全球信息栅格整合主计划版Word文件下载.docx
《全球信息栅格整合主计划版Word文件下载.docx》由会员分享,可在线阅读,更多相关《全球信息栅格整合主计划版Word文件下载.docx(22页珍藏版)》请在冰豆网上搜索。
《“全球信息栅格”整合主计划》的后续版本将根据国防信息系统局技术战略的升级陆续发布。
每年,目标技术架构将随着“国防部平台”的升级而进行更新。
标准技术文件模板中的可读文件将在电子图书馆予以发布,也会经常进行更新。
罗尼•D•霍金斯
美国空军中将
国防信息系统局主管
摘要
《“全球信息栅格”整合主计划》是国防信息系统局用于技术控制和管理的最高层次文件。
《“全球信息栅格”整合主计划》可分为两卷。
第一卷主要从战略层面定义了国防信息系统局的技术战略,并描述了目标技术架构。
卷二更多地关注战术层面,并提供了全面的技术参数资料,如下所示:
服务供应所用的标准技术文档模板、完整的服务供应与能力之间的映射、完整的国防信息系统局技术基准以及“全球信息栅格”技术指南(GIGTechnicalGuidance,缩写GTG)。
作为其信息技术有效性举措的一部分,国防部构建了联合信息环境(JointInformationEnvironment,缩写JIE)以达成如下三个总目标:
一是向用户提供对任务完成更有帮助的信息技术能力;
二是增加安全性;
三是提高效率。
国防信息系统局实现上述总目标的技术战略可以划分为长期目标、中期目标、短期目标以及达成这些目标的计划。
长期目标,一是从传统环境转移到商用及政府网络的云计算环境,同时保持国防部的供应商身份;
二是在核心、中继和战术前沿环境中增强服务互通性。
中期目标,一是当使用商用云服务供应商时,要采取恰当的措施以保护数据(处于传送或静止状态),并对用户进行身份验证以及适当的访问控制。
二是提供虚拟容器技术,该技术可以支持更加多样化的准入终端用户设施在安全的非保密操作环境中运行。
三是扩展“国防部平台”以便于为联盟国飞地提供服务。
短期目标,一是通过对国防部组件已购基础设施和现存软件许可证的合并,提供一套更加高效可靠的公共用户服务和平台服务;
二是提供两种私有云:
非保密“国防部平台”和保密“国防部平台”;
三是通过将终端用户应用迁移到基于web界面和将终端用户转移到虚拟桌面界面环境,来改善终端用户设备的访问。
这些目标将通过实施IT服务组合和相应管理控制来实现。
这些IT服务组合将执行目标技术架构,该架构包括三个云服务层:
公共用户服务、平台服务和基础设施服务。
除此之外,目标架构还包括了任务保证服务和企业服务管理,二者也向三个云服务层提供服务。
1.前言
本文是2012年《“全球信息栅格”整合主计划》两卷中的第一卷。
”全球信息栅格”整合主计划是国防信息系统局用于控制和管理技术发展的三个顶层文件之一。
第一个文件是《国防信息系统局战略规划》。
该规划阐述了国防信息系统局如何划分作战线(linesofoperation,缩写LoO)和联合使能器,怎样定义战略目标,如何确立主动权以及怎样配置资源。
第二个文件是《“全球信息栅格”整合主计划》。
该计划定义了国防信息系统局技术战略,阐述了目标技术架构,并记录了国防信息系统局服务供应的技术基准。
第三个文件是《项目目标备忘录》(ProgramObjectiveMemorandum,缩写POM)。
该备忘录描述了所要执行的服务供应及执行这些服务供应所需要的财力资源。
1.1.目的
与《“全球信息栅格”整合主计划》主要相关的单位是国防信息系统局总工程师委员会(ChiefEngineersPanel,缩写CEP),该委员会成员用《“全球信息栅格”整合主计划》来进行技术控制和管理。
总工程师委员会定期更新国防信息系统局技术战略和目标技术架构,从而保持技术上的前瞻性和创新性。
另外,对于项目和工程,总工程师委员会要审批它们对技术基准的改变能否通过,以确保项目和工程在技术层面的合理性,并审验它们能否与该局的技术战略保持一致。
还有一个主要相关单位是国防信息系统局组件采购执行委员会(ComponentAcquisitionExecutive,缩写CAE)。
组件采购执行委员使用《“全球信息栅格”整合主计划》来支持对能力(由服务供应提供)的整合和协调以满足服务组合需求。
