美国国防信息系统局（DISA）《2019-2022财年战略计划v2.0》解读

该《战略v2.0》是对2019年7月DISA发布的《2019~2022 DISA战略计划》（1.0版本）的更新。为了适应随着全球和网络空间格局的迅速变化，战略环境发生的改变，此次版本结合1.0版本，对优先事项进行更新。在这个网络领域技术进步的时代，新冠肺炎疫情爆发的一年里，DISA不断寻求新的方法来满足终端用户对响应迅速、具有弹性、安全和高质量的信息技术服务的需求。与此同时，为适应战略环境悄然改变，DISA的使命在过去几年中也有所发展，目前更专注于建设迈向未来的能力，融合新技术，由此，在《战略v2.0》中确定未来两年的核心技术领域。

DISA此番发布的《战略v2.0》继续与国家和国防战略保持一致，即《国家安全战略》（2017）、《国防战略》（2018）、《2018国防部网络战略》和《国防部数字现代化战略》（2019）。国防部的长期网络战略方法是基于相互努力加强，以建立一支更具杀伤力的联合部队，在网络空间进行竞争和威慑，扩大联盟和伙伴关系，改革部门和培养人才。总的来说，这些战略指导了《战略v2.0》的制定，并支持国防部的目标，即加强有助于当前和未来美国军事网络的优势和系统的安全性和弹性。­

本文对《战略v2.0》全文进行高度概述与提炼，总结出几点重要内容。该战略，明确确定了2021年到2022年的三个战略技术重点，未来两年里，DISA的工作重点并以此战略技术重点展开。该战略对第一个版本的战略目的进行了更新，首次提出“先用再买，先买再造”的技术采用策略，以期待提高技术创新能力，并且对2021年关注的科学领域技术进行分类，以便更好的开展后续工作。

1、明确确定2021-2022年度的三个战略技术重要领域

《战略v2.0》的技术路线图明确了三大战略技术领域：网络防御、云计算和国防企业办公解决方案（DEOS）。

（1）网络防御领域的重点将围绕零信任展开

在网络防御领域，未来重点将围绕零信任网络安全架构开展工作。DISA指挥官美国海军中将南希·诺顿（Nancy Norton）在该《战略v2.0》中指出，国防部依靠DISA作为其最高作战支持机构，实现远程工作，应对新冠肺炎疫情。新冠疫情开启了许多国防部员工的远程工作，这带来了更大的网络安全风险，并加快了关于零信任网络安全架构的对话。而在《战略v2.0》中明确提出，未来网络防御的战略重点将围绕零信任网络安全架构展开。为了实现该架构，《战略v2.0》指出，DISA必须定义零信任参考架构，制定政策，并测试和实施相关能力。目前，DISA正在与美国国家安全局、网络司令部和五角大楼首席信息官合作，开发一种零信任实验室环境，以复制现有和近乎最新的技术来测试零信任能力。此外，DISA还将利用内外部威胁情报来强化网络边界防御，维持并升级联合区域安全堆栈（JRSS），利用“遵循连接”（Comply-to-Connect）网络安全项目来增强终端安全。其中“遵循连接”网络安全项目是美国国防部（DoD ）的网络和数字现代化计划的一项举措，旨在改变网络和网络的安全性。这使美国国防部可以控制允许哪些终点连接到 DoD 网络，并提供对终点安全合规性的整体更好的了解。

（2）云计算领域的开展将通过”敏捷软件开发”活动推动

在云计算领域，该《战略v2.0》指出，DISA将通过“敏捷软件开发”（Agile Software Development）活动推动国防部云任务。重点强调了几个“敏捷软件开发”事项，这些都是云任务的关键推动因素，包括DevSecOps框架、DevOps指标模型和国防部范围的实践。该战略计划列出了云计算的三条主要工作路线，其中包括基于云的互联网隔离工具、云访问和安全，以及云基础设施。在云访问和安全方面，DISA希望为国防部云环境建立企业身份和身份验证，并“发展”其云访问和安全产品。该计划提到：“在这一战略时期内，我们将托管关键的传统系统，剔除过时的遗留计算系统，并在适当的情况下转向基于云的替代系统。我们正在积极启动新的关键任务应用，并努力在2021年对非保密IP路由网络（NIPRNet）和保密的IP路由网络（SIPRNet）进行基础设施技术更新。”对于云基础设施，DISA希望在SIPRnet上部署“军事云2.0”（MilCloud 2.0），并通过集成联合企业国防基础设施云提供通用服务。

