index.json

[{"authors":["sbilly"],"categories":null,"content":"我很懒，以至于什么都没写。\n","date":1575281750,"expirydate":-62135596800,"kind":"taxonomy","lang":"en","lastmod":1575281750,"objectID":"5d4b13850d917808dafe899ede0fd3f0","permalink":"https://sbilly.github.io/authors/sbilly/","publishdate":"0001-01-01T00:00:00Z","relpermalink":"/authors/sbilly/","section":"authors","summary":"我很懒，以至于什么都没写。","tags":null,"title":"sbilly","type":"authors"},{"authors":["admin"],"categories":null,"content":"Nelson Bighetti is a professor of artificial intelligence at the Stanford AI Lab. His research interests include distributed robotics, mobile computing and programmable matter. He leads the Robotic Neurobiology group, which develops self-reconfiguring robots, systems of self-organizing robots, and mobile sensor networks.\nLorem ipsum dolor sit amet, consectetur adipiscing elit. Sed neque elit, tristique placerat feugiat ac, facilisis vitae arcu. Proin eget egestas augue. Praesent ut sem nec arcu pellentesque aliquet. Duis dapibus diam vel metus tempus vulputate.\n","date":-62135596800,"expirydate":-62135596800,"kind":"taxonomy","lang":"en","lastmod":-62135596800,"objectID":"2525497d367e79493fd32b198b28f040","permalink":"https://sbilly.github.io/authors/admin/","publishdate":"0001-01-01T00:00:00Z","relpermalink":"/authors/admin/","section":"authors","summary":"Nelson Bighetti is a professor of artificial intelligence at the Stanford AI Lab. His research interests include distributed robotics, mobile computing and programmable matter. He leads the Robotic Neurobiology group, which develops self-reconfiguring robots, systems of self-organizing robots, and mobile sensor networks.\nLorem ipsum dolor sit amet, consectetur adipiscing elit. Sed neque elit, tristique placerat feugiat ac, facilisis vitae arcu. Proin eget egestas augue. Praesent ut sem nec arcu pellentesque aliquet.","tags":null,"title":"Nelson Bighetti","type":"authors"},{"authors":["sbilly"],"categories":["安全产业"],"content":"Qualys 是脆弱性管理领域的国际大厂，和 Rapid 7、Tenable 各有千秋，但每年在 RSAC 上的风头可是比同类任何一家都要牛。从这次大会来看，很多内容我在脆弱性管理方面的观点类似。\n 对脆弱性处理的优先级排序是一大难点。既需要修复，又不能眉毛胡子一把抓，而目前的 CVSS 分数基本只能看看笑笑别无他用。 通过数据和图计算，找出攻击路径/暴露面，在脆弱性管理这个领域是一个比简单测绘来说更切实际的一条路。  其实这上面的观点也没什么特别，之前和不少同事/朋友简单聊过，也观察到不少业内朋友都关注到了。例如：安全喷子 的 《漏洞管理新说 》 ；zwell 的《网络空间测绘的生与死（一）》和《网络空间测绘的生与死（二）》 。\n我更想强调的是，目前 Qualys 谈到的这些内容更多是“二层楼”的事情，而国内大多数企业/组织在这个领域还需要有更坚实的“一层楼”。千万不要认为看到互联网上有主管单位或各厂家标着“高危”、“紧急”之类的漏洞情报，发文要求打补丁就是管理体系。能不能结合自己的业务，判断紧迫度、平衡补丁对业务的影响以及安全风险，并把这些工作融入到 IT 基础设施和应用的整个运行中，这才是形成可靠的 漏洞/脆弱性/暴露面/攻击路径 管理体系的基础。\n站在“十四五”启动的当下，建议大家把 “二层楼” 的事情当成旗舰项目，通过引领和牵引推动更多“一层楼”的基础建设。而不要光顾“二层楼”，那就忘记初心、本末倒置了。光修二层楼，迟早会这样的 ……\n不扯了，说说大会吧 ……\n一、大会主要内容 Qualys 认为现有安全生态中的人、流程、工具都是互相隔离的“烟囱”，而计算环境的变化给整个安全行业带来了变化和挑战。Qualys 认为未来的安全市场很可能会形成大企业、云服务商、新一代的 MSSP、IoT 和 OT 供应商等几个细分市场。原有的企业安全厂商会遇到安全架构变革、渠道变革、买家变化、商业模式变革四大挑战。因此，Qualys 提出了 VMDR（Vulnerability Management, Detection \u0026amp; Response） 把漏洞管理带入下一个层次。多个单点产品的集成工作量会非常复杂，而且无法提供完整的上下文信息；而目前基于 SIEM 增加或扩展 UEBA 和 AI/ML 技术也不能让检测结果更加可信。因此，Qualys 期望通过提供单一的云平台来支持 IT 团队、DevOps 团队、安全团队、合规团队，提供前所未有的具有丰富上下文信息的实时可视、检测、自动化和响应的能力。\n当然，所谓的计算环境的变化，并不是 Qualys 自己拍脑袋的，也是通过 451Research 这家调研公司调研得来的（IBM、Redhat、HP、…… 公司都用过这家公司的调研数据，在美国还有一些名气）。\nQualys 认为可以通过 “网络可达性 + 资产安全态势” 发现攻击路径，并且通过攻击路径来调整漏洞和补丁管理的优先级，优化防御态势（优先给攻击路径中关键节点打补丁）；也可以通过攻击路径来提高检测和响应的效率（优先分析攻击路径中的关键主机）。\n同样，Qualys 也认为必须通过 DevOps 把安全集成到 IT 中，并且通过编排工具来提供自动化的效果。\n二、Qualys 客户发言 大部分客户讲的还是自己的实践总结，其中一个客户讲了漏洞管理的演进路线。\n三、资料  链接: https://pan.baidu.com/s/1YiRHv5omTZd8VU2AWUE4WA 提取码: nmgw  ","date":1575281750,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1575281750,"objectID":"cc472153748226cfc5536a47e9036c38","permalink":"https://sbilly.github.io/post/qualys-security-conference-2019/","publishdate":"2019-12-02T18:15:50+08:00","relpermalink":"/post/qualys-security-conference-2019/","section":"post","summary":"站在“十四五”启动的当下，建议大家把 “二层楼” 的事情当成旗舰项目，通过引领和牵引推动更多“一层楼”的基础建设。结合自己的业务，判断紧迫度、平衡补丁对业务的影响以及安全风险，并把这些工作融入到 IT 基础设施和应用的整个运行中，这才是形成可靠的 漏洞/脆弱性/暴露面/攻击路径 管理体系的基础。","tags":["Qualys","安全会议","脆弱性管理","暴露面管理","攻击路径管理","Security Architecture"],"title":"【笔记】Qualys Security Conference 2019","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"随着“十四五”规划的临近，各行各业都准备做新的规划了。对于安全行业来说，在规划阶段最常见的问题就是：需要多少预算，有什么依据？\n不管是 IT 领域，还是安全领域，美国一直是我们的学习的对象。关于“钱”的问题一直是比较复杂的（预算、决算、统计口径、……），我把自 2002 年以来美国联邦政府所有公开的报告进行了分析，把预算口径（而非其他）的数据拿出来，供大家在回答安全预算相关的“灵魂拷问”时参考。\n有任何反馈，欢迎大家在此进行评价：https://docs.qq.com/doc/DWENacmZ0VXppYldt\n一、美国联邦政府 IT 和网络空间安全预算 最近整理了一下美国 IT 预算和网络空间安全预算相关的一些数据。因为美国非常重视社会统计数据，所以各方面不同部门、不同目的产生的统计数据非常丰富。数据跟踪分析对数据最基本的要求是统一口径。在美国联邦政府体系中时间最长，最权威的数据是自 2002 年以来由白宫一直持续披露的 **FISMA 年度报告（Federal Information Security Modernization Act of 2002/2014 Annual Report to Congress）和每年由总统签署的年度预算的分析视角报告分册（Analytical Perspectives, Budget of the United States Government）**中披露的数据。两份报告都是白宫向国会提交的正式报告，其中 FISMA 年度报告可以说是美国每年政府视角的总结报告，都非常具有权威性。而且这两份报告持续时间都非常长，统计口径也基本一致，更准确地体现美国政府在 IT 领域和网络空间安全领域投资的特点。\n1.1 汇总数据 在 FY2018 的预算报告里面可以看到美国政府在 FY2001-FY2009 期间有有一段 CAGR=7.1% 的 IT 投资高速增长期，在 FY2009 年之后则进入了 CAGR=2.4% 的“新常态”。这样的特征不仅仅体现在联邦政府非涉密、非军用的领域，在美国国防部的 IT 预算也有同样的特征。但与之明显相对的是，网络空间安全的投资无论是比例还是增速都非常明显的高于 IT 投资的平均水平。FY2015 年推动“国家网络空间安全行动计划”（CNAP：Cybersecurity National Action Plan）增加大量网络空间安全预算达到 24.1% 这个惊人的比例。而 FY2020 年，民用机构的 IT 投资预算从 458 美元亿下降到 367 亿美元，而网络空间安全投入却从 FY2019 的 65 亿美元增长到 78 亿美元，占比也达到惊人的 21% 。\n 表格中预算的单位为“亿美元” “部分”是指除美国国防部（DoD）和涉密以外的部分 FY2005～FY2007 年 FISMA 报告有少量数据对不齐 FY2010 年美国联邦预算更新了会计规则，数据更全面（统计口径有变化） FY2015 年推动“国家网络空间安全行动计划”（CNAP：Cybersecurity National Action Plan）增加大量网络空间安全预算。 FY2019 之前的安全预算数据主要来自于 FISMA 报告（FISMA 报告目前只出到 FY2018），FY2019（含 FY2019）以后的数据以来自于美国预算分析报告中 Cybersecurity Funding 这个章节 FY2019～FY2020 年的 IT 预算中去掉了美国国防部（DoD）和涉密以外的统计数据  1.2 美国联邦政府历年预算 美国历年预算都可以从政府网站查到，一直都有专门关于 IT 投资章节。从 FY2019 年开始，开始专门列出了 Cyber Security Funding 的章节。\n 美国政府FY1996～FY2020 预算报告 美国国会报告  1.3 美国联邦政府历年 FISMA 报告 FISMA 自 2002 年颁布以来的历年报告在白宫网站和相关的存档网站都有披露。\n FISMA FY2003 Report FISMA FY2004 Report FISMA FY2005 Report FISMA FY2006 Report FISMA FY2007 Report FISMA FY2008 Report FISMA FY2009 Report FISMA FY2010 Report FISMA FY2011 Report FISMA FY2012 Report FISMA FY2013 Report FISMA FY2014 Report FISMA FY2015 Report FISMA FY2016 Report FISMA FY2017 Report FISMA FY2018 Report  二、非一手数据报告 2.1 DoD Cybersecurity Funding Forecasted to Increase  DoD Cybersecurity Funding Forecasted to Increase  2.2 美国国防部 IT 预算 2001 - 2007 财年美国国防部国防总预算和 IT 预算数据（单位：十亿美元）\n   财年 国防部总预算 IT 预算 IT 预算占比     2001 307.1 22.9 7%   2002 355.3 24.1 7%   2003 433.0 27.3 6%   2004 456.3 28.5 6%   2005 502.7 31.7 6%   2006 536.4 34.1 6%   2007 604.5 34.4 6%   2008 669.3 37.0 6%   2009 665.9 37.5 6%   2010 691.8 37.8 5%   2011 689.1 38.7 6%   2012 553.0 37.5 6.8%   2013 525.0 37.0 7%   2014 533.5 36.5 7%   2015 535.9 36.5 7%   2016 555.9 35.4 6%   2017 567.3 34.2 6%    2013 年 IT 基础设施投资为 370 亿美元，网络安全预算为 34 亿美元。\n 数据源：《联合信息环境 —— 新世纪美军全球一体化作战的基石》，梁振兴、左琳琳、马雪峰、黄峰、沈艳丽，国防工业出版社  ","date":1575000192,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1575000192,"objectID":"ca659589fc230cb2d2fc2b5ce78683d3","permalink":"https://sbilly.github.io/post/2002-2019-us-federal-it-and-cyber-security-budget-analysis/","publishdate":"2019-11-29T12:03:12+08:00","relpermalink":"/post/2002-2019-us-federal-it-and-cyber-security-budget-analysis/","section":"post","summary":"随着 十四五 规划的临近，各行各业都准备做新的规划了。对于安全行业来说，在规划阶段最常见的问题就是：需要多少预算，有什么依据？","tags":["美军","DoD","JIE","Cybersecurity","Joint Information Environment","IdAM","IAM","Zero Trust Model"],"title":"2002-2019 年美国 IT 和网络空间安全预算","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"经过历时七年业界范围内的广泛讨论，NIST 终于发布了《NICE 网络安全人才队伍框架》，这个框架是非常少数的对人这个生产里要素相关的重量级框架，非常值得阅读。\n一、NICE 计划背景 2009 年之后，美国信息安全事件频发对未来美国社会、经济、国家安全造成严重影响。时任总统的奥巴马认为需要美国急需提高整个国家的网络空间安全意识和素养，启动了一系列的工作：\n 2010 年 4 月，美国启动“国家网络空间安全教育计划”（National Initiative of CybersecurityEducation，NICE），期望通过国家的整体布局和行动，在信息安全常识普及、正规学历教育、职业化培训和认证等三个方面开展系统化、规范化的强化工作，来全面提高美国的信息安全能力。 2011 年 8 月，美国国家标准技术研究院发布了《NICE 战略计划（草案）》，并在网上公开征集意见。 2011 年 9 月，公布《NICE 网络空间安全人才队伍框架（草案）》（NICE Cybersecurity Workforce Framework），并在网上公开征求各方意见。 2017 年 5 月，\u0026ldquo;总统签署了美国总统发布了“加强联邦网络和关键基础设施网络安全的行政命令”。在某种程度上，该命令指出，美国的政策是“支持网络安全和相关领域的技能人才的增长和维持，作为实现我们在网络空间目标的基础。”\u0026rdquo; 2017 年 8 月，历时 7 年的讨论和修改，NIST 正式公布了《NICE 网络安全人才队伍框架》 2018 年 9 月，总统签署发布美国《国家网络战略》，再次强调要把培养卓越的网络安全人才队伍作为国家网络战略的重要目标。  2017 年 8 月，经过历时七年业界范围内的广泛讨论，NIST 终于发布了《NICE 网络安全人才队伍框架》（中文 v2.0、中文版 v1.8）。\n国家网络安全教育计划是（NICE）由 NIST 牵头，国土安全局（DHS）、国防部（DoD）、教育部（ED）、美国国家科学基金会（NSF）、国家情报总监办公室（ODNI）、美国联邦人事管理局（OPM）等共同领导，旨在建立一个动态的、可持续的网络安全教育计划，目的是确保各级政府正确使用良好的网络安全实践活动，从而最终提升整个国家的安全态势感知能力。NICE 计划管理架构如下：\n其中由 DHS 牵头的网络安全人才架构部分主要侧重于网络安全专业人才的管理。目的是评估工作人员的专业化水平，为预测未来网络安全需求推荐最佳的实践活动，为招募和挽留人才制定国家策略。\n《NICE 网络安全人才队伍框架》通过对行业内分析各类组织的职位描述的分析（包括公开渠道、DoD 和联邦政府内部数据），并通过广泛、充分的行业内讨论对安全行业内的工作类型、专业领域、工作角色、知识、技能、能力和任务进行了体系化的梳理。\n二、《NICE 网络安全人才队伍框架》的核心概念 《NICE 网络安全人才队伍框架》本身定义了一套包含通用的词汇、分类法及其他数据标准在内的共同语言，来帮助行业讨论和理解网络空间安全专业人员的工作和技能要求。\n《NICE 网络安全人才队伍框架》用类别（Category）、专业领域（Specialty Area）和工作角色（Work Role）这三类组件来描述网络空间安全工作，并且定义了四类组件来为每个工作角色定义相关的网络空间安全知识（Knowledge）、技能（Skill）、能力（Ability）、任务（Task）。\n用多个《NICE 网络安全人才队伍框架》组件来描述信息技术（IT）、网络空间安全和网络空间相关工作。每个类别下有多个专业领域的分支，每个专业领域下又有多个岗位角色的分支，每个 岗位角色又是由大量独立的工作职责和与之对应的 KSA（“知识”、“技能”、“能力”的统称） 组成。特别说明的是，KSA 序号 K0001 到 K0006 是所有网络空间安全活动的核心，适用于每一个岗位角色。\n 类别（Category）：《NICE 网络安全人才队伍框架》的顶层概念（和职位头衔无关），一共有 7 个类别。每个类别都由专业领域（Specialty Area）和岗位角色（Work Role）组成。 专业领域（Specialty Area）：各个类别下包含的网络空间安全工作分组被称为专业领域（Specialty Areas）。在 v1.0 框架中有 31 个专业领域，在 v2.0 框架中有 32 个专业领域。每个专业领域代表了网络空间安全领域的一类专门工作职能。 工作角色（Work Role）：是 IT、网络空间安全或网络空间相关工作最细化的分组。工作角色阐明了从业人员完成规定职能和职责所必须具备的知识、技能和能力。一个网络安全从业人员一般承担了一个或者多个工作角色并履行相关职责。 任务（Task）：每个工作角色都需要通过完成一些任务来履行其职责。 KSA（知识、技能和能力）：KSA（知识、技能和能力）是完成一项工作必需的属性，一般通过相关的工作经验、教育背景或培训经历体现。为每个岗位角色清晰定义了胜任该职责和职能所必需具备的任职资历和能力。  三、《NICE 网络安全人才队伍框架》核心内容 《NICE 网络安全人才队伍框架》中核心内容如上图，其中涉及 7 大类别的 32 个专业领域，38 种工作角色的 1007 类任务所需的 1180 种知识、技能和能力（KSA）。\n其中，类别是围绕不同的目标对专业领域进行了分类所形成的：\n 安全交付（Securely Provision）：概念化、设计、采购和（或）构建安全的信息技术系统，包括系统和（或）网络开发的各个方面。个人感觉主要是 SDLC 相关的工作。 运营与维护（Operate and Maintain）：提供必要的支持、管理和维护，以确保有效和高效的信息技术系统性能和安全性。个人感觉主要是日常基础设施维护相关的工作。 监管与治理（Oversee and Govern） ：提供领导、管理、指导（或开发和宣传），以便组织能够有效地开展网络安全工作。个人感觉主要是合规与规划相关的工作。 保护与防御（Protect and Defend）：识别、分析和减轻对内部信息技术系统和（或）网络的威胁。个人感觉主要是入侵检测、防护，漏洞管理等相关的工作。 分析（Analyze）：对输入的网络安全信息进行高度专业化的审查和评估，以确定其对情报的有用性。个人感觉主要是威胁情报和渗透测试相关的工作。 搜集与行动（Collect and Operate）：提供可用于开发情报的网络安全信息的收集，提供专门的拒止和欺骗行动。个人感觉主要是红队与反制相关的工作。 调查（Investigate）：调查与信息技术系统、网络和数字证据有关的网络安全事件或犯罪。个人感觉主要是司法取证相关的工作。  \n四、《NICE 网络安全人才队伍框架》相关工具 组织可以使用 NICE 框架来定义组织、岗位、任职要求等一系列与网络空间安全人员管理和人员的选用育留相关政策。除此之外，NIST 等组织还提供了一系列的工具：\n NICE 框架的电子表格：包含了 NIST SP 800-181 中所有的概念的定义。 美国国土安全部网络安全劳动力开发工具包：帮助组织了解自身的网络空间安全工作人员和员工需求，可帮助组织进行网络空间安全人才盘点，可帮助组织评估其网络安全人力规划能力的成熟度。 Baldrige 网络空间卓越构建工具：组织绩效自评工具。 PushbuttonPD 职位描述起草工具：协助用户按照 NICE 框架起草职位描述  五、其他 在企业环境中，无论是业务、攻击者（对手）、计算环境、监管中的哪一个发生变化，安全都需要随之而变。个人认为正因为这种快速变化，导致安全行业各个层面都缺乏共同语言，甚至对行业发展产生了一些不良的影响。这是一个全球范围的现象，美国的 NIST、MITRE 等组织正在尝试通过 《关键基础设施网络安全框架》、ATT\u0026amp;CK、《NICE 网络安全人才队伍框架》等一系列的工作从不同层面来解决这个问题。特别是 NIST 新开发的重量级框架中都尤其重视制定的标准/指南/框架中经常看到专门的章节来描述如何与其他标准/指南/框架关联在一起使用。\n资料  Executive Order 13800 NICE Cybersecurity Workforce Framework DoD Cyber Workforce National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework (NIST.SP.800-181) 正式发布 v2.0 中文翻译 草案 v1.8 中文翻译 National Initiative for Cybersecurity Education (NICE) Framework Work Role Capability Indicators: Indicators for Performing Work Roles NICE Cybersecurity Workforce Framework 101 Cyber Security Work Roles NICCS workforce development  相关文献  美公布《网络安全人才框架》 快来看你在美国能做什么工作 指南 | 国家网络安全教育计划(NICE)网络安全劳动力框架 美国网络空间安全教育战略计划 美国 NICE 网络空间安全人才队伍框架探析 国土安全部迫切需要采取行动明确网络安全人才地位和关键技能要求 NICE 的网络安全人才框架之二 安全提供（SP） NICE 的网络安全人才框架之三 操作和维护（OM） NICE 的网络安全人才框架之四 监督和治理（OV） NICE 的网络安全人才框架之五 保护和防御（PR） NICE 的网络安全人才框架之六 分析（AN）  ","date":1567226893,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1567226893,"objectID":"83eea9514e749c8e3423bef99b737285","permalink":"https://sbilly.github.io/post/nist-nice-and-nice-cybersecurity-workforce-framework/","publishdate":"2019-08-31T12:48:13+08:00","relpermalink":"/post/nist-nice-and-nice-cybersecurity-workforce-framework/","section":"post","summary":"经过历时七年业界范围内的广泛讨论，NIST 终于发布了《NICE 网络安全人才队伍框架》，这个框架是非常少数的对人这个生产里要素相关的重量级框架。","tags":["NIST","SP 800-181","cybersecurity workforce framework","NICE","framework","security","安全人员","能力","技能","能力","任务","工作角色","专业领域","职业发展"],"title":"美国 NICE 计划和《NICE 网络安全人才队伍框架》","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文：https://mp.weixin.qq.com/s/lwLJGfq0lhNyuaKQDJVcMg\n一、前言 美军 JIE（联合信息环境）的目标是实现“三个任意”的愿景 —— 美军作战人员能够用任意设备、在任意时间、在任意地方获取经授权的所需信息，以满足联合作战的需求。\nJIE 的关键领域是：1）网络现代化（网络规范化）；2）网络安全体系架构（单一安全架构，SSA/CCA）；3）身份和访问管理（IdAM/ICAM）；4）企业运营；5）企业服务；6）云计算；7）数据中心整合；8）任务伙伴环境（MPE）；9）移动性。“美军网络安全”系列将围绕这些主题进行介绍。\n本系列第一篇（美军网络安全 | 开篇：JIE（联合信息环境）概述）介绍了美军 **JIE（联合信息环境）**的总体情况。\n本系列第二篇（美军网络安全 | 第 2 篇：JIE 网络安全架构SSA（单一安全架构））和第三篇（美军网络安全 | 第 3 篇：JIE 联合区域安全栈 JRSS）分别介绍了 JIE 网络安全体系架构和重要实现。\n本系列第四篇（美军网络安全 | 第 4 篇：跨域解决方案（CDS））介绍了不同密级网络之间安全连接的解决方案。\n本篇（即第五篇），将介绍身份和访问安全的解决方案 —— IdAM（身份与访问管理）。它在 JIE 框架中的地位如下图所示：\n我们曾经提到过，在下面的 JIE 框架图中，所有深红色部分都属于网络安全内容，即 SSA（单一安全架构）涵盖的范畴。然而 IdAM 并不是深红色，而是浅蓝色。这种颜色主要代表的是企业化能力和服务。（细节是魔鬼，这张图中的各种颜色，都是有特定含义的）\n笔者推测，美军这么看待 IdAM 的原因是：IdAM 与传统的 PKI/CA 认证体系一脉相承，早已成为美国国防部一项非常基础、非常重要的服务——信任基础设施。\n笔者提示：对 Gartner 自适应安全防护模型和 Gartner 自适应访问控制模型比较熟悉的同学知道，安全和信任分别解决了防护侧和访问侧的问题。从这个意义上讲，信任是与安全并驾齐驱的领域。所以，本次介绍的 IdAM（解决信任问题）与前面强调过的单一安全架构 SSA（解决安全问题）在 JIE 中的地位是可以类比的。\n说明：在较新的国防部文件中，IdAM 也经常被称为 ICAM（身份、凭证与访问管理）。\n二、IdAM 背景（GIG 时代） 1、GIG 2.0 中的全球访问愿景 先看一张 2009 年国防部 GIG（全球信息栅格）2.0 的作战概念图：\n左边是美军当时的访问能力状态，右侧是美军希望达到的目标状态。很明显，那时的认证基础设施和访问目录都是分散的，他们希望能够实现大统一，将认证和访问控制集中统管起来。\n注意，这是 2009 年的图。当时，JIE（联合信息环境）概念尚未提出。