美军GIG3.0进展研究

引言全球信息栅格(GlobalInformationGrid，GIG)是美军正在建设的重要基础设施，是美军为了确保信息优势，实现网络中心战而制定的昀优先计划，是未来美军实现信息优势、决策优势和全面主宰的重要基础。美军在2000年将GIG定义为“全球互联的、端到端的、能根据战斗人员、决策人员和支援人员的要求来收集、处理、存储、分发和管理信息的信息能力及相关过程和人员的集合”。随后，美军即成立了由各机构的高官和各军种代表组成的信息优势联合委员会，开始了GIG的建设。当前GIG已完成方案论证、体系结构设计，进入到建设实施阶段，目前正重点实施IPv4到IPv6过渡、GIG带宽扩展(GIG-BE)、联合战术无线电系统(JTRS)、转型通信卫星(TSAT)等工作。预计到2020年将实现各军种的互连、互通、互操作，完全建成GIG。2008年，在海军副司令NanceBrown的带领下，美军开始了“GIG2.0”的理论研究工作。2010年美军开始提出GIG3.0[1]。1全球信息栅格GIG3.0全球信息栅格(GIG)是一个正在构建实施的巨大而复杂的系统，该系统旨在将美国国防部(USDoD)所有的信息系统、服务及应用集成为一个无缝隙的、可靠的和安全的网络。GIG网络可以抽象为用户网络和核心网络两部分。用户网络即边缘网络，由很多相互独立的桩网络(StubNetwork)组成。核心网络同样也是由很多组件网络组成[2]。GIG2.0为作战提供了信息优势，但是它并没有阐述一个大的整体GIG的关键问题，而且没有将体系结构和指控链关联起来。GIG3.0的组件则包括由作战网络域(OperationalNetworkDomain，OND)定义的赛博联合作战区域(JointOperationsArea，JOA)，可以进行深度防御、信息共享和灵活的飞地化体系结构，可以进行高效信息共享的多飞地客户端，用于C2(CommanderCentric)赛博作战的辅助人员、培训和工具等[3]。GIG3.0聚焦于美军GIG3.0进展研究*曾梦岐，谭平嶂，陈剑锋(保密通信重点实验室，四川成都610041)[摘要]全球信息栅格(GIG)是美军正在建设的重要基础设施，是美军实现网络中心战而制定的昀优先计划。文章跟踪了GIG的发展历程，在分析GIG2.0缺点的基础上，引出GIG3.0的几个关键点和重要概念，包括作战网络域、敏捷虚拟飞地、虚拟安全飞地等。GIG3.0立足于以作战司令部为中心的赛博空间作战，通过MPLS、IPSEC、GRE、虚拟化等重要技术构建穿越不同军事网络的虚拟安全飞地，同时，用户客户端也支持对不同安全等级军事网络的访问，这使得美军的网络化作战能力得以安全、高效地实施。[关键词]全球信息栅格3.0；作战网络域；虚拟安全飞地[中图分类号]TP309[文献标识码]A[文章编号]1009-8054(2011)12-0050-04StudyonDevelopmentofUSMilitaryGIG3.0ZENGMeng-qi，TANPing-zhang，CHENJian-feng(ScienceandTechnologyonCommunicationSecurityLaboratory，ChengduSichuan610041，China)[Abstract]GGIGisakeyinfrastructureunderconstruction，andalsoanadvancedplanforimplementingnetcentricwarfare.Thispaper，followingitsdevelopmentandbasedonanalysisofthedisadvantagesofGIG2.0，givescertainkeypointsandimportantconceptsofGIG3.0，includingOND，AVEandVSE.GIG3.0，basedoncyberoperationwithoperationcommandasthecentre，andwithsuchimportanttechniquesasMPLS，IPSECandGRE，constructsthevirtualizedsecurityenclave，whiletheuserclientcomputeralsosupportsaccesstothemilitarynetworkswithdifferentsecuritylevels，andthusU.S.networkedwarfarecapacitycouldbesecurelyandefficientlyimplemented.[Keywords]GIG3.0；OND；VSE收稿日期：2011-11-17作者简介：曾梦岐，1981年生，男，硕士，工程师，研究方向：信息安全；谭平嶂，1973年生，男，硕士，高级工程师，研究方向：安全认证；陈剑锋，1983年生，男，博士，工程师，研究方向：云安全。*基金项目：保密通信重点实验室基金资助项目(编号：9140C1104011003)。专家新论Experts'Forum·本栏目由保密通信重点实验室协办信息安全与通信保密·2011.1251解决以下几个方面的问题，如表1所示。