導讀:由于云計算技術在軍事領域具有潛在的全面而積極的影響,因此近年來美軍一直致力于運用云計算技術的探索試驗。試驗結果表明:帶寬和網絡冗余問題并沒有原來想象得那么嚴重,不過網絡的物理安全問題需要引起高度重視;網絡帶寬的物理限制將直接影響各節點能否獲得云環境中的特定服務,尤其對于戰術層次網絡尤為如此。另外,通過案例分析,美軍還發現其它幾個重要問題。第一,盡管現行陸軍條令將整個軍用網絡看作一個單一的企業化網絡,而事實上,固定的駐軍網絡與各種戰術環境下臨時性構設的網絡有明顯區別。這種區別表現在基礎設施、運用程序以及專用設備各個方面。第二,目前作戰條令中還沒有對“網絡空間”的明確闡述。毋庸置疑,如果這些問題得不到解決,那么云計算技術在未來軍事領域中的運用效能將受到很大制約。
第一章 引 言
本研究報告始于對云計算技術在軍事領域中的運用的調查研究。在研究之初,我們曾推斷認為:云計算技術的運用將對軍事領域產生全面而積極的影響,但戰術網絡會在安全性、帶寬限制、戰術網絡冗余等方面存在一些技術難題。然而,最近美國陸軍試驗分析結果表明:帶寬和網絡冗余問題并沒有原來想象得那么嚴重,不過網絡的物理安全問題需要引起高度重視;網絡帶寬的物理限制將直接影響各節點能否獲得云環境中的特定服務,尤其對于戰術層次網絡更為如此。
另外,通過案例分析,我們還發現其它幾個重要問題。首先,盡管現行陸軍條令將整個軍用網絡看作一個單一的企業化網絡,而事實上,固定的駐軍網絡與各種戰術環境下臨時性構設的網絡有明顯區別。這種區別表現在基礎設施、運用程序以及專用設備等各個方面。其次,目前作戰條令中還沒有對“網絡空間”的明確解釋。毋庸置疑,如果這些問題得不到解決,那么云計算技術在未來軍事領域中的運用效能將受到很大制約。
一、背景及意義
近年來,由于計算機網絡技術的迅猛發展,美軍的戰場態勢感知能力與信息聯通能力大大提高。云計算技術的出現,更為人們帶來了無限遐想。簡言之,“云計算”就是通過網絡實現數據遠程存儲,并利用遠程計算機上的應用程序進行信息處理與計算。目前,這種技術已經開始運用于民用網絡,在節省費用、加強信息管理等方面表現出巨大潛力。 在過去幾年中,美軍,特別是美國陸軍,已經針對“如何將云計算技術運用于C4I系統,為美軍(主要指美國陸軍)在全球范圍內各駐軍單位以及部署狀態下的戰役、戰術軍事單位提供成本更低、效率更高的計算機網絡服務”這一問題進行了專題調查研究。 很顯然,若將云計算技術運用于軍事領域,就可以為機關部門與各部(分)隊提供更加安全可靠的存取信息服務,減少各單位競相購置計算機軟硬件帶來的經費攀升,同時有助于全面推廣虛擬訓練。然而,也必然會面臨一些挑戰,比如網絡物理安全、信息分類以及衛星帶寬代價昂貴等方面的問題。對于在駐軍基地的固定網絡或長期部署環境(如阿富汗戰場)下發展成熟的網絡來說,這些問題表現不明顯,也較易克服。然而,在條件嚴苛的戰術環境下,這些問題必然會表現得較為突出。本研究報告將通過近期云計算技術在軍事網絡上的一些運用案例,評估云計算技術在軍事領域運用的必要性、可行性與潛在效能。無論如何,可以事先推定的是,云計算技術將為軍事網絡帶來全面而積極的影響,不僅可以提升網絡的性能,還可以大大節省軍費。當然,也必須對一些技術局限有一定的思想準備,比如安全性、帶寬限制、戰術網絡冗余等問題。
當前,美軍軍事網絡是一個覆蓋全球的廣域網,即“全球信息柵格”(GIG),集成了互聯網、電話、視頻會議等網絡功能,可以為所有軍事用戶提供各種保密或非保密的語音、視頻與數據傳輸服務。美國各種網絡化數字系統都可以接入全球信息柵格。全球信息柵格由美國國防信息系統局(DISA)負責操作與維護。 全球信息柵格的陸軍部分稱為“地面作戰網”(LWN),覆蓋美國陸軍在世界各地的所有基地、兵營、場站,甚至包括處于作戰環境下的戰術作戰網絡。 由于可部署衛星通信終端(特別是聯合網絡節點JNN)的使用,在全球任何地方都可以接入戰術作戰人員信息網絡(WIN-T)。在當前的組織結構與兵力部署下,從軍、師至旅、營,大約210個指揮所都配備了專業的聯合網絡節點(JNN)連。該連通過操作聯合網絡節點,可以將對應指揮所的戰術作戰中心(TOC)接入陸軍地面作戰網。 每個指揮所都配備一套計算機服務器,稱為“作戰指揮服務器組件”(BCSS)。該服務器組件采用微軟Windows網絡系統,可以提供電子郵件、文件共享、防殺病毒等功能。此外,每個“作戰指揮服務器組件”中都包含專業數據庫系統,可以為指揮控制軟件系統使用。 而相應的指揮控制計算機軟件系統則統稱為“陸軍作戰指揮系統”(ABCS)。本質上說,陸軍作戰指揮系統是一個“系統的系統”,可以為指揮員與參謀人員提供戰場通用作戰圖(COP)。同時,它為情報、火力、后勤、空域管理、醫務、友鄰態勢等各種作戰功能領域信息的獲取、分析、處理與分發活動,提供了計算機軟件工具。每項指控軟件都具有特定戰場功能,但在師或師以上級別,所有指控軟件都通過“作戰指揮服務器組件”的數據庫相融合。下圖顯示了戰術作戰人員信息網增量1的網絡結構(注:沒有體現作戰指揮服務器組件和陸軍作戰指揮系統):
圖1 戰術作戰人員信息網(WIN-T)增量1網絡結構圖
不同戰場功能的網絡往往被看作一個統一的整體。 這一點,在美軍的現行條令、近期的戰略規劃以及陸軍的各類行動計劃中均有所體現。然而,在具體實施過程中,不同戰場功能的網絡煙囪式發展的現象依然普遍存在。對于美國陸軍來說,地面作戰網(LWN)也屬于一種“企業網”,這體現在陸軍指揮控制思想與作戰條令各個層面。 現任國防部首席信息官(DoD-CIO)發布了一份“依托聯合信息環境(JIE)運用云計算技術的戰略”。可以發現,該戰略在近期參謀長聯席會議主席(CJCS)執行命令與美國國防白皮書中均有所體現。這些文件對聯合信息環境進行了詳細闡述,給出了云計算技術實施策略,并為美國國防信息系統局(DISA)下達了總體任務。然而,美中不足的是,并沒有制定戰術地面作戰網(LWN)進一步開發的具體計劃。
2009年以來,美國陸軍已經進行過多次云計算技術運用試驗,尤其是針對地面作戰網(LWN)的戰術部分。2009-2010年間實施的“作戰驗證演習”(OPVAL),主要測試了“全球網絡企業構架”(GNEC)的概念,以驗證運用云計算技術為作戰部隊遠程備份服務器數據的可行性。 2012年以來實施的“網絡綜合評估”(NIE)試驗,測試了戰術部隊依托聯合信息環境接收遠程服務的可行性。 為了重點識別與解決戰術作戰部隊的網絡問題,這些試驗都是立足于攜帶整套網絡設備的戰術作戰部隊為基礎而完成的。當云計算技術走向實用后,作戰部隊接入地面作戰網(LWN)的方式方法將迎來重大變革。進一步講,未來運用智能手機、平板電腦及其它便攜式電子設備等最新技術,陸軍作戰指揮系統有望延伸至戰術層次。無論如何,云計算技術運用后,將為軍事領域帶來多方面積極改變,如節省資金、增進信息共享、提升網絡安全等。
二、“云計算”的定義
按照人們的通常理解,“云計算”是指用本地計算機設備獲取遠程計算機的數據與服務。而美國國家標準與技術學會(NIST)的官方定義為:
“云計算”是一種圍繞分布式共享計算資源(如網絡、服務器、存儲器、應用程序和服務等)的創新運用模式。資源提供者可以方便而快速的提供計算資源,而無處不在的資源需求者可以便利地使用共享的遠程計算資源。
根據該定義,云計算設施的軟、硬件布局有五個重要特征:一是自助式服務,即使用者可以根據需求隨時自動接入網絡;二是網絡準入門檻低,對硬件設備要求不高;三是形成資源池;四是適應性強,即云計算能力將根據用戶的需求變化而不斷調整,并對用戶透明;五是服務可跟蹤、度量與控制,每使用一次都會有記錄。當前,美軍條令還沒有對“云計算”做出正式定義,但國防部首席信息官(DoD-CIO)采用的正是美國國家標準與技術學會(NIST)給出的定義。此外,國防部信息局明確指出云設施與現行網絡的區別:“傳統信息技術主要致力于計算機軟件、硬件技術的研發、維修與運用;而云計算技術的重點在于將信息技術作為一種服務提供給用戶 ……基于互聯網協議網絡”。
