周光霞
網絡信息體系,是信息化作戰(zhàn)體系的基本形態(tài),是打贏信息化戰(zhàn)爭的基礎支撐.我軍信息化建設將以網絡信息體系為抓手,實施跨越式發(fā)展[1].而聯(lián)合信息環(huán)境可以說是美軍信息化建設的集大成者.因此,分析美軍聯(lián)合信息環(huán)境建設情況,可以為網絡信息體系建設發(fā)展提供參考和借鑒.
2011年,為了加快信息技術在軍隊戰(zhàn)斗力生成中的作用,美國防部發(fā)布國防部信息技術企業(yè)戰(zhàn)略和路線圖(IT enterprise strategy and roadmap,ITESR),在ITESR中提出了聯(lián)合信息環(huán)境(Joint information environment,JIE)的初步設想[2].同年12月16日美國國防部正式發(fā)出倡議,將建設聯(lián)合信息環(huán)境作為一個重要項目.
目前,聯(lián)合信息環(huán)境是美軍正在進行的規(guī)模最大的信息技術工作,目標是通過建設陸、海、空三軍共用的安全架構,確保整個國防部實現(xiàn)無縫、互通、高效的端對端信息共享,實現(xiàn)基于云的互操作和企業(yè)化服務,允許在網絡邊緣使用任意授權設備(包括移動設備)進行操作,加速指揮與控制節(jié)點扁平化,在統(tǒng)一的安全架構下為作戰(zhàn)人員及任務合作伙伴提供共享的信息技術基礎設施和服務的能力[3?5].
聯(lián)合信息環(huán)境目標能力最終狀態(tài)如圖1所示[6].
圖1 聯(lián)合信息環(huán)境最終目標狀態(tài)圖
1.2.1 賽博戰(zhàn)的興起
2009年美軍正式建立賽博司令部.2011年,美國防部發(fā)布《賽博空間行動戰(zhàn)略》,正式將賽博空間發(fā)展為一個作戰(zhàn)域,與傳統(tǒng)的陸、海、空、天作戰(zhàn)域并列[8].
美軍網絡中心戰(zhàn)的功效和威力的證明,是建立在假說和推理的基礎上,即通過4個基本要點推斷網絡中心戰(zhàn)的力量源泉及其相互關系[9].4個基本要點是:1)魯棒的聯(lián)網的部隊增進了信息共享和協(xié)作;2)信息共享既提高了信息的質量,也提高了共享態(tài)勢感知的質量;3)共享態(tài)勢感知,使協(xié)作和自同步得以實現(xiàn),增強了支持能力,提高了指揮速度;4)通過前面3個基本要點的相互結合,最終導致作戰(zhàn)效果的極大提高.
全球信息柵格(GIG)是實現(xiàn)網絡中心戰(zhàn)的物質基礎.然而賽博戰(zhàn)直指網絡中心戰(zhàn)假說的根基—“魯棒的聯(lián)網”,對全球信息柵格的安全提出了嚴峻的挑戰(zhàn).而事實上,由于GIG采用網絡中心的架構,本身存在嚴重的安全漏洞,任何對GIG系統(tǒng)或子系統(tǒng)的蓄意破壞都將妨礙任務執(zhí)行,導致網絡中心化的武器無法使用,影響各作戰(zhàn)層級互信的交互數據和信息,直接影響網絡中心戰(zhàn)的實施.這迫使美軍必須對全球信息柵格作出改進和發(fā)展,以迎接賽博戰(zhàn)的挑戰(zhàn).
1.2.2 “全球一體化作戰(zhàn)”的提出
根據國際形勢的發(fā)展和作戰(zhàn)環(huán)境的變化,特別是賽博戰(zhàn)的發(fā)展,2012年9月,美軍參聯(lián)會發(fā)布了《聯(lián)合作戰(zhàn)頂層概念:2020年的聯(lián)合部隊》,提出了包含全球機動作戰(zhàn)、全球火力戰(zhàn)、賽博戰(zhàn)和全球特種作戰(zhàn)在內“全球一體化作戰(zhàn)”的新作戰(zhàn)概念.在“全球一體化作戰(zhàn)”概念中,美軍高度重視太空和賽博空間,甚至提出了未來戰(zhàn)爭可能只發(fā)生在賽博空間的構想[10].