其他相关单位包括:
国防信息系统局服务组合委员会(ServicePortfolioBoard,缩写SPB),负责掌管IT服务组合;
国防信息系统局信息技术服务组合管理员,他(她)使用《“全球信息栅格”整合主计划》的服务供应与能力之间的映射来识别IT服务组合中存在的缺口和冗余之处;
信息技术服务项目与工程管理员,他(她)使用目标技术架构和GIG技术指南来引导服务供应的开发,一旦被总工程师委员会批准,该服务供应将被加入到技术基准当中。
1.2背景
《“全球信息栅格”整合主计划》2012版是第三代整合主计划。
第一代《“全球信息栅格”整合主计划》于2006年3月出版,着重阐述了“如何将应用、服务和网络迁移到基于IP的公用基础设施,从而能够支持网络中心系统”。
第二代《“全球信息栅格”整合主计划》(1.0版)于2011年3月出版,扩展了“整合”这个概念,除了基于IP的服务之外,还包括:
应用、服务和数据,通信,信息安全,网络作战与企业管理,计算基础设施。
《“全球信息栅格”整合主计划》2012版以旧版为基础,阐述了国防信息系统局的技术战略,并提供了一个目标技术架构。
新架构以云计算中心模式为基础,旧版本是以网络为中心,二者有明显区别。
新架构也着重整合了一些定义明确的接口,从而通过不断增加的多样终端用户设备类型为国防部在世界各地的用户提供服务。
1.3.文档结构
《“全球信息栅格”整合主计划》共分两卷。
卷1关注战略层面。
它定义了国防信息系统局技术战略,描述了目标技术架构。
技术战略可分为长期、中期和短期目标,以及用于实现这些目标的计划。
计划包含了一个用于加强组合管理的结构、一个用于定义技术架构的基于模型系统工程(MBSE,Model-basedSystemEngineering)方法学、系统工程过程(包含用于描述服务供应的说明文件,是技术基准的一部分内容)以及标准与技术管理。
卷2更多地关注战术层面。
它包含标准技术文件模板、完整的服务供应与能力之间的映射和对整个国防信息系统局技术基准中的每个服务供应的简述,并注明了上述内容在电子图书馆的相应链接。
卷2的附件包含了GIG技术简介(GIGTechnicalProfiles,缩写GTP)完整目录及相应的链接,整套GTP被称为GIG技术指南。
这些附件也说明了《“全球信息栅格”整合主计划》与其他重要文件(比如国防信息系统局战略计划)之间的联系。
2.技术战略(略,摘要中已述)
2.1.长期目标
在长期目标中,国防部组件和利益共同体(CommunityofInterest,缩写COI)将完成从在内部网络提供公共用户服务到在“国防部平台”提供整套云基础服务供应的转变,云基础服务供应在下面的短期目标中有详述。
国防信息系统局将从数量更少的战略位置上执行和管理“国防部平台”和其所有服务,所以要继续合并基础设施。
网络将使用标准化配置以便于从标准配套的聚合与对等点分发IT服务,聚合与对等点将提供一套联合安全边界,并提供行为监控。
另外,安全的重点将从边界保护转向交易型信息保护与颗粒级端对端安全控制,从而在可变信任环境中保护信息交换。
第一个长期目标要实现的是将多个安全保密环境缩减为一个保密环境和一个非保密环境。
鉴于国防信息系统局将继续提供一个“国防部平台”用于处理保密信息,所以非保密“国防部平台”将使用商业与政府云网络,同时保持政府的供应商身份。
一个或更多的商业云服务供应商会执行和管理一个用于非保密数据的联邦政府社区云,竞争机制将被引入以确保在提供可扩展、有效及安全服务的前提下尽量降低成本。
成本的降低将通过如下措施来实现:
信息安全(informationassurance,缩写IA),集中管理,减少可信任平台的数量,提高服务器采购的规模经济效益,扩展虚拟服务器的使用。
能否成功地将“国防部平台”迁移到商业供应商决定于安全管理和聚合类别方面的考虑(参考下文的第一个中期目标)。
第二个长期目标是在核心、中继和战术前沿环境中增强服务互通性。
这个目标将通过拟定和实施如下战略来实现:
将“国防部平台”服务迁移到适合的应用和服务,该应用和服务可以动态调整以适应终端用户设备以及与终端用户设备之间的连接。
这样的应用将因地制宜地进行自我调整,为终端用户提供环境优化后的体验质量。
为了支持该方法,将开发两个框架:
