从数字现代化战略项目来看，美IT建设的转型 - 网安 - 专业的网络安全产业、社区、知识平台

1月15日，美国防部作战试验和评估办公室（DOT&E）发布2020年度报告，对美国防部当前若干重大IT计划/项目的进展情况进行阐述。在2020年最新报告中，连续7年纳入测试和评估监督框架的联合信息环境（JIE）被“数字现代化战略（DMS）”项目所取代，其工作内容及重点基本上都在DMS计划中延伸和拓展。2019年，美军发布《国防部数字现代化战略》，只是将DMS视为战略思想；2020年，国防部决定将DMS视为具体计划执行，取代JIE继续引领美军IT建设。因此，最新DOT&E文件将JIE计划更名为“DMS相关企业IT倡议”，JIE概念或许将被逐步淡化。

从全球信息栅格（GIG）到JIE，引领了美国防部IT建设的上一个转型，美军从高度分散、孤立的架构转变为统一的单一安全架构（SSA）。在统一架构下，美军正逐步规划从JIE转向DMS，该计划将引领美国防部IT建设的下一个转型。

一

背景

（一）美军《数字现代化战略》出台催化项目落地

在新的战略需求及前沿技术推动下，基于《国防战略》、《国防部网络战略》等顶层战略思想，结合《国防部人工智能战略》、《国防部云战略》等信息化领域文件，美国防部于2019年7月发布《国防部数字现代化战略》，全面指导美军在信息技术领域的发展规划，推进新一轮信息化变革，以尽快实现信息化联合作战的战略目标。

《国防部数字现代化战略》重申“国防部建设无缝、灵活、弹性、透明和安全的基础设施和服务的目标，以提升国防部信息优势，简化与任务合作伙伴的信息共享”。因此，该战略从JIE角度对美国防部IT改革活动进行了阐述，指出“本战略绝大部分工作都属于JIE转型范畴”。美军高度重视国防部企业信息建设，《国防部数字现代化战略》的出台促使新一轮IT改革从规划走向落地。

（二）推进美军信息系统与资源的全面集成

美军拥有全球最高的信息化程度和水平，但《数字现代化战略》指出美军信息化依旧存在一些问题：一是存在众多资料和信息未实现数字化与归类，无法在信息环境下应用；二是国防部内部存在大量烟囱式结构，各军种、部门各自为政，数字化信息标准不统一，不能互联互通；三是在标准化数据的定义和标记、元数据注册、权威数据源注册等方面，国防部还缺乏必要的基础设施。为此，美国防部要求加大数字化投入力度，尽快解决制约美军信息化建设的基础障碍，建设安全可靠、数据统一、实时有效、灵活机动的信息环境。当前，美军正通过JIE计划将通信、服务、计算和企业服务整合到单一平台中，提升信息任务效果，优化资源和信息技术的效能。

（三）安全架构从“以网络为中心”转向“以数据为中心”

近年来，美军加速对“以网络为中心”向“以数据为中心”的网络安全模式转变，即国防部IT建设模式从以网络中心战要求的网络建设转至以数据使用和共享为目的的数据建设。从单一安全架构（SSA）到安全云计算架构（SCCA）再到零信任架构（ZTA），国防部对数据资产和关键资源的重视程度进一步提升。《国防部数字现代化战略》强调“将数据视为战略资产，改善与移动用户的信息共享”；此后发布的《国防部数据战略》进一步细化升华数据使用的目标、能力、原则等，将进一步促进安全架构的转型。

二

主要内容

（一）定义能力目标，扩展升级 JIE

报告中提到，2020年7月国防部首席信息官（CIO）批准了数字现代化基础设施执行委员会（DMI EXCOM）章程，对JIE能力目标进行调整后，规定了DMS战略要素的治理、角色和责任。根据章程，DMS能力目标包括国防信息系统网络（DISN）传输基础设施现代化、国防部网络与服务组件现代化及优化、作战人员C4基础设施和系统现代化等15项内容，多数JIE能力目标都映射至DMS要素。从能力目标上看，DMS与国防部CIO目标、《总统管理议程》及国防部IT改革计划都具有一致性，是国防部IT改革的全面升级。

表1.DMS与JIE能力目标映射表

DMS在继承JIE能力目标的基础上，增加“确保网络安全风险在整个采购生命周期内得到规划和管理”与“扩展成熟的软硬件保障方法使用”。前者根据2020年国防部新版采办文件，特别强调将网络安全管理放在软件采办的重要位置；后者强调解决软件并行开发过程中的效率低下问题。

（二）审查推进项目，实时优化建设

1. 关闭、暂缓联合区域安全堆栈（JRSS）的实施

2013年以来，国防部一直积极部署JRSS，将其网络防御系统整合到全球相对少数的地区作战中心。然而，受物联网、人工智能等因素影响，JRSS已经无法满足指数级别增长的数据处理需求。

