论文部分内容阅读
在GIG体系结构中融入信息保障
为了确保GIG信息保障,美国国防部需要开发确保GIG安全的标准化体系结构概念——在GIG基本框架中融入信息保障。GIG体系结构的信息保障结构是利用重要的美国防部信息保障战略和研究成果,描述实现美国国防部安全企业体系结构的构想,并获得互操作能力和安全的蓝图需要的系统工程。这项计划的结果不是孤立的,而是分阶段发展信息保障的方法,提供内容将被融入美国防部的GIG体系结构的文件和资源、要求及采办过程,确保在GIG计划中融入一致的信息保障。其体系结构进程的最终状况是从“需要知道”转为“需要分享”的信息保护模型,在网络中心企业能力中融入信息保障。
GIG信息保障的基础是:
保证信息共享。信息和服务必须可信和安全。美国、同盟及联合部队对各种秘密级别信息的动态访问,应该实现“需要知道”和“需要分享”之间的平衡。
高可用企业。尽管敌方试图终止或中断访问,但是当需要时必须提供服务。为了支持网络中心作战,必须拥有计算机能力、通信资源及信息服务。应该通过信息企业向GIG用户提供服务,利用端到端信息保护、优先的资源、鲁棒的连通性,提供多重选择和路线,当系统或部件停止运转时,最大限度地减少修理时间。安全和可用性必须达到GIG的前沿。
网络态势感知和网络防御。对企业威胁、状况和性能具有近时实感知能力。利用对GIG资源受到外部攻击和内部人员滥用/误用的感知,而做出正确的响应是非常重要的。网络防御战略,例如探测、监视及分析,也必须到位。
确保企业管理和控制。企业必须按计划运行,GIG管理和控制进程、信息保护和安全基础设施必须到位。这种安全基础设施必须支持在全球拥有大量用户与管理资产的网络中心环境。
实施深度防御策略
加强GIG信息保障的第四个主要部分是实施深度防御(DID)策略。为了更好地实施该策略,美国国防部还颁布了联合参谋部C4战役计划的信息保障附件。
深度防御是GIG信息保障的核心思想和根本策略,它要求建立连续的、纵深的、多层的、多样性的防御体系结构,使敌方在穿透或攻破一层防御后,立刻遇到深度防御的另一层防御直到攻击终止。深度防御的每层不是采用同样方式的简单冗余策略,而是要将各种防御手段集成起来。这样,一种防御机制的弱点可以被其它机制的强项弥补。它的核心目标就是在攻击者成功地破坏了某个保护机制的情况下,其它保护机制仍能提供附加的保护。
随着安全从周边向内部的转移,美军将获得广度防御和深度防御。深度防御战略的三个主要层面是:人员、技术与操作(见图1)。其中,人员方面涉及政策与规程、培训与意识、系统安全管理、物理安全、人员安全以及设施对抗;技术方面包括信息保障体系结构、信息保障标准(安全、互操作、PKI)、评测产品的采购与集成以及系统风险评估;操作方面则由安全政策、认证与鉴定、安全管理、密钥管理、准备评估、入侵检测、告警与响应以及恢复与重建组成。目前,技术部分是美军研究的重点。其核心思想是在GIG的多个层次上配置安全保密设施,使GIG在每一级上都建立一套最低限度的防护能力。深度防御的四个重点领域是网络传输与基础设施防护、飞地边界防护、计算机环境防护以及支撑性基础(KMI/PKI、探测与反应)。
由于GIG安全的进展及更新型工具的使用,美军需要改进DID战略。利用技术使防御过程从周边防御概念转型为企业结构内部(包括数据内部)嵌入安全。嵌入企业结构中的安全转型,将加强安全态势并切实增加了安全态势的深度和广度。
联合参谋部C4战役计划的信息保障附件内容保密。其目的是通过积极推行近期(0~36个月)信息保障的解决方案,加强信息安全进程。它将利用信息保障战略计划的五个目标,并使联合战略信息保障构想同步,提出一系列有效的解决方案。战役计划将实现深度防御所需的能力、重要期限、完成日期以及分配的职责联系在一起。
重视日常工作
建立并维护安全的网络需要每个人的贡献和义务。美军的GIG将通信网络的特有的功能同其他任何武器系统功能一样,都非常重要。正如飞行员必须被许可并鉴定,坦克员需要遵守事先决定的标准,海军的水上作战官员必须达到指定熟练的水平,因此,计算机人员和GIG操作人员也要经过训练和认证。
从这个意义上讲,信息保障类似于作战安全一人人有责,每个人必须意识到其参与的重要性。包括:
·资源分配人员必须意识到并实现信息保障的重要性和必要性。
·部队中的信息保障专业人员必须经过训练、认证且跟踪。
·系统管理员必须受到信息保障功能方面标准化训练和认证,理解对他们所管理的系统需要准备报告。