（3）办公方案领域将促进传统企业服务向DEOS的迁移

最后一个领域是国防企业办公解决方案（DEOS），它是一种商业云服务产品，以使国防部的工具和应用程序标准化。该方案获取并实施通用企业应用程序和服务，供国防部联合使用，实现云采用标准化，并支持跨部门协作。这笔价值44亿美元的合同最近被重新授予通用动力信息技术公司。DEOS将采用一种多方面的方法来进行部署和实施，以适用于NIPRNet和SIPRNe环境。在这一战略时期内，DISA将促进从传统企业服务向DEOS的迁移，并逐渐淘汰传统服务。这包括在美国大陆内建立、测试和授权NIPRNet服务，以及启动OCONUS和SIPRNet服务。

2、首次提出“先用再买，先买再造”的技术采用策略

该《战略v2.0》在战略目的中首次提出“在购买之前先采用，在创造之前先购买”（Adopt Before We Buy And Buy Before We Create）的技术采用策略。在1.0版本中其战略目的中采用的是“采用、购买、创建解决方案”。这也是该《战略v2.0》较1.0版本改进之处。

“在购买之前先采用，在创造之前先购买”的策略流程将有力提升为国防部服务的交付速度和能力。当任务伙伴请求解决方案时，供应商使用此流程来确定满足要求的最佳方式。首先，供应商确定该解决方案是否已经在国防部内部存在，以及它是否可扩展以满足任务要求。第二，如果解决方案不可用或不可扩展，供应商会从行业合作伙伴那里购买。如果该解决方案不能从国防部或行业合作伙伴处获得，第三个也是最不敏捷的方法是通过创建定制解决方案来满足需求。当需要时，供应商提供短期解决方案来填补能力缺口，同时开发和实施长期解决方案。通过开发和交付基于特定需求的定制服务的解决方案，该流程可以加强任务合作伙伴之间的协作。总的来说，“先用再买”的技术策略，要求买之前就已经采用或者试用过，这样来保证买来之后是可以发挥实际效用的；“先买再造”的技术策略，要求能买的尽量买，尽量不要自己创造和研发，使用商业产品和创新能力，避免反复造轮子。这在本质上也是为了加快创新步伐。

3、详细划分2021年关注的科技领域技术分类

《战略v2.0》指出DISA的2021年工作重点。DISA 将2021年关注的科技领域技术详细分成了关注、计划、验证、部署四类。所有进入到 DISA 视野中的技术都会按照这个分类归类，并开展相关的工作。目前在 DISA 关注的新技术在各个阶段的分布如下：

· 关注：感兴趣的技术领域，DISA 正在积极的调研这个领域的能力和成熟度。目前在这个阶段的技术包括电子邮件隔（Email Isolation）、加密流量分析（Encrypted Traffic Analysis）、抗量子密码学（Quantum Resistant Cryptography）。

· 计划：评估技术对 DISA 和 DoD 任务的影响，理解其影响并考虑与 DoD 企业环境的集成点。这个阶段的技术包括：企业级灰色核心（Enterprise Grey Core）、无线传输（Wireless Transport）、边界演进（Perimeter Evolution）、人工智能与机器学习（AI/ML）、移动环境与桌面环境的融合（Mobile/Desktop Convergence）、网真视频会议（Telepresence）。

· 验证：正在搭建或者测试过程中。目前这个阶段的有：分布式账本（Distributed Ledgers）、开发/安全/运行一体（DevSecOps）、携带认证的私人设备（Bring Your Own Approved Device）、可靠身份（Assured

· dentity）、涉密移动能力（Classified Mobile Capabilities）、自动（Automation）、安全编排、自动化与响应（Security Orchestration Automation and Response）。

· 部署：已经验证完毕，正在企业环境中部署。主要包括：基于云的互联网隔离（Cloud Based Internet Isolation）、云计算（Cloud IaaS/PaaS/SaaS）。

1、《战略v2.0》凸现DISA“以人为本”重视人才的理念

此次对外发布《战略v2.0》，可以让外部人员了解DISA究竟在做些什么，同时也可以吸引更加优秀的人才加入DISA，这也彰显出DISA对外秉持开放、包容的态度。《战略v2.0》强调与业界保持良好的伙伴关系，例如：DISA为业界提供了与DISA领导层、高级管理人员、项目经理全年会面的机会。DISA会在每年一次、为期一天的年度会议“业界预测”上亲自接待行业代表。DISA的资深人员和项目经理向业界通报DISA的未来机会，并提供一份全面的签约机会清单。

另外，《战略v2.0》专门用一个章节来说明如何招人与用人，从这也不难看出，DISA求贤若渴，为网罗人才在招聘人才方面想尽办法。在就业品牌和营销方面：DISA寻求制定一个全面的就业品牌战略，要在政府、业界、学术界推广自己。加强DISA的社会媒体存在感，扩大DISA的劳动力市场影响力。在使用自动化招聘技术方面：利用虚拟征聘，应对无法面谈的场景。利用社交媒体平台Facebook、Twitte，为招聘会和活动做广告。在DISA的大使计划方面：培训DISA的员工成为宣传大使，宣传DISA是首选雇主，使他们成为推广DISA品牌的力量倍增器，从而吸引有才华、高素质的专业人士加入DISA。由此看来DISA在寻得人才方面真的很是用心，也反映出其“以人为本”重视人才的理念。