一个终端用户设备(End-UserDevice,缩写EUD)框架和一个前沿框架。
终端用户设备框架对应用程序可以适应的终端用户设备进行了分类。
前沿框架包含了为核心、中继和战术前沿用户设置的服务环境,涵盖了所有类型的用户,从连接稳定的基地用户到那些部署在最具挑战性战术环境中的用户。
图4展示了终端用户设备和前沿框架一般样式,并描述了它们在“国防部平台”中如何配置。
作为这个战略的一部分,有必要使用通用开发环境(类似苹果和其他多种安卓平台)来研发将来的应用,这样就允许应用能够在当前操作环境中以瘦客户端或胖客户端模式运行。
这个方法使战术前沿用户或者其他联网性能差的用户可以在需要的时候就地运行应用程序。
这个设计方案巧妙地利用了状态应用服务器交互作用来克服了断开、断续连接及(或)有限频宽(disconnectedstate,intermittentconnectivity,and/orlimitedbandwidth,缩写DIL)等在战术前沿环境中普遍存在的问题。
在恶劣环境中,储存和转送会被视为程序状态信息交换的扩展。
2.2.中期目标
首个中期目标是要研发可行的方法用于在使用商业云服务供应商时来保护数据(中转和静态)和认证用户,并进行适当的访问控制。
这就需要国防信息系统局长期支持商业云供应商。
当国防部应用可以在一个商业云环境中安全地运行时,这个目标就与解决过渡时期挑战直接相关,能否解决这些挑战对最终目标的达成有重要的影响。
在商业云环境中,主要有两个数据管理方面的安全顾虑,一是国防部无法确认数据在网络服务器的最终位置,二是与数据聚合有关的分类问题。
对于第二个问题而言,一个比较好的方法是使用商业云来管理加密数据。
第二个中期目标是提供虚拟容器技术(第二个短期目标支持该技术的实现),其目的是为更多不同的终端用户设备提供安全的非保密操作环境。
所以,用户可以被允许在非保密国防环境中使用自己的终端用户设备。
第三个中期目标是扩展“国防部平台”从而为联盟国家的飞地提供服务。
战斗指挥官主要与联盟国飞地实施作战,因此,为这些飞地提供“国防部平台”服务是比较恰当的。
2.3.短期目标
国防部组件被要求合并他们的IT能力,并且在某些时候需要使用国防信息系统局提供的设施和IT服务。
第一个短期目标就是要通过合并国防部组件已经购买的软件许可证来提供一套更加高效的公共用户与平台服务。
一套更加完整的公共用户服务和平台服务将为国防部组件提供经过改进的、以促进任务完成为目的的IT能力,相比当前的内部网络,这套服务性价比更高。
这种合并允许国防部组件可以将更多资源投入到它们各自的核心任务中。
国防信息系统局也将减少其内部基础设施存在的冗余。
国防信息系统局内部的合并包括对计算管理、存储、网络和设施等资源的通盘考虑和处理,其目的是达成账户配置和系统配置的自动化。
劳动力成本在国防信息系统局信息技术服务的支出中占了较大的比重,而自动化将减少劳动力成本。
通过在非保密互联网协议路由网(Non-classifiedInternetProtocolRouterNetwork,缩写NIPR)和保密互联网协议路由网(SecretInternetProtocolRouterNetwork,缩写SIPR)上的云计算,可以实现合并和自动化,也就是说,云计算具备解决一些低效率问题的潜力。
所以,对于国防信息系统局而言,第二个短期目标是要在非保密互联网协议路由网和保密互联网协议路由网上为政府自身或租借的资源提供私有云。
这两种私有云被称作国防部企业信息环境平台,或简称为“国防部平台”。
为了支持IT技术向瘦客户端和虚拟容器技术发展的趋势,第三个短期目标是通过将终端用户应用迁移至云环境和将终端用户迁移至虚拟桌面界面环境来改进终端用户设备的访问。
这将会允许用户的应用和数据不依靠本地设备而驻留在中心服务器,这样用户就可以通过瘦客户端、胖客户端或者移动设备来访问其工作。
采用虚拟化应用显示服务可以提供一个更加便于管理和效益更高的环境。
集中式软件更新和备份会降低管理成本和增加可靠性。
对于中期目标而言,应用和数据的集中为虚拟容器技术的实现提供了必需的基础设施支持。
瘦客户端的大量增加也会降低运营成本。
