美軍網絡安全技術研究現狀及發展趨勢★

胡璇，李煒玥，冷昊，程德斌

（1.工業和信息化部電子第五研究所，廣東 廣州 511370；2.智能制造裝備通用質量技術及應用工業和信息化部重點實驗室，廣東 廣州 511370）

0 引言

科技創新能力已經越來越成為衡量一國綜合國力、軍事實力的決定性因素，也深刻地影響著武器裝備的發展和未來作戰模式。以美國為代表的軍事強國高度重視并長期堅持科技創新，通過制定戰略規劃、強化頂層管理和加快項目布局等方式，多措并舉推動科技創新，加速前沿科技創新成果的軍事應用[1-2]。

縱觀21世紀數十年，網絡空間問題日益凸顯，網絡威脅層出不窮，網絡空間已成為繼陸、海、空、天外的第五主權空間，成為國家主權延伸的新疆域。美國長期以來憑借自身在信息技術領域的巨大優勢，成為了當之無愧的網絡強國[3]。網絡安全技術能夠高效、穩定、安全地實現信息收集、信息處理、信息存儲和信息傳輸，跨越了物理層、信息層、認知層和社會層，深度融入陸、海、空、天、網、電各個作戰域，是實現聯合作戰任務規劃和信息資源共享利用的核心技術，也是集成指揮控制、情報偵察和預警探測等功能系統的橋梁和紐帶。該技術領域是全球研發投入最集中、創新最活躍、技術更新換代最快、軍事應用最廣泛和輻射帶動作用最大的技術創新領域[2]。

網絡安全技術的快速發展，在全球范圍內帶來了巨大的變革，同時對我軍信息化建設和作戰樣式產生了深遠的影響，特別是在戰場環境下，掌握技術優勢的一方往往掌握著戰場主動權。搶占網絡安全技術的發展高地，既是科技發展的必經之路，也是加快未來兵力建設、奪取戰場主動權的迫切需要[2]。

1 美軍網絡安全模型架構及發展歷史

1.1 美國網絡安全模型架構分類

美國政府目前主要以以下3種網絡安全模型架構作為參考。

a）國防部聯合信息環境（JIE）

該網絡旨在建立標準化的服務和管制措施，將更多的數據控制在受保護的環境中，并利用49個聯合區域安全棧（JRSS）限制與公共網絡的連接。JRSS扮演了國防網絡與全球互聯網之間網關的角色[4-6]。

b）情報界信息技術企業（ICITE）

該網絡耗資數十億美元，包括建立共用傳輸和安全層，實現情報界IT服務的協調一致和標準化[7]。

c）國土安全部OneNet

它是一種集中式的虛擬網絡結構，將國土安全部下屬的7大主要部門和15個子部門連接在一起。

從普適性、可參考性等方面考慮，本文將JIE作為主要的研究對象。

1.2 聯合信息環境簡介

1.2.1 全球網絡信息柵格到聯合信息環境的發展歷史

全球網絡信息柵格（GIG：Global Information Grid）[8-10]是美軍在提出JIE之前構建實施的巨大而復雜的通信與服務系統，其網絡基礎結構由不同的分布式服務單元組成，旨在將美國國防部的所有的信息系統、服務及應用，集成為一個無縫隙的、可靠的和安全的網絡。但隨著GIG演進工作的不斷推進，原有的設計逐步地暴露出構建成本高昂、互聯能力有限、新技術采用緩慢和事件響應靈活性差等問題，美軍構想的信息共享、基礎設施建設、系統和服務采辦模式、聯合訓練、通信保障及作戰支持等能力并未達到預期目標。其根本原因在于，在GIG所代表的傳統信息框架下，各軍種具備自行設計網絡、開展網絡防御的決定權。盡管美軍國防部在各軍種、軍事機構中推動和實施了多個網絡安全戰略性項目，但GIG各個組成單元之間相互脫節的網絡安全策略和保護措施多樣化的實現途徑，導致網絡安全本質上的整體保障能力存在巨大的風險。

