为了促进北约指挥机构(NCS)、北约部队机构(NFS)和其他关键组织之间的大范围数据交换,北约正在不断修订支持作战指挥和控制(C2)的广域网。在北约通信和信息局(NCIA)的支持下,本十年最重要的任务之一就是重新设计和组织现有的机密网络域,以支持当前和未来行动的高效 C2。 在这篇文章中,将简要介绍 NCIA为创建更具弹性的机密域网络所做工作的历史背景,以及联盟内部核心和功能服务的需求,以介绍已经确定的、可行的机密网络增强解决方案。
引言
北大西洋公约组织(NATO)通用通信和信息系统(CIS)网络(NGCS)于 1997 年推出,用于支持非机密和机密安全领域的北约指挥结构(NCS)要素(如盟军最高司令部转型 SACT、盟军欧洲最高总部 SHAPE、布鲁塞尔联合部队司令部 JFCBS、那不勒斯联合部队司令部 JFCNP 等)。与此同时,还需要国防网络(NDN)和北约部队结构(NFS)单位在上述物理和逻辑领域实现互联,以便在北约和国家指挥部之间提供尽可能高水平的多重连接。为实现这一共同目标,需要建立一个称为 NGCS 的全面、总体网络结构。
北约部队结构(NFS)单位都有专门负责包括独联体在内的所有层面支助工作的有机支助单位;然而,国家指挥系统的主要指挥部可能没有为此目的的国家专门支助单位。因此,需要建立一个组织,在非机密和机密领域提供最大程度的 CIS 支持,即为 NCS 和 NFS 建立 CIS 网络的静态领域。为了完成这些任务,1996 年成立了北约咨询、指挥和控制机构(NC3A),包括位于荷兰海牙的 SHAPE 技术中心(STC)和位于比利时布鲁塞尔的北约通信和信息系统机构(NACISA)。NC3A 是北约咨询、指挥和控制组织(NC3O)的一部分,并向北约咨询、指挥和控制委员会(NC3B)报告。2012 年 7 月,北约通信和信息局(NCIA)重组成立。
新成立的 NC3A(即后来的 NCIA)的主要前提之一是建立北约核心网络(NCN),将通过网关、路由器和防火墙在物理域连接的 NCS、NFS 和 NDN 要素整合在一起。在这一术语中,NC3A 已开始成为将 NCS 和 NFS CIS 元素纳入非机密和机密静态域中的一个全面、可扩展网络的组织。
北约网络化能力(NNEC)倡议推动将北约机密领域作为整个联盟的行动咨询、规划和执行工具,提供从主要指挥部到国家飞地的自上而下的方法;同时,北约在 20 世纪 90 年代末的扩张(匈牙利于 1999 年加入北约)要求在理念和物资方面采用新的网络扩展方法。连网部队倡议(CFI)确立了零日连通性的概念,使其成为新加入连网国家的战略重点。零日连通性使新加入和现有的联盟成员能够运行核心 CIS 服务和选定的基本功能服务,以便在任何演习和行动开始之前就为主要 C2 功能提供连贯的基本网络。
互操作性要求核心企业服务(CES)方面的总体连接,如电话、电子邮件、视频电话会议和聊天,以及主要由 NCIA 提供的特定利益共同体(CoIs),列在 NCIA 成本服务目录和服务费率中。
NFS 以及后来的联合指挥与控制(C2)能力(JC2C)倡议促使各国建立北约战备部队(NRFs),并需要与 NGCS 互联。在北约战备行动计划(RAP)出台后,这一努力转向与多国总部的大规模连接,通过实现从上到下的有效指挥控制(从战略到战术层面),进一步巩固了北约机密领域,使其成为北约高度战备部队的基础支柱之一。
为了应对这些挑战,NC3A 和 NCIA 利用比利时的 Mons 和 Evere、意大利的 Lago Patria(那不勒斯)作为北约企业(CES 和 CoIs)服务和数据中心/枢纽,在机密领域建立了网状网络。大多数国家只需将 NGCS 向下延伸到国家总部,即可优先满足其信息交换要求 (IER)。这意味着从上述由 NCIA 运行的数据中心到国家总部(用户)之间的 "炉灶式 "连接,使信息渠道/通信线路面临多种多样的威胁,需要采取可扩展的措施,从整体上保障网络安全。
