)始創(chuàng)建聯(lián)合企業(yè)防御基礎(chǔ)架構(gòu)環(huán)境（JEDI）,，這是一種在所有服務(wù)中都可使用的云計(jì)算環(huán)境，它是美軍試圖構(gòu)建的一整套覆蓋國(guó)防部和各軍種信息需求,、存儲(chǔ)處理所有密級(jí)數(shù)據(jù)，并為美軍執(zhí)行各層級(jí)作戰(zhàn)任務(wù)提供智能支持的企業(yè)云服務(wù)解決方案,；

　?。?）2020前兩個(gè)月，聯(lián)合企業(yè)防御基礎(chǔ)架構(gòu)的非密環(huán)境構(gòu)建完成,；之后大約用六個(gè)月的時(shí)間,，國(guó)防部將完成涉密環(huán)境的建立，最后是構(gòu)建最高機(jī)密環(huán)境,。

　　到目前為止,，美軍在數(shù)字現(xiàn)代化領(lǐng)域所取得的進(jìn)展還包括涵蓋了云計(jì)算與人工智能所支持的C3I（指揮、控制,、通信與情報(bào)）方面上的網(wǎng)絡(luò)改進(jìn),，而且這些改進(jìn)都得到了強(qiáng)有力的網(wǎng)絡(luò)空間安全保護(hù)。

　　二

　　美軍數(shù)字化能力與網(wǎng)絡(luò)脆弱性之間的矛盾

　　當(dāng)前,，美軍擁有全球最高的信息化程度和水平,，表現(xiàn)在：年度預(yù)算高達(dá)464億美元；運(yùn)行了近萬(wàn)個(gè)系統(tǒng),，部署了數(shù)千個(gè)數(shù)據(jù)中心,、數(shù)萬(wàn)臺(tái)服務(wù)器，連接了上百萬(wàn)的計(jì)算機(jī)和IT設(shè)備,、10萬(wàn)多商業(yè)移動(dòng)設(shè)備,；支持130萬(wàn)服役人員、74.2萬(wàn)平民,、82.6萬(wàn)國(guó)民警衛(wèi)隊(duì)和后備力量,；基礎(chǔ)設(shè)施遍布全球5000個(gè)地點(diǎn)、3000多萬(wàn)畝的土體,、數(shù)十萬(wàn)建筑物,。數(shù)字技術(shù)已經(jīng)成為美國(guó)戰(zhàn)略、戰(zhàn)術(shù),、武器等的關(guān)鍵組成部分,。

　　但是，美軍的信息化環(huán)境同樣存在一些問(wèn)題,，比如：數(shù)據(jù)中心和網(wǎng)絡(luò)太多,，投資分散，效率低下,；互操作性不足,，影響了信息共享和任務(wù)協(xié)作,；網(wǎng)絡(luò)安全漏洞威脅到機(jī)密信息的利用，也危及國(guó)家安全,，等等,。特別是，美軍正面臨嚴(yán)重的網(wǎng)絡(luò)空間威脅,，而現(xiàn)有的能力和技術(shù)不足以防范技術(shù)高超的網(wǎng)絡(luò)攻擊,。隨著先進(jìn)黑客技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)對(duì)手可以采購(gòu)相應(yīng)技術(shù)入侵國(guó)防部的網(wǎng)絡(luò),，影響美軍作戰(zhàn)任務(wù)的完成,。同時(shí)，美國(guó)國(guó)防工業(yè)基礎(chǔ)和下一代武器系統(tǒng)也存在脆弱性,。

　　因此,，數(shù)字技術(shù)在賦予美國(guó)巨大能力的同時(shí)，也增加了美軍的脆弱性,，對(duì)美國(guó)而言,，這些能力和脆弱性構(gòu)成了動(dòng)態(tài)的威脅。隨著美國(guó)國(guó)防部尋求更強(qiáng)大的數(shù)字化能力,，國(guó)防部的作戰(zhàn)能力得到極大提升,，但也更易遭受先發(fā)制人的攻擊。美軍作戰(zhàn)所依賴的數(shù)字網(wǎng)絡(luò)和技術(shù)也更容易遭到虛擬和物理攻擊,。