·用户团体必须受过教育和认证,以确保必须的能力水平。
·所有级别的指挥官和参谋都必须懂得作战网络域的性质,必须通过共享态势感知进行网络作战。
结语
GIG信息保障将成为美国国防部一项长期的重要系统工程。从上面的介绍可以看出,美军非常重视GIG信息保障,其措施也非常系统、科学、具体,既重视GIG信息保障长期战略规划的制定,又辅以切实可行的GIG信息保障政策与实施指南,同时又非常重视GIG信息保障日常工作与责任到人。俗话讲:“千里之堤,溃于蚁穴”。可以断言,美军GIG体系结构与信息保障可谓水乳交融,相信其GIG的信息对抗能力将非常强大,不会不堪一击。
参考文献:
1《全球信息栅格顶层要求文件》,信息产业部电子科技情报研究所,2002年7月
2 lnformation Assurance TechnicalFramework Release 3.1 NSA.September 2002http://www.iatf,net/framework_docs/version-3_1/index.cfm
3 Information Assurance Through De-tense in Depth,Doint Chiefs Of Staff.February2000 Joint Publication 1-02"Department OfDefense Dictionary Of Military and AssociatedTerms."12 April 2001
4 DOD IA Strategic Plan Version 1.1 Janu-ary 2004
5 DoD Directive 8500.1,"Information As-surance,"October 24,2002
6 DoD Instruction 8500.2,"Information As-surance(1A)lmplementation,"February 6,2003
7 DoD Directive 5000.1,"The Defense Ac-quisition System," May 12,2003
注:“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”
为了确保GIG信息保障,美国国防部需要开发确保GIG安全的标准化体系结构概念——在GIG基本框架中融入信息保障。GIG体系结构的信息保障结构是利用重要的美国防部信息保障战略和研究成果,描述实现美国国防部安全企业体系结构的构想,并获得互操作能力和安全的蓝图需要的系统工程。这项计划的结果不是孤立的,而是分阶段发展信息保障的方法,提供内容将被融入美国防部的GIG体系结构的文件和资源、要求及采办过程,确保在GIG计划中融入一致的信息保障。其体系结构进程的最终状况是从“需要知道”转为“需要分享”的信息保护模型,在网络中心企业能力中融入信息保障。
GIG信息保障的基础是:
保证信息共享。信息和服务必须可信和安全。美国、同盟及联合部队对各种秘密级别信息的动态访问,应该实现“需要知道”和“需要分享”之间的平衡。
高可用企业。尽管敌方试图终止或中断访问,但是当需要时必须提供服务。为了支持网络中心作战,必须拥有计算机能力、通信资源及信息服务。应该通过信息企业向GIG用户提供服务,利用端到端信息保护、优先的资源、鲁棒的连通性,提供多重选择和路线,当系统或部件停止运转时,最大限度地减少修理时间。安全和可用性必须达到GIG的前沿。
网络态势感知和网络防御。对企业威胁、状况和性能具有近时实感知能力。利用对GIG资源受到外部攻击和内部人员滥用/误用的感知,而做出正确的响应是非常重要的。网络防御战略,例如探测、监视及分析,也必须到位。
确保企业管理和控制。企业必须按计划运行,GIG管理和控制进程、信息保护和安全基础设施必须到位。这种安全基础设施必须支持在全球拥有大量用户与管理资产的网络中心环境。
实施深度防御策略
加强GIG信息保障的第四个主要部分是实施深度防御(DID)策略。为了更好地实施该策略,美国国防部还颁布了联合参谋部C4战役计划的信息保障附件。
深度防御是GIG信息保障的核心思想和根本策略,它要求建立连续的、纵深的、多层的、多样性的防御体系结构,使敌方在穿透或攻破一层防御后,立刻遇到深度防御的另一层防御直到攻击终止。深度防御的每层不是采用同样方式的简单冗余策略,而是要将各种防御手段集成起来。这样,一种防御机制的弱点可以被其它机制的强项弥补。它的核心目标就是在攻击者成功地破坏了某个保护机制的情况下,其它保护机制仍能提供附加的保护。
