信息安全 - 美国军事秘密网络 SIPRNet 是否在物理上或加密上分离/保护？ - 吾爱随笔录

美国军事秘密网络 SIPRNet 是否在物理上或加密上分离/保护？

信息安全网络防御

2021-08-16 18:57:16

我已经阅读了关于SIPRNet和NIPRNet的 Wikipedia 文章（它们的细节非常简单），它们应该被认为是分开的。在网络层面，它们在技术上是不兼容的，还是有高水平的人为参与来保持它们之间的联系和本质上的隔离？

SIPRNet 是在自己的光纤/电缆/卫星/基础设施上运行，还是在公共基础设施上运行的强加密封装？（我怀疑这取决于上下文和需要设置安全通信的速度？）

4个回答

根据这个网页，SIPRNet 和 NIPRNet 应该是气隙的（彼此之间，以及世界其他地方）。但是，它们也可以从世界各地的不同位置访问，在多个国家/地区的控制下（据记录，来自包括澳大利亚、新西兰、加拿大和英国在内的多个国家/地区的一些服务可以访问 SIPRNet 和 NIPRNet） .

如果 SPIRNet 和 NIPRNet 在全球范围内真的存在物理隔离，那么这将意味着：

所有通信都通过电线进行（没有无线电，没有卫星链接）；
有专门的电线，包括全球海底通信电缆和陆地电缆。

考虑到安装海底通信电缆不能以任何方式谨慎（并且此类电缆的清单似乎是公众知识），成本将是巨大的，而且布拉德利曼宁据称是维基解密上发布的一些机密信息的来源，从位于巴格达的设施访问 SIPRNet，可以推断气隙不彻底。这可能意味着在给定的设施内这些网络在物理上彼此分离，并且没有计算机连接到 SIPRNet 或 NIPRNet 以及其他一些网络；另一方面，离开此类安全设施的数据很可能经过高度加密，并通过与世界其他地方共享的链接进行传输（至少美国纳税人热切希望正确应用加密）。

我决定用我自己的猜测和挖掘来回答我自己的问题。

SIPRNet可以在物理上不同吗？当然。小型网络可以在不需要现有基础设施的情况下迅速存在。大型网络更是一个问题。世界各地的电信公司将以高昂的费用铺设物理上不同的电缆。有些事情告诉我，任何重要的军队也可以获得适当的许可来铺设自己的电缆。谷歌正试图购买未使用过的所谓“暗光纤”的权利——尽管那篇文章已有 6 年历史，但想法始终如一。

但是，对于一个具有全球影响力的网络——正如@TomLeek 指出的那样——有些事情不能用于布线。卫星网络、机动部队和物理分离的环境将需要某种形式的空中通信信道。

由于需要无线通信，并且可能因为铺设自己的电线成本太高（真的吗？），这是不可能的，因此无法通过无线等方式提供额外的物理安全性等。一个重要的军事力量可以共享“公共”基础设施资源。这种用法很可能仅用于低机密信息传输。无论如何，任何通信都将使用甚至可能不为人知的加密算法和技术进行高度加密（公钥/私钥加密是由信号情报研究人员在 DH 和 RSA 产生之前开发的）。

我真正更感兴趣的是——不幸的是，这个问题的措辞是——两个独立的网络——SIPRNet 和 NIPRNet——在技术上是否不兼容。所有证据都指向“不，但是”。任何技术上的不兼容都必须发生在网络边缘（而且肯定是分层的）。诸如经过认证的单向电缆之类的产品的存在暗示了其他物理机制，以确保非秘密和秘密网络保持单向关系（信息可以很容易分类，但机密信息很难解密；例如。 Bell-LaPadula：不读，不写）。数据丢失防护软件的存在是一种商业实现，可能已经在军事组织中生效。

我认为可能更有趣的是坐在桌子上的三台电脑是如何保持分开的。SIPR 数据电缆是否物理锁定在 NIC 的数据插孔中？SIPR 计算机是否没有外围设备？我会冒险猜测并说“是”和“是”。SIPR 数据插孔在物理上是否不同？或许。我很想知道这个问题的真正答案，我认为这不是机密信息，因为在公开可用的军用规格硬件产品中似乎提到了“ SPIRNet RJ45 ”连接器。

以下文档可能更多地指出了附加 SIPRNet 计算机的策略驱动行为，而不是技术行为。我还发现以下文档从整体角度来看非常有趣，而从安装的完整设计角度来看，这个文档也很有趣。

所有这些链接和文档都是通过 Google 找到的。没有一个被标记为分类，这告诉我分离机制可能正在工作。;-)

NIPRnet 是它自己的离散网络，使用租用的专线并在所有流量到达分界线之前对其进行加密。SIPRnet 可以通过 NIPRnet 进行加密和隧道传输，或者具有自己的加密的离散专用线路。

本地安装上的 SIPRnet 在通往每个建筑物的每条线路上都被加密并在那里解密。JWICS 可以通过 SIPRnet 进行隧道传输，也可以拥有自己的离散专用和加密线路。涉及的许多细节本质上是敏感的，与手头的讨论无关。

总而言之，NIPRnet 是加密的，所有到 Internet 的流量都通过不同地点的国家级 DISA 路由器、防火墙和 IPS/IDS 系统。如果有必要，DISA 可以轻松地断开与 NIPRnet 的 Internet 访问，并且该网络将专门用于军事和政府，无法进行 Internet 通信。因此，DoD 网络在物理上可以是他们自己的网络，也可以通过某些指定的加密方法通过另一个网络进行隧道传输。但是，所有 DoD 流量都通过 DoD 电路传输，这些电路是基于专用线路的，通常是光纤线路。

所有这些都可以在公共领域未分类地获得，但没有中央信息库。

它是这样工作的：SIPRnet 和 NIPRnet 是两个不同的东西，这是有原因的！SIPRnet 用于机密信息，任何有权访问它的人都具有秘密（或更高）安全许可。NIPRnet 用于大多数（如果不是全部）处理非机密（但 FOUO）材料的政府计算机，因为它是非机密的，它可以访问全球互联网。SIPRnet确实可以访问互联网，但不是万维网，而是用于机密材料的政府版本的互联网。不是他们不兼容，他们只是不希望两者兼容。同样的原因，JWICS 没有连接到 SIPR，它是一个绝密的运行系统。

其它你可能感兴趣的问题

上一篇命名敏感事物是否谨慎提供保护？下一篇安全审查：“HTTP 标头用户代理已设置为（某事）”