美军网络安全 | DISA战略计划2.0版抬升零信任地位

作为美国国防部的IT提供商,DISA(国防信息系统局)于2019年7月发布了《DISA战略计划(2019-2022财年)》(即1.0版)。

约一年半后的2020年11月25日(圣诞节),DISA发布了更新版《DISA战略计划v2.0(2019-2022财年)》(DISA Strategic Plan v2.0 FY2019-2022)。

本文主要从战略框架技术路线图两个方面,对2.0版与1.0版进行了粗略对比,发现几点显著变化:

1)技术路线图发生明显变化,反映了DISA工作的优先级调整

2)大幅抬高零信任架构的地位,升至使能活动

3)强调了“在购买之前采用、在创造之前购买”的购置策略。

图片

图1-《DISA战略计划 v2.0》封面注:图中右下角的60,表示2020年是DISA成立60周年纪念日。DISA前身是1960年5月12日成立的国防通信局(Defense Communications Agency)。

关于DISA(国防信息系统局)的职责,可参见《美军网络安全 | 我们需要自己的DISA》。


01DISA战略计划之战略框架

图片

图2-战略框架(2.0版)
战略框架实际上就是该战略计划的目录结构。笔者对其汉化如下:
1.0 运行与防御
1.1 现代化基础设施1.1.1 网络增强1.1.2 IPv61.1.3 网络运营1.1.4 频谱

1.2 最终用户支持1.2.1 第四产业网络优化(4ENO)1.2.2 五角大楼和国家首都地区支持1.2.3 国家领导指挥能力

1.3 计算

1.4 DCO-IDM

2.0 先用后买和先买后造

2.1 为企业优化2.1.1 云2.1.2 国防企业办公解决方案(DEOS)2.1.3 移动服务2.1.4 测试

2.2 加强网络安全2.2.1 边界防御2.2.2 区域防御2.2.3 端点安全

2.3 驱动创新2.3.1 自动化2.3.2 开发、安全、运行/敏捷软件开发2.3.3 业界参与2.3.4 革新采购2.3.5 可靠身份2.3.6 移动/桌面融合2.3.7 通用网关

3.0 使能人员和改革机构

3.1 使能人员3.1.1 信任和问责框架3.1.2 招聘/雇佣3.1.3 留用3.1.4 培训3.1.5 网络例外服务

3.2 改革机构3.2.1 业务流程系统现代化3.2.2 数据管理3.2.3 客户服务毫无疑问,2.0版战略框架的需要和1.0版战略框架进行比较:

图片

图3-战略框架(1.0版)简单对比可知:
1)在战略目的(第1级标题)层面:两者完全一致,仍然是三大战略目的。但是,1.0版中的第2个战略目的的名称“采用、购买、创建解决方案”,在2.0版中改成了“在购买之前采用、在创造之前购买”(Adopt Before We Buy And Buy Before We Create)。笔者觉得这个修改很个性!并且可以再简化为“先用再买、先买再造”。

2)在战略目标(第2级标题)层面:2.0版本有了不大的变化。变化主要发生在第1个战略目的(即运行和防御)之下:1.0版的战略目标是2项,即1.1现代化基础设施、1.2提升运行能力;而2.0版战略目标是4项,即1.1现代化基础设施、1.2最终用户支持、1.3计算、1.4 DCO-IDM。但其实可以认为,2.0版的1.2、1.3、1.4是由1.0版的1.2拆分出来的。

3)在战术(第3级标题)层面:变化就太多了,不再枚举。由于这个层面都是DISA职责范围内的具体工作,既然职责不会在一年内有大变化,那么具体工作也就不会有大变化。因此,总体上可以认为,发生的变化只是具体工作层面的重新归类增、删、改。但是,毕竟一年的时间已经过去,有些小目标已经完成,有些工作的优先级需要变化。而这些工作优先级的变化才是重点,它们正好反映在下面要介绍的技术路线图中。02DISA战略计划之技术路线图

图片

图4-技术路线图(2.0版)(可点击放大图像)

由于笔者已经做了汉化,不再逐一介绍具体内容。但是同样地,我们需要观察2.0版技术路线图和1.0版技术路线图的差异:

图片

图5-技术路线图(1.0版)

一看便知:技术路线图的风格大变,看起来已经完全不是一回事了。但形式上的不同,是否反映了更加深刻的变化呢?我们还是需要更进一步,观察内容的变化。

注意,技术路线图反映了DISA的各条技术路线的成熟速度。

在1.0版中

  • 通过4种颜色的条框(即:深蓝色-积极参与、浅蓝色-积极寻求、淡蓝色-检测、绿色-使能活动)反映了3大类技术(即:左-网络服务、中-计算服务、右-端点)的技术成熟度。
  • 其中,笔者最关注的零信任架构,被设置为淡蓝色,也就是“监测”状态,即需要跟踪观察的技术,甚至都算不上“积极寻求”,更别说“积极参与”了,距离“使能”的基础性地位就更加遥远了。