随着安全从周边向内部的转移,美军将获得广度防御和深度防御。深度防御战略的三个主要层面是:人员、技术与操作(见图1)。其中,人员方面涉及政策与规程、培训与意识、系统安全管理、物理安全、人员安全以及设施对抗;技术方面包括信息保障体系结构、信息保障标准(安全、互操作、PKI)、评测产品的采购与集成以及系统风险评估;操作方面则由安全政策、认证与鉴定、安全管理、密钥管理、准备评估、入侵检测、告警与响应以及恢复与重建组成。目前,技术部分是美军研究的重点。其核心思想是在GIG的多个层次上配置安全保密设施,使GIG在每一级上都建立一套最低限度的防护能力。深度防御的四个重点领域是网络传输与基础设施防护、飞地边界防护、计算机环境防护以及支撑性基础(KMI/PKI、探测与反应)。
由于GIG安全的进展及更新型工具的使用,美军需要改进DID战略。利用技术使防御过程从周边防御概念转型为企业结构内部(包括数据内部)嵌入安全。嵌入企业结构中的安全转型,将加强安全态势并切实增加了安全态势的深度和广度。
联合参谋部C4战役计划的信息保障附件内容保密。其目的是通过积极推行近期(0~36个月)信息保障的解决方案,加强信息安全进程。它将利用信息保障战略计划的五个目标,并使联合战略信息保障构想同步,提出一系列有效的解决方案。战役计划将实现深度防御所需的能力、重要期限、完成日期以及分配的职责联系在一起。
重视日常工作
建立并维护安全的网络需要每个人的贡献和义务。美军的GIG将通信网络的特有的功能同其他任何武器系统功能一样,都非常重要。正如飞行员必须被许可并鉴定,坦克员需要遵守事先决定的标准,海军的水上作战官员必须达到指定熟练的水平,因此,计算机人员和GIG操作人员也要经过训练和认证。
从这个意义上讲,信息保障类似于作战安全一人人有责,每个人必须意识到其参与的重要性。包括:
·资源分配人员必须意识到并实现信息保障的重要性和必要性。
·部队中的信息保障专业人员必须经过训练、认证且跟踪。
·系统管理员必须受到信息保障功能方面标准化训练和认证,理解对他们所管理的系统需要准备报告。
·用户团体必须受过教育和认证,以确保必须的能力水平。
·所有级别的指挥官和参谋都必须懂得作战网络域的性质,必须通过共享态势感知进行网络作战。
结语
GIG信息保障将成为美国国防部一项长期的重要系统工程。从上面的介绍可以看出,美军非常重视GIG信息保障,其措施也非常系统、科学、具体,既重视GIG信息保障长期战略规划的制定,又辅以切实可行的GIG信息保障政策与实施指南,同时又非常重视GIG信息保障日常工作与责任到人。俗话讲:“千里之堤,溃于蚁穴”。可以断言,美军GIG体系结构与信息保障可谓水乳交融,相信其GIG的信息对抗能力将非常强大,不会不堪一击。
参考文献:
1《全球信息栅格顶层要求文件》,信息产业部电子科技情报研究所,2002年7月
2 lnformation Assurance TechnicalFramework Release 3.1 NSA.September 2002http://www.iatf,net/framework_docs/version-3_1/index.cfm
3 Information Assurance Through De-tense in Depth,Doint Chiefs Of Staff.February2000 Joint Publication 1-02"Department OfDefense Dictionary Of Military and AssociatedTerms."12 April 2001
4 DOD IA Strategic Plan Version 1.1 Janu-ary 2004
5 DoD Directive 8500.1,"Information As-surance,"October 24,2002
6 DoD Instruction 8500.2,"Information As-surance(1A)lmplementation,"February 6,2003
7 DoD Directive 5000.1,"The Defense Ac-quisition System," May 12,2003
注:“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”