hexo
type
Post
status
Published
date
Nov 24, 2022
slug
o-1
summary
tags
体系思考
category
他山之石
icon
password
Property
Dec 6, 2022 06:24 AM

联合信息环境 (JIE) 概述

一、为何研究美军网络安全技术?

美军技术是美国技术的先导;
美国技术是世界技术的先导。

二、做网络安全,不能缺乏对网络的理解。

从美军网络安全防护领导机构说起:
在2010年之前,由DISA(美国国防信息系统局)局长负责指挥网络防御作战已有十余年的历史。
然而,在2010年,DISA的网络安全防护职能移交给了新成立的美军网络司令部
但是,在2015年,DISA局长兼任国防部信息网络联合部队司令部(JFHQ-DoDIN)司令,负责防御性网络空间作战,标志着DISA加入作战指挥序列,再次统领美军的网络安全防护。
美军的网络安全防护为什么重新由DISA统领?根本原因是网络安全防护必须以对网络的深刻理解为基础。DISA长期负责DoDIN的建设和运维,从设计理念到运维细节,DISA是美军最清楚国防部信息网络(DoDIN)的部门。2016年5月,美军网络司令部作战部部长承认,在美军网络司令部组建网络安全防护力量的过程中,一个重要教训是:缺乏对网络的理解

三、美国有哪几个网络值得学习?

美国政府目前主要有3种网络模型作为参考:

1)国防部联合信息环境(JIE)

该网络旨在建立标准化的服务和管制措施,将更多数据控制在受保护的环境中,并利用49个联合区域安全栈(JRSS)限制与公共网络的连接。联合区域安全栈(JRSS)扮演了国防网络与全球互联网之间网关的角色。

2)情报界信息技术企业(IC ITE)

该网络耗资数十亿美元,包括建立共用传输和安全层,实现情报界IT服务的协调一致和标准化;

3)国土安全部OneNet

它是一种集中式的虚拟网络结构,将国土安全部下属的7大主要部门和15个子部门连接在一起。
从普适性、可参考性、研究资料的可获取性等角度综合考虑,我们将联合信息环境(JIE)作为首要研究对象。

四、JIE(联合信息环境)概述

1、JIE的预期效果:

notion image

2、JIE(联合信息环境)概念 & 意义:

联合信息环境(JIE, Joint Information Environment):是一个单一、联合、安全、可靠和敏捷的指挥、控制、通信和计算企业信息环境。
美军目标: JIE将包含所有国防部网络,在2020年前,利用JIE使所有军种实现互联互通,以安全、高效的方式为作战人员提供所需的信息服务,实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息,以满足联合作战的需求。
主要目的:通过减少基础设施和人员配置来提高运营效率,增强网络安全性,节省资金。
重要意义:从GIG(全球信息栅格)到JIE,意味着美军基础设施的建设模式从部门间相互协同转变为真正的一体化,美军从“以网络为中心”转变为“以数据为中心”。
主要特点:数据统一(核心数据中心集),网络统一(一个网络),系统统一(全面标准化)。
关键优势:将军事网络延伸到战术前沿。
JIE为整个国防部构建的关键能力
  • SSA(单一安全架构);
  • 网络规范化:提供一个安全、可靠、无缝连接作战人员的单一、受保护的信息环境;
  • IAM(身份与访问管理):优化的全局身份、认证、访问控制和目录服务,是满足作战人员对便携式身份的需求以及在组织间共享联系信息的能力的核心;
  • 企业服务:是像电子邮件的服务,以通用方式在整个部门中提供,由作为企业服务提供者的单个组织提供;
  • 云计算:国防部向云计算的迁移带来了挑战;
  • 数据中心整合:国防部将继续通过关闭和整合整个国防部的数据中心来整合计算能力,同时确定现有的数据中心将转变为JIE核心数据中心(CDC)。

五、JIE(联合信息环境)整体框架

1、JIE整体框架:

notion image
(本系列下一篇将展示汉化版)

2、JIE现代化领域:

1)网络现代化
  • 光载波升级
  • 多协议标签交换(MPLS)
2)网络安全体系结构
  • 联合区域安全栈(JRSS)
  • 联合管理系统(JMS)
  • 边界、网络、数据、端点安全
3)企业运营
  • JIE管理网络(JMN)
  • 网络指挥控制(C2)
4)计算与存储
  • 数据中心整合
5)企业服务
  • 国防企业电子邮件
  • 协作能力
  • 通用应用
6)任务伙伴环境(MPE)
  • 联盟信息共享
  • MPE信息系统(MPE-IS)
7)身份和访问管理(IdAM)
  • 动态访问和实体发现
  • 活动监控
8)移动性
  • 国防移动非涉密能力
  • 国防移动涉密能力
3、JIE研究思路:
系统性方法:根据JIE整体架构图,结合JIE现代化领域,遵循与网络安全的相关性,挑选重点领域,逐一开展研究。

