美軍網(wǎng)絡(luò)安全技術(shù)研究現(xiàn)狀及發(fā)展趨勢★

胡璇，李煒玥，冷昊，程德斌

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 511370；2.智能制造裝備通用質(zhì)量技術(shù)及應(yīng)用工業(yè)和信息化部重點(diǎn)實(shí)驗(yàn)室，廣東 廣州 511370）

0 引言

科技創(chuàng)新能力已經(jīng)越來越成為衡量一國綜合國力、軍事實(shí)力的決定性因素，也深刻地影響著武器裝備的發(fā)展和未來作戰(zhàn)模式。以美國為代表的軍事強(qiáng)國高度重視并長期堅(jiān)持科技創(chuàng)新，通過制定戰(zhàn)略規(guī)劃、強(qiáng)化頂層管理和加快項(xiàng)目布局等方式，多措并舉推動(dòng)科技創(chuàng)新，加速前沿科技創(chuàng)新成果的軍事應(yīng)用[1-2]。

縱觀21世紀(jì)數(shù)十年，網(wǎng)絡(luò)空間問題日益凸顯，網(wǎng)絡(luò)威脅層出不窮，網(wǎng)絡(luò)空間已成為繼陸、海、空、天外的第五主權(quán)空間，成為國家主權(quán)延伸的新疆域。美國長期以來憑借自身在信息技術(shù)領(lǐng)域的巨大優(yōu)勢，成為了當(dāng)之無愧的網(wǎng)絡(luò)強(qiáng)國[3]。網(wǎng)絡(luò)安全技術(shù)能夠高效、穩(wěn)定、安全地實(shí)現(xiàn)信息收集、信息處理、信息存儲(chǔ)和信息傳輸，跨越了物理層、信息層、認(rèn)知層和社會(huì)層，深度融入陸、海、空、天、網(wǎng)、電各個(gè)作戰(zhàn)域，是實(shí)現(xiàn)聯(lián)合作戰(zhàn)任務(wù)規(guī)劃和信息資源共享利用的核心技術(shù)，也是集成指揮控制、情報(bào)偵察和預(yù)警探測等功能系統(tǒng)的橋梁和紐帶。該技術(shù)領(lǐng)域是全球研發(fā)投入最集中、創(chuàng)新最活躍、技術(shù)更新?lián)Q代最快、軍事應(yīng)用最廣泛和輻射帶動(dòng)作用最大的技術(shù)創(chuàng)新領(lǐng)域[2]。

網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展，在全球范圍內(nèi)帶來了巨大的變革，同時(shí)對我軍信息化建設(shè)和作戰(zhàn)樣式產(chǎn)生了深遠(yuǎn)的影響，特別是在戰(zhàn)場環(huán)境下，掌握技術(shù)優(yōu)勢的一方往往掌握著戰(zhàn)場主動(dòng)權(quán)。搶占網(wǎng)絡(luò)安全技術(shù)的發(fā)展高地，既是科技發(fā)展的必經(jīng)之路，也是加快未來兵力建設(shè)、奪取戰(zhàn)場主動(dòng)權(quán)的迫切需要[2]。

1 美軍網(wǎng)絡(luò)安全模型架構(gòu)及發(fā)展歷史

1.1 美國網(wǎng)絡(luò)安全模型架構(gòu)分類

美國政府目前主要以以下3種網(wǎng)絡(luò)安全模型架構(gòu)作為參考。

a）國防部聯(lián)合信息環(huán)境（JIE）

該網(wǎng)絡(luò)旨在建立標(biāo)準(zhǔn)化的服務(wù)和管制措施，將更多的數(shù)據(jù)控制在受保護(hù)的環(huán)境中，并利用49個(gè)聯(lián)合區(qū)域安全棧（JRSS）限制與公共網(wǎng)絡(luò)的連接。JRSS扮演了國防網(wǎng)絡(luò)與全球互聯(lián)網(wǎng)之間網(wǎng)關(guān)的角色[4-6]。

b）情報(bào)界信息技術(shù)企業(yè)（ICITE）

該網(wǎng)絡(luò)耗資數(shù)十億美元，包括建立共用傳輸和安全層，實(shí)現(xiàn)情報(bào)界IT服務(wù)的協(xié)調(diào)一致和標(biāo)準(zhǔn)化[7]。

c）國土安全部OneNet

它是一種集中式的虛擬網(wǎng)絡(luò)結(jié)構(gòu)，將國土安全部下屬的7大主要部門和15個(gè)子部門連接在一起。

從普適性、可參考性等方面考慮，本文將JIE作為主要的研究對象。

1.2 聯(lián)合信息環(huán)境簡介

1.2.1 全球網(wǎng)絡(luò)信息柵格到聯(lián)合信息環(huán)境的發(fā)展歷史

全球網(wǎng)絡(luò)信息柵格（GIG：Global Information Grid）[8-10]是美軍在提出JIE之前構(gòu)建實(shí)施的巨大而復(fù)雜的通信與服務(wù)系統(tǒng)，其網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)由不同的分布式服務(wù)單元組成，旨在將美國國防部的所有的信息系統(tǒng)、服務(wù)及應(yīng)用，集成為一個(gè)無縫隙的、可靠的和安全的網(wǎng)絡(luò)。但隨著GIG演進(jìn)工作的不斷推進(jìn)，原有的設(shè)計(jì)逐步地暴露出構(gòu)建成本高昂、互聯(lián)能力有限、新技術(shù)采用緩慢和事件響應(yīng)靈活性差等問題，美軍構(gòu)想的信息共享、基礎(chǔ)設(shè)施建設(shè)、系統(tǒng)和服務(wù)采辦模式、聯(lián)合訓(xùn)練、通信保障及作戰(zhàn)支持等能力并未達(dá)到預(yù)期目標(biāo)。其根本原因在于，在GIG所代表的傳統(tǒng)信息框架下，各軍種具備自行設(shè)計(jì)網(wǎng)絡(luò)、開展網(wǎng)絡(luò)防御的決定權(quán)。盡管美軍國防部在各軍種、軍事機(jī)構(gòu)中推動(dòng)和實(shí)施了多個(gè)網(wǎng)絡(luò)安全戰(zhàn)略性項(xiàng)目，但GIG各個(gè)組成單元之間相互脫節(jié)的網(wǎng)絡(luò)安全策略和保護(hù)措施多樣化的實(shí)現(xiàn)途徑，導(dǎo)致網(wǎng)絡(luò)安全本質(zhì)上的整體保障能力存在巨大的風(fēng)險(xiǎn)。