另一个相关主题是全联盟独联体在共同供资/单独(国家)供资方面的资金问题。联盟成员向北约基金支付预算,但根据调查和经验,从 21 世纪第一个十年开始,联盟迅速扩张,这表明 80% 的 NGCS 实际足迹被排除在北约共同资助的能力包之外。这意味着新加入北约的国家并不急于或没有能力按照北约常用硬件和软件的NCIA建议更新周期改进其机密的C2-使能CIS。这就导致在网状网络中存在大量过时的、与网络相关的脆弱设备和工具,而这些设备和工具在设计上仍然没有将这些国家扩展分隔开来。如今,当网络挑战成为我们这个相互联系的世界中最严峻的威胁时,这些设备和工具的性能正在减弱,并可能危及整个 NGCS。
值得注意的是,国家管理的机密信息服务域激增,其目的是使其目录(如文件服务器)和电子邮件(如交换服务器)与NCIA自动信息系统(AIS)域单独同步,NCIA企业是各组织相互通信不可或缺的枢纽。 因此,目前由NCIA管理的NGCS(至少是静态机密网络域)显然需要修订和重新设计,这是立即应对21世纪网络挑战的一项重要任务。相关的应对措施将很大一部分决定权交给各组织(总部、国家等),由它们在创建自己的网络和服务时采取有分寸、有针对性但至少是最低限度的适当行动。
在简短的介绍之后,本文将回顾北约正在进行的程序,以便找到持续发展网络化需求(信息交换需求 IER)的解决方案,将各国和其他组织作为信息枢纽纳入具有嵌入式真实联网能力的全联盟网络。
在这篇文章中,将简要介绍 NCIA 当前为各国在机密领域创建弹性广域网而开展的研究/趋势,并将介绍各国和其他组织为实现这一更高层次的网络互联而采取的预期步骤。
可行的解决方案
显然,联盟的主要指挥部(NCS 要素)今后也必须得到 NCIA 的支持。利用联邦任务网络(FMN spirals)模型作为加入北约机密静态网络的模式,可以在 NFS 和其他组织的信息技术(IT)网络领域实现革命性的变化。这样做的目的是在这一相关领域创建一种保密互联网,使各国和各组织有机会通过其专门的东道国和支助单位管理自己的网络,最初由国家信息和通信管理局提供大力支持。
应对新出现的挑战的一个可能办法是由国家信息与通信管理局发起的联盟联合服务(AFS)项目。2019年4月,NCIA组织了关于这一主题的启动/试点会议,会议以联盟的北极星计划为基础。北极星 "是一项现代化倡议,几乎涵盖了北约发展的所有领域,目的是在通信领域创建一个以尖端技术为特征的联盟,在信息技术方面提供具有抵抗力和弹性的 CIS 网络,使联盟能够应对 21 世纪的挑战。正如北约文件 C-M(2015)0041-REV2(国家/组织行动方案)、PO(2014)0801(CIS 安全)、C-M(2017)0062(北约 C&I 愿景)所述,"北极星 "的重要组成部分之一是由 NCIA 领导的 CIS/IT 现代化。调查和经验表明,北约伞形网络内有 600 多个存在点(PoPs),涉及整个保密静态网络。12 调查和经验表明,北约伞状网络内有 600 多个存在点,笼罩着整个静态保密网 络。为了减少由北约信息中心管理的存在点的数量,让更多的国家和组织参与其管 理,有必要重新设计、升级/安装和管理/维护每个实体最多 2 个存在点,由北约(北 约信息中心)和国家/组织共同运行/监督。通过这些PoPs,各实体可以利用NCIA的CES和CoIs,也可以设计、运行和维护自己的服务(联合服务),还可以向北约其他国家/组织借用或借用这些服务(NCIA企业对企业模式)。NCIA在CES和CoI方面利用民用和私人IT环境中众所周知的云服务,为NGCS提供迁移服务支持。NGCS 必须转型为更先进、更现代化的 IT 网络,并将更名为北约通信基础设施 (NCI)。
通往最佳的道路
基于 FMN 概念,新的 AFS 模式必须利用以下各层联盟(根据 C3 分类法)。
- 网络层
- 核心(事业)服务层
- 网络安全层
- 信息技术基础设施库(ITIL)层
- 协同创新层
- 验证和确认层
一旦完成了 NNG 的互联,也就完成了分层,各层的联合可能就是成功的关键。在定义了联盟层之后,值得深入研究网络层的各个层面,以便概述和确定国家、组织重新设置其连接性的真正需求和任务。表 1 列出了预先计划的以网络层为重点的联邦计划。