2012 年后提出的 JIE，也非常推崇统管制，其目的是冲破组织烟囱和功能烟囱的藩篱。这是美军 IT 管理机制的一次影响深远的重大变革，树立了管理制度大胆变革的榜样。\n从集中统管这种思路上看，IdAM 毫无疑问走在了前头。当然，这也与其作为基础设施的地位分不开。无论是 GIG 时代，还是 JIE 时代，都是如此。\n全球认证、访问控制、目录服务是 GIG 2.0 作战概念的 3 个关键特征，用于确保任何授权用户，利用通用和移动的身份证书，能够从任意地点访问全球网络基础设施，并使所有授权的作战人员、业务支持人员或情报人员都能获得与其任务相关的和可视的信息、服务和应用，同时做到单一签名，在任意时间和地点，实现对网络、信息技术、国家安全系统服务的访问，以及对整个国防部全球地址清单的访问。《全企业访问网络和协同服务参考体系结构》（EANCE RA）正是着眼全球可访问资源的全球认证、授权和访问控制，进行了体系结构设计。\n2、信息保障基础设施中的身份访问控制 在 GIG（全球信息栅格）时代，IdAM 的功能主要被包含在信息保障（IA）基础设施中。信息保障基础设施由各种软硬件以及管理系统和安全保密设备组成,用于维持和保护 GIG 网络的正常运行以及身份识别与授权、访问控制、用户信息保护、动态管理、资源分配、网络防御与态势感知等功能，确保 GIG 网络的有效操作和安全可靠。2006 年，美国国防部颁布了“全球信息栅格信息保障体系结构” 1.1 版，确定了 GIG 信息保障任务的 6 个能力域、15 种能力要求、19 项基本系统功能。\n信息保障机制包括：基于策略决策服务（PDS）、策略检索服务（PRS）、策略管理服务（PoAS）、证书确认服务（CVS）、主要特征识别服务（PrAS）等 5 项“核心”功能。基于这些功能形成的保护机制，基本上可以确保其他服务功能的安全调用。DoD 信息保障服务机制如下图所示：\n这种保障机制可以实现：\n 认证和授权：只有授权用户(服务用户、服务提供者以及各种应用)可调用信息服务； 保密性：可保护信息或文件，使其不被非授权用户访问； 数据完整性：保护信息在传输过程中不被非授权用户修改； 不可否认性：确保信息发送者不能否认已发送信息，信息接收者不能否认已接收的信息； 问责性：提供安全登录和审查； 互操作性：接口可支持各种领域或者机构的商用技术方案。  3、PKI/PKE 国防部 PKI（公共密钥基础设施）：负责公钥证书及其相应私钥的生成、生产、分发、控制、撤销、恢复和跟踪。\n公钥启用（PKE， Public Key Enablement）：是确保应用程序可以使用由 PKI 颁发的证书来支持标识和身份验证、数据完整性、机密性和/或技术不可否认性的过程。\nPKE 的常见用例包括启用：\n 智能卡登录 DoD 网络和基于证书的系统认证； 到 DoD 服务器的安全连接（SSL/TLS）； 来自桌面、Web、移动客户端的电子邮件的数字签名和加密； 表格的数字签名。  当前，国防部 PKI 的发展方向：\n 非个人实体（NPE）：NPE 系统为 NIPRNET 和 SIPRNET 上的设备（如工作站、Web服务器、网络设备）和服务，提供了更加简化的 PKI 证书颁发。 移动认证：为 DoD PKI 订阅用户在商用移动设备上使用，提供了一种安全、可扩展的分发软件证书的方法。即后文提到的纯种系统；  PKI有两种基本类型：\n 国防部 PKI（DoD 证书颁发机构）：国防部向人员实体和非人员实体（如网络服务器、网络设备、路由器、应用程序）颁发证书，以支持国防部的任务和业务运作。 ECA PKI（外部证书颁发机构）：国防部已经建立了外部认证机构（ECA）计划，以支持向行业合作伙伴和其他外部实体和组织，颁发国防部批准的证书。  对于 DoD PKI：\n 在 NIPRNET 上：国防部 PKI 是一个层次结构系统，在层次结构的顶部有一个根证书机构（CA），以及一些支持可扩展性和提供灾难恢复能力的颁发 CA。该 PKI 在公共访问卡（CAC）上颁发证书，并颁发软件证书以支持应用程序需求。 在 SIPRNET 上：国防部在 NSS（国家安全系统）PKI 根 CA 下运行 CA，该根 CA 支持在机密网络上拥有用户或系统的所有联邦机构。NSS PKI 在 SIPRNET 硬件令牌和软件证书上颁发证书，以支持应用程序需求。  对于 ECA PKI：\n 根据 ECA 项目颁发的 PKI 证书，提供了一种机制，使这些实体能够与国防部安全通信，并认证到国防部信息系统。 ECA PKI 由一个根 CA 和从属 CA 组成，根 CA 在运行 DoD PKI 根 CA 的同一设施中维护，而从属 CA 则由授权供应商维护。  PKI 互操作性是国防部及其联邦政府和行业内合作伙伴之间安全信息共享的重要组成部分。这些年来，国防部 PKI 不断扩展与外部的互操作性。下面 2016 年的国防部 PKI 外部互操作性架构图，说明了国防部如何通过联邦桥与批准的外部 PKI 进行交互。\n4、军事人员的通用访问卡 1999 年开始，美国国防部开始为现役人员、预备役人员、文职雇员制发新式通用访问卡（CAC 卡，Commom Access Card）。\n2006 年，美国国防部开始对个人发放新一代通用访问卡（CAC）。新卡大约相当于标准信用卡大小，在一个集成电路芯片上存储 144K 的数据存储和内存。新型通用访问卡提供统一的电子结构，增加了身份欺骗防护措施，并升级了安全和隐私能力。新卡的芯片上保存了 PKI 证书、两枚指纹、一张数码照片、个人身份验证（PIV）证书、人事关系、社会保险号、机构、卡片有效期。同时，在发卡前还将对人员进行背景检查。\nCAC 卡允许对所有物理和逻辑访问，进行快速身份验证和增强安全性。\nCAC 卡存储的数据只能通过安全的CAC应用程序访问。事实上，如果没有以下条件，就无法访问存储在 CAC 上的信息：\n 个人识别号（PIN）：如果忘记了 PIN ，只能前往发行站点，将您的指纹与您发行卡时存储在国防注册资格报告系统中的指纹进行匹配。如果指纹匹配成功，则可以选择新的 PIN。目前，无法远程重置您的 PIN； 系统访问解释数据所需的安全 CAC 应用程序。  三、IdAM 内涵（JIE 时代） 1、IdAM 概念和作用 IdAM（身份和访问管理服务，Identity and Access Management）定义：IdAM 是创建、定义和管理身份信息的使用/保护的技术系统、策略和过程的组合。也称为 ICAM（Identity, Credential, and Access Management）。\nIdAM 主管部门：国防部信息系统局（DISA）、国防人力数据中心（DMDC ）、国家安全局（NSA）组合资源，为国防部提供 IdAM 解决方案。\n在 JIE 的概念体系中，IdAM 是实现数据安全及与任务伙伴安全共享信息的根本。“身份”可在整个企业，在所有网络上，对人员和机器，实现端到端的、唯一的、明确的区分。这些能力对于提高国防部 IT 安全性及任务有效性的双重目标至关重要。这种能力与基于访问的控制相结合，可以使得人员实体和非人员实体，能够在任意时间、在任意地点、安全地访问经过授权的国防部信息，得以实现“三个任意”的目标。\nIdAM 能够正确识别国防部信息网络上的用户（人员或软件），并对用户访问网络资源和服务进行高效管理。通过将用户活动与数字身份进行绑定，确保所有用户都必须经过强有力的认证，且只能访问其经过授权的资源，并能对所有用户进行监控，从而降低内部和外部威胁风险。\n国防部 PKI（公钥基础设施）认证的使用范围将最大化，可以用于 NIPRNET/SIPRNET 的所有登录和 NIPR/SIPR 国防部网站的每次访问。国防部 PKI 认证的使用，也将提供更有效的监控和追溯能力。\n简而言之，IdAM 可以生成全军全网唯一且可追溯的“身份”，既使得作战人员可以实现三个任意的全球访问，又使得国防部可以有效管理网络上的所有人员和系统。\n为了改变和提升国防部过去那种人工密集的、不一致的、耗时的、资源繁重的本地管理归档和信息系统访问管理能力，新的 IdAM 能力将可最大程度地实现对IT系统的日常访问控制的自动化，将使系统访问更具动态性，确保实体发现，并可实现活动监控与追溯。\n2、IdAM 能力模型 IdAM 产品高层能力模型如下图所示：\n可见，IdAM 解决方案包含三个部分：\n 管理数字身份 认证用户 授权资源访问  其中，不同颜色有不同的含义：\n 蓝色：DISA 提供的服务； 绿色：DISA 与 NSA 一起提供的服务； 红色：DMDC 提供的服务； 黑色：系统级提供的服务。  主要功能模块的含义如下：\n milConnect：是 DMDC（国防人力数据中心）提供的一个网站，允许 DoD 成员更新他们的个人数据。 EIAS（企业身份属性服务）：通过一个安全的、基于标准的 SAML（安全断言标记语言）接口，分发国防部人员、角色和人员属性，用于访问控制。 RBS（实时经纪人服务）：允许 CC/S/AS（作战指挥、军种和机构）从 DMDC 的 PDR ，请求和接收当前身份数据，以验证访问其应用程序的用户的身份，并同步本地数据存储。 BBS（批量代理服务）：该服务旨在为 DoD 军事人员、其家属、退休人员、DoD 文职人员、承包商提供到政府机构的身份验证服务。BBS 是一种异步Web服务，它允许客户在 PDR （个人数据存储库）中获取特定人员或大量人员的数据记录或更改。 IdSS（身份同步服务）：是为作战指挥/军种/部门/机构目录和全局地址列表（GAL）填充权威企业身份和联系属性的服务。 EDQS（企业目录查询服务）：提供国防部 CC/S/A（作战指挥、军种和机构）到包含 IdSS 数据的 LDAP/S 目录的只读连接。 IdMI（IdSS 机器接口）：为国防部 CC/S/A （作战指挥、军种和机构）提供了使用 IdSS 数据的方法。  下图所示的 IdAM 产品架构，包含了各个组件之间的访问逻辑和流程：\nIdAM 能力将包括：\n 基于 **NIPRNet 通用访问卡（CAC）**和 SIPRNet 令牌，完全自动化地生成用户账户； 基于申请用户的属性（如密级许可权、衔级、岗位职能等），做出实时的信息访问控制决策； 基于更有效的监控和追溯，帮助国防部网络的运行人员和防御人员，更好地了解谁在国防部网络操作和他们正在干什么。  3、IdAM 目标状态 国防部 ICAM 的目标状态是实现动态访问控制，如下图所示：\n其中的主体功能是基于策略的授权服务、身份与凭证管理、策略管理、资源管理四个方面。\n理解国防部 IdAM 的关键是基于属性的访问控制（ABAC）模型。ABAC 体系结构如下所示：\n四、ICAM 战略目标 在《美国国防部数字现代化战略：国防部信息资源管理战略计划 FY19-23》中，列出了如下所示的战略目标：\n其中，ICAM 位列第 3 大战略目标（即“3：发展网络安全，形成灵活和弹性的防御态势”）的第2 子目标（即“3.2 部署端到端 ICAM 基础设施”），主要内容如下：\n目标描述：\n 部署端到端 ICAM 基础设施。 国防部必须促进企业 ICAM 的实施，以支持快速访问任务信息，加强与盟国和伙伴的负责任的信息共享和归属，并通过移动应用和迁移到云支持更高的效率和效率。 ICAM 创造了一个安全可信的环境，任何用户都可以访问所有授权资源（包括应用程序和数据），以成功完成任务；同时也可以让国防部随时知道谁在网络上。  战略要素：\n 战略要素 1：扩展**公钥启用（PKE）**能力，以支持 ICAM； 战略要素 2：实施自动帐户供应（AAP）； 战略要素 3：实施对批准的多因素认证能力的支持； 战略要素 4：增强企业身份属性服务（EIAS）； 战略要素 5：扩大派生凭证的使用； 战略要素 6：实施以数据为中心的方法，来收集、验证、维护和共享身份和其他属性； 战略要素 7：通过通用标准、共享服务和联邦，改进和启用对国防部网络和资源的认证； 战略要素 8：部署共享服务，促进企业 ICAM 的实施； 战略要素 9：实现一致的监控和日志记录，以支持身份分析，以检测内部威胁和外部攻击； 战略要素 10：提升治理结构，促进企业 ICAM 解决方案的开发和采用； 战略要素 11：制定国防部政策和标准，明确定义识别、凭证、认证、授权生命周期管理的要求。  ICAM 的四个支柱：\n 数字身份管理：建立数字身份和生命周期管理。 凭证管理：颁发物理或电子令牌（公共访问卡（CAC）/公钥基础设施（PKI）证书和/或帐户），作为实体权威数字身份的代理。 认证：通过一个凭证并验证该凭证是否为真实凭证的方式，声明身份。PKI是国防部目前的认证技术解决方案。但是，当不能使用PKI时，可以使用已批准的多因素身份验证和身份联邦服务。 授权：基于数字策略和有关请求身份和被访问资源的权威信息，批准访问。  五、IdAM 发展路线图 IdAM 未来几年的路线图如下图所示：\n下面，主要介绍其中提到的可靠身份、纯种移动认证、证书缩减。\n1、可靠身份 可靠身份（Assured Identity）：建立并持续验证数字身份，然后为该身份分配属性，并将其与个人或可信设备强关联。\n可靠身份的目标：对使用移动设备的作战人员的身份的保证和保护。\n可靠身份的基础能力：\n 利用移动设备上的本机传感器，收集和训练生物特征和上下文因素，以进行持续多因素身份验证。 使用基于硬件的安全元素，发布和保护纯种派生凭证和相关私钥，这些安全元素相当于通用访问卡（CAC）的凭证强度。 观察用户行为，以建立模式和网络授权的关系。  可靠身份的关键步骤如下：\n  硬件认证：\n 烧录到移动设备硬件中的数字密钥，为传感器数据和本地生成的密钥提供信任。    CMFA（持续多因素认证）：\n 传感器数据-行为和上下文生物识别因素-机器学习算法； 移动、桌面或服务器环境中的持续身份验证； 启用无需口令的物理和逻辑访问； 为逻辑和物理方式的设备访问，分配信任分数；    个性化上下文认证：\n CMFA 不断验证身份。    基于可靠身份，可以实现虚拟传输解决方案：\n 利用云托管的移动电话实例，在一台移动设备上允许访问多个密级； 移动设备上不存储数据，允许使用政府供应设备（GFE）和自带设备（BYOD）； 支持完整的设备功能：端点上的无缝虚拟化； 使用派生PKI证书。  2、纯种移动认证 **纯种（Purebred）**移动安全凭证：\n 是派生凭证； 由一个密钥管理服务器和一组应用程序组成：应用程序将密钥管理与设备管理分开； 将密钥管理与设备管理分开：旨在促进密钥管理与设备管理的分离，以使密钥管理保持与PKI的密切关系，并在国防部企业内保持一致，而设备管理可以随每个作战场景而变化。  纯种启用了空中证书认证，取代了对智能卡读卡器的需求。\n纯种由 DISA PKI 工程公司开发，旨在为 DoD PKI 用户在商用移动设备上使用提供一种安全、可扩展的分发软件证书的方法。系统首先建立对用于加密绑定到设备的配置数据的设备证书的信任，然后允许订户演示其 CAC 的拥有和使用，以生成两个新的派生凭据并恢复现有的电子邮件加密密钥。\n3、证书缩减 CAC 包含四种 PKI 证书：\n 国防部身份证书； PIV（个人身份验证）身份验证证书； 电子邮件签名证书； 加密证书；  在 2019 财年，IdAM 团队计划减少国防部颁发的 CAC 证书数量。减少证书数量后，会减少证书吊销列表的大小，并使用更少的资源来维护 PKI 基础设施，从而提高效率。\n证书缩减将消除国防部身份证书，并使用已经存在于 CAC 上的 PIV 认证证书替换认证功能。\n目的是对所有已颁发的 CAC 使用 PIV 认证证书。军方早在 2018 年 2 月份就开始了这项工作。\n六、走向零信任 在《美国国防部数字现代化战略：国防部信息资源管理战略计划 FY19-23》中，提及了国防部向零信任发展的明确方向。主要内容如下：\n零信任安全：零信任是一种网络安全策略，它将安全嵌入到整个体系结构中，以阻止数据泄露。\n零信任安全是国防部首席信息官正在与 DISA、美国网络司令部、国家安全局合作探索的一项新举措。\n零信任安全的优势：\n 这种以数据为中心的安全模型，消除了受信任或不受信任的网络、设备、角色或进程的概念，并转变为基于多属性的信任级别，使身份验证和授权策略在最低特权访问概念下得以实现。 实现零信任，需要重新思考我们如何利用现有的基础设施，以更简单、更高效的方式设计安全性，同时实现不受阻碍的操作。 除了总体上保护架构的优势外，还有其他跨功能的好处。  零信任的实现复杂性：\n 虽然原则上简洁易懂，但零信任的实际实现和操作，在包括网络配置、软件定义网络（SDN）、数据标签、分析、访问控制、策略编排、加密、自动化，以及端到端 ICAM（身份、凭证和访问管理）等方面，具有显著的复杂性。 企业级考虑还包括确定需要保护的数据、应用程序、资产、服务，以及映射事务流、策略决策、策略实施位置。  零信任适合云部署：\n 云部署非常适合实现零信任概念，特别是在使用商业云时。如果云基础设施本身受到威胁，则零信任兼容架构可提供保护，避免对手试图在我们的虚拟网络中扎根。 虽然商业云提供了一个扩展能力和控制成本的绝佳机会，但它们会带来风险，因为我们无法控制基础设施，而且在通信受损时可能会有延迟。而零信任关于你已经失陷的假设，特别适合云基础设施。  零信任需要安全自动化：\n 安全自动化和编排是成功部署和管理零信任兼容基础架构的关键功能，因为附加的身份验证、授权、监视和分析要求无法再通过手动管理。例如，所有节点的安全凭证需要自动化能力，以确保以机器速度进行键控和重新键控，而不会因不必要的人工干预而延迟。这需要经过认证和授权的设备确保它们正在通信的设备是健康的和经过批准的（设备认证）。  零信任需要密码现代化：\n 需要进行密码现代化，以确保数据的保护水平符合国家安全系统委员会（CNS）第 15 条政策中定义的商业国家安全算法（CNSA）套件。我们系统的加密安全性升级，可能会对遗留应用程序和硬件构成重大挑战，这些应用程序和硬件在如何支持所需的较大密钥尺寸和算法方面可能存在很大差异。  零信任需要新的分析能力：\n 分析将需要额外的能力来处理与零信任安全相关的所需传感器和日志数据。 可能需要采用不同的过程和程序，来测量网络的健康状况并识别异常行为。例如，网络内部资源之间的端到端加密，将限制内部数据包检查以检测问题的能力。需要采用新的分析措施，以确保只有经过授权的通信才能发生。  更进一步，在《DISA（国防信息系统局）战略计划 2019-2022》中，给出了如下的 DISA 技术路线图：\n很明显，在积极追求 ICAM、持续多因素认证、区块链技术的基础上，DISA 已经把零信任架构、软件定义企业、机器学习\u0026amp;人工智能摆到了发展道路上。\n七、零信任广告 零信任广告一：零信任提出者所著的《零信任网络》的中文译本，由奇安信身份安全团队翻译，已经面市，欢迎阅读。BCS大会就有签赠会噢：\n零信任广告二：奇安信零信任安全产品体系和解决方案已经基本成熟，并在国内重大部委率先落地。\n八、总结和预告 在本系列的介绍中，限于众所周知的原因，笔者只能采取蜻蜓点水的全景方式，介绍了美军网络安全的方方面面。\n即便如此，也已经比网上的公开资料涵盖了更多、更深入的信息。毕竟，大部分英文原文资料是需要 FanQ 的。而不同来源之间的矛盾、不同版本之间的冲突，都需要关联和厘清。\n在 JIE 的关键领域中，网络规范化、企业运营、企业服务、云计算、数据中心整合、任务伙伴环境、移动性等内容都还没有介绍，会在后期一一概述。\n笔者深深地感到一种无奈：美军网络安全的博大精深，绝非朝夕之间可以理解。毕竟，美国国防部自己都在与时俱进，不断调整和优化自身的网络安全战略方向和技术路线。\n笔者暗暗地感到一种喜悦：美国密级划分有非常精细化的处理手段（精细到字段级），只要是能公开的信息和技术资料都会尽量公开，因为他们以普世价值和理念宣扬为荣。作为一个技术人员，能与强者的技术理念共振，实属幸事。\n笔者默默地感到一种无助：如何把美军网络安全理念和技术应用于我军、我国的实际环境，切实提升网络安全水平，更多地取决于用户自己，而非对手。作为第三方安全厂商，我们只能建议，却未必有足够的影响力。\n以上观点，仅代表个人。\n","date":1566903292,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1566903292,"objectID":"bd8aa558bea092ffd67b98284d5ce13a","permalink":"https://sbilly.github.io/post/dod-network-security-part-5-identity-and-access-manaement/","publishdate":"2019-08-27T18:54:52+08:00","relpermalink":"/post/dod-network-security-part-5-identity-and-access-manaement/","section":"post","summary":"本篇（即第五篇），将介绍身份和访问安全的解决方案 —— IdAM（身份与访问管理）。","tags":["美军","DoD","JIE","Cybersecurity","Joint Information Environment","IdAM","IAM","Zero Trust Model"],"title":"【转】美军网络安全 | 第 5 篇：身份和访问管理（IdAM）","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"今天有人在群里贴了一个新闻：\n美国前空军情报官员 Summer Worden 和 NASA 宇航员 Anne McClain 是一对同性伴侣。 有一天 Summer Worden 注意到她的银行账户被未经许可访问了。访问她的电脑用的是 NASA 相关的网络。在一番调查之后，她怀疑是她的前任，宇航员 Anne McClain，从国际空间站上黑入她的银行账户。你一定想不到在太空中都可以做什么了，一名 NASA 宇航员被指控在国际空间站上黑入她的前任的银行账户。 这个奇怪的指控是针对美国宇航局宇航员 Anne McClain 的，她与她的前任 Summer Worden 卷入了一场激烈的离婚战。 《纽约时报》的标题就很有意思 —— 《地球上一场激烈的离婚战是如何导致“太空犯罪”的》这个案例真是很有意思。\n从管辖权来说，国际空间站运行在联合国和平利用外层空间委员会的定义外太空空间。按照相关决议，各国都没有主权，且不得提出主权要求。既然任何国家都没有主权，那看起来遵循航天器所属国的法律更为合理。但偏偏国际空间站是多个国家共同建造，虽然有新闻说在美国、俄罗斯、欧盟、日本、加拿大商定的法律框架内，国家法律适用于太空的人和财产。但是 …… 到底应该遵循哪国的法律呢？？\n而且根据相关新闻来看，这个是一个非授权访问账号的案例，只涉及到一个账号，而且没有实际的损失。如果在中国，这案子估计从一开始就很可能没法立案 😓 新闻里面说她们是离婚（Divorce）…… 这在中国也是一开始就不成立的。😓\n一个案子同时涉及到法律管辖权、同性恋婚姻、离婚及财产分割、网络犯罪等等一系列法律问题，同时还创造了历史 —— 真是奇葩的案例 😂\n First.Repored.Hacker.From.Outer.Space  ","date":1566740070,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1566740070,"objectID":"bf15f99a40651f4a246a73e24ff24420","permalink":"https://sbilly.github.io/post/first-reported-hacker-from-outer-space/","publishdate":"2019-08-25T21:34:30+08:00","relpermalink":"/post/first-reported-hacker-from-outer-space/","section":"post","summary":"一个案子同时涉及到法律管辖权、同性恋婚姻、离婚及财产分割、网络犯罪等等一系列法律问题，同时还创造了历史 —— 真是奇葩的案例 😂","tags":["历史","案例","百科"],"title":"公开报道的第一例发生在外太空的“黑客事件”","type":"post"},{"authors":["sbilly"],"categories":["学习笔记"],"content":"我一直是 RSS 的重度使用者，一路从 Google Reader 到 Inoreader 到现在一直都在持续使用，甚至在 Inoreader 上付费使用，直到 Inoreader 对订阅源数量做限制。像我这种只加 feed 不删 feed 的人怎么能忍得了。\n这两天把 RSS 阅读相关的软件栈看了一下，发现 miniflux + Reeder 这个组合满足我从功能到外观的所有要求（如果希望完全免费，可以使用 NetNewsWire 替代 Reeder）。miniflux 需要 pgsql 才能运行，界面极为简洁，而 Reeder 可以通过 fever 兼容的 API 接口把 miniflux 完全当成后台使用，操作几乎和 Google Reader、Inoreader 等流行的阅读器 vim 风格快捷键无缝兼容。除此之外，miniflux 和 Reeder 都支持直接抓取全文。千万不要相信什么 FreshRSS、Tiny Tiny RSS 比 miniflux 好的说法，光是一个内容抓取，这些比 miniflux 就弱了好几条街。\n因为 miniflux 支持用 docker 部署，看 miniflux 的官方教程部署起来非常简单。要点简单列举一下：\n 需要把 pgsql 和 miniflux 用 docker 的 --link 参数连接在一起。pgsql 连接的别名应该是 db 需要按照教程来初始化数据库和增加管理员账号 建议增加环境变量 HTTP_PROXY 和 HTTPS_PROXY 避免抓取内容时撞墙  最后，看一下图吧：\nTODO：计划看看 RSShub 这类工具是否，把微信公众号这些也都加到 RSS 阅读器中\n","date":1565715022,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1565715022,"objectID":"6af2c35c8ee1e14f42c0bfe470bb7c98","permalink":"https://sbilly.github.io/post/best-rss-toolchain-on-macos-2019/","publishdate":"2019-08-14T00:50:22+08:00","relpermalink":"/post/best-rss-toolchain-on-macos-2019/","section":"post","summary":"我一直是 RSS 的重度使用者，一路从 Google Reader 到 Inoreader 到现在一直都在持续使用，甚至在 Inoreader 上付费使用，直到 Inoreader 对订阅源数量做限制。像我这种只加 feed 不删 feed 的人怎么能忍得了。这两天把 RSS 阅读相关的软件栈看了一下，发现 miniflux + Reeder 这个组合满足我从功能到外观的所有要求。","tags":["miniflux","RSS Reader","Reeder","Docker"],"title":"macOS X 上最佳 RSS 阅读体验","type":"post"},{"authors":["sbilly"],"categories":["学习笔记"],"content":"0x00 读后感 看完 BlackHat 2019 的这些议题，我个人最强烈的感受就是企业承担的信息安全责任应该是有前提和有边界的，不应该是无前提和无边界的。如果拿消防做类比，在现行的治理框架下如果一个企业因为不可抗力或者被纵火，如果企业本身无过失（合规）的情况下一般只需要承担民事责任而没有刑事责任。美国的治理体系中就有这样的例子 —— FireEye 就获得了 SAFETY Act Certification 认证，FireEye 的用户可以在某种情况下免于被起诉。\n在《Operational Templates for State-Level Attack and Collective Defense of Countries》里有几张图也表达了这个意思 —— 商业公司缺乏足够的资源与国家层面的威胁对抗。攻击方可以在各个层面寻找脆弱性来突破。\n就像《GDPArrrrr: Using Privacy Laws to Steal Identities》所实践的 —— 连 GPDR 这样的隐私法案都能被利用来窃取隐私。而防守方以 Google Project Zero 这样的实力，也只能聚焦于二进制方向，漏洞挖掘也是以手工挖掘漏洞为主、辅助以半自动化的 Fuzzing 。\n0x01 BlackHat US19 议题笔记 按照自己的理解简单记录和分类。这次腾讯真的爆发啊，投的议题太多了。\n漏洞挖掘和利用  Host/Split: Exploitable Antipatterns in Unicode Normalization  主要是描述了一个因为 IDN 支持 unicode 以后带来的安全风险。很多大厂、很多软件、很多语言都受影响。\n Rogue7: Rogue Engineering-Station attacks on S7 Simatic PLCs  新发现的 PLC 操作系统的漏洞（和 S7 协议相关）。加上 ICS 安全的背景、全貌，以及这个漏洞的技术分析。这个议题在 ICS 方向讲得比较完整。\n 0-Days \u0026amp; Mitigations: Roadways to Exploit and Secure Connected BMW Cars  科恩实验室挖 BMW 车载系统漏洞的过程，非常好的 IoT 产品攻击面分析的范例。\n Everybody be Cool, This is a Robbery!  不论是中国还是美国，高安全级别的系统一般都引入了 HSM 。这篇介绍了直接针对 HSM 的攻击，其实越小众的产品，安全性越差。在这个演示中的测试的 HSM 和前面那篇车载系统一样，选用的系统版本比较老，新一点的 Linux 自身内核保护机制都没有。只要存在漏洞，基本就会被利用。HSM 存在漏洞会直接破坏信任根，甚至在系统中提供一个非常隐蔽的持久据点。\n A Compendium of Container Escapes  Docker 不是虚拟机，提供的隔离能力有限，这里介绍了三大类的绕过方式，从原理到代码。\n Denial of Service with a Fistful of Packets: Exploiting Algorithmic Complexity Vulnerabilities  AC 匹配的漏洞，并且介绍了 ACsploit 这个工具箱。这类漏洞比较有名的就是 CloudFlare 在 2019 年 7 月份那次因为正则表达式导致全球性故障。\n里面提出了一个观点比较有意思 —— AC 匹配的漏洞并不是实现层面的 BUG ，而是设计层面的问题。