一些商业应用可以重新设计以支持瘦客户端(包括瘦客户端的子类客户端,被称作“零客户端”或“超薄客户端”,这些客户端的操作系统更加受限,只提供必要的网络连接设备、显示驱动和输入输出操作)。
瘦客户端应用将根据终端用户设备和前沿框架进行开发(参看2.1节和图4)。
2.4.达成目标的计划
国防信息系统局将使用组合管理、系统工程和标准与技术管理来达成长期、中期和短期目标。
2.4.1.组合管理
“国防部平台”沿用国家标准与技术协会(NationalInstituteofStandardsandTechnology,缩写NIST)的云计算参考架构,目标技术架构(第3节)中对该平台进行了描述,为“国防部平台”的运行和维护定义了组合组织结构。
在这个目标技术架构中,“国防部平台”由服务层组成,服务层包含了一些IT服务组合。
反之,IT服务组合由诸多单个服务组成,部分内容在表1顶部可见。
表上的单个服务供应是已经提供或计划要提供的IT服务。
每个服务供应将由一个项目或工程办公室提供,执行由相应服务供应说明所列举的功能,这些在2.4.2节和表1中已经做过阐述。
国防信息系统局服务供应提供一个或多个必需能力,参照图1左侧。
这些能力为用户和(或)其他IT服务提供“执行某些功能的能力”。
换而言之,国防信息系统局组合组织架构组成了如图1横轴所列的服务供应,国防信息系统局需求架构组成了竖轴所列的IT能力。
“国防部平台”的服务供应(以及他们的功能)与所需求的能力之间的映射是用于确保国防信息系统局向国防部组件和COI提供恰当能力的主要方法。
图1展示了管理架构,这种架构就是所需求的能力(能力区域所列的能力)与国防信息系统局正在或将要提供的服务供应(诸多服务供应被分组为数个服务组合)之间的映射。
对于每一种需求的能力,目标架构中应当至少有一种服务供应与之对应。
如果没有,那么就说明服务供应存在缺口。
如果不止一个服务供应都可以提供同一种能力,那就意味着存在冗余或者说有待于提高效率的空间。
如果存在服务供应无法与任一种能力映射的情况,那就说明该服务供应可以取消或者说必需的能力在种类上存在缺口。
《“全球信息栅格”整合主计划》2012版的第二卷包含了“国防部平台”服务供应与能力之间的所有映射。
基于服务供应的组合管理在国防信息系统局组织界限内为确定服务组合职责提供了一个直截了当的方式。
对于大多数国防信息系统局组合而言,国防信息系统局的多重组织在为其提供服务。
例如,负责任务保障(missionassurance,缩写MA)的项目执行办公室(ProgramExecutiveOffice,缩写PEO)提供国防部公钥基础设施(DoDPublicKeyInfrastructure,缩写DoDPKI),企业服务理事会(ESD,EnterpriseServicesDirectorate)提供企业级别的身份验证和访问控制服务,上述服务均属于身份验证和访问管理(IdAM,IdentityandAccessManagement)服务组合的一部分。
此外,一些国防信息系统局机构也可以提供完整的服务供应组合,比如,网络服务理事会就可以提供完整的网络服务组合。
一个端对端服务可以涉及多重服务组合或者多个机构的范畴,因此可能需要内部与外部服务水平协议共同作用来阐明配置控制的协作与管理。
另一方面,一个单独的国防信息系统局机构也可能提供一个完整的能力区域。
比如,负责指挥与控制能力的项目执行办公室就是国防信息系统局唯一一个提供指挥与控制能力的机构。
能力和服务是在采购过程中被开发和提供的。
IT服务需求由国防信息系统局服务组合委员会控制,服务组合委员会与所有合适的利益相关者协调服务供应上的变化,并向国防信息系统局执行委员会提交建议。
在分析各类与设计、操作及测试相关的独立评审的基础上,国防信息系统局适当地进行复核和实施关键决策,从而在采购过程中对服务执行进行控制。
国防信息系统局总工程师委员会对服务设计和技术方案进行评估从而确保恰当地进行整合和配置架构。
网络启用审查委员会和联合测试司令部对战备完好性视情进行评估,以确保服务的有效性。
2.4.2.系统工程过程和基于模型的系统工程
之所以开发图2所示的国防信息系统局系统工程过程,其目的是为了确保国防信息系统局服务和应用程序在共同的工程学方法和正确的方法论基础之上进行设计和成型,该工程学方法和方法论符合工业最优方法并且与国防部采购需求相一致。
