全球国防网络空间情况综述.docx

《全球国防网络空间情况综述》目 录1 全球国防网络空间情况综述 （网络安防篇-上） 31.1 重视以攻补防，通过打击行动威慑对手 31.2 改善安全架构，逐步向零信任体系迈进 101.3 制订安全标准，实施国防工业安全认证 192 全球国防网络空间情况综述（武器技术篇-下） 272.1 人工智能 352.2 5G 392.3 高性能计算 432.4 区块链 452.5 量子 482.6 云计算 491 全球国防网络空间情况综述 （网络安防篇-上）网络安全既是保障军事作战能力的重要基础，也是确保国家安全稳定的必要因素美英加澳日等国通过打击网络入 侵、转变安防体系、强化供应链安全、开展安全检测、促进安全合作等方式，加强国防网络安全防御，同时也为加强国家整体网络安全提供力量支撑1.1 重视以攻补防，通过打击行动威慑对手美国、英国、加拿大等国转变网络防御思维，除开展常规网络防御外，根据目标性质、事态影响、打击效果等标准进行权衡， 对民族国家黑客、网络犯罪组织等发起主动网络攻击行动，向目标施加网络攻击成本，“以攻代防、以攻补防、以攻促防”，旨在利用威慑效果改变攻击者决策，从而阻止重大网络攻击事件的发生。

美国防部负责网络政策的副助理部长欧阳沅0月就美军网络空间作战及在打击勒索软件攻击方面的作用发表看法欧阳沅表 示，美军在网络空间和网络行动方面正处于“拐点”，主要体现在以下四个方面：一是在阻止网络攻击方面，除考虑网络安全系统外，还在考虑人员的因素，即以影响对手权衡方式开展网络空间行动；二是国防部对网络的理解正在不断发展，正在将信息作战和网络作战更加紧密地联系起来以阻止针对美国的恶意活动；三是国防部正认真审视网络在其他领域的作用以达成综合威慑效果；四是网络空间形势瞬息万变，因此美军在该领域需要保持“持续交战”态势美国网络司令部一支特遣部队于2月至8月期间开展了首次进攻性网络行动此次行动意义非凡，以至美国国防部长劳埃德·奥 斯汀亲自出席并观看了行动此次行动也是数字领域战争性质迅速演变以及进攻性网络行动未来重要性的另一个标志此次行动是一项“进攻性网络效应行动”，涉及美国防部信息网络的安全，但行动确切性质和目标仍然未知开展此次行动的特遣部队 由来自美国马里兰州空军国民警卫队第75网络作战大队、特拉华州空军国民警卫队第66网络作战中队、美国海军第63网络 突击队、美国空军第34网络作战中队和空军预备役的人员组成。

虽然美国网络司令部还开展了其他进攻性网络行动，但这是 该特遣部队开展并承认的首次进攻性网络行动美国网络司令部司令兼国家安全局局长保罗·中曾根3月25日在参议院作证称，在2020年总统大选前夕，美国网络司令部执行 了20余次任务，包括在9个不同国家开展了次“前出狩猎”行动，以保障此次选举安全保罗·中曾根表示，从保护2020年选 举的行动中汲取了三个教训：一是网络司令部必须做好采取行动的准备，从而抓住应对威胁的机会，网络空间中成功行动取决 于简化的流程、任务战备就绪以及任务伙伴的信任；二是网络司令部与国家安全局的伙伴关系是成功的基础，“双帽制”为美国 提供了“速度、敏捷性和灵活反应”，从而使网络司令部能够对威胁做出迅速应对；三是与国内外合作伙伴及时共享威胁信息至 关重要保罗·中曾根5月还就美国网络部队在海外开展的“前出狩猎”行动发表看法中曾根表示，“前出狩猎”行动在美国网络司令部 的“持续交战”战略中发挥着至关重要的作用，不仅可以保护和加强美国网络和系统以及关键基础设施，同时也为美国和美国的合作伙伴提供了有价值的见解和情报；美军“前沿防御”政策设定了一个重要的基调，强调了网络威胁的严重性，并承认在网络空间中保卫美国需要在美军网络之外执行行动。