從概念上講,云設施分為物理層與抽象層兩部分。其中,物理層主要是指硬件設備,如服務器、存儲介質與網絡設備;而抽象層主要是指指計算機軟件,云設施區別于現行網絡模式的主要特征蘊含于此。在“云環境”下,各種遠程服務將通過以下三種服務模式來完成:
· 軟件即服務(SaaS)。在這種模式下,用戶只需進行本地計算機配置環境設置,便可以使用服務提供者在云設施上運行的計算機應用程序(如網絡瀏覽器)。互聯網上谷歌公司的文檔編輯服務便是這樣一個典型例子。
· 平臺即服務(PaaS)。在這種模式下,用戶可以在本地創建或下載由提供者支持的計算機應用程序。常見的典型例子為,蘋果公司提供的應用程序可以在用戶的Ipad智能手機上下載使用。當這種模式用于軍事網絡時,有助于簡化或減少不必要的煙囪式軟件系統。
· 設施即服務(IaaS)。在這種模式下,用戶控制存儲介質與應用程序,而利用云環境下的經過充分檢驗認證的任何操作系統或軟件。通過這種虛擬的秘密網絡服務(VPN),用戶可以利用個人數字化設備安全地使用云服務。
事實上,除此之外,商業環境下還有另外一種服務模式,稱為“知識即服務”(KaaS)。 在這種模式下,將根據用戶的具體需求,為用戶提供可裁剪的解決方案。這是基于近期出現的“從數據中挖掘數據”的概念而實現的。
這些遠程服務通過不同的云設施配置模式提供給用戶。具體而言,共有以下四種配置模式:
· 私有配置模式。計算機遠程資源或服務專門為某個特定的組織提供,不對組織以外的人開放。此外,云設施很可能由第三方負責管理。例如,某一跨國公司的云服務可能由亞馬遜公司操作,但僅有該公司的內部員工有權訪問。
· 公共配置模式。計算機遠程資源或服務對任何人開放。企業、科研院所或政府部門均可以進入使用。一個顯著的例子是,任何人都可以通過網絡,利用谷歌公司的云服務存儲文件。當然,目前谷歌公司對個人免費存儲文件總容量有上限規定。如果有人想在云網盤中存儲更多數據,那么便需要繳納一定的費用。
· 社區配置模式。計算機遠程資源或服務僅對某些具有相同興趣愛好或專業領域的一群人(形象地稱為“社區”)開放。這些云設施可能由“社區”成員管理,也可能由第三方管理。
· 混合配置模式。混合模式是指同時存在以上三種情況。云計算技術在軍事上的運用很可能采用這種混合模式。
美國國防部將要實施的云計算構架很可能是“設施即服務”(IaaS)與“混合配置”相結合的模式。盡管還未寫入任何發展規劃或計劃,但這種模式將是構成未來聯合信息環境(JIE)的中堅或骨干。
第二章 運用云計算技術的動因
一、變革的動力
在過去二十多年中,美軍已經開發了許多面向特定戰場功能的作戰網絡與軟件系統,但這些網絡或系統的集成化程度并不高。為了將這些煙囪式的松散的系統集成在一起,美軍已經做出許多努力,這也正是構建聯合信息環境(JIE)和引入云計算技術的主要動因。但對于美國政府而言,將云計算技術運用于軍事領域的首要目的是節省軍費與提高軍費的利用率。兩年前,IT行業國際巨頭、“戴爾”公司總裁麥邁克爾·戴爾(Michael Dell)曾說過:
在維持廣域分布的信息技術資產方面,美國聯邦政府需要花費大約760億美元。然而,如果采取建設數據中心、去除網絡冗余、對應用程序實行標準化等方法,那么這筆巨大開支便可以節省30%。
事實上,在軍事網絡方面,不必要的開支也大量存在。除以上原因外,還由于位于世界不同地區的軍事單位或不同軍事業務部門之間在安全性、硬件許可、軟件許可等方面都存在不一樣的標準。如果考慮雇傭IT員工的費用,那么這筆開支更大。例如,2010年末,美軍與國際電話電報公司(ITT)簽訂了一項臨時合同,雇傭了大約2000名地方合同商負責操作與維護位于西南亞和北非的軍事網絡。這項合同的有效性持續到2012年7月,歷時18個月,總花費達5.38億美元。 盡管這筆龐大的費用對于支持西南亞與北非部署部隊的基本通信非常必要,但如果這些網絡從一開始就像一個企業一樣實行集中設計與管理,那么費用一定會明顯下降。
伊拉克戰爭與阿富汗戰爭開始時,美軍的軍事網絡幾乎是草草拼湊起來的,并沒有考慮戰事的持久性。遠赴伊拉克或阿富汗戰場的作戰部隊都是攜帶著計算機與戰術作戰人員信息網(WIN-T)設備一起參與部署的,有些部隊帶去的甚至是一些與全數字化的戰術作戰人員信息網并不兼容的過時的網絡設備。在各個戰區,戰術網絡被臨時改造為固定網絡,而沒有考慮它們的技術標準與費用,只求滿足臨時需要。國內駐軍單位、兵力集結地域與前沿部署部隊的網絡標準與政策均不盡相同,如果這些單位的計算機要聯網于一體,那么必然會遇到很大麻煩。每個網絡的登錄規則都不相同,電子郵件賬戶也不通用,導致指揮員很難流暢地進入其它網絡,有時候只能尋求其它單位的幫助。美國陸軍首席信息官(CIO/G-6)蘇珊·勞倫斯(Susan Lawrence)中將曾總結道,“部署到伊拉克戰場或阿富汗戰場的每個軍事單位都有各自的網絡構建方案,結果造成不必要的混亂,同時降低了網絡的安全性”。基于上述原因,必須對軍用網絡進行改革。根據勞倫斯中將的說法,當前美軍在阿富汗戰場的軍事網絡的現代化程度已經很高,所有語音、視頻、數據傳輸服務都實現了數字化,號稱“網中的一切都基于互聯網協議”(EOIP)。然而,必須承認的是,美國陸軍范圍內大部分駐軍網絡依然是過時的。
另一方面,當作戰部隊處于兵力生成周期(ARFORGEN)中的訓練階段時,士兵們在訓練場使用的計算機很難接入原駐地的固定網絡。結果,在部隊兩次赴外場訓練之間的數個月內,陸軍作戰指揮系統(ABCS)往往處于停用狀態,重要數據容易發生丟失現象,而且士兵們操作陸軍作戰指揮系統的技能也會因此而下降。當計算機網絡設備或系統列裝部隊時,無論是從物理層面,還是從邏輯層面,自然而然地區分為戰術網絡與駐軍網絡。這也就意味著,用戶用于登錄戰術網絡的用戶名或密碼不一定適用于駐軍網絡,反之亦然。如果再考慮電子郵件賬戶,那么可能造成更大的混亂。 為了消除不必要的冗余、使采辦更有效率、減少雇用地方企業IT技術員工、維持安全性并構建通用性更強、人機環境更好的軍事網絡,迫切需要進行現代化變革。而現代化的一個重要目標便是,將駐軍網絡與戰術網絡融為一體。可以說,聯合信息環境(JIE)的構建,將有助于解決這些問題。
二、國防部指南:未來軍用網絡發展路線圖
除網絡標準化外,在本屆政府每個相關的戰略文件中,網絡安全與網絡防御都被視為國家安全的重要內容。 美國總統在近期的國會演講中強調指出,“為了解決信息共享與網絡安全問題,為了保持美國在全球網絡空間的主導地位,必須加快美國國家網絡的現代化進程”。這實際上代表了美國政府多年來一以貫之的信息技術發展戰略。 國防部也意識到軍用網絡現代化的必要性,準備以“企業化”為方法論來解決這個問題。國防部首席信息官(DoD-CIO)的說法可謂一針見血:“問題就在于軍事信息網絡不必要的復雜性。多年來,美軍研發并列裝了大量具有專用目的的信息系統,結果帶來安全性降低、信息共享不暢、額外經費開銷等許多問題”。一些政府官員與高級軍事官員也認為,為了增強網絡安全性、提高戰術網絡與駐軍網絡的性能和效能、減少總體費用并保持融入未來新技術設備的靈活性,有必要以企業化的思維,加快推進軍事網絡的集成化建設。
按照規劃,美軍最終將把在全球范圍內數百個軍事設施的15000個煙囪式的軍事網絡、超過700萬套計算機設備集成起來,共同建成一個龐大而統一的信息技術基礎設施。為了達到這個目標,國防部首席信息官(DoD-CIO)開發了26項特別倡議,以支持5個關鍵的功能領域(或努力方向):網絡服務、計算機服務、應用程序與數據服務、終端用戶服務、信息技術業務實踐。 概括而言,實現該目標共有三種方法可供選擇:一是在國防部按照軍事業務領域整合信息技術服務;二是致力于優化聯合信息環境;三是在國防部范圍內統一整合信息技術服務。最終,國防部首席信息官選擇了第二種方法,即優化聯合信息環境。究其原因,不僅是這種方法不僅有助于實現達到提高效能、節省經費的短期目標,還可以最終實現整合國防部范圍內所有信息技術服務的長遠目標。
