2023年美軍網絡安全項目進展*

張小軍，李智林，萬 抒，康英來，郝志超

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

2023年9月，美國防部發布《國防部網絡戰略》[1]，提出了保衛國家、準備戰斗并贏得國家戰爭、與盟友及伙伴開展合作、建立持久優勢的優先事項，為國防部下一步網絡空間行動指明了方向。戰略強調通過公私合作開發，實施新的網絡能力，包括零信任架構及相關技術、高級終端監控功能、定制數據收集策略、增強網絡取證、自動化數據分析，以及支持網絡自動化、網絡恢復和網絡欺騙的系統等，以建立網絡空間持久優勢，支持并實現全方位的網絡活動。為實時深入了解美軍網絡安全領域的前沿動態及進展，本文闡述美軍2023年網絡領域的工作重點，剖析美軍新開展和完成交付的網絡安全項目情況并分析其項目特點，以期為我國網絡能力建設、網絡安全技術發展提供參考。

1 2023年美軍網絡領域的工作重點

為應對持續增長的多樣威脅，確保大國競爭的優勢地位，美國防部近年來不斷增加國防預算投入，延續了對軍事現代化和創新方面的重視，優化效率、提高能力，創新以獲得競爭優勢，確保美軍采辦、發展優勢軍事力量[2]。

基于《2022年國防戰略》與2023年《國防部網絡戰略》，美軍將網絡空間作為“綜合威懾”戰略的核心組成部分，發展網絡安全以實現靈活、彈性的防御態勢，保持網絡領域的先進性以擊敗對手。

網絡安全方面，美軍將構建更靈活高效的網絡能力、網絡彈性平臺，為更強大的網絡態勢、下一代加密解決方案、零信任架構和網絡現代化提供支持。重點工作包括：實施網絡安全戰略方案、推進密碼與武器系統的整合、保護跨域信息、實施零信任架構、加速身份和憑證訪問管理現代化等。

網絡作戰方面，美軍將資助網絡收集、作戰情報準備、進攻與防御性網絡作戰及直接支持聯合作戰的能力和基礎設施等計劃和活動。重點工作包括：擴充網絡任務部隊、改善網絡靶場、強化關鍵信息系統和基礎設施的網絡彈性等。

網絡研發方面，美軍將研究開發網絡彈性、高級應用等關鍵網絡相關領域。重點工作包括：提高當前和未來國防部系統、網絡、關鍵基礎設施和關鍵資源的防御能力；通過人機協作顯著提升網絡行動的規模和速度；探索新的計算范式，制定大數據分析策略，以及開發綜合傳感和感知決策所需的邊緣設備和處理節點，擴展網絡空間前沿，從而在聯合全域指揮和控制內實現統一能力。

2023 財年，美國防部網絡活動預算約112 億美元，投入同比增長約8%，其中網絡安全預算約66 億美元、網絡作戰預算約41.8 億美元、網絡研發預算約3.8 億美元。從近三年的數據來看，美軍網絡領域三大方面的預算比例保持一致（網絡安全方面約占59%，網絡作戰方面約占37%，網絡研發方面約占4%），始終將網絡安全放在最首要位置[3]。

2 2023年美軍網絡安全項目總體情況

2023年，以國防部高級研究計劃局（Defense Advanced Research Projects Agency，DARPA）為代表的美國國防研究機構持續加強對網絡安全的重視程度，通過發布信息征詢書新增開展數個網絡安全研究項目，同時將已完成的項目過渡到各軍種或其他軍事機構，以進一步提升作戰能力。

2.1 實現彈性系統的驗證程序流水線推理

2023年3月，DARPA 推出“實現彈性系統的驗證程序流水線推理（Pipelined Reasoning of Verifiers Enabling Robust Systems，PROVERS）”項目[4]，旨在為國家安全系統提供領先于網絡安全威脅、實現高保障的系統工程，并產生具有可驗證安全屬性的網絡加固、彈性系統和支持性基礎設施。該項目技術領域涉及驗證工程工具、國家安全系統平臺及專業“紅隊”安全測試，以提供定量評估和證據整理。