表1GIG3.0关注点关键点问题解决办法1需要使用同样的基础设施来创建网络飞地，以取代昂贵和笨重的CENTRIXS网络敏捷的联合环境、灵活的赛博环境(AdaptiveCyberEnvironmentACE)2需要创建安全飞地网络来抵抗可能使主网络变得脆弱的赛博攻击深度计算机辅助网络防御(CANDID)3需要创建网络，使得作战指挥员可以应付他们自身任务的风险由作战网络域(OperationalNetworkDomains，OND)组成的赛博空间联合作战区域(JointOperationalArea，JOA)4需要创建策略、技术和过程来监视、控制和管理新的网络环境联合网络空间作战(JointCyberOperations，JCO)测试和评估5需要一个工具来安全和可靠地将飞地之间的合法信息进行传输并且需要一个访问不常用飞地的简单方法穿越飞地要求的组合企业区域信息交换系统(CombinedEnterpriseRegionalInformationExchangeSystem，CENTRIXS)6需要懂得并展现网络和信息系统获得，决定相关的任务风险，提供相关的决策支持展现联合战场集成网络作战(Netops)联合概念技术展示(JointConceptTechnicalDemonstration，JCTD)7需要利用那些利用现代网络技术方法的现有和未来的网络，并以高效、连贯、长期的方法来掌握它们亚太智能网络(Asia-PacificIntelligenceNetwork，APIN)GIG3.0核心要素包括以下7个方面：①ACE，敏捷合作环境灵活网络空间环境；②JCOJT&E，作战网络域(OND)；③APIN，亚太智能网络；④CANDIDJCTD，计算机辅助的网络化深度防御；⑤CCER，跨越飞地需求的组合企业区域信息交换系统；⑥JWIN，联合战场集成网络作战(NETOPS)；⑦CyberJOA，作战网络域(OND)。通过两个连续的阶段来构建GIG3.0。第一阶段旨在建立敏捷的、区域化的信息基础设施，包括以下方面：①将网络划分以执行信息保护和控制策略；②将网络划分以隔离作战部门和司令部的作战区域之间的风险；③利用共用的基础设施来支持网络区域划分；④提供不同作战部门之间的控制接口；⑤提供访问控制并昀小化用户服务点。第一阶段的主要设计驱动为敏捷虚拟飞地(AgileVirtualEnclaves，AVE)，AVE相关的项目/成果包括：IPSec、IPv6、IKE、Namingconvention、IPAddressing、DCSP-DifferentCodeServicePoint、DNS-DomainNamingService、DNN-DomainNetworkNode。AVE的基础包括防御信息系统网络(DefenseInformationSystemNetwork，DISN)、共用任务网络传输(CommonMissionNetworkTransport，CMNT)和基于IP的电信服务，其中共用任务网络传输(CMNT)提供了广域网环境以部署和扩展AVE广域网，利用MPLS将SIPRNET、NIPRNET和JWICS隔离，相关的项目/成果包括：CMNT(Blackcore)-CommonMsnNetTrans、MPLS-Multi-ProtocolLayeredSwitching、HAIPE-HighAssuranceIPEncryption、IPv6、Namingconvention、IPAddressing、DNS和DNN。第二阶段在敏捷的、区域化的信息基础设施基础上控制、利用和隐蔽网络，使得：①监控和控制用于提升性能的接口；②侦测入侵源并响应；③决策并展现作战任务的风险级别；④展现网络态势以维持信息控制。敏捷的、区域化的信息基础设施如图1所示。由于“红”代表未加密的数据，“黑”代表已加密的数据，网络流量对于黑盒来讲已经被解密即红，但对客户服务点(CustomerServicePoint)来讲仍然是“黑”的，所以AVE是红和黑的集合体，称之为“棕”[4]。图1敏捷的、区域化的信息基础设施2网络作战域OND网络作战域(OperationalNetworkDomain，OND)主要用于定义司令部赛博JOA，并利用加密技术将作战能力扩展到C2赛博空间。而针对OND的解决方案为敏捷虚拟飞地(AgileVirtualEnclave，AVE)和虚拟安全飞地(VirtualSecureEnclave，VSE)[2]。所谓虚拟就是采用网络虚拟化的方法来提供虚拟的网络，网络虚拟化的措施包括以下两方面：①基于性能的虚拟化。包括Multi-ProtocolLayeredSwitching(MPLS)、GenericRoutingEncapsulation(GRE)、VirtualLocalAreaNetworks(VLAN)；②基于安全的虚拟化即专用虚拟网(VPN)。包括HighAssuranceInternetProtocolEncryption(HAIPE)、InternetProtocolSecurity(IPSec)、TransportLayerSecurity(TLS)。其中MLPS、GRE、IPSec用于构建OND，IPSec用于构建AVE和VSE。如何在秘密军事网络(CMILNET)间构建OND和VSE，表2给出了一些建议。专家新论自主创新重点跨越支持发展引领未来·Experts'Forum，并且基于通用的网络基础设施云构建端到端的网络安全域运用符合NSA标准并且经过严格测试的IPSec2如何创建具备足够隔离强度的OND以支持AVE里的不同安全等级运用具备入侵防御IPS能力的防火墙、访问控制和服务过滤3如何创建一个黑核DISN以支持AVE，进而实现OND里的VSE。运用下一代网络策略并结合关注点1和关注点2，就像使用MPLS和IPv6构建企业网络域一样由于GIG网络基础设施是基于IP的，美军采用IPsec安全协议或类似IPsec的安全协议保护穿越网络核心的信息。用于构建GIG核心的体系结构有两种具有竞争力的模式：带状核心(StripedCore)模式和黑核(BlackCore)模式。所谓带状模式，即从一个核心组件到另一个组件的所有数据被解密和再加密，这种情况下，核心是带状的(Striped)，解密/加密节点称为红色网关(RedGateway)。尽管带状核心模式可以在计算机网络防御(CND)、缓解IPsec网关发现机制的可测量性等两方面带来一些好处，但由于红色网关对整体网络的运作做了限制，将每一个核心组件网络和其余网络隔