　　美軍的決策者已經(jīng)充分認(rèn)識(shí)到數(shù)字化能力與脆弱性之間的矛盾,，因此，正在努力尋求在軍事能力和網(wǎng)絡(luò)能力中做出平衡,。未來(lái)美軍需要構(gòu)建一支能力超強(qiáng)且脆弱性最低的軍隊(duì),，數(shù)字技術(shù)可以用于加強(qiáng)其軍事能力，但不會(huì)成為其軍事力量的關(guān)鍵弱點(diǎn),。

　　為此,，美軍對(duì)網(wǎng)絡(luò)空間安全的重視大大提高，透過(guò)美軍的數(shù)字現(xiàn)代化重磅戰(zhàn)略可以看到,，其中大量?jī)?nèi)容都是應(yīng)對(duì)當(dāng)下的美軍遇到的網(wǎng)絡(luò)安全問(wèn)題,，而且提出的解決方案也相當(dāng)實(shí)際?？梢哉f(shuō),，網(wǎng)絡(luò)空間安全已成為美軍數(shù)字化現(xiàn)代化戰(zhàn)略中最重要的一環(huán)。

　　三

　　網(wǎng)絡(luò)空間安全成為美軍數(shù)字現(xiàn)代化戰(zhàn)略的重要支柱

　　1.數(shù)字現(xiàn)代化戰(zhàn)略的總體目標(biāo)特別強(qiáng)調(diào)網(wǎng)絡(luò)空間安全

　　美軍在2019年7月發(fā)布的《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》中明確提出了國(guó)防部數(shù)字現(xiàn)代化未來(lái)四年（2019~2023年）的愿景,，即：創(chuàng)建“一個(gè)更安全,、可協(xié)調(diào)、無(wú)縫的,、透明的和具有成本效益的IT體系結(jié)構(gòu),，該結(jié)構(gòu)可將數(shù)據(jù)轉(zhuǎn)換為可操作的信息,，并在面對(duì)持續(xù)的網(wǎng)絡(luò)威脅時(shí)確保可靠的任務(wù)執(zhí)行,?！?/p>

　　為此，國(guó)防部提出了以下四項(xiàng)總體目標(biāo)：（1）創(chuàng)新以贏得競(jìng)爭(zhēng)優(yōu)勢(shì),；（2）提升效率和提高能力,；（3）強(qiáng)化網(wǎng)絡(luò)空間安全，打造敏捷而有彈性的防御態(tài)勢(shì),；（4）強(qiáng)化數(shù)字化人才培養(yǎng)。網(wǎng)絡(luò)空間安全是其中非常重要的實(shí)現(xiàn)目標(biāo)之一,。

　　為了確保上述戰(zhàn)略目標(biāo)的落地,，美軍的數(shù)字現(xiàn)代化明確了以下四個(gè)優(yōu)先戰(zhàn)略方向，它們是：（1）網(wǎng)絡(luò)空間安全,；（2）人工智能,；（3）云；（4）指揮,、控制和通信,。這里，國(guó)防部特別強(qiáng)調(diào)網(wǎng)絡(luò)空間安全,。

　　2.明確規(guī)劃網(wǎng)絡(luò)空間安全的實(shí)現(xiàn)目標(biāo)

　　在網(wǎng)絡(luò)空間安全方面,，美國(guó)國(guó)防部在戰(zhàn)略層面已經(jīng)把IT環(huán)境視為一個(gè)整體，并且提出了“每個(gè)網(wǎng)絡(luò),、系統(tǒng),、應(yīng)用程序和企業(yè)服務(wù)都必須通過(guò)設(shè)計(jì)實(shí)現(xiàn)安全，在整個(gè)采辦生命周期內(nèi)對(duì)網(wǎng)絡(luò)安全進(jìn)行管理”的要求,。特別是在網(wǎng)絡(luò)空間安全方面明確提出了：