个人并不是很赞同这个观点，bug 并不局限于实现层面。只要是出现了不符合预期的结果，某种意义上都是 bug 。而 AC 匹配相关的这类漏洞，应该是设计者没有考虑各种最坏的情况可能出现的问题，从而导致了漏洞产生。和没有考虑用户输入可能导致命令执行类似。\n Towards Discovering Remote Code Execution Vulnerabilities in Apple FaceTime  盘古带来的 FaceTime 远程代码执行漏洞分析。介绍了 iOS/macOS 中 FaceTime 的流程、攻击面分析、漏洞发现和利用。FaceTime 的通信过程有完整的可信链，苹果公司的安全架构设计绝对值得看一下。\n Preventing Authentication Bypass A Tale of Two Researchers  主要是讲了两个身份认证绕过的漏洞案例。这两个漏洞影响 Outlook/Live/Hotmail 的所有用户，攻击者可以获取被攻击者的所有邮件。主要的突破口就是在新版本上线引入的未签名 JWT Token 。\n COMMAND INJECTION IN IRULES LOADBALANCER SCRIPTS - A story about how TCL interpretation works in F5 iRules and how it can be detected or exploited  主要是讲 F5 的内置规则引擎 iRule 规则的利用。F5 应用范围很广（包括 DoD 也在大量使用）。但这个漏洞并不是很好评价，不知道 iRule 缺省是否存在并被启用。\n Windows Process Injection in 2019  SafeBreach 搞了一个可以在最新版 Windows 10 x64 上进行进程注入的 C/C++ 库： Pinjectra\n Debug for bug: Crack and Hack Apple Core by itself  macOS 的内核/驱动 Fuzz 研究。发现了不少显卡驱动的漏洞。\n Breaking Samsung's ARM TrustZone  简单介绍了三种不同类型的可信执行的环境，并详细介绍了如何攻破三星的 ARMv7 的 TrustZone 。\n Exploiting Qualcomm WLAN And Modem Over-The-Air  在博通、Marvell 等 WiFi 被安全社区发现漏洞之后，腾讯 Blade Team 决定研究下高通 WiFi 芯片。结果搞定了从 OTA -\u0026gt; WALN -\u0026gt; Modem -\u0026gt; Kernel 的全链条，可以从无线网控制设备。😱\n Exploring the New World : Remote Exploitation of SQLite and Curl  SQLite 和 cURL 的漏洞发现和利用。腾讯 Blade Team 出品。\n Biometric Authentication Under Threat: Liveness Detection Hacking  各种花式绕活体检测的方法。来自于腾讯玄武实验室。\n The Most Secure Browser? Pwning Chrome from 2016 to 2019.  我是如何干翻所谓最安全浏览器 Chrome 的。—— 来自腾讯科恩安全实验室。\n Bypassing the Maginot Line: Remotely Exploit the Hardware Decoder on Smartphone  远程攻击智能手机配备的硬件解码器。来自腾讯 Blade 实验室。已经搞到了 Venus 芯片。如果是从浏览器和即时通讯工具发起攻击，目前整个攻击链还差两环：还没有搞定从应用程序搞到 StageFright 引擎，也还没有搞定从 Venus 芯片进入到 Kernel 。\n Attacking Electric Motors For Fun And Profit  虽然说是搞电动机，实际上是搞的无人机。比较全面，不过个人觉得远程搞的讲的太少了。\n Hunting for bugs, catching dragons  利用邮件来攻击 Outlook 和 Exchange 。\n HTTP Desync Attacks: Smashing into the Cell Next Door  HTTP Desync 攻击，一种攻击方式，列举是不少的利用。\n APIC’s Adventures in Wonderland  Cisco 的 APIC 漏洞。作者说主要是 APIC 比较贵，以前的研究比较少，很随便的就搞了个远程特权执行的漏洞出来。片子里面讲的 LLDP 协议的几个例子还是非常有网络设备的特色的。和 HSM 的那个片子类似 —— 越少见产品安全性越难得到保证。居然还有这种漏洞 ……\n MOBILE INTERCONNECT THREATS - How next-gen products may be already outdated  移动环境下协议栈的一些特性带来的安全问题\n REVERSE ENGINEERING WHATSAPP ENCRYPTION FOR CHAT MANIPULATION AND MORE  What's App 的加密存在缺陷。不知道 What's App 是不是正好需要看一下之前讲的那个即时通信加密算法？\n Battle of Windows Service:A Silver Bullet to Discover File Privilege Escalation Bugs Automatically  腾讯玄武实验室出品。我是怎么发现一堆 Windows 10 平台上 ALPC 漏洞的。\n Attacking iPhone XS Max  盘古带来的如何突破软硬件层层防护把 iPhone XS Max 搞定的。\n Monsters in the Middleboxes - Building Tools for Detecting HTTPS Interception  在服务端检测 HTTPS 中间人，提供了一个 golang 库可以直接用。感觉使用场景有限。\n Dragonblood: Attacking the Dragonfly Handshake of WPA3  如何攻击 WPA3 的密码学相关介绍。看样子 WPA3 不足够安全，可能会要搞 3.1 。\n Infiltrating Corporate Intranet Like NSA - Pre-auth RCE on Leading SSL VPNs  Fortinet、Pulse Secure、Palo Alto 等多个厂商的 SSL VPN 无需身份认证的远程利用漏洞。用自己发现的漏洞搞定了 Twitter 双因素认证的 SSL VPN 。估计参加国内群体性红蓝对抗大赛的朋友们对这个方法并不陌生。\n Attacking \u0026amp; Defending the Microsoft Cloud (Azure AD \u0026amp; Office 365)  关于 Azure AD 和 Office 365 攻防的介绍。值得看一下。\n Arm IDA and Cross Check: Reversing the 787’s Core Network  通过泄漏的文档、二进制代码分析得出波音 787 有可能被攻击者入侵。\n Finding a Needle In An Encrypted Haystack: Leveraging Cryptographic Abilities To Detect The Most Prevalent Attacks On Active Directory  介绍微软 AD 的攻防，在原有 AD 攻防的基础上重点讲了好三类新的攻击方式和检测、防护建议。值得阅读。\n SSO Wars: The Token Menace  主要是介绍 SSO 特别是微软系列产品的 SSO 相关的漏洞。\n Look, No Hands! The Remote, Interaction-less Attack Surface of the iPhone  iOS 的远程利用攻击面分析并结合了一些漏洞的实际例子。估计是准备发布一个 iOS 的研究工具来预热的。\n All the 4G Modules Cloud be Hacked  百度安全实验室出品。如何搞定广泛使用的 4G 模块。可以看到一堆的硬编码的密码，考虑到 4g 模块的出货量，个人觉得还是非常好利用的。感受下 ……\n Critical vulnerabilities to remotely compromise VxWorks, the most popular RTOS  发现了 11 个 VxWorks TCP/IP 协议栈 IPnet 的高危漏洞，其中 6 个可以导致远程执行。这个协议栈由 WindRiver 维护，在多个实时操作系统中使用。\n New Vulnerabilities in 5G Networks  5G 网络的漏洞挖掘，有点软。\n威胁跟踪与防护  The Discovery of a Government Malware and an Unexpected Spy Scandal  标题就看出来了 …… 意大利某“违法”监听调查分析\n How to detect that your domains are being abused for phishing attacks by using DNS  主要讲了一下在 DNS 层面可以做哪些事情来避免自己邮件域不会被用于钓鱼。\n The Future of Securing Intelligent Electronic Devices Using the IEC 62351-7 Standard for Monitoring  主要是介绍了一下电网安全的 IEC 62351-7 标准、以及电网的安全环境和挑战、以及几个场景的 DEMO\n The Future of Account Takeover  币圈的 coinbase 讲了一下账号窃取的一些事情。换卡、账号找回的滥用、钓鱼、撞库、社会工程、恶意代码、以及利用 SEO 冒充官方技术支持等一些攻击技巧。…… 等等，这些怎么在国内好像都看过呢？！😓\n GDPArrrrr: Using Privacy Laws to Steal Identities  在 GPDR 法案颁布以后，演讲者利用隐私保护法案来盗取身份信息，按照 Kill-Chain 的思路把整个过程讲了一遍。整个过程的核心是 GPDR 中要求：服务商必须对外公布联系方式，通过这个联系方式，用户可以申请自己所有的个人信息，而服务商需要在一个自然月以内向用户提供可机读的个人信息。个人觉得国内这么搞一下，然后出国去讲，很可能被请喝茶。\n Hacking Ten Million Useful Idiots: Online Propaganda as a Socio-Technical Security Project  错误信息是一个社会层面的安全问题，会带来各种物理、经济方面的影响。还提出了一个 AMITT 的框架。算是社会学范安全的领域吧。\n Playing Offense and Defense with Deepfakes  介绍了 deepfake 的历史，认为现在 deepfake 类产生的恶意视频人类靠肉眼已经很难辨认。因此开发了一套新的名为 deepstar 检测方法（还没有开源）。\n Worm Charming - Harvesting Malware Lures for Fun and Profit  从开源情报源和 VirusTotal 情报源获取非可执行文件的威胁情报并进行分析，发现了不少的真实世界中传播的样本。并发布了 labs.inquest.net 这个集成工具。\n Poisoned RDP - He Said, She Said - Poisoned RDP Offense and Defense  通过 RDP 服务搞客户端。和 BlueKeep:CVE-2019-0708 不同的一个攻击向量。这里面提到了 Windows Telemetry 的数据，这些数据看起来是会上报给微软的，需要谨慎一些。\n Detecting malicious files with YARA rules as they traverse the network  利用 YARA + Zeek 的组合来做流量中的文件检查。提供了一些开源工具。\n CLICKONCE AND YOU’RE IN: When .appref-ms abuse is operating as intended  DHS:CISA 发布的一个利用微软 .appref-ms 做钓鱼和持久化的方法。核心是 .appref-ms 不但可以远程安装程序，还会确保被安装的程序是最新的。\n Flying A False Flag - Advanced C2, Trust Conflicts, and Domain Takeover  对 C2 的全貌做了个介绍，讲了很多的 C2 套路，顺便把很多资源系统的梳理了一遍，值得看一下。\n Going Beyond Coverage-Guided Fuzzing with Structured Fuzzing  结构化的 Fuzzing 技术介绍（结合 ClusterFuzz ）。\n Come Join the [CAFSA] Continuous Automated Firmware Security Analysis  介绍一个自动化分析文件镜像的工具 FwAnalyzer 。主要是做一些镜像基线检查（比如：不包含调试工具、开启 SELinux、……），而不是做漏洞检查。\n I’m unique, just like you - Human side-channels and their implications for security and privacy  人的行为某种意义上来说也是一种可用于检测的“侧信道”。作者举了不少例子。\n Detecting Deep Fakes With Mice  训练老鼠来检测 Deep Fakes ，其实主要是说 deepfake 这类可以怎么检测。\n All Your Apple Are Belong To Us: Unique Identification and Cross-device Tracking of Apple Devices  阿里安全出品。将如何跨设备跟踪用户。主要思路就是：1. 通过 Device ID 唯一的标记和跟踪每台设别；2. 把属于同一个 User ID 的 Device ID 都找出来。\n Fantastic Red Team Attacks - And How to Find Them  介绍和推广 Atomic Red Team、EQL 这两个围绕 ATT\u0026amp;CK 的工具。\n Zombie Ant Farm: Practical Tips for Playing Hide and Seek with Linux EDRs  绕过 Linux EDR 的方法。\n Defense against Rapidly Morphing DDOS  少见的抗 DDoS 的议题。感觉主要是推广 SODA 这个项目。\n Death of IOC - What's next in Threat Intelligence  机器学习的威胁情报抽取，比如：实体抽取之类的。\n PICODMA: DMA ATTACKS AT YOUR FINGERTIPS  造了一个指尖大小利用 DMA 绕过系统访问控制直接获取敏感信息的硬件工具。可以像 rekall 和 Volatility 那样调查取证。\n安全体系和实践  Practical Approach to Automate the Discovery and Eradication of Open-Source Software Vulnerabilities at Scale  国内国外都一样，安全管理员觉得最坑的场景之一就是某一天又爆发一个不得不补的远程执行漏洞。现在的软件生态包依赖关系非常复杂，软件供应链安全也非常复杂。演讲者认为需要遵循这几个原则：可扩展、自动化、高研发效率、关注兼容性。对漏洞的维度进行排序，分清主次才能进行有效的修复。一方面要从多个数据源（开源或商业化）收集漏洞、威胁相关的信息；另一方面，也需要通过自动化构建过程对自己的 IT 环境有足够的了解。\n WebAuthn 101 - Demystifying WebAuthn  主要是介绍 WebAuthn 和 FIDO2 的好处。我对这种既改善用户体验、又增强安全性的方案是非常期望看到的。现在各方力量都在联合推动无密码认证的实现，DISA 下一步的现代化计划中也增加了改善用户认证，实现无密码认证的目标。目前，国民电子也在国内推 FIDO2 的相关方案。\n除此之外，这里面有不少统计数据是值得看的：\n 91% 的信息安全事件和钓鱼有关 80% 的针对商业机构的攻击行动中使用了钓鱼 2016 年之后，钓鱼在攻击行动中使用超过了 exploit 76% 的账号安全漏洞与弱密码或密码被窃取有关 一个设计良好的钓鱼页面有 43% 的成功率 使用生物特征进行重新验证，98% 的用户可以在 38 秒内完成，而使用用户名密码进行重新验证，98% 的用户要花 150 秒   Securing Apps in the Open-By-Default Cloud  snapchat 在公有云基础上应用安全的实践。snapchat 大量使用了AWS/GCP，在公有云上有一些限制，例如：没有办法获得一个仅为内部使用的网络基础设施、AWS/GCP 提供的控制点选项并不多、像 AppEngine 这样的服务必须直接暴露在互联网上、缺乏集中的 CI/CD 管道、使用大量技术带来技术栈复杂度高。\nsnapchat 在软件生命周期中把所有的服务分成 UnManaged 和 Managed 两个阶段。在 UnManaged 阶段，主要是防火墙和无状态的认证（AuthN）和授权（AuthZ）代理，而在 Managed 阶段，主要是通过服务网格以及其 API Gateway 来进行管理。对于比较老的应用，则应该及时关注其状态和安全告警。\n Inside The Apple T2  苹果设备中有一块 T2 的芯片，这块芯片夹在 CPU 和硬件设备之间，增加了额外的安全保障和控制。这篇主要是对其软硬件工作机制进行了分析。\n The Enemy Within Modern Supply Chain Attacks  微软内部安全团队认为要从硬件、软件、服务、人这四个维度考虑供应链安全，每个部分都举了一个例子。\n Breaking Through Another Side - Bypassing Firmware Security Boundaries from Embedded Controller  硬核的 x86 平台硬件/固件安全。这个架构和《Inside The Apple T2》这篇文章中苹果的架构一起对比来看，非常有意思。\n Behind the Scenes of Intel Security and Manageability Engine  介绍 Intel 第 8 代和第 9 代处理器所使用的 CSME 12 固件和硬件。感觉 Intel 的做法是在 x86/x64 大楼的地下室又修了一个大楼。\n Exploit Prediction Scoring System (EPSS)  个人非常喜欢的一篇。简单来说，和我观点一致 —— 现在漏洞管理的问题是发现的漏洞太多了，管理层面需要分清楚轻重缓急，区分对待。最好需要确保最后能修复掉。这个和当年恶意代码太多，防病毒厂商不睡觉来分析、加特征码都搞不过来，最后只能换个思路来搞定一样。\n他们的工作更进一步，提出了一个新的 EPSS 模型（个人感觉还需要继续改进）。可惜作者提供的评分系统还不能正常访问： http://kennaresearch.com/tools/epss-calculator\n Securing the System: A Deep Dive into Reversing Android Pre-Installed Apps  介绍 Android 平台下的逆向分析实例，主要是保持曝光。从里面可以看到 Google 认为有些 OEM/ODM 会植入恶意代码。\n Shifting Knowledge Left - Keeping Up With Modern Application Security  主要讲的是如何提升开发人员安全意识和能力，也提到了研发、安全之间更好的关系应该是合作而不是摩擦。\n CYBERSECURITY RISK ASSESSMENT FOR SAFETY-CRITICAL SYSTEMS  介绍 Honeywell 的系统风险评估方法。\n MITRE ATT\u0026amp;CK: The Play at Home Edition  用讲故事的方式说明了 ATT\u0026amp;CK 可以怎么用，以及为什么不能生搬硬套。除此之外还介绍了不少关于 ATT\u0026amp;CK 的相关资源（值得再看一次）。其实这方面国内外遇到的挑战和国内的安全团队非常类似。\n It's Not What You Know, It's What You Do: How Data Can Shape Security Engagement  安全意识教育。\n Controlled Chaos - The Inevitable Marriage of DevOps \u0026amp; Security  主要是讲理念性质的东西，比如：如何应该如何驾驭与 DevOps 的关系，比如认为混乱工程和弹性才是安全的未来。\n DevSecOps What Why and How?  DevSecOps 应该争取 “Secure by Default”，而默认安全由三个层次来决定：a) 通过工具实现内嵌安全；b）创建安全即代码的文化；c）鼓励跨界。本质上是在工具链和流程中融入安全因素，让自动化成为组织内广泛的文化认同。这篇值得再看下。\n密码学和其应用  Lessons from 3 years of crypto and blockchain security audits  可以理解为密码学相关的代码审计。举例都是区块链生态里的实际案例。\n A Decade After Bleichenbacher \u0026lsquo;06, RSA Signature Forgery Still Works  又是一片硬核密码学的文章。简单来说就是 SSH、IPSec、DNSSEC 的一些实现会受 Bleichenbacher \u0026lsquo;06 发布的 RSA 伪造签名漏洞的攻击。\n Messaging Layer Security Towards a new era of secure messaging\u0026hellip;  一个用于即时通讯场景的加密方案，工作于 TLS 之上，特别适用于有群聊的场景。已经在工业界、学术界内讨论过。\n杂项  Operational Templates for State-Level Attack and Collective Defense of Countries  面对国家攻击的时候应该采用集体防御的方法，根据不同级别的安全威胁应该有不同级别的安全事件响应机制。各个层面都会有自己各自的脆弱性，在国家级的对抗中，攻击者不会放过任何一个可以利用的脆弱性。目前 Known/Knowing 的问题解决方法基本都有了，需要自动化来提高效率、改善体验、释放“资源”（这里的“资源“是指广义的资源，甚至包括产业界的关注度），并获得更多的资源投入到需要 “Behavioral Analytics + Hunting” 的范围内。\n除此之外，我觉得可能还给网络安全执法提供了合法性相关的思路：\n* 为了减少火灾，会进行相关的防火教育和检查，并有严格的合规要求 * 如果发现你家着火，为了确保公众安全，公众的消防力量有主动进行灭火的义务和权力 * 发生火灾给第三方造成损失的，会有民事责任、刑事责任   Google Project Zero  Google 这篇主要是介绍了 Project Zero 的一些数据来佐证观点。干货不多感觉主要是保持曝光。\n Building a Female InfoSec Community in Korea, Japan, and Taiwan  如何让信息安全不再是男人统治的领域。加油！\n ON TRUST - Stories from the Front Lines  最最最水\n Rough and Ready: Frameworks to Measure Persistent Engagement and Deterrence  讲了一堆对持续威胁进行度量的意义、为什么要有度量，提出了一个三万英尺的框架。以及一堆未来的工作。\n Woke Hiring Won't Save Us: An Actionable Approach to Diversity Hiring and Retention  主要是说女性在 IT 行业招聘和保留的问题。\n API-Induced SSRF - How Apple Pay Scattered Vulnerabilities Across the Web  主要是苹果公司在 Apple Pay 上一个漏洞响应措施比较让人不满意。这个作者喷了一通，并且提出了一个有意思的观点：有缺陷的设计模式导致了有缺陷的实现，有缺陷的实现导致了有缺陷的部署。\n Responding To A Cyber Attack With Missiles  名字很大，slides 没啥，不知道现场如何。主要是展望用导弹干掉攻击源的必要性、可能性之类的。非战时我感觉可能性不大。\n Infighting Among Russian Security Services in the Cyber Sphere  内斗八卦也能上 blackhat\n Testing Your Organization's Social Media Awareness  貌似是利用社交网站钓鱼。但真心没什么实际内容。\n Cyber Insurance 101 For CISOs  卖保险的来啦， CISO 们。不过从议题名字就可以看出来，普及性的内容。\n Attack Surface As Service  就是说以前的安全产品都比较不好，而改进型的方案给用户增加了不少使用上、体验上的负担。与其花很多精力去检测用户行为是不是正常，还不如告诉用户什么行为是好的。说实话，这 PPT 为了搞艺术，意思都看不清楚了 ……\n Sensor and Process Fingerprinting in Industrial Control Systems  用 ICS 的传感器的噪音来给传感器生成指纹。\n How Do Cyber Insurers View the World  卖保险的来了 ……\n Selling 0-days to governments and offensive security companies  军火商来介绍经验了。想做军火生意的可以看。\n Extracting Compressed Pages from the Windows 10 Virtual Store  如何访问 Windows 10 的压缩内存，并且进行自动化分析（包括和 rekall 和 Volatility 的集成）。FireEye 出品。\n相关资源的下载 一句话下载 BlackHat US19 资料（需要 jq ）\n#!/bin/bash curl \u0026#34;https://www.blackhat.com/us-19/briefings/schedule/sessions.json\u0026#34; | jq \u0026#34;.sessions[].bh_files[].url\u0026#34; -r | sort | grep -v github | xargs -n1 -I {} wget -c \u0026#34;{}\u0026#34; ","date":1565501845,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1565501845,"objectID":"965ba2179a4f9167d80176084209422f","permalink":"https://sbilly.github.io/post/blackhat-us-2019-slides-reading-notes/","publishdate":"2019-08-11T13:37:25+08:00","relpermalink":"/post/blackhat-us-2019-slides-reading-notes/","section":"post","summary":"看完 BlackHat 2019 的这些议题，我个人最强烈的感受就是企业承担的信息安全责任应该是有前提和有边界的，不应该是无前提和无边界的。","tags":["blackhat","笔记"],"title":"BlackHat US-19 笔记","type":"post"},{"authors":["sbilly"],"categories":["学习笔记"],"content":"树莓派发布了新的主机以后，想买一个来吃灰。搜索了一下，发现斐讯矿难的 phicomm n1 非常便宜（低于人民币 100 元），配置也比树莓派好。同时已经有玩家把 armbian 移植的方法研究出来了，可以跑完整的 arm64 架构的 Ubuntu 系统。性能强、耗电低、无风扇、可以集中供电、这些都非常适合用来建 k8s 集群。于是我就用 695 元搞定了一个 5 节点的 arm64 k8s 集群。