中国指挥与控制学会

会员登录 会员注册

美国防信息系统局重大倡议进展追踪

发布时间:2020年2月24日

万军态 供稿 本文不得转载

 

重大倡议一:提高服务采办的敏捷性

  美国防信息系统局在其“2014-2019战略规划”中详细列出7大关注领域,其中之—就是采办敏捷性。美国防信息系统局倡议,在实现采办敏捷性的过程中,首先解决服务采办的敏捷性。

\
图1 美国防部基于性能的服务采办过程

  在该倡议下,美国防信息系统局采用如图1所示的基于性能的服务采办过程,以期得到以下理想结果:(1)性能最大化。合同商能够决定/调整过程和最佳做法,以便达到标准;(2)竞争与创新最大化。创新和性能要求可使竞争性备选方案替代由政府指导的解决方案的机会最大化;(3)更多地使用商用服务。大多数服务需求在性质上都是商用的;(4)转移风险。风险从政府转到了业界,承包商对结果负责;(5)节约成本。经验证明,基于性能的采办可带来成本的节约。

重大倡议二:培养赛博工作队伍

  国防信息系统局局长勾勒了一个对国防信息系统局赛博工作队伍进行训练和认证的构想。任务保证处正在执行这一构想,并设立了一个强有力的工作队伍训练与评价项目,该项目将使国防部赛博勇士更充分地做好准备,以便在一种越来越基于威胁的环境中运维和防御国防部的网络。

  这个训练与评价项目将支持国防部赛博空间工作队伍框架,该框架定义了国防信息系统局内所要执行的7个类别、32个专业和55个独特的赛博空间角色。该框架提供的赛博空间工作队伍视图的粒度,要比传统的人事管理办公室的职业系列代码或者军队专业代码细的多。每个工作角色都会针对每个熟练程度等级(入门级、中级和高级),有一套定义明确的知识技能和能力要求。国防信息系统局将为每个工作角色和每个熟练等级,建立一个训练计划和配套课程。

  国防信息系统局还将开发赛博训练评价,这些评价将用来确保能够培养出所需的必备知识和技能,以便提高个人和集体完成赛博域任务的能力。这将能够为度量国防信息系统局的赛博战备提供一种手段。

  2014年2月,国防部首席信息官(CIO)发布一条指令,要求对3.6万余个被指定为信息技术管理(2210系列)的国防部文职岗位,根据其博空间专业进行编码。国防信息系统局使用国防部赛博空间工作队伍框架草稿,对其整个工作队伍进行了编码。该局从专业级以及角色级.对其所有职业系列(不仅仅是2210系列)进行了编码。这项工作在首席信息官规定的最终期限前3个月就已完成。现在,国防信息系统局能够按照赛博角色职业系列和熟练程度来分析工作队伍数据,来自国防信息系统局和国防部其他机构的数据,将被用来进行人力、人事和资质的识别与跟踪,以保障一支为使命任务做好准备的国防部赛博空间工作队伍。

  赛博防护小组(CPT)由经过训练的现役军人组成,既执行防御性也执行进攻性赛博行动。它是整个美国赛博司令部赛博任务力量结构的组成部分,针对其指定责任区内发生的计算机与网络事件,提供事件探测、分析协调并做出响应;可在其责任区内提供共享的状态信息,协调解决问题,实现区域可视性,并提供其他增值服务。国防部信息网络(DoDIN)赛博防护小组在行动上与国防信息系统局指挥中心(DCC)保持一致,接受来自国防信息系统局指挥中心的指导,但也负有地区/作战司令部指定的责任。国防信息系统局负责为国防部信息网络赛博防护小组分队和人员提供标准化的训练与评价。

  国防部赛博安全靶场可提供一种作战逼真、持久的国防部信息网络环境,用以演练赛博勇士、测试评估新能力,以及训练网络防御人员。该靶场位于弗吉尼亚州的斯塔福,是作为综合性国家赛博安全倡议的组成部分而建立的,从2009年开始运行。该赛博安全靶场由国防信息系统局主办,由海军陆战队运行,是国防部企业赛博靶场环境宪章管理的几个国防部靶场之一。对于赛博安全靶场网络环境的用户来说,该网络环境可通过配置来支持单兵和小组演习、训练和其他活动的需求。例如,该靶场可提供的部分能力包括:业务生成、威胁注入、仿真的国防部和互联网飞地、活动之后的数据收集,以及仿真的国防信息系统局互联网接入点和数据中心。靶场运行人员还要与任务伙伴共同合作,以便引入定制飞地并提供支持服务。

  近期,国防信息系统局还将制定有保证的合规性评估解决方案,研制基于主机的安全系统,审查安全就绪度。

重大倡议三:向国防协作服务迁移

  根据“国防信息系统局优先倡议”,美国防部各部局将向一种新的官方企业协作工具即国防协作服务(DS)。国防协作服务是一种开源解决方案,可在敏感但非密的IP路由网(NIPRNet)和保密IP路由网(SIPRNet)上,提供安全的Web会议和即时消息服务。

