美空軍部長解讀2025年網絡構想 網絡需整合利用

　　確保網絡空間安全是全球警戒、全球到達和全球力量的基礎。對于空軍的所有任務來說，網絡空間至關重要，它是各項任務開展的空間、始端和媒介。然而，該領域的競爭日益激烈，我們抓住機遇、應對威脅的能力受到時間、資源和人才因素的制約。

　　好消息是，網絡空間的科技工作有助于應對這些威脅并提供可負擔和恢復力強的系統和方法。然而，這需要智能合作和進行更好的整合，并且需要進一步建立理論、政策和研究、開發、測試和評估過程。

　　最近完成的《2025年網絡構想》研究，為空軍提供了近期、中期和長期的網絡科學與技術構想，描繪了空軍與其他軍種一起合作，應該領導、追隨和監視的領域。在“首席科學家辦公室”的支持下，空軍的操作員和技術員制定了《2025年網絡構想》，來自政府、企業和學術界的專家也參與其中。

　　我們的研究著眼于當前和未來的威脅，確定了網絡作戰的長久原則，最后制訂了若干行動建議，確保空軍在空中、太空和網絡空間領域以及在指揮控制、情報、監視和偵察范疇內完成任務。我們將這些行動有組織地劃分為四個跨領域的集成主題之中。

　　威脅和響應

　　網絡空間的競爭日趨激烈。到2025年，惡意軟件特征碼數量從不到三百萬預計會增加到兩個億。此外，諸如震網、Duqu和火焰等蠕蟲病毒的出現，表明網絡作戰已經超越虛擬世界并觸及現實境界。

　　我們預計未來威脅將會以多種方式呈現。日益老練的敵人可能會通過多種方法（例如社會工程學、惡意內部人員、供應鏈），對各種相互依存的層級進行攻擊，對可用性、完整性和保密性帶來多種不利影響。他們可以破壞關鍵基礎設施（如能源、水、燃料），任務支持服務（如銀行、交通、通信），指揮控制和情報、監視與偵察系統。他們可以直接攻擊任務系統，例如通過嵌入到空中、空間和網絡空間平臺的計算能力。最后，他們可以發起高級的持續性威脅，可以長時間在我們網絡系統中不被發現。

　　隨著全球化經濟力量和競爭的逐漸體現，威脅的性質也將發生變化，這可能會增加區域性經濟大國的數量，致使對有限資源（例如水、能源）的競爭日益激烈，并且產生將難以進行報復的新的匿名行為體。

　　同時，我們的響應是有限制的。財政方面的制約需要高效率。美國的教育系統在計算機科學領域提供的國內畢業生可能會很有限（例如，到2025年每年博士生3800人，遠遠低于中國的8500人）。最后，考慮到攻擊的速度、威脅的演變和網絡空間的絕對增長，時間將是一個寶貴的資源：到2025年，預計會有55億人在網上使用2500萬個應用程序，每天發生的互動將達數十億次，處理的數據約為50 澤字節（萬億吉字節）。

　　不過，空軍在組織、訓練和裝備網絡空間飛行員以應對類似威脅這個方面已經取得了長足進步。我們建立了負責監督網絡作戰的第24航空隊，成立了空軍負責內部協調的網絡集成小組。我們公布了空軍政策指令10-17號“網絡空間作戰”，空軍太空司令部則制定了網絡空間核心職能總體規劃。在人員方面，我們建立了軍官和士兵網絡空間操作員職業領域，并且在密西西比州基斯勒空軍基地重新組織了本科網絡培訓。在更高層次上，我們在俄亥俄州賴特-帕特森空軍基地的空軍技術學院開發了“網絡200”和“網絡300”專業發展課程，并且在內華達州的內利斯空軍基地畢業了第一批網絡武器教官課程班，我們正越來越多將網絡行動融入到軍事演習中，其中包括第一次美國網絡司令部“網絡旗”演習和其他涉及對關鍵總部進行復雜防御和空中與太空對網絡進行支持的其他演習。這些工作使我們能夠為我們的任務、美國戰略司令部和美國網絡司令部提供作戰支持。

　　尋求原則和最佳做法

　　為了繼續推動這種進步，空軍尋求確定和闡述減少網絡風險的長久原則和最佳做法。通過分析和接觸大量專家，包括公開請求獲得超過100個回應的信息，我們能夠得出一系列已被證明對公共、私人和非營利組織來說是成功的原則。

　　例如，根據最少特權原則，用戶只能獲得用于完成他們任務所需的權限（例如，通過諸如自主訪問控制、白名單或使用容器來限制功能等各種機制可實現），這減少了無意過失或有意搗亂的機會。力量平衡的原則告訴我們，分配權力——也就是說，通過采用同行審查或使用兩人規則——有利于對信息保持積極控制。不干涉原則主張分開安全等級，使操作員的行為能夠互相限制；通過仔細的協調和同步行動，這是可以實現的。

　　在簡化的原則下，我們通過尋求更小的解決方案，限制依存關系或只提供基本服務，來減少脆弱性和潛在的攻擊途徑。簡化系統（例如使用標準的架構界面，避免復雜度）也可以降低成本。

　　生存力原則使我們能夠提高情報和態勢感知能力，這樣我們就可以更快響應并且具有更大靈活性。由于并不是所有的攻擊都是可以避免的，恢復力原則能夠使我們實現冗余、備用（例如戰時）模式、組件多樣性、主動防御和快速重建能力。

　　我們的研究還表明，一些最成功的組織能夠整合和優化防御與進攻，借助自動化和人工智能的恰當組合，能夠使他們實現分布式行動和詳細、集中控制之間的適當平衡。

　　同時我們發現，一些最好的組織通過最大限度增加他們網絡態勢（成本節約、效率和效力）的效益，最大限度提高對手的成本（資源、風險、不確定性）并使他們無法獲利，以充分利用有限的人才、資源和時間。

　　除了這些原則之外，這項研究還確定了一些最佳做法。例如，系統的設計應具備冗余性和多樣性，組件應來自可信任的制造商，以便提高恢復力。架構應采用開放的標準和主要要素（例如數據交換標準）間松散的耦合器，以避免自定義和直接連接的脆弱性。分級處理（即物理上和邏輯上的分解和分配）權限提高了生存力，減少了權限擴大的可能性。最后，通過改善“網絡衛生”可以減少漏洞——例如，在靜態或動態中加密數據并保護監督鏈。

　　通過對清晰和重點突出的需求、用戶早期和持續性的參與和檢測、早期的原型設計和快速的發展周期、模塊化和開放式標準以及模型驅動架構做出要求，可以完善采購過程。

　　最后，獲得、發展并使經驗豐富的網絡空間專家參與其中也可以降低風險。