　?。?）改造國(guó)防部網(wǎng)絡(luò)安全體系架構(gòu)，增加敏捷和彈性,。具體措施包括：改進(jìn)端點(diǎn)安全并持續(xù)監(jiān)視,；強(qiáng)化數(shù)據(jù)中心安保；在Win10主機(jī)安全基線上標(biāo)準(zhǔn)化等,。

　?。?）部署端到端身份、憑證和訪問(wèn)管理基礎(chǔ)設(shè)施（ICAM）,。具體措施包括：擴(kuò)展公鑰啟用能力,；實(shí)施以數(shù)據(jù)為中心的方法來(lái)收集、驗(yàn)證,、維護(hù)和共享身份和其他屬性等,。

　?。?）保護(hù)國(guó)防部敏感信息以及國(guó)防工業(yè)基礎(chǔ)的非涉密網(wǎng)絡(luò)和信息系統(tǒng)的關(guān)鍵程序和技術(shù)。具體措施包括：支持開(kāi)發(fā)一致性程序,，評(píng)估承包商是否遵守網(wǎng)絡(luò)安全要求,；將網(wǎng)絡(luò)安全威脅信息共享擴(kuò)展到未獲批準(zhǔn)的國(guó)防承包商；規(guī)劃并執(zhí)行國(guó)防工業(yè)基礎(chǔ)“網(wǎng)絡(luò)安全探路者”計(jì)劃,。

　?。?）改革國(guó)防部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理政策和實(shí)踐。具體措施包括：推進(jìn)風(fēng)險(xiǎn)管理框架改革,；增加國(guó)防部對(duì)制定聯(lián)邦政府和國(guó)際商業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的參與,。

　　至少到2022年之前，美軍還會(huì)繼續(xù)大力推行云計(jì)算并縮減數(shù)據(jù)中心的數(shù)量,，進(jìn)一步加強(qiáng)端到端基于密碼學(xué)的訪問(wèn)控制管理,，重點(diǎn)改進(jìn)軍工行業(yè)的安全防護(hù)體系，并且通過(guò)DevSecOps和廣泛使用云計(jì)算,、軟件定義網(wǎng)絡(luò)技術(shù)來(lái)使IT變得更加敏捷和富有彈性,。

　　3.詳細(xì)制定國(guó)防部增強(qiáng)網(wǎng)絡(luò)空間安全的方法

　　美軍的數(shù)字現(xiàn)代化戰(zhàn)略明確指出了國(guó)防部提高網(wǎng)絡(luò)空間安全的方法，并記錄在《網(wǎng)絡(luò)安全參考架構(gòu)》中,，方法主要包括：企業(yè)周界保護(hù),，移動(dòng)終端安全，中點(diǎn)安全,，企業(yè)端點(diǎn)安全,，數(shù)據(jù)安全，大數(shù)據(jù)平臺(tái),，身份,、憑證及訪問(wèn)管理等。

　?。?）企業(yè)周界保護(hù)（Enterprise Perimeter Protection,，EPP）

　　企業(yè)周界保護(hù)整合了網(wǎng)關(guān)安全服務(wù)，通過(guò)集中管理的方式降低成本,、提高安全性,。EPP在Internet、任務(wù)伙伴網(wǎng)絡(luò)和商業(yè)云服務(wù)之間建立保護(hù)屏障,，提供根據(jù)安全策略發(fā)現(xiàn),、檢測(cè)、阻塞手機(jī)流量的能力,。EPP為通過(guò)網(wǎng)絡(luò)接入點(diǎn)路由網(wǎng)絡(luò)流量,，通過(guò)任務(wù)伙伴網(wǎng)關(guān)路由任務(wù)伙伴流量，通過(guò)移動(dòng)網(wǎng)關(guān)路由未分類網(wǎng)絡(luò)和分類移動(dòng)端用戶流量，通過(guò)云端接入點(diǎn)路由商業(yè)云流量提供安全組件,，該組件是利用共享的企業(yè)網(wǎng)絡(luò)安全組件,。