作為聯(lián)合作戰(zhàn)頂層概念,新概念對美軍2020年前后的軍隊建設、作戰(zhàn)理論、信息系統(tǒng)的發(fā)展產生了重要的影響.2013年,美軍參聯(lián)會發(fā)布的《聯(lián)合信息環(huán)境白皮書》就明確指出[11],為了滿足“全球一體化作戰(zhàn)”的需求,需要對國防部當前的信息環(huán)境作出變革,建設聯(lián)合信息環(huán)境.
1.2.3 現(xiàn)有的IT基礎設施存在諸多問題
概括起來,美軍當前的IT基礎設施存在的主要問題是規(guī)模龐大、結構復雜、效率低下、互操作能力差、賽博安全能力薄弱,遠不能支持作戰(zhàn)人員在任意時間、在全球任意地點、在任意授權設備上安全地訪問信息基礎設施、獲取所需的信息,沒有完全發(fā)揮IT系統(tǒng)應有的作用,沒有充分發(fā)揮美軍在IT技術方面的優(yōu)勢以及由此而產生的行動優(yōu)勢.
此外,2008年的次債危機后,美國政府的“自動減赤計劃”減赤850億美元,其中一半砍向國防開支,迫使美軍必須進一步合并數據中心、去除網絡冗余、對應用程序實行標準化,以縮減IT管理費用.
1.2.4 新興技術發(fā)展帶來的機遇
云計算、物聯(lián)網、大數據、移動互聯(lián)網和智能終端技術是當前新興信息技術的代表,這些新興技術發(fā)展迅速、應用廣泛、普及率高,極大地改變了當今社會的政治、經濟、生產和生活方式.
美軍提出聯(lián)合信息環(huán)境,就是為了能夠充分利用云計算、大數據、智能終端等新興技術來解決國防部當前信息環(huán)境中存在的問題,實現(xiàn)未來所期望的信息環(huán)境,節(jié)約成本、提高效率、增強安全,能夠從點對點的信息傳輸轉變?yōu)殡S時隨地從云中按需獲取信息,支持“全球一體化作戰(zhàn)”.
聯(lián)合信息環(huán)境的組成在總體上可分為兩部分,即各軍兵種接入點(企業(yè)運維中心,EOCs)和統(tǒng)一安全架構下的企業(yè)級服務[12].其中,企業(yè)級服務主要包括國防部企業(yè)郵件服務、國防部企業(yè)門戶服務、國防部在線服務、統(tǒng)一通信服務、企業(yè)云代理/云計算服務、企業(yè)目錄服務、身份認證和訪問管理服務、國防部企業(yè)移動服務.
圖2 聯(lián)合信息環(huán)境組成結構圖
從邏輯層面看,聯(lián)合信息環(huán)境實質上是美國防部面向整個國防部的IT基礎設施,為美國防部所有的用戶提供網絡、計算和數據資源及其管理操作.因此,聯(lián)合信息環(huán)境的邏輯概念組成如圖3所示.
其中:
1)聯(lián)合信息環(huán)境的網絡、計算和數據資源及其運維管理等3個邏輯組成部分,都服從于聯(lián)合信息環(huán)境的統(tǒng)一安全結構,在其管控下操作.
2)計算與軟件資源管理部分主要依托云平臺,通過云能力確保用戶得到魯棒的計算能力支撐,同時也支撐聯(lián)合區(qū)域安全棧和數據中心.
圖3 聯(lián)合信息環(huán)境邏輯組成圖
3)網絡與通信資源管理部分主要依托聯(lián)合區(qū)域安全棧,調度并管控網絡與通信資源,確保用戶得到魯棒的網絡能力支撐,同時也支撐云平臺和數據中心使用網絡能力.
4)數據與服務資源管理部分主要依托數據中心,在國防部數據策略管控下,按需向所有用戶提供數據與服務.
1)企業(yè)運維中心(EOCs)
目前,美軍的信息環(huán)境依靠的是以軍種為中心的非標準運維中心,其戰(zhàn)術、技術和規(guī)程(TTPs)以及體系結構和應用都是非標準化的,存在非標準化、非集成化、無法互操作等方面的制約.美軍計劃在今后3到5年,構建聯(lián)合信息環(huán)境運維體系結構和初始通用作戰(zhàn)態(tài)勢圖能力,最終實現(xiàn)完全無縫集成的EOCs,為所有作戰(zhàn)任務提供服務.聯(lián)合信息環(huán)境的三級運維中心如圖4所示.