这项现代化工作的目标是将重点放在 2-3-4 型上,设计新的网络布局,交换硬件(PoPs),重新设计互联网协议(IP,目前为 IPv4)地址,开发服务管理(SM),包括服务质量(QoS)措施。
因此,很明显,加入 AFS 首先必须是联盟所有成员组织(NCS、NFC)和其他总部、国家分部的全国性努力。同样显而易见的是,一旦国家或组织拥有了最先进的、新建的网络延伸,并有进一步扩大的光明前景,随着 CES 和 CoIs 与其他联盟成员组织的重组,国家或组织层面的重组将带来最高的利润和利益。
设计原则
正如已经指出的,目前的 NNG(带有边界保护服务 BPS 的边界路由器)将直接连接到组织、国家的边界路由器。NNG 可由 NCIA 和相关国家共同管理;但国家网关(如边缘路由器)和 BPS 的管理必须由国家负责。换言之,边界保护机制(可以是本地的和/或集中的)将由相关国家负责。
此外,边界保护措施也是每个国家的明确利益所在。图 1 显示了从目前的网络状况到不久的将来的愿景的可能解决方案。
图 1 清楚地表明,新网络使联盟能够在整个网络中运作,如同分类互联网(IP 路由和域名服务 DNS)一样,并以各国的努力为基础。国家网络可以拥有或接受北约企业提供的服务;但是,高度鼓励每个国家网络在核心企业和功能(CoIs)服务方面发展自己的联盟联合网络(AFN)能力,这些服务由北约国家信息和通信管理局(NCIA)直接支持和监督,NCIA 仍负责管理整个北约机密静态网络。
NCIA还将支持国家IPv4专用空间的分配,建立NCIA命名和注册管理局(NRA)。我们认识到,在过去几十年中,NCIA 和国家/组织对适当的 IP 空间照顾较少,与民用环境一样,随着需求的增加,必须将 IPv4 交换到 IPv6,IP 空间的迁移是不可避免的,对于建立一个具有网络复原力的机密网络至关重要。
成功之路
NCIA为任何组织设计了将其陈旧网络重新改造为联合静态网络的步骤。如前所述,这是一项由NCIA主导的倡议,因此,该机构提供了实现全面连接的可行步骤。以下是最重要的、任何国家和组织都必须采取的行动,如表 2 所示。
完成上述步骤后,国家和组织显然会受益匪浅,因为受尊重的实体可以完全控制和管理其整个保密静态网络,并有可能在未来进行扩展,包括扩大当前的保密静态网络,以连贯、可扩展、有弹性的方式实施可部署(任务)网络或要素。这也是静态和可部署机密网络(利用符合 FMN 的网络原则)在层级、CES 和 CoI 方面实现联合的关键点。所有这一切都意味着,这个新形成的云将处于北约企业足迹之外;因此,它可以完全独立地管理由 NCIA NRA 分配给它的 IP 空间。国家和组织可以创建新的网络节点、改变网络拓扑结构(扩展或缩小)、升级网络设备以及部署新的应用程序和服务。从另一个角度看,这种联合方法使国家和组织能够按照自己的意愿,更重要的是根据业务需求和变化,自由地运行自己的保密网络业务。
总结、结论和未来之路
显然,由于北约战略和行动文件规定的具体原因,目前使用的 NGCS 无法再进行管理。需要进行转型,需要在北约机密和静态网络中利用 "调频网络 "原则进行紧急网络升级。NCIA已于2019年启动了AFS项目,以应对21世纪的挑战,明确确定需求,然后由NCIA本身、NCS、NFS和其他要素(特别是国家和组织)制定规则、角色和责任,如何重新设计目前被称为NGCS的过时的分类静态网络。
NCIA还提供全面的《联合成员和退出指示》(JMEI),供整个联盟的任何实体阅读、消化、利用并最终采取行动,以做出最大努力。这就是网络过渡倡议的明显说明,按照该文件指导的步骤,各国、各组织可以成功、快速地加入这个新定义、新组建的网络。
匈牙利也已经迈出了这一步,成立了我们分类静态网络的核心网络规划小组。在现阶段,该委员会的主要任务是审查目前匈牙利北约保密网络(HUN NSN)的布局和节点、PoPs,然后制定一个升级计划、一个可行的解决方案,并向决策者提供适当的时间表、如何以及何时,最重要的是,根据美国战地服务局(AFS)的原则,首先对匈牙利保密网络进行改造,然后与谁进行联合。
现在就提出了挑战。坚信,根据美国战地服务团的原则,HUN NSN 很快就会变成一个新的保密网络。
原文
相关内容
微信扫码咨询专知VIP会员