以守為攻：美軍網絡空間戰的“縱深防御”術

朱 濱

以守為攻：美軍網絡空間戰的“縱深防御”術

朱 濱

《孫子兵法·軍形篇》說：“善守者，藏于九地之下；善攻者，動于九天之上，故能自保而全勝也。”其中“九地”是指至深之地，孫子用其來說明防御時要善于隱蔽企圖，就像隱藏于深不可測的“九地”之下，使敵無法了解防守方的意圖。現實的網絡攻防戰中，對抗雙方都試圖最大限度地隱蔽自身各種信息：一方要隱藏進攻的工具和戰術，另一方則要隱秘防御方案和措施。所以，《孫子兵法·虛實篇》又說：“故善攻者，敵不知其所守；善守者，敵不知其所攻。”把握主動、誘敵制勝是孫子兵法“示形”思想的精妙所在。在當代的網絡防御中，信息安全概念的演變和發展，導致單一的手段和措施既無法隱匿己方任何安全防護意圖，更不利于示形誘敵、駕御有形、克敵制勝，因而把傳統作戰領域中的“縱深防御”戰略引入網絡空間成為必然。

對美軍而言，作戰系統的網絡化、信息化產生了巨大的軍事效益，但伴隨而來的風險和漏洞卻對軍事安全構成了嚴重威脅。技術進步和安全需求推動著美軍網絡安全保護工作在實踐中不斷發展和完善，美軍以“縱深防御”戰略為指導思想，大力加強信息安全體系的建設。

約公元前500年愛爾蘭的恩根斯堡縱深防御遺址

“縱深防御”戰略的提出

“縱深防御”原指通過層層設防來保護動力學或現實世界的軍事或戰略資產，迫使敵方分散進攻力量，難以維系后勤保障，從而達到遲滯敵方進攻或使之無法繼續進攻的戰術目的。在網絡空間防御中，“縱深防御”戰略是指采用多樣化、多層次、縱深的防御措施來保障信息和信息系統安全，其主要目的是在攻擊者成功地破壞了某種防御機制的情況下，網絡安全防御體系仍能夠利用其他防御機制為信息系統提供保護，使能夠攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施和應用系統。

20世紀末，隨著網絡技術的應用與發展以及“網絡中心戰”概念的提出，美軍各部門和單位對信息和網絡的依賴性不斷增強，網絡安全問題隨之凸顯，單純的保密與靜態防護已無法滿足信息安全的需求，美軍亟需與之相適應的信息安全保障措施。為滿足軍方的需求，美國國家安全局于1998年制定了《信息保障技術框架（1.0版）》（IATF）。IATF系統地研究了信息保障技術，提出了“縱深防御”戰略，認為信息保障要靠人員、操作和技術來實現，并建立起了“防護、檢測、響應、恢復”動態反饋模式（即PDRR模型）保障網絡安全，為保護美國的信息基礎設施提供了技術指南。在美軍的實踐中，“縱深防御”戰略應用于一種風險共擔的信息系統環境，由多方共同采取多樣化、多層次的綜合性防御措施來保障美軍信息和信息系統安全。借助在信息系統內廣泛采用的多種防御措施，“縱深防御”戰略有效地解決和彌補了信息系統生命周期內在人員、技術和操作方面存在的安全漏洞和薄弱環節。

PDRR模型圖

“縱深防御”戰略的主要內容

人員、技術和操作是“縱深防御”戰略的核心要素，著眼于人員管理、技術保障和運行維護的政策制度設計、裝備技術研發、安全態勢維持等活動，構成了“縱深防御”戰略的主要內容。

人員是網絡安全體系中的決定性因素。“縱深防御”戰略強調人員因素，在領導層面上，要求領導層能夠意識到現實的網絡安全威脅，重視安全管理工作，自上而下地推動安全管理政策的落實；在操作人員層面，要求加強對操作人員的培訓，提高信息安全意識；在人員制度層面，要求制定嚴格的網絡安全管理規范，明確各類人員的責任和義務職責；在安全防范機制層面，要求建立物理的和人工的安全監測機制，防止出現違規操作。

