揭秘全球网络安全防护最高水准:美国国防部信息网DODIN
编者按
美国国防部信息网(DODIN),具备了全球网络安全防护的最高水准。近期,天枢智库对此进行了深入研究,本文摘取部分核心内容,逐一对DODIN的网络架构、安全架构、安全方案及其安全基础设施进行分析,提炼美军网络安全防护先进的理念和方案,期待与业界专家就此问题展开进一步的探讨、交流。
DODIN突出反映了美军网络安全防御架构的先进设计理念和优势。
优势1:采用联合信息环境网络架构,通过规范、集中建设共享的IT设施,并提供标准化业务,改变过去因分散建设IT设施而导致的安全防护的碎片化,将安全防护作为信息基础设施建设的必要因素同步设计,同步建设,如此还能够最大范围地支持全局态势感知。优势2:采用单一安全架构,将集中建设的IT和网络设施划分为可管理的安全区域,部署实施一致的安全防护策略和标准化方法,并在不同层次的最佳网络位置设置标准化安全套件,将缩小攻击面与提升抗攻击安全能力统一起来。优势3:采用统一的安全防御运营,通过设置统一调度的指挥中心实现威胁情报聚合,态势感知扩大,简化运营难度,降低运营成本等,提高安全防护水平和效果。DODIN简介
*中英名词对照
CCMD: Combatant Command, 作战司令部
C2: Command & Control, 命令控制
Defense Info System Network(DISN):国防信息系统网
JEDI:JointEnterprise Defense Infrastructure,联合通用国防基础设施
PNT:Positioning,Navigation,and Timing,定位、导航和授时
USCC:United States Cyber Command,美国网络司令部
DODIN网络架构
DODIN采用联合信息环境架构(JIE),JIE是一个安全的联合信息环境,由共享的IT设施、通用的服务和单一安全架构组成,旨在获得全面优势、改进任务效力、增加安全性和实现IT效率。
相较于全球信息栅格(GIG),JIE通过规范、集中建设IT设施和提供业务,改变了过去试图保护所有分散建设的IT设施的做法,保证了安全能力可以聚焦在支持军事任务和能力的系统和数据上。这种变化在网络安全层面最重要的意义就是缩小攻击面和支持全局态势感知。
JIE为DODIN提供的关键能力包括:统一网络运营、网络规范化、单一安全架构、统一的通用服务(如邮件、电话等)、统一身份与访问管理(IdAM)。
DODIN安全架构
DODIN的安全架构称为“单一安全架构”(SSA)。
SSA的核心思想体现在:
1.集中:JIE的核心思想是集中建设IT和网络设施,与之对应,SSA把安全能力聚焦在这些集中的设施上,这样就把缩小攻击面、同时提升攻击面的安全能力统一起来
2.标准化:在JIE架构的关键防御点上部署标准化的安全套件,同类防御点复制
3.数据安全:安全重点从保护系统和网络转移到保护数据及其使用上
依据核心思想,SSA的设计方法体现在:
1.分区:将网络划分为可管理的安全区域,实施一致的策略和标准化的方法
2.分层:在最佳网络位置(边界-中点-端点)设置标准化的安全套件/传感器
3.集中:通过全网安全大数据提供全局态势感知和安全分析,统一运营、监控DODIN的所有安全机制
4.精简:拆除多余的网络安全系统
单一安全架构消除了超出实际需要的冗余安全层,通过实施标准化的方法,使应对网络威胁手段的通用化,降低了网络防御的复杂性,能够在整个网络中实时实施安全控制和对策;单一安全架构的安全重点从保护系统和网络转移到保护数据及其使用上,实现了国防部及其任务伙伴的动态信息共享。
DODIN安全方案
DODIN的安全方案由符合SSA架构的分层防御(layered defense)和全局安全设施构成。主要包括边界安全、区域安全(JRSS)、端点安全、移动端点安全、身份与访问管理(IdAM)、网络安全态势感知与分析(CSAAC)等安全方案。
1.边界安全