在2.0版中

  • 通过一条“道路”,直观反映了路线图的走向;
  • 通过三面方旗,反映了三大战略技术领域1)网络防御;2)云;3)国防企业办公解决方案
  • 注意到,DISA是国防部的IT提供商,并非纯碎的网络安全提供商。所以其业务范围非常广泛,绝不仅仅只是网络安全。简单地说,其业务涵盖了IT+安全。那么,在三面大旗中,把网络防御作为第一面大旗,就更加凸显了网络安全对于DISA乃至对于美国国防部IT建设的第一位的重要性
  • 网络防御方面:零信任架构地位也被直线抬升零信任架构被定位为网络防御方面的使能活动,可以说地位被连升3级(从第4级升至第1级)
  • 云方面:云技术领域的使能活动是DevSecOps。这反映了敏捷软件开发已经被视为DISA的创新速度之源。这也是安全内置(或安全内生)的直接要求。
  • 国防企业办公解决方案(DEOS)方面:DEOS在新版路线图中作为一个方面军被提出,显然是反映了DISA对办公效率的高度重视。笔者认为,大部分人会对此非常不解。所以,计划在后期专门介绍这套方案,此处不再赘述。

综上,笔者认为技术路线图的变化是2.0版的最大变化。新版的技术路线图明确了DISA具体工作的优先级,更加清晰明了,也更具可操作性。
03总结与发现

前面从战略框架技术路线图两个方面,对2.0版与1.0版进行了粗略对比。稍微结合战略计划报告原文,还可以有以下发现:

1)DISA工作的优先级调整这恰恰是技术路线图的变化所反映出来的。(参见第2节)

2)大幅抬高零信任架构的地位从技术路线图中可见,将零信任从虚无缥缈的监测技术,升至网络防御方面的使能活动。(参见第2节)从战略计划报告的文字内容看,也有显著变化:

  • 在1.0版中:你会惊讶地发现,在文字内容中找不到“零信任”字样。唯一的“零信任”文字,仅仅出现在技术路线图中。
  • 在2.0版中:专门有一段文字,用来阐述零信任的地位和进展:“我们追求一个健壮的防御架构的方法之一是通过我们的“零信任”架构计划,该计划充当一个使能属性,将所有安全解决方案集绑定在一起。DISA正与国家安全局、美国网络司令部、国防部首席信息官合作,开发一个动态的零信任实验室环境,能够复制现有的和接近实际的技术,以测试零信任能力。” 

3)强调了“先用再买,先买再造”的技术采用策略先用再买:要求买之前就已经采用/试用过了,可以保证买来之后是可以发挥实际效用的。先买再造:能买的尽量够买,尽量不要自己创造和研发。使用商业产品和创新能力,避免反复造轮子。这本质上是为了加快创新步伐

4)对人才的重视
这里只想强调,DISA之所以秉持开放性(比如对外发布其战略计划),很大一个原因就是:需要让外部人员了解DISA究竟在做些什么,从而可以吸引到更加优秀的人才加入DISA。下面从两个方面来佐证这一点:
在第2.3.3节(业界参与)中,DISA强调了保持与业界的伙伴关系

  • DISA为业界提供了与DISA领导层、高级管理人员、项目经理全年会面的机会
  • DISA在每年一次、为期一天的年度会议“Forecast to Industry(业界预测)”上亲自或虚拟地接待行业代表。
  • DISA还参与全年性的AFCEA活动
  • DISA的资深人员和项目经理向业界通报DISA的未来计划,并提供一份全面的签约机会清单(每半年更新一次)。

在整个3.1节(使能人员)中,竟然用了5个小节、共计2700字(译文)的篇幅,来说明如何招人和用人。比如DISA为了网罗人才,在招聘方面提到几种有趣的方法:

  • 就业品牌和营销:DISA寻求制定一个全面的就业品牌战略,要在政府、业界、学术界推广自己。加强DISA的社会媒体存在感,扩大DISA的劳动力市场影响力。
  • 使用自动化招聘技术:利用虚拟征聘,应对无法面谈的场景。利用社交媒体平台LinkedIn、Facebook、Twitter,为招聘会和活动做广告。
  • DISA的大使计划:培训DISA的员工成为宣传大使宣传DISA是首选雇主,使他们成为推广DISA品牌的力量倍增器,从而吸引有才华、高素质的专业人士加入DISA。

笔者想说,DISA在招人方面也算绞尽脑汁。这算不算是——以人为本

5)该战略计划的更新
本战略计划中提到,DISA将在每个财年开始时审查和更新战略计划。而美国财政年度是指上一年的10月1日至当年的9月30日为一个。所以,在每年的年底,我们都可以期待获得一份更新版的DISA战略计划。

(本篇完)

阅读原文

简介:零信任和安全架构传道者。专注于解析国外先进网络安全体系,为国内军政企首席安全官提供参考。帐号主体为柯善学博士,现任职360政企安全集团产品创新部。自2020年7月起,本订阅号只做原创,其中文章观点,不代表所在公司立场。欢迎关注微信公众号:网络安全观
(1)
打赏 喜欢就点个赞支持下吧 喜欢就点个赞支持下吧

声明:本文来自“网络安全观”,分享链接:https://www.zyxiao.com/p/302410    侵权投诉

网站客服
网站客服
内容投稿 侵权处理
分享本页
返回顶部