2、零信任地位大幅提升，成为美国政府首选的网络安全战略

在战略计划1.0版中，技术成熟度被分为四个等级，成熟度等级由低到高分别是监测、积极寻求、积极参与、使能活动。而零信任架构被放在了监测这一最低等级（即需要跟踪观察的技术，）距离“使能活动”的基础性地位还相当遥远。而在这次发布的《战略v2.0》确定的三大战略技术领域之一网络防御，明确将围绕零信任展开。其中有段专门阐述零信任地位和进展的描述：“我们追求一个健壮的防御架构，他是我们的零信任架构计划。该计划充当一个使能属性，将所有安全解决方案绑定在一起。DISA正与国家安全局、美国网络司令部、国防部首席信息官合作，开发一个动态的零信任实验室环境，能够复制现有的和接近实际的技术，以测试零信任能力。”《战略v2.0》中，零信任架构的地位被直线抬升。零信任架构被定位为网络防御方面的使能活动，可以说地位被连升3级（从最低的第4级升至最高的第1级）。

另一方面，我们注意到为了使美国政府能够采用并过渡到零信任架构，美国国防部的一系列举措也为走向零信任架构奠定了基础。2019年4月发布的《5G生态系统：对美国国防部的风险与机遇》称，“国防部必须采用零信任网络模式。”边界防御模型已经被证明是无效的，5G只会加剧这个问题，因为更多的系统被连接到一个共同的网络。不应仅仅通过连接到特定网络来授予信息访问权限，而应通过网络内的各种安全检查授予信息访问权限。2019年7月发布的《美国国防部数字现代化战略：国防部信息资源管理战略计划FY19-23》中，提及了国防部向零信任发展的明确方向，并指出，零信任是一种网络安全策略，它将安全嵌入到整个体系结构中，以阻止数据泄露。零信任这种以数据为中心的安全模型，消除了受信任或不受信任的网络、设备、角色或进程的概念，并转变为基于多属性的信任级别，使身份验证和授权策略在最低特权访问概念下得以实现。2019年10月27日国防创新委员会（DIB）发布的《零信任架构（ZTA）建议》报告中，第一条建议就是：国防部应将零信任实施列为最高优先事项，并在整个国防部内迅速采取行动。正如我们所看到的这样，美国政府的各类研究行动，都已经与零信任架构密不可分了。零信任架构已经成为美国政府全面首选的网络安全战略。

3、DISA是美军的网络安全的“保护神”，地位举足轻重

在2020年6月美国防部发布的《战略网络空间作战指南》中，我们可以清晰地看到DISA的定位并对其职责都有整体性的描述。其中阐述DISA管理的网络空间范围有国防信息系统网（DISN）、国防部信息网（DODIN）、互联网（Internet）。显然，这三张网络显然是依次扩大的。简而言之，国防信息系统网是国防部的骨干网（企业级网络），属于DISA直接管理和运维的网络。国防部信息网涵盖所有国防部网络空间，包括国防部骨干网和各个国防部部门网络，其中各部门网络（部门级网络）属于DISA管辖（但不直接管理和运维）的网络。互联网是外部网络空间，包括美国联邦政府的网络，属于DISA在必要时才会在其中采取行动的网络。由此，DISA在美军网络空间安全防护中扮演极为重要的角色，可以说DISA是美军网络安全的“保护神”，主要负责保障美军网络空间安全。但在美军历史上曾经发生过变化：在2010年之前，由DISA局长负责指挥网络防御作战已有十余年的历史。然而在2010年，DISA的网络安全防护职能，移交给了新成立的美军网络司令部；但是，在2015年，DISA局长兼任JFHQ-DoDIN（联合部队总部-国防部信息网络）指挥官，负责防御性网络空间作战，标志着DISA加入作战指挥序列，再次统领美军的网络安全防护。美军的网络安全防护为什么重新由DISA统领？根本原因是网络安全防护必须以对网络和安全的深刻理解为基础。DISA长期负责国防部信息网（DoDIN）的建设和运维，从设计理念到运维细节，DISA是美军最清楚国防部信息网（DoDIN）的部门。而在2016年5月，美军网络司令部作战部部长也承认，在美军网络司令部组建网络安全防护力量的过程中，一个重要教训是缺乏对网络的理解。从DISA再次统领美军的网络安全防护不难看出，美军也是在发展中探索，经验中总结教训，也更看出美军对其网络安全防护的重视程度，而DISA在美军网络安全领域NO1的地位更是不可动摇。

《信息安全与通信保密》杂志投稿