了解最新等保资讯及等保政策
摘 要:2023 年,以国防部高级研究计划局为代表的美国国防研究机构持续加强对网络安全的重视程度,新增开展数个网络安全研究项目,同时将已完成项目过渡到各军种或其他军事机构,以进一步提升作战能力。通过阐述美军 2023 年网络领域的工作重点,剖析其新开展和完成交付的网络安全项目情况,并分析其项目特点,旨在为我国网络能力建设、网络安全技术发展提供参考。
内容目录:
1 2023 年美军网络领域的工作重点
2 2023 年美军网络安全项目总体情况
2.1 实现弹性系统的验证程序流水线推理
2.2 分区化和权限管理
2.3 安全智能工具生成
2.4 量子增强网络
2.5 基于网络心理学重塑信息网络防御安全
2.6 偏见效应和生成式人工智能显著局限性
2.7 战术边缘弹性网络安全手持设备
2.8 鲨鱼先知
3 2023 年美军网络安全项目特点
3.1 加强弹性网络建设,保持作战信息优势
3.2 升级漏洞管理能力,确保网络安全可用
3.3 构建数据安全核心,完善网络防护体系
3.4 新兴技术赋能安全,全面提高防护效率
结 语
2023 年 9 月,美国防部发布《国防部网络战略》,提出了保卫国家、准备战斗并赢得国家战争、与盟友及伙伴开展合作、建立持久优势的优先事项,为国防部下一步网络空间行动指明了方向。战略强调通过公私合作开发,实施新的网络能力,包括零信任架构及相关技术、高级终端监控功能、定制数据收集策略、增强网络取证、自动化数据分析,以及支持网络自动化、网络恢复和网络欺骗的系统等,以建立网络空间持久优势,支持并实现全方位的网络活动。为实时深入了解美军网络安全领域的前沿动态及进展,本文阐述美军 2023 年网络领域的工作重点,剖析美军新开展和完成交付的网络安全项目情况并分析其项目特点,以期为我国网络能力建设、网络安全技术发展提供参考。
1 2023 年美军网络领域的工作重点
为应对持续增长的多样威胁,确保大国竞争的优势地位,美国防部近年来不断增加国防预算投入,延续了对军事现代化和创新方面的重视,优化效率、提高能力,创新以获得竞争优势,确保美军采办、发展优势军事力量 。
基于《2022 年国防战略》与 2023 年《国防部网络战略》,美军将网络空间作为“综合威慑”战略的核心组成部分,发展网络安全以实现灵活、弹性的防御态势,保持网络领域的先进性以击败对手。
网络安全方面,美军将构建更灵活高效的网络能力、网络弹性平台,为更强大的网络态势、下一代加密解决方案、零信任架构和网络现代化提供支持。重点工作包括:实施网络安全战略方案、推进密码与武器系统的整合、保护跨域信息、实施零信任架构、加速身份和凭证访问管理现代化等。
网络作战方面,美军将资助网络收集、作战情报准备、进攻与防御性网络作战及直接支持联合作战的能力和基础设施等计划和活动。重点工作包括:扩充网络任务部队、改善网络靶场、强化关键信息系统和基础设施的网络弹性等。
网络研发方面,美军将研究开发网络弹性、高级应用等关键网络相关领域。重点工作包括:提高当前和未来国防部系统、网络、关键基础设施和关键资源的防御能力;通过人机协作显著提升网络行动的规模和速度;探索新的计算范式,制定大数据分析策略,以及开发综合传感和感知决策所需的边缘设备和处理节点,扩展网络空间前沿,从而在联合全域指挥和控制内实现统一能力。
2023 财 年, 美 国 防 部 网 络 活 动 预 算 约112 亿美元,投入同比增长约 8%,其中网络安全预算约 66 亿美元、网络作战预算约 41.8 亿美元、网络研发预算约 3.8 亿美元。从近三年的数据来看,美军网络领域三大方面的预算比例保持一致(网络安全方面约占 59%,网络作战方面约占 37%,网络研发方面约占 4%),始终将网络安全放在最首要位置 。
2 2023 年美军网络安全项目总体情况
2023 年,以国防部高级研究计划局(DefenseAdvanced Research Projects Agency,DARPA)为代表的美国国防研究机构持续加强对网络安全的重视程度,通过发布信息征询书新增开展数个网络安全研究项目,同时将已完成的项目过渡到各军种或其他军事机构,以进一步提升作战能力。
2.1 实现弹性系统的验证程序流水线推理