单一安全架构 (JIE SSA) 概述

一、上期回顾
公众号的上一篇(美军网络安全 | 开篇:JIE(联合信息环境)概述)介绍了美军JIE(联合信息环境)的总体情况。其主要目标是实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息,以满足联合作战的需求。
同时,提到了JIE为国防部构建的6项关键能力:SSA(单一安全架构)、网络规范化、IAM(身份与访问管理)、企业服务、云计算、数据中心整合。还提到了JIE的8个现代化领域:网络现代化、网络安全体系结构、企业运营、计算与存储、企业服务、任务伙伴环境(MPE)、身份和访问管理(IdAM)、移动性。
这一篇,就谈6项关键能力的第1项和****8个现代化领域****的第2项——JIE网络安全架构SSA(单一安全架构)
注意:SSA(单一安全架构)在最新的文件中可能被称为CCA(一致网络安全架构)
二、国防部网络安全准则
根据美国防部2016年发布的《国防部网络安全准则实施计划》列出了朴实得不能再朴实的基本安全准则:
  • 努力方向1:强身份验证:降低对手在国防部信息网络上的机动能力。美国防部将执行更为严格的访问要求并降低网络的匿名性。
  • 努力方向2:设备加固:减少进入国防部信息网络的内部和外部攻击向量。确保设备正确配置和软件补丁为最新,该项工作还包括禁用电子邮件中的活动链接。
  • 努力方向3:减少攻击面:减少进入国防部信息网络的外部攻击载体。指挥官和监察人员必须确保只有经过授权的设备可以访问网络、与国防部网络建立信任。此外,减少被攻击面也是JIE(联合信息环境)的目标之一。JIE使用联合区域安全堆栈(JRSS)减少安全区域的数量,从1000多个网络访同点减少到50个。
  • 努力方向4:与网络安全/计算机网络防御服务提供商保持一致:提高对敌方活动的探测和响应能力。监控网络外围,推动网络事件报告方式的标准化,将提高对网络事件的快速检测和快速反应。
从第3个努力方向可以看出:减少攻击面是其关键原则之一。而SSA正是贯彻这一安全原则的产物。
三、设计SSA的背景原因

美国防部设计SSA的根本原因是GIG存在问题。

1、GIG初衷

GIG是美军在提出JIE之前构建实施的巨大而复杂的通信与服务系统,其网络基础结构由不同的分布式服务单元组成,旨在将美国国防部的所有的信息系统、服务及应用,集成为一个无缝隙的、可靠的和安全的网络。

2、GIG结果

但是随着GIG演进工作的不断推进,原有的设计逐步暴露出构建成本高昂、互联能力有限、新技术采用缓慢、事件响应灵活性差等问题,美军构想的信息共享、基础设施建设、系统和服务采办模式、联合训练、通信保障及作战支持等能力并未达到预期目标。

3、GIG问题披露:

2012年,美国网络司令部司令兼国家安全局局长,亚历山大将军,接受联邦新闻电台采访时说:“对于现在的DoD体系结构,我认为保护它们真的是非常困难。我们有15000个飞地,每个都是单独管理的。其结果是,每一个都要被修补,像一个独立的采邑一样运行。负责保护它们的人看不到防火墙以外的东西。基于主机的安全系统有所帮助,但实事求是的讲,态势感知是不存在的。”
2014年,美军在《陆军网络安全企业参考架构2.0》中提出,当前网络安全防护手段存在以下缺点:
  • (1)各军兵种的网络包含重复、冗余的网络安全控制手段,同一数据在到达接收方路径中会被检查多次,造成效率低下、时延增加;
  • (2)美海军提出的CND 2.0(计算机网络防御体系)在实践中被认为没有达到预期效果,功能不完备;
  • (3)安全策略的非标准化情况严重,有时甚至造成冲突,导致安全能力降级;
  • (4)当前的网络攻击暴露面是无法管理的;
  • (5)许多P/C/S(美军不同级别的前线阵地)用户需要同时维护不同网络的多种边界安全防护设备
  • (6)缺乏面向最终用户和设备的态势感知事件响应能力。