圖4 聯(lián)合信息環(huán)境的三級運維中心
2)核心數據中心(CDC)
數據中心合并是美國防部的一項長期的工作,通過數據中心的合并,來提高和優(yōu)化數據中心的使用效益;同時,通過數據中心的合并,能減少整個系統(tǒng)的攻擊界面,增強安全性,而且,能夠推行統(tǒng)一的安全架構.數據中心合并的另外一個重要效果是能夠降低成本,統(tǒng)一IT投資,實現(xiàn)IT體系結構的一致性;數據中心的合并將整個國防部的IT系統(tǒng)效率提高,同時,推進建立了一個簡化的、標準化的和集中化的信息基礎設施聯(lián)合信息環(huán)境.
不同的作戰(zhàn)需求將需要不同的數據中心,因此,美國防部將數據中心分成了以下4類:
a)核心數據中心(Core data center,CDC)
這是運行在本土和各戰(zhàn)區(qū)總部,在統(tǒng)一的安全架構下,提供標準的服務和存儲服務.
b)固定區(qū)域處理節(jié)點(Installation processing node,IPN)
IPN安裝在一個獨立的、固定的軍事基地、軍營、兵站,提供核心數據中心不能提供的服務.
c)特殊處理節(jié)點(Special purpose processing node,SPPN)
SPPN主要用于支持特殊目的的功能,這些功能不能由核心數據中心和IPN來支持,主要是因為信息基礎設施和設備的差異.
d)戰(zhàn)術處理節(jié)點(Tactical processing node,TPN)
戰(zhàn)術/移動處理節(jié)點TPN部署在最前線,能夠根據戰(zhàn)術/部署環(huán)境進行優(yōu)化.
數據中心整合與優(yōu)化的過程如圖5所示.
核心數據中心的最終狀態(tài)如圖6所示.
3)軍用云(milCloud)
軍用云是國防信息系統(tǒng)局云戰(zhàn)略的一個組成部分,提供IaaS解決方案,采用商用貨架產品(COTS)和政府用貨架產品(GOTS)技術來為國防部提供所需的云服務,能夠初步滿足國防部敏感、非保密、保密需求.
在軍用云解決方案中,所有產品都遵從統(tǒng)一的云服務特征:按需自服務、寬帶訪問、資源預存、快速彈性,同時,利用了國防部內部的安全體系結構,支持數據中心合并的應用遷移,提供聯(lián)合信息環(huán)境云服務產品集合,支持能力的集成,提高開發(fā)、部署和維護的效率.
4)統(tǒng)一通信服務(UC)
統(tǒng)一通信服務能力的目標就是將語音、視頻、數據等分離的通信功能,建成一個一體化的、統(tǒng)一的、互操作的、安全的、高效的能力.基于IP的解決方案可以讓國防部用戶利用即時消息、聊天室、網絡電話、全球視頻服務、網絡視頻、網絡會議等功能進行更好的協(xié)同.
5)身份認證和訪問管理(IdAM)
聯(lián)合信息環(huán)境的身份和訪問管理(Identity and access management,IdAM),基于屬性的訪問控制和服務的企業(yè)方法,將身份嵌入到數據、應用和IT資源訪問過程,提供數字身份管理、憑證化、認證、授權和訪問審計等功能,使得企業(yè)用戶和非私人實體(NPEs)可以可信地在任何地點、任何時間訪問任何資源.其戰(zhàn)略目標為消除匿名,實現(xiàn)動態(tài)訪問控制,推動IdAM專職機構管理,并使其制度化.
6)統(tǒng)一安全架構(SSA)
聯(lián)合信息環(huán)境所需的最重要能力就是統(tǒng)一安全架構,它將明確提出一個陸??杖姽灿玫陌踩軜?這里的統(tǒng)一安全架構,不同于各軍種目前所開展的標準縱深防御,而是構建一種“企業(yè)級”架構,解決美軍在實施任務保障服務時存在的機構重疊、職責不清等問題,消除以往各軍種之間的網絡安全邊界問題,減少外部攻擊面,節(jié)省軍費,提高各軍種之間的信息互通性和實現(xiàn)快速、安全的數據共享.
其中,聯(lián)合區(qū)域安全棧(JRSS)是統(tǒng)一安全架構的重要組成部分,用于存儲、管理、分析、監(jiān)控、探測、處理國防部網絡運行產生的大量賽博安全數據,是賽博作戰(zhàn)分析的數據基礎.