1.2.2 聯(lián)合信息環(huán)境的概念、意義及整體框架

2011年，美軍基于安全性考慮，對整個(gè)GIG重新設(shè)計(jì)，提出了JIE。其技術(shù)實(shí)現(xiàn)由美國國防信息系統(tǒng)局（DISA）主導(dǎo)，是一個(gè)單一、聯(lián)合、安全、可靠和敏捷的指揮、控制、通信和計(jì)算企業(yè)信息環(huán)境。美軍的目標(biāo)是使得JIE包含所有的國防部網(wǎng)絡(luò)，在2020年前，利用JIE使所有的軍種實(shí)現(xiàn)互聯(lián)互通，以安全、高效的方式為作戰(zhàn)人員提供所需的信息服務(wù)，實(shí)現(xiàn)“3個(gè)任意”的愿景——美軍作戰(zhàn)人員能夠基于任意設(shè)備、在任意時(shí)間、在全球范圍的任意地方獲取所需的信息，以滿足聯(lián)合作戰(zhàn)的需求[11]。JIE的預(yù)期效果如圖1所示。

圖1 JIE的預(yù)期效果

JIE的主要目的是通過減少基礎(chǔ)設(shè)施和人員配置來提高運(yùn)營效率，增強(qiáng)網(wǎng)絡(luò)安全性，節(jié)省資金。從GIG到JIE，意味著美軍基礎(chǔ)設(shè)施的建設(shè)模式從部門間相互協(xié)同轉(zhuǎn)變?yōu)檎嬲囊惑w化，美軍從“以網(wǎng)絡(luò)為中心”轉(zhuǎn)變?yōu)椤耙詳?shù)據(jù)為中心”[11]。

JIE為美國國防部構(gòu)建了6項(xiàng)關(guān)鍵能力：單一安全架構(gòu)（SSA）、網(wǎng)絡(luò)規(guī)范化、身份與訪問管理（IAM）、企業(yè)服務(wù)、云計(jì)算、數(shù)據(jù)中心整合。JIE的8個(gè)現(xiàn)代化領(lǐng)域包括：網(wǎng)絡(luò)現(xiàn)代化、網(wǎng)絡(luò)安全體系結(jié)構(gòu)、企業(yè)運(yùn)營、計(jì)算與存儲(chǔ)、企業(yè)服務(wù)、任務(wù)伙伴環(huán)境（MPE）、身份和訪問管理（IdAM）、移動(dòng)性。JIE整體框架如圖2所示。

圖2 JIE的整體框架

鑒于單一安全架構(gòu)的重要作用，下面將對其進(jìn)行詳細(xì)的介紹，并對其核心實(shí)現(xiàn)之一的JRSS、進(jìn)一步發(fā)展演進(jìn)的安全云計(jì)算架構(gòu)（SCCA）和零信任架構(gòu)（ZTA）進(jìn)行介紹。

1.2.3 SSA簡介

減少攻擊面是美國防部網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵原則之一，而SSA正是貫徹這一安全原則的產(chǎn)物，其對應(yīng)前述JIE的6項(xiàng)關(guān)鍵能力的第1項(xiàng)和8個(gè)現(xiàn)代化領(lǐng)域的第2項(xiàng)[11]。下面對單一安全架構(gòu)進(jìn)行介紹。

a）SSA的基本思想

由于多種非標(biāo)準(zhǔn)化安全實(shí)現(xiàn)帶來大量的美國防部網(wǎng)絡(luò)攻擊面暴露，所以SSA的基本思想是標(biāo)準(zhǔn)化安全實(shí)現(xiàn)，以減小網(wǎng)絡(luò)攻擊面暴露，SSA的名稱“單一安全架構(gòu)”也體現(xiàn)了這一思想。

b）SSA的定義與定位

1）SSA定義

SSA是一個(gè)聯(lián)合的安全架構(gòu)，為美國防部所有軍事機(jī)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)防御提供了通用方法[12-13]：

使用標(biāo)準(zhǔn)化的安全防護(hù)功能集/套件，在最佳位置開展防御；

移除冗余的、不必要的信息保障手段，以提高效能；

通過集中式計(jì)算機(jī)網(wǎng)絡(luò)防御數(shù)據(jù)庫，控制用戶數(shù)據(jù)流動(dòng)，并向基地/哨所/營地/臺(tái)站（B/P/C/S）提供全局態(tài)勢感知；

在服務(wù)器、用戶資產(chǎn)與骨干網(wǎng)分離時(shí)，保護(hù)網(wǎng)絡(luò)飛地；

在JIE指定的美國防部企業(yè)操作中心（EOC）中，提供用于監(jiān)視和控制所有安全手段的工具集。

2）SSA定位

SSA的提出體現(xiàn)了美軍為扭轉(zhuǎn)安全防護(hù)的不利態(tài)勢而在JIE中做出的不懈努力。SSA在JIE中的定位為：SSA對應(yīng)于JIE關(guān)鍵目標(biāo)中的“建立整體的企業(yè)化安全架構(gòu)，以確保優(yōu)化的和同步化的網(wǎng)絡(luò)、項(xiàng)目和企業(yè)化服務(wù)，以及聯(lián)合和聯(lián)盟作戰(zhàn)行動(dòng)”這一要求。其主要原理為：降低所需的信息技術(shù)設(shè)備總量、實(shí)現(xiàn)配置標(biāo)準(zhǔn)化，建立企業(yè)級(jí)的安全共享協(xié)議和簡化數(shù)據(jù)路由等。

c）SSA目的

建立SSA的目的是打破軍兵種間分割和安全防御的各自為戰(zhàn)，整合成一個(gè)安全集成框架。

1）將最佳的作戰(zhàn)司令部/軍種/機(jī)構(gòu)（CC/S/A）的信息保障能力和實(shí)踐，應(yīng)用于JIE安全體系結(jié)構(gòu)中。