边界安全整合了网关安全业务,通过位置上的集中管理降低了成本并提高了安全性。边界安全在DODIN与互联网、任务伙伴网络、商业云服务之间建立了一个防御屏障,提供了根据安全策略收集、检查、探测和阻止流量的能力。边界防御利用共享的通用网络安全组件,保护经过互联网接入点(IAP)、任务伙伴网关(NFG/MPGW)、移动网关、商业云接入点(CAP)以及不同密级网络之间跨域安全系统(CDS)的网络流量的安全。网络安全组件包括以下主要方案:
• Enterprise Break and Inspection (SSL/TLS加密流量安全检测);
• Sharkseer Zero-day Network Defense (ZND)(零日漏洞网络防御);
• Web Content Filter (Web内容过滤器);
• Distributed Denial of Service(抗DDoS);
• NIPRNet Demilitarized Zone (N-DMZ) (‘国防部非密网’隔离区)等;
2.区域安全
DODIN是一张遍布全球的网络,按照JIE的单一安全架构大约划分为50个区域,针对这些区域的安全方案是联合区域安全堆栈(JRSS),一个军事区域及其下属的B/P/C/S各前线阵地,通过JRSS整体接入DODIN。
JRSS通过一套标准化的、被称为“堆栈”的安全设备来实现安全防御能力,堆栈一词强调了安全设备的标准化及其部署安装的标准化。安全堆栈具体包括防火墙、入侵检测与防御、系统管理、虚拟专网(VRF)等网络安全设备。
DODIN安全运营中心能够查看、管理和评估通过堆栈的数据,以保持对系统的态势感知,并管理数据数量和性能标准,确保响应时间。JRSS的部署将网络安全集中到区域架构中
以提供更安全、可防御和响应性更强的一体化网络,从而增强指挥和控制能力。从本质上讲,JRSS减少了网络攻击面,降低了国防部的实施和运营成本。
3.端点安全
端点安全方案(ESS)覆盖DODIN网上的服务器、工作站和PC计算机等设备。端点安全是一项国防部整体层面的工作,它利用了国家安全局(NSA)、各军种相关部门、国防部网络靶场、国防部红队(Red Team)的协作支持能力,以及这些国防部机构的持续市场研究能力。
端点安全方案是一套集成能力,它们共同检测、阻止、保护和报告DODIN中的网络威胁。DOD采用非密/涉密网(NIPRNet/SIPRNet)安全架构评审(NSCSAR)过程对ESS不断进行评审,确保保护措施适当和到位,以应对不断变化的威胁。
4.移动端点安全
DODIN为美军提供安全可靠的涉密和非密移动通信服务,这些服务包括电子邮件、语音、视频等。提供移动安全能力的设施如下:
• 移动通信网关和加密通信系统(VPN):提供传输层安全;
• 身份认证系统和移动设备管理系统(MDM):提供应用层保密性、完整性和真实性;
• 安全大数据分析系统,检测移动设备异常活动。
移动操作系统安全、强身份验证、安全远程访问,以及持续监测是移动端点安全的关键。
5.统一的身份与访问管理
身份与访问管理(IdAM)提供全局标识、身份验证、访问控制和目录服务,允许个人和网络实体在任何时间、任何地点安全地访问经授权的国防部信息,IdAM是DODIN网络安全的基础。
IdAM包括基于非密网(NIPRNet)访问卡(CAC)、涉密网(SIPRNet)令牌的自动生成用户账户功能,以及基于用户属性(许可、职位和工作职能等)做出实时信息访问控制决策的功能。
IdAM使IT系统的日常访问控制最大限度地自动化,使系统访问动态化,确保实体发现,并具备活动监视功能。IdAM更有效的监控和归因使安全防御人员更好地了解谁在DODIN网络上,以及他们在网络上做什么,这是网络态势感知和内部威胁分析的基础。
6.统一的态势感知与安全分析
美国国防网络态势感知计划(UCSA)旨在支持全局态势感知与安全分析能力,承载这一能力的安全设施被称为“卫城”。卫城是一个三层的结构,第一层是云计算设施,第二层是大数据平台(BDP/RDK),第三层是网络态势感知与分析能力(CSAAC)