2012年7月,國防部首席信息官(DoD-CIO)發布了《云計算發展戰略》。其中,對未來實現軍事信息技術大范圍企業化戰略的實施途徑進行了具體闡述。 同時,還開發了一份云計算發展行動計劃,詳細討論了當前狀態、終極目標、可能遇到的問題、努力方向、里程碑事件等關鍵問題,以打造更安全、更高效、適應性更強的下一代網絡。該行動計劃提出四項需要同時進行的重要工作:一是試驗運用云計算技術;二是構建優化統一的數據中心;三是確立國防部企業云計算設施;四是提供云服務。這些工作將在三個重大的網絡領域展開:一是非保密互聯網協議路由網絡(NIPRNET),即僅處理非保密信息的網絡;二是保密互聯網協議路由網絡(SIPRNET),即處理保密信息的網絡;三是全球聯合情報通信系統(JWICS),即處理高度機密的信息的網絡。除這三個大的網絡領域外,還可能有其它一些聯合網絡。
這些發展路線圖得到了美軍參謀長聯席會議主席(CJCS)的認同。他在近期《聯合作戰的“拱頂石”概念(CCJO):聯合部隊2020》中強調指出,“基于云計算的指揮控制技術是美軍全球一體化作戰的重要支柱”。 他還指出,“軍事網絡必須緊跟民用網絡的發展步伐,加快開發用于態勢感知的通用網絡工具”。美國網絡司令部(USCYBERCOM)也認為,應當以企業化的總體思維構建未來軍用網絡,從而最終導致“聯合信息環境”(JIE)概念的產生。 最近發布的《參謀長聯席會議主席(CJCS)關于聯合信息環境的白皮書》將云計算技術看作聯合信息環境的關鍵技術,“…聯合信息環境包括若干網絡化作戰中心、若干統一的的數據中心與一套云服務全球認證管理系統”。
第三章 云計算技術在駐軍網絡中的運用
簡言之,駐軍網絡是指為美軍在美國大陸(CONUS)與海外各基地、港口、場站、兵營等永久軍事設施提供各類保密或非保密語音、視頻、數據服務的通信網絡。這些網絡通常采用固定的光纖骨干網(帶寬達100mb/s),連接到中央管理的服務器/路由器集群(cluster)設備,這些集群設備又接入全球信息柵格(GIG)。在美國本土,這些網絡設施的安裝、操作與維修均由隸屬于當地政府的網絡集成中心(NEC)和區域性的網絡戰與安全中心(NOSC)進行——這兩類中心又屬于軍事指揮結構的一部分,軍方領導由陸軍信號旅的軍官擔任。 而在海外基地(如駐歐洲、韓國等軍事基地)卻不同,網絡戰與安全中心(NOSC)由戰區信號司令部及其下屬的信號旅負責維護,而其它本地網絡集成中心(NEC)由支援營、連負責維護。
本章將對支持國防部網絡整合進程的兩大項目進行檢查分析:一個是剛剛出現的基于云計算技術的聯合信息環境(JIE)概念;另一個則是美國陸軍正在實施的“企業電子郵件”(Enterprise Email)工程。在分析的過程中,將重點分析這兩個項目對于永久性駐軍網絡的潛在影響,以及在實施過程中可能遇到的問題。
一、聯合信息環境
聯合信息環境(JIE)是美國國防部為了提高軍事網絡的效率、效能與安全性,而對全軍范圍的信息技術基礎設施進行整合的一個項目。其執行由美國陸軍首席信息官(CIO/G-6)具體領導。最近獲批的文件《面向作戰的聯合信息環境行動概念》對“聯合信息環境”的定義為:
“聯合信息環境”(JIE)主要包括共享的信息技術基礎設施、企業化服務與安全認證體系等重要的組成部分,其目的是要推動全譜優勢的達成、增強軍事網絡的安全性并提高軍事任務的效能。聯合信息環境將按照統一的命令計劃(UCP)執行,包括標準、規格與通用戰術、技術與程序(TTPs)等方面。
很顯然,在實現美國國防部所提的下一代信息系統總目標方面,聯合信息環境(JIE)已經顯示出很大的發展潛力。最近,美國陸軍網絡司令部(ARCYBER)部長雷特·赫爾南德斯(Rhett Hernandez)中將在講話中,特別強調綜合性解決方案的重要性:
隨著現代信息技術的迅猛發展,網絡空間與電磁頻譜已經在作戰領域留下深深烙印。……在高度依賴通信網絡遂行傳統軍事行動的背景下,需要地面作戰行動與網絡作戰行動高度集成。也就是說,一支聯合部隊應當同時擁有地面力量與網絡空間力量,并在同一個指揮員的指揮下行動,以產生更加高效的作戰效果,達到各種戰役或戰術目標。
以上論述表明,現代陸軍的任務指揮系統以及軍事行動的成功,在很大程度上取決于安全、高效的計算機網絡能力。而聯合信息環境(JIE)正是國防部首席信息官(DoD–CIO)整合軍事網絡,以創建一個聯合的、跨部門、跨國家的更完美的信息共享環境的有效途徑。前面已經提到,在實施過程中將采取“設施即服務/混合模式”(IaaS/Hybrid)的云計算構架。聯合信息環境則是一種便于網絡管理、能力標準化,可以提供集成化服務,并且執行通用體系標準及戰術、技術與程序(TTPs)的先進信息技術框架。 另外,聯合信息環境的構建需要系統的采辦程序。按照計劃,在美國歐洲司令部(USEUCOM)與美國非洲司令部(USAFRICOM)的支持下,駐歐部隊將首先啟動構建聯合信息環境。接下來,其它部隊再采取增量式更新的方法,逐步構建聯合信息環境。 另一條發展思路是,駐軍網絡首先改造為聯合信息環境,然后再逐步擴展至地面作戰網(LWN)的戰術部分。
具有提供企業服務與數據存儲功能的核心數據中心,將采取聯合信息環境(JIE)的云計算結構。這些數據中心也可以在中央管理的安全結構以外的網絡中建立,這樣可以提高安全性。 為了提高網絡效能,駐軍網絡的聯合信息環境(JIE)將全面采取通用身份認證管理、“硬件無關”的解決方案。 另外,減少服務器和運用創新技術也是聯合信息環境(JIE)構建的應有之意。當然,聯合信息環境(JIE)還有一些問題不能解決,如各相對獨立的網絡的物理安全問題以及網絡準入許可問題。
一直以來,美國陸軍許多單位都在駐地構建了網絡基礎設施。這些網絡基礎設施均是為滿足本單位需求并根據本單位實際情況構建的,任兩單位之間的網絡基礎設施在安裝、操作與維護等方面都具有不盡相同的標準。結果,即使在同一戰區內,可以在某個單位網絡中使用的登陸身份信息(包括用戶名與密碼),并不一定能在其它網絡中使用。雖然通用登陸卡(CAC)為所有戰區范圍內的非保密互聯網協議路由網絡(NIPRNET)提供了身份管理與準入控制標準,但由于各軍事單位Windows系統網絡是獨立的,因此不同網絡間的通用身份認證問題一直沒有得到很好的解決。同樣,在戰區之間,該問題也未得到有效解決。例如,假如一名部隊駐地在德國的美國陸軍軍官,返回美國大陸,到其它陸軍部隊駐地出差,那么他無法登陸該駐地的任何一臺計算機,除非本地網絡集成中心(NEC)的工作人員為其分配一個臨時賬號。通過云計算技術的運用,聯合信息環境(JIE)可以解決這樣的問題——不僅打通陸軍各部隊駐址網絡,還可以方便地連接其它軍種基地網絡。
聯合信息環境(JIE)的一個重要概念是“設施即服務”(IaaS)或“硬件無關”。這實際上是在強調聯合信息環境下的可移動性——也就是說,通過網絡身份認證的用戶可以在世界任何一個地方,使用任何一部移動設備,對在辦公室開發的或存儲于云環境中的電子郵件、網絡瀏覽器或文檔進行操作。盡管這些概念在軍事領域相對較新,但在民用領域卻已非常普遍。最具代表性的是,各種運用微軟Windows、“蘋果”(Apple)、“安卓”(Android)或其它操作系統的智能手機或平板電腦。在民用領域,這些觸屏式電子設備的功能越來越強大,安全性也在逐步提高,遠遠不止作為個人通信工具那么簡單。
一個典型的例子是,美國足聯最近鼓勵球隊的教練與隊員們使用基于云技術的平板電腦(iPad)。這種平板電腦不但可以替代笨重的紙質戰術教程,還可以用來定制或下載相關軟件,對比賽過程進行分析研究。在安全性方面,如果出現平板電腦丟失或球員轉會等情況,則可以在云環境中“擦除”相關設備。 平板電腦的使用,使印刷費用大大降低。以前,一支球隊每年花在印刷方面的費用便高達10萬美元,這相當于為整支球隊與員工(大約120人)每人配備一臺最新、最昂貴的平板電腦的總價格。 假如這些設備每三年淘汰一批,那么計算可得,使用平板電腦與之前純印刷相比,可以為球隊節省2/3的費用。可以想象,如果在軍事領域建成這種“硬件無關”的聯合信息環境(JIE),那么指揮員與參謀人員的工作效率與效能將得到極大提高,尤其對守備部隊而言更是如此。例如,青年軍官即使不在辦公室,也能夠使用這些智能設備存儲與閱讀技術或作戰手冊、填報各種文件、閱讀或發送電子郵件。