該項目為期42 個月，共分為3 個階段。第1階段為期12 個月，將專注于開發、流水線化自動化技術，并開發國防部開源系統；第2 階段為期18 個月，將專注于成熟化、擴大自動化技術的使用規模，完成與現代軟件開發基礎設施的整合；第3 階段為期12 個月，將專注于開放、封閉生態系統的工具集成演示。

2.2 分區化和權限管理

2023年4月，DARPA 推出“分區化和權限管理（Compartmentalization and Privilege Management，CPM）”項目[5]，將開發一套工具及配套軟硬件基礎設施，可以自動將遺留的復雜軟件系統重組為性能良好的有限權限分區，防止初步滲透演變為網絡攻擊，從而降低網絡風險。該項目技術領域涉及自動化劃區、特權策略、評估支持。

該項目為期4年，共分為2 個階段。第1 階段為期30 個月，將專注于技術開發，使用Linux、Unix 等開源類操作系統作為測試和評估套件；第2 階段為期18 個月，將側重于擴展技術，并將用戶程序添加至測試和評估套件，如網絡瀏覽器、服務器及數據庫管理系統。

2.3 安全智能工具生成

2023年6月，DARPA 推出“安全智能工具生成（Intelligent Generation of Tools for Security，INGOTS）”項目[6]，開創由程序分析和人工智能驅動的新技術，加速判定、修復網絡瀏覽器和移動操作系統等現代復雜系統中的漏洞。該項目將開發集成生產線，協同部署一套獨立的半自動工具，并利用計算機與人的團隊合作來快速、大規模地評估漏洞的嚴重性。該項目技術領域涉及漏洞分級、嚴重性分析、數據建模與集成系統測評。

該項目為期3年，分為2 個階段。第1 階段為期20 個月，重點探索、設計、開發并演示驗證工具和技術；第2 階段為期16 個月，重點完善工具和技術，促進技術成熟化，并擴大可識別的漏洞范圍。每個階段都將舉行中期會議、黑客馬拉松和演示，并以與政府合作伙伴的共同評估結果為結束標志。

2.4 量子增強網絡

2023年6月，DARPA 推出“量子增強網絡（A Network Security Revolution Enhanced by Quantum Communication，QuANET）”項目[7]，探索將量子和經典方法集成到網絡中，為關鍵網絡基礎設施提供基于量子物理學的安全能力。該項目技術領域涉及量子網絡接口卡（qNIC）、數據流的量子增強、拓撲量子增強技術。

該項目為期51 個月，分為4 個階段。第1階段為期3 個月，將專注于量子網絡接口卡的設計；第2 階段為期18 個月，將專注于量子網絡接口卡的制作，以及原型數據流的開發和拓撲結構的增強；第3 階段為期18 個月，將專注于利用光纖網絡，將數據流和拓撲增強功能與制造的qNIC 集成；第4 階段為期12 個月，將專注于光纖、量子增強網絡的可擴展性和空中鏈接擴展的初步設計。

2.5 基于網絡心理學重塑信息網絡防御安全

2023年2月，美國情報高級研究計劃局（Intelligence Advanced Research Projects Activity，IARPA）推出“基于網絡心理學重塑信息網絡防御安全（Reimagining Security with Cyberpsychology-Informed Network Defenses，ReSCIND）”項目[8]，旨在利用網絡攻擊者的人類局限性，開發一套新的網絡心理學防御系統以提高網絡安全。該項目技術領域涉及認知漏洞識別、網絡攻擊行為測量、開發、網絡心理信息防御系統、創建網絡計算認知模型。

該項目為期45 個月，分為3 個階段。第1階段為期18 個月，將專注于識別與網絡攻擊者相關的認知漏洞，包括誘導、加速和測量認知漏洞的方法；第2 階段為期15 個月，將專注于開發基于網絡心理學的防御系統，能夠降低攻擊者的性能和成功率；第3 階段為期12 個月，將專注于開發自適應防御系統和特定網絡的計算認知模型，以反映和預測所提供的行為數據。

2.6 偏見效應和生成式人工智能顯著局限性

2023年11月，IARPA 推出“偏見效應和生成式人工智能顯著局限性（Bias Effects and Notable Generative AI Limitations，BENGAL）”項目[9]，尋求開發和整合新技術來有效探測大語言模型（Large Language Model，LLM），以檢測、表征、減弱LLM 威脅模式和漏洞。該項目技術領域涉及不同輸出觀點的歸納、人工智能的檢測與推理、敏感環境中的安全信息流、對不完善或有害信息源進行彈性處理。