4、原因分析:

在GIG所代表的传统信息框架下,各军种具备自行设计网络、开展网络防御的决定权
尽管美军国防部在各军种、军事机构中推动和实施了多个网络安全战略性项目,但GIG各组成单元间相互脱节的网络安全策略和保护措施多样化的实现途径,导致网络安全本质上的整体保障能力存在巨大风险。

四、SSA的背后思想

SSA的设计思想是减少网络攻击面暴露
notion image
由于多种非标准化安全实现带来大量的DoD网络攻击面暴露,所以SSA的基本思想是标准化安全实现,以减小网络攻击面。从SSA的名称“单一安全体系结构”也可以领会到这一点。
四、SSA定义&定位
1、SSA定义
JIE SSA是一个联合的国防部安全架构,为美军国防部所有军事机构的计算机和网络防御,提供通用方法:
  • (1)使用标准化的安全防护功能集/套件,在最佳位置开展防御;
  • (2)移除冗余的不必要的信息保障手段,以提高效能;
  • (3)通过集中式计算机网络防御数据库,控制用户数据流动,并向B/P/C/S提供全局态势感知
  • (4)在服务器、用户资产与骨干网分离时,保护网络飞地;
  • (5)在JIE指定的美军国防部EOC(企业操作中心)中,提供用于监视和控制所有安全手段的工具集。
2、SSA定位:
SSA的提出体现了美军为扭转安全防护的不利态势,而在JIE中做出的不懈努力
SSA在JIE中定位:SSA对应于JIE关键目标中的“建立整体的企业化安全架构,以确保优化的和同步化的网络、项目和企业化服务、以及联合和联盟作战行动”这一要求。
SSA与JRSS关系:JRSS是SSA的重要组成部分和贯彻实施形式。
SSA的主要原理:降低所需的信息技术设备总量、实现配置标准化,建立企业级的安全共享协议和简化数据路由等。
3、SSA目的:
SSA目的:打破军兵种间分割和安全防御的各自为战,整合成一个安全集成框架;
  • 最佳的CC/S/A(作战司令部/军种/机构)的信息保障能力和实践,应用于JIE安全体系结构。
  • 用户在SSA支撑下,能够连接以前从未访问过的外部网络,从而获得更灵活的战术优势。
  • SSA通过规整网络安全边界,减少外部攻击面、管理标准化和操作、技术控制,确保在所有任务背景下美军国防部信息资产的保密性、完整性、可用性,同时能够促进快速攻击侦察、诊断、控制、响应能力的实现。
  • 试图解决在实施任务保障时存在的机构重叠、职责不清等问题,消除系统烟囱和网络安全边界,减少暴露于外部的攻击面,实现参战单元的信息互通及快速、安全的数据共享,推进安全机制和协议规范的复用,降低已有系统改造和集成的耗费,从而使得信息基础设施管理员们更方便地监控和发现潜在安全威胁,并更迅速地应对。
五、SSA方案和能力分解
1、SSA方案
美国防部网络区分为NIPRNet(非密网)和SIPRNet(涉密网),对应的SSA方案有所不同。
NIPRNet的SSA方案如下图:
notion image
SIPRNet的SSA方案如下图:
notion image
留个作业:请自行对比上面两张图的区别。
看到这两张图,应该会很自然地联想到上一篇的JIE整体框架图:
notion image
现在,兑现上期的承诺:给出JIE整体框架的汉化版:
notion image
实际上,图中所有深红色标记的安全能力都属于SSA的覆盖范畴,当然标记为SSA和JRSS的那些模块最为直接。
2、SSA能力分解
对应地,两种网络中SSA的能力也有所不同。
NIPRNet的SSA能力如下图:
notion image
SIPRNet的SSA能力如下图:
notion image
可以看出,SSA覆盖的安全能力包括:国防部企业边界保护、端点安全、移动端点安全、数据中心安全、网络安全态势感知分析能力、身份和访问管理。可谓面面俱到。
六、总结和预告
这一篇主要介绍了美JIE环境的整体安全架构思想SSA。
关注于落地实现细节的童鞋,可能会有很多疑问。
是的。SSA更多的是一种安全思想,而其落地实现则会分解到更多的安全能力模块中,比如JRSS(联合区域安全栈)就是SSA的核心实现之一。
若想进一步了解SSA实现细节,且等下回分解。
声明:本文来自蓝海科学,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,
搜索anonfiles特定内容下载链接Cyberwarfare Certified Purple Team Analyst