對全陸軍范圍的服務器進行整合,也可有效提高軍費的使用效率。截至2012年10月,陸軍已經關閉了61個數據中心,并將原來7000份信息技術維修合同壓縮為1份——這也就意味著,在未來幾年內,陸軍可以節省數億美元的信息系統維修費用。 陸軍在2012年的另一項重要工作是,采購了一批先進的路由器、轉換器及其它網絡設備,對30個永久性軍事基地(占陸軍所有永久性軍事基地數量的80%)進行了現代化更新。如果按照舊采購合同,那么這項工程的費用將超過2億美元。而現在,由于鼓勵開放性競爭,所以最終費用僅2200萬美元,與初始費用估計相比,節省了90%左右。
按照聯合信息環境(JIE)的潛在概念,駐軍網絡在升級改造的過程中將面臨一些挑戰。其中,一個關鍵問題是網絡基礎設施的物理安全,特別是連接到永久性軍事基地的物理光纜以及由私人企業擁有、操作的云服務器的安全問題。國防信息系統局(DISA)遍布世界的許多虛擬設備是從各大私有企業租借的,而連接到永久性軍事基地的物理光纜則橫跨世界廣大陸地與海洋地域。目前來看,雖然對光纜中傳輸的海量信息進行破譯幾乎不太可能,然而遍布世界的光纖網絡在遭遇突發事件或蓄意破壞時會非常脆弱,有可能導致嚴重的信息傳輸阻斷時間。例如,2008年3月,在一場突如其來的特大暴風雨面前,一艘商船只好停靠在埃及的亞歷山大港苦苦等待。大風與激浪猛烈地搖晃著這條船。結果,地中海海床上的一捆光纖電纜被該船伸到海底的錨切斷了。這捆光纖電纜實際上是中東地區通往外界國際互聯網的主要通道。中斷持續了大約一周時間,導致該地區的美軍部隊不得不轉而依靠基于衛星的通信服務。 衛星通信與光纖通信比起來,就相當于將一根粗大的水管與一根細長的蘇打水管作比較,以致于該地區的數萬美軍部隊在數天時間內幾乎跟沒有網絡一樣。后來,國防信息系統局(DISA)不得不緊急調派技術人員在太平洋海域重新鋪設光纜。一周之內,網絡終于恢復正常運行。
另一個問題是網絡準入許可問題。在一個典型的駐軍網絡中,網絡維護方面的幾乎所有工作都由網絡集成中心(NEC)的員工完成,而不是由駐軍部隊完成。例如,如果一個軍事單位需要在辦公室安裝一臺打印機,或者一名新到軍官需要創建一個電子郵件賬戶,那么這些工作必須由那些取得特定授權的人來完成。達到一定級別的準入用戶,才能在網絡上使用更多的功能。而根據負責監督美國大陸所有網絡集成中心(NEC)運行情況的美軍第7信號司令部的說法,這種級別的準入許可只授予網絡集成中心的員工。很顯然,這種嚴格的限制措施有利于維護網絡安全,而另一方面卻反過來降低了軍事單位的工作效率,他們有時候不得不無奈地等待網絡集成中心員工前來維護。為了緩解這種情況,有些網絡集成中心已經嘗試對部隊授權的士兵進行培訓,使他們掌握必要的網絡管理技能。這些嘗試取得了很好的效果。這表明,在聯合信息環境構建的過程中,這種有益的做法可以全面推廣。不過,目前美國國防部的計劃沒有明確闡明應當如何推廣這種做法。
美國陸軍已經率先在構建信息基礎設施、支持聯合信息環境(JIE)以及整合軍用網絡資源方面,做出很多努力。對此,陸軍首席信息官(CIO/G-6)概括為四個方面。 第一,構建能力,即支持全球部署,支持所有陸軍部隊的訓練任務,使部隊無論處于任何地方都可以方便地存取信息。第二,提高網絡安全。如前所述,包括物理安全與網絡準入許可兩方面。第三,為戰術部隊提供企業網絡服務,簡化信息技術服務(如語音、視頻、數據等)標準,推廣“硬件無關”技術,使士兵們無論身在何處、用何種設備,都可以與同伴共享信息。第四,強化網絡標準,引入“將永久性軍事基地作為信息系泊站”(IAADS)的概念——也就是說,通過“設施即服務/混合模式”(IaaS/Hybrid),守備部隊即使不用聯合網絡節點(JNN)也可以下載使用相關應用程序。目前,已經有7個永久軍事基地(包括駐布拉格堡軍事基地與駐北卡羅萊納州軍事基地)實現了這一點。在這些永久性軍事基地,戰場功能應用程序都在云環境中,士兵們只要進入網絡內,便可以下載與使用陸軍作戰指揮系統(ABCS)客戶端。目前,這種模式已經在阿富汗戰場得到了檢驗與證明。
下圖從概念層面出發,顯示了聯合信息環境(JIE)的最終狀態。由圖可見,未來聯合信息環境的主要特征是:安全的、可擴展的框架體系;聯邦的、共享的基礎設施;企業式、集成化的信息服務;身份認證與準入管理。
圖2 聯合信息環境(JIE)最終狀態
總之,云計算技術可以使聯合信息環境(JIE)更有效、更有效率,也更安全。下面,我們將著重討論一種正在進行的云計算技術應用實例,并分析其應用的效用與影響。
二、企業電子郵件
第一個運用云計算技術整合信息技術基礎設施的真實案例是國防信息系統局(DISA)主持的企業電子郵件(EEmail)項目。這項工程從2011年初開始,直到本報告研究時還在進行。“企業電子郵件”項目的主旨是,整合軍事領域非保密互聯網協議路由網絡(NIPRNET)上的所有電子郵件(Email)服務器,創建一個可以顯示所有用戶的全球地址列表(GAL),消除冗余的信息基礎設施,在滿足工作需要的情況下最大限度地節省總體費用。陸軍是第一個對電子郵件服務進行改革的軍種,這一方面與陸軍首席信息官(CIO/G-6)的創新與努力密不可分,另一方面則是由于陸軍擁有全美軍非保密互聯網協議路由網絡(NIPRNET) 的大部分用戶。
“企業電子郵件”(EEmail)是從陸軍“通用作戰環境(COE)戰略”發展而來的。該戰略開始于2010年末,主要目標是對陸軍范圍內的軟件開發與發布實施標準化,以提高效率。通用作戰環境(COE)改造主要針對5類作戰信息平臺,即企業服務器、戰術服務器、戰車、臺式設備和移動設備。 由于一直以來每個網絡集成中心(NEC)都維護一個電子郵件服務器,結果造成電子郵件賬戶經常發生混亂。例如,如果一名駐地在俄克拉荷馬州錫爾堡(Fort Sill)的士兵遠赴佐治亞州麥克弗森堡(Fort McPherson)執行任務,那么在麥克弗森堡網絡集成中心(NEC)的工作人員為其創建一個新的電子郵件賬戶前,錫爾堡的網絡集成中心的工作人員必須首先刪除這個用戶的電子郵件賬戶。盡管多年來不斷整合,到2008年,美國陸軍仍有至少18個相互獨立的網絡(其中既有非保密互聯網協議路由網絡,又有保密互聯網協議路由網絡),由此帶來許多不必要的網絡冗余以及高昂的操作與維護費用。另外,陸軍知識在線(AKO)與其它永久性軍事基地所提供的電子郵件服務也不能相互融合。為了解決這些問題,美國陸軍開始發展基于云計算服務的“企業電子郵件”項目。
2011年12月,就是“企業電子郵件”(EEmail)項目開始僅幾個月的時候,已經有大約30萬個用戶升級為企業電子郵件。此時,項目部接到國會通知,軟件升級行動被暫停,項目部需要接受審查,并于2012年2月向國會提交一份詳細的項目報告。起初估計顯示,“企業電子郵件”項目完成后,每年能節省軍費1億美元。之后的評估結果又調整為,五年內(從2013財年到2017財年)總共可節省軍費3.8億美元。這兩個月的暫停有助于網絡性能的提高,從而使每個營業日的升級用戶數達到7000人。 而經過一番認真分析之后,“企業電子郵件”計劃也升級了,用于2012財年的總經費增加140億美元,而用于2013財年的總經費增加18萬美元。 從客觀上講,網絡基礎設施的更新有助于未來聯合信息環境(JIE)的改善。2012年3月,“企業電子郵件”項目恢復。至2013年10月,共有約60萬用戶的電子郵件賬戶順利升級。 項目部在給國會提交的報告中估計,陸軍總共有160萬電子郵件用戶,這些用戶將在2013年3月底前全部升級為企業電子郵件。
“企業電子郵件”(EEmail)用戶升級面臨的另一個重要挑戰是,如何對用戶身份認證進行管理。在企業電子郵件環境下,所有用戶都必須使用通用登陸卡(CAC)進行身份認證。每個通用登陸卡都對應一個獨特的10位數的身份認證碼,從而有效提高了網絡的安全性。然而,以前未曾預料到的“雙身份”現象的出現,卻降低了網絡的運行效率。在2011年初“企業電子郵件”項目啟動初期,一些本地網絡集成中心(NEC)發現,網絡內許多用戶不僅具有市民(或合同商)身份,擁有常規登陸手段;而且同時還是預備役軍人,擁有第二個登陸身份。后來,網絡集成中心不得不派發一批與通用登陸卡(CAC)類似的智能卡,以證明這些“雙身份”成員的第二個或第三個身份。 目前,已經有超過20萬個保密互聯網協議路由網絡(SIPRNET)用戶擁有了這種智能卡。