2023 年 3 月,DARPA 推出“实现弹性系统的验证程序流水线推理(Pipelined Reasoning of Verifiers Enabling Robust Systems,PROVERS)”项目 ,旨在为国家安全系统提供领先于网络安全威胁、实现高保障的系统工程,并产生具有可验证安全属性的网络加固、弹性系统和支持性基础设施。该项目技术领域涉及验证工程工具、国家安全系统平台及专业“红队”安全测试,以提供定量评估和证据整理。
该项目为期 42 个月,共分为 3 个阶段。第 1阶段为期 12 个月,将专注于开发、流水线化自动化技术,并开发国防部开源系统;第 2 阶段为期 18 个月,将专注于成熟化、扩大自动化技术的使用规模,完成与现代软件开发基础设施的整合;第 3 阶段为期 12 个月,将专注于开放、封闭生态系统的工具集成演示。
2.2 分区化和权限管理
2023 年 4 月,DARPA 推出“分区化和权限管理(Compartmentalization and Privilege Management,CPM)”项目,将开发一套工具及配套软硬件基础设施,可以自动将遗留的复杂软件系统重组为性能良好的有限权限分区,防止初步渗透演变为网络攻击,从而降低网络风险。该项目技术领域涉及自动化划区、特权策略、评估支持。
该项目为期 4 年,共分为 2 个阶段。第 1 阶段为期 30 个月,将专注于技术开发,使用 Linux、Unix 等开源类操作系统作为测试和评估套件;第 2 阶段为期 18 个月,将侧重于扩展技术,并将用户程序添加至测试和评估套件,如网络浏览器、服务器及数据库管理系统。
2.3 安全智能工具生成
2023 年 6 月,DARPA 推出“安全智能工具生成(Intelligent Generation of Tools for Security,INGOTS)”项目 [6],开创由程序分析和人工智能驱动的新技术,加速判定、修复网络浏览器和移动操作系统等现代复杂系统中的漏洞。该项目将开发集成生产线,协同部署一套独立的半自动工具,并利用计算机与人的团队合作来快速、大规模地评估漏洞的严重性。该项目技术领域涉及漏洞分级、严重性分析、数据建模与集成系统测评。
该项目为期 3 年,分为 2 个阶段。第 1 阶段为期 20 个月,重点探索、设计、开发并演示验证工具和技术;第 2 阶段为期 16 个月,重点完善工具和技术,促进技术成熟化,并扩大可识别的漏洞范围。每个阶段都将举行中期会议、黑客马拉松和演示,并以与政府合作伙伴的共同评估结果为结束标志。
2.4 量子增强网络
2023 年 6 月,DARPA 推出“量子增强网络(A Network Security Revolution Enhanced by Quantum Communication,QuANET)” 项 目 [7],探索将量子和经典方法集成到网络中,为关键网络基础设施提供基于量子物理学的安全能力。该项目技术领域涉及量子网络接口卡(qNIC)、数据流的量子增强、拓扑量子增强技术。
该项目为期 51 个月,分为 4 个阶段。第 1阶段为期 3 个月,将专注于量子网络接口卡的设计;第 2 阶段为期 18 个月,将专注于量子网络接口卡的制作,以及原型数据流的开发和拓扑结构的增强;第 3 阶段为期 18 个月,将专注于利用光纤网络,将数据流和拓扑增强功能与制造的 qNIC 集成;第 4 阶段为期 12 个月,将专注于光纤、量子增强网络的可扩展性和空中链接扩展的初步设计。
2.5 基于网络心理学重塑信息网络防御安全
2023 年 2 月, 美 国 情 报 高 级 研 究 计 划 局(Intelligence Advanced Research Projects Activity,IARPA)推出“基于网络心理学重塑信息网络防御安全(Reimagining Security with Cyberpsychology Informed Network Defenses,ReSCIND)”项目 ,旨在利用网络攻击者的人类局限性,开发一套新的网络心理学防御系统以提高网络安全。该项目技术领域涉及认知漏洞识别、网络攻击行为测量、开发、网络心理信息防御系统、创建网络计算认知模型。