技術是網絡安全最基本的保障，是構建網絡空間防御體系的現實基礎。“縱深防御”戰略提出：建立有效的技術引進政策和機制是確保技術運用適當的前提，只有依據系統架構與安全政策，進行風險評估，選擇合適的安全防御技術，構建完善的防御體系，才有助于推動實現全面的網絡安全。

操作是指為保持系統的安全狀態而開展的日常工作，其主要任務是嚴格執行系統安全策略，迅速應對入侵事件，確保信息系統關鍵功能的正常運行。操作是“縱深防御”戰略中的核心因素，人員和技術在防御體系中的作用只有通過經常性的運行維護工作才能得以體現。

“縱深防御”戰略的體系框架

實施“縱深防御”戰略的指導思想及應用原則

“縱深防御”戰略是美軍保護網絡系統核心部分免遭入侵的基本策略。美國防部規定各軍兵種、國防部各部門、各司令部應運用“縱深防御”戰略保護國防部的信息和信息系統，開展相應的計劃和訓練工作；各級領導部門需因地制宜地開展風險評估工作，制定有效的風險管理措施，并根據各單位的能力和水平采取有效的“縱深防御”措施；在國防部信息系統的軟硬件研發過程中，應貫徹“縱深防御”戰略，積極建設相關網絡安全防御系統，采取漸進的方式優先保護關鍵資產和數據。為推動“縱深防御”戰略的實施，深化認識、明確重點，IATF提出實施“縱深防御”戰略應遵循“多處設防、分層防護、細化標準”等原則。

多處設防。“縱深防御”戰略把網絡與基礎設施、飛地邊界、計算環境和支撐性基礎設施列為重點防護區域，實際應用當中涉及針對路由器、防火墻、VPN、服務器、個人計算機和應用軟件等的保護。本地計算環境的防護以服務器和工作站為重點，是信息系統安全保護的核心地帶。飛地是一組本地計算設備的集合，飛地邊界防護主要關注如何對進出這些“區域”邊界的數據流進行有效地控制與監視。網絡及其附屬基礎設施是連接各種飛地的大型傳輸網絡，由在網絡節點間傳輸信息的設備構成，包括各類業務網、城域網、校園網和局域網。網絡及其附屬基礎設施的安全是整個信息系統安全的基礎。支撐性基礎設施（如密鑰管理基礎設施）是網絡安全機制賴以運行的基礎，其作用在于保障網絡、飛地和計算環境中網絡安全機制的運行，從而實現對信息系統的安全管理。

分層防護。美軍在實施“縱深防御”戰略的過程中，按照分層的網絡體系結構，對國防信息系統各層面臨的安全威脅進行充分的分析評估，針對不同的安全威脅分層部署防護和檢測機制措施，形成梯次配置，進而增加攻擊被檢測的風險，提高攻擊成本，降低其成功幾率。以美海軍為例，美海軍在實施“縱深防御”戰略的過程中，構建起了以“主機、局域網、廣域網、海軍GIG網絡、國防部GIG網絡”五個區域為基礎的設防區域，綜合運用入侵防御系統、防火墻、基于主機的安全系統等分層防護措施實施網絡防御。

細化標準。細化標準是對各類網絡安全系統機制的強度（如加密算法的強度）和網絡安全技術解決方案的設計保障（如采用機密手段確保機制的實施）做出具體的規定。為了描述網絡安全的強度，美國防部制定了初、中、高三個等級，并提出國防信息系統的“縱深防御”戰略中，網絡安全技術解決方案應根據系統的重要性等級，采取其中一個級別的措施。例如高等級的安全服務和機制可提供最嚴格的防護和最強的安全對抗措施，高等級的安全解決方案必須達到下列要求：采用國家安全局認證的1類密碼用于加密；采用國家安全局認證的1類密碼驗證訪問控制；密鑰管理方面，對于對稱密碼，采用國家安全局批準的密鑰管理措施（創建、控制和分發），對于非對稱密碼，使用5類PKI認證和硬件安全標識保護用戶私有密鑰和加密算法；采用的產品需通過國家安全局的評估和認證。