2）用戶在單一安全架構(gòu)支撐下，能夠連接以前從未訪問過的外部網(wǎng)絡(luò)，從而獲得更靈活的戰(zhàn)術(shù)優(yōu)勢。

3）SSA通過規(guī)整網(wǎng)絡(luò)安全邊界，減少外部攻擊面、管理標(biāo)準(zhǔn)化和操作、技術(shù)控制，確保在所有的任務(wù)背景下美軍國防部信息資產(chǎn)的保密性、完整性和可用性，同時(shí)能夠促進(jìn)快速攻擊偵察、診斷、控制和響應(yīng)能力的實(shí)現(xiàn)。

4）試圖解決在實(shí)施任務(wù)保障時(shí)存在的機(jī)構(gòu)重疊、職責(zé)不清等問題，消除系統(tǒng)煙囪和網(wǎng)絡(luò)安全邊界，減少暴露于外部的攻擊面，實(shí)現(xiàn)參戰(zhàn)單元的信息互通及快速、安全的數(shù)據(jù)共享，推進(jìn)安全機(jī)制和協(xié)議規(guī)范的復(fù)用，降低已有系統(tǒng)改造和集成的耗費(fèi)，從而使得信息基礎(chǔ)設(shè)施管理員們更方便地監(jiān)控和發(fā)現(xiàn)潛在的安全威脅，并更迅速地應(yīng)對。

總之，SSA更多的是一種安全思想，而其落地實(shí)現(xiàn)則會(huì)分解到更多的安全能力模塊中，如JRSS就是SSA的核心實(shí)現(xiàn)之一。

1.2.4 JRSS簡介

JRSS[14]開發(fā)部署的推進(jìn)方為美國國防信息系統(tǒng)局、美陸軍、美空軍和洛克希德·馬丁公司，旨在為各軍種創(chuàng)造一個(gè)聯(lián)合安全環(huán)境而共同努力，確保美國防部使命的完成。JRSS由一系列相輔相成的安全站點(diǎn)、設(shè)備和機(jī)制構(gòu)成，部署在美國防部多協(xié)議標(biāo)簽交換（MPLS）網(wǎng)絡(luò)的邊緣處。JRSS的關(guān)鍵任務(wù)領(lǐng)域包括可信網(wǎng)絡(luò)接入、多協(xié)議標(biāo)簽交換、管理可視化和持續(xù)監(jiān)控等。具體而言，設(shè)立該堆棧的最初目的是為了縮小網(wǎng)絡(luò)攻擊面，將來自世界各地?zé)o數(shù)的機(jī)密入口點(diǎn)合并到25個(gè)站點(diǎn)中。然而，由于整合不同的商業(yè)技術(shù)相當(dāng)復(fù)雜，JRSS培訓(xùn)和標(biāo)準(zhǔn)操作流程也尚不成熟，使得JRSS在維護(hù)網(wǎng)絡(luò)安全方面表現(xiàn)不佳，且未達(dá)預(yù)期。而隨著JRSS計(jì)劃的逐步淘汰，也產(chǎn)生了新的替代方案。

1.2.5 安全云計(jì)算架構(gòu)簡介

伴隨著美國防部云戰(zhàn)略的推進(jìn)，云上安全日益緊迫。但是，在JIE的單一安全架構(gòu)中，JRSS家族的互聯(lián)網(wǎng)訪問點(diǎn)（IAP）和云訪問點(diǎn)（CAP），傳統(tǒng)上只專注于保護(hù)網(wǎng)絡(luò)安全，而非數(shù)據(jù)或身份安全。而隨著越來越多的美國防部員工和承包商開展遠(yuǎn)程工作并且數(shù)據(jù)量增加， 傳統(tǒng)硬件無法擴(kuò)展以支持他們。這又引起了對性能、可靠性、延遲和成本的持續(xù)關(guān)注[15]。

作為對云安全和性能等問題的回應(yīng)，美國防部利用了來自聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃（Fed RAMP）的授權(quán)解決方案，其參考了《安全云計(jì)算架構(gòu)指南》[16]，為托管在商業(yè)云環(huán)境中的4級(jí)和5級(jí)數(shù)據(jù)提供邊界和應(yīng)用級(jí)安全的標(biāo)準(zhǔn)方法。安全云計(jì)算架構(gòu)的目的是在美國防部信息網(wǎng)絡(luò)和國防部使用的商業(yè)云服務(wù)之間提供保護(hù)屏障，并優(yōu)化網(wǎng)絡(luò)安全的性價(jià)比。

1.2.6 零信任架構(gòu)簡介

經(jīng)歷了JIE的單一安全架構(gòu)和安全云計(jì)算架構(gòu)的發(fā)展，仍然不能認(rèn)為JIE已經(jīng)實(shí)現(xiàn)了從以網(wǎng)絡(luò)為中心向以數(shù)據(jù)為中心的轉(zhuǎn)變。保護(hù)美國國防信息系統(tǒng)局和美國防部網(wǎng)絡(luò)的下一步演進(jìn)，是擁抱具有零信任能力的安全訪問邊緣模型（SASE）。SASE將基本的安全功能（例如：Web網(wǎng)關(guān)防火墻、零信任能力、數(shù)據(jù)防泄漏和安全網(wǎng)絡(luò)連接等），全都移到云中。這樣一來，美國防部雇員可以直接訪問云，而安全性則被推到盡可能地接近用戶/數(shù)據(jù)/設(shè)備的位置。

NIST SP 800—27《零信任架構(gòu)指南》[17]提供了在整個(gè)企業(yè)環(huán)境中遷移和部署零信任的路線圖。該指南概述了零信任的必要原則，包括保護(hù)所有的通信（無論網(wǎng)絡(luò)位置如何）和基于會(huì)話授予訪問權(quán)限。這將創(chuàng)建最小特權(quán)訪問模型，以確保合適的人員、設(shè)備和服務(wù)可以訪問他們所需的數(shù)據(jù)，同時(shí)保護(hù)高價(jià)值資產(chǎn)。

