為了實現和保持作戰優勢，協調部署的部隊，并實現新的作戰能力，美國陸軍、空軍、海軍、海軍陸戰隊和太空部隊正在積極尋求新的計劃，如聯合全域指揮和控制（JADC2），以確保作戰人員具有最大的態勢感知能力。這種升級推動正在推動連接云、指揮所、作戰平臺和下馬作戰人員的端到端網絡的發展。它還預計在大數據處理、人工智能和機器學習的支持下增加大量傳感器和視頻饋送，以加快所有作戰領域的決策。

這種網絡化戰場的愿景包括標準化和可互操作的數據格式和應用程序編程接口（API），這將打破信息源，應用程序和平臺之間的障礙和煙囪 - 使指揮官和數據分析系統能夠開發通用的操作圖片。雖然這一愿景的好處令人信服且易于理解，但它提出了一個不容忽視的問題：隨著這些網絡的規模和復雜性的增長，它們的網絡安全攻擊表面也在增加。也就是說，網絡將有更多可以受到攻擊的地方，并且將有更多必須管理的漏洞。這種類型的網絡擴散還具有將網絡安全威脅引入傳統上不易受到外部攻擊者攻擊的位置（例如嵌入式系統）的副作用。這種情況只會因我們近乎同行的對手在網絡領域廣泛承認的、增加的作戰活動而加劇。

這個漏洞不是理論上的風險，美國國防部（DoD）將明智地從工業部門的教訓中吸取教訓，工業部門經歷了對通常用于所謂的操作技術（OT）的嵌入式系統的攻擊，這些系統用于制造設備的過程控制等應用。從歷史上看，工業部門一直使用“氣隙”技術來隔離OT，使用屏障來保護某些操作免受高度連接網絡的影響。然而，互連這些設備和自動化OT的IT管理的好處已經打開了威脅格局。

網絡漏洞示例

CISA對影響天然氣壓縮設施運營技術OT網絡上的控制和通信資產的網絡攻擊做出了回應。威脅參與者使用魚叉式網絡釣魚類型的鏈接來獲取對組織的信息技術 （IT） 網絡的初始訪問權限，然后再轉向其 OT 網絡。然后，威脅參與者部署了商品勒索軟件來加密數據，以影響兩個網絡。OT網絡上失去可用性的特定資產包括人機界面（HMI）、數據歷史學家和輪詢服務器。受影響的資產不再能夠讀取和匯總從低級OT設備報告的實時操作數據，從而導致人類操作員部分失去視野。

如果諸如JADC2之類的愿景將C5ISR（指揮，控制，計算機，通信，網絡，情報，監視和偵察）網絡連接到大量戰術平臺陣列，包括車輛/平臺網絡，士兵的下馬網絡和無線網絡。隨著C5ISR網絡越來越多地使用嵌入式外形尺寸來減小設備的尺寸、重量和功耗（SWaP），這種情況可能尤其正確。當一切都連接起來時，C5ISR網絡（大致相當于企業世界中的IT網絡）將使戰術平臺和遠邊緣網絡和計算機面臨新的網絡安全威脅。

這些新網絡需要什么？

新互連的實施需要對新暴露在威脅下的系統的網絡安全架構、技術控制和流程、漏洞和攻擊面進行徹底審查。過去，系統架構師、網絡安全工程師和審批機構可能會評估戰術和遠邊緣系統，并了解它們與 C5ISR 網絡隔離，得出的結論是他們不需要（也負擔不起）IT 網絡中常見的網絡安全保護。特別是，在平臺上添加額外的技術可以在已經受限的平臺上提高SWaP。

更復雜的是，增加典型的IT設備會增加戰術和遠端項目的成本和培訓，并可能減慢程序的開發時間。系統設計人員能夠依靠戰術和遠邊緣平臺上的氣隙來保護系統免受C5ISR網絡的影響，到目前為止，他們已經能夠設計出“外部”網絡安全保護并滿足其程序要求。然而，對于網絡互連，這不再是一個可行的設計策略。

好消息是，最近的技術突破現在使得在小型解決方案中部署使用最佳企業級網絡安全技術的堅固、嵌入式網絡技術成為可能，這些解決方案可提供下一代 C5ISR 解決方案所需的更高網絡速度和數據安全性。得益于許多趨勢 - 包括提高的CPU性能和內存容量，允許虛擬化網絡安全功能，以及主要企業網絡供應商提供的新的嵌入式板 - 這些技術在嵌入式外形尺寸中變得越來越可用 - 在分立模塊解決方案甚至基于VPX外形尺寸的C5ISR/EW模塊化開放標準套件（CMOSS）兼容解決方案中。

在不遠的過去，部署企業級網絡安全功能的唯一選擇是現場企業設備 - 19英寸機架式數據中心式設備 - 大型，耗電且脆弱，根本不適合嵌入式或平臺集成應用。如今，許多關鍵的網絡安全功能都是虛擬化和軟件定義的，能夠在單板計算機上運行，從而可以部署在嵌入式解決方案（如CMOSS/VPX）上，也可以部署在分立模塊上，從而顯著降低SWaP并滿足嚴格的MIL-STD資格。

其中一個例子是新的思科Catalyst ESS 9300，這是新型10端口10千兆以太網交換機，專為板載關鍵任務戰術移動通信而設計。這款強化型交換機模塊基于思科最新的 9300 技術，工作溫度為 -40 至 85 °C，可在極端惡劣的環境中提供最佳性能。緊湊的模塊尺寸僅為 110 mm x 85 mm，僅需 35 瓦的功率。

該交換機的介紹是思科提供商用現貨 （COTS） 解決方案的良好記錄的一部分，這些解決方案還滿足嚴格的企業和 DoD IT 網絡安全要求。安全功能包括思科的TrustSec;遵守“安全啟動”標準;以及用于識別和限制用戶的身份驗證、授權和記帳功能。后一項功能可在訪問資源時測量使用情況，思科計劃全面認證該解決方案的加密實施和功能，使其符合 FIPS-140 和通用標準等標準。這項技術將該公司的安全IOS-XE交換軟件（部署在許多商業企業中）帶入國防部嵌入式市場。由于其交換技術已經廣泛部署在整個軍事組織及其支持集成商中，并且由于思科在為軍事提供培訓方面投入了大量資金，因此基于思科的技術的可用性減少了培訓和實施時間，同時提高了網絡的可維護性。

基于新型思科 10 GbE 交換機的 DoD 就緒解決方案的一個例子是 Curtiss-Wright 的 PacStar 448 模塊。它采用完全堅固的外殼，增加了軍用互連和功能，例如支持使用軍用標準電池運行，使其可用于部署在移動數據中心。Curtiss-Wright 從設計的早期階段就與思科密切合作，參與了解決方案的開發，并就早期工程樣品進行了合作，以確保成功滿足軍事性能要求。

PacStar 448 可為任何類型的戰術網絡應用提供高速交換。它還直接插入已部署的 PacStar 模塊化數據中心 （MDC），這是一個戰術和遠征堅固的數據中心，能夠托管任務指揮、云/存儲、傳感器融合、AI 和分析應用程序。

針對惡劣環境部署的堅固耐用的SWAP優化企業級網絡硬件的出現將在C5ISR和平臺網絡設備合并之前提供所需的安全網絡，確保作戰人員能夠保持對關鍵的新態勢感知技術和能力的訪問，這些技術和能力為他們提供了力量倍增優勢 - 即使面對日益增加的網絡安全威脅。

審核編輯：郭婷