\n 可以为 8 台设备提供 12v 电源的集中式变压器 - 48 元 H3C 8 口全千兆交换机 - 130 元 x10 网线 - 22 元 x5 Phicomm N1 - 495 元  Amlogic S905D 四核 1.5G 的 Cortex-A53 处理器（带 Mali-450 GPU） 板载 2GB 的 DDR3 内存 板载 8GB 的 eMMC 闪存 支持 4K 60Hz 刷新的 HDMI 2.0a 接口 1x 千兆以太网（RTL8211F） 1x 双频 802.11ac WiFi 1x 蓝牙 4.1（和树莓派 3B+ 一样，使用 CYW43455 模块） 2x USB 2.0    要点  部署 master 节点  docker-ce、kubeadm、kubelet、kubectl 版本  20190805 的 armbian 上使用这样的版本是确定可用的：apt-get install -yq kubeadm=1.14.4-00 kubelet=1.14.4-00 kubectl=1.14.4-00 docker-ce=18.06.2~ce~3-0~ubuntu 如果想尝鲜，都使用最新版本也可尝试 查询可用版本可以使用 apt-cache madison docker-ce   ubuntu 系统需要使用 systemd  kubelet 需要编辑 /etc/default/kubelet ，增加 KUBELET_EXTRA_ARGS=--cgroup-driver=systemd --fail-swap-on=false   phicomm N1 的 armbian 系统使用了 zram，需要增加参数是的 swapon 的时候 k8s 相关服务和 docker 都能正常启动  kebelet 需要编辑 /etc/default/kubelet ， 增加 KUBELET_EXTRA_ARGS=--fail-swap-on=false   需要使用 arm64 架构的 docker 镜像，必须翻墙或使用镜像拉取  使用 mirrorgooglecontainers 或者提前拉取正确的镜像 使用 kubeadm config images list 可以看需要的 docker 镜像   安装 flannel 的 CNI 插件 安装 dashboard 安装 helm  需要使用 arm64 的镜像 jessestuart/tiller:latest-arm64     部署节点  需要修改 /etc/default/kubelet 和 /etc/docker/daemon.json 需要把需要翻墙才能下载的镜像手动部署上去 需要 token    详细安装步骤 准备环境 安装好 armbian 系统，并编辑 /etc/hosts 增加节点的主机名（非必须）。最好是在本机的 IP 地址前都加上 localhost\n192.168.31.81 localhost phicomm-n1-peer01 192.168.31.82 phicomm-n1-peer02 192.168.31.83 phicomm-n1-peer03 192.168.31.84 phicomm-n1-peer04 192.168.31.85 phicomm-n1-peer05 安装和配置 docker-ce kubeadm kubectl kubelet 创建 /etc/docker/daemon.json 使 docker 的 cgroupdriver 为 systemd （如果 docker 已经启动，需要重新启动 docker）\nmkdir -p /etc/docker cat \u0026gt; /etc/docker/daemon.json \u0026lt;\u0026lt;EOF { \u0026#34;exec-opts\u0026#34;: [\u0026#34;native.cgroupdriver=systemd\u0026#34;], \u0026#34;log-driver\u0026#34;: \u0026#34;json-file\u0026#34;, \u0026#34;log-opts\u0026#34;: { \u0026#34;max-size\u0026#34;: \u0026#34;100m\u0026#34; }, \u0026#34;storage-driver\u0026#34;: \u0026#34;overlay2\u0026#34; } EOF sudo systemctl daemon-reload sudo systemctl restart docker 创建 /etc/default/kubelet 让 kubelet 也使用 systemd 作为 cgroup-driver，并启用 --fail-swap-on 强制在 swap 激活时 kubelet 能正常启动。正常 k8s 是不建议使用 swap 的，启动时检查到 swap 处于激活状态时会终止启动。但因为 armbian 使用 zram ，不建议关闭 zram ，因此需要增加额外的启动参数。（如果 kubelet 已经启动，需要重新启动 kubelet）\ncat \u0026gt; /etc/default/kubelet \u0026lt;\u0026lt;EOF KUBELET_EXTRA_ARGS=--cgroup-driver=systemd --fail-swap-on=false EOF sudo systemctl daemon-reload sudo systemctl restart kubelet 安装 docker-ce kubeadm kubectl kubelet\napt update -y; apt upgrade -y; apt autoremove -y; apt clean -y apt install -yq docker-ce kubeadm kubelet kubectl # 也可以先查看有哪些可用版本，再安装指定版本 # apt-cache madison docker-ce kubeadm kubelet kubectl # apt install -yq kubeadm=1.14.4-00 kubelet=1.14.4-00 kubectl=1.14.4-00 docker-ce=18.06.2~ce~3-0~ubuntu 获取 docker 镜像 因为 k8s 缺省使用的 *.gcr.io 官方镜像都被墙，因此需要翻墙。另外，Phicomm N1 是 arm64 架构，因此在获取 docker 镜像时必须使用 arm64 架构的。到 2019 年 8 月 6 日为止， aliyun 提供的 registry.aliyuncs.com 的 google_container 镜像缺省只提供了 x64/x86 架构的镜像，只有 mirrorgooglecontainers 提供的镜像才包含了各种架构最新版本。建议用下面的方法手动获取 k8s 所需 arm64 相关镜像。首先，查看当前 k8s 使用的最新 docker 镜像列表\nkubeadm config images list 然后，从 mirrorgooglecontainers 和 coredns 下载 docker 镜像，并重新打上 k8s.gcr.io 的相关 tag，并删除老的 tag\n# 下载镜像 docker pull mirrorgooglecontainers/kube-apiserver-arm64:v1.15.2 docker pull mirrorgooglecontainers/kube-controller-manager-arm64:v1.15.2 docker pull mirrorgooglecontainers/kube-scheduler-arm64:v1.15.2 docker pull mirrorgooglecontainers/kube-proxy-arm64:v1.15.2 docker pull mirrorgooglecontainers/pause-arm64:3.1 docker pull mirrorgooglecontainers/etcd-arm64:3.3.10 ## coredns 需要从 coredns 官方下载 docker pull coredns/coredns:coredns-arm64 # 打上 k8s.gcr.io 的 tag docker tag mirrorgooglecontainers/kube-apiserver-arm64:v1.15.2 k8s.gcr.io/kube-apiserver:v1.15.2 docker tag mirrorgooglecontainers/kube-controller-manager-arm64:v1.15.2 k8s.gcr.io/kube-controller-manager:v1.15.2 docker tag mirrorgooglecontainers/kube-scheduler-arm64:v1.15.2 k8s.gcr.io/kube-scheduler:v1.15.2 docker tag mirrorgooglecontainers/kube-proxy-arm64:v1.15.2 k8s.gcr.io/kube-proxy:v1.15.2 docker tag mirrorgooglecontainers/pause-arm64:3.1 k8s.gcr.io/pause:3.1 docker tag mirrorgooglecontainers/etcd-arm64:3.3.10 k8s.gcr.io/etcd:3.3.10 docker tag coredns/coredns:coredns-arm64 k8s.gcr.io/coredns:1.3.1 # 删除 mirrorgooglecontainers 的相关 tag docker rmi mirrorgooglecontainers/kube-apiserver-arm64:v1.15.2 docker rmi mirrorgooglecontainers/kube-controller-manager-arm64:v1.15.2 docker rmi mirrorgooglecontainers/kube-scheduler-arm64:v1.15.2 docker rmi mirrorgooglecontainers/kube-proxy-arm64:v1.15.2 docker rmi mirrorgooglecontainers/pause-arm64:3.1 docker rmi mirrorgooglecontainers/etcd-arm64:3.3.10 docker rmi coredns/coredns:coredns-arm64 初始化 k8s 集群 使用 kubeadm 初始化 k8s 集群节点。因为使用了 zram ， 因此需要加上 --ignore-preflight-errors Swap 的命令行选项。\nkubeadm init --ignore-preflight-errors Swap 正常可以看到安装成功的提示信息\nYour Kubernetes control-plane has initialized successfully! To start using your cluster, you need to run the following as a regular user: mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config You should now deploy a pod network to the cluster. Run \u0026#34;kubectl apply -f [podnetwork].yaml\u0026#34; with one of the options listed at: https://kubernetes.io/docs/concepts/cluster-administration/addons/ Then you can join any number of worker nodes by running the following on each as root: kubeadm join 192.168.31.81:6443 --token b5it71.ju23p2j3n2qcnty2 \\ --discovery-token-ca-cert-hash sha256:21539e6ae6e9a8c9cddbb9fc7da5750b780dde203aebb1346298f9c4892bac1f 执行相关命令可以正常看到集群信息\n# 查看集群信息 $ kubectl cluster-info Kubernetes master is running at https://192.168.31.81:6443 KubeDNS is running at https://192.168.31.81:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy # 查看集群节点信息 $ kubectl get nodes NAME STATUS ROLES AGE VERSION phicomm-n1-peer01 NotReady master 3m50s v1.15.2 # 查看现有 Pod $ kubectl get pods --all-namespaces 安装 flannel # 下载最新的 arm64 架构 flannel 插件 wget https://github.com/containernetworking/plugins/releases/download/v0.8.1/cni-plugins-linux-arm64-v0.8.1.tgz # 解压缩 flannel 文件 sudo mkdir -p /opt/cni/bin \u0026amp;\u0026amp; cd /opt/cni/bin sudo tar vfxz cni-plugins-linux-arm64-v0.8.1.tgz -C /opt/cni/bin # 到 https://quay.io/repository/coreos/flannel 查看最新的 flannel 版本并下载 docker pull quay.io/coreos/flannel:v0.11.0-arm64 为了使 flannel 正常工作，需要修改 /etc/kubernetes/manifests/kube-controller-manager.yaml 文件 —— 在 spec.containers.command 中增加 kube-controller-manager 命令的 --allocate-node-cidrs=true 和 --cluster-cidr=10.244.0.0/16 参数（需要根据按照实际情况配置 CIDR 值）。\nspec: containers: - command: - kube-controller-manager - --authentication-kubeconfig=/etc/kubernetes/controller-manager.conf - --authorization-kubeconfig=/etc/kubernetes/controller-manager.conf - --bind-address=127.0.0.1 - --client-ca-file=/etc/kubernetes/pki/ca.crt - --cluster-signing-cert-file=/etc/kubernetes/pki/ca.crt - --cluster-signing-key-file=/etc/kubernetes/pki/ca.key - --controllers=*,bootstrapsigner,tokencleaner - --kubeconfig=/etc/kubernetes/controller-manager.conf - --leader-elect=true - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt - --root-ca-file=/etc/kubernetes/pki/ca.crt - --service-account-private-key-file=/etc/kubernetes/pki/sa.key - --use-service-account-credentials=true - --allocate-node-cidrs=true - --cluster-cidr=10.244.0.0/16 image: k8s.gcr.io/kube-controller-manager:v1.15.2 修改完成后，重新启动 docker 和 k8s\n# 下载并安装 flannel $ curl -Lo kube-flannel.yml https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml $ kubectl apply -f kube-flannel.yml # 安装完毕后可以看到 flannel.1 网络接口 $ ifconfig flannel.1 # 可以看到所有 pods 已经启动 $ kubectl get pods --all-namespaces -o wide NAMESPACE NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES kube-system coredns-5c98db65d4-dps4b 1/1 Running 1 7h40m 10.244.0.5 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system coredns-5c98db65d4-gls5c 1/1 Running 1 7h40m 10.244.0.4 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system etcd-phicomm-n1-peer01 1/1 Running 4 7h39m 192.168.31.81 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system kube-apiserver-phicomm-n1-peer01 1/1 Running 4 7h39m 192.168.31.81 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system kube-controller-manager-phicomm-n1-peer01 1/1 Running 1 6h29m 192.168.31.81 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system kube-flannel-ds-arm64-8nm2s 1/1 Running 6 6h43m 192.168.31.81 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system kube-proxy-8tbqb 1/1 Running 4 7h40m 192.168.31.81 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; kube-system kube-scheduler-phicomm-n1-peer01 1/1 Running 4 7h39m 192.168.31.81 phicomm-n1-peer01 \u0026lt;none\u0026gt; \u0026lt;none\u0026gt; 增加集群节点 在新的子节点按照上述步骤安装 docker-ce kubeadm kubectl kubelet ， 创建 /etc/default/kubelet 和 /etc/docker/daemon.json 文件（需要重新启动），拉取 docker 镜像（别忘了 flannel 的镜像），并加入集群（如果忘记了加入集群所需的 token ，可以在 master 节点上使用 kubeadm token generate 重新生成）。\n# 加入节点 kubeadm join 192.168.31.81:6443 --token b5it71.ju23p2j3n2qcnty2 --discovery-token-ca-cert-hash sha256:21539e6ae6e9a8c9cddbb9fc7da5750b780dde203aebb1346298f9c4892bac1f --ignore-preflight-errors Swap 如果一切正常，在 master 节点上执行 kubectl get nodes 可以看到所有节点； kubectl get pods --all-namespaces 可以看到当前所有的 pods ；访问 dashboard 可以看到当前所有的节点。\n安装 k8s 的 dashboard 当前（2019 年 8 月 6 日） k8s 的 dashboard 正在开发新的 2.0 版本，但没有正式发布。因此需要从最新的 tag 上获取相关文件。\nwget https://raw.githubusercontent.com/kubernetes/dashboard/v1.10.1/src/deploy/recommended/kubernetes-dashboard-arm.yaml mv kubernetes-dashboard-arm.yaml kubernetes-dashboard-arm64.yaml 修改 kubernetes-dashboard-arm64.yaml 把 spec.template.spec.containers.image 修改为 k8s.gcr.io/kubernetes-dashboard-arm64:v1.10.1 ， 在所有节点上都拉取镜像。\ndocker pull mirrorgooglecontainers/kubernetes-dashboard-arm64:v1.10.1 docker tag mirrorgooglecontainers/kubernetes-dashboard-arm64:v1.10.1 k8s.gcr.io/kubernetes-dashboard-arm64:v1.10.1 docker rmi mirrorgooglecontainers/kubernetes-dashboard-arm64:v1.10.1 修改 kubernetes-dashboard-arm64.yaml 文件，在 spec.ports 中增加 nodePort: 31111 和 type: NodePort 配置。\nkind: Service apiVersion: v1 metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system spec: ports: - port: 443 targetPort: 8443 nodePort: 31111 selector: k8s-app: kubernetes-dashboard type: NodePort 安装并启动 dashboard\nkubectl apply -f kubernetes-dashboard-arm64.yaml 此时可以访问 master 节点的 31111 端口即可访问 dashboard\n创建 dashboard 用户 新建文件 dashboard-account.yaml ，并通过命令行 kubectl create -f dashboard-account.yaml 使之生效。成功生效后，可以通过 kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}') 查看 token 信息。\n# Create Service Account apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system --- # Create ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: admin-user roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: admin-user namespace: kube-system 在 https://192.168.31.81:31111/ 登录界面选择“令牌”，并输入 token ，则可以访问 dashboard 管理集群。\n安装 helm 下载 arm64 版本的 helm https://get.helm.sh/helm-v2.14.3-linux-arm64.tar.gz 并解压安装。\nwget https://get.helm.sh/helm-v2.14.3-linux-arm64.tar.gz tar vfxz helm-v2.14.3-linux-arm64.tar.gz mv linux-arm64/helm /usr/local/bin/helm mv linux-arm64/tiller /usr/local/bin/tiller 使用 helm init 初始化（需要翻墙）。因为官方提供的不是 arm64 平台的，需要在 hub.docker.com 上查找替代。通过 docker search tiller 发现 jessestuart/tiller 是镜像自动更新的多平台镜像。使用 kubectl edit deployment tiller-deploy -n kube-system 修改 spec.template.spec.image 为 jessestuart/tiller:latest-arm64 。\n创建文件 helm-rbac.yaml 后通过 kubectl create -f helm-rbac.yaml 使其生效。最后使用 kubectl patch deploy --namespace kube-system tiller-deploy -p '{\u0026quot;spec\u0026quot;:{\u0026quot;template\u0026quot;:{\u0026quot;spec\u0026quot;:{\u0026quot;serviceAccount\u0026quot;:\u0026quot;tiller\u0026quot;}}}}' 给最开始通过 helm init 初始化的 tiller 实例打上补丁。\napiVersion: v1 kind: ServiceAccount metadata: name: tiller namespace: kube-system --- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRoleBinding metadata: name: tiller roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: tiller namespace: kube-system 配置 helm 使用不用翻墙的镜像\nhelm repo remove stable helm repo add stable http://mirror.azure.cn/kubernetes/charts/ helm repo add incubator http://mirror.azure.cn/kubernetes/charts-incubator/ helm repo add bitnami https://charts.bitnami.com/bitnami k8s 基本操作 # 显示所有 pods kubectl get pods --all-namespaces # 显示所有节点 kubectl get nodes # 显示某个 pod 的信息 kubectl describe pod -n kube-system tiller-deploy-75f6c87b87-gbpfv 参考资料  arm64 部署 k8s 使用 amd64 架构 master 节点管理 arm 架构 kubernetes 集群 arm64 硬件架构支持总结 使用 kubeadm 部署 kubernetes v1.13.2 - 阿里源适合国内网络环境 使用 kubeadm 安装 kubernetes 1.15.1 使用 Helm 管理 kubernetes 应用 Helm 的基本使用 Kubernetes on Raspbian/Hypriot based on teamserverless/k8s-on-raspbian alexellis/k8s-pi.md ansible-rpi-k8s-cluster Stand up a Raspberry Pi based Kubernetes cluster with Ansible Kubernetes on OrangePI ARM64 Building an ARM Kubernetes Cluster Building a hybrid x86–64 and ARM Kubernetes Cluster ARMing Kubernetes with OpenEBS #1  ","date":1565084173,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1565084173,"objectID":"333b898144981a261f1ec06af8d8586d","permalink":"https://sbilly.github.io/post/howto-setup-kubernetes-cluster-on-armbian-linux-based-on-phicomm-n1-arm64-sbc/","publishdate":"2019-08-06T17:36:13+08:00","relpermalink":"/post/howto-setup-kubernetes-cluster-on-armbian-linux-based-on-phicomm-n1-arm64-sbc/","section":"post","summary":"树莓派发布了新的主机以后，想买一个来吃灰。搜索了一下，发现斐讯矿难的 phicomm n1 非常便宜（低于人民币 100 元），配置也比树莓派好。同时已经有玩家把 armbian 移植的方法研究出来了，可以跑完整的 arm64 架构的 Ubuntu 系统。性能强、耗电低、无风扇、可以集中供电、这些都非常适合用来建 k8s 集群。","tags":["kubernetes","docker","arm64","armbian","helm","k8s","phicomm n1"],"title":"构建 arm64 架构 k8s 集群（phicomm-n1）","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"一、前期回顾 “美军网络安全”系列第一篇（美军网络安全 | 开篇： JIE （联合信息环境）概述）介绍了美军 JIE （联合信息环境）的总体情况。其主要目标是实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息，以满足联合作战的需求。\nJIE 的 9 大关键领域如下（通过合并 JIE 的 6 项关键能力和 8 个现代化领域）：1）网络现代化（网络规范化）；2）网络安全体系架构（单一安全架构-SSA/CCA）；3）身份和访问管理（IdAM）；4）企业运营；5）企业服务；6）云计算；7）数据中心整合；8）任务伙伴环境（MPE）；9）移动性。\n本系列第二篇（美军网络安全 | 第 2 篇：JIE 网络安全架构 SSA （单一安全架构））介绍了其中第 2 项：网络安全体系架构，即单一安全架构（SSA/CCA），主要是从安全思想和理念层面描述。