美國國防部《數位現代化戰略》之觀察
2019.08.12
瀏覽數
89
壹、新聞重點
美國國防部於2019年7月公布《數位現代化戰略》(Digital Modernization Strategy),除首次公開區塊鏈(Blockchain)資安應用實驗外,[1] 更揭示美國國防部未來五年(財政年度2019-2023)的數位現代化目標—創造安全、協調、無死角、具成本效益的資通訊基礎建設,將資料轉為行動的資訊,確保在持續資安威脅下,依舊能受信任地執行其任務。另外,此份戰略也明確指出國防部資訊長(Chief Information Officer)的四大優先事項—網路安全、人工智慧、雲端化以及指揮管制通訊(Command, Control and Communication, C3)的改進。 [2]
貳、安全意涵
一、強化資訊長於資訊政策與採購的主導角色
此份《數位現代化戰略》,是美國國防部資訊長狄希(Dana Deasy)上任後首次發布。資訊長之設置,源自2012年美國國防部組織重組,將原本之網路與資訊整合助理部長(Assistant Secretary of Defense for Networks and Information Integration)改為資訊長。除主管國防部資訊組織(Information Enterprise)一切事務外,作為國防部長之首席資訊顧問,需提供對於國防部資訊科技政策的建言。2019年1月1日正式生效的國防部行政指令第5144.02號(DoD Directive 5144.02)2017年修正案增修條文,進一步提高其任命層級,將資訊長任命改為由總統提名、再經由參議院同意,並擴大其權限,直接對國防部長負責,同時賦予資訊長對於資訊政策與採購之主導角色,可制定國防部資通訊系統標準與採購規範,並評估國防部五年期之相關預算採購案是否符合標準。這使國防部相關單位將無法採購不合標準的系統,資訊長亦需對現有不合標準的系統提出降低風險之因應方案。 [3]
二、擴大人工智慧之應用範圍並持續網路安全能力建構
美國國防部於2019年2月公布《人工智慧戰略》(Artificial Intelligence Strategy),明定在人工智慧發展之優先項目,並以研究發展與能力建構為主。《數位現代化戰略》將人工智慧列為以創新維持競爭優勢之首,透過聯合人工智慧中心(Joint Artificial Intelligence Center, JAIC)作為與業界、學界之橋樑,連結研究與各單位需求;並透過雲端建置及國防資訊系統網路(Defense Information System Network, 即軍網)現代化,加速AI於各層級之應用。這不僅使作戰人員能以AI解決方案提高作戰效率與致命性,也包括辦公室決策層面的效能提升,如提升後勤醫療支援系統效率、以自動化分析支援決策、改善資源運用等。
此外,《數位現代化戰略》亦將持續網路安全能力建構,以實現「敏捷且具韌性的防衛部屬」(agile and resilient defense posture)。具體項目則包括加強端點防護、部署內部威脅偵測功能、以大數據分析增強網路安全的狀態認知等
三、關注新興科技及可能應用
與《數位現代化戰略》之前身《資訊資源管理策略計畫》(Information Resource Management Strategic Plan)相比,《數位現代化戰略》於附錄A新增列多項美國國防部關注、並思考未來可能應用之新興科技。除已經列為首要目標之人工智慧外,亦包括區塊鏈、網際網路協定第六版(Internet Protocol version 6, IPv6)、零信任安全(Zero trust security)等業界逐步採用之新概念或規範。
其中,《數位現代化戰略》首次公開國防先進研究計畫署(Defense Advanced Research Project Agency, DARPA)利用區塊鏈紀錄難以竄改之特性所建立的區塊鏈資安盾(Blockchain Cybersecurity Shield)實驗平台,預期透過此平台進行加密訊息傳輸或轉帳交易試驗。另外,IPv6則是取代現行第四版(IPv4)協定,主要是因應IPv4之IP位址即將發放完畢的枯竭問題。各國新建置之網路關鍵基礎設施與大型服務,大都已經完全支援IPv6,因此未來設備更新與網路服務建置,均應考量IPv6支援性。
參、趨勢研判
一、資源建置由實體走向雲端化
若要擴大人工智慧的應用層面,相較於可重複配置的雲端服務,實體建置缺乏擴展性,不易因應快速開發測試以及規模擴大的資源需求,因此現今趨勢已是雲端建置。美國國防部為期十年、總價高達100億美金的採購案「整合式企業級國防基礎建設」(Joint Enterprise Defense Infrastructure, JEDI),即是直接採購商用雲端服務,目前為美國國防部規模最大之單一資通訊服務採購案。