1.2.2 聯合信息環境的概念、意義及整體框架

2011年，美軍基于安全性考慮，對整個GIG重新設計，提出了JIE。其技術實現由美國國防信息系統局（DISA）主導，是一個單一、聯合、安全、可靠和敏捷的指揮、控制、通信和計算企業信息環境。美軍的目標是使得JIE包含所有的國防部網絡，在2020年前，利用JIE使所有的軍種實現互聯互通，以安全、高效的方式為作戰人員提供所需的信息服務，實現“3個任意”的愿景——美軍作戰人員能夠基于任意設備、在任意時間、在全球范圍的任意地方獲取所需的信息，以滿足聯合作戰的需求[11]。JIE的預期效果如圖1所示。

圖1 JIE的預期效果

JIE的主要目的是通過減少基礎設施和人員配置來提高運營效率，增強網絡安全性，節省資金。從GIG到JIE，意味著美軍基礎設施的建設模式從部門間相互協同轉變為真正的一體化，美軍從“以網絡為中心”轉變為“以數據為中心”[11]。

JIE為美國國防部構建了6項關鍵能力：單一安全架構（SSA）、網絡規范化、身份與訪問管理（IAM）、企業服務、云計算、數據中心整合。JIE的8個現代化領域包括：網絡現代化、網絡安全體系結構、企業運營、計算與存儲、企業服務、任務伙伴環境（MPE）、身份和訪問管理（IdAM）、移動性。JIE整體框架如圖2所示。

圖2 JIE的整體框架

鑒于單一安全架構的重要作用，下面將對其進行詳細的介紹，并對其核心實現之一的JRSS、進一步發展演進的安全云計算架構（SCCA）和零信任架構（ZTA）進行介紹。

1.2.3 SSA簡介

減少攻擊面是美國防部網絡安全建設的關鍵原則之一，而SSA正是貫徹這一安全原則的產物，其對應前述JIE的6項關鍵能力的第1項和8個現代化領域的第2項[11]。下面對單一安全架構進行介紹。

a）SSA的基本思想

由于多種非標準化安全實現帶來大量的美國防部網絡攻擊面暴露，所以SSA的基本思想是標準化安全實現，以減小網絡攻擊面暴露，SSA的名稱“單一安全架構”也體現了這一思想。

b）SSA的定義與定位

1）SSA定義

SSA是一個聯合的安全架構，為美國防部所有軍事機構的計算機和網絡防御提供了通用方法[12-13]：

使用標準化的安全防護功能集/套件，在最佳位置開展防御；

移除冗余的、不必要的信息保障手段，以提高效能；

通過集中式計算機網絡防御數據庫，控制用戶數據流動，并向基地/哨所/營地/臺站（B/P/C/S）提供全局態勢感知；

在服務器、用戶資產與骨干網分離時，保護網絡飛地；

在JIE指定的美國防部企業操作中心（EOC）中，提供用于監視和控制所有安全手段的工具集。

2）SSA定位

SSA的提出體現了美軍為扭轉安全防護的不利態勢而在JIE中做出的不懈努力。SSA在JIE中的定位為：SSA對應于JIE關鍵目標中的“建立整體的企業化安全架構，以確保優化的和同步化的網絡、項目和企業化服務，以及聯合和聯盟作戰行動”這一要求。其主要原理為：降低所需的信息技術設備總量、實現配置標準化，建立企業級的安全共享協議和簡化數據路由等。

c）SSA目的

建立SSA的目的是打破軍兵種間分割和安全防御的各自為戰，整合成一個安全集成框架。

1）將最佳的作戰司令部/軍種/機構（CC/S/A）的信息保障能力和實踐，應用于JIE安全體系結構中。

2）用戶在單一安全架構支撐下，能夠連接以前從未訪問過的外部網絡，從而獲得更靈活的戰術優勢。

3）SSA通過規整網絡安全邊界，減少外部攻擊面、管理標準化和操作、技術控制，確保在所有的任務背景下美軍國防部信息資產的保密性、完整性和可用性，同時能夠促進快速攻擊偵察、診斷、控制和響應能力的實現。

4）試圖解決在實施任務保障時存在的機構重疊、職責不清等問題，消除系統煙囪和網絡安全邊界，減少暴露于外部的攻擊面，實現參戰單元的信息互通及快速、安全的數據共享，推進安全機制和協議規范的復用，降低已有系統改造和集成的耗費，從而使得信息基礎設施管理員們更方便地監控和發現潛在的安全威脅，并更迅速地應對。