系统构造过程是系统工程过程的一部分,也验证了系统工程过程在“国防部平台”技术方案发展中的必要性。
在一个基于模型的系统工程方法论和基于标准的系统建模语言(SystemsModelingLanguage,缩写SysML)的共同作用下,这些技术方案得以生成,系统建模语言的对象主要是模型中的底层数据。
图2展示了国防信息系统局基于模型的系统过程流程,反映了系统构造流程与基于标准的系统建模语言数据流图之间的映射,而数据流图组成了模型。
模型精准地描述了系统如何工作,并包括了明确定义了的接口,通过接口可以将现有模型合并到端对端服务;
组成这些端对端服务的模型就可以以此模式来发展新服务。
国防信息系统局系统工程过程指南也将会更新以便于描述这些方法。
模型架构以总体系统功能区分为基础来划分组件,并将更低层次职责赋予下级单位。
这些模型可以进行模拟操作以助于理解系统的行为和性能,或者可以生成执行代码以用于执行一个服务供应或应用程序。
这些模型也包含了测试实例,用于验证需求是否得到满足。
总工程师委员会批准的技术方案将会记录到技术基准,可以分为三种类型,每种都有一个标准模板。
表1简洁地描述了各个文件类型,各个文件类型与图2右半部分所示的国防信息系统局基于模型的系统工程过程相对应。
文件以通俗易懂的方式描述了技术方案,同时模型也使方案变得形象化,模型将被存储到电子图书馆。
自动化工具将用于从模型中批量生成产品和文件。
例如,技术架构说明和工程设计规范可以使用此类工具批量自动化生成。
核准的技术方案集合构成了GIG技术基线,技术基线在《“全球信息栅格”整合主计划》卷二已经发布,并会经常更新。
2.4.2.1.信息技术基础架构库服务设计
服务设计规定了IT实践控制、过程和策略,其目的是为了便于实现IT战略,促进新的IT服务更好地融入到产品环境,以及确保服务实施的质量和保持服务成本效益的情况下提高顾客的满意度。
服务设计包括新的IT服务设计和对现有IT服务的修改。
服务设计按照系统工程方法论进行工作:
确认服务需求,将其与综合服务需求相映射,为提供服务所需要的服务设施创建设计规范。
下面的服务设计过程属于国防信息系统局系统工程和服务管理过程的一部分。
(1)设计协调(项目管理):
要协调所有的服务设计活动、过程和资源。
设计协调能够确保如下内容在设计过程中保持一致性和有效性:
新增IT服务或IT服务改动、服务管理信息系统、架构、技术、过程、信息和衡量标准。
(2)服务目录管理:
确保服务目录在生成和维护过程中包含所有操作服务(包括将要准备实施的服务)的准确信息。
服务目录管理为其它所有服务管理过程提供重要信息:
服务细节、当前状态以及服务之间的相互依赖关系。
(3)服务层管理:
与顾客协商服务层协议和按照约定的服务层目标设计服务。
服务层管理也要确保执行层协议和支持合同的恰当性,并在服务层监控和报告。
(4)风险管理:
确认、评估和控制风险。
包括分析资产的商业价值,确认这些资产面临的风险以及评估每个资产在风险来临时的薄弱点。
(5)容量管理:
确保IT服务和IT基础设施的容量在控制成本情况下有能力及时执行约定服务层目标。
容量管理要考量所有用于执行IT服务的必需资源,并为短期、中期和长期商业需求制定计划。
(6)可用性管理:
定义、分析、计划、测量和改进IT服务可用性的所有方面。
可用性管理要负责确保,所有的IT基础设施、过程、工具和角色等都要适用于约定的可用性目标。
(7)可持续管理。
要管理可能会严重威胁IT服务的风险。
可持续管理要确保IT服务供应商时刻能够能够提供最低限度的协定服务水平,将灾难性事件的风险降低至可接受水平,并为IT服务恢复拟定计划。
IT可持续管理应当设计成为能够支持商业可持续管理的模式。
(8)信息安全管理:
确保一个机构在信息、数据和IT服务方面的保密性、完整性和可用性。
信息安全管理通常是安全管理组织方法的一部分内容,安全管理所涵盖的范围要远远大于IT服务供应商。
(9)合规性管理(质量保证):
确保IT服务、过程和系统符合企业政策和法律规定。
(10)架构管理:
定义技术景观的未来发展蓝图,在此过程中要考虑服务战略和新增可用技术。
2.4.3.标准与技术管理
计划之技术目标的实现依赖于使用不断升级的标准
升级会员 