陳 力

國防科技大學信息通信學院 湖北 武漢430011

網絡信息體系的構建不僅是信息基礎設施的建設,更要側重于網絡層面的信息從融合到共享的發(fā)展,建立一個統(tǒng)一、高效和安全的信息環(huán)境。2013年1月,美國參謀長聯(lián)席會議主席簽發(fā)了《聯(lián)合信息環(huán)境白皮書》,闡述了聯(lián)合信息環(huán)境的基本構想,將其視為美軍2020聯(lián)合部隊實現全球一體化作戰(zhàn)及任務式指揮的根本賦能要素。美軍聯(lián)合信息環(huán)境計劃是美軍目前信息化建設最大的工作,深入研究分析美軍聯(lián)合信息環(huán)境建設情況,有助于為我軍網絡信息環(huán)境建設提供理論參考。

一、美軍聯(lián)合信息環(huán)境提出背景

(一)信息技術的推動。創(chuàng)新是引領發(fā)展的第一動力。隨著現代科技水平的快速發(fā)展,信息技術已經成為衡量一場戰(zhàn)爭勝負的關鍵因素。近年來,以云計算、大數據、物聯(lián)網、AI智能為代表的新技術徹底促進了作戰(zhàn)模式的發(fā)展和轉變,相應的作戰(zhàn)信息環(huán)境結構、應用模式也必須隨之改變,以便更好適應作戰(zhàn)的需要。美軍提出的聯(lián)合信息環(huán)境,就是以全球信息柵格網絡(GIG)為基礎,充分利用最新的信息技術來解決當前軍事信息環(huán)境中存在的“瓶頸”問題,有效提高數據的處理和分析能力,大幅度提升指揮決策的時效性,使作戰(zhàn)指揮人員能夠基于任意設備、在任意時間和全球范圍內的任意地點獲取所需的信息。

(二)現有信息基礎設施落后。以全球信息柵格網絡(GIG)為主的信息基礎設施為美軍帶來信息優(yōu)勢的同時,也因其組織系統(tǒng)“煙囪式”的開發(fā),形成了大量的異構網絡和特定技術軟件平臺。這些特定的網絡和系統(tǒng)逐漸暴露出互操作性差、結構過于龐大和復雜、對訪問所需信息的能力受到限制,特別是各軍兵種之間互聯(lián)互通困難,嚴重妨礙了戰(zhàn)場信息資源的共享效率,無法滿足作戰(zhàn)對在正確的時間獲取正確信息的要求。國國防部在全球數十個國家的上百個軍事設施中操控著15000多個網絡及700多萬臺計算機設備,維護人員超過9萬人,指揮控制系統(tǒng)非常復雜,與許多網絡存在超過100個對外接口,給整個系統(tǒng)設計和使用帶來很大困難,亟需進行統(tǒng)一標準化管理維護。

(三)“全球一體化作戰(zhàn)”需要。美軍在2012年9月發(fā)布的《頂層作戰(zhàn)概念:聯(lián)合部隊2020》中提出了“全球一體化作戰(zhàn)”概念,并于2014年3月,在新版的《四年防務評估報告》中提出,要通過戰(zhàn)爭準備再平衡、全球態(tài)勢再平衡、聯(lián)合部隊再平衡,履行好“保衛(wèi)本土、構建全球安全、打贏戰(zhàn)爭”的戰(zhàn)略任務[3]。全球一體化作戰(zhàn)本質是作戰(zhàn)人員能快速在各作戰(zhàn)區(qū)域、不同層級間進行網絡整合和重組,以提高指揮作戰(zhàn)的靈活性。全球一體化作戰(zhàn)更強調采用“任務式指揮”方式,前沿部隊通過實現快速重組和靈活調配,采用最有效的方式達成上級的作戰(zhàn)意圖,大幅度縮短指揮周期,實現從信息優(yōu)勢向決策優(yōu)勢的轉變。因此,美軍需要對信息環(huán)境進行快速調整,構建一種能夠實現跨域融合、任務指揮的信息資源共享環(huán)境,以便能實時掌握戰(zhàn)場態(tài)勢、縮短指揮決策時間。