總之，SSA更多的是一種安全思想，而其落地實現則會分解到更多的安全能力模塊中，如JRSS就是SSA的核心實現之一。

1.2.4 JRSS簡介

JRSS[14]開發部署的推進方為美國國防信息系統局、美陸軍、美空軍和洛克希德·馬丁公司，旨在為各軍種創造一個聯合安全環境而共同努力，確保美國防部使命的完成。JRSS由一系列相輔相成的安全站點、設備和機制構成，部署在美國防部多協議標簽交換（MPLS）網絡的邊緣處。JRSS的關鍵任務領域包括可信網絡接入、多協議標簽交換、管理可視化和持續監控等。具體而言，設立該堆棧的最初目的是為了縮小網絡攻擊面，將來自世界各地無數的機密入口點合并到25個站點中。然而，由于整合不同的商業技術相當復雜，JRSS培訓和標準操作流程也尚不成熟，使得JRSS在維護網絡安全方面表現不佳，且未達預期。而隨著JRSS計劃的逐步淘汰，也產生了新的替代方案。

1.2.5 安全云計算架構簡介

伴隨著美國防部云戰略的推進，云上安全日益緊迫。但是，在JIE的單一安全架構中，JRSS家族的互聯網訪問點（IAP）和云訪問點（CAP），傳統上只專注于保護網絡安全，而非數據或身份安全。而隨著越來越多的美國防部員工和承包商開展遠程工作并且數據量增加， 傳統硬件無法擴展以支持他們。這又引起了對性能、可靠性、延遲和成本的持續關注[15]。

作為對云安全和性能等問題的回應，美國防部利用了來自聯邦風險與授權管理計劃（Fed RAMP）的授權解決方案，其參考了《安全云計算架構指南》[16]，為托管在商業云環境中的4級和5級數據提供邊界和應用級安全的標準方法。安全云計算架構的目的是在美國防部信息網絡和國防部使用的商業云服務之間提供保護屏障，并優化網絡安全的性價比。

1.2.6 零信任架構簡介

經歷了JIE的單一安全架構和安全云計算架構的發展，仍然不能認為JIE已經實現了從以網絡為中心向以數據為中心的轉變。保護美國國防信息系統局和美國防部網絡的下一步演進，是擁抱具有零信任能力的安全訪問邊緣模型（SASE）。SASE將基本的安全功能（例如：Web網關防火墻、零信任能力、數據防泄漏和安全網絡連接等），全都移到云中。這樣一來，美國防部雇員可以直接訪問云，而安全性則被推到盡可能地接近用戶/數據/設備的位置。

NIST SP 800—27《零信任架構指南》[17]提供了在整個企業環境中遷移和部署零信任的路線圖。該指南概述了零信任的必要原則，包括保護所有的通信（無論網絡位置如何）和基于會話授予訪問權限。這將創建最小特權訪問模型，以確保合適的人員、設備和服務可以訪問他們所需的數據，同時保護高價值資產。

隨著美國防部將JIE架構轉變為具有零信任能力的即服務模式，國防機構將節省成本，提高可擴展性，為最終用戶和作戰人員提供更好的性能，提高可見性，對國防部全網進行控制，最終將獲得更強大、更全面的網絡安全能力[18]。

1.3 小結

美國防部JIE框架本身，是網絡、業務、安全的綜合架構，是自上而下體系化設計的代表。JIE框架中安全防護的最大特色是其整體安全架構，即單一安全架構。通過它將JIE整合至統一安全架構中。在信息系統持續集成和整合的大背景下，逐步地實現各軍兵種現存安全架構的整合統一，進而解決在實施任務保障時存在的機構重疊、職責不清等問題，消除安全系統煙囪和網絡安全邊界，在降低成本的同時提高效率。正是由于SSA奠定的基本安全思想，才會進而采取JRSS的標準化實現，解決中間點的安全問題；采取安全云計算架構的標準化要求，解決云安全問題；采用零信任架構思想，解決身份與訪問安全問題[11]。

上述發展歷程也反映出安全要從頂層進行體系化設計，要從安全規劃和安全架構做起。每個企業級用戶都應該有適應自身業務特色的安全架構，才能有自己的安全“主心骨”和“脈絡”，才能實現自身安全的持續演進[11]。