该项目为期 45 个月,分为 3 个阶段。第 1阶段为期 18 个月,将专注于识别与网络攻击者相关的认知漏洞,包括诱导、加速和测量认知漏洞的方法;第 2 阶段为期 15 个月,将专注于开发基于网络心理学的防御系统,能够降低攻击者的性能和成功率;第 3 阶段为期 12 个月,将专注于开发自适应防御系统和特定网络的计算认知模型,以反映和预测所提供的行为数据。
2.6 偏见效应和生成式人工智能显著局限性
2023 年 11 月,IARPA 推 出“ 偏 见 效 应 和生 成 式 人 工 智 能 显 著 局 限 性(Bias Effects andNotable Generative AI Limitations,BENGAL)”项目,寻求开发和整合新技术来有效探测大语言模型(Large Language Model,LLM),以检测、表征、减弱 LLM 威胁模式和漏洞。该项目技术领域涉及不同输出观点的归纳、人工智能的检测与推理、敏感环境中的安全信息流、对不完善或有害信息源进行弹性处理。
该项目为期 2 年,分为 2 个阶段。第 1 阶段为期 12 个月,用于演示概念验证原型,并提供初步软件交付成果和性能评估报告,独立的测试和评估团队将验证执行结果及软件性能;第 2 阶段为期 12 个月,将在第 1 阶段概念验证研究的基础上进行演示示范。
2.7 战术边缘弹性网络安全手持设备
2023 年 6 月,DARPA 正 式 将“ 战 术 边 缘弹 性 网 络 安 全 手 持 设 备(Secure Handhelds on Assured Resilient networks at the tactical Edge,SHARE)”项目移交国防部战术攻击套件产品中心,负责将软件集成至现有及未来的 C4ISR系统与平台上。该项目旨在创建一个可连接多安全等级信息的安全弹性网络,实现不同种类之间、验证跨军用和民用网络的多涉密层级的信息安全交换。该项目技术领域涉及分布式战术安全管理、弹性安全网络、安全配置自动化。
该项目开始于 2017 年 1 月,共分为 3 个阶段。第 1 阶段为期 12 个月,承包商为 Vencore Labs 公司、RAM Laboratories 公司,针对验证技术、应用安全方法和整体系统架构进行设计与演示,并在战术边缘条件下进行网络实验;第 2阶段为期 12 个月,针对手持设备进行实地试验,并设计、演示系统结构;第 3 阶段为期 12 个月,针对集成系统的现场试验与演示。第 2、第 3 阶段承包商为 Two Six Technologies 公司、Eucleo 软件公司、Perspecta Labs 公司及 MAPPS 公司。该项目成功开发并集成了软件与网络技术,使美军和国际盟友在战术行动中实现安全、弹性的信息共享。
2.8 鲨鱼先知
2023 年 7 月,美国国家安全局(National Security Agency,NSA)正式将“鲨鱼先知(SHARKSEER)”项目过渡给国防信息系统局(Defense Information Systems Agency,DISA),并构成零信任项目“雷霆穹顶”边界安全的重要组成部分。该项目通过利用动态生成和增强全球威胁知识实现快速网络保护,以检测、缓解基于网络的恶意软件和高级持续威胁。该项目重点包括:保护互联网接入点(InterAcademy Partnership,IAP),提供高度可用、可靠的自动感知和缓解功能,并通过自动化数据分析功能建立发现和缓解的基础;实现网络态势感知和数据共享,通过自动化系统与合作伙伴实时共享相关数据。
在 2024 财年预算中,DISA 为该项目投资约400 万美元,对所有 IAP 位置和监控网络流量的安全系统防火墙和网络设备进行技术更新。
3 2023 年美军网络安全项目特点
DARPA 作为美军颠覆性技术研究的“风向标”,资助整合了行业企业、研究机构等研究力量,并以此来牵引全社会网络安全技术研究创新方向,从而为美军网络装备及技术的创新与研发工作奠定基础。2023 年,美军开展的网络安全项目具有致力于网络弹性提高、漏洞安全管理、数据安全防护、新兴技术赋能等特点。
3.1 加强弹性网络建设,保持作战信息优势
