美軍聯合區域安全棧 (JRSS) 發展概況
JRSS於2015年開始部署,至今已有幾年,目前這項工作仍未完成。在已規劃的48個JRSS中,23個JRSS將支援非密IP路由網(NIPRNet),25個JRSS支援保密路由IP網(SIPRNet)。到2018年年中,只有13個NIPR棧在執行,SIPR棧還沒有投入執行。迄今為止,各軍種均未完成向JRSS的轉型。原本計劃於2017年實現轉型的國防部網路目前改到2019年底實現轉型。這種延遲足以使人們對JRSS的技術傳播及其價值產生懷疑。根據摩爾定律,每兩年積體電路中的電晶體數量就會增加一倍,而從JRSS開始部署以來科學技術至少進行了3次更新換代,使國防部網路明顯落後於先進的商業網路發展,而任何遲滯都將進一步導致國防部在網路和賽博競爭中處於落後地位。
遲滯的部分原因在於堆疊的複雜性,儘管每個堆疊都由成熟的商業機架組成,但這些堆疊涉及50多個不同的供應商,從而導致配置複雜且脆弱。2015年一位在JRSS專案工作的空軍官員稱系統工程中缺乏技術方法。這位官員的批評既針對JRSS,也針對更大的聯合資訊環境(JIE)計劃。由於缺乏對總體和子系統架構的功能系統工程分析,也就沒有創造材料清單方法的遠景規劃。
JIE子系統專案脫離了更大的系統遠景規劃,各自獲取商用機架和處理器。如果沒有考慮如何將這些子系統一體化或作為一個整體來設計,JRSS就只是JIE眾多缺乏協調、嵌入大量無效功能的子系統中的一員。
專案經理已竭盡所能提供有效的技術。但是,如果沒有更大的一體化總體規劃或計劃,這些專案經理註定會失敗。由於缺乏統一的遠景規劃而導致的功能障礙,使得必須通過解決方案或輔助專案來彌補國防資訊系統局(DISA)和軍事部門之間的差距。
JRSS發展的首要任務僅是滿足軍種連線基線的需求。JRSS1.0版是陸軍進行整合所需的最低能力,JRSS 1.5版僅能滿足空軍的基線需求,JRSS 2.0版本將促進海軍和海軍陸戰隊向JIE遷移。但是,這並不意味著JIE“即插即用”。每個軍事部門都必須對自己網路的硬體、軟體和配置進行重大改進,使其系統可以與JRSS互操作。在陸軍的案例中,就發生了最近購置的數百萬美元的裝置與JRSS不相容而不得不更換的情況。每個軍種都需要提供資金,以提高其網路的適應性,確保其配置與JRSS相容。
儘管JRSS的第一個版本旨在將陸軍的網路整合到JIE上,但陸軍仍然沒有通過JRSS連線,目前這項工作處於暫停狀態。陸軍沒有投資修改其網路以符合JRSS標準,並可能選擇不遷移。問題在於各軍種是否希望自始至終在一個平臺上監控和管理他們的網路,即能夠將所有網路指標、執行狀況、狀態、管理和控制工具整合到一個螢幕中來掌控整個網路。JRSS系統本身的操作既複雜又繁瑣,無法在單個檢視中提供網路狀態或控制。
DISA將JRSS實現安全的途徑描述為深度防禦。在這種情況下,多個堆疊是一種優點,因為資訊流在進入堆疊前會強行進行多次過濾和篩選。如果一個堆疊錯過了某個資訊,另一個堆疊就有機會發現它。JRSS的一個功能是暫停和檢查。JRSS開啟每個資料包以識別任何潛在的惡意軟體或病毒。問題是,DISA正在記錄所有資料,但沒有概念來闡述如何處理這些發現物。與能夠將敵方雷達系統的記錄轉換為有效干擾技術的電子情報(ELINT)不同,目前還不能利用所發現的惡意軟體。
此外,JRSS不具備惡意軟體處理能力。JRSS只能隔離惡意軟體不讓它通過,它不能破壞惡意軟體,而讓任何無害或與任務相關的資料通過。DISA所認可的這種深度防禦的策略缺乏靈活性、適應性或機動性,是一種過時的安全策略。