2 美軍網絡安全相關技術進展及重點項目

目前，在人工智能、區塊鏈和網絡安全等技術領域中，很多科技創新成果已經取得了突破性進展，未來將對武器裝備發展和作戰產生深遠的影響，值得高度關注[2]。

2.1 人工智能和自動化領域

美國防部將人工智能作為“第三次抵消戰略”的核心基礎技術，在研的人工智能技術項目約600個。

a）通過“數據決策計劃” “數據擴展計劃”等，以安全大數據為基礎，突破關鍵技術、開展大型技術項目、研發相關裝備，不斷地提高基于環境的、動態的、整體的網絡威脅感知能力，從全局視角提升對安全威脅的發現識別、理解分析和響應處置能力[2]。

b）美國防高級研究計劃局（DARPA）在“人機探索網絡安全” （CHESS）項目下設立“防止漏洞利用的合并分析” （MATE）項目，尋求創建自動化的程序分析技術，開發可擴展的人-機混合網絡漏洞評估工具，從而實現以下目標：通過自動化相關程序減少單調、耗時的任務，提高網絡專家的工作效率；通過開發補充自動推理的新技術，使非專家能夠致力于漏洞評估工作；開發先進的自動化工具，對特定應用程序需求的關鍵漏洞進行檢測[19]。

c）在網絡安全主動防御智能檢測方面，基于人工智能的安全威脅自主學習檢測，可大幅度地縮短網絡攻擊檢測時間，根據威脅等級、種類和行為自動制定處置方案，同時還能實現自主學習，不斷地提高防御水平[19]。美陸軍尋求為戰術通信網絡開發具有自主網絡防護能力的人工智能和機器學習產品，相關技術包括：自主檢測和修補已知網絡漏洞技術；自主識別和糾正網絡及主機錯誤配置方法；自主檢測已知和未知惡意軟件樣本方法；紅隊自主決策引擎工具和方法。

d）美國防高級研究計劃局開展的“保證人工智能抵御欺騙的穩健性” （GARD）研發項目，旨在開發新一代對機器學習模型對抗性欺騙攻擊的防御，對對抗性人工智能的新型響應將集中于3個主要目標：可防御機器學習理論基礎的發展和基于其的新防御機制的詞匯；在各種環境中創建和測試防御系統；構建一個新的測試平臺，用于表征相對于威脅場景的機器學習防御性[19]。

e）美國防高級研究計劃局開展的“快速攻擊檢測、隔離和特征識別系統” （RADICS）研發項目，與國土安全部、能源部、國民警衛隊和電力公司開展合作，利用人工智能來解決電網網絡安全問題，在電網發生網絡攻擊時實現“黑啟動”恢復[20-21]。

總之，相關人工智能和自動化技術成果已在C4ISR、網絡攻防和電子戰等領域中開展了初步的技術應用和試驗驗證。

2.2 區塊鏈領域

美國政府于2017年專門成立由兩黨成員組成的區塊鏈核心小組，負責完善與區塊鏈技術、數字貨幣相關的公共政策。政府和業界共同討論了區塊鏈將如何在數據安全、密鑰管理等領域中發揮作用，并發布《區塊鏈：分布式賬本為機構帶來希望》。美國防部《2018財年國防授權法案》[22]明確提出，要對區塊鏈的網絡應用開展全面研究。具體包括以下項目。

a）美國防高級研究計劃局重點推進全員匿名彈性通信（RACE）項目[2]，開發非對稱加密和通信混淆技術以實現匿名，形成具有攻擊彈性的移動通信網絡環境；同時結合分布式計算與通信協議封裝方法，開發提供安全消息傳遞服務的移動電話應用程序和分布式系統。