圖5 數據中心整合與優(yōu)化的過程圖
圖6 核心數據中心最終狀態(tài)圖
圖7 聯(lián)合區(qū)域安全棧當前部署狀態(tài)
圖8 國防部應用商店
聯(lián)合區(qū)域安全棧是美軍在世界各地運行的網絡中樞,使廣泛分散的數百萬用戶彼此相連并使這些用戶能夠獲取信息.聯(lián)合區(qū)域安全棧把國防部網絡各處的網絡數據流發(fā)送到賽博作戰(zhàn)分析云,可以幫助快速應對威脅,為美軍賽博司令部提供更佳的賽博空間可視性和賽博作戰(zhàn)指揮與控制能力.
通過部署聯(lián)合區(qū)域安全棧,網絡安全在每個軍事基地、哨所、營地或營區(qū)集中成為區(qū)域體系結構而非本地分布式體系結構.此外,每個物理堆棧均包含可進行大數據分析的設備,允許國防部機構將大量數據存入云,提供處理數據的平臺并幫助分析人員理解數據.依托聯(lián)合區(qū)域安全棧進行的大數據分析和評估對網絡威脅的預測至關重要.
聯(lián)合區(qū)域安全棧當前狀態(tài)如圖7所示.
7)移動服務
移動能力正在改變著美軍作戰(zhàn)行動、互聯(lián)互通與保障等方式,最顯著的是,移動解決方案成為作戰(zhàn)人員的關鍵任務工具.為實現(xiàn)任務伙伴可在任何時間、任何地點利用任何授權設備接入聯(lián)合信息環(huán)境以完成其使命任務的目標,移動能力是關鍵要素之一.
聯(lián)合信息環(huán)境提供了作戰(zhàn)人員需要的信息,允許用戶從國防部應用商店(DoD app store)中下載工具來獲取和使用信息.
顯然,美軍的聯(lián)合信息環(huán)境建設走的是“先建設,后治理”的路子.具體而言,就是軍兵種在當時的技術條件下先各自建設,形成了大量的煙囪系統(tǒng),后由國防部統(tǒng)一治理,打破煙囪.早期主要是指揮與控制等業(yè)務系統(tǒng)彼此之間不能互連互通互操作,是“業(yè)務煙囪”,現(xiàn)在的“煙囪”,則首先是數據中心、網絡等層面的IT基礎設施的無序建設所導致的“IT煙囪”,并繼而導致了更嚴重的“業(yè)務煙囪”.兩者相比,目前的情況更為復雜,更需要從頂層設計入手解決.因此,為了指導、規(guī)劃聯(lián)合信息環(huán)境的建設,統(tǒng)一各類人員對聯(lián)合信息環(huán)境建設的認識,美國國防部2012年發(fā)布了國防部信息體系架構(DoD information enterprise architecture,DoD IEA)2.0版[13].IEA運用國防部體系結構框架2.0(DoDAF 2.0)方法,構建了13個體系結構產品,描述了聯(lián)合信息環(huán)境的構想、使命任務、活動、功能、能力等,為從事作戰(zhàn)指揮、規(guī)劃計劃、建設管理、系統(tǒng)設計、技術研發(fā)和系統(tǒng)維護等各類人員提供了統(tǒng)一規(guī)范的描述[14].IEA對聯(lián)合信息環(huán)境的構成、以及各個要素之間如何協(xié)同工作來實現(xiàn)有效的信息和服務共享,提供了一個清晰、準確的描述.
因此,充分吸收和借鑒美軍聯(lián)合信息環(huán)境建設的經驗教訓,在發(fā)展網絡信息體系時,加強頂層設計,超前謀劃,做好戰(zhàn)略規(guī)劃,理順領導體制,首先在組織管理層面實現(xiàn)集中統(tǒng)一領導,進而在技術層面通過標準規(guī)范統(tǒng)一體制,充分發(fā)揮后發(fā)優(yōu)勢.
相比全球信息柵格,聯(lián)合信息環(huán)境的最大特點就是對國防部企業(yè)總體安全性改善.就對安全的影響而言,聯(lián)合信息環(huán)境的兩大特點是統(tǒng)一安全架構和統(tǒng)一身份和訪問管理[15].統(tǒng)一安全架構使網絡響應同步的復雜性最小化,作戰(zhàn)效率最大化,同時降低了風險.此外,標準化的安全架構能更好地保護信息的完整性,防止非授權訪問,同時提高了對系統(tǒng)漏洞作出反應的能力和國防部運行全球網絡并確保其安全的能力.