該項目為期2年，分為2 個階段。第1 階段為期12 個月，用于演示概念驗證原型，并提供初步軟件交付成果和性能評估報告，獨立的測試和評估團隊將驗證執行結果及軟件性能；第2 階段為期12 個月，將在第1 階段概念驗證研究的基礎上進行演示示范。

2.7 戰術邊緣彈性網絡安全手持設備

2023年6月，DARPA 正式將“戰術邊緣彈性網絡安全手持設備（Secure Handhelds on Assured Resilient networks at the tactical Edge，SHARE）”項目移交國防部戰術攻擊套件產品中心，負責將軟件集成至現有及未來的C4ISR系統與平臺上[10]。該項目旨在創建一個可連接多安全等級信息的安全彈性網絡，實現不同種類之間、驗證跨軍用和民用網絡的多涉密層級的信息安全交換。該項目技術領域涉及分布式戰術安全管理、彈性安全網絡、安全配置自動化。

該項目開始于2017年1月，共分為3 個階段。第1 階段為期12 個月，承包商為Vencore Labs 公司、RAM Laboratories 公司，針對驗證技術、應用安全方法和整體系統架構進行設計與演示，并在戰術邊緣條件下進行網絡實驗；第2階段為期12 個月，針對手持設備進行實地試驗，并設計、演示系統結構；第3 階段為期12 個月，針對集成系統的現場試驗與演示。第2、第3 階段承包商為Two Six Technologies 公司、Eucleo 軟件公司、Perspecta Labs 公司及MAPPS 公司。該項目成功開發并集成了軟件與網絡技術，使美軍和國際盟友在戰術行動中實現安全、彈性的信息共享。

2.8 鯊魚先知

2023年7月，美國國家安全局（National Security Agency，NSA）正式將“鯊魚先知（SHARKSEER）”項目過渡給國防信息系統局（Defense Information Systems Agency，DISA）[11]，并構成零信任項目“雷霆穹頂”邊界安全的重要組成部分。該項目通過利用動態生成和增強全球威脅知識實現快速網絡保護，以檢測、緩解基于網絡的惡意軟件和高級持續威脅。該項目重點包括：保護互聯網接入點（InterAcademy Partnership，IAP），提供高度可用、可靠的自動感知和緩解功能，并通過自動化數據分析功能建立發現和緩解的基礎；實現網絡態勢感知和數據共享，通過自動化系統與合作伙伴實時共享相關數據。

在2024 財年預算中，DISA 為該項目投資約400 萬美元，對所有IAP 位置和監控網絡流量的安全系統防火墻和網絡設備進行技術更新。

3 2023年美軍網絡安全項目特點

DARPA 作為美軍顛覆性技術研究的“風向標”，資助整合了行業企業、研究機構等研究力量，并以此來牽引全社會網絡安全技術研究創新方向，從而為美軍網絡裝備及技術的創新與研發工作奠定基礎。2023年，美軍開展的網絡安全項目具有致力于網絡彈性提高、漏洞安全管理、數據安全防護、新興技術賦能等特點。

3.1 加強彈性網絡建設，保持作戰信息優勢

面對愈加復雜和多發的網絡威脅，美國政府與國防部顯現出對網絡彈性的迫切需求，確保系統遭受攻擊時能夠繼續執行任務。拜登政府《國家網絡安全戰略》更加強調網絡彈性的重要性，承諾長期投資下一代網絡空間彈性技術，最大限度地避免網絡安全事件產生的持續影響[12]；2023年《國防部網絡戰略》強調通過與盟友伙伴合作，加強關鍵基礎設施網絡彈性、消除戰備威脅，同時進一步投資聯合部隊網絡彈性，確保國防部信息網絡安全[1]。

2023年，美軍特別強調網絡彈性的研究和構建，針對商用設備的軟硬件彈性、安全彈性網絡等領域，著重加強網絡防御、可恢復能力，進一步深化網絡能力與大規模軍事行動的融合。例如，DARPA 開展PROVERS 項目，生產具有可驗證安全屬性的網絡加固、彈性系統和支持性基礎設施；DARPA 將SHARE 項目移交至美國國防部戰術突擊套件產品中心，提供彈性的安全存儲和共享能力。