隨著美國防部將JIE架構(gòu)轉(zhuǎn)變?yōu)榫哂辛阈湃文芰Φ募捶?wù)模式，國防機(jī)構(gòu)將節(jié)省成本，提高可擴(kuò)展性，為最終用戶和作戰(zhàn)人員提供更好的性能，提高可見性，對國防部全網(wǎng)進(jìn)行控制，最終將獲得更強(qiáng)大、更全面的網(wǎng)絡(luò)安全能力[18]。

1.3 小結(jié)

美國防部JIE框架本身，是網(wǎng)絡(luò)、業(yè)務(wù)、安全的綜合架構(gòu)，是自上而下體系化設(shè)計(jì)的代表。JIE框架中安全防護(hù)的最大特色是其整體安全架構(gòu)，即單一安全架構(gòu)。通過它將JIE整合至統(tǒng)一安全架構(gòu)中。在信息系統(tǒng)持續(xù)集成和整合的大背景下，逐步地實(shí)現(xiàn)各軍兵種現(xiàn)存安全架構(gòu)的整合統(tǒng)一，進(jìn)而解決在實(shí)施任務(wù)保障時(shí)存在的機(jī)構(gòu)重疊、職責(zé)不清等問題，消除安全系統(tǒng)煙囪和網(wǎng)絡(luò)安全邊界，在降低成本的同時(shí)提高效率。正是由于SSA奠定的基本安全思想，才會(huì)進(jìn)而采取JRSS的標(biāo)準(zhǔn)化實(shí)現(xiàn)，解決中間點(diǎn)的安全問題；采取安全云計(jì)算架構(gòu)的標(biāo)準(zhǔn)化要求，解決云安全問題；采用零信任架構(gòu)思想，解決身份與訪問安全問題[11]。

上述發(fā)展歷程也反映出安全要從頂層進(jìn)行體系化設(shè)計(jì)，要從安全規(guī)劃和安全架構(gòu)做起。每個(gè)企業(yè)級(jí)用戶都應(yīng)該有適應(yīng)自身業(yè)務(wù)特色的安全架構(gòu)，才能有自己的安全“主心骨”和“脈絡(luò)”，才能實(shí)現(xiàn)自身安全的持續(xù)演進(jìn)[11]。

2 美軍網(wǎng)絡(luò)安全相關(guān)技術(shù)進(jìn)展及重點(diǎn)項(xiàng)目

目前，在人工智能、區(qū)塊鏈和網(wǎng)絡(luò)安全等技術(shù)領(lǐng)域中，很多科技創(chuàng)新成果已經(jīng)取得了突破性進(jìn)展，未來將對武器裝備發(fā)展和作戰(zhàn)產(chǎn)生深遠(yuǎn)的影響，值得高度關(guān)注[2]。

2.1 人工智能和自動(dòng)化領(lǐng)域

美國防部將人工智能作為“第三次抵消戰(zhàn)略”的核心基礎(chǔ)技術(shù)，在研的人工智能技術(shù)項(xiàng)目約600個(gè)。

a）通過“數(shù)據(jù)決策計(jì)劃” “數(shù)據(jù)擴(kuò)展計(jì)劃”等，以安全大數(shù)據(jù)為基礎(chǔ)，突破關(guān)鍵技術(shù)、開展大型技術(shù)項(xiàng)目、研發(fā)相關(guān)裝備，不斷地提高基于環(huán)境的、動(dòng)態(tài)的、整體的網(wǎng)絡(luò)威脅感知能力，從全局視角提升對安全威脅的發(fā)現(xiàn)識(shí)別、理解分析和響應(yīng)處置能力[2]。

b）美國防高級(jí)研究計(jì)劃局（DARPA）在“人機(jī)探索網(wǎng)絡(luò)安全” （CHESS）項(xiàng)目下設(shè)立“防止漏洞利用的合并分析” （MATE）項(xiàng)目，尋求創(chuàng)建自動(dòng)化的程序分析技術(shù)，開發(fā)可擴(kuò)展的人-機(jī)混合網(wǎng)絡(luò)漏洞評(píng)估工具，從而實(shí)現(xiàn)以下目標(biāo)：通過自動(dòng)化相關(guān)程序減少單調(diào)、耗時(shí)的任務(wù)，提高網(wǎng)絡(luò)專家的工作效率；通過開發(fā)補(bǔ)充自動(dòng)推理的新技術(shù)，使非專家能夠致力于漏洞評(píng)估工作；開發(fā)先進(jìn)的自動(dòng)化工具，對特定應(yīng)用程序需求的關(guān)鍵漏洞進(jìn)行檢測[19]。

c）在網(wǎng)絡(luò)安全主動(dòng)防御智能檢測方面，基于人工智能的安全威脅自主學(xué)習(xí)檢測，可大幅度地縮短網(wǎng)絡(luò)攻擊檢測時(shí)間，根據(jù)威脅等級(jí)、種類和行為自動(dòng)制定處置方案，同時(shí)還能實(shí)現(xiàn)自主學(xué)習(xí)，不斷地提高防御水平[19]。美陸軍尋求為戰(zhàn)術(shù)通信網(wǎng)絡(luò)開發(fā)具有自主網(wǎng)絡(luò)防護(hù)能力的人工智能和機(jī)器學(xué)習(xí)產(chǎn)品，相關(guān)技術(shù)包括：自主檢測和修補(bǔ)已知網(wǎng)絡(luò)漏洞技術(shù)；自主識(shí)別和糾正網(wǎng)絡(luò)及主機(jī)錯(cuò)誤配置方法；自主檢測已知和未知惡意軟件樣本方法；紅隊(duì)自主決策引擎工具和方法。

d）美國防高級(jí)研究計(jì)劃局開展的“保證人工智能抵御欺騙的穩(wěn)健性” （GARD）研發(fā)項(xiàng)目，旨在開發(fā)新一代對機(jī)器學(xué)習(xí)模型對抗性欺騙攻擊的防御，對對抗性人工智能的新型響應(yīng)將集中于3個(gè)主要目標(biāo)：可防御機(jī)器學(xué)習(xí)理論基礎(chǔ)的發(fā)展和基于其的新防御機(jī)制的詞匯；在各種環(huán)境中創(chuàng)建和測試防御系統(tǒng)；構(gòu)建一個(gè)新的測試平臺(tái)，用于表征相對于威脅場景的機(jī)器學(xué)習(xí)防御性[19]。

e）美國防高級(jí)研究計(jì)劃局開展的“快速攻擊檢測、隔離和特征識(shí)別系統(tǒng)” （RADICS）研發(fā)項(xiàng)目，與國土安全部、能源部、國民警衛(wèi)隊(duì)和電力公司開展合作，利用人工智能來解決電網(wǎng)網(wǎng)絡(luò)安全問題，在電網(wǎng)發(fā)生網(wǎng)絡(luò)攻擊時(shí)實(shí)現(xiàn)“黑啟動(dòng)”恢復(fù)[20-21]。