b）分布式結構高保障軍事網絡系統（HACMS）項目[2]，開發新型分布式網絡結構，用于改進關鍵任務嵌入式計算系統，構建軍事系統安全高保障能力。

c） “無鑰簽名”基礎設施（KSI）[2]利用區塊鏈技術檢測網絡中隱藏的高持續性威脅，并及時地跟蹤到系統被查看或被篡改的情況，有效地保障網絡安全。

d）美國國防信息系統局聯合美國網絡司令部（Cyber Command）要在國防部保密網絡秘密互聯網協議路由網絡（SIPRNet）中試用零信任聯網技術。

e）美空軍尋求將區塊鏈技術應用于空軍網絡系統與流程，以實現通信保護、數據安全和任務的有效性[19]。

總之，相關區塊鏈技術成果正在戰場通信、國防關鍵網絡基礎設施等領域中開展技術應用探索。

2.3 網絡安全領域

美軍正在大力研發網絡主動防御、網絡彈性與機動、網絡態勢感知分析等網絡安全技術。

2.3.1 網絡主動防御技術

該技術是指利用人工智能、機器學習等技術，使設備和系統能夠自動檢測網絡威脅、發現網絡漏洞并自動修復漏洞、抵御攻擊，減少設備和系統受攻擊面的一類技術[2]。美軍重點開展了“脆弱性緩解” “航空電子設備網絡脆弱性”等項目，能夠優化軍事系統和軟件的冗余代碼，快速地挖掘系統內部漏洞并進行修復[2]。2020年6月， 美國防高級研究計劃局發布首個漏洞報告獎勵項目——發現漏洞阻止篡改（FETT），為“通過硬件和固件進行系統安全集成” （SSITH）項目發現可能削弱其硬件防護能力的潛在漏洞或缺陷。美陸軍與國防部聯合建設“大數據平臺”，構建允許多種網絡傳感器進行存儲、計算和分析的混合云環境，旨在為陸軍打造一個更安全的防御性網絡工具開發環境[19]。美空軍委托博思艾倫建立了Block IIR GPS衛星的“數字孿生”，隨后對GPS衛星的通信鏈路進行了“中間人”攻擊，以識別衛星與其地面控制站之間的潛在漏洞[19]。美泰科技公司（ManTech）推出的“太空靶場” （Space Range），利用對進攻性網絡的深入研究來幫助保護美國軍事、情報界和商業太空資產免受惡性網絡的攻擊。該解決方案能夠構建網絡的精確副本來測試其地面和軌道網絡中的漏洞，包括基于物理的流量整形和鏈路建模、多處理器體系結構和物理在環硬件（HWIL）的無縫集成，還可以培訓其網絡專業人員[19]。

隨著該技術的不斷發展，可有效地縮短漏洞挖掘、修復的時間，減輕各類針對系統漏洞的先進持續性威脅，減少受攻擊面。

2.3.2 網絡彈性與機動技術

該技術是指使網絡資源始終處于動態變化狀態，增加對手發動網絡攻擊的難度和成本，同時能夠保證系統在網絡攻擊下正常運行，或快速地從攻擊中恢復的一類技術，美陸軍的“變體網絡技術”、雷神公司的“網絡機動指控技術”等都屬于該技術范疇[2]。

2.3.3 網絡態勢感知分析技術

美軍當前重點開展“網絡態勢感知統一平臺”“聯合指揮控制系統”等項目，以增強美軍的多域作戰能力，縮短作戰規劃時間，提升決策品質和速度，縮短網絡作戰殺傷鏈路，提高網絡作戰節奏效能[2]。美國防高級研究計劃局開展的“網絡安全威脅預測的驗證證據和彈性設計” （VERDICT）項目[19]，旨在跨多種計算機系統工作，如用于智能設備、船舶、飛機、發電廠和風電場的計算機系統等。其目標是為系統提供對網絡威脅的全面評估，對暴露的漏洞提出解決建議，并預測即將發生的攻擊的可能性。美軍實驗室和陶森大學的研究人員共同開發新程序，通過壓縮單位內網絡流量來提前預測黑客行徑并做出反應，從而更快地阻止黑客對國防部網絡發動攻擊[19]。雷神公司推出針對美軍武器系統的網絡威脅檢測系統（CADS），可查找飛機、衛星、導彈系統和車輛等平臺整體系統的異常情況，檢測網絡入侵、篡改和黑客攻擊，并及時地通知飛機和車輛機組人員[19]。美陸軍開發“網絡態勢感知”原型系統，發展可視化網絡態勢感知能力。該系統利用“指揮所計算環境”基礎設施，從時間、物理空間和邏輯空間之間相互關聯的角度，快速地展現網絡空間事件、事件影響和相關狀態，呈現與陸軍戰略、作戰和戰術單位網絡電磁活動作戰環境相關的綜合圖景，幫助戰術指揮官跨越不同威脅向量和行為、各類行動和任務的不同的階段，及時地掌握威脅態勢，進而做出更快速、更明智的行動決策。項目分3個階段，包括：實現“看見自己的能力”階段；實現“看見戰場的能力”階段；實現“感知戰場態勢的能力”階段[19]。