  国防信息系统局已于2014年12月中旬将所有雇员迁移到国防协作服务。国防协作服务于2015年1月30日达到完全运行能力(FOC),此后,国防部其他各部局开始向该服务迁移,所有用户已于2015年5月30日前完成迁移。

重大倡议四:改变信息网络安全防护方式

  美国防信息系统局正在与美陆军和空军合作,通过部署联合区域安全栈(JRSS),从根本上改变国防部对信息网络的安全防护方式。 联合区域安全栈就是一套执行防火墙功能、入侵探测与阻止、企业管理、虚拟路由与发送(VRF),并提供多种网络安全能力的设备。通过部署联合区域安全栈,网络的安全被集中到区域体系结构中,而不是每个军事基地哨所、兵营或台站(B/P/C/S)的本地分布式体系结构中。每个物理栈都由大量能够为大数据分析赋能的设备组成,从而使国防部组成部门能够将大量的数据集输入到云.并提供处理数据的平台,以及帮助分析员理解数据的机制。

  美陆军已经资助国防信息系统局对其位于美国大陆以及美军中央司令部的基础设施进行了升级,旨在使国防信息系统局能够把陆军来自数百个本地安全栈的现有外围安全基础设施,集中到一个联合区域安全栈架构中。空军也将使用这种联合区域安全栈架构来保护其基础设施。

  国防信息系统局是多协议标记交换(MPLS)/联合区域安全栈设备的指定审批权威和认证权威。多协议标记交换是一项旨在升级国防信息系统网带宽容量的现代化工作的组成部分,也是加速与管理网络业务流的业界标准和联合区域安全栈的赋能技术。

  目前,美国防信息系统局正在按计划对美国大陆内的11个联合区域安全栈站点和美国大陆外的3个站点进行安装。主要工作包括:完成当前正在进行的基础设施安装工作,以支持对已规划地点的多协议标记交换和联合区域安全栈的部署;与各军种和国防部其他部门协调,以确定可连续实施和部署的资源;将安全服务迁移到已完成安装的那些地点的联合区域安全栈;在信息保证支持环境门户上,为联合区域安全栈小组成员,提供联合区域安全栈的熟练化训练和基本技能训练。

重大倡议五:建立统一的服务支持环境

  根据国防部长倡议和国防部指南,美国防信息系统局正在对管理108个以上环境的20个分散的服务站点进行整合,建立一个服务支持环境(SE),为作战人员、军事组成部门、任务合作伙伴和其他联邦机构,提供一个统一的进入点以获取服务台支持。

  服务支持环境是一种集中管理的虚拟平台,可通过一个统一的呼叫记录系统、一个统一的服务请求管理系统、一个统一的呼叫管理系统、一份统一的质量保证计划和一个更加鲁棒的以知识为中心的支持结构,实现一个统一的过程框架。该环境提供如下能力:(1)统一的任务伙伴/用户自助门户;(2)对国防部信息技术能力的改进型端到端态势感知;(3)更强大的纵深防御安全态势;(4)改进型的端到端服务保证;(5)缩短的呼叫代理申请时间和状态更新时间,以及专业的知识;(6)更低的运维开销;(7)统一的信息技术服务目录和订购机制。

  服务支持环境由全球服务台管理办公室负责其总体运维,已于2014年7月10日已达到初始运行能力,2015年11月实现最终运行能力。

重大倡议六:完善身份和访问管理

  美国防部在其“身份与访问管理战略”提出身份与访问管理构想,即“人员和非人员实体能够在任意地点.任意时间,安全地访问所有授权的国防部资源”,并提出如下要求:(1)访问控制必须是由身份与访问管理数据驱动而且是自动化的;(2)身份与访问管理能力必须通过记录身份与访问管理活动,提供访问问责;(3)身份与访问管理必须使人员实体能够为其他人员实体和非人员实体发现联系数据。

  身份与访问管理数据是达到并保持国防部身份与访问管理最终状态的基石。只有能访问标准化的身份与访问管理数据.才能实现“动态访问控制”,即无论何时需要,无论身处何处,都能够自动安全地访问所需资源。

  2015年3月,美国防部遵循身份与访问管理参考体系结构和服务组合描述,已对身份与访问管理能力完成了增值式升级,开始实施初始鉴定网关服务,并使全球地址列表同步,其身份与访问管理过程如图2所示。在升级过程中,采取了如下措施:(1)把所有身份与访问管理系统中的所有人员实体标识符转换成基于国防部角色的标识符;(2)实现核心人员实体身份与访问管理数据与国防人力数据中心的同步;(3)与已审批的国防部任务伙伴合作,以确保其人员实体拥有智能卡;(4)确保所有身份与访问管理系统都使用国防部和国防部任务伙伴智能卡来进行鉴别;(5)确保对所有已批准的允许使用口令的异常情况,实施断定服务。

\
图2 美国防部身份与访问管理过程