總之，相關(guān)人工智能和自動(dòng)化技術(shù)成果已在C4ISR、網(wǎng)絡(luò)攻防和電子戰(zhàn)等領(lǐng)域中開展了初步的技術(shù)應(yīng)用和試驗(yàn)驗(yàn)證。

2.2 區(qū)塊鏈領(lǐng)域

美國政府于2017年專門成立由兩黨成員組成的區(qū)塊鏈核心小組，負(fù)責(zé)完善與區(qū)塊鏈技術(shù)、數(shù)字貨幣相關(guān)的公共政策。政府和業(yè)界共同討論了區(qū)塊鏈將如何在數(shù)據(jù)安全、密鑰管理等領(lǐng)域中發(fā)揮作用，并發(fā)布《區(qū)塊鏈：分布式賬本為機(jī)構(gòu)帶來希望》。美國防部《2018財(cái)年國防授權(quán)法案》[22]明確提出，要對區(qū)塊鏈的網(wǎng)絡(luò)應(yīng)用開展全面研究。具體包括以下項(xiàng)目。

a）美國防高級(jí)研究計(jì)劃局重點(diǎn)推進(jìn)全員匿名彈性通信（RACE）項(xiàng)目[2]，開發(fā)非對稱加密和通信混淆技術(shù)以實(shí)現(xiàn)匿名，形成具有攻擊彈性的移動(dòng)通信網(wǎng)絡(luò)環(huán)境；同時(shí)結(jié)合分布式計(jì)算與通信協(xié)議封裝方法，開發(fā)提供安全消息傳遞服務(wù)的移動(dòng)電話應(yīng)用程序和分布式系統(tǒng)。

b）分布式結(jié)構(gòu)高保障軍事網(wǎng)絡(luò)系統(tǒng)（HACMS）項(xiàng)目[2]，開發(fā)新型分布式網(wǎng)絡(luò)結(jié)構(gòu)，用于改進(jìn)關(guān)鍵任務(wù)嵌入式計(jì)算系統(tǒng)，構(gòu)建軍事系統(tǒng)安全高保障能力。

c） “無鑰簽名”基礎(chǔ)設(shè)施（KSI）[2]利用區(qū)塊鏈技術(shù)檢測網(wǎng)絡(luò)中隱藏的高持續(xù)性威脅，并及時(shí)地跟蹤到系統(tǒng)被查看或被篡改的情況，有效地保障網(wǎng)絡(luò)安全。

d）美國國防信息系統(tǒng)局聯(lián)合美國網(wǎng)絡(luò)司令部（Cyber Command）要在國防部保密網(wǎng)絡(luò)秘密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(luò)（SIPRNet）中試用零信任聯(lián)網(wǎng)技術(shù)。

e）美空軍尋求將區(qū)塊鏈技術(shù)應(yīng)用于空軍網(wǎng)絡(luò)系統(tǒng)與流程，以實(shí)現(xiàn)通信保護(hù)、數(shù)據(jù)安全和任務(wù)的有效性[19]。

總之，相關(guān)區(qū)塊鏈技術(shù)成果正在戰(zhàn)場通信、國防關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施等領(lǐng)域中開展技術(shù)應(yīng)用探索。

2.3 網(wǎng)絡(luò)安全領(lǐng)域

美軍正在大力研發(fā)網(wǎng)絡(luò)主動(dòng)防御、網(wǎng)絡(luò)彈性與機(jī)動(dòng)、網(wǎng)絡(luò)態(tài)勢感知分析等網(wǎng)絡(luò)安全技術(shù)。

2.3.1 網(wǎng)絡(luò)主動(dòng)防御技術(shù)

該技術(shù)是指利用人工智能、機(jī)器學(xué)習(xí)等技術(shù)，使設(shè)備和系統(tǒng)能夠自動(dòng)檢測網(wǎng)絡(luò)威脅、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并自動(dòng)修復(fù)漏洞、抵御攻擊，減少設(shè)備和系統(tǒng)受攻擊面的一類技術(shù)[2]。美軍重點(diǎn)開展了“脆弱性緩解” “航空電子設(shè)備網(wǎng)絡(luò)脆弱性”等項(xiàng)目，能夠優(yōu)化軍事系統(tǒng)和軟件的冗余代碼，快速地挖掘系統(tǒng)內(nèi)部漏洞并進(jìn)行修復(fù)[2]。2020年6月， 美國防高級(jí)研究計(jì)劃局發(fā)布首個(gè)漏洞報(bào)告獎(jiǎng)勵(lì)項(xiàng)目——發(fā)現(xiàn)漏洞阻止篡改（FETT），為“通過硬件和固件進(jìn)行系統(tǒng)安全集成” （SSITH）項(xiàng)目發(fā)現(xiàn)可能削弱其硬件防護(hù)能力的潛在漏洞或缺陷。美陸軍與國防部聯(lián)合建設(shè)“大數(shù)據(jù)平臺(tái)”，構(gòu)建允許多種網(wǎng)絡(luò)傳感器進(jìn)行存儲(chǔ)、計(jì)算和分析的混合云環(huán)境，旨在為陸軍打造一個(gè)更安全的防御性網(wǎng)絡(luò)工具開發(fā)環(huán)境[19]。美空軍委托博思艾倫建立了Block IIR GPS衛(wèi)星的“數(shù)字孿生”，隨后對GPS衛(wèi)星的通信鏈路進(jìn)行了“中間人”攻擊，以識(shí)別衛(wèi)星與其地面控制站之間的潛在漏洞[19]。美泰科技公司（ManTech）推出的“太空靶場” （Space Range），利用對進(jìn)攻性網(wǎng)絡(luò)的深入研究來幫助保護(hù)美國軍事、情報(bào)界和商業(yè)太空資產(chǎn)免受惡性網(wǎng)絡(luò)的攻擊。該解決方案能夠構(gòu)建網(wǎng)絡(luò)的精確副本來測試其地面和軌道網(wǎng)絡(luò)中的漏洞，包括基于物理的流量整形和鏈路建模、多處理器體系結(jié)構(gòu)和物理在環(huán)硬件（HWIL）的無縫集成，還可以培訓(xùn)其網(wǎng)絡(luò)專業(yè)人員[19]。