二、美軍聯(lián)合信息環(huán)境建設的主要做法

美軍聯(lián)合信息環(huán)境構建的三大核心要素是:“共享的信息技術設施、優(yōu)化的企業(yè)服務和單一的安全架構”,通過新技術手段,整合全球分散的信息基礎設施,通過基于云計算技術,實現服務以網絡為中心向數據為中心轉變,通過單一安全網絡架構模式,提升網絡安全防御能力。

(一)加強數據中心整合。提高作戰(zhàn)指揮效率的核心在于信息的快速傳遞,而信息快速快遞的核心又在于數據的集成融合和實時共享。美軍計劃將國防部通過現有大量的數據中心和異構網絡的整合為三大類:一是核心數據中心,主要部署在美國本土及各大戰(zhàn)區(qū)總部,能夠提供標準化的承載和存儲服務,國防信息系統(tǒng)局企業(yè)計算中心、部門企業(yè)數據中心以及部門軍事設施數據中心的功能和所交付的服務,將整合到數十個核心數據中心中;二是設施處理節(jié)點,主要部署在獨立的國防部設施和局部區(qū)域,從技術或經濟方面考慮,這些區(qū)域無法由核心數據中心為其提供本地化服務;三是特種用途處理節(jié)點,主要用于保障特種用途的相關功能,從技術或者經濟性方面來講,由于基礎設施和設備的差異性,導致這些特種功能無法由核心數據中心或者設施處理節(jié)點來提供。

(二)構建單一安全架構。為了解決復雜網絡防御困難、態(tài)勢感知能力弱等安全問題,美軍提出了構建單一安全架構的解決方案。單一安全架構通過將服務器與終端用戶分開、計算區(qū)物理與邏輯分割和公共用戶放至非軍事區(qū)等安全防護措施,并基于“零信任”原則,對所有網絡上人員和機器實現端到端的、唯一的、明確的區(qū)分,將訪問用戶和其數字身份綁定在一起,從而降低網絡的匿名性,使網絡防御扁平化、縱深防御集中化,降低網絡防御的復雜性和成本率,大幅提升網絡安全防御能力。聯(lián)合信息環(huán)境通過整合網絡接入點,減少網絡攻擊面,增加網絡可防御性,在關鍵網絡節(jié)點處統(tǒng)一部署標準化安全套件和專業(yè)化防御力量。通過制定統(tǒng)一指揮計劃,執(zhí)行通用戰(zhàn)術、技術和規(guī)程,采用強制性標準規(guī)范,統(tǒng)一安全防御的各種指令信息運行和管理,促進網絡防御標準化和集中化。

(三)創(chuàng)新網絡運維模式。美軍全球信息柵格(GIG)依靠的是以軍種為中心的非標準運維模式,其戰(zhàn)術、技術和規(guī)程以及體系結構和應用都存在非標準化、非集成化、無法互操作等方面的制約。美軍計劃將現有非標準運維模式國防部網絡運行中心整合成三級全球網絡運維中心,為所有作戰(zhàn)任務提供支持。一是設立全球企業(yè)運維中心,負責戰(zhàn)略層級全球行動的統(tǒng)籌、協(xié)調,為任務伙伴提供外部接口和核心技術支持,實現全球多層級、多領域、多軍種的態(tài)勢感知能力。二是設立區(qū)域企業(yè)運維中心,采用標準化運維模式并互為備份,當一個企業(yè)運維中心出現故障,根據故障備份計劃,另外一個指定的企業(yè)運維中心自動接管其作戰(zhàn)任務,最終狀態(tài)是所有企業(yè)運維中心都能夠承擔任何企業(yè)運維中心的作戰(zhàn)任務。三是設立戰(zhàn)術級運維中心,負責維護終端基礎設施,對戰(zhàn)術級的單元進行保障,提供國防部聯(lián)合信息環(huán)境行動的突發(fā)響應。