　　（2）移動(dòng)終端安全

　　基于Windows設(shè)備的傳統(tǒng)終端安全技術(shù)不適用于移動(dòng)設(shè)備,，因此必須提高商用移動(dòng)安全技術(shù)來(lái)抵御移動(dòng)端所面臨的安全威脅,，在美國(guó)國(guó)防部安全指南的適用范圍內(nèi)評(píng)估、部署移動(dòng)安全技術(shù),。

　?。?）中點(diǎn)安全（Midpoint Security）

　　美國(guó)國(guó)防部保障中點(diǎn)和區(qū)域安全的核心是聯(lián)合區(qū)域安全堆棧（Joint Regional Security Stacks，JRSS）策略,，它是新形勢(shì)下美軍安全體系建設(shè)的一種新模式,。JRSS保障虛擬網(wǎng)絡(luò)的安全，替代或補(bǔ)充由作戰(zhàn)司令部,、各軍兵種和代理機(jī)構(gòu)運(yùn)營(yíng)的網(wǎng)絡(luò)安全系統(tǒng),，集成市場(chǎng)成熟安全產(chǎn)品，以確定的編配模型構(gòu)建集約化,、標(biāo)準(zhǔn)化、全功能的安全防御框架,，部署在各軍兵種和軍事基地邊界處,，對(duì)進(jìn)出特定區(qū)域的網(wǎng)絡(luò)流量進(jìn)行編排、監(jiān)測(cè)和防御,，在降低人力和技術(shù)等總投入成本的情況下,，提高美軍網(wǎng)絡(luò)整體防御效能。

　?。?）企業(yè)端點(diǎn)安全

　　企業(yè)端點(diǎn)安全性是集成人員,、流程和技術(shù)一起，共同阻止對(duì)端點(diǎn)的未授權(quán)訪問(wèn),、識(shí)別和刪除惡意代碼和未經(jīng)授權(quán)的軟件,，防止未授權(quán)軟件和流程的執(zhí)行。端點(diǎn)安全利用并集成了國(guó)防部部門之間的協(xié)作,，如合規(guī)連接（Comply to Connect,，C2C）、遏制政策,、可見(jiàn)性和評(píng)估工具,。C2C是美國(guó)國(guó)防部的安全框架，該框架旨在使各機(jī)構(gòu)能夠持續(xù)識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn),，確定這些風(fēng)險(xiǎn)的優(yōu)先級(jí),，并首先緩解最嚴(yán)重的問(wèn)題。

　　此外，端點(diǎn)安全性保護(hù)連接國(guó)防部信息網(wǎng)絡(luò)（DoD Information Network, DODIN）的授權(quán)平臺(tái)或設(shè)備,，拒絕授權(quán)用戶使用任何經(jīng)過(guò)身份驗(yàn)證的設(shè)備隨時(shí)隨地安全訪問(wèn)聯(lián)合信息環(huán)境（Joint Information Environment,，JIE）資源。美國(guó)國(guó)防部正在整個(gè)Windows 10 SHB操作系統(tǒng)上實(shí)現(xiàn)標(biāo)準(zhǔn)化,，確保該部門能夠利用通用的應(yīng)用程序更快的修補(bǔ)軟件,，并以低生命周期將所有國(guó)防部計(jì)算機(jī)配置為批準(zhǔn)的安全標(biāo)準(zhǔn)。