然而,JEDI採購案仍需面對政治上的角力。雖然JEDI目前由已預先建置符合聯邦政府資訊採購規範系統的亞馬遜網路服務(Amazon Web Service, AWS)得標,但落選之甲骨文(Oracle)隨即進行強力遊說,且川普總統對身為華盛頓郵報(Washington Post)大股東的亞馬遜執行長貝佐斯(Jeff Bezos)極為不滿,因而直接介入,要求新任國防部長艾斯培(Mark Esper)重新檢視這項採購。[4] 業界一般認為具市場先占優勢的AWS仍有極大機會得標,而其他國家預期將密切關注JEDI採購案發展,作為未來類似建置與採購的參考。
二、以零信任安全落實作為未來五年資安管理之目標
傳統資訊安全架構常將網路區分為內、外網,預設內網為較安全之網路環境,降低其聯網裝置的驗證需求,再透過實體隔離及建置防火牆等進行防護。零信任安全則不再有內外網的區分,預設所有聯網裝置都可能造成威脅,進行任何動作前都需重新驗證。這是目前業界建議對於未來物聯網(Internet of Things)及5G普遍推行後,因應潛在資安威脅的基礎概念。
值得注意的是,7月11日美國國防創新委員會(Defense Innovation Board)公布白皮書《通往零信任(安全)之路》(The Road to Zero Trust (Security)) ,[5]建議國防部以零信任安全概念作為未來資安政策的基礎。《數位現代化戰略》亦指出國防部資訊長已與網路司令部(USCYBERCOM)及國家安全局(National Security Agency)共同探討可能之執行做法,並已提出數個候選方案,如雲端化、自動化安全認證、加密模式現代化等。這顯示零信任安全之落實,應是未來五年美國國防部資安管理的重要目標。
[1]Daniel Kuhn, “US Defense Department to Develop Blockchain Cybersecurity Shield,” Coindesk, July 29, 2019, https://tinyurl.com/y3euscfj.
[2]David Vergun, “Digital Modernization Strategy to Benefit Warfighters, DOD CIO Says,” Department of Defense, July 12, 2019, https://tinyurl.com/yxwzczho.
[3]國防部資訊組織(IE)涵蓋項目包括:通訊、頻譜管理、網路政策與標準、資訊系統、網路安全、定位導航授時系統政策。行政指令5144.02修正部分見Jared Serbu, “DoD CIO gets beefed-up authorities, responsibilities starting Tuesday,” Federal News Network, January 1, 2019, https://federalnewsnetwork.com/defense-main/2019/01/dod-cio-gets-beefed-up-authorities-responsibilities-starting-jan-1/.
[4]Scott Shane, Kate Conger and Karen Weise, “In Pentagon Contract Fight, Amazon Has Foes in High Places,” New York Times, August 2, 2019, https://tinyurl.com/y4kl9vaq.
[5]Tajha Chappellet-Lanier, “Defense Innovation Board wants to help DoD understand zero trust,” Fedscoop, July 10, 2019, https://www.fedscoop.com/zero-trust-defense-innovation-board-paper/. 白皮書全文請參閱Kurt DelBene, Milo Medin and Richard Murray, “The Road to Zero Trust (Security),” Defense Innovation Board, July 9, 2019, https://tinyurl.com/y6kxp7wv。