英国信号情报机构政府通讯总部（GCHQ）负责人杰里米·弗莱明0月表示，该机构正在考虑部署来自英国新成立的国家网络 部队（NCF）的黑客来“追捕”勒索软件团伙杰里米·弗莱明表示，与去年相比，全英国的勒索软件攻击数量翻了一番，激增的原因是攻击奏效以及犯罪分子获利了且认为攻击未遇抵抗；针对警方和检察机构无法触及的群体的一种方法是通过所谓的“矛头”，涉及攻击性网络活动；打击勒索软件需要理清勒索软件，明确想要的红线和行为，追踪犯罪行为者和国家行为者之间的联系，并施加成本此类行动通常涉及诸如阻止对手的信号或破坏其服务器等行为澳大利亚信号局（ASD）局长雷切尔·诺布尔月宣布ASD正在深入参与针对对手的进攻性行动，并警告未来战争很可能从网 络空间开始诺布尔表示，攻击性网络能力已完全融入ASD的信号情报和网络安全功能，并且是ASD使命的成熟组成部分；不 可能在进攻和防御能力之间划清界限，因为拥有攻击性网络能力的机构最适合防御攻击，划清攻防界限将剥夺澳大利亚拥有和需要的领先优势；在网络空间，ASD正日益成为保护国家免受网络攻击的第一道也是最后一道数字防御线，努力挫败试图通过 进攻性网络行动来攻击澳大利亚的人员；ASD的目标是保护澳大利亚网络，在造成伤害前将其驱逐，并采取进攻性网络行动， 使其无法从犯罪中获益；ASD必须是“偷猎者和猎场看守者”，并希望传达一个明确的信息，即“对手在威胁我们的利益方面会 付出的代价超过这样做的好处”。

加拿大通信安全机构（CSE）2月首次公开承认开展“外国网络行动”，以“向日益增长的网络犯罪水平施加成本”该机构表 示，其新任务“赋予CSE开展网络行动的合法权力，以破坏对加拿大的外国威胁，包括网络犯罪分子CSE承认针对非国家行 为者的网络行动被称为该机构的“分水岭”时刻CSE发言人表示，“虽然我们无法评论我们使用外国网络行动（主动和防御性 网络行动）或提供行动性统计数据，但我们可以确认我们拥有向此类事件背后的人员施加成本所需的工具我们还可以确认我们正在将这些工具用于此类目的，并在适当的情况下与加拿大执法部门合作打击网络犯罪1.2 改善安全架构，逐步向零信任体系迈进当前，美军网络的规模和复杂性不断增长，用户和终端的数量也在不断增加，导致美军网络被攻击面不断增大，其网络安全防御面临极限挑战美国防部正在将现有基于“边界”的网络安全方式转变为“零信任”方式，从而显著抵消国防部网络中的漏洞和威胁年内，美国防部发布零信任参考架构指导文件，美军各军种已经开始着手推进零信任架构部署美国防信息系统局（DISA）2月公开发布《美国防部零信任参考架构.0版》，旨在使国防部增强网络安全并在数字战场上保 持信息优势。

该文件由DISA与国防部首席信息官办公室、美国网络司令部、美国国家安全局合作开发，为国防部大规模采用零信任设定了战略目的、原则、相关标准和其他技术细节国防部采用零信任的依据是三项基本准则：永不信任，始终验证；假 设失陷；显式验证国防部零信任架构（ZTA）工作的范围，专门用于确定所需的能力和集成，以成功推进国防部信息网络（DoDIN）进入可互操作零信任最终状态国防部零信任实现划分为三个阶段：基线、中级、高级国防部零信任架构包括七大支柱和能力，包括：用户；设备；网络/环境；应用程序和工作负载；数据；显示/分析；自动化和编排美国家安全局（NSA）2月发布名为《拥抱零信任安全模型》的网络安全信息表，向国防机构和国防承包商提供建立零信任网络架构指导文件敦促整个美国防部及其承包商对敏感系统采用零信任以更好地防止数据泄露，并强烈建议国家安全系统（NSS）、国防部网络和国防工业基础（DIB）系统等关键系统采用零信任安全模式该文件只是NSA计划发布的参考体系结 构的开始，以帮助承包商和国防部组成机构过渡到零信任模型美国防部负责网络安全的副首席信息官大卫·麦基翁月表示，国防部必须改变思维，因为敌人现在可能就已经侵入美军网络；国防部向零信任安全架构的转变提供了一个“战斗机会”，可以在黑客攻击并造成巨大伤害前检测并驱逐黑客；国防部已经在边界内设置了安全措施，以检测大量异常行为并迅速做出反应；国防部在保护数据方面的策略是确保对数据进行适当的基于权限的访问，基于用户身份和凭证不断验证；国防部还确保所有设备都是安全的，并对非安全设备实施较低级别的条件访问； 通过细分服务器和应用程序，国防部不会在单个服务器上加载大量应用程序，以在一个应用程序遭到入侵时确保网络犯罪分子无法访问其他所有应用程序和相关数据。