隨著該技術(shù)的不斷發(fā)展，可有效地縮短漏洞挖掘、修復(fù)的時(shí)間，減輕各類針對系統(tǒng)漏洞的先進(jìn)持續(xù)性威脅，減少受攻擊面。

2.3.2 網(wǎng)絡(luò)彈性與機(jī)動(dòng)技術(shù)

該技術(shù)是指使網(wǎng)絡(luò)資源始終處于動(dòng)態(tài)變化狀態(tài)，增加對手發(fā)動(dòng)網(wǎng)絡(luò)攻擊的難度和成本，同時(shí)能夠保證系統(tǒng)在網(wǎng)絡(luò)攻擊下正常運(yùn)行，或快速地從攻擊中恢復(fù)的一類技術(shù)，美陸軍的“變體網(wǎng)絡(luò)技術(shù)”、雷神公司的“網(wǎng)絡(luò)機(jī)動(dòng)指控技術(shù)”等都屬于該技術(shù)范疇[2]。

2.3.3 網(wǎng)絡(luò)態(tài)勢感知分析技術(shù)

美軍當(dāng)前重點(diǎn)開展“網(wǎng)絡(luò)態(tài)勢感知統(tǒng)一平臺(tái)”“聯(lián)合指揮控制系統(tǒng)”等項(xiàng)目，以增強(qiáng)美軍的多域作戰(zhàn)能力，縮短作戰(zhàn)規(guī)劃時(shí)間，提升決策品質(zhì)和速度，縮短網(wǎng)絡(luò)作戰(zhàn)殺傷鏈路，提高網(wǎng)絡(luò)作戰(zhàn)節(jié)奏效能[2]。美國防高級(jí)研究計(jì)劃局開展的“網(wǎng)絡(luò)安全威脅預(yù)測的驗(yàn)證證據(jù)和彈性設(shè)計(jì)” （VERDICT）項(xiàng)目[19]，旨在跨多種計(jì)算機(jī)系統(tǒng)工作，如用于智能設(shè)備、船舶、飛機(jī)、發(fā)電廠和風(fēng)電場的計(jì)算機(jī)系統(tǒng)等。其目標(biāo)是為系統(tǒng)提供對網(wǎng)絡(luò)威脅的全面評(píng)估，對暴露的漏洞提出解決建議，并預(yù)測即將發(fā)生的攻擊的可能性。美軍實(shí)驗(yàn)室和陶森大學(xué)的研究人員共同開發(fā)新程序，通過壓縮單位內(nèi)網(wǎng)絡(luò)流量來提前預(yù)測黑客行徑并做出反應(yīng)，從而更快地阻止黑客對國防部網(wǎng)絡(luò)發(fā)動(dòng)攻擊[19]。雷神公司推出針對美軍武器系統(tǒng)的網(wǎng)絡(luò)威脅檢測系統(tǒng)（CADS），可查找飛機(jī)、衛(wèi)星、導(dǎo)彈系統(tǒng)和車輛等平臺(tái)整體系統(tǒng)的異常情況，檢測網(wǎng)絡(luò)入侵、篡改和黑客攻擊，并及時(shí)地通知飛機(jī)和車輛機(jī)組人員[19]。美陸軍開發(fā)“網(wǎng)絡(luò)態(tài)勢感知”原型系統(tǒng)，發(fā)展可視化網(wǎng)絡(luò)態(tài)勢感知能力。該系統(tǒng)利用“指揮所計(jì)算環(huán)境”基礎(chǔ)設(shè)施，從時(shí)間、物理空間和邏輯空間之間相互關(guān)聯(lián)的角度，快速地展現(xiàn)網(wǎng)絡(luò)空間事件、事件影響和相關(guān)狀態(tài)，呈現(xiàn)與陸軍戰(zhàn)略、作戰(zhàn)和戰(zhàn)術(shù)單位網(wǎng)絡(luò)電磁活動(dòng)作戰(zhàn)環(huán)境相關(guān)的綜合圖景，幫助戰(zhàn)術(shù)指揮官跨越不同威脅向量和行為、各類行動(dòng)和任務(wù)的不同的階段，及時(shí)地掌握威脅態(tài)勢，進(jìn)而做出更快速、更明智的行動(dòng)決策。項(xiàng)目分3個(gè)階段，包括：實(shí)現(xiàn)“看見自己的能力”階段；實(shí)現(xiàn)“看見戰(zhàn)場的能力”階段；實(shí)現(xiàn)“感知戰(zhàn)場態(tài)勢的能力”階段[19]。

此外，美軍還在加強(qiáng)“體系化防御技術(shù)”創(chuàng)新，突破“點(diǎn)防御”思維局限，通過體系化配合使用監(jiān)測、拒止、切斷、降級(jí)和誘騙等諸多技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊全過程的體系化跟蹤、識(shí)別和打擊。