　?。?）數(shù)據(jù)安全性（用于數(shù)據(jù)中心和云）

　　大數(shù)據(jù)平臺(tái)（Big Data Platform,，BDP）是一個(gè)安全、可擴(kuò)展,、靈活和開(kāi)放的基礎(chǔ)設(shè)施平臺(tái),，旨在提供分布式計(jì)算解決方案，解決大數(shù)據(jù)進(jìn)入企業(yè)的過(guò)程中如何適應(yīng)企業(yè)的生長(zhǎng)環(huán)境,，與企業(yè)已有的生態(tài)系統(tǒng)共存的問(wèn)題,。美國(guó)國(guó)防部BDP作為一個(gè)公共平臺(tái)，可以支持國(guó)防部的各種網(wǎng)絡(luò)空間任務(wù),，可以支持非保密互聯(lián)網(wǎng)協(xié)議路由網(wǎng) （NIPRNET）和機(jī)密互聯(lián)協(xié)議路由網(wǎng)（SIPRNET）環(huán)境下各種系統(tǒng)和傳感器的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)執(zhí)行聚合,、關(guān)聯(lián)、歷史趨勢(shì)和取證分析,。DODIN運(yùn)營(yíng)和網(wǎng)絡(luò)空間防御作戰(zhàn)（Defensive Cyber Operations,，DCO）任務(wù)要求能夠?qū)⑵髽I(yè)規(guī)模的數(shù)據(jù)轉(zhuǎn)換為簡(jiǎn)單的、動(dòng)態(tài)的,、可視化的數(shù)據(jù),，以描述事件關(guān)系并滿足一定的要求。

　　相關(guān)部門打算利用常規(guī)數(shù)據(jù)分析方法為DODIN和DCO運(yùn)營(yíng)提供企業(yè)態(tài)勢(shì)感知,，這項(xiàng)舉措將為國(guó)防部帶來(lái)以下好處：1）全面了解所有傳感器警報(bào)以及端到端（Internet到主機(jī)）的數(shù)據(jù)流,；2）提供DCO狀況和漏洞狀態(tài)信息；3）了解受攻擊者捕獲信息影響的任務(wù),，并中斷系統(tǒng),；4）根據(jù)歷史趨勢(shì)和模式預(yù)測(cè)攻擊。

　?。?）身份,、憑證及訪問(wèn)管理（ICAM）

　　美國(guó)國(guó)防部的身份、憑證及訪問(wèn)管理方法包括四個(gè)內(nèi)容：1）數(shù)字身份管理：建立數(shù)字身份和相應(yīng)的生命周期管理,；2）憑證管理：發(fā)行物理或電子令牌作為實(shí)體權(quán)威數(shù)字身份的代理,；3）身份驗(yàn)證：通過(guò)憑證驗(yàn)證身份，并將該憑證確認(rèn)為真實(shí)憑證,。公鑰基礎(chǔ)設(shè)施（PKI）是國(guó)防部當(dāng)前身份驗(yàn)證技術(shù)的解決方案,。但是,，當(dāng)無(wú)法使用PKI時(shí)，可以使用多因素身份驗(yàn)證和身份聯(lián)合服務(wù),；4）授權(quán)：根據(jù)數(shù)字策略,、有關(guān)請(qǐng)求身份和所訪問(wèn)資源的權(quán)威信息來(lái)批準(zhǔn)訪問(wèn)。

　　在這種ICAM方法下,，所有訪問(wèn)決策均基于權(quán)威的身份信息,，并且這些決策可動(dòng)態(tài)配置為支持不斷變化的任務(wù)需求。此外,，審計(jì)還支持實(shí)時(shí)和歷史取證,。

　　通過(guò)實(shí)施上述方法，國(guó)防部在保護(hù)網(wǎng)絡(luò)安全方面可以達(dá)到較為理想的效果,，具體結(jié)果包括：通過(guò)通用流程和功能,，國(guó)防部信息網(wǎng)絡(luò)將以單一虛擬信息環(huán)境被保護(hù)；網(wǎng)絡(luò)空間防御感知并應(yīng)對(duì)外部和內(nèi)部威脅,，采取適當(dāng)?shù)难a(bǔ)救,、減輕和恢復(fù)措施；國(guó)防部信息網(wǎng)絡(luò)作戰(zhàn)部隊(duì)的指揮控制由整個(gè)網(wǎng)絡(luò)的共享網(wǎng)絡(luò)態(tài)勢(shì)感知支持,；整個(gè)國(guó)防部的IT安全研究結(jié)果得到最大程度的共享和復(fù)用,；國(guó)防部交付了可靠的云計(jì)算環(huán)境，確保在面臨先進(jìn)持續(xù)威脅時(shí)繼續(xù)執(zhí)行任務(wù),；支持國(guó)防部信息企業(yè)和運(yùn)營(yíng)資產(chǎn)的控制系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊具有彈性,。

