2024年4月20日发(作者:)

报告丨美国国防部(DoD)发布网络安全参考架构丨附下载

网络安全参考架构(CSRA)是一个参考框架,旨在由国防部用来

指导网络安全的现代化,这是 E0.14028号文件第3节,改善国家网络

安全以及关于改善国家安全国防部和情报界系统的网络安全的国家安

全备忘录的要求。CSRA将推动国防商业系统、国防部国家安全系统

(NSS)和国防部关键基础设施/关键资源(CIKR)——包括国防部

信息技术(IT)和国防部操作技术(OT)——通过演变来整合ZT原

则。这种演变对于通过采用ZTA实现网络安全的现代化是必要的。

CSRA是通过整合情报产品和基干威胁的网络安全评估(例如,国防部

网络安全分析宙查DODCAR)的威胁信息产品。CSRA的目的是以原

则、基本组件、能力和设计模式的形式建立网络安全架构的特征,以

应对存在于传统网络边界内外的威胁。CSRA与其他RA和解决方案架

构的协调必须包括现有的指挥和控制(C2)命令和指令。C2和CSRA的

调整将提高网络空间的生存能力,增强行动和作战人员支持的弹性,

以实现综合威慑。

1 摘要

国防部首席信息官负责指导国防部雇用的NSS和CIKR的网络安

全的现代化。根据国家安全指令42的规定,国家安全局局长被指定为

NSS的国家管理者。国防部首首席信息官办公室和国家安全局之间的

伙伴关系使国防部为支持作战人员而实现网络安全现代化的方法得到

发展。网络安全参考架构(CSRA)在历史上为与JIE企业架构相一致的

架构系列提供网络安全指导。它最初是为了传达企业级的技术指导,

以满足JIE和国防部信息企业网络安全的目标·CSRA现在是按照

E.O.14028和NSM-8第3条对联邦政府的指示,为国防部实理现网络

安全的现代化。

1.1 宗旨

CSRA的目的是以原则、基本组件、能力和设计模式的形式建立网

络安全架构的特征,以应对存在于传统网络边界内外的威胁。CSRA通

过整合ZT原则指导网络安全实施的现代化,以支持威胁情报驱动的缓

解和采购规划的调整。ZT包含指导CSRA中包含的门槛特征的客观特

征,以确保作战人员所需的能力满足网络生存能力标准,以支持网络

生存能力认可(CSE)。网络复原力的考虑被包括在内,以支持任务保证

所需的网络生存能力工程。随着各组织采用ZTA,需求和采购文件将

需要定义网络安全和网络弹性的阈值性能要求,以确保它们具有合同

约束力、可衡量和可测试。

1.2 范围

CSRA为国防部的网络安全现代化提供了架构框架,并支持完成

ZTA的目标水平。该指南适用于国防业务系统、国防部NSS、国防部

CIKR以及其他国防部IT和OT。

1.3 原则

网络战的本质是不对称的,因此,为了实现充分的网络安全,有

必要进行定制或自定义控制;然而,消除一个系统中的所有风险是不符

合成本效益的。为了有效地减轻风险,每个缓解措施的选择应基于对

威胁的成本效益分析。平衡缓解措施的整体效果和直接成本,使建筑

师能够根据风险状况做出明智的决定。一种基于承认威胁不能被限制

在授权范围内的方法,以及在基干威胁的网络安全评估的基础上对缓

解措施进行成本-效益分析,可以使安全设计对特定的威胁使用最有效

的控制。这种方法符合国家标准与技术研究所(NIST)特别出版物

(SP)800-160RevA,联合参谋部JCIDS CSRC网络生存能力属性,

国防部指令(DoDI)8530.01,以及NISTSP800-207和其他联邦政

府倡议中描述的ZT原则。

建议采用以下网络安全架构原则,通过将风险降低到可接受的水

平来实现充分的网络安全,以保护国防部数据、资产、应用和服务

(DAAS)。最新的原则清单反映了国防部根据E.0.14028和NSM-8采

用ZTA的意图。

1.4 假设

下面列出的假设反映了国防部根据E0.14028和NSM-8采用ZTA

的意图。

每个用户、设备和应用程序都经过认证和授权;