企業周界保護
企業周界保護(Enterprise Perimeter Protection,EPP)整合了網關安全服務,通過集中管理的方式降低成本、提高安全性。EPP在Internet、任務伙伴網絡和商業云服務之間建立保護屏障,提供根據安全策略發現、檢測、阻塞和手機流量的能力。EPP為通過網絡接入點路由網絡流量,通過任務伙伴網關路由任務伙伴流量,通過移動網關路由未分類網絡和分類移動端用戶流量,通過云端接入點路由商業云流量提供安全組件,該組件是利用共享的企業網絡安全組件。
移動終端安全
基于Windows設備的傳統終端安全技術不適用于移動設備,因此必須提高商用移動安全技術來抵御移動端所面臨的安全威脅,在美國國防部安全指南的適用范圍內評估、部署移動安全技術。
中點安全(Midpoint Security)
美國國防部保障中點和區域安全的核心是聯合區域安全堆棧(Joint Regional Stacks,JRSS)策略,它是新形勢下美軍安全體系建設的一種新模式。JRSS保障虛擬網絡的安全,替代或補充由作戰司令部、服務和代理機構運營的網絡安全系統,集成市場成熟安全產品,以確定的編配模型構建集約化、標準化、全功能的安全防御框架,部署在各業務局和軍事基地邊界處,對進出特定區域的網絡流量進行編排、監測和防御,在降低人力和技術等總投入成本的情況下,提高美軍網絡整體防御效能。
企業端點安全
企業端點安全性是集成人員、流程和技術一起,共同阻止對端點的未授權訪問、識別和刪除惡意代碼和未經授權的軟件,防止未授權軟件和流程的執行。端點安全利用并集成了國防部部門之間的協作,如遵守連接(Comply to Connect,C2C)、遏制政策、可見性和評估工具。C2C是美國國防部的安全框架,該框架旨在使各機構能夠持續識別網絡安全風險,確定這些風險的優先級,并首先緩解最嚴重的問題。
此外,端點安全性保護連接國防部信息網絡(DoD Information Network, DODIN)的授權平臺或設備,拒絕授權用戶使用任何經過身份驗證的設備隨時隨地安全訪問聯合信息環境(Joint Information Environment, JIE)資源。美國國防部正在整個Windows 10 SHB操作系統上實現標準化,確保該部門能夠利用通用的應用程序更快的修補軟件,并以低生命周期將所有國防部計算機配置為批準的安全標準。
數據安全性(用于數據中心和云)
大數據平臺(Big Data Platform,BDP)是一個安全、可擴展、靈活和開放的基礎設施平臺,旨在提供分布式計算解決方案,解決大數據進入企業的過程中如何適應企業的生長環境,與企業已有的生態系統共存的問題。美國國防部BDP作為一個公共平臺,可以支持國防部的各種網絡空間任務,可以支持非保密互聯網協議路由網(Non-classified Internet Protocol Router Network,NIPRNET)和機密互聯協議路由網(Secure Internet Protocol Router Network, SIPRNET)環境下各種系統和傳感器的結構化和非結構化數據執行聚合、關聯、歷史趨勢和取證分析。DODIN運營和網絡空間防御作戰(Defensive Cyber Operations,DCO)任務要求能夠將企業規模的數據轉換為簡單的、動態的、可視化的,以描述事件關系并滿足一定的要求。
相關部門打算利用常規數據分析方法為DODIN和DCO運營提供企業態勢感知,這項舉措將為新聞部帶來以下好處:(1)全面了解所有傳感器警報以及端到端(Internet到主機)的數據流;(2)提供DCO狀況和漏洞狀態信息;(3)了解受攻擊者捕獲信息影響的任務,并中斷系統;(4)根據歷史趨勢和模式預測攻擊。
身份、憑證及訪問管理
(Identity,Credential,and Access Management,ICAM)
美國國防部對身份、憑證及訪問管理(Identity,Credential,and Access Management,ICAM))方法包括四個內容:
(1)數字身份管理:建立數字身份和相應的生命周期管理。(2)憑證管理:發行物理或電子令牌作為實體權威數字身份的代理。(3)身份驗證:通過憑證驗證身份,并將該憑證確認為真實憑證。公共基礎設施(Public Key Infrastructure,PKI)是國防部當前身份驗證技術的解決方案。但是,當無法使用PKI時,可以使用多因素身份驗證和身份聯合服務。(4)授權:根據數字策略、有關請求身份和所訪問資源的權威信息來批準訪問。在這種ICAM方法下,所有訪問決策均基于權威的身份信息,并且這些決策可動態配置為支持不斷變化的任務需求。此外,審計還支持實時和歷史取證。
總 結
通過實施上述方法,國防部在保護網絡安全方面可以達到較為理想的效果,具體結果包括:通過通用流程和功能,國防部信息網絡將以單一虛擬信息環境被保護;網絡空間防御感知并應對外部和內部威脅,采取適當的補救、減輕和恢復措施;國防部信息網絡作戰部隊的指揮控制由整個網絡的共享網絡態勢感知支持;整個國防部的IT安全研究結果得到最大程度的共享和復用;國防部交付了可靠的云計算環境,確保在面臨先進持續威脅時繼續執行任務;支持國防部信息企業和運營資產的控制系統對網絡攻擊具有彈性。
京公網安備 11010502049343號