面对愈加复杂和多发的网络威胁,美国政府与国防部显现出对网络弹性的迫切需求,确保系统遭受攻击时能够继续执行任务。拜登政府《国家网络安全战略》更加强调网络弹性的重要性,承诺长期投资下一代网络空间弹性技术,最大限度地避免网络安全事件产生的持续影响;2023 年《国防部网络战略》强调通过与盟友伙伴合作,加强关键基础设施网络弹性、消除战备威胁,同时进一步投资联合部队网络弹性,确保国防部信息网络安全。
2023 年,美军特别强调网络弹性的研究和构建,针对商用设备的软硬件弹性、安全弹性网络等领域,着重加强网络防御、可恢复能力,进一步深化网络能力与大规模军事行动的融合。例如,DARPA 开展 PROVERS 项目,生产具有可验证安全属性的网络加固、弹性系统和支持性基础设施;DARPA 将 SHARE 项目移交至美国国防部战术突击套件产品中心,提供弹性的安全存储和共享能力。
3.2 升级漏洞管理能力,确保网络安全可用
美国政府和军方一直致力于确保关键基础设施和通信网络的安全性和可靠性,其中漏洞管理是重点内容。拜登政府《国家网络安全战略》强调,减少互联网基础和整个数字生态系统中的系统性技术漏洞,同时使其更能抵御跨国数字压制;2023 年《国防部网络战略》强调,通过解决网络漏洞,确保国防部信息网络安全。
2023 年,美军开展漏洞管理项目,持续识别、修复可能被恶意网络行为者利用的漏洞,以维护美军网络和系统的安全性、机密性。同时,借助人工智能等技术实现漏洞扫描挖掘、利用及防御系统和工具的研发,增强漏洞管理能力。例如,DARPA 推出 INGOTS 项目,试图创建一个新的方法进行自动漏洞特征描述、原始漏洞利用预测和漏洞利用组合,从而提高商业设备的软件和硬件弹性;IARPA 推出“偏见效应和生成式人工智能显著局限性”项目,通过开发整合新技术来有效探测 LLM,以检测、表征、减弱 LLM 的威胁模式和漏洞。
3.3 构建数据安全核心,完善网络防护体系
近年来,美军向“以数据为中心”的网络架构转型,明确将数据定位为战略资产,更加强调数据资产的安全性,并将零信任、云计算、加密算法等先进技术融入数据使用的全生命周期,构建访问控制和安全标准以保护数据安全。
美军正在采取关键步骤,在未来的云计算和数据存储平台中采用零信任架构,以减少攻击面并巩固军事部门和国防机构网络上的数据。例如,“雷霆穹顶”项目作为 DISA 零信任安全和网络架构的核心,已完成原型设计并步入了规模化生产阶段 ;DISA 托管和计算中心发布“分布式混合多云”项目,应用零信任架构、多因素身份认证搭建多云环境 ;美陆军启动“统一网络运营”项目,利用身份认证与访问管理软件来简化网络运营流程,支持开展基于属性的数据访问和交换,以满足零信任安全架构和未来战场环境需求 。
3.4 新兴技术赋能安全,全面提高防护效率
美军认为,人工智能、量子技术等新兴技术的运用将有可能成为未来网络空间的“游戏规则改变者”,因此,美军进一步加大了对相关技术的研发和利用力度,试图实现技术突破,并将根据军事需要进行转化运用。
人工智能技术方面,美军广泛应用人工智能以提高网络安全防御效率,定位威胁攻击,提升网络安全防御的自动化、智能化水平。例如,NSA 将 SHARKSEER 项目移交至 DISA,使用人工智能技术来识别和减轻零日网络攻击和高级持续威胁;DARPA 创建 INGOTS 项目,开创由程序分析和人工智能驱动的新技术,以测量现代复杂系统中的漏洞。
量 子 技 术 方 面, 美 军 持 续 加 速 量 子 信 息技术的应用研发,为关键网络基础设施提供基于量子物理的安全能力。例如,DARPA 开启QuANET 项目,开发混合量子经典通信网络架构,使量子增强经典网络的安全性。
4结 语
加强自身网络安全防御能力、保护关键基础设施能力、加强网络能力依然是拜登政府网络领域发展布局的重点。在新版《国防部网络战略》下,美军将投入更多的网络活动预算,旨在保持网络领域的先进性,加速过渡到基于零信任的下一代网络安全体系结构,加强关键基础设施防御。同时,美网络司令部联手 DARPA 启动“星座”计划,培养从研究到作战的快捷通道,让网络作战人员更快地获取新的网络能力。未来,美军将持续为网络行动的情报、科技、网络安防等赋能元素投资,扩大网络联盟及合作伙伴的网络能力,进一步加强国防部及国防工业基地的网络安全态势。
选自《信息安全与通信保密》2024年第1期