此外，美軍還在加強“體系化防御技術”創新，突破“點防御”思維局限，通過體系化配合使用監測、拒止、切斷、降級和誘騙等諸多技術，實現對網絡攻擊全過程的體系化跟蹤、識別和打擊。

2.4 先進加密與檢測領域

美國從2011年以來，一直在推行密碼現代化計劃，積極地研發新型加密技術，意在從根本上解決傳統加密技術的各種安全隱患。

a）2019年2月，美海軍發布Navy Cryptologic&Cyber Warfare Community Vision》[23]，提出充分利用密碼學研究成果來應對網絡威脅。目前，美國已在生物加密、量子加密和全同態加密等技術領域中取得了領先地位。

b）為降低冗長密碼、通用訪問卡等傳統身份認證技術帶來的安全風險，美國防高級研究計劃局重點研發在不中斷網絡用戶行為的情況下，實時、主動地檢測其身份合法性的“主動認證”技術，可對網絡用戶的行為特征進行檢測，該技術已在2014年實現對軍用臺式機和筆記本計算機用戶進行身份檢測[2]。

c）2020年5月，美國防高級研究計劃局授出“加密驗證與評估信息安全保障” （SIEVE）項目合同，旨在通過研發零知識證明技術來實現復雜軍事應用中的加密技術，增強美軍方信息安全和可信計算能力[2]。據稱，該項目共有3個技術領域：構建有用的零知識語句；構建高效的零知識證明生成編譯器；后量子零知識研究。

d）2020年8月，美國防高級研究計劃局發布“穩健物聯網中超大規模架構的加密技術”（CHARIOT）項目[2]，旨在為物聯網設備開發快速、高效、低成本、抗量子的革命性加密技術，以保護美軍方目前使用的大量物聯網設備。這些設備的安全風險隨著量子計算和5G無線網絡的運用變得愈發突出。另外，由于一些物聯網設備預計將使用10年以上，軍方需要低功耗的加密解決方案。

e）2020年10月，美國光騎士公司推出首款量子加密產品，使用量子軟件與板載量子處理器，利用物理工作空間中的光來傳輸和加密數據，在通過量子加密保證數據安全的同時，還可將光纖上行鏈路的量子數據直接傳送到物聯網設備中，以最大程度地確保安全[2]。

2.5 量子信息領域

美國在量子通信方面的研究起步較早，一些成果已用于軍事、國防等領域的國家級保密通信中，目前正在創建一套輻射狀的量子互聯網，并將量子通信應用于虛擬貨幣防偽和量子指紋鑒定等。

a）美國國家科學基金會于2017年啟動“推動工程學中的通信量子信息研究”項目，支持量子通信系統的跨領域研究，著重解決基礎工程挑戰，以綜合組件、中繼器、網絡和架構來實現無損、室溫、點對點的鏈接[24]。

b）美陸軍于2020年設立量子信息科學項目，研究光和量子系統之間的相互作用，包括原子、離子和固態材料，用于開發分布式量子系統的基本構件，此外還探索量子糾纏態分發的方法[2]。

c）美國國防信息系統局尋求可抵御量子計算機破解的新型加密算法原型，旨在研發可承受量子計算機攻擊的先進算法和加密解決方案，用于保護國防部IT基礎設施。

2.6 第五代移動通信技術（5G）領域

5G具有高速率、低時延、低功耗和海量連接等特點，有望用于戰術通信、指揮控制和情報監視偵察等軍事領域。

美國防高級研究計劃局開展“開放、可編程、安全5G” （OPS-5G）項目，旨在利用可移植的、開源的、符合標準的5G移動網絡棧，化解5G網絡被用來開展網絡間諜和網絡戰的風險。OPS-5G研究集中在軟件標準、跨尺度5G節點和網絡安全、安全切片、可編程防御4個技術領域。