然而,并不是每個軍種對這電子郵件升級都持有同樣高的熱情。空軍與海軍在等待陸軍為他們克服實施聯合信息環境(JIE)和企業電子郵件(EEmail)項目中的重重困難,而海軍陸戰隊則公開宣稱將保持原有的網絡與電子郵件系統不變。 客觀上講,這有違聯合信息環境(JIE)對信息共享的本質要求,不利于“聯合信息環境”項目的未來發展。另一方面,隨著“企業電子郵件”項目日益走向成熟,陸軍遇到的另一個問題是將來如何為部隊用戶提供各種擴展的服務。目前,國防信息系統局(DISA)正在規劃運用基于云計算技術的企業電子郵件服務器來解決這個問題。然而,帶寬仍然是制約網絡效能發揮的最大因素,這將在后面有詳細論述。
第四章 云計算技術在戰術網絡中的運用
戰術網絡與駐軍網絡有很大區別,這從根本上決定了戰術網絡在參與構建聯合信息環境(JIE)過程中的特殊性。本質上講,戰術網絡是一種臨時網絡,不能依托永久的網絡設施,而總是在嚴苛的戰場環境下臨時構設。軍或軍以下級別部隊都可以構設戰術網絡。如前所述,當作戰部隊參與演習或作戰部署時,信號分隊將為相應部隊設立、操作與維護聯合網絡節點(JNN)。相比于那些負責守備網絡的地方單位來說,負責戰術網絡的信號分隊均屬于正規部隊編制。陸軍的210個地面旅戰斗隊和獨立旅都編配有信號連;而大多數營級作戰單位都編配一個信號小組,可以使用小型指揮所節點(CPN)接入旅或師作戰網絡。在具體實施過程中,信號連在旅信號參謀軍官(S-6)的戰術控制下行動,而旅信號參謀軍官負責作戰指揮服務器(BCSS)的操作與維護。 通常情況下,戰區會事先設立一個永久性的網絡作戰與安全中心(NOSC)——例如,在西南亞,駐科威特的網空中心充當著該地區網絡作戰與安全中心(NOSC)的角色,既可以遂行攻擊性作戰行動與防御性作戰行動,還具有地區網絡管理監督的功能。
盡管聯合信息環境(JIE)被高調宣揚為“實現國防部首席信息官(DoD-CIO)集成化目標的企業式解決方案”,但當聯合信息環境真正用于戰術網絡時,卻會遇到一些與駐軍網絡不同的問題。這些問題涵蓋企業電子郵件(EEmial)登陸、網絡準入與網絡帶寬等方面。本章將對近期西南亞戰術網絡的幾次標準化試驗進行考察,并分析如何改進戰術網絡,以支持國防部首席信息官信息技術集成的目標。
一、全球網絡企業構架
近幾年來,網絡整合的重要性已經在軍事領域得到廣泛重視。基于云計算技術的“全球網絡企業構架”(GNEC)項目是美國陸軍在地面作戰網(LWN)企業化轉型中邁出的第一步。 2009-2011年間,在網絡集成技術司令部(NETCOM)的領導下,美國陸軍運用全球網絡企業構架的概念,對裝備有戰術作戰人員信息網絡(WIN-T)增量1的幾個旅級戰術單位用戶進行了網絡服務集成試驗。 “全球網絡企業構架”項目的主要目標是,使作戰部隊得到連續不斷的網絡與作戰數據服務,尤其在從本土訓練向海外部署期間不能“掛空擋”。該項目的其它目標還包括:用戶有統一的電子郵件地址與文件存儲規范,管理者有標準化的網絡工具。在“全球網絡企業構架”概念下,每個戰區都應構建一個固定的網絡服務中心(NSC),其中包括戰區網絡戰與安全中心(TNOSC)、固定區域Hub節點(FRHN)以及可以通過衛星通信設備為處于嚴苛戰術環境下的部隊提供各種網絡服務的區域處理中心(APC)。 在作戰部隊從原駐地出發前,信息技術人員將通過衛星通信手段,將服務器與聯合網絡節點(JNN)、固定區域Hub節點(FRHN)聯結起來。然后,將作戰部隊服務器數據拷貝或下載到另一個區域處理中心(APC)服務器,并進行技術測試。 當部隊向戰區機動時,這個備份服務器與其它相關設備將一同開拔。駐地部隊則留下一些臺式機,留守人員可以通過駐軍網絡訪問Windows網絡和戰術電子郵件,并繼續與開赴戰區的部隊保持工作協同。部隊到達戰區后,便可以通過聯合網絡節點(JNN),直接獲取需要的數據與服務。 在機動途中獲取網絡數據與服務,則需要首先停下來架設指揮所節點(CPN)和聯合網絡節點,這大約需要1個小時時間。“全球網絡企業構架”項目初步證明,作戰部隊應用有限的云服務,便可擁有一個可靠的數據備份系統。
“作戰驗證Ⅱ”(OPVAL Ⅱ)演習充分展示了“全球網絡企業構架”(GNEC)的有效性。這次驗證性演習是以來自俄克拉何馬州錫爾堡(Fort Sill)的第75火力旅為基礎而進行的。2010年4月,該旅戰術作戰中心(TOC)的參謀人員帶著通信設備遠赴德國Grafenwoehr地區,參加“作戰驗證Ⅱ”演習。該旅參演部隊的另一項同時進行的任務是,參與代號為“嚴峻挑戰10”(AC10)的聯合指揮所演習,演練美國歐洲司令部(USEUCOM)領導下的聯合特遣隊(JTF)司令部。在演習中,第75火力旅通過開設聯合網絡節點(JNN)和指揮所節點(CPN)建立了廣域網(WAN),并利用局域網(LAN)將其作戰指揮通用服務(BCCS)服務器組件接入陸軍作戰指揮系統(ABCS)。 一同參與演習的其它盟國部隊則通過一個獨立的保密網絡與聯合特遣隊(JTF)司令部聯通。由于第75火力旅戰術作戰中心無法直接接入該網絡上陸軍作戰指揮系統(ABCS)的任何一個子系統,所以演習導調方不得不為其提供一些額外的系統。 此外,在演習過程中,第75火力旅戰術作戰中心得到了來自德國Landstuhl地區的固定區域Hub節點(FRHN)的衛星通信支援,從而擁有充足的帶寬服務。
“作戰驗證Ⅱ”(OPVAL Ⅱ)演習的主要目標是評估“全球網絡企業構架”(GNEC)方案對旅戰斗隊作戰的影響,其中包括:登陸與使用網絡的統一的身份認證;在整個作戰過程各個階段內,與上級、友鄰、下級部隊的協同能力;部隊到達作戰地域盡快建立網絡通信的能力。另外,“作戰驗證Ⅱ”(OPVAL Ⅱ)演習發現并克服了不同戰區之間網絡戰與安全中心(TNOSC)標準與配置不同的問題。這次演習為美軍通過聯合信息環境(JIE)提高網絡效能奠定了基礎。
面對“作戰驗證Ⅱ”(OPVAL Ⅱ)演習,第75火力旅在部署前有許多工作要做。首先,應該在網絡司令部(NETCOM)的直接領導下,對作戰部隊的服務器進行認證,以便網絡集成中心(NEC)確認需要實施的網絡連接。一旦作戰部隊的服務器獲得認證與連接,還必須進行多項測試工作。這些測試工作包括:第一步,將作戰指揮通用服務(BCCS)服務器的配置數據通過網絡備份至位于北卡羅來納州布拉格堡(Ft. Bragg)的前方區域處理中心(APC);第二步,使用旅服務器數據對前方區域處理中心的虛擬服務器進行配置;第三步,關閉本地服務器;第四步,通過錫爾堡(Fort Sill)部隊駐地網絡驗證來自區域處理中心的保密互聯網協議路由網絡(SIPRNET)所提供的網絡服務;第五步,關閉區域處理中心的服務器;第六步,重新開啟本地服務器,并檢驗本地網絡服務。當這些步驟成功完成后,位于德國Grafenwoehr地區的區域處理中心(APC)也需要重復以上同樣的測試工作。不過,在實際操作過程中,由于服務器及其它設備的緊張的裝運工作,并沒有進行第六步。無論如何,第75火力旅通過駐軍網絡成功為旅服務器建立了遠程鏈接——盡管有明顯的遲滯時間,這難免會對執行任務帶來一些影響。在裝備運輸期間,該旅成功地實現了與駐地陸軍作戰指揮系統(ABCS)的網絡聯結,并驗證了聯結旅戰術作戰指揮所(TBC)/未來指揮所系統(CPOF)與德國Grafenwoehr地區區域處理中心的保密互聯網協議路由網絡(SIPRNET)。
最有益的是,“作戰驗證Ⅱ”(OPVAL Ⅱ)演習驗證了一種可靠的數據備份方法。眾所周知,在作戰領域有一個重要概念——“作戰連續性”(COOP)。根據這一概念,當軍用網絡由于各種外因突然中斷或崩潰時,作戰部隊的所有文件與服務器數據應該快速備份下來,將損失減至最小。 很顯然,每支作戰部隊都應當確定每隔多長時間或何時備份重要數據。需要指出的是,數據備份是一項相當耗時的工作,而且會占用大量通信帶寬。在“作戰驗證Ⅱ”(OPVAL Ⅱ)演習過程中,數據備份總是放在夜間執行——因為這時候網絡使用需求量最小。每次數據備份時間大約花費2個小時。可以想象,如果一支部隊處于一個陌生的作戰環境,而且作戰節奏很快,那么數據備份可能會面臨很大困難。