\n本系列第三篇（美军网络安全 | 第 3 篇：JIE 联合区域安全栈 JRSS），从更落地的层面，介绍 SSA 的落地架构 JRSS（联合区域安全栈）。\n这一篇（也就是第四篇），将介绍 SSA 中关于跨域连接的解决方案 —— CDS（跨域解决方案）。它在 JIE 框架中的地位如下图所示：\n我们曾经提到过，在下面的 JIE 框架图中，所有深红色部分都属于网络安全内容，即 SSA（单一安全架构）涵盖的范畴。所以，CDS 也属于 SSA 的内容。\n如果没有 CDS，美军不同密级的网络就不可能联通成“一张网”，更不可能实现美军“三个任意”的愿景了。\n二、问题的起因 熟悉涉密网络的童鞋大都知道基本法则：涉密网络与互联网是不能直接或间接连接的，必须实行物理隔离。\n这条法则，本来在国内和国外都是适用的。\n不过，很早以前，美国、以色列的军方，就搞出了网闸产品，专门用来解决涉密网络与公共网络连接时的安全。网闸产品的学名，在美国叫做“跨域解决方案（CDS）”；在国内称为“安全隔离与信息交换产品”，顾名思义，是既要“隔离”又能“交换”。\n但国内方面，一直是要求物理隔离，不存在信息交换。直到后来，电子政务的蓬勃发展，终于从铁板中撬开一条缝隙，允许“电子政务涉密信息系统和与互联网逻辑隔离的电子政务非涉密信息系统的单向导入”。如果觉得这句话理解起来费劲的话，看下图即可：\n这条原则的确是一项重大突破，不过千万别忘了：在真正实施的时候，还需要相关部门审批，也就是大家谈之色变的“一事一议”了。这个“一事一议”，不知阻挡了多少有梦想的青年！\n好了，至此已经引出我想解释的两个关键概念：物理隔离vs.逻辑隔离。\n逻辑隔离：\n 逻辑隔离的代表产品是防火墙； 逻辑隔离实现的效果是：不同安全等级的网络之间，看起来是断开的，实际上是连通的；  物理隔离：\n 物理隔离的代表产品是网闸； 物理隔离实现的效果是：不同安全等级的网络之间，看起来是连通的，实际上是断开的。  现在做道选择题：前面提到的“安全隔离与信息交换产品”名称中的“安全隔离”指的是逻辑隔离，还是物理隔离？\n如果你回答的是物理隔离，就可以继续回答下一个问题：“安全隔离与信息交换产品”名称中的“信息交换”采用的是哪个层面的信息交换？IP层、传输层，还是应用层？为什么？\n这里给出的安全隔离与信息交换系统的总体架构图，已经表明了答案：必须是应用层交换。\n其本质原因在于：信息交换的层次越高，数据就越原始，其中隐藏的安全威胁就越少，相对来说就越安全。\n当然，即便是剥离了应用层协议，剩下的应用层数据中，仍然可能包含恶意代码（如基于邮件内容的计算机病毒、基于 Word 文档格式的宏病毒等）或机密信息。所以，通常还需要对应用层数据执行恶意代码检测和数据防泄漏检测。如果能将应用数据中有格式的内容进一步原始化，并进行语义检查，然后在两个网路之间只交换这种数据，则安全性更佳。\n下面给出了安全隔离与信息交换系统的系统架构图，包含了一个合格的网闸产品所应具备的所有功能模块，而且一个也不能少！\n综上，“安全隔离与信息交换产品”的最本质要求是：最强化的隔离 + 最小化的交换。正是这种要求，使得这种产品成为最难搞的产品之一。\n三、CDS 概念和澄清 我们看看美国人是怎么定义网闸类产品的。\nCDS（Cross Domain Solution，跨域解决方案）：是一种受控接口，提供在不同安全域之间手动和/或自动访问和/或传输信息的能力。简言之，是在两个安全域之间运行的受控接口。\n 受控接口（Controlled Interface）：具有一组机制的边界，这组机制强制执行安全策略并控制相互连接的信息系统之间的信息流。 安全域：在共同安全策略下运行的系统或多个系统。  从这张图，可以看出：CDS 和防火墙都是所谓的控制接口。只是单看前面的定义，真是看不出CDS 和防火墙之间有何区别。\n所以，我认为前面的 CDS 定义并没有准备反映 CDS 的特别之处。而国内很多人直接使用这个定义来界定 CDS ，自然就会把防火墙也框定到 CDS 的范畴中，产生了本系列第 3 篇末尾我提到的概念混乱问题。\n下图这张图可以解释地清楚这一点：\n如果还看不明白，美国人也直接给出了 CDS 与防火墙的对比：\n结合前一节中给出的物理隔离和逻辑隔离的概念对比，现在可以确信： CDS 就是指网闸类产品。\n四、CDS是方案而非产品 刚才提到美军的 CDS 就是国人常说的网闸。但是，并不仅仅如此，美国人用他们的严谨性证明了 CDS 是一种解决方案，而不仅仅只是个产品。\n简单地说，美军CDS并不是在功能上比我国网闸多些什么，而是说CDS根本就不和网闸在一个层面！他们早已跳出产品思维，而从解决方案的高度来看待跨域问题。\n为了更有力地支撑我的观点，我搬出国内两个标准：\n看出来没？旧标准中称为“隔离部件”，只是“部件”而已！连产品都算不上；2015年的新标准中总算改称为“隔离产品”了。\n即便如此，这距离人家提的“解决方案”还是有不小的差距啊！\n你不懂“解决方案”和“产品”的区别？好吧。让美国人用CDS教教你。\n产品最大的特点是功能；方案最大的特点是场景。\n美军首先一上来对场景进行了分类，定义了 CDS 的三种类别：\n 数据传输解决方案：这类方案将在不同安全域中运行的网络或信息系统进行互连，并在它们之间传输信息。 访问解决方案：这类方案通过单个工作站提供来自多个安全域的信息的同时可视化，而无需在各个域之间进行任何数据传输。 多级解决方案：这类方案存储和处理来自不同安全级别的不同安全域的信息，并允许基于用户许可和授权的访问和重新标记。  传输方案、访问方案、多级方案，分别对应下面左、中、右三张图：\n老美大概觉得理论高度还不够，又整出下图，彻底解释了所有物理隔离场景的不同之处。其中，左上象限是我国最擅长的物理隔离场景，其它三个场景分别对应于 CDS 中的传输、访问、多级场景。\n下面这张功能比较表就更牛了，我已经没法再做进一步解释了。\n语言文字表达了一堆，可能还是不如一张网络部署图效果更好。老美在下图中把访问型、传输型 CDS 的区别展示得淋漓尽致：\n老美进一步对访问型 CDS 和传输型 CDS 进行模型化。\n访问型CDS架构：\n 孤立域模型 周期处理模型 KVM切换模型 分区工作站模型  传输型CDS架构：\n 气隙 数据二极管 双向卫士  对于这些模型的具体含义，我就不解释了，大家望图生义吧：\n我相信你已经眼花缭乱了。其实每一张图都值得玩味~\n五、CDS 需要理论深度 上面简单讲了 CDS 的各种场景，一定程度上反映了广度。\n其实， CDS 可以毫不害羞地说：我也是很有内涵和深度的。\nCDS 确定了两种安全理论模型：**MILS（多独立级别安全）**和 MLS（多级安全）。其中，访问 CDS 和传输 CDS 都属于 MILS 体系结构；多级 CDS 属于 MLS 体系结构。\n MILS 体系架构  MILS 体系架构如下图所示：\n图中，步骤 1-6 展示了 MILS 体系结构中从发送进程（A）到接收进程（B）的消息路径。\nMILS 体系结构：是专门为 EAL 5-7 认证而设计的一个系统，是一种可验证、安全的体系结构，用于在同一个高保障系统上执行不同的安全级过程。\nguard（卫士）或 mediator（传递者）：是一个应用程序级消息过滤器，是MILS中间件安全组件的一个例子。\nMILS 体系结构提供两种类型的隔离：\n 进程隔离：MILS 执行严格控制不同安全级别进程之间通信的分离策略。例如，这样可以防止绝密进程与非机密进程通信。 内核隔离：MILS 将传统的内核级安全功能分离到外部模块化组件，这些组件足够小，可以使用形式化方法进行严格的评估。  分离内核（SK，separation kernel）：是 MILS 的基本组成部分。SK将进程及其资源分离到称为分区的独立执行空间中。除非 SK 明确允许，否则在不同分区中运行的进程既不能通信，也不能推断彼此的存在。SK 通过 MILS 消息路由（MMR）组件强制遵守信息流策略。\nMILS 消息路由（MMR，MILS message routing）：如果系统策略允许通信，则在不同分区中的应用程序之间路由通信。否则，MMR将不允许分区之间的通信。\nMILS 体系结构通过内置于内核中的机制以及中间件组件，来实施系统范围内的信息控制策略，这些组件创建应用程序之间的授权通信路径。\n卫士（guard）与MMR一起，强制执行详细的特定于协议的策略。MILS系统中支持的每个应用程序级协议都有一个卫士。如果卫士确定消息的内容不符合信息流策略，则卫士将通知MMR，MMR随后将禁止通信尝试或根据安全策略采取措施。\n MLS（多级安全）体系架构  MLS（多级）CDS：不同于 MILS 体系结构，它将所有数据存储在一个域中。它使用可信标签和集成的**强制访问控制（MAC）**模式，根据用户凭据和权限分析数据，以验证读取权限和权限。可将 MLS 视为包含访问和传输能力的一站式 CDS。\nMLS 优势：与其它 CDS 模型相比，多级（MLS）CDS 可以大大降低访问和操作数据所需的过程，从而带来显著的性能优势。因为可信数据标记和域的合并，消除了内容检查、过滤、净化操作的需要。同步和复制错误也会消除，因为所有客户端都可以访问同一服务器。\nMLS 基础： MLS 是基于**强制访问控制（MAC）**的。目前，两种被广泛使用的 MAC 强制访问控制安全模型是 BLP 模型和 Biba 模型。\n BLP 模型：不上读、不下写原则，以保证数据机密性。即不允许低安全等级的用户读取高安全等级的信息，不允许高敏感度的信息写入低敏感度的区域。禁止信息从高级别流向低级别。强制访问控制通过这种梯度的安全标签实现信息的单向流通。 Biba 模型：不下读、不上写原则，以保证数据完整性。在实际应用中主要是避免应用程序修改某些重要的系统程序或系统数据库。由于 BLP 模型存在不保护信息的完整性和可用性，不涉及访问控制等缺点，所以使用 Biba 模型作为一个补充。  BLP 模型和 Biba 模型的原理示意图如下所示：\n真正的强制访问控制操作系统并不多见。目前，**SELinux（增强Linux操作系统）和PitBull（美国通用动力公司操作系统）**是 Linux 内核唯一经过验证的强制访问控制系统。\n正因为 MLS 架构必须基于强制访问控制操作系统，而这样的操作系统又屈指可数，所以，MLS 的开发非常困难，而且成本高昂。\n而且，MLS 在获得资质认证之前必须进行严格的安全分析。即使有了可信计算基架构或参考监视器，也有太多东西需要评估。\n相比之下，MILS 体系结构的开发，将安全机制和关注点分离成可管理组件。这种分而治之的方法，以指数形式减少了安全系统的验证工作。从而避免了 MLS 系统认证的困难。\n六、CDS 服务化 美军一直有着非常强烈的安全服务化的思想，对于 CDS 也不例外。在 CDS 场景中， DISA 的 CDS 企业服务被称为 CDES（跨域企业服务）。\nCDES（Cross Domain Enterprise Service，跨域企业服务）：CDES 通过实施、部署和提供 CDS 技术的生命周期支持，为作战指挥、军种和机构提供支持，这些 CDS 技术在整个国防部提供安全互操作能力。\n任务：代表国防部各部门运行统一的 CDS ，开发强大的跨域部署能力。\n愿景：在一个安全、统一的企业环境中，促进不同安全域之间的数据传输，为 DoD 和其他政府机构客户提供企业、企业托管、特定于任务的跨域服务。\n作用：CDES 促进了点对点 CDS 的整合，并提供了可移动媒体和人工跨域传输的自动化替代方案，降低了国防部信息网络的总体风险。\n从下图中，我们还注意到：跨域访问过程的指标、警报、日志、流量收集等信息，都会收集并传送给国防部的态势感知系统中。这一点与本系列第二篇中描述的SSA（单一安全架构）与态势感知的关系是一致的。\n七、美军跨域政策 美国国防部出台了专门的 CDS 政策文件，洋洋洒洒近 60 页。虽然我们已经全文翻译，也只打算摘录两页：\n国防部政策：\n a.不同安全域之间的信息流将根据任务要求评估结果、执行和遵守安全要求，以及对相关风险的评估，被授权满足基本任务要求。 b.每个 CD 信息流的作战需求必须与所有受影响的 IS 和国防部的风险相平衡。风险水平将由国防部风险主管评估和衡量风险是否可接受。 c.必须通过**统一跨域服务管理办公室（UCDSMO）**管理的 CDS 基线列表中列出的 CDS ，满足国防部 CD 能力要求。当 CDS 基线列表中 CDS 不能满足任务的 CD 能力要求时，将根据本说明程序中对 CD 备选方案的分析，根据选择决定使用修改后的 CDS 基线列表 CDS 或新技术。 d.为满足现代化或新能力需求而提出的新 CD 技术，将由**安全控制评估员（SCA）**对功能和安全需求进行评估。 e.当现有企业 CD 服务提供商（ECDSP）的企业 CD 服务或企业托管 CDS 的使用满足国防部各部门的 CD 任务要求时，国防部将采用它们。仅当企业解决方案不能满足 CD 功能要求时，才将利用其他可操作 CDS ，部署 CDS 基线列表点对点 CDS 或开发新的 CD 技术作为替代解决方案。 f.以 CDS 为组件（如飞地）或 CDS 为单独 IS（如企业 CD 服务）的国防部 IS（信息系统），必须由授权官员（AO）授权运行。 g.国防部级别的风险决策，即使用 CDS 访问或传输不同互联安全域之间的信息，必须由指定的国防部风险主管根据本指令作为 CDS 授权（CDSA）作出。 h.所有 CDS 将部署和管理在 CD 互连的控制域上。CDS 将被单独授权作为 IS 或其部署所在 IS 中的 CDS 组件进行操作。 i.UCDSMO 管理的 CDS日落清单上的 CDS 或不在 CDS 基线清单上的遗留 CDS，必须在 AO 和国防部风险主管同意的时间内更换。操作不在 CDS 基线列表中的 CDS 需要一个例外许可。 j.如果发现 CDS 未经批准或不符合批准的安全配置，则需要立即通知国防部指挥链，以确定是否断开或停止使用 CDS 。 k.不同安全域之间传输的信息，必须按照国防部手册 5200.01 第 1 卷至第 4 卷正确标记、保护和传播。  国防部 CDS 连接流程图如下：\n而且，一张详尽的 CDS 运行环境场景表也是必填的：\n总之，美国国防部为 CDS 的认证、评估、实施、部署，配套设置了标准化的制度和流程，而且努力压缩评估周期，才使得 CDS 产品成为美军不同密级网络间联通的标准配置，而非“一事一议”。\n八、美国 CDS 产品 说了这么多，大家应该相信：美军在 CDS 方面是做到家了。但如果不展示一下老美的 CDS 产品，大家还是很难想象它的品类有多么丰富。我就挑选几个吧：\n 通用动力公司（General Dynamics ）多级安全产品  通用动力公司有非常完整的 CDS 产品线，包括传输、访问、多级 CDS 产品。如下图所示：\n最有特色的是 TNE（可信网络环境），它是经过 UCDMO（国防部跨域办公室）认证的唯一 MLS（多级安全）桌面企业解决方案。TNE 多级安全产品线包括：\n MLS 文件服务器：在中央系统上分离和存储多个级别的文件； MLS 邮件代理（客户端）：“一个窗口”查看所有电子邮件。从多个来源，分离和管理多个级别的电子邮件； MLS Web 服务器：通过 Web 浏览器提供对多级信息的 Web 访问； MLS 数据库服务器：单个数据库中的多级信息仓库。在数据库中分离和存储多个级别的信息； 审计服务器：收集受信任网络中的审计文件以进行集中审计。与 Splunk 等行业工具互操作。 TNE 桌面（厚）：提供标准的 TNE 功能和可移动媒体功能； TNE 桌面（瘦）：以最小的占地面积提供标准的 TNE 功能； 受控接口：提供连接到受信任网络的单级网络的 CDS 连接；  从 TNE 资源管理器的截图界面中，可以看出，资源管理器已经内置了密级标识，并且用各种颜色标识。很明显，红色都是高密级的对象。\n可惜，到现在，我都没亲眼见过这种资源管理器。切记，这是非常罕见的多级安全产品。\n前面已经提到过的强制访问控制操作系统 Pitbull 可信操作系统，也是通用动力公司的杰作。正是 Pitbull 为其多级安全（MLS）产品提供了实现基础。\n通用动力的 **TVE（可信虚拟环境）**产品，如下图所示，属于访问型 CDS，可以在单台计算机上，同时查看多个安全级别。TVE 使用 VMware 虚拟化技术，在一台计算机中创建虚拟机（VM）。每个虚拟机可以在共享计算机和监视器上的单独窗口中运行不同的操作系统和安全级别。这些窗口可以单独或同时查看。这个很像我们常用的 VMware 虚拟机，不过它已经通过国防部和情报界认证，并被列入国防部跨域办公室的 CDS 基线列表。它的安全性是有足够保障的，不像我们常用的虚拟机轻而易举就可以在不同虚拟机之间传递文件。\n通用动力的多级桌面就更厉害了，如下图所示，打开的不再是一个个的虚拟机，而是直接在每个应用程序窗口栏上显示密级颜色，应用程序之间可以实现了应用隔离。这种能力也是建立在 Pitbull 可信操作系统之上的。普通操作系统无法实现。\n OWL 公司单向传输产品  OWL 是美国数据二极管网络安全解决方案的市场领导者。它的所有产品都是基于数据二极管的单向传输原理。\n其传输型产品也很丰富：\n比如 OCDS-ST06 全动态视频传输解决方案，可以使用非涉密环境中的波音无人机，远程收集流媒体视频信息，再单向传输给涉密地面站。实现战场环境侦察。\n最有特色的是它的小型化跨域解决方案（MCDS），号称是“硬币大小”的解决方案， 应该是市场上最便携的 CDS 。它也可以实现从非密网连接到机密网，由于非常便携，非常适合徒步士兵、嵌入式车辆计算机或任何其他需要考虑尺寸和重量的环境，可满足高度机动、战术任务的要求。\n2018 年，OWL 还推出了基于云的“云到云”高速跨域解决方案。可以将大量数据从一个云快速移动到另一个具有不同安全等级的云，最大能满足 25 Gbps 的吞吐率。\n为了保证安全性，这种云跨域解决方案，需要 3 种管理员（系统管理员 + 清单管理员 + 流量管理员）共同完成。而且，全程只有文件清单会落盘，所传输的文件都不会落盘。\n Oracle 多域数据库  Oracle 多域数据库是第一个也是唯一一个经过认证的多域数据库。千万不要小看它，全世界独此一家！\n 空军研究实验室 SecureView（安全视图）  SecureView 是空军开发的访问型 CDS 产品，使用单台计算机承载在不同分类级别上运行的多个来宾虚拟机（VM）。其架构如图所示：\n其操作界面和键盘如下图所示：最有趣的是彩色键盘，可以自动识别当前操作焦点的安全级别，并显示对应颜色，以提醒操作人员。\n每个物理网络接口都有一个专用的网络驱动服务虚拟机（Network Driver VM），专门管理该接口的流量。客户虚拟机可以配置为使用单个或多个VPN服务虚拟机，以便在单套或双套配置中以加密方式将数据与其他域分离。\n下图是在高安全级网络（黄色）上，建立低安全级网络（红色）连接。只需要使用单套配置（即单层加密隧道）。\n下图则是在低安全级网络（绿色）上，建立高安全级网络（红色）连接。必须需要使用双套配置（即双层加密隧道）。\n九、美军下一代CDS 即便做了这么多，美军仍然不满足现状。他们对安全的追求，看来是无止境的。\n2019 年， DARPA 提出了下一代 CDS 计划 —— **GAPS（物理安全保证体系结构）**项目。将专门开发硬件和软件体系结构，并提供物理上可证明的保证，以隔离高风险事务，并使系统具有多级数据安全断言。\nGAPS 计划通过改变体系结构来保证数据安全。以前的 ERI 体系结构探索主要关注性能，而 GAPS 体系结构将从设计开始就考虑完全。\nGAPS 项目目标是开发具有可证明安全接口的硬件安全和软件体系结构，以物理隔离高风险事务。 GAPS 将创建安全的硬件和软件协同设计工具，在系统设计和系统构建期间物理隔离高风险事务，并跟踪这些在运行时物理强制执行的保护。如果用户想要对敏感数据进行计算，唯一真正的保证就是物理地跟踪数据的位置并保护所有高风险事务。\n如果 GAPS 研究成功，安全地启用这些高风险事务的障碍将大大降低，从而允许：\n a）将二极管内置到协议本身中的快速计算机到计算机事务； b）空间隔离减少了对不可靠的软件分区解决方案（如虚拟机监控程序）的需要； c）更复杂的任务，而不会将敏感数据置于风险之中。  GAPS 项目的招标价格为 5440 万美元。计划分为三个技术领域（TA），共分为三个 18 个月的阶段组成。进度安排如下：\n十、总结和预告 CDS 的实现是很困难的，主要有几个原因：\n CDS 是高价值目标； CDS 所需的隔离特性和高度保障，在主流的商用现货供应商产品中并不常见； 它需要一套跨多工程学科的专业技能； 它打开了高风险通信流，这在以前是不可用的； 由于存在域连接风险，在策略上会创建额外的步骤、施加限制并增加要求； 可用技术有限：市场不足以大到满足 COTS 的需求； 多级安全（MLS）依赖于具有强制访问控制的操作系统； 特殊要求、限制政策、可信技术、独特威胁、跨域连接的高风险，需要非凡的知识、技能，并将焦点放在 CDS 工程和测试界。  CDS启示：\n 美军 CDS 在概念的澄清/区分，场景的设计/分类，商业化的推进/鼓励，政策的推动/标准化等方面，都是值得我们借鉴的。 其中，最重要的是跨域政策的推动和跨域制度的标准化。如果没有标准化的跨域审批流程，仍然停留在“一事一议”的初级阶段，即便我们有再好再成熟的技术，也只能裹足不前。  对于 CDS 的介绍，就此打住吧。\n至于下一次的议题，请等待下次揭晓~\n","date":1564559817,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564559817,"objectID":"0cb17b87e0424ca0ad661c08f6494597","permalink":"https://sbilly.github.io/post/dod-network-security-part-4-corss-domain-solution/","publishdate":"2019-07-31T15:56:57+08:00","relpermalink":"/post/dod-network-security-part-4-corss-domain-solution/","section":"post","summary":"这一篇（也就是第四篇），将介绍 SSA 中关于跨域连接的解决方案 —— CDS（跨域解决方案）","tags":["美军","DoD","JIE","Cybersecurity","Joint Information Environment","CDS","Cross Domain Solution"],"title":"【转】美军网络安全 | 第 4 篇：跨域解决方案（ CDS ）","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文：https://mp.weixin.qq.com/s/WHBz9k3zInoGn6v-kv2-Kw\n一、前期回顾 “美军网络安全”系列第一篇（美军网络安全 | 开篇： JIE （联合信息环境）概述）介绍了美军 JIE （联合信息环境）的总体情况。其主要目标是实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息，以满足联合作战的需求。\nJIE 的 9 大关键领域如下（通过合并 JIE 的 6 项关键能力和 8 个现代化领域）：1）网络现代化（网络规范化）；2）网络安全体系架构（单一安全架构-SSA/CCA）；3）身份和访问管理（IdAM）；4）企业运营；5）企业服务；6）云计算；7）数据中心整合；8）任务伙伴环境（MPE）；9）移动性。\n本系列第二篇（美军网络安全 | 第 2 篇：JIE 网络安全架构 SSA （单一安全架构））介绍了其中第 2 项：网络安全体系架构，即单一安全架构（SSA/CCA），主要是从安全思想和理念层面描述。\n这一篇（即第 3 篇），将从更落地的层面，继续介绍网络安全体系架构的落地架构 JRSS （联合区域安全栈）。\n二、JRSS（联合区域安全栈）背景 上一篇介绍过的 SSA （单一安全框架）是一个整合网络防御的安全集成框架，其设计目标是在需要执行网络防御作战的任何时间段内实现 JIE 网络的积极防御。SSA 通过缩减网络攻击面，集成独特的部由算法，优化网络响应时间和同步复杂度，使得需要部署安全设备的数目大大降低，实现最大化作战效率。\nJRSS （联合区域安全栈）是 SSA 的重要组成部分和贯彻实施形式，也是美军国防部网络和安全能力现代化的重要支撑手段。\n为了切实贯彻和推进 SSA 的实施，美陆军在整合升级网络、加强网络防御的同时首先开发了 JRSS。作为陆军网络现代化工作的一部分，JRSS 将解决各军种网络安全框架间的差别问题，为美军国防部网络安全建立标准统一的网络安全框架支撑设施，未来将作为美军国防部网络的中枢神经点，连接数百万的用户，确保通用安全能力的输出，实现全军网络间的透明化，快速应对新兴网络威胁。\n三、JRSS 概念和思路 JRSS 概念：JRSS 由一系列相辅相成的安全站点、设备和机制构成。JRSS是一套执行防火墙功能、入侵检测和防御、企业管理、虚拟路由和转发（VRF）并提供大量网络安全功能的设备。\nJRSS 理论依据：攻击面控制是 JRSS 的理论基础，JRSS 的目标在很大程度上是为了响应SSA中“缩减攻击面”的要求。\n区域化思路：在 SSA 规范下，美军将全球基地划分为若干个区域，每个区域对应一个 JRSS。\n本地架构 -\u0026gt; 区域架构：通过部署 JRSS ，网络的安全性被集中到区域架构中，而不是每个军事基地、哨所、营地或站点的本地分布式架构中。\n本地堆栈 -\u0026gt; 区域堆栈：DISA 正在将陆军现有的全球边界安全基础设施，从数百个本地安全堆栈集中到一个 JRSS 结构中。空军已经开始使用 JRSS 结构来保护其基础设施，海军正计划迁移其例外网络，作为使用 JRSS 保护其基础设施的第一步。\n四、何谓“安全栈” JRSS 旨在将网络安全集中化和标准化到区域架构中，而非每个军事基地、哨所、营地或工作站的不同成熟度和生命周期的不同阶段的非标准化架构。\n何谓“栈”（Stack）：因为 JRSS 贯彻了层次化的安全防护思想，如同 OSI 或 TCP/IP 协议栈划分为若干功能层次。安全栈在通信的每个层次都描述了安全的控制点和需要进行的工作，以此对安全手段进行清晰的分类和精细化设计，如下图所示。JRSS 功能覆盖了 TCP/IP 的多个安全栈层次，能够在数据链路层、网络层、传输层和应用层并行开展实施。\n攻击面控制是 JRSS 的理论基础，JRSS 的构建目标在很大程度上是为了响应 SSA 中“缩减攻击面”的要求。\n五、JRSS 构成 每一个 JRSS 站点都包括支撑防火墙、入侵检测和防护、虚拟路由和转发、大数据分析处理和其它安全能力（如审计）等功能的软硬件设备。\n从整体上看， JRSS 分为两类能力：栈能力 + 管理能力。\n JRSS设备架  每个 JRSS 都包括设备架（racks of equipment），允许国防部各部门获取、处理和分析大量网络数据。JRSS 设备架的物理形态如下图所示：\n 联合管理系统（JMS）  JMS 是 JRSS 的关键组成部分，是 JRSS 的管理上级。它为国防部信息网络（DoDIN）运营所需的网络安全服务提供了集中管理。\nJMS 提供对网络传输和相关安全系统的可见性和控制。它能够监控和分析相关的故障和性能数据，以确定对当前运行和趋势分析的影响。这种集中化能力，允许对关键网络传输资产的策略、过程和配置进行标准化。\nJMS 功能架构如下：\n JRSS 套件  JRSS 有非常明确的“套餐”思维。 JRSS 基本能力套件如下：\n 部级安全套件； 基地级安全套件； 管理和分析套件。   非密版和涉密版  当然，与上一篇所述 SSA 分为 NIPRNET 和 SIPRNET 版本一致， JRSS 肯定也是区分为 NIPRNET 非密版和 SIPRNET 涉密版的，如下图所示：\n为何 SIPRNET-JRSS 比 NIPRNET-JRSS “轻”很多？请自行思考。提示：这与 SIPRNET 和 NIPRNET 的网络基础设施和安全基础条件有关。\n JRSS 版本演进  这张图反映了截止 2016 年的版本演进情况，而且只是 NIPRNET JRSS。实际上，期间还演进出 SIPRNET JRSS。\n  JRSS 部署\n  部署数量和位置\n JRSS 部署数量：美军将全球基地划分为若干个区域，每个区域对应一个 JRSS 。利用 JRSS，美军国防部预计减少现有的 1000多 个网络访问接口，替换为全球 50 个地点的 JRSS 站点。 JRSS 部署位置：JRSS 部署在 DoD MPLS 网络的边缘处，包括 B/P/C/S 前哨站、DISA DECC（企业防御计算中心）以及 CDC（核心数据中心）等子网的接入处，对所有进出的流量进行检测和控制，以达到预设的安全目标。 区域化配置管理：JRSS 采用集中式的安全配置管理和标准化的安全工具、策略和行为，来取代之前各军种在基地、前沿阵地、指挥所等地实施的分散式配置管理和非标准化做法，从顶层角度统一负责各自区域内各军种的网络安全事务。 防失效部署模式：为防止因网络攻击或故障导致的失效，美军初期建立的部分 JRSS 节点之间进行了防失效的部署模式，如美国中西部的 St.Louis 和东北部的 Meade 节点即互为备份。  一图胜千言，下图表明了 JRSS 的部署位置，不仅有在 JIE 中的逻辑位置，还有在真实世界中的物理位置。其中，以世界地图为背景的蓝色圆点，就是一个个 JRSS 接入点。请大家自行数数共有多少个。\n毫无疑问，此图的重要性与之前的 JIE 架构图有一拼。\n JRSS 套件的逻辑部署  下图展示了企业级 JRSS 和基地级 JRSS 套件的部署逻辑：\n其中，带箭头的虚线表示流入 JMS 中的镜像流量。\n JRSS 部署计划  下图的信息量也比较大：\n它反映了自 2014 财年开始实施 JRSS 直到最终目标实现的效果：\n    一方面增加 DoD 设施连接：从 0 个站点，到 400 多个站点；\n  另一方面减小攻击面：从 1000 多个松散的接入点，到 50 个牢固的接入点；\n  试想：还有什么比“既增加网络连接性，又减小网络攻击面”更好的结果呢！\n七、JRSS 与 CSAAC（网络态势感知与分析能力） 从外延上讲，JRSS 包含了 CSAAC 。或者，可以更简单地概括为：\nJRSS 价值主张 = 标准化安全架构 + 网络态势感知。\n上图突出显示了 JRSS 和 CSAAC。\nJRSS 主要负责：\n 筛查所有进出国防部设施的网络流量； 控制流量、传感器以识别和阻止未经授权的流量； 隔离网络入侵；  CSAAC 主要负责：\n 网络威胁签名监视列表； 筛查网络事务； 事故和事件监控； 任务影响分析；  八、JRSS 预算 美军的预算已经说明一切：JRSS 预算在 2018、2019、2020 财年分别为 455 万、795 万、 1800 万美元。\n2020 财年预算之所以突然增高，是因为下一代 JRSS 的架构、试点和测试。 下一代 JRSS 是什么样子？还需进一步跟踪。