网络态势感知与分析能力(CSAAC)主要由以以下四项能力构成
• DODIN全网的态势感知;
• 为DOD统一电子邮件系统的健康状态提供可视指标;
• 能够快速查看问题概况;
• 能够了解发生系统问题时受影响的用户的数量、位置和业务;
(2)网络防御能力
• 网络威胁分析;
• 从报告中自动接收、分析和更新网络威胁信息;
• 根据已接收的数据对发现的威胁进行判断:
• 利用自动工作流创建新的应对措施;
(3)异常检测能力
• 内部威胁分析;
• 汇集非密网(NIPRNet)和涉密网(SIPRNet)的数据以识别异常;
• 提供国防部用户网络活动的可视性,以协助事件查询和调查程序;
• 使用大数据进行复杂的分析,生成聚焦的结果;
(4)任务网络地图能力(Mission Mapping)/持续监测能力
这是一种将网络安全范式从以IT为中心转变为以任务为导向的新方法,为了捍卫网络空间中的任务,必须理解该任务对网络空间和网络资产的依赖性,持续监测网络资产以提供网络安全风险可视化,定量显示安全状况,收集可以安全执行任务的情报,通过捍卫与任务相关的网络地形来提供任务保证,从而在危险的网络环境中执行任务。
7.统一的安全防御运营
DODIN在美国大陆设有1个指挥中心和1个全球运营中心,在亚太、中东和欧洲设有3个区域运营中心。
全球和区域安全防御运营的主要功能为:
• 消费威胁情报;
• 同步、聚合安全信息;
• 维持网络安全态势感知;
• 提供持续监视,监视传感器数据和可疑活动;
• 事件调查,事件报告;
• 确认恶意活动,对活动进行分类和优先级排序;
• 网络威胁分析/搜寻(Hunting);
• 确定和实施对抗措施;
• 提供网络安全服务(CSSP)。
DODIN网络安全方案分析
1. DODIN安全防御的三大特点:
(1)网上设施和服务的标准化与集中(JIE/JRSS);(2)网络安全态势感知与分析(CSAAC);(3)网络安全情报共享(ESSA)。标准化与集中是为了提升效率和缩小攻击面;消费、生产、共享网络威胁情报是网络安全防御运营的必要条件;全局的网络安全态势感知和分析是DODIN应对国家级网络安全威胁的基本手段。
2.DODIN安全防御的关键能力:超越传统安全范式
在做好传统的纵深防御(美军称之为分层防御)的同时,美军将网络安全的重点转向针对异常的防御,重点研发和建设安全大数据分析能力。美军为此组建了大数据平台共同体,着重发展基于数据科学、统计模型、风险模型、机器学习、行为分析等技术的网络防御能力。
3. DODIN安全防御的基础设施
DODIN的安全架构,强调集中建设IT和网络基础设施,并将安全能力聚集在集中的基础设施上,以同时实现缩小攻击面及提升攻击面的安全能力,这一思想促进了少量但强大的安全基础设施诞生。
DODIN的安全防御方案中,IdAM、JRSS以及CSAAC具备安全基础设施的特征。IdAM对按策略安全共享全网信息提供了基础支撑,IdAM的全局标识数据也是内部威胁分析的基础;JRSS所提供的区域防御能力,美军也称之为中间层防御或中点防御,是实现JIE以及单一安全架构的核心支点;网络安全态势感知与分析(CSAAC)是美军应对国家级网络威胁和内部威胁的基本手段。
4. DODIN安全架构的基础
JIE架构以及单一安全架构背后有一个更基础的架构思想,就是企业架构思想(Enterprise Architecture)。企业架构是面向跨组织的、全局整合的、标准化的工作架构。Enterprise Architecture由扎科曼(Zachman)在1987年首次提出,经过几十年的发展,已经发展为大型组织建设信息系统的主流架构。我们熟悉的解决方案架构(Solution Architecture)旨在解决特定的问题和需求,是针对设计特定的系统或应用程序的架构。建造一个摩天大楼要基于解决方案架构,而规划一个城市就要基于Enterprise架构。
期待与业内专家展开进一步探讨与交流,
与作者沟通更多研究细节,请联系dipperresearch@360.cn
相关阅读