三、幾點的啟示

(一)加強數據中心建設,重在一個“融”字。當前,應借鑒美軍相關經驗及教訓,利用后發(fā)優(yōu)勢,根據聯(lián)合作戰(zhàn)需要,統(tǒng)一規(guī)劃數據中心建設運用,做好頂層設計,優(yōu)先出臺數據中心建設、運行、使用、管理等一系列標準規(guī)范,從起步之初就確保統(tǒng)一規(guī)劃實施、緊貼實戰(zhàn)需求、采用最新技術架構、標準化建設運行的原則,實現數據信息融合。一是規(guī)范數據中心建設運用。盡快出臺標準,明確數據中心建設運用的統(tǒng)一原則。例如,在層次方面,將數據中心按照不同領域進行歸類,重點突出全軍通用數據中心、軍兵種專用數據中心、戰(zhàn)術移動數據中心建設。在技術標準方面,應廣泛采用云計算和虛擬化等先進技術,建設通用信息服務架構,為用戶提供透明服務;二是建立數據信息開放共享機制。體系是骨骼、網絡是血管、數據是血液,只有讓血液實時流動,充分融合才能達到作戰(zhàn)要求。網絡信息環(huán)境建設必須以作戰(zhàn)為牽引,堅持開放、實時、融合、共享的通用結構和標準,實現對接入數據信息的整合。

(二)加強網絡防護建設,重在一個“統(tǒng)”字。美軍將網絡安全融入聯(lián)合信息環(huán)境整體設計,通過單一安全架構、強身份認證/訪問控制、統(tǒng)一態(tài)勢感知、集中監(jiān)控防御等方式,實現防御能力大幅提升。當前網絡安全防護建設應以能力建設為牽引,從技術手段、力量建設、法規(guī)制度、組織運用等方面系統(tǒng)推進網絡安全防護體系建設,形成統(tǒng)一的安全防御架構體系;一是加強網絡安全建設運用集中統(tǒng)管。適應信息技術發(fā)展和聯(lián)合作戰(zhàn)需要,統(tǒng)一設計安全體系架構,采用標準化網絡安全架構和技術體制,統(tǒng)建安全防護基礎設施和通用防護手段,統(tǒng)籌安防力量編配,統(tǒng)一安全策略和基線標準,統(tǒng)一業(yè)務處置規(guī)范,實現網絡防御組織運用集中化、標準化,提高防御效能;二是加快推進統(tǒng)一網絡信任體系建設和組織運用,采用以身份為中心的多因素認證,為末端節(jié)點的隨遇接入和控制貫通提供統(tǒng)一身份認證能力。在戰(zhàn)略骨干網邊界和局域網邊界實施入網控制,對應用系統(tǒng)和信息資源實施基于屬性的訪問控制,提供跨域訪問控制能力,確保人員可信入網、網系可信互聯(lián)、應用受控訪問、數據安全共享,實現對末端的精細管控能力。

(三)創(chuàng)新網絡運維模式,重在一個“管”字。美軍聯(lián)合信息環(huán)境致力于將各軍種分散的運維要素整合為由三級運維中心構成的標準化運維架構,這種運維理念與我們“方向+領域”的戰(zhàn)略設計構想基本一致。一是分層進行網絡運維管理。我們應充分利用專業(yè)通信主管部門的統(tǒng)建統(tǒng)管優(yōu)勢,構建“核心—區(qū)域—終端”三級的網絡運維模式,明確各層級擔負的任務和職責,確保各類運維力量更好的協(xié)同配合、互為備份、運管一致;二是建立基于“云技術”的運維模式。云計算技術是一種可以通過網絡便捷地按需訪問已配置的共享的計算資源池的模式。通過構建核心云服務中心,根據不同的任務需要,各級力量可以依托“云”服務,可實現資源信息隨時按需獲取和高效共享,從而保障任務順利完成。