盡管在數據備份方面成效顯著,但“作戰驗證Ⅱ”(OPVAL Ⅱ)演習的另外一個重要目標“為每個用戶提供單一的網絡身份認證”卻收效有限。在“嚴峻挑戰10”(AC10)演習中,第75火力旅通過聯合網絡節點(JNN)與指揮所節點(CPN),成功地將本旅的陸軍作戰指揮系統(ABCS)接入位于德國Grafenwoehr地區高層保密互聯網協議路由網絡(SIPRNET)——盡管這種網絡配置模式并不具有代表性,而是針對本次演習而專門配置的。 然而,由于本次演習有盟軍部隊參與,所以許多數據傳輸是通過盟軍獨立的保密網絡進行的。為此,第75火力旅使用演習導調方提供的專用系統與參演盟軍進行網絡交互。這樣,該旅各用戶便不得不同時維護三個獨立的網絡登錄帳戶。
“作戰驗證Ⅱ”(OPVAL Ⅱ)演習后,作戰部隊的作戰指揮通用服務(BCCS)服務器位于原駐地,從而使作戰部隊即時在沒有聯合網絡節點(JNN)與指揮所節點(CPN)的情況下也可以全時接入保密互聯網協議路由網絡(SIPRNET)服務器。理論上說,這會帶來許多積極的變化:一是使守備部隊可以利用作戰指揮通用服務器(BCCS)與陸軍作戰指揮系統(ABCS)進行訓練;二是參謀人員可以與遠在前線的下級部(分)隊在一張網絡內高效協作;三是可以直接在作戰指揮通用服務器(BCCS)上開發機密產品與簡報。這種網絡配置的另一個優勢是,作戰指揮通用服務器(BCCS)和陸軍作戰指揮系統(ABCS)客戶端可以直接接收通過網絡發布的軟件更新與安全補丁,而不用像以前那樣費時費力地等待安裝。然而,第75火力旅的局域網(LAN)并沒有接入位于原駐地錫爾堡(Fort Sill)的網絡集成中心(NEC)的保密互聯網協議路由網絡(SIPRNET)服務器、路由器或交換機。相反,該旅的SIPRNET網絡服務是通過位于北卡羅來納州布拉格堡(Ft. Bragg)區域處理中心(APC)提供的。結果,由于“作戰驗證Ⅱ”期間的網絡授權問題,第75火力旅原駐地的守備網絡無法接入該旅陸軍作戰指揮系統(ABCS)。 此外,當第75火力旅下屬營離開錫爾堡參與演練任務時,旅守備部隊必須設立聯合網絡節點(JNN),為各營指揮所節點(CPN)提供任務指揮系統聯結。未來,一旦聯合信息環境發展成熟,所有戰術部隊都可以在保密互聯網協議路由網絡(SIPRNET)上全時操作任務指揮系統。
關于非保密互聯網協議路由網絡(NIPRNET),涉及到跨戰區網絡連接的問題。在演習過程中,有些用戶從位于錫爾堡(Fort Sill)的辦公室帶來了手提電腦。他們仍然可以使用通用登錄卡(CAC)登陸計算機。然而,由于電子郵件服務器位于美國本土,屬于一個不同的Windows登陸網絡,所以用戶不能像在原駐地辦公室一樣使用微軟Outlook軟件,而必須轉而依靠基于互聯網的Outlook服務。專門為支持“作戰驗證Ⅱ”而設立的網絡服務中心(NSC)也無法解決這個問題。即使聯合信息環境(JIE)與企業電子郵件(EEmail)可以最終解決此類問題,也還會在陸軍知識在線-保密互聯網協議路由網絡(AKO-S)、視頻會議連接與計劃等方面面臨類似問題。然而,如果作戰部隊通過一個認證環節便能夠訪問或使用所有授權的信息服務,那么必然可以消除許多混亂現象。
當全球網絡企業構架(GNEC)的概念融入聯合信息環境(JIE)時,衛星帶寬、網絡準入、企業電子郵件等問題依然存在。盡管已經取得明顯進步,但帶寬依然是一個重要的制約因素。運用新列裝的戰場視頻會議(BVTC)服務設備,旅戰術作戰中心(TOC)、位于錫爾堡(Fort Sill)的旅指揮所以及在威斯康星州麥康堡(Fort McCoy)參加軍事演習的下屬營三者之間成功舉行了數次視頻會議。 旅戰術作戰中心的指揮員或參謀人員甚至可以通過網絡完成重要的任務指揮,這意味著指揮員能夠實現從遠方控制火力,就像位于美國本土的無人機操作員對海外無人機進行操作一樣。第75火力旅的保密互聯網協議路由網絡(SIPRNET)服務器位于前方區域處理中心(APC) ,而旅大部隊成功部署至另一個戰區——這在歷史上具有開創意義(“作戰驗證Ⅰ”演習是在美國本土進行的)。
增量1通信系統的頻譜范圍屬于Ku波段,因而從根本上制約了聯合網絡節點與指揮所節點的最大帶寬——前者平均帶寬為8Mbps,后者平均帶寬為5Mbps。 這樣的帶寬對作戰協同明顯不夠,戰場上的遠程通信連接速度也很慢。這種情況下,當使用視頻會議服務(VTC)時,為了確保視頻通信流暢地進行而不致中斷,其它網絡服務就必須盡可能減少。由于Ku波段衛星帶寬很有限,而且使用費用昂貴,那么用當前設備獲取遠程服務將遇到很大挑戰。很顯然,更高頻段的頻譜有助于提高信息傳輸的容量與速度。然而,更高頻段的頻譜易受大氣干擾,尤其是沙塵或其它惡劣天氣。許多作戰部隊都證實,當連接聯合網絡節點與指揮所節點的固定區域Hub節點遭到暴風雨時,即使作戰部隊所處位置天氣晴朗,其通信服務也可能被迫中斷。一旦出現這種情況,作戰部隊將暫時失去與外界的衛星通信聯系。當然,在此期間,作戰部隊仍可能與下屬部(分)隊存在其它形式的局域網,并能夠使用陸軍作戰指揮系統(ABCS)繼續完成使命任務,共享文件或收發戰術電子郵件。假如作戰部隊所有數據服務、任務應用程序與電子郵件都置于虛擬的云環境中,盡管可以有效減少網絡冗余,但是一旦遇到類似的網絡癱瘓事件,將可能導致災難性后果。
全球網絡企業構架(GNEC)直接關系到企業電子郵件與客戶服務問題。如前所述,企業電子郵件有效改善了駐軍網絡的身份認證問題。然而,在企業電子郵件沒有實現之前,戰術部隊仍然需要依靠自身的電子郵件服務器。
全球網絡企業構架(GNEC)項目表明,雖然戰術作戰人員信息網(WIN-T)增量1的網絡連通性能有限,但戰術部隊仍然可以據此擁有可靠的連續作戰能力。如果事先經過精心準備與正確訓練,那么即使在陌生而嚴苛的戰場環境下,戰術部隊仍然可以快速進入作戰狀態。這可以有效縮短作戰部隊在部署準備期間與部署前期作戰部隊無網可用的可怕的“空檔期”——這種能力在危險的戰場環境中顯得更為重要。此外,全球網絡企業構架(GNEC)中的一些經驗教訓有利于促進聯合信息環境的發展,例如統一的網絡身份認證與登陸管理和高效的信息共享服務。在陸軍邁向聯合信息環境的過程中,全球網絡企業構架(GNEC)項目的經驗教訓有重要的借鑒作用。正如下節所要論及的,戰術作戰人員信息網(WIN-T)增量2代表著戰術網絡的下步發展方向,將有助于作戰網絡的企業化進程。
二、網絡綜合評估13.1
自2011年以來,美國陸軍已經啟動了新一輪戰術網絡現代化。在德克薩斯州布利斯堡(Fort Bliss),陸軍能力集成中心(ARCIC)以第1裝甲師第2旅為基礎,發起了網絡綜合評估(NIE)系列演習。該系列演習的主要目的是,安裝與測試最先進的戰術作戰人員信息網絡(WIN-T)設備(即WIN-T增量2)以及用于戰術端的便攜式計算設備,以此來檢驗未來聯合信息環境(JIE)可能帶來的益處與面臨的挑戰。
戰術作戰人員信息網絡(WIN-T)增量2為作戰部隊局域網(LAN)提供了有限的無線網絡能力和動中通能力,所以與以前的聯合網絡節點(JNN)網絡模型有很大不同。在以前的戰術作戰人員信息網絡(WIN-T)中,盡管已經運用了一些無線電通信技術,但每個戰術部隊必須通過有線形式與其戰術作戰中心(TOC)相連接——這是數字化通信的主要通道。而在戰術作戰人員信息網絡(WIN-T)增量2模式下,前線部隊卻可以通過便宜而安全的便攜式無線設備,將大量時敏信息(如情報)直接傳輸至戰術作戰中心。這種網絡甚至可以覆蓋至連一級。新型自適應無線電設備(如AN/PRC-117G)可以根據地形或其它條件,在調頻電臺通信、大容量視距通信(譯者注:指微波大容量視距通信)與衛星通信之間實現自動切換。 更重要的是,增量2(以及增量1的升級過渡版,增量1b)的所有衛星通信頻譜都位于Ka波段。這也就意味著,任何戰術部隊的最大帶寬可達30-40Mbps,比增量1通信系統的10倍還多,相當于當前美國大多數城市商業通信服務的水平。下圖描述了戰術作戰人員信息網絡(WIN-T)增量2網絡的基本結構:
圖3 WIN-T增量2網絡結構圖
2012年9月,美國陸軍進行了一場網絡綜合評估13.1演練,這是對戰術作戰人員信息網絡(WIN-T)增量2裝備的最新一次測試檢驗。這次演練的目的是,以全面列裝現代化通信裝備與計算機裝備的試驗部隊為基礎,驗證這套先進裝備系統的能力集13。 除在帶寬方面有所改進外,網絡綜合評估與能力集13還有兩個重要特征:一是保密的智能電話設備列裝到士兵一級,同時集成到作戰網絡中;二是指揮員戰車裝備了必要的工具,可用于接入動中網絡。另外,需要注意的是,在先進裝備的表象之后,陸軍采辦與測試網絡裝備(或設備)的方法和程序也有很大改進。以前,網絡與戰車是獨立開發的,列裝后往往會由于系統不兼容或重新設計而不得不推遲列裝時間。而現在,戰車與網絡實行同步設計、同步測試與同步列裝。
網絡綜合評估(NIE)支持美國陸軍聯合信息環境(JIE)的構建,包括云計算的運用。旅保密互聯網協議路由網絡(SIPRNET)的登錄、數據、文件管理與作戰指揮應用軟件等服務器都位于后方部隊駐地,用戶可以通過高效的WIN-T網絡進入。 由于網絡性能極大提高,指揮員可以在戰場上靈活機動,并實時獲取其想得到的信息。即使連一級指揮員也可以始終與他的分隊在一起,而不必像以前一樣跑到上級指揮所接受下步軍事行動的任務,從而作戰效率得以大大提高。另一方面,云計算技術的運用有利于通用作戰圖(COP)的改善,而聯合信息環境(JIE)的構建將更加促進通用作戰圖的改善。
特定的網絡安全管理功能可以在高層完成,從而減輕了作戰部隊信息技術人員的工作壓力。 然而,在演練中卻發現,一旦作戰部隊的局域網與“云”環境脫離聯系,那么其信息安全就沒有保證了,這實際上為作戰部隊的網絡安全帶來潛在的隱患。 另外,網絡綜合評估13.1好像對解決全球網絡集成化構架(GNEC)的目標并無多大幫助,尤其是對企業電子郵件(EEmail)和單一網絡身份認證問題而言。盡管試驗部隊的數百個網絡用戶大部分電子郵件賬戶已經升級為企業電子郵件,但保密互聯網協議路由網絡(SIPRNET)的電子郵件只有在守備部隊辦公室才能使用。由于帶寬限制,野戰部隊在戰場環境下很難正常使用。 與全球網絡集成化構架項目相比,試驗部隊旅、營級帶寬有很大提高,而連一級仍然存在許多問題。不過,在戰術作戰人員信息網絡(WIN-T)增量2環境下,并不存在網絡冗余問題。如圖3所示,局域網(LAN)的戰術部分更為強健。當衛星信號衰減嚴重時,戰術作戰人員信息網絡(WIN-T)增量2局域網(LAN)會像增量1項目一樣,可以用大容量視距無線電臺(HCLOS),增加一層無線網絡連接。 盡管最新的網絡綜合評估13.1 總結報告并沒有關于單一網絡身份認證的論述,但該報告明確指出,需要對基于云計算技術的新的作戰指揮系統實行嚴格的身份認證與登錄管理制度。
盡管存在未曾預料的頻譜管理等新問題,但單兵裝備的保密智能手機、平板電腦與類似設備已經在網絡綜合評估13.1中得到成功測試。 這些設備與應用程序都是根據作戰部隊的需要而設計的,因而對于戰術部隊非常有用。然而,需要注意的是,這些設備應當是兩用的,以保證在任何環境下都能夠方便地使用。例如,如果某個保密設備應當既可用于戰場環境,也可用于駐軍網絡。類似地,應用程序在設計時,不僅應當考慮野戰環境需求,還應當考慮其在駐軍網絡的潛在運用。
網絡綜合評估13.1總結報告還提到軍隊文化轉變的必要性,尤其是使用網絡的方式方法以及部隊的教育問題。作戰部隊應當充分認清新技術帶來的復雜性,積極開發“數字化固定作戰程序”(DigSOP),尤其是將嚴謹的數據管理、信息管理和知識管理方法納入其中。 相關專業的參謀軍官應當采用“設施即服務”(IaaS)服務模式,依據作戰部隊的需求裁剪網絡。如此這般,在戰術端便體現為“知識即服務”(KaaS)模式。各級指揮員與領導都應當通過院校培訓等形式,學習新技術以及運用這些新技術的方法和程序。
可以說,網絡綜合評估13.1是實現國防部首席信息官集成化目標的革命性一步。將來,隨著網絡綜合評估活動的反復進行(每年兩次), 全球網絡集成化構架(GNEC)項目和企業電子郵件(EEmail)項目發現卻未能有效解決的若干重大問題有望最終得到解決。需要指出的是,當美國陸軍在為構建一個更加健壯、保密性更好、更有效率、更具效能的聯合信息環境(JIE)而不懈努力的同時,陸軍高層機關與領導應當考慮開發相應的作戰程序——無論對于駐軍網絡,還是對于戰術作戰環境。只有這樣,才能確保變革的持久性。
第五章 一個運用案例
了解云計算技術運用于軍用網絡的目標以及可能遇到的問題后,我們可以模擬一個運用實例。假設一個陸軍旅從美國本土基地出發,前往海外一個陌生的條件嚴苛的地區作戰。旅指揮員組建了一支營級規模的特遣隊,以加入聯合特遣隊(JTF)。該聯合特遣隊的司令部位于一個偏遠國家的首都。在該旅大部隊從美國本土基地出發之前,特遣隊營已經先行達到戰區,對戰場態勢進行初步評估,協助東道國軍隊打擊反叛份子,并嘗試與當地政府或其它社會組織建立聯系。這時,一小股反叛份子在離聯合特遣隊的前沿作戰基地(FOB)數英里的地方與美軍的一個排發生交火,并且在呼叫同伴前來支援。這樣的戰術態勢很可能促使旅剩余部隊的部署周期發生改變。另外,指揮員的態勢感知與態勢理解能力必然會受數字化信息系統配置的直接影響。
在這種情況下,如果運用當前的網絡結構、作戰指揮軟件和戰術作戰人員信息網絡(WIN-T)增量1裝備,旅指揮員基本上就成了半個“瞎子”。這是因為,此時旅戰斗隊所有戰術網絡設備都處于運輸途中,無法提供態勢感知與理解支援。直到深夜,旅指揮員才收到前方營指揮員打來的電話(基本方法:前方營指揮員通過連接到其指揮所節點網絡設備的非保密互聯網語音通信網絡,先轉接到位于本土基地的國防交換網絡操作員,再轉接到旅指揮員的民用手機上),告訴他前方正在發生的事情,具體細節則通過保密電子郵件發送。于是,旅指揮員不得不趕到他的辦公室,登陸其保密互聯網協議路由網絡(SIPRNET)計算機,并通過陸軍知識在線-保密互聯網協議路由網絡(AKO-S)電子郵件賬戶,下載發來的電子郵件。假如指揮員或參謀人員的某個保密臺式機仍然可以運行作戰指揮軟件,那么也基本是無用的,因為用于連接這些設備的聯合網絡節點(JNN)和指揮所節點(CPN)設備還處于運輸途中,前方作戰營正在焦急地等待這些設備的到來,以盡快開設戰術網絡。另外,指揮員能觀察到的通用作戰圖(COP)也僅僅局限于前方作戰營通過陸軍知識在線-保密互聯網協議路由網絡(AKO-S)電子郵件發回來的幾張PowerPoint圖片。
如果在聯合信息環境(JIE)下,旅指揮員便能夠看到實時更新的通用作戰圖,態勢感知能力與理解能力會有極大提升。旅指揮員即使在本土基地,也可以通過一個保密、無線平板電腦設備,查看前方部隊的配置以及其它戰場態勢信息。由于聯合信息環境是一張龐大的網絡,那些安全的作戰任務應用程序存放在云環境中,部隊用戶通過任何設備都可以方便地進入。戰術部隊則通過戰術作戰人員信息網絡(WIN-T)增量2設備接入聯合信息環境。連、營指揮員通過安全的智能手機,便可下載使用相同的作戰任務應用程序。這些智能手機可以接入任何網絡。為了確保網絡安全,本地網絡集成中心(NEC)為每部智能手機分配了一個獨特的個人代碼,而且相應用戶必須通過保密智能身份認證卡才能登陸。于是,前方營指揮員可以利用智能手機直接與遠在后方的旅指揮員通話,并向旅指揮員發送他想要的信息、圖片或作戰任務圖,以便旅指揮員更好地決策。如有必要,前方營指揮員與后方旅指揮員還可以使用平板電腦舉行即時視頻會議,對戰場態勢進行廣泛研討。同樣,旅指揮員也可以使用同樣的裝備、同樣的方式與師指揮員進行通信,而無論是在部署前、部署途中,還是在部署后。
第六章 相關條令開發
