美陆军零信任计划发展概述

简介
为支持国防部的零信任战略，美陆军发布了《陆军云计划》、《陆军网络
安全》等一系列零信任战略规划，并通过成立零信任架构能力管理办公室、设
计发展路线图、进行红蓝对抗演练、对身份、凭证和访问管理（ICAM）平台进
行现代化改造等措施推进零信任架构实施。目前美陆军将其零信任计划暂时命
名为“骑士守望”，积极探索“模块化任务环境”、“自带设备办公”等零信
任能力落地应用。

1
实施背景
随着网络技术的迅速发展和信息化战争的兴起，美军对于网络安全的需求
日益强烈。美国国防部认为传统的以网络为中心的单边式防护手段已经无法应
对当前和未来的网络安全威胁，而以数据为中心的零信任架构采用“永不信任，
始终验证”的原则，注重对资源的防护，是美军网络安全防护战略的首选。

图 1 从传统边界式防御转向零信任架构
目前，美国国防部正采取措施推进零信任架构的应用。2022 年国防授权法
案要求国防部制定零信任战略和模型架构。2022 年 7 月和 11 月，美国国防部分
别发布了《国防部零信任参考架构》和《国防部零信任战略》，确定了国防部
零信任安全框架（包括 7 大支柱、45 项能力、152 项活动，参见图 2）、时间线
和实施关键里程碑。为配合国防部零信任战略，美陆军相继发布了《陆军数字
化转型战略》、《陆军统一网络计划》、《陆军云计划》、《陆军数据计划》、
《陆军网络安全》等战略，推进零信任能力的实现。
 图 2 美国国防部零信任安全框架

图 3 美国防部及陆军零信任战略规划

2
实施现状
（1）成立零信任架构能力管理办公室，统筹管理推进零信任架构实施
2023 年 1 月，美陆军成立了零信任架构能力管理办公室，加速推进零信任
架构实施，其目标是确保所有信息系统的安全性，防止任何形式的未经授权的
访问和数据泄露，到 2027 年实现一个由全面实施零信任架构保护的安全统一网
络。美陆军将零信任原则嵌入其所有活动，零信任架构在美陆军中的应用范围
涉及到所有用户、设备、应用程序和网络，包括士兵之间的通信、指挥控制系
统的安全、云计算环境的安全等。
 （2）设计发展路线图，分三阶段实现零信任计划
目前美陆军将其零信任计划暂时命名为“骑士守望”。陆军当前正在针对
国防部“零信任”计划的 90 项目标能力，设计实现“零信任”计划的发展路线
图，具体包括以下三个阶段：第一阶段于 2024 年完成构建零信任架构基础，包
括身份凭证和访问管理、网络可见性、终端安全、事件响应等基本功能；第二
阶段于 2025～2027 年间完成简化身份服务的工作，包括自动化身份管理和验证、
预防数据丢失、减少内部威胁等功能，同时构建可扩展的网络资源并提升其零
信任水平；第三阶段在 2027 年后聚焦应用的持续检测和评估改进。
（3）设计零信任架构，并通过红蓝对抗进行检验
2019 年第 1 季度，由美国国家安全局、国防信息系统局、网络战司令部、
国防部数字服务局组成的国防部零信任团队开发了零信任概念验证
（PoC）。2020 年 8 月 美国陆军战术团队开始构建基于 2019 年零信任概念验证
的零信任架构。随后美陆军开始进行网络安全红蓝队对抗测试。2021 年 2 月，
美国陆军战术团队在检测模式下实施零信任架构击败了第一支红队。随后在预
防模式下，分别于 2021 年 3 月和 8 月又击败了两支红队。2022 年 8 月，在没有
零信任设计架构师协助的情况下，战术团队又击败了一支红队。四次红蓝对抗
结果证明美陆军零信任的实施是成功的。从 2023 年 4 月开始，美陆军开始对网
络安全人员进行零信任课程培训。
（4）对身份、凭证和访问管理（ICAM）平台进行现代化改造
ICAM 平台是美陆军零信任的基础设施，它根据用户信息在特定时间对特定
网络资源授予访问权限。比如，可使用多因素身份验证或面部识别技术来确定
特定用户是否拥有权限。美国陆军正在对 ICAM 进行现代化改造，使其成为一个
强大、可互操作和敏捷的企业 ICAM 平台，在网络连接时为跨云、本地部署和战
术环境的个人实体和非个人实体提供支持。