　　四

　　美軍數(shù)字現(xiàn)代化戰(zhàn)略的網(wǎng)絡(luò)空間安全保證技術(shù)

　　技術(shù)是美軍實(shí)現(xiàn)數(shù)字現(xiàn)代化戰(zhàn)略的最重要保證，美軍在多項(xiàng)戰(zhàn)略規(guī)劃中,，比如，國(guó)防信息系統(tǒng)局發(fā)布的《2019-2022年戰(zhàn)略規(guī)劃》,、《國(guó)防部網(wǎng)絡(luò)空間戰(zhàn)略》,、《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》等，都提供了技術(shù)探索框架,，描述了實(shí)現(xiàn)的技術(shù)路線圖,。這些技術(shù)將有助于為國(guó)防部提供一個(gè)更安全、協(xié)調(diào),、無(wú)縫,、透明和成本效益更高的體系結(jié)構(gòu)，將數(shù)據(jù)轉(zhuǎn)換為可支持行動(dòng)的信息,，并確保在面對(duì)持續(xù)的網(wǎng)絡(luò)空間威脅時(shí)可靠地執(zhí)行任務(wù),。對(duì)于網(wǎng)絡(luò)空間安全的實(shí)現(xiàn)，美軍創(chuàng)新發(fā)展和應(yīng)用了多項(xiàng)安全技術(shù),。其中,，最具發(fā)展?jié)摿Φ陌踩夹g(shù)與計(jì)劃有以下幾種：

　　1.區(qū)塊鏈

　　區(qū)塊鏈?zhǔn)且环N新的信息技術(shù)，可以顛覆網(wǎng)絡(luò)安全范式。美國(guó)防部正在尋求網(wǎng)絡(luò)安全的區(qū)塊鏈解決方案,，作為其數(shù)字化現(xiàn)代化戰(zhàn)略的一部分,。國(guó)防高級(jí)研究計(jì)劃局（DARPA）目前正在進(jìn)行至少兩個(gè)側(cè)重于網(wǎng)絡(luò)安全的探索性區(qū)塊鏈項(xiàng)目，旨在創(chuàng)建一個(gè)“更高效,、更強(qiáng)大,、更安全的平臺(tái)”，以保護(hù)消息傳遞和提高事務(wù)處理的安全性,。首先,，DARPA試圖用區(qū)塊鏈技術(shù)來(lái)構(gòu)建一個(gè)新的或改進(jìn)的通信和交易平臺(tái)，該平臺(tái)可以實(shí)現(xiàn)包括各單位與總部之間以及情報(bào)官員與五角大樓之間的通信,。同時(shí)作為數(shù)字身份管理的一部分,，該機(jī)構(gòu)還可以頒發(fā)一個(gè)數(shù)字令牌來(lái)驗(yàn)證代理的身份；其次,，DARPA試圖用區(qū)塊鏈技術(shù)創(chuàng)建一個(gè)不可破解的代碼,，在數(shù)據(jù)庫(kù)中設(shè)置陷阱，防御任何試圖攻擊數(shù)據(jù)庫(kù)的黑客,。

　　2.零信任安全

　　零信任安全是國(guó)防部首席信息官（CIO）與國(guó)防信息系統(tǒng)局（DISA）,、美國(guó)網(wǎng)絡(luò)司令部和國(guó)家安全局（NSA）共同探索的一項(xiàng)新興計(jì)劃。零信任是一種網(wǎng)絡(luò)安全策略,，旨在將安全性嵌入整個(gè)體系結(jié)構(gòu)中,，以阻止數(shù)據(jù)泄露。該數(shù)據(jù)中心安全模型顛覆了信任網(wǎng)絡(luò),、設(shè)備,、人員或進(jìn)程的思想，并使用基于某些屬性的信任級(jí)別來(lái)確保認(rèn)證和授權(quán)符合最小特權(quán)的原則,。實(shí)施零信任需要重新考慮如何利用現(xiàn)有基礎(chǔ)架構(gòu)通過(guò)一種更簡(jiǎn)單,、更高效同時(shí)可保證無(wú)障礙操作的設(shè)計(jì)方法來(lái)實(shí)現(xiàn)安全性。