DOT&E年度报告显示，涉密网、非密网JRSS的网络评估效果不佳，并决定关闭、暂缓该项目的实施。2020年2月，DOT&E对四个涉密网JRSS进行网络安全评估，结果显示该堆栈的网络安全效果很差，因而项目管理办公室决定关闭现有的涉密网JRSS，DMS项目委员会推迟JRSS部署并寄希望于零信任架构；1月，项目管理办公室对非密网JRSS选定加密流量进行中断和检查（B&I）能力检查，评估显示该堆栈网络防御效果不佳，无法有效保护国防部门网络免受网络攻击，项目因此被暂缓实施，直到该堆栈的网络能力及使用方式的有效性得到进一步验证。

2.重启、调整企业协作和生产力服务（ECAPS）部署

ECAPS是推动国防部以外购企业云服务的方式获得优化能力的管理架构。作为ECAPS能力集1，国防企业办公解决方案（DEOS）既是DMS的关键要素之一，还是DISA技术路线图2.0的三大战略领域之一。在经历了5年的合同过程及多次延迟后，DEOS合同于2020年10月被授予通用动力信息技术公司，为整个国防部提供企业云范围的可见性和协作能力。

由于新冠疫情，国防部CIO将商业虚拟远程（CVR）环境作为DEOS的临时解决方案实施，以支持从2020年4月到12月扩展的国防部远程工作。当前，国防部和各军种正在建立Microsoft（MS）365环境替代CVR，DISA为第四产业和部分作战司令部建立国防部365环境；DOT&E正在协调对四个军种主导的零信任Office 365试点工作进行网络安全风险评估，以帮助为国防部联合Office 365工作提供零信任技术选项。

3.加速身份和访问管理服务（ICAM）落地

ICAM是美国防部的信任基础设施，是实现JIE“三个任意”愿景的根基。国防部ICAM方案将可最大程度实现对IT系统日常访问控制的自动化，将使系统访问更具动态性，实现活动监控与追溯。

2020年3月，国防部CIO批准了国防部ICAM战略，为个人实体和非人实体安全访问IT资源创建可信环境。同时，国防部设立联合计划整合办公室，协调整个国防部及各军种、机构的ICAM工作。2020年6月，DISA授予毕马威公司ICAM企业试点合同，整合与更新现有ICAM原型系统，并扩展至整个国防部使用。毕马威将使用云计算和本地软件进行ICAM开发，确保只有授权人员才能访问系统信息，增强系统安全性、可审核性。

4.规划任务伙伴环境（MPE）执行

MPE能力框架是一种规划执行的指挥控制（C2）环境。该框架旨在整合和重组国防部的28个物理组合企业区域信息交换系统，提供虚拟化持久式和间歇式MPE服务，以满足与任务伙伴共享从战略到战术层面的信息。

（三）规定主管部门，统筹监管发展

在主管部门及其职责上，DMS与JIE也具有延续性、一致性。DMS主管部门及其职责如下。

* 国防部首席信息官（DoD CIO）：负责开发、集成、同步DMS的管理和监督，是DMS的总负责人。

* 执行委员会（EXCOM）：由国防部CIO、网络司令部、联合参谋部J6共同组成，为DMS的开发、执行和利用提供指引、指导和监督。

* DISA：DMS能力、使能计划和测试的主要集成商。

* DOT&E：关注DMS计划的网络生存能力，较少关注其作战效能和适用性。

（四）提出针对建议，保障安全能力

2020年DOT&E报告基于往年JIE的发展建议，对全球新冠疫情蔓延背景下的DMS发展策略及国防办公安全提出针对性建议。建议要点包括：一是拨款联合互操作性测试司令部（JITC），基于网络安全测试指南和政策对DMS企业的商业云能力进行威胁代表性测试，进而为DMI执行委员会的决策提供依据；二是着力发展企业协作和生产力服务（ECAPS），根据非保密互联网协议路由网络（NIPRNET）、保密互联网通信协议路由网络（SIPRNET）情况实时更新国防企业办公解决方案（DEOS）的测试和评估计划，为ECAPS功能集2、3制定发展计划；三是囿于新冠疫情背景下，研究和发展数字连接和远程能力。

三

主要特点

（一）能力发展上，强调改进网络安全

美国防部将IT环境视为一个整体，提出“每个网络、系统、应用程序和企业服务都必须通过设计实现安全，在整个获取生命周期内对网络安全进行管理”的要求。DMS要素中，意图通过以下方面改进网络安全：利用商业创新提供国防部企业云环境；转变国防部网络安全架构以提高敏捷和增强弹性；部署端到端的身份、凭证与访问管理（ICAM）基础设施。

为此，美军继续大力推行云计算并缩减数据中心的数量，进一步加强端到端的基于密码学的访问控制管理，重点改进军工业的安全防护系统，并且通过DevSecOps和广泛使用云计算、软件定义网络技术使IT系统变得更加敏捷、弹性。