图 4 美国陆军企业级 ICAM 平台现代化将在整个统一网络中实现零信任

3
零信任能力应用
美国陆军正在寻求为政府配备的设备和自带办公设备提供一个微分段、按
需联网的远程安全解决方案。这些设备可以协同工作，但不依赖于虚拟专用网
络（VPN）。解决方案将集成到一个零信任架构中，对设备和用户进行身份验证，
可与第三方身份验证系统集成，并基于现有的基于角色的访问控制和基于属性
的访问控制的混合方案提升对特权信息和系统的安全访问能力。相应的解决方
案包括“模块化任务环境”、“自带设备办公”等。
（1）模块化任务环境
所谓的模块化任务环境就是一个能够提供强大的跨密级、支持云的战术环
境，该环境以数据为中心，支持跨梯队、跨密级的人工智能/机器学习处理工具，
可在 IL4 上运行战术云解决方案 ，可为联合全域指挥控制提供支持。模块化任
务环境具有以下关键能力和特征：
 采用零信任架构后能实现一个容器化的任务合作伙伴环境
 与硬件和传输无关
 能够为目标定位和动能/非动能作战提供指挥控制支持
模块化任务环境为特种作战部队、常规部队、联合部队以及盟国部队提供
了一个数字生态系统，从而能够近实时地分析和自动化处理从战术边缘、跨梯
队和跨密级获得的数据。美陆军认为，没有任何单一工具或方法可以实现零信
任，必须通过多供应商提供的深度防御措施来实现零信任能力。模块化任务环
境在企业层、战术层和任务合作伙伴间采用了多层加密的深度防御策略。

图 5 模块化任务环境深度防御策略
 图 6 深度防御策略是一种由多供应商提供的安全方法
（2）自带设备办公（BYOD）
传统的由政府提供的笔记本电脑和其他办公设备封闭、老旧，体验感很差。
为解决这一问题，美国陆军开始允许自带设备办公，使士兵能利用自己的设备
连接美国陆军网络，快捷地处理业务。美陆军通过托管在 cARMY 云（美陆军的
企业云）上 Hypori Halo 平台，实现了安全的自带设备办公能力。
Hypori Halo 的创新之处，在于打造了一个基于零信任理念的安全办公空
间平台，通过这个独立、安全的虚拟空间，将应用程序以不依靠任何代理的云
化的方式传输到任何类型的自带终端设备，实现对企业应用的安全访问。
Hypori Halo 这种云化的零信任架构，可以确保设备上没有任何数据落地，
个人和企业数据 100%分离，在完全不依赖用户终端设备管控的前提下，为用户
提供包括互联网访问、私有访问和应用软件在内的业务交互，可以最大限度地
杜绝数据泄漏，满足陆军数据合规性要求。

图7 Hypori Halo 云化的零信任架构确保设备上没有数据

从用户的角度看，用户不需要在终端设备上安装客户端软件或进行专门配
置，Hypori Halo 能够不依赖用户的终端设备，随时随地提供完整的工作环境。
从安全的角度看，Hypori Halo 会屏蔽访问目标的暴露面，杜绝数据泄露，从
而从根本上改变安全态势。这一天然架构特性消除了自带设备办公的管理难题，
并允许管理员在单一环境中进行管理和开发。
 美国陆军首席信息官 Raj Iyer 博士表示，美陆军已根据零信任原则对安全
权限进行了分级，并对整个解决方案都进行了网络安全评估，由于 Hypori
Halo 托管在美国陆军的 cARMY 云上，因此这一解决方案非常地安全。
2022 年 5 月，美国陆军启动了为期 6 个月的阶段性测试，包括陆军现役部
队、陆军国民警卫队和陆军预备役的大约 2 万名用户对 Hypori Halo 平台进行
了测试和评估。美陆军已在 2023 年将该解决方案全面应用于全军。

4
问题和挑战
在实施零信任安全模型的过程中，美陆军遇到了很多问题和挑战，包括如
何对大量的用户进行有效的身份验证和授权、如何保证数据传输和存储的安全
性、如何对所有的设备和应用程序进行有效的管理和监控、如何在战术边缘通
信降级的环境中制定零信任访问策略等。
针对以上问题，美陆军采取了多种解决方案。例如，对于大量的用户进行
身份验证和授权，美陆军采用了多因素身份验证的方法，包括指纹识别、动态
口令等，同时还开发了智能卡系统，通过智能卡对用户进行身份验证和授权。
对于数据传输和存储的安全性，美陆军采用了基于区块链的信息流保护技术和
数据备份的方法，提供数据跟踪和信息流的可追溯性，确保数据不会被窃取、
更改或丢失。对于设备和应用程序的管理和监控，美陆军采用了基于策略的自
动化管理软件对所有设备和应用程序进行统一管理和监控。针对战术边缘通信
降级的环境中的访问控制策略问题，通过数据标记和战术级动态访问控制决策
实施动态、细粒度的访问控制。

5
小结
随着网络规模和复杂性不断增长，美陆军正从传统的以网络为中心的单边
式防护转为以数据为中心的零信任架构，从而显著抵消网络中的漏洞和威胁。
零信任架构是美陆军网络安全架构的必然演进方向，同时也是解决 JADC2 安全
通信问题的关键要素。美陆军实施的“自带设备办公”等项目已初步取得成效，
为零信任能力下一步实施和部署奠定了良好的基础。但美陆军的零信任计划还
存在各种问题和挑战，在未来一段时间内，美陆军还将不断完善改进，为未来
的信息安全建设提供更加有力的支持。