從前面幾章可以發現,云計算技術的運用有助于提高軍事信息網絡的效能、效率與安全性。然而,要想真正發揮云計算技術的潛力,就需要美軍在文化上有相應的轉變。其中,包括正確理解聯合信息環境(JIE)與正在出現的“網絡空間”概念之間的關系。遺憾的是,陸軍條令的最新修訂并沒有包括“網絡空間”的清晰定義和操作要領。盡管基于云計算技術的聯合信息環境已經取得很大進展,但迄今還沒有一部講述聯合信息環境與網絡空間兩者關系的條令。下面,將對“網絡空間”概念的歷史淵源進行分析,并提出將網絡空間理解為一個新型作戰領域的概念構架——也許,在不久的將來,這些研究成果將被陸軍條令出版物采納。
盡管目前人們對信息技術在軍事革命中的實際功效意見不一,但幾乎沒有人懷疑自動化信息網絡對戰爭行為的徹底改變。第二次世界大戰以來,從以精確制導彈藥、無線電通信系統為代表的集成電路技術,到后來興起的網絡技術,都導致大量戰場傷亡。 在軍事領域,隨著電腦的普及以及網絡化的持續推進,現代各級指揮員在沖突的各個頻譜階段都擁有前所未有的情報獲取能力、態勢感知能力和即時通信能力。然而,從本質上看,這種先進技術的運用存在一些潛在的陷阱。馬丁·瓦·克萊夫爾德(Martin van Creveld)(譯者注:馬丁·瓦·克萊夫爾德為以色列軍事歷史學家與軍事理論家)曾說過,“在其它條件等同的情況下,作戰環境越簡單,新技術所擁有的優勢就越大”。 這也就是說,如果戰場環境較為復雜,那么新技術作用的發揮就會受到制約。馬丁·瓦·克萊夫爾德甚至警告說,與常規戰爭相比,在對付游擊隊式敵人的低強度沖突中,過渡依賴電子技術的風險更大——這也正是美國近年來在伊拉克戰爭與阿富汗戰爭中總結出來的寶貴教訓。 令人欣慰的是,基于云計算技術的一體化網絡,可以有效降低這種風險。
根本上講,這種風險體現在“網絡中心戰”理念中。網絡中心戰(NCW)最初是由美國海軍中將亞瑟·切卜朗斯基(Arthur Cebrowski)提出來的,其核心思想是:在現代戰場上,運用計算機信息技術將裝備有全球定位系統(GPS)的各種戰車平臺、武器平臺、傳感器(如無人機)與指揮控制系統聯為一個一體化網絡,從而形成相對于敵人的壓倒性優勢。 網絡中心戰思想曾經非常流行,一度被稱為美軍的“戰斗力倍增器”。 勞瑞·道恩斯(Larry Downes)和查尼卡·默里(Chunka Mui)曾敏銳地指出,“…數字化技術已經變為現代社會最具破壞力的力量”。 切卜朗斯基及其它“網絡中心戰”理論追隨者們也宣稱,這種強大力量將有助于生成近乎完美的情報產品,消除戰爭迷霧與誤傷,促使戰爭從“以平臺為中心”向“以網絡為中心”轉變——最終引發一場新的軍事革命。 1991年,美軍在“沙漠風暴”軍事行動中以壓倒性優勢擊敗伊拉克軍隊,這使網絡中心戰理論家們更加確信:信息技術能夠為美軍帶來快速的、決定性勝利。一些追隨者甚至預言,精確制導彈藥將使未來戰爭成本更小、傷亡更少。
然而,“伊拉克自由”軍事行動和“持久自由”軍事行動之后,包括H·R·麥克瑪斯特(H.R. McMaster)在內的一些戰略評論家卻認為,網絡中心戰的一些基本觀點——典型地,如“監視、通信與信息技術有助于美軍獲得‘決定性戰場知識’”,“美軍部隊可以通過精確打擊能力的運用,獲得相對于敵人的‘全譜優勢’”——是錯誤的。 P·W·辛格(P. W. Singer)也指出,“網絡中心戰”的最大錯誤在于,過于強調網絡,而忽略了傳統作戰平臺在實際戰爭中的重要性。 安德魯·巴斯維(Andrew Bacevich)也持這種觀點,“如果沖突時間延長,那么美軍這種過度依賴高新技術的做法將會暴露出嚴重問題”。 后來,受上述思想的影響,美國海軍陸戰隊詹姆斯·馬蒂斯(James Mattis)將軍提出一種可稱作“控制與反饋”的新思維。他認為,對技術的運用失當將造成“數字化依賴癥”,并最終摧毀戰爭藝術,所以應當利用網絡,而不能被網絡所控制。 后來,“網絡中心戰”概念逐漸退出歷史舞臺,既沒有寫入美國陸軍的作戰條令,也沒有編入校級軍官培訓教程。
隨著“網絡中心戰”的呼聲減弱,美軍開始低調而務實地發展軍用通信網絡,以獲得與保持相對于潛在敵人的優勢。與此同時,相關概念也在進一步演化。取代“網絡中心戰”而進入陸軍作戰條令的是“網絡空間”(Cyberspace)一詞。網絡空間被看作信息戰的重要概念,同時也是軍事行動的第五維空間(前四維分別是陸、空、海、天)。 那么,究竟什么是網絡空間呢?美國政府審計署(GAO)給出的權威定義是:
網絡空間是指由相互依賴的信息技術設施構建而成的全球性的信息環境,包括互聯網、電信網絡、計算機系統以及嵌入式處理器和控制設備。
相比而言,陸軍條令中的定義更為簡潔。它將網絡行動看作聯合地面作戰行動(ULO)的重要組成部分:
網絡電磁行動是指阻止或削弱對手或敵人運用網絡空間與電磁頻譜的能力,同時保護己方網絡空間與電磁設備正常運行的行動。
在最近一次關于網絡安全的講話中,陸軍中將蘇珊·勞倫斯(Susan Lawrence)論及利用網絡空間的技術優勢提升戰斗力的總目標。 可以說,如果網絡空間在軍事上的意義與功用能夠被廣大指揮員充分理解,而不僅僅是擁有任務指揮工具,那么網絡空間將作為聯合信息環境,成為名副其實的戰斗力倍增器。
無獨有偶,最近合成部隊中心(Combined Arms Center)司令員大衛·帕金斯(David Perkins)將軍在勒沃沃斯(Fort Leavenworth)對軍校學員們的講話中也強調,為了獲得相對于敵人的戰場優勢,陸軍必須同時加強地面作戰與網絡空間兩個領域的作戰能力。 指揮員應該將網絡看作一種聯通與加強人際網絡、以達到軍事目標的強大系統。毋庸置疑,在現代作戰中,網絡空間是一種必備要素。指揮員應該在各個作戰功能領域充分利用網絡力量,并“將帶寬作為一類必要的補給”進行管理。
盡管還未正式寫入作戰條令,但美國網絡司令部在其“作戰概念”(CONOPS)中已經列出三類相關的軍事行動:國防部全球信息柵格行動(DGO)、防御性網絡行動(DCO)和進攻性網絡行動(OCO)。國防部全球信息柵格行動是指構建、操作與維護聯合信息環境(JIE)的統一的行動。防御性網絡行動是指探測、分析、反擊或削弱對己方軍用網絡的威脅的統一的指揮與行動。進攻性網絡行動主要是指各種網絡攻擊行動,包括欺騙、侵入、服務拒止以及多種樣式的電子戰。 為了對網絡空間以及這三類典型作戰行動有更好的理解,本文開發了一個圖形化的概念模型,如圖4所示:
圖4 三類網絡作戰行動
依據這個概念模型,網絡操作與網絡防御的交匯部分正是“網絡戰”(NETOPS)。依據《聯合出版物6-0》,網絡戰包括操作、管理網絡與推行網絡標準。 在進攻性作戰、防御性作戰、維穩作戰以及支援行政當局等各類行動中,網絡防御與網絡進攻都是聯合地面行動的重要組成部分。 現代陸軍部隊的核心能力(即合成部隊機動與廣域安全)必然囊括高效的網絡進攻能力與網絡操作能力,而這些能力又是美軍發展聯合信息環境的初衷和要義。盡管在聯合地面行動中集成網絡行動的戰法還處于發展之中,尤其是網空戰本身的交戰規則還遠未成熟,但可以肯定的是,網絡基礎設施的發展與防御對未來作戰至關重要。
第七章 結 論
云計算技術運用于軍事領域,可以極大地提高軍用網絡性能和軍費使用效率,但目前在安全性、帶寬限制、集成新技術、開發實用條令等方面仍面臨一些技術挑戰。以企業的視角看,將陸軍范圍的軍用網絡整合為聯合信息環境(JIE)很有意義,可以為以光纖為通信骨干的駐軍網絡節省大量經費。然而,在嚴苛的戰術環境下推行聯合信息環境,必然會面臨一些與駐軍環境不一樣的困難。
近期美國陸軍進行的多次相關試驗進一步印證了這些挑戰。物理安全是云環境網絡需要解決的首要難題,而帶寬限制將直接影響到能否獲得云環境中的特定服務。另外,盡管在“企業”的概念中并沒有駐軍網絡與戰術網絡的區別,但實際上各種具有專門用途或優先用途的基礎設施、應用程序與相關設備依然大量存在。在大力構建聯合信息環境的過程中,還需要在文化上有相應轉變,以促進與鞏固聯合信息環境可能帶來的網絡安全性、效率與效能。毋庸置疑,對公共資源、網絡安全與信息共享的管理規章都應當寫入當前各軍種的作戰條令。但首先需要做的是,對各級部隊所有使用網絡設備的官兵進行廣泛而富有成效的教育。最后,要特別強調的是,將云計算、網絡空間等概念寫入作戰條令,從根本上有助于各級指揮員與參謀人員更全面地理解網絡空間——第五維戰場空間。
京公網安備 11010502049343號