2.4 先進(jìn)加密與檢測領(lǐng)域

美國從2011年以來，一直在推行密碼現(xiàn)代化計(jì)劃，積極地研發(fā)新型加密技術(shù)，意在從根本上解決傳統(tǒng)加密技術(shù)的各種安全隱患。

a）2019年2月，美海軍發(fā)布Navy Cryptologic&Cyber Warfare Community Vision》[23]，提出充分利用密碼學(xué)研究成果來應(yīng)對網(wǎng)絡(luò)威脅。目前，美國已在生物加密、量子加密和全同態(tài)加密等技術(shù)領(lǐng)域中取得了領(lǐng)先地位。

b）為降低冗長密碼、通用訪問卡等傳統(tǒng)身份認(rèn)證技術(shù)帶來的安全風(fēng)險(xiǎn)，美國防高級(jí)研究計(jì)劃局重點(diǎn)研發(fā)在不中斷網(wǎng)絡(luò)用戶行為的情況下，實(shí)時(shí)、主動(dòng)地檢測其身份合法性的“主動(dòng)認(rèn)證”技術(shù)，可對網(wǎng)絡(luò)用戶的行為特征進(jìn)行檢測，該技術(shù)已在2014年實(shí)現(xiàn)對軍用臺(tái)式機(jī)和筆記本計(jì)算機(jī)用戶進(jìn)行身份檢測[2]。

c）2020年5月，美國防高級(jí)研究計(jì)劃局授出“加密驗(yàn)證與評(píng)估信息安全保障” （SIEVE）項(xiàng)目合同，旨在通過研發(fā)零知識(shí)證明技術(shù)來實(shí)現(xiàn)復(fù)雜軍事應(yīng)用中的加密技術(shù)，增強(qiáng)美軍方信息安全和可信計(jì)算能力[2]。據(jù)稱，該項(xiàng)目共有3個(gè)技術(shù)領(lǐng)域：構(gòu)建有用的零知識(shí)語句；構(gòu)建高效的零知識(shí)證明生成編譯器；后量子零知識(shí)研究。

d）2020年8月，美國防高級(jí)研究計(jì)劃局發(fā)布“穩(wěn)健物聯(lián)網(wǎng)中超大規(guī)模架構(gòu)的加密技術(shù)”（CHARIOT）項(xiàng)目[2]，旨在為物聯(lián)網(wǎng)設(shè)備開發(fā)快速、高效、低成本、抗量子的革命性加密技術(shù)，以保護(hù)美軍方目前使用的大量物聯(lián)網(wǎng)設(shè)備。這些設(shè)備的安全風(fēng)險(xiǎn)隨著量子計(jì)算和5G無線網(wǎng)絡(luò)的運(yùn)用變得愈發(fā)突出。另外，由于一些物聯(lián)網(wǎng)設(shè)備預(yù)計(jì)將使用10年以上，軍方需要低功耗的加密解決方案。

e）2020年10月，美國光騎士公司推出首款量子加密產(chǎn)品，使用量子軟件與板載量子處理器，利用物理工作空間中的光來傳輸和加密數(shù)據(jù)，在通過量子加密保證數(shù)據(jù)安全的同時(shí)，還可將光纖上行鏈路的量子數(shù)據(jù)直接傳送到物聯(lián)網(wǎng)設(shè)備中，以最大程度地確保安全[2]。

2.5 量子信息領(lǐng)域

美國在量子通信方面的研究起步較早，一些成果已用于軍事、國防等領(lǐng)域的國家級(jí)保密通信中，目前正在創(chuàng)建一套輻射狀的量子互聯(lián)網(wǎng)，并將量子通信應(yīng)用于虛擬貨幣防偽和量子指紋鑒定等。

a）美國國家科學(xué)基金會(huì)于2017年啟動(dòng)“推動(dòng)工程學(xué)中的通信量子信息研究”項(xiàng)目，支持量子通信系統(tǒng)的跨領(lǐng)域研究，著重解決基礎(chǔ)工程挑戰(zhàn)，以綜合組件、中繼器、網(wǎng)絡(luò)和架構(gòu)來實(shí)現(xiàn)無損、室溫、點(diǎn)對點(diǎn)的鏈接[24]。

b）美陸軍于2020年設(shè)立量子信息科學(xué)項(xiàng)目，研究光和量子系統(tǒng)之間的相互作用，包括原子、離子和固態(tài)材料，用于開發(fā)分布式量子系統(tǒng)的基本構(gòu)件，此外還探索量子糾纏態(tài)分發(fā)的方法[2]。

c）美國國防信息系統(tǒng)局尋求可抵御量子計(jì)算機(jī)破解的新型加密算法原型，旨在研發(fā)可承受量子計(jì)算機(jī)攻擊的先進(jìn)算法和加密解決方案，用于保護(hù)國防部IT基礎(chǔ)設(shè)施。

2.6 第五代移動(dòng)通信技術(shù)（5G）領(lǐng)域

5G具有高速率、低時(shí)延、低功耗和海量連接等特點(diǎn)，有望用于戰(zhàn)術(shù)通信、指揮控制和情報(bào)監(jiān)視偵察等軍事領(lǐng)域。

美國防高級(jí)研究計(jì)劃局開展“開放、可編程、安全5G” （OPS-5G）項(xiàng)目，旨在利用可移植的、開源的、符合標(biāo)準(zhǔn)的5G移動(dòng)網(wǎng)絡(luò)棧，化解5G網(wǎng)絡(luò)被用來開展網(wǎng)絡(luò)間諜和網(wǎng)絡(luò)戰(zhàn)的風(fēng)險(xiǎn)。OPS-5G研究集中在軟件標(biāo)準(zhǔn)、跨尺度5G節(jié)點(diǎn)和網(wǎng)絡(luò)安全、安全切片、可編程防御4個(gè)技術(shù)領(lǐng)域。

3 美軍網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢

近年來，美軍以“軍方主導(dǎo)、業(yè)界協(xié)同”思想為指導(dǎo)，充分地借助業(yè)界技術(shù)和能力，加強(qiáng)網(wǎng)絡(luò)空間態(tài)勢感知、人工智能和自動(dòng)化、零信任、網(wǎng)絡(luò)靶場、虛擬技術(shù)、量子加密、5G等安全技術(shù)裝備的研發(fā)，提升網(wǎng)絡(luò)安全技術(shù)水平，維持其在全球的作戰(zhàn)能力優(yōu)勢。從前述對美軍網(wǎng)絡(luò)安全相關(guān)技術(shù)進(jìn)展及重點(diǎn)項(xiàng)目的分析可知，美軍網(wǎng)絡(luò)安全技術(shù)發(fā)展具有如下趨勢。