JRSS現代化不會加速或解決JIE的任何過時問題。一旦真正啟動現代化,仍需要12至18個月才能進行新的升級。由於它不是國防部的列檔專案,因此JRSS不受傳統採購計劃所面臨的批准和審查程式的約束。從邏輯上講,作為一種資訊科技系統,DISA應該能夠快速獲取並實現現代化版本的JRSS。但即使JRSS由商業現貨單元組成,與商業行業標準相比,複雜堆疊的整合和測試也將以緩慢的速度進行。到技術成熟時,先進的堆疊已經投入使用,而這些技術也已過時了。這顯然不符合軍隊的最佳利益,也不符合他們對網路優勢的作戰要求。
延遲實現作戰狀態不僅僅是由於JRSS的內在問題。為了連線到更廣泛的傳輸網路,JRSS還依賴於其他JIE子系統的準備情況。例如,多協議標記交換(MPLS)路由器,2個邏輯上和物理上分離的10千兆位元組堆疊,它是將JRSS連線到JIE主幹所必需的一個單獨的DISA專案。作為一個較新的專案,MPLS棧的部署時間表與JRSS不同,有些站點甚至沒有必要的基礎設施來支援MPLS。顯然,造就一個複雜專案不僅僅看每個JRSS中的機架數量。
整合這些不同的技術並不容易,操作或管理堆疊也不容易。截至本報告完成為止,可以操作和管理JRSS的人員總數約為10人,為了優化系統性能,可兩到三人為一組,以更好地發揮各自的專業特長。DISA開發JRSS專案至少5年了,這期間,DISA尚未開發使硬體變得有用的人力、作戰概念或培訓專案。即使JRSS完全部署,目前還不清楚DISA如何在不具備必要的網路人力、專業知識、培訓或作業系統程式的情況下利用JRSS來贏得網路優勢。
國防部作戰測試和評估主管(DOT&E)在2017年年度報告中對未能將JRSS作為整體系統充分考慮提出了嚴重批評。JRSS1.5版的作戰評估發現,該系統“無法幫助網路防禦者保護網路免受真實的賽博攻擊”。在很大程度上,DOT&E將此歸因於來自大量供應商的技術整合過於複雜。
戰術、技術和程式(TTPs)是所有武器系統作戰先進性的基礎。TTP旨在開拓並促使美國優勢最大化,以對抗特定對手的系統和戰術。它們不僅僅是最佳實踐或操作方法,而是通過嚴格的作戰試驗和測試來開發和驗證的。一旦改進,這些TTP就會被編入條令,以確保它們能夠作為一套標準使用。因為當美國和盟國部署新的能力時,潛在的對手也在不斷開發新的能力和演變的戰術,所以須不斷更新TTP。然後,通過一系列俗稱“3-1”(指空軍手冊編號系統)的手冊來記錄和傳播TTP,為各軍種提供最佳方法,在一系列場景中與其他美國軍事機構合作使用特定武器系統。當面對均勢能力的對手時,TTP和訓練水平就成為左右作戰成功或失敗的因素。
JRSS作戰分析結果難以令DOT&E滿意,他在報告中建議國防部資訊長和各軍種“停止部署JRSS,直到JRSS能夠證明它可以幫助網路防禦者探測並響應真實的賽博攻擊。”
DOT&E所認定的JRSS在戰術、技術和程式方面顯著缺失表明了DISA的網路方法存在很大問題。關於JRSS、DODIN或JIE作為作戰武器系統的使用存在著不明確的願景。
JRSS企業是一個以硬體為核心的過於複雜的機架和處理器系統。作為DISA解決DODIN和JIE的廣泛方法的代表,JRSS清楚地表明國防部無法提供21世紀戰爭所需的網路能力。即使開發和部署了JRSS策略、技術和程式,也無法解決以硬體為中心、以合規性和麵向清單的方法為導向的統一體系結構正規化所帶來的基本問題。
趙鋒譯自網際網路, 朱虹審定, 2018年9月
宣告:本文來自防務快訊,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。