　　2019年10月24日,，美國(guó)國(guó)防部創(chuàng)新委員會(huì)（DIB）發(fā)布了《零信任架構(gòu)（ZTA）建議》,，提供了關(guān)于國(guó)防部零信任實(shí)施層面的建議，指出零信任架構(gòu)是美國(guó)國(guó)防部網(wǎng)絡(luò)安全架構(gòu)的必然演進(jìn)方向,。無(wú)論是NIPRNET還是SIPRNET都要向零信任安全架構(gòu)邁進(jìn),，也就是全網(wǎng)統(tǒng)一零信任架構(gòu)。最值得注意的是,，DIB建議國(guó)防部探索將NIPRNET和SIPRNET融合到同一網(wǎng)絡(luò)上的可能性,，依靠零信任原則來(lái)保護(hù)訪問(wèn)，并將用戶許可級(jí)別作為訪問(wèn)的核心屬性,。NIPRNET和SIPRNET均應(yīng)采用SIPRNET的邊界安全措施,，以保持更高的邊界安全水平,，作為進(jìn)入的初始屏障。這一建議顛覆了美軍之前將NIPRNET作為SIPRNET與互聯(lián)網(wǎng)之間的屏障這一大創(chuàng)舉和特色,，DIB認(rèn)為,，零信任架構(gòu)可以融合這兩張不同密級(jí)的網(wǎng)絡(luò)，化繁為簡(jiǎn),。暫不論兩網(wǎng)融合的可行性,，這種觀點(diǎn)至少充分反映出DIB對(duì)零信任架構(gòu)安全性和先進(jìn)性的極其認(rèn)可。

　　當(dāng)然,，零信任在網(wǎng)絡(luò)配置,、軟件定義組網(wǎng)、數(shù)據(jù)標(biāo)記,、分析,、訪問(wèn)控制、策略編排,、加密和自動(dòng)化以及端到端的終端身份,、憑證和訪問(wèn)管理（ICAM）的實(shí)際實(shí)現(xiàn)和運(yùn)作上還是相當(dāng)復(fù)雜的。企業(yè)級(jí)的考慮因素包括要確定該保護(hù)哪些數(shù)據(jù),、應(yīng)用程序,、資產(chǎn)和服務(wù)，并且要對(duì)業(yè)務(wù)流,、策略決策和策略實(shí)施點(diǎn)進(jìn)行映射,。

　　3.密碼現(xiàn)代化

　　密碼現(xiàn)代化（CM）的目標(biāo)是通過(guò)提供與作戰(zhàn)指令與任務(wù)環(huán)境一致的透明密碼功能來(lái)確保國(guó)家安全系統(tǒng)達(dá)到一種適當(dāng)?shù)陌踩珷顟B(tài)。自2000年以來(lái),，CM用現(xiàn)代功能取代了美國(guó)及盟國(guó)達(dá)到有效密碼使用生命期的相關(guān)設(shè)備,。最先啟動(dòng)的任務(wù)是淘汰20-30年以上的老技術(shù)，將密碼系統(tǒng)從點(diǎn)對(duì)點(diǎn)過(guò)渡到以網(wǎng)絡(luò)為中心,，并針對(duì)對(duì)手對(duì)抗國(guó)防部系統(tǒng)的計(jì)算機(jī)處理能力的不斷提高做出應(yīng)對(duì)措施,。這些要求需要重新設(shè)計(jì)或更換大多數(shù)戰(zhàn)場(chǎng)設(shè)備。