\n九、JRSS 启示 JRSS 是美军推进网络现代化和安全防护能力现代化的重要举措，体现了将攻击面理论与信息安全实践、网络效率提升相融合的思想。\n从防御体系和关键技术的角度审视，JRSS 并无太大新意。但其实质上基于安全实用化思想，以打造“管用、好用”的安全能力为目标，有机结合通信、安全、管理领域的相关技术，在统一安全框架的指导下能够推进安全能力的深化发展。\n 整合至统一安全架构。在信息系统持续集成和整合的大背景下，JRSS 逐步实现各军兵种现存信息安全体系结构的整合统一，能够解决在实施任务保障时存在的机构重叠、职责不清等问题，消除安全系统烟囱和网络安全边界，在降低成本的同时提高效率。 防护重点向边缘推移。JIE 网络规划的突出特点是实现通用数据路由转发功能的简洁、高效的网络中枢，而将具体用户、高层网络应用服务放置在网络边缘，便于异构网络的接入与新业务的部署，保证网络良好的扩展性。与其对应， JRSS 网络安全防护事实上的控制重点也因此不断向边缘、向“端系统”推移，在最靠近安全威胁的地点强化控制，提升安全统管与自治水平。 缩减攻击面，加大安全资源密度。聚焦 JRSS 站点在网络边界部署的地缘特性，将有限的安全力量集中至主要的网络出入口，通过安全设备间的智能、软件定义化互联，提高检测的覆盖率和资源效费比，以简洁、高效、易扩展的方式实现军兵种的业务互联和安全交换。 集中态势认知、决策和响应。通过汇聚 DoD 网络的分布式数据，将安全事件的整编分析、安全策略的生成与下发，都依托提供“统一服务”的业务云 CDC 进行，强调集中式安全态势感知、分析和策略生成的作用，并通过JMS进行管理和响应，从认知全局安全态势的顶层角度执行安全管理运维逻辑，提升安全手段组织和协调效能。  十、总结和预告 本篇主要介绍了美 JIE 环境之统一安全架构 SSA/CCA 思想的关键落地实现架构 JRSS。\n关于 JRSS，已经研究的并不止于此，而且仍会持续跟踪。但本系列对 SSA/JRSS 的介绍，打算就此打住。\n我发现，在最近的一些重大项目中，对于跨域防护问题多有提及，但是对跨域概念的描述却有所混淆。这个问题正好契合了我们早先对**美军 CDS（跨域解决方案）**的研究工作。\n国内方面，CDS 发展曾经长期停滞不前。美军方面，却在持续推进中。他们关于 CDS 概念的澄清/区分，场景的设计/分类，商业化的推进/鼓励，政策的推动/标准化，都是值得我们学习和反思的。\n而且，CDS 在 JIE 框架中也占据了举足轻重的地位：如果没有 CDS ，不同密级的网络就不可能联通，又怎么能实现美军三个任意的目标呢？！\n你在上图中找到了 CDS 吗？\n","date":1564555185,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564555185,"objectID":"8b528dcf8998b953596391b692c24190","permalink":"https://sbilly.github.io/post/dod-network-security-part-3-joint-information-enviroment-joint-region-security-stack/","publishdate":"2019-07-31T14:39:45+08:00","relpermalink":"/post/dod-network-security-part-3-joint-information-enviroment-joint-region-security-stack/","section":"post","summary":"这一篇（即第 3 篇），将从更落地的层面，继续介绍网络安全体系架构的落地架构 **JRSS （联合区域安全栈）**","tags":["美军","DoD","JIE","Cybersecurity","Joint Information Environment","JRSS","Joint Region Security Stack"],"title":"【转】美军网络安全 | 第 3 篇：JIE 联合区域安全栈 JRSS","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文：https://mp.weixin.qq.com/s/GVcNs7avdB5hEk-ZI7Aq2Q\n一、上期回顾 公众号的上一篇（美军网络安全 | 开篇：JIE（联合信息环境）概述）介绍了美军 JIE （联合信息环境）的总体情况。其主要目标是实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息，以满足联合作战的需求。\n同时，提到了 JIE 为国防部构建的 6 项关键能力： SSA （单一安全架构）、网络规范化、 IAM （身份与访问管理）、企业服务、云计算、数据中心整合。还提到了 JIE 的 8 个现代化领域：网络现代化、网络安全体系结构、企业运营、计算与存储、企业服务、任务伙伴环境（MPE）、身份和访问管理（IdAM）、移动性。\n这一篇，就谈 6 项关键能力的第 1 项和 8 个现代化领域的第 2 项 —— JIE 网络安全架构 SSA （单一安全架构）。\n注意：SSA（单一安全架构） 在最新的文件中可能被称为 CCA （一致网络安全架构）。\n二、国防部网络安全准则 根据美国防部 2016 年发布的《国防部网络安全准则实施计划》列出了朴实得不能再朴实的基本安全准则：\n 努力方向 1 ：强身份验证：降低对手在国防部信息网络上的机动能力。美国防部将执行更为严格的访问要求并降低网络的匿名性。 努力方向 2 ：设备加固：减少进入国防部信息网络的内部和外部攻击向量。确保设备正确配置和软件补丁为最新,该项工作还包括禁用电子邮件中的活动链接。 努力方向 3 ：减少攻击面：减少进入国防部信息网络的外部攻击载体。指挥官和监察人员必须确保只有经过授权的设备可以访问网络、与国防部网络建立信任。此外,减少被攻击面也是 JIE （联合信息环境）的目标之一。 JIE 使用**联合区域安全堆栈（JRSS）**减少安全区域的数量，从 1000 多个网络访同点减少到 50 个。 努力方向 4：与网络安全/计算机网络防御服务提供商保持一致：提高对敌方活动的探测和响应能力。监控网络外围，推动网络事件报告方式的标准化，将提高对网络事件的快速检测和快速反应。  从第 3 个努力方向可以看出：减少攻击面是其关键原则之一。而 SSA 正是贯彻这一安全原则的产物。\n三、设计SSA的背景原因 美国防部设计 SSA 的根本原因是 GIG 存在问题。\n GIG 初衷：  GIG 是美军在提出 JIE 之前构建实施的巨大而复杂的通信与服务系统，其网络基础结构由不同的分布式服务单元组成，旨在将美国国防部的所有的信息系统、服务及应用，集成为一个无缝隙的、可靠的和安全的网络。\n GIG 结果：  但是随着 GIG 演进工作的不断推进，原有的设计逐步暴露出构建成本高昂、互联能力有限、新技术采用缓慢、事件响应灵活性差等问题，美军构想的信息共享、基础设施建设、系统和服务采办模式、联合训练、通信保障及作战支持等能力并未达到预期目标。\n GIG 问题披露：  2012 年，美国网络司令部司令兼国家安全局局长，亚历山大将军，接受联邦新闻电台采访时说：“对于现在的 DoD 体系结构，我认为保护它们真的是非常困难。我们有 15000 个飞地，每个都是单独管理的。其结果是，每一个都要被修补，像一个独立的采邑一样运行。负责保护它们的人看不到防火墙以外的东西。基于主机的安全系统有所帮助，但实事求是的讲，态势感知是不存在的。”\n2014 年，美军在《陆军网络安全企业参考架构 2.0》中提出，当前网络安全防护手段存在以下缺点：\n 各军兵种的网络包含重复、冗余的网络安全控制手段，同一数据在到达接收方路径中会被检查多次，造成效率低下、时延增加； 美海军提出的 CND 2.0（计算机网络防御体系）在实践中被认为没有达到预期效果，功能不完备； 安全策略的非标准化情况严重，有时甚至造成冲突，导致安全能力降级； 当前的网络攻击暴露面是无法管理的； 许多 P/C/S （美军不同级别的前线阵地）用户需要同时维护不同网络的多种边界安全防护设备； 缺乏面向最终用户和设备的态势感知和事件响应能力。   原因分析：  在 GIG 所代表的传统信息框架下，各军种具备自行设计网络、开展网络防御的决定权。\n尽管美军国防部在各军种、军事机构中推动和实施了多个网络安全战略性项目，但 GIG 各组成单元间相互脱节的网络安全策略和保护措施多样化的实现途径，导致网络安全本质上的整体保障能力存在巨大风险。\n四、SSA 的背后思想 SSA 的设计思想是减少网络攻击面暴露。\n由于多种非标准化安全实现带来大量的 DoD 网络攻击面暴露，所以 SSA 的基本思想是标准化安全实现，以减小网络攻击面。从 SSA 的名称“单一安全体系结构”也可以领会到这一点。\n五、SSA 定义\u0026amp;定位  SSA 定义：  JIE SSA 是一个联合的国防部安全架构，为美军国防部所有军事机构的计算机和网络防御，提供通用方法：\n 使用标准化的安全防护功能集/套件，在最佳位置开展防御； 移除冗余的不必要的信息保障手段，以提高效能； 通过集中式计算机网络防御数据库，控制用户数据流动，并向 B/P/C/S 提供全局态势感知； 在服务器、用户资产与骨干网分离时，保护网络飞地； 在 JIE 指定的美军国防部 **EOC （企业操作中心）**中，提供用于监视和控制所有安全手段的工具集。   SSA 定位：  SSA 的提出体现了美军为扭转安全防护的不利态势，而在 JIE 中做出的不懈努力。\nSSA 在 JIE 中定位：SSA 对应于 JIE 关键目标中的“建立整体的企业化安全架构，以确保优化的和同步化的网络、项目和企业化服务、以及联合和联盟作战行动”这一要求。\nSSA 与 JRSS 关系： JRSS 是 SSA 的重要组成部分和贯彻实施形式。\nSSA 的主要原理：降低所需的信息技术设备总量、实现配置标准化，建立企业级的安全共享协议和简化数据路由等。\n SSA 目的：  SSA 目的：打破军兵种间分割和安全防御的各自为战，整合成一个安全集成框架；\n 将最佳的 CC/S/A（作战司令部/军种/机构）的信息保障能力和实践，应用于JIE安全体系结构。 用户在 SSA 支撑下，能够连接以前从未访问过的外部网络，从而获得更灵活的战术优势。 SSA 通过规整网络安全边界，减少外部攻击面、管理标准化和操作、技术控制，确保在所有任务背景下美军国防部信息资产的保密性、完整性、可用性，同时能够促进快速攻击侦察、诊断、控制、响应能力的实现。 试图解决在实施任务保障时存在的机构重叠、职责不清等问题，消除系统烟囱和网络安全边界，减少暴露于外部的攻击面，实现参战单元的信息互通及快速、安全的数据共享，推进安全机制和协议规范的复用，降低已有系统改造和集成的耗费，从而使得信息基础设施管理员们更方便地监控和发现潜在安全威胁，并更迅速地应对。  五、SSA方案和能力分解  SSA 方案  美国防部网络区分为 NIPRNet（非密网）和 SIPRNet（涉密网），对应的 SSA 方案有所不同。\nNIPRNet 的 SSA 方案如下图：\nSIPRNet 的 SSA 方案如下图：\n留个作业：请自行对比上面两张图的区别。\n看到这两张图，应该会很自然地联想到上一篇的 JIE 整体框架图：\n现在，兑现上期的承诺：给出JIE整体框架的汉化版：\n实际上，图中所有深红色标记的安全能力都属于SSA的覆盖范畴，当然标记为SSA和JRSS的那些模块最为直接。\n SSA 能力分解  对应地，两种网络中 SSA 的能力也有所不同。\nNIPRNet 的 SSA 能力如下图：\nSIPRNet 的 SSA 能力如下图：\n可以看出， SSA 覆盖的安全能力包括：国防部企业边界保护、端点安全、移动端点安全、数据中心安全、网络安全态势感知分析能力、身份和访问管理。可谓面面俱到。\n六、总结和预告 这一篇主要介绍了美 JIE 环境的整体安全架构思想 SSA 。\n关注于落地实现细节的童鞋，可能会有很多疑问。\n是的。SSA 更多的是一种安全思想，而其落地实现则会分解到更多的安全能力模块中，比如JRSS（联合区域安全栈）就是SSA的核心实现之一。\n若想进一步了解SSA实现细节，且等下回分解。\n注意是“且等”，感兴趣却没有耐心的童鞋，还请自行分析研究，欢迎交流沟通。\n","date":1564545662,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564545662,"objectID":"58cb471976c9b94e6ba9332d50842201","permalink":"https://sbilly.github.io/post/dod-network-security-part-2-joint-information-enviroment-network-security-architecture-ssa/","publishdate":"2019-07-31T12:01:02+08:00","relpermalink":"/post/dod-network-security-part-2-joint-information-enviroment-network-security-architecture-ssa/","section":"post","summary":"JIE 为国防部构建的 6 项关键能力： SSA （单一安全架构）、网络规范化、 IAM （身份与访问管理）、企业服务、云计算、数据中心整合。还提到了 JIE 的 8 个现代化领域：网络现代化、网络安全体系结构、企业运营、计算与存储、企业服务、任务伙伴环境（MPE）、身份和访问管理（IdAM）、移动性。这一篇，就谈 6 项关键能力的第 1 项和 8 个现代化领域的第 2 项 —— JIE 网络安全架构 SSA （单一安全架构）。","tags":["美军","DoD","JIE","Cybersecurity","Joint Information Environment","SSA","Security Architecture"],"title":"【转】美军网络安全 | 第 2 篇：JIE 网络安全架构 SSA（单一安全架构）","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文：https://mp.weixin.qq.com/s/9VK8KFKF_ikSL2NBS8H3Mg\n按语：久等了。我打算同步编写两个系列：一是“美军网络安全”系列；二是“安全自动化”系列。这是“美军网络安全”系列的第一篇。\n一、为何研究美军网络安全技术？ 美军技术是美国技术的先导； 美国技术是世界技术的先导。\n二、做网络安全，不能缺乏对网络的理解。 从美军网络安全防护领导机构说起：\n在 2010 年之前，由 DISA（美国国防信息系统局）局长负责指挥网络防御作战已有十余年的历史。\n然而，在 2010 年，DISA 的网络安全防护职能移交给了新成立的美军网络司令部。\n但是，在 2015 年，DISA 局长兼任国防部信息网络联合部队司令部（JFHQ-DoDIN）司令，负责防御性网络空间作战，标志着 DISA 加入作战指挥序列，再次统领美军的网络安全防护。\n美军的网络安全防护为什么重新由 DISA 统领？根本原因是网络安全防护必须以对网络的深刻理解为基础。 DISA 长期负责 DoDIN 的建设和运维，从设计理念到运维细节， DISA 是美军最清楚国防部信息网络（DoDIN）的部门。 2016 年 5 月，美军网络司令部作战部部长承认，在美军网络司令部组建网络安全防护力量的过程中，一个重要教训是：缺乏对网络的理解。\n三、美国有哪几个网络值得学习？ 美国政府目前主要有 3 种网络模型作为参考：\n 国防部联合信息环境（JIE）：该网络旨在建立标准化的服务和管制措施，将更多数据控制在受保护的环境中，并利用49个联合区域安全栈（JRSS）限制与公共网络的连接。联合区域安全栈（JRSS）扮演了国防网络与全球互联网之间网关的角色。 情报界信息技术企业（IC ITE）：该网络耗资数十亿美元，包括建立共用传输和安全层，实现情报界 IT 服务的协调一致和标准化； 国土安全部 OneNet：它是一种集中式的虚拟网络结构，将国土安全部下属的 7 大主要部门和 15 个子部门连接在一起。  从普适性、可参考性、研究资料的可获取性等角度综合考虑，我们将联合信息环境（JIE）作为首要研究对象。\n四、JIE（联合信息环境）概述  JIE 的预期效果：   JIE（联合信息环境）概念 \u0026amp; 意义：  联合信息环境（JIE， Joint Information Environment）：是一个单一、联合、安全、可靠和敏捷的指挥、控制、通信和计算企业信息环境。\n美军目标： JIE 将包含所有国防部网络，在 2020 年前，利用 JIE 使所有军种实现互联互通，以安全、高效的方式为作战人员提供所需的信息服务，实现“三个任意”的愿景——美军作战人员能够基于任意设备、在任意时间、在全球范围的任意地方获取所需信息，以满足联合作战的需求。\n主要目的：通过减少基础设施和人员配置来提高运营效率，增强网络安全性，节省资金。\n重要意义：从 GIG（全球信息栅格）到 JIE，意味着美军基础设施的建设模式从部门间相互协同转变为真正的一体化，美军从**“以网络为中心”**转变为**“以数据为中心”**。\n主要特点：数据统一（核心数据中心集），网络统一（一个网络），系统统一（全面标准化）。\n关键优势：将军事网络延伸到战术前沿。\nJIE 为整个国防部构建的关键能力：\n SSA（单一安全架构）； 网络规范化：提供一个安全、可靠、无缝连接作战人员的单一、受保护的信息环境； IAM（身份与访问管理）：优化的全局身份、认证、访问控制和目录服务，是满足作战人员对便携式身份的需求以及在组织间共享联系信息的能力的核心； 企业服务：是像电子邮件的服务，以通用方式在整个部门中提供，由作为企业服务提供者的单个组织提供； 云计算：国防部向云计算的迁移带来了挑战； 数据中心整合：国防部将继续通过关闭和整合整个国防部的数据中心来整合计算能力，同时确定现有的数据中心将转变为 JIE 核心数据中心（CDC）。  五、JIE（联合信息环境）整体框架   JIE 整体框架： （本系列下一篇将展示汉化版）\n  JIE现代化领域：\n 网络现代化  光载波升级 多协议标签交换（MPLS）   网络安全体系结构  联合区域安全栈（JRSS） 联合管理系统（JMS） 边界、网络、数据、端点安全   企业运营  JIE 管理网络（JMN） 网络指挥控制（C2）   计算与存储  数据中心整合 云   企业服务  国防企业电子邮件 协作能力 通用应用   任务伙伴环境（MPE）  联盟信息共享 MPE信息系统（MPE-IS）   身份和访问管理（IdAM）  动态访问和实体发现 活动监控   移动性  国防移动非涉密能力 国防移动涉密能力      JIE 研究思路：\n  系统性方法：根据JIE整体架构图，结合JIE现代化领域，遵循与网络安全的相关性，挑选重点领域，逐一开展研究。\n","date":1564542170,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564542170,"objectID":"56213fa54653ac37fc4c70bf76dd826b","permalink":"https://sbilly.github.io/post/dod-network-security-part-1-the-summary-of-joint-information-enviroment/","publishdate":"2019-07-31T11:02:50+08:00","relpermalink":"/post/dod-network-security-part-1-the-summary-of-joint-information-enviroment/","section":"post","summary":"美军信息网络是世界上最复杂的国家级网络之一，随着美军战略调整始终保持动态演进的态势，平均每5年就会抛出新的网络概念、新的网络架构和新的网络建设计划，其安全体系设计也不断变化，这里主要梳理美军网络整体概况和发展进程，重点关注其网络隔离与跨域融合的安全保障措施。","tags":["美军","DoD","JIE","Cybersecurity","Joint Information Environment","Security Architecture"],"title":"【转】美军网络安全 | 开篇：JIE（联合信息环境）概述","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文：http://mp.weixin.qq.com/s/kpDKsoV3n1A9l6yfoYqM9g\n军事信息网络的特殊安全需求 军事指挥网络不同于普通信息网络，其核心任务是保障军队指挥链常时畅通、持续有效，确保指挥命令、指挥要素、指挥活动得以依托网络快速展开，在指挥链路的全时贯通、指控信息的全时受控、指挥系统的连续运行、指挥体系的安全可靠等方面有着很高的要求，导致其网络安全防护体系设计有其特殊性。现阶段主要采取传统安全保护技术手段，对军事指挥网络进行防护，并不能很好地满足指挥信息体系安全需求。其特殊性主要体现在以下 3 个方面：\n**一是安全防御以可靠性作为首要目标。**在信息网络的安全保护中，主要关注的是对网络中业务数据的安全防护，着重保证数据的私密性、完整性与不可抵赖性。而在军事指挥网络中，网络的可用性是需要率先保障的，且其需要连续运行的特性决定了网络生命周期很长，指挥业务要求不间断运行，运行过程中很难对安全设备进行更新换代，也不能像信息网络那样可以晚间中止服务数个小时来更新通信协议版本或安全机制。\n**二是安全弹性是军事网络的基本属性。**与普通信息网络强调“共享性”不同，军事指挥网络是典型的对抗型网络，其网络信息体系设计和安全防御架构，必须考虑从“硬摧毁”和“软杀伤”等各类网络攻击事件中“迅速恢复”能力，即弹性安全能力（Cyber Resilience）。如何确保军队指挥活动在遭受覆盖性网络攻击期间，军事网络系统能够抵挡攻击活动并快速从攻击损伤中恢复，弹性适应作战环境并保持其业务正常运转能力，是非常重要的。\n**三是军事网络是高度确定性网络。**军事网络环境相对清晰明确，网络边界、终端设备、通信协议、操作行为都可以通过管理制度、强制措施等方式予以明确，在相对局部的网络环境内，其安全防护的对象是有限而清晰定义的，其网络整体的可描述性和确定性更强。\n基于军事指挥网络特殊安全属性，其安全防御需求至少包括以下 3 个方面：\n一是网络环境的可信性，主要是指整个网络环境必须是确定清晰且可信任的，至少涵盖网络边界、网络设备和网络交互的可信性等三个方面。\n其中：边界可信是指所有网络边界都是清晰可描述的，包括终端设备的接入、终端设备上的外设接口、边界隔离交换设备配置策略等；设备可信是指所有接入网络的设备都是明确无遗漏的，所有终端设备的使用与变更要做到实时监控；网络交互可信是指网络中各个终端设备之间的交互行为是清晰可信的，包括网络交互的参与方、采用的通信协议、执行的操作行为等。\n二是网络状态的可知性，主要是指网络安全管理部门对于网络当前运行的总体状态明确可知，能够及时感知其中正在发生或可能发生的安全事件，提前发现网络异常情况或正在发生的攻击活动，提升网络异常行为发现探知能力，至少涵盖设备接入、网络交互和安全事件的可知性等三个方面。\n其中：设备接入可知是指各类终端设备接入网络的情况是实时可知的，包括设备数量、类型、终端属性信息等；交互活动可知是指网络内各个终端设备之间的交互情况是实时可知的，包括当前活动连接分布情况、网络流量内容情况等；安全事件可知是指网络中出现的异常流量现象或异常网络行为是实时可知的，包括可疑终端设备接入、违规外联、恶意提权操作等。\n三是网络运行的可控性，主要是指网络能够在运行过程中随着网络环境的变化及时调整威胁检测规则，在网络内发现异常活动或攻击行为时能够随即采取措施，阻断其攻击活动，控制其危害范围，保证相关指挥业务系统的安全平稳运行，至少需要涵盖分布性、适应性和可恢复性等三个方面内容。\n其中：控制的分布性是指网络中的安全控制点或监测设备分散在网络各个角落，无中心监测器；控制的适应性是指能够随着网络环境的变化动态调整其威胁检测能力，确保对外部安全威胁和内部异常行为的检测效率与准确性；控制的自恢复性是指网络在发现内部异常活动或外部攻击行为后，能够及时采取措施反制，自行恢复网络运转。\n高安全军事网络设计思路 高安全军事网络，不是用各种绝对安全控制手段将核心网络节点和重要数据资产隔离起来，形成传统意义上的“安全孤岛”或“数字堡垒”。高安全军事网络构建，主要有以下4个着眼点：\n一是创新网络体系结构，基于下一代互联网技术建立具备自认证特征的基础安全网络，解决现有网络在互联互通与安全可控之间的对立矛盾，改变当前以行政管理手段解决基础架构安全问题的尴尬局面，为军事网络安全防御体系构造打下坚实技术根基；\n二是加强已有静态防御机制，将网络安全能力部署到信息化基础设施与信息系统的“每一个角落”，力求最大化覆盖构成网络的各个组成实体，实现信息化与安全防护措施“深度结合、全面覆盖”的综合防御能力；\n三是建立动态信任体系，将传统网络安全技术与\u0026quot;可信计算\u0026quot;技术结合起来，改变传统安全体系\u0026quot;防外重于防内\u0026quot;却\u0026quot;防不胜防\u0026quot;的不利现状，根据不同任务场景的不同安全需求，以终端的安全可信为源头、作为信任根，从终端到网络、到应用、到服务、到数据，基于主体属性与客体保护等级之间的安全度量，建立动态信任关系（信任链），一级认证一级、一级信任一级，最终建立起覆盖整个军事网络的可信网络连接，从而提供对军事网络环境更加完善的关口控制与安全保障；\n四是部署网络主动防御能力，建立威胁情报引导的网络安全态势感知与安全控制体系，持续检测网络安全风险、准确感知网络攻击征候、及时阻断网络攻击活动、完善改进网络防护措施，哪怕是在战争环境下遭受物理攻击，也能确保核心业务数据不被窃取、重要军事活动不被干扰、关键行动流程不被影响，表现出充分的业务安全弹性与自主恢复能力。\n关于创新网络体系架构，高安全军事网络基于 IPv6 协议实现安全保密一体化设计，具备内生式安全特性。所谓“内生式安全”是指信实体或网络活动“天生”就带有安全免疫能力，可自认证、自检测，并能够根据认证和检测结果建立安全依赖和信任关系，并自然贯穿到终端安全、网络准入控制、路由交换、行为控制、应用交互等过程中。内生式安全网络将安全视为第一要素融入网络体系，在考虑未来网络的发展趋势的同时实现安全要素与网络功能一体化设计，我们需要从“网络安全”到“安全网络”的构想出发，建立从终端、网元、协议到应用系统具有先天安全防护和免疫能力的网络，使得基础网元是安全和可信的、接入网络的用户是可信和可控的、提供的服务和内容是无害的，摆脱网络安全被动跟随网络架构的束缚。特别是，需要从攻防实践的视角检验内生式安全机制的有效性，通过实验改进设计和运行效果。\n关于加强静态防御机制，高安全军事网络的基础传输、网络承载、计算终端、信息服务等安全防护装备，以\u0026quot;硬件集成化、软件容器化\u0026quot;为指导原则，采用硬件与软件解耦的软件定义设计思路，采用具备可编程接口、可嵌入结构的国产化通用计算平台作为其基础硬件，能够根据业务应用类型、业务通联关系以及网络安全态势等多样化需求，按需加载定制后的安全服务功能插件，使得安全防护端点设备具有\u0026quot;算法可注入、软件可下载、硬件可扩展、功能可重构\u0026quot;能力，从根本上改变现有安全防护产品功能固化、单一的现状，实现通过软件插件来定义和赋予所需的安全服务功能。\n关于建立动态信任体系，高效的身份管理与访问控制体系是保证军事网络高安全性、高可用性的前提。网络的元活动就是按照各种标识或地址将数据包从一个地点运送到另外一个地点，并基于此来完成各种应用功能。对通信实体各种标识的身份管理与信任关系构建是保证军事网络安全的第一道关口。网络标识、主机/设备标识、服务（应用程序）标识、内容标识、用户标识等身份标识的管理与认证，是解决源地址欺骗、拒绝服务攻击、泛洪攻击的前提，是关系到网络各个环节安全运转的关键。与此同时，考虑到这些身份标识的数量规模是海量的，基于传统公钥密码体制PKI的身份标识认证过程使用类似 CA 的可信第三方进行密钥分发与管理，产生大量通信与计算开销，有可能成为限制网络运行效率的主要瓶颈，大大降低网络可用性。\n关于部署主动防御能力，高安全军事网络不应再依赖于网络安全威胁的先验知识，能够有效应对潜在未知安全威胁，全方位收集整合各类安全数据，建立威胁可视化及分析框架，及时发现各种攻击威胁与异常，全面掌握攻击前的扫描探测、攻击中的越权提权、攻击后的破坏行动等威胁情报，在此基础上，以实时威胁情报为指引，通过网络系统中协议、软件、接口等主动重构或迁移实现动态环境，在防御方可控范围内进行主动变化，动态隐藏网络特征，攻击方难以觉察和预测，从而大幅提高网络攻击难度与成本，大幅降低网络安全风险。\n高安全军事网络实现关键路径 高安全军事网络以统一安全基底为基础、以安全按需赋能为核心、以智能安全管理为保障，在安全态势感知、威胁检测预警、防御能力部署机制的支撑下，形成“监测—决策—响应—防御”的动态防御体系，实现基于态势变化和安全需求的网络信息系统安全防御。其关键技术途径主要包括：内生安全基础网络、动态信任体制、多域安全可信终端，其中：基础安全网络是整个军事网络防御的基石，不解决基础架构安全问题，其他所谓被动防御、积极防御、动态防御都是浮云；动态信任体制是军事网络防御的关口，既不能让\u0026quot;坏人\u0026quot;进来，又要把\u0026quot;好人\u0026quot;放进来，而且\u0026quot;好\u0026quot;与\u0026quot;坏\u0026quot;并非一成不变，而是要持续度量持续评估；多域安全可信终端是军事网络防御的支点，终端是所有安全策略与信任关系的执行点，是所有安全措施与访问控制的落脚点，是所有安全防御活动实际效果体现的环节。\n内生式安全网络 现有军事网络不具备地址真实性鉴别的内生机制，不仅容易造成源地址欺骗（Source Spoofing）、路由劫持（Hijacked Route）、拒绝服务（Denial-of-service）等攻击的发生，而且导致攻击源头和攻击者身份难以追查。军队内部运用强大的行政管理资源，将所有在线军事机构实体与IP地址进行一对一绑定，通过行政手段进行IP地址安全性验证，耗费大量人力物力且加剧了网络管理体制的僵化程度，最终效果如何也不易评价。现有的安全技术都是以修修补补的形式增加，系统性不强，基本处于被动应对状态。我们认为，造成这一问题的根本原因在于IP网络不具备审计能力，即发生问题后无法进行追责。为此，包括地址真实性鉴别在内的命名安全体系是网络安全的基础和前提，也是高安全军事网络设计亟待解决的重要问题之一。\n这里我们采用IETF提出的HIP协议思路，在网络层和传输层之间插入主机标识层，IP地址只作为网络层所使用的定位标识符，实现数据报的路由转发，主机标识符 HI（Host Identity）提供主机身份标识功能，由传输层使用。