3 美軍網絡安全技術發展趨勢

近年來，美軍以“軍方主導、業界協同”思想為指導，充分地借助業界技術和能力，加強網絡空間態勢感知、人工智能和自動化、零信任、網絡靶場、虛擬技術、量子加密、5G等安全技術裝備的研發，提升網絡安全技術水平，維持其在全球的作戰能力優勢。從前述對美軍網絡安全相關技術進展及重點項目的分析可知，美軍網絡安全技術發展具有如下趨勢。

a）聚焦網絡前沿攻防，提升網絡空間態勢感知能力

網絡態勢感知是網絡攻擊追蹤溯源和網絡空間攻防行動的基礎，也是美國網絡空間威懾戰略的前提。該技術是指應用了人工智能、機器學習技術，為網絡作戰人員提供快速、準確的網絡空間信息獲取能力，并能夠自動地對網絡空間海量情報數據進行分析處理，從海量非結構化異構數據中提取有效信息的一類技術。

b）實時響應網絡威脅，提升威脅智能自動處理能力

網絡空間攻擊行動以接近光速傳播和實施，并且能夠對特定目標造成整體性影響，這種瞬間和整體攻擊能力也成為網絡空間行為的特質。人工智能和自動化技術的發展為美國網絡空間安全帶來了新的發展機遇，成為美軍提升網絡安全能力的倍增器?；谌斯ぶ悄艿陌踩{檢測，可大幅度地縮短網絡攻擊檢測時間，根據威脅等級、種類和行為自動地制定處置方案，同時實現自主學習，不斷地提高防御能力。

c）打造可信驗證體系，提升身份驗證授權管理能力

零信任建立了以數據為中心的安全模型，消除了受信任或不受信任的網絡、設備、角色或進程的概念，并轉變為基于多屬性的信任級別，使身份驗證和授權策略在最低特權訪問概念下得以實現。美軍基于零信任原則開展身份與訪問管理，以此降低網絡的匿名性，降低敵手網絡滲透和橫向移動的機動能力。美國防部2019年7月發布的《國防部數字現代化戰略：國防部2019—2023財年信息資源管理戰略規劃》[25]將零信任列為重要目標，美國防創新委員會（DIB）同年10月發布的《零信任架構建議》[26]提出“國防部應將零信任實施列為最高優先事項，并在整個國防部內迅速地采取行動”。

d）構建虛擬仿真環境，提升安全技術研發驗證能力

當前，網絡空間對抗形勢日趨嚴峻，網絡靶場平臺成為支撐網絡空間安全技術驗證、網絡武器試驗、攻防對抗演練和網絡風險評估的重要手段。美軍發展網絡靶場平臺環境，根據需要模擬復雜多樣的網絡環境，從而開展網絡攻防演練、網絡空間對抗動態推演，以及攻防工具和系統驗證。

e）突出新興領域運用，提升新型對抗技術創新能力

量子加密、5G等新興技術不斷地取得突破發展，同時也帶來了新的網絡安全威脅。一方面網絡攻擊者可以利用新興技術突破傳統的網絡安防體系，另一方面新興技術領域網絡安全成熟度不高也帶來新的漏洞隱患。應對新興技術產生的網絡安全威脅，美軍加強相應的網絡安全技術研發和創新，以保持技術領先優勢，懾止對手利用新興技術開展網絡攻擊滲透活動。

4 結束語

美國是創新技術發展的引領者，其技術研究布局、發展趨勢及研究項目代表了技術發展的熱點。網絡安全正在成為影響國民經濟發展的重要因素，并且不斷地向民生、政治、經濟和文化等各個層面滲透。我國在建設網絡強國的道路上需要加強網絡安全，掌握關鍵核心技術。因此，我國一方面要合理地布局新興技術，特別關注新興技術的交叉融合所帶來的新的安全威脅和機遇，例如人工智能與網絡安全的融合、物聯網安全和5G安全等問題；另一方面，可以借鑒美國“軍方主導、業界協同”的發展思路，學習美軍的軍民融合發展模式，在網絡安全領域加強政產學研用的協調合作，打造多維生態合作，推動網絡安全產業高端集聚發展。