　　當(dāng)前,，國(guó)防部和國(guó)家安全局正在籌備密碼現(xiàn)代化二期，即CM2,。CM2將確保國(guó)防部遠(yuǎn)遠(yuǎn)領(lǐng)先于操作漏洞和新出現(xiàn)的威脅,，例如量子計(jì)算；它會(huì)繼續(xù)更換老化的設(shè)備,，并確保美國(guó)的加密能力實(shí)現(xiàn)現(xiàn)代化,，以滿足2030年之前的戰(zhàn)斗人員需求。

　　4.大數(shù)據(jù)分析

　　美國(guó)國(guó)防部的大數(shù)據(jù)分析方法基于大數(shù)據(jù)平臺(tái)（BDP）,，這是一個(gè)安全,、可擴(kuò)展,、敏捷和開(kāi)放的基礎(chǔ)架構(gòu)平臺(tái)，旨在提供分布式計(jì)算解決方案,。BDP實(shí)例能夠從各種來(lái)源（例如,，移動(dòng)設(shè)備、空中（遠(yuǎn)程）感應(yīng),、軟件日志,、相機(jī)、麥克風(fēng),、射頻識(shí)別（RFID）閱讀器和無(wú)線傳感器網(wǎng)絡(luò)）讀取,、存儲(chǔ)和可視化極大容量（可達(dá)數(shù)PB）的數(shù)據(jù)。

　　大數(shù)據(jù)分析應(yīng)用程序可以分析結(jié)構(gòu)化數(shù)據(jù)以及傳統(tǒng)商業(yè)情報(bào)（BI）和分析程序通常無(wú)法處理的其他形式數(shù)據(jù)（半結(jié)構(gòu)化和非結(jié)構(gòu)化）,。數(shù)據(jù)挖掘工具以模式和關(guān)系搜索來(lái)篩選數(shù)據(jù)集,，從而能夠?qū)?shù)據(jù)進(jìn)行匯總、關(guān)聯(lián),、歷史趨勢(shì)分析和取證分析,。機(jī)器學(xué)習(xí)算法可以分析大型數(shù)據(jù)集并執(zhí)行深度學(xué)習(xí)，這是機(jī)器學(xué)習(xí)的更高級(jí)分支,，可支持行為預(yù)測(cè)和其他未來(lái)發(fā)展的預(yù)測(cè)分析,。

　　除了上述安全技術(shù)，美國(guó)國(guó)防部還把人工智能（AI）,、軟件定義網(wǎng)絡(luò)（SDN）,、量子計(jì)算，物聯(lián)網(wǎng)（IoT）,、5G,、IPv6、無(wú)源光網(wǎng)絡(luò)（PON）等技術(shù)視為實(shí)現(xiàn)美軍數(shù)字現(xiàn)代化戰(zhàn)略的高效,、安全的具有代表性技術(shù),。

　　五

　　結(jié)　語(yǔ)

　　數(shù)字化能力是未來(lái)各國(guó)軍事能力的一個(gè)重要體現(xiàn)，數(shù)字化帶來(lái)的網(wǎng)絡(luò)空間安全問(wèn)題將日益突出,。如何平衡數(shù)字化能力與網(wǎng)絡(luò)安全能力將成為各國(guó)面臨的一項(xiàng)長(zhǎng)期任務(wù),。當(dāng)前，我軍對(duì)數(shù)字網(wǎng)絡(luò)和技術(shù)的依賴也日益嚴(yán)重,，所面臨的各種網(wǎng)絡(luò)攻擊和威脅必須引起高度重視,。為此，我們需要借鑒外軍經(jīng)驗(yàn),，制定我軍數(shù)字化戰(zhàn)略的相關(guān)網(wǎng)絡(luò)安全頂層戰(zhàn)略,，發(fā)展先進(jìn)的網(wǎng)絡(luò)安全解決技術(shù)與方案，防范各種技術(shù)高超的網(wǎng)絡(luò)攻擊,，使我軍的數(shù)字化能力真正成為軍事能力的一項(xiàng)重要助力,！