3.2 升級漏洞管理能力，確保網絡安全可用

美國政府和軍方一直致力于確保關鍵基礎設施和通信網絡的安全性和可靠性，其中漏洞管理是重點內容。拜登政府《國家網絡安全戰略》強調，減少互聯網基礎和整個數字生態系統中的系統性技術漏洞，同時使其更能抵御跨國數字壓制[12]；2023年《國防部網絡戰略》強調，通過解決網絡漏洞，確保國防部信息網絡安全[1]。

2023年，美軍開展漏洞管理項目，持續識別、修復可能被惡意網絡行為者利用的漏洞，以維護美軍網絡和系統的安全性、機密性。同時，借助人工智能等技術實現漏洞掃描挖掘、利用及防御系統和工具的研發，增強漏洞管理能力。例如，DARPA 推出INGOTS 項目，試圖創建一個新的方法進行自動漏洞特征描述、原始漏洞利用預測和漏洞利用組合，從而提高商業設備的軟件和硬件彈性；IARPA 推出“偏見效應和生成式人工智能顯著局限性”項目，通過開發整合新技術來有效探測LLM，以檢測、表征、減弱LLM 的威脅模式和漏洞。

3.3 構建數據安全核心，完善網絡防護體系

近年來，美軍向“以數據為中心”的網絡架構轉型，明確將數據定位為戰略資產，更加強調數據資產的安全性，并將零信任、云計算、加密算法等先進技術融入數據使用的全生命周期，構建訪問控制和安全標準以保護數據安全。

美軍正在采取關鍵步驟，在未來的云計算和數據存儲平臺中采用零信任架構，以減少攻擊面并鞏固軍事部門和國防機構網絡上的數據。例如，“雷霆穹頂”項目作為DISA 零信任安全和網絡架構的核心，已完成原型設計并步入了規模化生產階段[13]；DISA 托管和計算中心發布“分布式混合多云”項目，應用零信任架構、多因素身份認證搭建多云環境[14]；美陸軍啟動“統一網絡運營”項目，利用身份認證與訪問管理軟件來簡化網絡運營流程，支持開展基于屬性的數據訪問和交換，以滿足零信任安全架構和未來戰場環境需求[15]。

3.4 新興技術賦能安全，全面提高防護效率

美軍認為，人工智能、量子技術等新興技術的運用將有可能成為未來網絡空間的“游戲規則改變者”，因此，美軍進一步加大了對相關技術的研發和利用力度，試圖實現技術突破，并將根據軍事需要進行轉化運用。

人工智能技術方面，美軍廣泛應用人工智能以提高網絡安全防御效率，定位威脅攻擊，提升網絡安全防御的自動化、智能化水平。例如，NSA 將SHARKSEER 項目移交至DISA，使用人工智能技術來識別和減輕零日網絡攻擊和高級持續威脅；DARPA 創建INGOTS 項目，開創由程序分析和人工智能驅動的新技術，以測量現代復雜系統中的漏洞。

量子技術方面，美軍持續加速量子信息技術的應用研發，為關鍵網絡基礎設施提供基于量子物理的安全能力。例如，DARPA 開啟QuANET 項目，開發混合量子經典通信網絡架構，使量子增強經典網絡的安全性。

4 結 語

加強自身網絡安全防御能力、保護關鍵基礎設施能力、加強網絡能力依然是拜登政府網絡領域發展布局的重點。在新版《國防部網絡戰略》下，美軍將投入更多的網絡活動預算，旨在保持網絡領域的先進性，加速過渡到基于零信任的下一代網絡安全體系結構，加強關鍵基礎設施防御。同時，美網絡司令部聯手DARPA 啟動“星座”計劃，培養從研究到作戰的快捷通道，讓網絡作戰人員更快地獲取新的網絡能力。未來，美軍將持續為網絡行動的情報、科技、網絡安防等賦能元素投資，擴大網絡聯盟及合作伙伴的網絡能力，進一步加強國防部及國防工業基地的網絡安全態勢。