網絡安全技術通用框架

“縱深防御”戰略的實踐和發展

美軍率先將“縱深防御”戰略應用于全球信息柵格的建設，加強頂層設計與長遠規劃，積極開展安全技術創新，大膽借鑒和利用成熟的商用安全產品，從組織管理、裝備技術和政策法規層面，建立起綜合性網絡安全保障體系，不斷強化國防信息系統的安全。

在組織管理層面，為推動“縱深防御”戰略的落實，美軍建立了以聯合參謀部為領導機構、各軍種具體負責、國家安全局和國防信息系統局提供技術支援和保障的組織管理體系。聯合參謀部情報部部長負責制定保障“縱深防御”戰略的情報條令和法規，聯合參謀部作戰計劃與聯合部隊發展部負責計劃和在演習中落實“縱深防御”戰略；各軍種部長負責制定本軍種“縱深防御”戰略的具體實施細則，監督所轄網絡的貫徹和執行情況；國防信息系統局局長負責組織和領導國防信息系統“縱深防御”戰略防御技術的研發工作，會同參聯會主席和國家安全局局長制定“縱深防御”戰略分層保護措施，并監督落實情況；國家安全局局長負責管理IATF的制定工作，保障“縱深防御”戰略的實施，并提供相應的工程技術支援。

在裝備技術層面的建設，美國國防部要求：美軍網絡空間安全解決方案應堅持以通用性和綜合性為研發方向，以“縱深防御”為基本手段，以C4ISR框架結構為基礎，推動網絡空間作戰的發展。為此，美軍貫徹“先關鍵資產和數據，后飛地網絡”的保護原則，通過技術研發和裝備采辦，有重點、分階段地推動裝備技術防御體系的完善和更新。裝備技術體系建設核心內容包括密碼技術、非軍事區、虛擬安全飛地、基于主機的安全系統“應用程序白名單”技術和網絡態勢感知。

在政策法規層面，2009年美國國防部制定并頒布了《網絡空間的信息保障發展戰略（CIIA）》，提出了國防部信息系統安全建設的“網絡保障、身份保障和信息保障”總體目標，從能力建設、任務管理、攻擊防范和應變處置四個方面提出了具體的工作任務目標。為促進任務目標的落實，國防部首席信息官辦公室制定了《信息安全政策總圖》，以四項任務目標為總綱，著眼“縱深防御”戰略的實際應用，對國防部和聯邦政府現行的網絡安全政策和技術法規進行了全面的梳理和分類，內容涉及網絡空間安全工作的組織與領導、網絡空間作戰技術研發、從業人員職業技能培訓、通信加密和信息共享管理、網絡攻擊防范、可信網絡系統建設以及加強網絡安全戰備等方面，從而建立起了完整而又清晰的“縱深防御”戰略的政策法規體系。

在國防信息系統由傳統的鏈接加密和邊界保護的分散網絡向無縫互聯的信息環境轉型過程中，美軍提出運用“縱深防御”戰略，建立全軍統一的網絡安全機制，未來將大力加強七項網絡防御能力的建設。這七項能力相互補充融合，構成保障國防信息系統正常運行的重要基礎。

通信保護能夠實現在不同安全等級的信息環境中，對每次通信都實施端對端的精準安全控制，以便保護個人隱私，確保通信的連續性、真實性和不可否認性；網絡敵我識別能夠實現對國防信息系統及其附屬網絡中人員和實體（包括設備、數據和網絡）的網絡空間敵我識別，確保友方網絡實體的可視和可控；可信數據和平臺能夠強化安全機制，確保軍事數據的完整性和保密性；網絡空間偵察和監視能夠持續監測國防信息系統用戶、設備和網絡的行為，實時掌握國防信息系統的安全態勢；企業化安全管理可綜合利用各類企業化安全管理服務，如密鑰管理、審計、認證、授權、證書、策略等等，持續而有效地管控國防信息系統內的安全功能，必要時采取應急措施進行實時調整；動態防御將構建廣闊的網絡空間傳感器網，并以之為基礎來建設企業化安全管理基礎設施，應對國防信息系統之外的安全威脅；強化任務意識，以滿足“執行任務”需要為出發點，對各類網絡、服務和數據實施統籌和優化，實現“滿足任務需求”與“建設網絡安全”的協調發展。

美軍將大力加強七項網絡防御能力的建設

責任編輯：何 旭