a）聚焦網(wǎng)絡(luò)前沿攻防，提升網(wǎng)絡(luò)空間態(tài)勢感知能力

網(wǎng)絡(luò)態(tài)勢感知是網(wǎng)絡(luò)攻擊追蹤溯源和網(wǎng)絡(luò)空間攻防行動(dòng)的基礎(chǔ)，也是美國網(wǎng)絡(luò)空間威懾戰(zhàn)略的前提。該技術(shù)是指應(yīng)用了人工智能、機(jī)器學(xué)習(xí)技術(shù)，為網(wǎng)絡(luò)作戰(zhàn)人員提供快速、準(zhǔn)確的網(wǎng)絡(luò)空間信息獲取能力，并能夠自動(dòng)地對網(wǎng)絡(luò)空間海量情報(bào)數(shù)據(jù)進(jìn)行分析處理，從海量非結(jié)構(gòu)化異構(gòu)數(shù)據(jù)中提取有效信息的一類技術(shù)。

b）實(shí)時(shí)響應(yīng)網(wǎng)絡(luò)威脅，提升威脅智能自動(dòng)處理能力

網(wǎng)絡(luò)空間攻擊行動(dòng)以接近光速傳播和實(shí)施，并且能夠?qū)μ囟繕?biāo)造成整體性影響，這種瞬間和整體攻擊能力也成為網(wǎng)絡(luò)空間行為的特質(zhì)。人工智能和自動(dòng)化技術(shù)的發(fā)展為美國網(wǎng)絡(luò)空間安全帶來了新的發(fā)展機(jī)遇，成為美軍提升網(wǎng)絡(luò)安全能力的倍增器?；谌斯ぶ悄艿陌踩{檢測，可大幅度地縮短網(wǎng)絡(luò)攻擊檢測時(shí)間，根據(jù)威脅等級(jí)、種類和行為自動(dòng)地制定處置方案，同時(shí)實(shí)現(xiàn)自主學(xué)習(xí)，不斷地提高防御能力。

c）打造可信驗(yàn)證體系，提升身份驗(yàn)證授權(quán)管理能力

零信任建立了以數(shù)據(jù)為中心的安全模型，消除了受信任或不受信任的網(wǎng)絡(luò)、設(shè)備、角色或進(jìn)程的概念，并轉(zhuǎn)變?yōu)榛诙鄬傩缘男湃渭?jí)別，使身份驗(yàn)證和授權(quán)策略在最低特權(quán)訪問概念下得以實(shí)現(xiàn)。美軍基于零信任原則開展身份與訪問管理，以此降低網(wǎng)絡(luò)的匿名性，降低敵手網(wǎng)絡(luò)滲透和橫向移動(dòng)的機(jī)動(dòng)能力。美國防部2019年7月發(fā)布的《國防部數(shù)字現(xiàn)代化戰(zhàn)略：國防部2019—2023財(cái)年信息資源管理戰(zhàn)略規(guī)劃》[25]將零信任列為重要目標(biāo)，美國防創(chuàng)新委員會(huì)（DIB）同年10月發(fā)布的《零信任架構(gòu)建議》[26]提出“國防部應(yīng)將零信任實(shí)施列為最高優(yōu)先事項(xiàng)，并在整個(gè)國防部內(nèi)迅速地采取行動(dòng)”。

d）構(gòu)建虛擬仿真環(huán)境，提升安全技術(shù)研發(fā)驗(yàn)證能力

當(dāng)前，網(wǎng)絡(luò)空間對抗形勢日趨嚴(yán)峻，網(wǎng)絡(luò)靶場平臺(tái)成為支撐網(wǎng)絡(luò)空間安全技術(shù)驗(yàn)證、網(wǎng)絡(luò)武器試驗(yàn)、攻防對抗演練和網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的重要手段。美軍發(fā)展網(wǎng)絡(luò)靶場平臺(tái)環(huán)境，根據(jù)需要模擬復(fù)雜多樣的網(wǎng)絡(luò)環(huán)境，從而開展網(wǎng)絡(luò)攻防演練、網(wǎng)絡(luò)空間對抗動(dòng)態(tài)推演，以及攻防工具和系統(tǒng)驗(yàn)證。

e）突出新興領(lǐng)域運(yùn)用，提升新型對抗技術(shù)創(chuàng)新能力

量子加密、5G等新興技術(shù)不斷地取得突破發(fā)展，同時(shí)也帶來了新的網(wǎng)絡(luò)安全威脅。一方面網(wǎng)絡(luò)攻擊者可以利用新興技術(shù)突破傳統(tǒng)的網(wǎng)絡(luò)安防體系，另一方面新興技術(shù)領(lǐng)域網(wǎng)絡(luò)安全成熟度不高也帶來新的漏洞隱患。應(yīng)對新興技術(shù)產(chǎn)生的網(wǎng)絡(luò)安全威脅，美軍加強(qiáng)相應(yīng)的網(wǎng)絡(luò)安全技術(shù)研發(fā)和創(chuàng)新，以保持技術(shù)領(lǐng)先優(yōu)勢，懾止對手利用新興技術(shù)開展網(wǎng)絡(luò)攻擊滲透活動(dòng)。

4 結(jié)束語

美國是創(chuàng)新技術(shù)發(fā)展的引領(lǐng)者，其技術(shù)研究布局、發(fā)展趨勢及研究項(xiàng)目代表了技術(shù)發(fā)展的熱點(diǎn)。網(wǎng)絡(luò)安全正在成為影響國民經(jīng)濟(jì)發(fā)展的重要因素，并且不斷地向民生、政治、經(jīng)濟(jì)和文化等各個(gè)層面滲透。我國在建設(shè)網(wǎng)絡(luò)強(qiáng)國的道路上需要加強(qiáng)網(wǎng)絡(luò)安全，掌握關(guān)鍵核心技術(shù)。因此，我國一方面要合理地布局新興技術(shù)，特別關(guān)注新興技術(shù)的交叉融合所帶來的新的安全威脅和機(jī)遇，例如人工智能與網(wǎng)絡(luò)安全的融合、物聯(lián)網(wǎng)安全和5G安全等問題；另一方面，可以借鑒美國“軍方主導(dǎo)、業(yè)界協(xié)同”的發(fā)展思路，學(xué)習(xí)美軍的軍民融合發(fā)展模式，在網(wǎng)絡(luò)安全領(lǐng)域加強(qiáng)政產(chǎn)學(xué)研用的協(xié)調(diào)合作，打造多維生態(tài)合作，推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)高端集聚發(fā)展。