美国陆军首席信息官拉杰·艾耶尔9月表示，为了在“联合全域指挥控制”（JADC2）数据结构环境中保持可靠的网络安全措施，军方必须转向使用零信任艾耶尔表示，零信任架构是确保陆军在多域作战中保持安全的唯一方法；陆军严重依赖商业技术启动JADC2，将利用这些数字技术并迅速将其集成到任务指挥平台或决策支持系统中；利用上述技术的缺点是它“成倍地”增加了 陆军的攻击面，因此零信任安全模型可以帮助陆军改变网络安全理念以保护自身；此前的网络安全方法导致了越来越孤立的响应，最终损害了陆军利益；陆军正在根据国防信息系统局（DISA）5月份为国防部发布的参考架构建立零信任网络架构拉杰·艾耶尔0月表示，陆军正面临各种网络安全挑战，包括：关键基础设施中运营技术（OT）资产的网络安全尚未得到充分 理解；云安全的配置/架构应用不一致；技术覆盖不断扩大导致攻击面增加；优先考虑武器系统的网络安全要求；缺乏对网络预算和支出的可见性艾耶尔称，上述挑战影响了陆军跟上对手先进网络攻击媒介的能力，而外围防御方法并不总是能够应对这 些威胁，因此必须依靠零信任；陆军正在开展各种零信任计划，以构建安全、协调、无缝、透明且具有成本效益的IT架构，将 数据转换为可操作的信息，并确保在面临持续网络威胁时可靠地执行任务。

相关计划涉及：端点（IT、OT、IoT）安全；面向 云的安全接入服务边缘；使用AI/ML开展网络分析；软件定义网络美国陆军首席信息官办公室网络安全主管马修·伊斯利0月表示，为了更好地保护自身网络并遵守拜登政府的行政命令，陆军 正在努力建立一个零信任网络安全框架；陆军通过陆军网络司令部、G6和网络企业技术司令部已经很好地启用相关能力，包括已经拥有零信任系统的基础层，并已经开展采用端点安全、身份解决方案、主动监控、云隔离和外围防御；上述系统都为零信 任创建了基础层，陆军未来几年的目标是开发能力进行改进，从而真正能够使用该技术来增加保护网络的方式；未来随着更多 基于云的访问，陆军网络的边界变得“越来越模糊”，陆军网络上的端点、用户和设备将急剧增加，因此需要建立一个零信任框 架来管理访问这些网络的大量系统美国空军正在试验零信任策略，以提供额外的数字保护美国空军空战司令部（ACC）于月举办了零信任峰会，领导人自此 形成了专门为支持遗留软件和硬件的零信任战略根据该战略，空军还将努力“重新调整”其所有新应用程序开发，并创建包含零信任租户的采购术语此外，该司令部正在开展两个零信任试点项目：一是通过软件即服务环境使用软件定义边界；二是以数据为中心的零信任架构。

ACC网络空间和信息优势部门（A6）首席技术官詹姆斯·洛特佩奇表示，空军必须从基于边界的网 络安全模型转向支持云的零信任，新方法从网络位置角度转变为管理用户身份，从分层防御转变为利用微边界，从对用户的隐式信任和开放访问转变为基于会话实例要求安全证明和建立受限访问，同时这种方法将需要开发具有零信任意识的应用程序随着美国空军推进两项重要的零信任架构（ZTA）试点项目，美国空军第6航空队在帮助从作战角度检查其使用方面发挥着关 键作用第6航空队指挥官蒂莫西·豪称，零信任架构是空军全域作战能力的核心技术；随着美军继续增加对从传感器获取数 据并利用这些数据获取优势的依赖，零信任架构作为一项基础技术将确保数据的安全性；美军必须能够确保数据和系统在任何环境中的弹性，零信任是其中的关键部分。