（二）技术使用上，推广企业云环境

商业云功能的出现正在改变国防部开发、交付、部署并最终应用程序、系统和服务的方式。云是国防部构建和扩展更有效的网络安全和高级分析能力的技术基础，它使国防部能组织大量数据，支持快速信息获取，改进决策，从而保持和扩大军事优势。云计算将成为美军信息化建设的重要支柱。

在企业云环境建设上，美国防部启动了三个云支柱项目——军事云2.0、国防企业办公解决方案（DEOS）、联合企业防御基础设施（JEDI）。根据《国防部云战略》，JEDI云架构是为国防部提供通用企业云的基本方法，而军事云2.0提供了一套基于云的基础设施服务集成套件，DEOS将通过美国的非机密网站和机密网站提供服务。

（三）安全架构上，探索零信任方法

美国防部《5G生态系统：对美国国防部的风险与机遇》、《国防部数字现代化战略》、《DISA战略计划2019-2022》、《零信任架构（ZTA）建议》等报告中都明确提及美国防部网络模式要向零信任架构演进。以ICAM、持续多因素认证、移动持续多因素认证为代表的零信任架构，是美国防部安全建设的重中之重。未来网络防御的战略重点将围绕零信任网络安全架构展开。

目前，DISA正在与美国国家安全局、网络司令部和国防部CIO合作开发一种零信任实验室环境，将用于协调零信任所需的核心能力；NIST推动网络安全与风险管理框架（FISMA）、联邦身份凭证和访问管理框架（FICAM）、持续针对和缓解（CDM）、智能云和数据中心优化计划更新等研究。2019年起草的用于JEDI项目的云端部署指南，即默认安装零信任架构设计和推进。

（四）消费模式上，转向IT即服务

美国防部IT现代化思路表明，它希望从IT运维业务中脱身，将IT作为一种服务从云服务提供商处进行消费。然而，国防部IT基础设施的许多底层设计都植根于十多年前开发的基础架构，花费了多年时间才投入生产，导致国防部各个机构只能继续运维大量的IT基础设施，无法立即转向IT即服务的方式。

通过IT即服务模型，防御机构将能够轻松扩展规模，减少对持续更新和管理硬件的需求，降低管理成本，并在与对手的竞争中获得更大的优势。美国防部正在探索并实施企业提供商的“企业IT即服务”解决方案。国防部ECAPS就是转向IT即服务的示例，国防企业电子邮件（DEE）使国防部从分布式电子邮件解决方案迁移到集中式企业服务，并为转变到即服务方式提供的云办公解决方案铺平了道路；2019年美国陆军发布信息征询书，寻求企业网络以及核心IT服务（EITaaS）模式，该模式将协调企业最佳做法与能力，提供标准、创新、敏捷的IT服务，为美国陆军提升性能、安全并改善用户体验。

四

几点启示

（一）重视顶层设计，整体谋划架构

美国国防部IT架构，是网络、业务、安全的综合体，是自上而下体系化设计的代表。JIE安全防护的最大特色是其安全架构——单一安全架构（SSA）。正是由于SSA奠定的基本安全设计，才会采取JRSS的标准化解决中间点安全的问题；采取安全云计算架构（SCCA）的标准化要求，解决云安全问题；采用零信任架构（ZTA），解决身份与访问安全问题。

安全要从顶层进行体系化设计，要从安全规划和安全架构做起。我军应充分吸收和借鉴美军IT建设经验教训，在发展网络信息体系时，加强顶层设计，做好战略规划，设计适合自身特色的安全架构，实现自身安全的持续演进。

（二）紧跟前沿技术，扩大数据使用

数字化转型背景下，会产生海量、异构的数据，但在云计算、人工智能、大数据分析等新兴技术的推动下，美国防部可以从数据中快速获取有用信息，用于改善决策、保持及扩大军事优势，实现数据驱动系统发展。

基于前沿技术的发展，信息系统的处理、服务提供、管理环节将日益自动化、智能化。对此，我军应充分认识到数据的重要性和应用价值，借鉴美军数据战略的经验，明确数据使用的目标、能力、原则，紧跟前沿技术发展，建立配套系统，加速数据应用。

（三）利用商用创新，构建信息服务能力

美军对信息环境的理解已从脆弱的网络为中心的环境，发展为一种灵活的以数据为中心的环境。通过利用商用信息技术的强大力量和通用性改造现有的网络信息环境，将改变美军未来作战中信息的传输和共享方式，更好地提高军队任务完成的效率和安全性。

我军应借鉴并发展服务体系架构（SOA），借助商业能力，尤其是云计算提供的虚拟化能力、基础设施即服务、软件即服务、平台即服务等服务能力，构建信息系统提供企业服务与终端用户服务，实现信息主导权从生产者向用户转移。