肖志夫：美国防部即将实施“零信任网络安全框架”

【2024年3月22日，国防部首席信息官约翰·舍曼、国防部首席数字和人工智能官克雷格·马特尔以及国防信息系统局局长罗伯特·j·斯金纳空军中将在华盛顿众议院军事委员会小组委员会作证。】

据美媒报道，2024年3月22日，五角大楼高级技术官员向国会提供了国防部确保作战人员在未来保持信息和技术优势的最新措施，其中最重要的一条措施是实施“零信任网络安全框架”。

国防部首席信息官约翰·舍曼、国防部首席数字和人工智能官克雷格·马特尔以及国防信息系统局局长罗伯特·j·斯金纳空军中将强调，国防部的重点是为联合部队提供满足当前和新兴作战需求所需的信息和工具。

舍曼在众议院军事委员会小组委员会作证时说：“我们在国防部人员需要时随时随地为他们提供安全、弹性的软件，这比以往任何时候都更加重要”，“我们认识到这个问题的紧迫性，正在努力确保我们取得成功。”

舍曼说，在亚洲和欧洲，网络威胁不断出现，国防部和国防工业网络的网络保护至关重要。为了应对这一威胁，国防部一直重点关注实施“零信任网络安全框架”。

他说，一旦实施，零信任框架将使国防部超越传统的网络安全方法，具有旨在减少网络攻击风险、实现风险管理和数据共享以及快速遏制对手和补救活动的能力。

据网上资料，零信任网络安全框架，是一种安全模型，假定没有任何人是可信的，即便是组织内部的人员。这意味着在授予对网络上任何资源的访问权限之前，必须验证和认证所有设备、用户和应用程序，它被认为是网络安全的未来。

与传统网络安全方法相比，零信任网络安全框架具有更高的安全性、更好的可扩展性和灵活性、更好的可预见性和控制性。这种安全模型可以防止内部和外部威胁的利用，可以更好地监控和控制网络上的数据流动，及时识别和应对任何威胁，并减少攻击者可以利用的攻击面。

【零信任网络安全架构示意图】

据报道，美国国防部还在以云计算和软件为重点的信息技术现代化举措方面取得进展，国防信息服务局（DISA）已经授予了超过47份与国防部联合作战人员云能力（JWCC）合同相关的任务订单，还有50份订单正在审批中。

“至关重要的是，要确保国防部人员无论身在何处，都拥有安全且有弹性的软件。”报道说，JWCC的合同于2022年授予，以确保作战人员能够访问国防部遍布全球的云基础设施；DISA还部署了初步的海外云能力，以支持美国印太司令部；他们最近还试行了一项计划，在世界各地的偏远地区部署混合云功能。

据了解，国防部首席数字和人工智能办公室（CDAO）正在加快整个部门对数据分析和人工智能的采用，“以便国防部能够从会议室到战场更快地做出更好的决策。”去年11月，国防部发布了加速采用先进人工智能能力的战略，以确保美国作战人员在未来几年保持战场上的决策优势。该战略规定了人工智能开发和应用的敏捷方法，强调交付和大规模采用的速度。

据报道，国防部刚刚开发了一种叫做“联盟联合全域指挥控制”(CJADC2)的物质和非物质解决方案系统，今年2月，国防部副部长凯瑟琳·希克斯宣布国防部已经交付了CJADC2的初始版本，为指挥官提供信息和决策优势。国防部的目标是在所有作战领域应用这个系统，并实施快速更新迭代和快速交付产品，使作战人员在威慑和必要时击败全球任何地方的对手方面具有持续优势。

（原创发布，作者系昆仑策研究院特约研究员）