双方在通信时，IP地址的变化对传输层透明，从而保证在发生移动或地址变化时，通信不中断可以持续进行，并且通信对端可以根据主机标识 HI确定移动节点身份。这里主机标识符HI使用 IPv6 地址，IP 地址还是使用 IPv4 地址，两者之间的转换使用 IPv4/v6 协议双栈完成。主机标识符 HI 的生成算法采用组合公钥体制 CPK 体制，即主机标识符 HI 作为通信实体标识送到 KMC （私钥管理中心）， KMC 对 HI 进行散列变换后，生成映射序列 YS ，取 YS 序列的前 64 位为 HI 中的本地地址； KMC 使用映射序列的行列坐标得到组合矩阵，然后按照有限域上的加法得到组合私钥， KMC 将组合私钥发送给主机并在本地删除，公钥矩阵以文件形式公布；其它主机以及网络通信设备按照HI和和公钥矩阵， 查表获得其组合公钥。\n将军事网络通信实体标识与 CPK 公钥签名技术结合， 能够实现主机标识符、网络标识符和公钥三者绑定， 为地址真实性提供证据（地址的签名）， 并且任何路由器均可鉴别其真伪（验证签名），快速实现主机鉴别、路由通告鉴别与消息加密，能够从数据源端到目的端，保证用户身份和信息内容的真实性，保证转发过程中的真实性，从源头上保证了网络层的内生安全。\n多域安全可信终端 目前军队网络信息体系中的各类终端设备，其软硬件体系结构（ Wintel 架构）在很大程度不符合安全保密需要，其终端安全管控系统只能通过\u0026quot;打补丁、堵漏洞、建盾墙\u0026quot;等外挂方式，为军用终端系统运行提供安全防护能力，其防护效果无法满足军事安全要求。根据国产化替代工程实施要求，军队各类终端设备都要使用国产化硬件平台（ PK 架构），如何利用此次终端软硬件体系架构变更契机，研究提出满足军事安全需求的新一代终端安全体系架构，是当前迫切需要解决的问题。\n在单台国产硬件平台（飞腾或龙芯）上部署自主可控的 Hypervisor 虚拟化平台，该平台具备最高硬件权限和较小可信计算基，能够同时运行多个相互隔离的 Linux 系列操作系统（包括Android），实现单台终端对多个不同安全域的同时访问。不同 Linux 系统内可以使用来自不同安全域的数据、应用、服务，不同 Linux 系统之间保持充分的隔离性，即使某个 Linux 系统遭到恶意渗透或攻击，部署在虚拟化 Hypervisor 平台中的安全保密措施也可以确保攻击活动被限制在有限范围内。\n在此基础上，将虚拟化软件栈视为一个整体，运用多层次的隔离机制、加密机制和访问控制机制，构建安全保密一体化的多层次虚拟化软件栈防护框架，通过这个框架对 Hypervisor 层、 GOS 和业务应用进行统一的行为监控、资源控制、密钥管理、虚拟机之间的隔离，以及虚拟机内部不同模块与应用之间隔离，通过多层隔离机制实现资源独立访问，通过多层访问控制实现共享资源的不同权限访问，通过多层监控机制实现整体恶意代码发现识别，通过多层密钥管理实现安全快捷的加密服务。这个统一安全架构能够从横向和纵向两个维度防护不同类型的安全威胁，还可以增加信息认证功能为用户提供确凿的运行时证据，证明其所属的数据与软件的安全。\n动态信任体制 在军队传统C/S应用架构中，服务器是整个业务应用体系的核心节点，应用架构采用基于PKI和CA的静态信任机制，用于保证单机系统的可信问题。静态信任机制先构建基础的信任根，然后从信任根开始到硬件平台、操作系统、应用程序，一层认证一层，一层信任一层，把这种信任扩展到整个计算机系统，从而确保整个计算机系统的可信性。新一代军事信息系统更加强调大规模业务资源共享与广域业务流程协作，更加强调扁平化指挥控制与分步式协同联动，静态信任机制不适用于当前及未来军事信息体系。\n基于“零特权“理念的动态信任体制，是参考了人类社会中的信任关系而提出的用于解决分布式网络的信任管理模型。动态信任管理模型认为信任关系随时间变化而变化，需要实时在线对信任关系进行评估；认为不同任务场景下网络主体与客体之间的信任关系，需要根据主体身份属性与客体受保护等级的不同而精确度量分析，进行细粒度权限控制和特定时空范围的检测审计；认为信任关系可以传播，可以沿着业务网络中具备可信连接路径的关系路线进行传播，解决不同安全域之间身份标识按需安全互认问题；认为信任关系的构建主要依靠相当长有效时间的安全交互行为，真正管用好用的可信管理策略需要从海量通信实体交互日志中挖掘生成，人为行政管理手段只是辅助。\n","date":1564539233,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564539233,"objectID":"10f08a026e65684bb37af1df0de8beeb","permalink":"https://sbilly.github.io/post/high-security-military-network-based-on-proactive-protection/","publishdate":"2019-07-31T10:13:53+08:00","relpermalink":"/post/high-security-military-network-based-on-proactive-protection/","section":"post","summary":"军事信息网络防御的需求分析","tags":["军队","Cybersecurity","Security Architecture","SDP","Security","SDS","SDN"],"title":"【转】基于主动防御的高安全军事网络防御","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文地址：https://mp.weixin.qq.com/s/54-kZjKg2YqWYrzjhk1KGQ\n美军信息网络是世界上最复杂的国家级网络之一，随着美军战略调整始终保持动态演进的态势，平均每5年就会抛出新的网络概念、新的网络架构和新的网络建设计划，其安全体系设计也不断变化，这里主要梳理美军网络整体概况和发展进程，重点关注其网络隔离与跨域融合的安全保障措施。\n美军通信网络建设的主管单位是国防部信息系统局（DISA），在DISA的推动引领下，美军已经建成世界上最先进、最复杂、最强大的天地一体化军事通信网系，整体上可以划分为3个层次：全军共用基础信息网络、全军共用传感器网络和作战部队网络。\n其中，全军共用基础信息网络，按照其发展历程，大致可以划分为国防通信系统（DCS）与国防信息系统网（DISN）、全球信息栅格（GIG）、基于国防部信息网络（DoDIN）构建联合信息环境（JIE）等3个阶段。\n全军共用传感器网络，按照其作战空间不同，主要包括情报侦察网络（由天基侦察卫星和高空侦察机组成）、国家战略预警网络（由天基预警卫星和远程预警雷达组成）、国家空间监视网络（由大型相控阵雷达和对空观测望远镜组成）、国家海洋监视网络（由海洋监视卫星组成）和其他国家级传感器网络（由GPS全球定位系统组成）等。\n作战部队网络，按照军种划分，主要包括空军指挥控制星座、陆军未来作战系统和海军部队网等。\n美军网络简单来说，就包括美国防部网络和军种网络等两类网络。国防部网络与军种网络是自20世纪60年代起同步建设发展的，国防部网络发端于1960前后建成的\u0026quot;全球军事指挥控制系统\u0026rdquo;，物理上通过路由器等网络设备、使用与国际互联网相同的协议族将各个指挥系统连接起来，其初衷是国家指挥机构能够对分散部署的部队有效行使指挥权，但因应用需求难以统一和技术条件限制，未能实现全面集成的最初目标。\n全球军事指挥控制系统的基础网络被称为\u0026quot;国防通信系统\u0026rdquo;，DISA将国防通信系统分为两类：加密互联网协议路由器网SIPRNET和非加密互联网协议路由器网NIPRNET。\nNIPRNET用来在国际互联网与军队内网之间交换非密敏感信息，由国防部部署的所有IP路由器组成，前身称为MILNET，目前分别在美国内的哥伦比亚城、圣安东尼奥城、梅卡尼克斯堡和俄克拉荷马城等4个位置与国际互联网之间设有安全缓冲区。\nSIPRNET是美国防部与美国政府（包括驻外大使馆）之间进行数据传输的计算机网络，使用美国家安全局认可的加密系统进行数据加密，最高涉密等级达到机密级别。\n在此之上，还有一个连接美国政府所有16个情报机构的绝密级网络，称为全球联合情报通信系统JWICS，用于各情报机构之间交换情报信息，其前身是DSNET2和DSNET3等两个最高机密的国防数据网。\nSIPRNET与JWICS两个网络，构成了美国防部的保密版互联网。\n20世纪80年代，美军对全球军事指挥控制系统进行了大规模升级，在1991年海湾战争中发挥了重要作用，但同时也暴露出信息系统之间无法互联互通互操作、不适应联合作战需要等问题，为此美军1992年开始实施\u0026quot;武士\u0026quot;C4I计划，将国防部、各军种和北约盟国的指挥控制系统全部连通，改造形成指挥、控制、通信、情报等要素高度融合的\u0026quot;全球指挥控制系统\u0026rdquo;，该系统将NIPRNET、SIPRNET和JWICS等国防部网络，与各军种网络连接起来，全面采用成熟的商用计算机与网络技术，形成美国防部能够进行集成信息处理与支持跨军种业务应用互操作的\u0026quot;国防信息系统网\u0026rdquo;（DISN）。\n在国防信息系统网中，不同安全等级的物理网络之间，特别是SIPRNET、JWICS与NIPRNET之间已经开始使用\u0026quot;跨域解决方案\u0026quot;来解决不同密级数据相互交换问题，主要技术设施是隔离网闸；在隔离网闸作用下，不同密级物理网络之间是\u0026quot;物理隔离\u0026quot;的，即\u0026quot;看起来是连通的，但实际上是断开的\u0026rdquo;。NIPRNET与国际互联网之间设置安全缓冲地带，主要技术设施是防火墙，两者之间是\u0026quot;逻辑隔离\u0026quot;的，即\u0026quot;看起来是断开的，但实际上是连通的\u0026rdquo;。\n20世纪90年代，为有效推进美军\u0026quot;网络中心战\u0026quot;战略构想落地，解决越来越庞大的军种网络信息系统与国防部网络之间的集成与互操作问题，美国防部发起了\u0026quot;全球信息栅格\u0026quot;建设计划，以取代以平台为中心的国防信息基础设施。\n全球信息栅格主要由3个组成层次：第一层是全球网络，主要是通过拓宽基础传输光缆带宽，连通分布于美国国内、太平洋地区和欧洲的主要美军基地的国防信息基础设施全部700余个节点，囊括各军种作战网络和军事卫星网、联合战术无线网络等；第二层是战区网络，包括海军区域网络、空军机载网络、陆军战术互联网等；第三层是战术网络，包括海军区域网子网、陆战队战术网、空军战术网、营区/哨所/兵站节点等。\n为确保通信网络融合与信息系统集成过程中不形成新的安全隐患，保护网络中传输的保密信息并免受外部攻击，DISA在推动全球信息栅格建设过程中，同时发起了所谓**\u0026ldquo;加密转型\u0026quot;的安全保障建设计划**，主要内容是利用IPv6和多协议标签交换MPLS技术来改造现有网络基础，使用高安全IP加密网关来打造\u0026quot;黑色核心\u0026quot;网络，使用虚拟网络技术与VPN网关在SIPRNET、NIPRNET等物理网络中划分各自独立的\u0026quot;虚拟安全域\u0026rdquo;，分配给各军种、各机构使用，各单位分布在不同保密等级的物理网络中的\u0026quot;虚拟安全域\u0026rdquo;，再组成各单位的\u0026quot;作战行动虚拟网\u0026rdquo;（网络作战域），不同安全等级的终端分别接入相应密级的虚拟安全域，不同密级网络之间的信息交换，由美国防部统一实施的\u0026quot;跨域解决方案\u0026quot;解决。\n经过近二十年的整合与建设，全球信息栅格在系统集成与业务互操作性方面取得很大进展，但同时也形成了全球最大的异构分布式系统，存在很多冗余、繁复、不兼容、不标准的业务功能和技术环节，各种面向特定作战功能的作战网络与软件系统，其信息技术资产形成了全球范围内2000余个数据中心，年度维护经费超过760亿美元。\n为此，2012年美国防部提出**\u0026ldquo;联合信息环境\u0026quot;建设计划**，希望按照标准化和体系化建设思路，将全球范围内数百个军事设施、15000余个独立军事网络、超过700万套计算机设备整合起来，打造联合、安全、可靠和敏捷的一体化军事信息环境，减少基础设施和人员配置，提高运营效率，增强网络安全性。\n2014年，全球信息栅格更名为**\u0026ldquo;国防部信息网络\u0026rdquo;**；2015年，国防部信息网络联合部队司令部具备初始作战能力。国防部信息网络可以认为是实现联合信息环境的基础设施，联合信息环境是建构在国防部信息网络之上的业务应用架构。国防部信息网络在安全保障方面的重大举措就是使用统一安全架构，在缩减后的全球23个数据中心部署联合区域安全栈，涵盖了包括身份认证管理、网络态势感知、威胁检测发现、追踪溯源反制在内的各种安全技术能力，提升全网安全资源调度与主动防御能力。\n总体而言，美军通信网络建设的核心目标，是支撑作战指挥信息系统部署展开，其建设发展阶段与美军战略调整和指挥信息系统架构变迁相同步。在国防部网络中，始自20世纪60年代建设形成的NIPRNET、SIPRNET与JWICS，经过全球信息栅格、联合信息环境等无数次集成建设依然存在；网络信息集成建设只是加强了国防部网络与各军种网络的资源整合与业务融合，并未改变不同保密等级网络之间\u0026quot;物理隔离\u0026quot;的状态，注意这里是\u0026quot;物理隔离\u0026quot;而非\u0026quot;物理断开\u0026rdquo;。\n美军为解决来自不同保密等级网络间的跨域信息交换问题，特地开发\u0026quot;跨域解决方案\u0026quot;CDS，该方案不是简单的技术架构，而是涵盖了政策、组织、机制、管理、技术等各个方面的体系化安全措施，由国防部下属的统一跨域服务管理办公室推进实施。此外，美军长期以来非常重视国际互联网的组织运用，尽管NIPRNET经常遭受外部攻击，但美军从未断开与国际互联网的物理连接，反而是积极利用国际互联网加强部队建设，比如包括美国防部、参联会、各军种、各基地甚至营团都在互联网上建立网站，展开舆论宣传，进行兵员招募，实施远程教育，同时加强信息安全与保密系统建设，安全而合理地利用国际互联网的连通性与便捷性；美军情报机构甚至直接使用\u0026quot;暗网\u0026quot;进行情报传递和行动协调，美军最低限度通信网更是直接将国际互联网作为首轮核生化打击之后的首选指挥渠道。\n","date":1564537340,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564537340,"objectID":"767e4c2e8a25fe14d972703e918c6747","permalink":"https://sbilly.github.io/post/dod-joint-information-environment-security-architecture-analysis-by-zhouxiaochuan/","publishdate":"2019-07-31T09:42:20+08:00","relpermalink":"/post/dod-joint-information-environment-security-architecture-analysis-by-zhouxiaochuan/","section":"post","summary":"美军信息网络是世界上最复杂的国家级网络之一，随着美军战略调整始终保持动态演进的态势，平均每5年就会抛出新的网络概念、新的网络架构和新的网络建设计划，其安全体系设计也不断变化，这里主要梳理美军网络整体概况和发展进程，重点关注其网络隔离与跨域融合的安全保障措施。","tags":["美军","DoD","JIE","Cybersecurity","Security Architecture"],"title":"【转】美军信息网络安全架构解析","type":"post"},{"authors":["sbilly"],"categories":["学习笔记"],"content":"go-ipfs 是一个分布式基于区块链技术的分布式文件系统，文档可以查看 官方文档 。本文主要记录和介绍如何使用 go-ipfs 搭建与公有网络隔离的私有网络。\n要点其实也不复杂：\n 使用 swarm.key 确保私有网络不对外开放 删除不必要的 bootstrap 节点，并保留自己的私有 bootstrap 节点 使得 ipfs-webui 的相关文件在 ipfs 私有网络上是可以访问到的 使用 LIBP2P_FORCE_PNET=1 的环境变量设置 ipfs 运行在私有网络模式中  下面将介绍如何从源码编译并启动 bootstrap 节点。go-ipfs 还在积极开发中，在 2019 年 7 月 26 日是可以正常完成的。如果发现有问题，可以在评论中反馈。\n准备 ipfs 环境 # 创建 ipfs 的运行时目录 mkdir -p ./ipfs # 获取 go-ipfs-swarm-key-gen git clone https://github.com/Kubuxu/go-ipfs-swarm-key-gen # 创建 swarm.key # 所有的私有网络节点都需要这个 swarm.key 才能正常加入私有网络 cd go-ipfs-swarm-key-gen IPFS_PATH=./ipfs go run ipfs-swarm-key-gen/main.go \u0026gt; $IPFS_PATH/swarm.key cd ../ # 获取最新的 go-ipfs 源码 git clone https://github.com/ipfs/go-ipfs.git # 编译 go-ipfs cd go-ipfs make build cd ../ # 初始化 ipfs 的运行时目录 # 初始化时会创建 ipfs 的 peer identity，这个 peer identity 会在后续配置过程中使用到。peer identity 类似于下面这种形式： # peer identity: QmQ2YEpJhikmMZJXG39fzxgQNCAFDzyv9m15xe9GsvkRPL # IPFS_PATH=./ipfs 指定 ./ipfs 为运行时目录 # LIBP2P_FORCE_PNET=1 要求 ipfs 运行在私有网络模式 IPFS_PATH=./ipfs LIBP2P_FORCE_PNET=1 ./go-ipfs/cmd/ipfs/ipfs init # 删除公开网络的所有 bootstrap 节点 IPFS_PATH=./ipfs LIBP2P_FORCE_PNET=1 ./go-ipfs/cmd/ipfs/ipfs bootstrap rm --all # 把本机作为 bootstrap 节点 # 其中 QmQ2YEpJhikmMZJXG39fzxgQNCAFDzyv9m15xe9GsvkRPL 要修改为实际的 peer identity IPFS_PATH=./ipfs LIBP2P_FORCE_PNET=1 ./go-ipfs/cmd/ipfs/ipfs bootstrap add /ip4/127.0.0.1/tcp/4001/ipfs/QmQ2YEpJhikmMZJXG39fzxgQNCAFDzyv9m15xe9GsvkRPL # 启动 ipfs IPFS_PATH=./ipfs LIBP2P_FORCE_PNET=1 ./go-ipfs/cmd/ipfs/ipfs daemon 编译并启用 ipfs-webui 如果你希望像公网那样使用 ipfs 官方自带的管理界面 ipfs-weibui 需要通过以下步骤使用最新的 ipfs-webui 。\n# 获取最新的 ipfs-webui 代码 git clone https://github.com/ipfs-shipyard/ipfs-webui.git # 编译 ipfs-webui # 需要 python2 支持，需要使用 npm 而不要使用 cnpm # 编译后的文件在 build 目录 cd ipfs-webui npm install npm run build # 把编译得到的 ipfs-webui 添加到 ipfs 文件系统私有网络中 # 下面的命令执行后会返回类似的响应，返回的 public 目录对应的 hash 在需要添加到 go-ipfs 代码中 # added QmRSgDcuaXEKJMTpJPL4bVDRRzWXmvF4Gt6cVBXsucpDMh build IPFS_PATH=../ipfs LIBP2P_FORCE_PNET=1 ../go-ipfs/cmd/ipfs/ipfs add -r ./build # 在 bootstrap 上强制存储 ipfs-webui IPFS_PATH=../ipfs LIBP2P_FORCE_PNET=1 ../go-ipfs/cmd/ipfs/ipfs pin add QmRSgDcuaXEKJMTpJPL4bVDRRzWXmvF4Gt6cVBXsucpDMh 修改并重新编译 go-ipfs 修改文件把刚才编译的 ipfs-webui 加到 ipfs 中，需要修改 go-ipfs/core/corehttp/webui.go 把 webui 对应的 hash 值替换成刚才添加到 ipfs 时的返回的 hash ，例如：\npackage corehttp // TODO: move to IPNS // 把 const WebUIPath 替换成私有网络中 webUI 的 PATH const WebUIPath = \u0026#34;/ipfs/QmRSgDcuaXEKJMTpJPL4bVDRRzWXmvF4Gt6cVBXsucpDMh\u0026#34; // this is a list of all past webUI paths. // 原来公开网络的 webUI 路径保存在这个列表中 var WebUIPaths = []string{ WebUIPath, \u0026#34;/ipfs/QmQNHd1suZTktPRhP7DD4nKWG46ZRSxkwHocycHVrK3dYW\u0026#34;, \u0026#34;/ipfs/QmfQkD8pBSBCBxWEwFSu4XaDVSWK6bjnNuaWZjMyQbyDub\u0026#34;, \u0026#34;/ipfs/QmXc9raDM1M5G5fpBnVyQ71vR4gbnskwnB9iMEzBuLgvoZ\u0026#34;, \u0026#34;/ipfs/QmenEBWcAk3tN94fSKpKFtUMwty1qNwSYw3DMDFV6cPBXA\u0026#34;, \u0026#34;/ipfs/QmUnXcWZC5Ve21gUseouJsH5mLAyz5JPp8aHsg8qVUUK8e\u0026#34;, \u0026#34;/ipfs/QmSDgpiHco5yXdyVTfhKxr3aiJ82ynz8V14QcGKicM3rVh\u0026#34;, \u0026#34;/ipfs/QmRuvWJz1Fc8B9cTsAYANHTXqGmKR9DVfY5nvMD1uA2WQ8\u0026#34;, \u0026#34;/ipfs/QmQLXHs7K98JNQdWrBB2cQLJahPhmupbDjRuH1b9ibmwVa\u0026#34;, \u0026#34;/ipfs/QmXX7YRpU7nNBKfw75VG7Y1c3GwpSAGHRev67XVPgZFv9R\u0026#34;, \u0026#34;/ipfs/QmXdu7HWdV6CUaUabd9q2ZeA4iHZLVyDRj3Gi4dsJsWjbr\u0026#34;, \u0026#34;/ipfs/QmaaqrHyAQm7gALkRW8DcfGX3u8q9rWKnxEMmf7m9z515w\u0026#34;, \u0026#34;/ipfs/QmSHDxWsMPuJQKWmVA1rB5a3NX2Eme5fPqNb63qwaqiqSp\u0026#34;, \u0026#34;/ipfs/QmctngrQAt9fjpQUZr7Bx3BsXUcif52eZGTizWhvcShsjz\u0026#34;, \u0026#34;/ipfs/QmS2HL9v5YeKgQkkWMvs1EMnFtUowTEdFfSSeMT4pos1e6\u0026#34;, \u0026#34;/ipfs/QmR9MzChjp1MdFWik7NjEjqKQMzVmBkdK3dz14A6B5Cupm\u0026#34;, \u0026#34;/ipfs/QmRyWyKWmphamkMRnJVjUTzSFSAAZowYP4rnbgnfMXC9Mr\u0026#34;, \u0026#34;/ipfs/QmU3o9bvfenhTKhxUakbYrLDnZU7HezAVxPM6Ehjw9Xjqy\u0026#34;, \u0026#34;/ipfs/QmPhnvn747LqwPYMJmQVorMaGbMSgA7mRRoyyZYz3DoZRQ\u0026#34;, } var WebUIOption = RedirectOption(\u0026#34;webui\u0026#34;, WebUIPath) 重新编译 go-ipfs，启动后缺省可以通过 http://127.0.0.1:5001/webui 访问到 ipfs 的管理界面。\n# 编译 go-ipfs cd go-ipfs make build cd ../ # 启动 ipfs IPFS_PATH=./ipfs LIBP2P_FORCE_PNET=1 ./go-ipfs/cmd/ipfs/ipfs deamon 启动其他节点 把 准备 ipfs 环境 中创建的 swarm.key 复制到合理位置，并且按照 准备 ipfs 环境 编译 go-ipfs、修改 bootstrap 节点、启动 ipfs 即可。如果一切正常，就可以在 bootstrap 节点上可以看到连接上来的 peer 节点。\n参考  IPFS Private Swarm  ","date":1564124685,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1564124685,"objectID":"2f8608846a221aba5932b27cbae2aa58","permalink":"https://sbilly.github.io/post/build-go-ipfs-private-network-with-webui-support/","publishdate":"2019-07-26T15:04:45+08:00","relpermalink":"/post/build-go-ipfs-private-network-with-webui-support/","section":"post","summary":"go-ipfs 是一个分布式基于区块链技术的分布式文件系统，文档可以查看 官方文档 。本文主要记录和介绍如何使用 go-ipfs 搭建与公有网络隔离的私有网络。","tags":["ipfs","Private Network","p2p"],"title":"构建包含 WEB 管理界面的 go-ipfs 的私有网络","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"原文: https://mp.weixin.qq.com/s/c6glVVc483GqXOciF9D4ng\n联合信息环境，是一种具有安全性和联合性的信息环境，主要由共享性信息技术设施、体系级信息服务、统一安全架构组成，目的是要达成全域作战优势、提升任务实施效力、增进安全水平、实现信息技术效益。美军着力构建联合信息环境，主要是为联合部队及其各方任务合作伙伴在实施全域作战行动中，提供一种统一、安全、可靠、实时、有效且灵活的信息环境，任何行动、任意条件下的指挥、控制、通信与计算功能都可依托其展开实施。此外，联合信息环境并不是一个具体的国防项目，而是要利用现行的项目、倡议、技术、举措、采办、资金，将相关的技术设施部署并迁移到联合信息环境的标准上。下面从进展、运维、架构、管理、服务、安全、信息等7个不同的视角出发，对联合信息环境进行解析。\n一、进展视图（Progress View） 从发展的角度来看，建设联合信息环境，就是要通过构建国防部及各军种共用的安全架构，确保整个国防部信息网络实现无缝、互通、高效的信息共享，达成基于云计算技术的协作互动和体系服务，加速推动指挥与控制网络扁平化，依托统一安全架构为作战人员及任务合作伙伴提供信息技术基础设施和共享服务的能力。联合信息环境的建设目标如下图所示。\n图 1：建设目标示意图\n从实施机构来看，美国国防信息系统局是联合信息环境构建的技术与实施领导机构，主要负责开发、整合、协调联合信息环境技术的计划、项目与能力，实施联合信息环境相关的任务。\n图 2：实施总体安排\n（1） 2014 财政年度进展情况：  2013年1月22日，美参谋长联席会议主席马丁·邓普西（Martin E. Dempsey）将军签发《联合信息环境白皮书》。 2013年8月，美国防部长办公室作战试验与评估主管（DOT\u0026amp;E）开始监管实施针对联合信息环境的试验与评估。 美国国防信息系统局计划从2014年3月至2015年第2季度针对欧洲战区相关能力进行一次早期评估，重点是联合区域安全栈（JRSS）和多协议标签交换网络（MPLS）的工程、设施及建设情况。 在2014财年，美国国防信息系统局针对联合区域安全栈（JRSS）和多协议标签交换网络（MPLS），在马里兰州米德堡（Fort Meade, Maryland）和德克萨斯州圣安东尼奥联合基地（Joint Base San Antonio, Texas）实施了基于实验室的设施/功能测试，前者建立了体系服务实验室（Enterprise Services Lab），后者建立了初始的联合区域安全栈点。圣安东尼奥联合基地的联合区域安全栈设施已经能够为陆军和空军网络行动提供某些服务，但并未完成全面建设。截至本年度，尚未针对联合信息环境的基础设施、组件、战术、规程或概念进行运行测试。 美国国防信息系统局组建了一个负责测试、评估的综合工作组，其中包括美国防部长办公室作战试验与评估主管（DOT\u0026amp;E）、各大军种、主管采办技术与后勤的国防部副部长（USD（AT\u0026amp;L））、国防部首席信息官（DOD CIO）代表。  （2）2015 财政年度进展情况：  针对欧洲战区相关能力进行早期评估的计划调整为2014年3月至2016年第4季度。国防部首席信息官将联合区域安全栈的短期建设重心调整至美国大陆南部。 