目前,我國是典型的網絡大國,但并不是網絡強國.無論是技術,還是標準,還是治理,與世界先進國家相比,還是有較大的差距.因此,在網絡信息體系建設中,發(fā)展是第一位的,特別是在網絡技術日新月異、新技術層出不窮的情況下.但是在大力發(fā)展的同時,需要正確處理好發(fā)展與安全的關系,兩手抓,兩手都要硬.特別是相較于外軍,我軍的網絡信息系統(tǒng)安全基礎更為薄弱,可謂“內有隱患、外有強敵”[16].因此,在發(fā)展的時候,要牢固樹立安全意識.具體而言,就是要將安全性融入到網絡信息體系的全生命周期中,實現(xiàn)安全內在化.在網絡信息體系總體架構設計、功能要素分解、技術體制和標準制定、研制開發(fā)和系統(tǒng)評估過程中實現(xiàn)安全防護設計內在化,構建安全內在化的系統(tǒng)設計和研發(fā)平臺,促進網絡信息體系建設和安全防護體系的協(xié)調發(fā)展,提高網絡信息體系的安全可信能力.
在IT發(fā)展的初期,很多技術都是從軍用發(fā)展起來再擴展到民用.但隨著IT發(fā)展的越來越快,目前軍民兩個領域技術之間的融合成為主流.美軍發(fā)現(xiàn),在過去幾年中,通過社交媒體,例如,“臉譜”(Facebook)和“推特”(Twitter),信息分享的方式已經發(fā)生了革命性變化.利用智能手機,使用“臉譜”或“推特”等社交媒體工具,可以告訴朋友我們在哪里,正在做什么,下一步的計劃等.這些民用技術對美軍形成了極大的吸引力,美軍希望開發(fā)軍用臉譜或推特,形成移動服務能力,使指揮官們將能夠分享自己部隊的位置、敵軍可能的位置信息,并發(fā)送短信和視頻.
我國目前正在開展全國性的創(chuàng)新活動,相信在發(fā)展最為迅速、創(chuàng)新最活躍的信息技術領域,一定能夠有大量的新興技術可應用于網絡信息體系建設中.因此,需要開拓視野、打破常規(guī)、積極創(chuàng)新,發(fā)揮我國網絡大國、人才眾多的優(yōu)勢,開發(fā)、挖掘類似微信、滴滴打車等信息化工具的軍事應用價值,實現(xiàn)跨越式發(fā)展.
隨著云計算、移動互聯(lián)網、物聯(lián)網、大數據等新技術的快速發(fā)展和普及應用,軟件定義技術包括軟件定義網絡、軟件定義數據中心、軟件定義安全直至軟件定義系統(tǒng)等正在成為軟件技術發(fā)展應用的新潮流.網絡信息體系強調以網絡為中心,將各類作戰(zhàn)資源聯(lián)為一體,實現(xiàn)網絡化接入能力、系統(tǒng)的全網服務能力,軟件定義技術為資源的充分互聯(lián)與協(xié)同運用提供了必要的技術支撐.因此,積極開展軟件定義技術的研究與應用,能夠為網絡信息體系“又快又好”地發(fā)展提供技術支撐.
所謂韌性(Resilience),是系統(tǒng)為應對各種擾動、變化而呈現(xiàn)的一種能力或品質特性,即系統(tǒng)對來自自然或人為事件的干擾進行預測、抵抗、吸收、反應,適應并恢復的能力.系統(tǒng)韌性已成為系統(tǒng)安全發(fā)展的新方向,具備韌性的系統(tǒng)能夠更好適應快速多變、不確定、對抗激烈的戰(zhàn)場環(huán)境,滿足作戰(zhàn)需求[17].但是目前系統(tǒng)韌性能力發(fā)展更多的是工程實踐,理論方法尚不成體系,特別是韌性的評估理論方法和技術.對于網絡信息體系這樣的復雜巨系統(tǒng)的韌性程度的評估,更是難題,亟需加強研究、聚力攻關,盡快形成可指導工程實踐的韌性評估理論方法和技術.
聯(lián)合信息環(huán)境是美軍IT現(xiàn)代化的基石,是美軍實現(xiàn)在任意時間、全球任意地點、通過任意授權認證設備(新“3個Any”)獲取所需信息和服務的保證,是從以網絡為中心,向以數據為中心發(fā)展的重要舉措,是美軍實現(xiàn)全球一體化作戰(zhàn)及任務式指揮的根本賦能要素.因此,深入分析和研究美軍聯(lián)合信息環(huán)境,能夠為我軍網絡信息體系發(fā)展提供理念、架構、方法上的參考和借鑒.