联合信息环境执行委员会（JIE Executive Committee, EXCOM）授权国防信息系统局在欧洲和太平洋地区的作战中心为“体系作战中心（EOCs）”，负责支持联合信息环境网络管理、数据中心、互联网网关、联合区域安全栈和网络安全。 联合信息环境运行负责小组（JIE Operational Sponsor Group, JOSG）制定了体系作战中心连续行动计划，使其能够更好的管理网络，促进与军种作战中心的协调与联络。 2015年5月和7月，分别在米德堡和圣安东尼奥联合基地，美国陆军、空军、国防信息系统局、联合互操作性测试司令部（Joint Interoperability Test Command, JITC）针对联合区域安全栈进行了实验室测试，目前的测试主要针对系统功能。在2015年3月至5月期间，某网络防护分队（Cyber Protection Team, CPT）在实施搜索任务时发现了网络管理运维和联合区域安全栈中存在的重大漏洞。 美国防部长办公室作战试验与评估主管、主管采办技术与后勤的国防部副部长、国防部首席信息官、各大军种、国防信息系统局、联合互操作性测试司令部调整了测试评估综合工作组的作用，使其转变为一个更加全面的工作组。 2015财年第4季度，某网络防护分队和陆军先进研究实验室开展了一次针对联合区域安全栈的全面脆弱性与渗透评估。 2015年12月，联合互操作性测试司令部针对联合区域安全栈1.0进行了初始运行评估。  （3） 2016 财政年度进展情况  目前，国防信息系统局、联合互操作性测试司令部、各大军种尚未针对联合信息环境的有关项目进行严密而全面的运行测试。 在美国防部长办公室作战试验与评估主管（DOT\u0026amp;E）、国防部首席信息官（CIO）、美国网络司令部、联合参谋部通信参谋（Joint Staff J6）的协助下，联合信息环境测试评估综合工作组制定了一份联合信息环境测试与评估战略，其中指出要通过实施一系列年度运行评估来分析联合信息环境能力的成熟度，计划开始于2017年7月。 在联合信息环境建设方面，依然缺乏总体系统集成流程或项目执行组织来负责管理成本、推动进度、监管效果等。 国防信息系统局、各大军种针对联合区域安全栈采取了非常规的采购举措，导致陆军和空军在早期阶段尚未掌握全面测试结论的情况下便定下了采购部署的决策，而阶段测试和有限范围评估表明，联合区域安全栈用户并不能提供有效的网络安全能力。鉴于联合区域安全栈在国防部网络防护方面的主导作用，这种早期部署的做法很可能会造成国防部关键性网络系统安全能力的无谓损失。 美国防部长办公室作战试验与评估主管（DOT\u0026amp;E）和联合互操作性测试司令部（JITC）计划于2016年12月进行一次运行评估，主要针对空军部署的联合区域安全栈，但到2016年11月底，空军提出需要推迟评估活动，因为在联合区域安全栈的技术、培训、体系管理和操作规程方面，那些已知的问题严重影响着当前已部署安全设施的网络安全有效性。  二、运维视图（Operational View） 联合信息环境的运维视图可解析为以下几个方面：\n第一，管控能力。通过构建体系作战中心（EOC）来实施集中式的网络管理和防护，提供的服务包括：向核心数据中心提供支持、在其他中心失效时承担转移来的运维任务、为整个国防部的所有服务提供计算机网络防御能力。最终，体系作战中心将能够依托单一站点，向指挥官提供关于所属责任区域国防部信息网络运行、防御及态势感知能力。\n第二，数据能力。将应用和数据资源整合进入云平台，或者集中式的数据中心，数据资源管理与服务主要依托核心数据中心（CDC），在统一安全架构下，按照国防部数据策略，根据需求向所有用户提供标准的计算和存储服务。\n第三，通信能力。对网络基础设施进行更新，其中包括多协议标签交换机（MPLS routers）和光纤传输技术升级，进一步提升网络的灵活性和带宽容量，增进传输能力。\n第四，安全能力。通过建立体系级的统一安全架构，解决美军在遂行任务中存在的机构重叠、职能不清等问题，消除过去各军种之间存在的网络安全界限，降低外部网络攻击面。其中，联合区域安全栈（JRSS）是统一安全架构的重要组成部分，能够把各处国防部网络的数据流发送到网络态势感知分析云，提供更佳的网络空间可视化和网络作战指挥控制能力。\n图 3：联合信息环境运维视图示意\n联合信息环境运维的核心目标，是要摆脱过去各军种机构独立运行的网络和能力，通过整合使其发展成为一种协同化的联合信息环境，为实施联合作战创造最佳条件。联合信息环境的运维中心是各层级的作战中心，可区分为战略、战役、战术三个层级。在战略层级上，主要通过全球体系作战中心（Global Enterprise Operations Center, GEOC）来实施运维;在战役层级上，所有的战区/职能级运维事务，均通过各战役级体系作战中心（Enterprise Operations Centers, EOC）来实施运维;在战术层级上，各类基地/指挥所/兵营/兵站、战术部队等，均通过战术级作战中心来实施运维。\n全球体系作战中心（GEOC），主要负责构建国防部信息网络指挥与控制链路。具体作用包括：一是对联合信息环境战略层级全球行动进行统筹、协调与同步;二是提出并实施联合信息环境全球性挑战的应对解决方案;三是管控配置联合信息环境全球性外部接口;四是为任务合作伙伴提供联合信息环境核心技术中心;五是维持联合信息环境全球态势感知能力。\n各体系作战中心（EOC）的作用可分为监控、计划、指导、评估四大部分，具体如下。一是监控方面，监控联合信息环境基础设施、指挥与控制、信息共享能力等方面的具体状态，在出现服务降级情况时提供相关的协助信息，不间断察看联合信息环境的总体服务状况，保障当前实施的作战行动;二是计划方面，展开筹划并针对事件行动准备计划与命令;三是指导方面，签发相关命令与指示，及时采取行动提升任务保障能力，针对出现的问题主动调整联合信息环境网络;四是评估方面，判断联合信息环境服务的有效性，判断保障任务实施方面的关键网络、系统及应用，对端到端数据进行汇编，查明网络中断情况的原因及影响。\n图 4：联合信息环境运维层级示意图\n三、架构视图（Architectural View） 联合信息环境下的网络体系架构是一种中心化的体系架构，能够提供体系范围内的态势感知能力，提供中心化的作战控制能力，还能够最大限度的降低可能会遭受的网络攻击面。从联合信息环境的架构视图来看，总体上可将其分为两大部分，一方面是各军种及战区接入点，即体系作战中心，另一方面是各体系级数据中心及相关的体系服务与安全架构，二者之间建立国防信息IP网络传输，还可对外接入互联网，并通过安全架构来应对病毒、国家行为者的网络攻击。在体系服务方面，可提供的体系服务主要包括国防体系邮件服务、云计算服务、身份管理服务、访问管理服务、国防体系门户服务、国防体系认证服务等;在安全架构方面，可以实现系统安全、应用/数据安全、关键节点实施、标准化配置、同步部署控制、力量精简高效化、JIE整体可见、实施防御行动等。\n图 5：联合信息环境体系架构示意图\n从联合信息环境的体系构成来看，核心要素主要包括网络标准化传输（Network Normalization Transport, NNT）、统一安全架构（Single Security Architecture, SSA）、体系作战中心（GEOC/EOC）、数据中心（Core Data centers / Installation Processing Nodes, CDC/IPN）、身份认证与访问管理（Identity and Access Management, IdAM）、体系服务（Enterprise Services）和统一能力（Unified Capabilities, UCs）、移动应用、网关、管控等方面。这些要素对应着相关的系统和功能，具体而言：\n一是能够实现国防部通信网络的标准化，由网络标准化传输（NNT）要素实现，涵盖通用网络标准及相关的战术、技术、规程（TTPs）;\n二是能够实现国防部网络能力的标准化，由体系服务和统一能力（UCs）要素实现，涵盖通用信息技术应用程序，以及消息、语音、视频等方面的统一能力;\n三是能够由标准的作战中心（EOCs）和数据中心（CDC）实施管理，涵盖了各层级的体系作战中心、数据中心和设施处理节点等;\n四是能够防护国防部信息网络，由统一安全架构（SSA）要素实现，主要通过单一性的安全栈（Single Security Stacks, SSA）来实施; 五是能够针对跨域协同及合作伙伴，提供安全的接入点，涵盖了各级各类型的网关设施; 六是能够提供全面的机动能力，主要由移动应用要素来实现\n图 6：联合信息环境体系作用示意图\n四、管理视图（Management View） 联合信息环境管理网络（Joint Information Environment Management Network, JIE JMN）由一系列系统和要素组成，主要作用是支持联合信息环境的体系作战中心组件发挥效能，确保体系作战中心能够安全有效的实施指挥与控制。\n从管理的角度来讲，联合信息环境可区分为两个层面。第一部分是实现逻辑分离的数据通信网络，比如多协议标签交换虚拟私有网络（Multi-Protocol Label Switching Virtual Private Networks, MPLS VPNs），或者波分复用（Wavelength-Division Multiplexing, WDM）光纤通信网络。第二部分是联合信息环境管理网络（JIE JMN），该网络是联合信息环境广域网络（JIE WAN）体系架构的组成部分，该架构还包括用户/任务网络（User/Mission Network）和复制网络（Replication Network），联合信息环境管理网络能够实施一种分离式的、专用的身份认证与访问管理解决方案（JMN IdAM Solution, JIS）。\n联合信息环境中的管理与被管理职能主要涉及以下几类领域：一是JIE管理网络（JIE Management Network, JMN）方面，确立带外管理[1](out of band, OOB）设计的基本原则，明确体系作战中心在管理网络方面的实施需求;二是JIE用户/任务网络（JIE User/Mission Network）方面：确立体系作战中心人员对于JIE用户/任务网络的具体需求，针对体系作战中心任务行动实施的过程中，阐明哪些领域中的哪些管理数据和传输信息不能从逻辑上或者物理上对其进行隔离管理;三是JIE体系作战保障系统（JIE Enterprise Operations Support Systems, JIE EOSS）：确立体系作战中心所用网络管理工具集合的应用平台，在体系作战中心任务区域内，这一工具平台主要负责联合信息环境相关部分的运维与防御。\n具体来讲，之所以不使用带内管理模式，主要原因有几个方面：一是技术方面的制约因素，难以实现管理网络基础设施/网络应用的本地化;二是某些被管理设备并未设置专用的管理端口;三是即使某些被管理设备带有专用的管理端口，但却已被连接到现行的专用管理网络;四是某些互联设施不具备连接条件，无法为网络管理提供额外的带宽。联合信息环境采取的带外管理模式如下图所示。\n图 7：联合信息环境广域网络（JIE WAN）管理视图\n图 8：联合信息环境采取的带外管理模式\n联合信息环境管理网络的另一项重要功能是实施身份认证与访问管理（IdAM），这是一种能够提供身份管理认证与授权服务的多样化组合解决方案，其具体作用如图9所示、管理过程如图10所示。其最终目标是，确保人员和非人员实体都能够安全的访问所有经过授权的国防部资源，不管在任何地点、任何时间。美国国防部要求，联合信息环境内运行的所有设备、系统、应用和服务都需要贯彻实施身份认证与访问管理策略，要遵循相关的指导方针及实施标准，要将公用密钥基础设施（PKI）认证与IdAM数据进行集成，要在授权性IdAM数据中应用体系目录服务（Enterprise Directory Services, EDS）。\n图 9：身份认证与访问管理的具体作用\n图 10：身份认证与访问管理过程示意图\n五、服务视图（Service View） 美参谋长联席会议前主席马丁·邓普西（Martin E. Dempsey）在《联合信息环境白皮书》中概述联合信息环境作用的时候指出，“依靠联合信息环境，我们就能够为打造下一代作战能力创造条件，我们就能够充分发挥商业信息技术的强大能量和通用效力，我们就能够将目前脆弱的、以网络为中心的环境转变为灵活的、以数据为中心的环境，确保能够实现按需访问信息。”因此，联合信息环境的作用，就是要提供网络服务、通信服务、体系服务和数据服务，从服务的角度来看，可将其划分为如下五大类：\n图 11：联合信息环境服务视图示意\n六、安全视图（Security View） 网络安全问题，是联合信息环境需要解决的一个重大问题。2012年8月24日，时任美国网络司令部指挥官、国家安全局局长的亚历山大将军（General Alexander）曾经在接受“联邦新闻电台（Federal News Radio）”采访时指出：“从今天的国防网络体系架构来看，对其实施防御非常困难。当前，我们拥有1.5万个孤立的节点（enclaves），每一个节点都处于独立管控状态。其结果就是，每一个节点就是一处碎片，就像一个独立的区域在单独运行，负责防护这些节点的人员根本无法看到防火墙底部和外部的状况。基于主机的安全系统虽能发挥一定的作用，但客观来讲，这并不能实现态势感知（Situational Awareness, SA）。”总体而言，当时国防部信息网络面临的主要问题有三个方面：一是信息网络/全球信息栅格防护能力的碎片化，二是态势感知能力的缺乏会造成网络防护能力的瘫痪，三是对国防部网络域总体通用态势图的缺乏。\n为有效解决上述问题，联合信息环境提出统一安全架构（Single Security Architecture, SSA）的概念，从本质上来讲，统一安全架构，是一种由多项互补性安全防护解决方案构成的安全体系架构。主要作用包括：一是能够在最佳点位部署标准化安全套件来平衡体系的防护能力;二是能够撤除不必要的信息保障防护措施;三是能够有效掌控用户数据流，并通过集中式网络防护数据仓库来为下级各类基地/指挥所/兵营/兵站提供全球网络态势感知能力;四是能够依托体系作战中心并为其提供所需工具集，来监控所有安全机制的有效运行;五是在服务方与用户分离之后，为孤立节点提供防护。\n表1 统一安全架构的目标及具体成果 为了有效贯彻实施统一安全架构，美军在整合升级网络、加强网络防御的同时，着力开发了联合区域安全栈（JRSS）。联合区域安全栈，是统一安全架构的重要组成部分和贯彻实施形式，能够把各处国防部网络的数据流发送到网络态势感知分析云，能够提供更佳的网络空间可视化和网络作战指挥控制能力，能够实现网络防护行动的同步化和网络管理的集中化。从建设情况来看，美军将联合区域安全栈区分为非涉密IP协议路由网络（NIPR）和涉密IP协议路由网络（SIPR）两种，在统一安全架构规范下，美军将全球划分为若干个区域，各区域对应构建各自的联合区域安全栈，计划利用5年左右时间将以前的1000多个网络访问站点削减为49个联合区域安全栈点，其中NIPR栈点24个，SIPR栈点25个，分布情况如下图所示。\n图 12：联合区域安全栈分布图\n另一方面是要加强态势感知，提供联合信息环境运行状态和网络安全状态的态势感知能力，是联合信息环境有效运行的基础。具体目标包括：一是要确保全球体系作战中心及其下级作战中心（GEOC and EOC）对于统一安全架构传感器数据的可见性;二是各体系作战中心要能够监控和管理联合信息环境的配置变化，确保其健康完整性，其中的活动包括体系服务管理、网络管理、卫星通信管理、电磁频谱管理等;三是要融合来自于网络、系统、应用和体系服务方面的各类性能数据;四是要针对下级基地/指挥所/兵营/兵站，向全球体系作战中心及其下级作战中心自动报告其中国防部信息网络的配置状态和脆弱性状态。下图展现了态势感知中数据融合的基本过程。\n图 13：态势感知中数据融合的基本过程\n七、信息视图（Information View） 总体来看，联合信息环境的信息视图主要体现在信息网络的标准化和数据中心的高效化两个方面。 第一，信息网络的标准化。通过在运行和技术方面实施标准化，有助于节省投资和维护的成本，有助于削减各战区/军种/机构的复用网络和设施，最大限度发挥标准化核心网络的效用。如下图所示，在实施信息网络标准化之后，未来的基础设施得以削减，未来的作战指挥与控制能力得以强化，未来的效率和创新得以增进，未来的网络指挥与控制更加透明。\n图 14：信息网络标准化的作用\n第二，数据中心的高效化。通过实施数据中心高效化整合，既有利于优化并提升使用效益，还能够削减整个体系的受攻击面，更有助于降低成本。因此，这是美国联合信息环境计划中的重要事项之一。\n不同的作战层级对应不同的数据中心，总体来看，美方将其数据中心分为以下四个层级：一是核心数据中心（Core data center, CDC），主要运行于美国本土及各大战区总部，能够在统一安全架构下提供标准化的承载和存储服务;二是设施处理节点（Installation Processing Node, IPN），主要设置于独立性的国防部设施和局部区域，因为从技术或者经济性方面来讲，这些点位无法由核心数据中心为其提供本地化服务;三是特种用途处理节点（Special purpose processing node, SPPN），主要用于保障特种用途的相关功能，因为从技术或者经济性方面来讲，这些功能无法由核心数据中心或者设施处理节点来提供，这是由于基础设施和设备的差异性造成的;四是战术处理节点（Tactical processing node, TPN），主要是指能够进行优化调整，适应战术环境或者部署任务环境的节点。下图展现了数据中心整合优化后的最终目标状态。\n图 15：数据中心整合优化后的最终目标状态\n从建设的角度来看，国防信息系统局体系计算中心（DISA Enterprise Computing Center, DISA DECCs）要被指定为国防部核心数据中心。这些核心数据中心，负责为联合信息环境基础设施提供骨干网络，促进实施行政管理和预算局指导下的联邦数据中心整合计划（OMB-directed FDCCI），成为计算和存储的整合节点，负责体系运维并提供云服务，预计到2018财年之前将会完成组件应用迁移。下表展现了核心数据中心的基准配置标准。\n表 2：核心数据中心基准配置标准 参考文献  [1] 周光霞, “美军联合信息环境建设情况分析及启示[J]”, 指挥与控制学报, 2016年12月第2卷第4期. [2] GAO Report to Congressional Committees, GAO-16-693, “Joint Information Environment: DOD Needs to Strengthen Governance and Management”, July 2016. [3] Robert J. Carey, “DoD Joint Information Environment: AFCEA Hampton Roads”,10 July 2012. [4] Ethel Stewart, Bob Brown, “Core Data Centers （CDCs）”,14 May 2014. [5] Jason Abernathy, “Joint Regional Security Stacks”,17 Jun 2015. [6] DOD,“Guidance for implementing the joint informationenvironment”, 2013. [7] DOD,“The Department of Defense strategy for implementing the joint information environment”, 2013. [8] Chairman of Joint Chiefs of Staff, “Joint information environment whitepaper”, 2013. [9] Scott Rodakowski, Rich Price,Jay Matos,“JIE Operations and Cyber C2”,14 May 2014. [10] DISA, “Shaping the Enterprise for the Conflicts of Tomorrow: Enabling the Joint Information Environment”, 5 May 2014.  [1]网络管理可分为带外管理（out of band）和带内管理（in band）两种管理模式。目前我们使用的网络管理手段基本上都是带内管理，即管理控制信息与数据信息使用同一物理通道进行传输，例如，常用的HP Open View网络管理软件就是典型的带内管理系统，数据和管理信息都是通过网络设备以太网端口进行传输的，因此，带内管理的最大缺陷在于，当网络出现故障中断时，数据和管理信息的传输都将无法正常实施。带外管理的核心理念在于通过不同的物理通道传输管理控制信息和数据信息，两个完全独立，互不影响。\n","date":1563811400,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1563811400,"objectID":"fa5b140236b78e44e3d55c4376f8b791","permalink":"https://sbilly.github.io/post/dod-joint-information-environment-enterprise-architecture-by-zhiyuan/","publishdate":"2019-07-23T00:03:20+08:00","relpermalink":"/post/dod-joint-information-environment-enterprise-architecture-by-zhiyuan/","section":"post","summary":"联合信息环境，是一种具有安全性和联合性的信息环境，主要由共享性信息技术设施、体系级信息服务、统一安全架构组成，目的是要达成全域作战优势、提升任务实施效力、增进安全水平、实现信息技术效益。","tags":["美军","DoD","JIE","Cybersecurity","DISA","Enterprise Architecture"],"title":"【转】美军联合信息环境解析","type":"post"},{"authors":["sbilly"],"categories":["安全产业"],"content":"作为蓝星上最强的军事力量，美军的信息化水平也一直是让蓝星上各家所仰望的。先让我们通过数字来感受一下蓝星最强军事力量所面对的 IT 复杂度：\n 年度预算 464 亿美元 运行了近万个系统，部署数千个数据中心、数万台服务器，连接了上百万的计算机和 IT 设备、10 万多商业移动设备 支持 130 万服役人员、74.2 万平民、82.6 万国民警卫队和后备力量 基础设施遍布全球 5000 个地点、3000 多万亩的土体、数十万建筑物  作为蓝星上信息化程度最高的美军认为自己的 IT 环境存在一些问题：\n 数据中心和网络太多，投资分散，效率低下 互操作性不足，影响了信息共享和任务协作 快速发展的设备对新技术的需求日益增加 IT 计划平均需要 81 个月，完全无法满足作战人员的需求 网络安全漏洞威胁到机密信息的利用，也危及国家安全 IT 交付流程阻碍了商业技术的应用  这些年来，美帝一直说自己的民生基础设施投资不足嚷嚷着更新基础设施，政客们吵来吵去嗨没什么实质性的动静，讲究执行力的美军却从来没有放过更新基础设施的机会。于是美军从总统发布的国家安全战略（National Security Strategy）逐层解读和分解形成了国防部数字现代化战略（DoD Digital Modernization Strategy），并制定了网络空间风险战略（Cyber Risk Strategy）、人工智能战略（Artificial Intelligence Strategy）、云战略（Cloud Strategy）、信息技术重构战略（IT Refor Strategy）、命令控制和通信现代化战略（C3 Modernization Strat）。作为国防部战略落地的重要承接部门，国防部信息系统局（DISA）也推出了自己的 2019-2022 年战略计划。\n国防部数字现代化战略（DoD Digital Modernization Strategy）就是美国国防部的信息化资源管理战略计划，目的是明确资源投资的方向和优先级，提出了国防部数字现代化战略的 4 大目的和 27 个目标。\n 目的一：为竞争优势而创新 目的二：为效率和能力改进而优化 目的三：为实现敏捷和弹性防御态势而改进网络安全 目的四：为数字化人才就绪而培养  为了确保战略目的落地，美军的 IT 现代化会优先四大方向：\n 网络空间安全 人工智能 云 命令、控制、通信  会重点关注人工智能、大数据分析、绿色 IT、DevSecOps、超融合、无服务器架构（或事件驱动计算架构）、软件定义网络（SDN）、区块链、现代密码学、量子计算、物联网（IoT）、5G、IPv6、无源光纤网络（PON）、零信任安全架构、微电子学这几个方面。DISA 作为主要的战略承接单位计划通过 3 个方面 7 个目标来进行落地，并且制定了技术路线图。\n 防御与运营  1.1. 对基础设施进行现代化更新 1.2. 增强运营   采用、购买和创建解决方案  2.1. 优化企业 2.2. 增强网络空间安全 2.3. 驱动创新   使能人员并进行机构改革  3.1. 使能人员 3.2. 机构改革    网络空间安全 在网络空间安全方面，国防部在战略层面已经把 IT 环境视为一个整体，并且提出了“每个网络、系统、应用程序和企业服务都必须通过设计实现安全（must be secure by design），在整个获取生命周期内对网络安全进行管理”的要求。特别是在网络空间安全方面明确提出了：\n 改革国防部网络安全体系以提高灵活性和增强弹性 部署端到端的标识、凭据和访问管理（ICAM）基础设施 保护国防部敏感信息以及国防工业基地的非机密网络和信息系统的关键程序和技术 改革国防部网络安全风险管理策略和行动  至少到 2022 年之前，美军还会继续大力推行云计算并缩减数据中心的数量，进一步加强端到端基于密码学的访问控制管理，重点改进军工业的安全防护体系，并且通过 DevSecOps 和广泛使用云计算、软件定义网络技术来使 IT 变得更加敏捷和富有弹性。而在国防部信息系统局（DISA）的 2019-2022 年度计划：\n 在敏捷、智能和虚拟化的下一代信息技术体系架构中通过下一代身份和管理解决方案、合规连接技术和软件定义企业来构建**设计实现安全（must be secure by design）**下一代网络空间体系架构 建设防御性网络运营内部防御度量（DCO-IDM），实现快速识别新的漏洞、消除已知的漏洞、部署新的能力进行纵深防御和事件的响应与分析 除了军队自身以外，加强对军工行业、关键基础设施和其他任务保证相关的基础设施的安全防护 退役老旧系统，使用新系统，增强网络空间安全 加强防御架构，重点是防御外部和内部攻击，检测横向移动，并在同步和标准化的防御实现中充分纳入更强大的端点能力。这种标准化和集中化的安全基础结构支持主动配置管理，同时也具有足够的弹性和灵活性来支持被动和主动缓解措施 实施人工智能（AI）和机器学习（ML），通过自动分析网络传感器、威胁指标和系统输出，协助网络维护者识别恶意行为者 通过实施 DevSecOps 提高自动化水平，使安全更敏捷，也使安全嵌入到系统全生命周期  在技术方面，美国国防部重点关注的 16 项技术除绿色 IT、无服务器架构（或事件驱动计算架构）、物联网（IoT）、5G、IPv6、无源光纤网络（PON）几项和安全没有直接关系以外，其他 10 项都和安全有直接关联：\n 人工智能：国防部信息管理局（DISA）准备在网络入侵分析方面使用人工智能和机器学习 大数据分析：国防部计划通过大数据分析增强态势感知能力 DevSecOps：国防部计划通过 DevSecOps 把安全嵌入到业务系统全生命周期中，实现敏捷和设计实现安全（must be secure by design） 软件定义网络（SDN）、超融合：实现能更敏捷的部署、能够快速的部署新的纵深防御能力、提高事件响应和分析能力 区块链：国防部直接称之为“区块链网络空间安全盾牌”（Block Chain Cybersecurity Shield）。主要方向是国防高级研究计划局（DARPA）正在利用区块链技术开发安全的信息传递平台，并在尝试开发一种无法破解的代码，区块链技术为可以提供“谁入侵了安全数据库”的相关信息（从 DISA 的技术路线图中可以看到是积极发展的） 现代密码学：更新密码算法库，更新相关基础设施（国防部采用的现有身份证书等不符合政府采用的标准） 量子计算：利用量子的特点实现长距离的安全通信，以及利用量子计算来解决传统计算机不擅长的问题（例如，密码学中常见的大数分解的问题） 零信任安全架构：国防部首席信息官正在和国防部信息管理局（DISA）、美国网络司令部（USCYBERCOM）、美国国家安全局（NSA）共同在进行探索。希望通过零信任安全架构实现一个相对当前安全架构而言，更加简单、高效的安全架构。 微电子学：改善供应链安全，增加军工行业的安全标准要求，提供安全能力增强和信息共享机制  从 DoD 和 DISA 发布的内容来看，美国军方和政府都关注的美国军工企业被入侵、供应链安全、高级威胁等都做了回应，近年来业界发展比较快的现代密码学、人工智能、机器学习、大数据分析、区块链技术、零信任架构等等都有关注。对比 2014-2018 年美国国防部资源管理战略计划来看，美国国防部一直都在对身份和访问控制进行投资（这方面和国内有显著差异）；另外， 2019-2023 年的计划中对安全的重视大大提高，大量内容都是应对当下的美军遇到的安全问题，而且提出的解决方案也相当接地气。\n资料链接  资料链接: https://pan.baidu.com/s/1ViGuMVu38p-ke4F_LJkasw 提取码: yfup  ","date":1563683308,"expirydate":-62135596800,"kind":"page","lang":"en","lastmod":1563683308,"objectID":"f9ec80ac997bdf8919d52af09b210741","permalink":"https://sbilly.github.io/post/dod-and-disa-released-2019-2023-strategic-plan/","publishdate":"2019-07-21T12:28:28+08:00","relpermalink":"/post/dod-and-disa-released-2019-2023-strategic-plan/","section":"post","summary":"蓝星最强军事力量发布了自己的数字现代化战略，特别重视网络空间安全，期望把 IT 变得更加敏捷。","tags":["美军","DoD","DISA","Cybersecurity"],"title":"美国国防部发布 2019-2023 年数字现代化战略","type":"post"}]