美国网络安全态势感知发展过程与建设阶段

围观次数:4,968 views

一、美国网络安全基础防御建设过程

1996年颁布了13010号总统令,初步规定了关键基础设施的范围,要求成立关键基础设施保护机构,负责研究关键基础设施安全的薄弱环节及威胁,为制定相关政策规划提出建议。

1998年5月发布《保护美国关键基础设施》PDD-63总统令,把保护国家关键基础设施安全作为明确的国家目标,并确定了重要基础设施保护相关部门。同年美国国家安全局(NSA)又制定了《信息保障技术框架》(IATF),提出了“深度防御策略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础设施的深度防御战略目标。

2000年1月发布了美国首个关键基础设施保护的国家级计划-《保护信息系统国家计划》,详细规定了威胁评估、公私信息共享、应急响应、人才培养、隐私保护等方面的行动措施,强化了政府和私营部门共担网络安全责任的意识。

2001年10月发布的《爱国者法案》重新界定了关键基础设施的范畴,并提出建设关键基础设施建模、仿真和分析系统。同期,小布什总统签发了13228号总统令和13231号总统令,就关键基础设施保护设立了总统网络空间安全顾问,组建了总统关键基础设施保护委员会。

2002年美国关键基础设施保护委员会实施了一项名为项目矩阵的新计划,旨在确定政府的关键性系统,并确定其面临的威胁和抵抗这些威胁的能力。美国DISA开发了“本土防卫系统”,并推出应急通信计划。

2002年公布《联邦信息安全管理法案》(FISMA),定义了一个广泛的框架来保护政府信息,操作和财产来免于自然以及人为的威胁。FISMA把责任分配到各种各样的机构上来确保联邦政府的数据安全。

2002年9月,小布什政府公布了《保护网络安全国家战略》草案,成为全面指导美国国家信息战略规划的纲领性文件。

2002年11月生效的《国土安全法案》中,美国新组建国土安全部(DHS),对关键基础设施保护的组织机构、具体职能和目标任务等都做出了具体和详细的规定。

2003年2月,小布什政府配套出台《保护网络安全国家战略》和《关键基础设施和重要资产物理保护的国家战略》,前者确立了打击恐怖分子、罪犯或敌对国家发起的网络攻击的初步框架,后者提出了“重要资产”的概念,明确了政府和私营机构在关键基础设施保护方面的职责。

2003年12月,美国政府又颁布国家安全第7号总统令《关键基础设施标识、优先级和保护》(HSPD-7),为政府部门和相关机构确定了保护关键基础设施免受恐怖主义威胁的方向,明确了DHS及其他机构的任务和职责,修订了各部门在关键基础设施保护方面开展合作的内容。

2006年6月30日,DHS发布了《国家基础设施保护计划》,概述了国家基础设施保护工作的任务和职责、风险评估策略、教育培训等,为各级政府机构和私营部门如何管理国家重要基础设施和关键资源提供了实施框架。

这一阶段,美国国防部还开发了信息安全领域比较重要的彩虹系列文件,其中的橘皮书就是现在被广泛应用的CC的前身(GB/T 18336),综合这些计划,美国的总体目标就是建立应对传统信息安全威胁的技术和管理能力,这些基本能力为日后的态势感知能力构建打下了深刻的基础。

二、美国态势感知基本能力建设过程

美国网络安全态势感知建设倡导在本土联邦范围内建立完备的数据截获、分析能力,并建立国家级安全运营中心,将被动监控的数据进行实时分析、并展示。期间美国推出了号称信息安全领域的曼哈顿计划,目的是提高美国重要网络设施的防御能力,旨在保护美国的网络空间安全,防止美国遭受各种恶意或敌对的电子攻击,打造和构建国家层面的网络安全防御体系。

国家网络安全综合计划(CNCI)共有十二项子计划,与态势感知关系最为密切的包括可信因特网连接计划(TIC)以及广为人知的爱因斯坦计划,除此之外还对态势感知信息共享、运营机制、情报对抗等内容。下面对主要的几个子计划进行简单介绍。

2.1、可信因特网连接(TIC)计划

本计划强力推进联邦网络集体接入,要求“各机构,无论是作为TIC访问服务供应商,或作为通过联邦总务局管理的Networx合同的商业性托管可信IP服务(MTIPS)供应商”,一律参与TIC计划。

该项目计划建立一个所谓的TIC(可信互联网连接)机构,然后让各个联邦机构都通过这个TIC连接到互联网,从而取消各个联邦机构自身的互联网出口,降低安全威胁。根据TIC计划,在2009年末美国联邦政府机构的互联网出口数量将从超过4300个下降到100个左右。

可信网络连接活动由管理和预算办公室(OMB)及国土安全部领导,涉及到对联邦政府的外部访问点(包括连接因特网的访问点)进行整合。整合后将实施一套统一的安全解决方案。

2.2、爱因斯坦I计划(Einstein-I)

根据《2002年国土安全法案》和联邦信息安全管理法案(FISMA)于2003年12月17日发布的国土安全第7号总统令的要求,US-CERT开发了爱因斯坦入侵检测系统。系统的第一个版本能够监视美国政府部门和机构网络关口的非正常流量,在2004年~2008年由联邦政府机构自愿部署。

爱因斯坦1计划采用了基于流量的分析技术,具体地说就是基于流数据(如NetFlow、sFlow、IPFIX等)的深度流检测(DFI)技术。US-CERT通过采集各个联邦政府机构的这些流信息,进行分析并获悉网络态势。

2.3、爱因斯坦II计划(Einstein-II)

美国政府于2007年启动了爱因斯坦2计划,爱因斯坦2计划是爱因斯坦1计划的增强,系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,使得US-CERT获得更好的网络态势感知能力。

爱因斯坦2计划的系统扫描所有互联网流量及政府计算机(包括私人通信部分)的副本数据,检查这些数据的内容和元数据,以发现可能用于获取或伤害政府计算机系统的恶意计算机代码的“已知特征”。

爱因斯坦2计划实现恶意行为分析能力的技术是网络入侵检测技术,对TCP/IP通信的数据包进行DPI分析,发现恶意行为(攻击和入侵)。爱因斯坦2计划采用的IDS既有基于特征库的检测,也有基于异常的检测,二者互为补充。爱因斯坦2计划主要以商业的IDS技术为基础进行开发,并采用了US-CERT精选特征库。

2.4、爱因斯坦III计划(Einstein-III)

2008年美国启动CNCI中的一部分,就是DHS的爱因斯坦3计划(DHS成为下一代爱因斯坦计划)。爱因斯坦3计划的系统将检测恶意攻击代理,在恶意代码的威胁影响到政府计算机系统之前,采取实时措施进行阻断操作,以防止其攻击影响到政府网络系统。

在爱因斯坦3计划中,将综合运用商业技术和美国NSA的技术对政府机构的互联网出口的进出双向流量进行实时的全包检测(FPI),以及基于威胁的决策分析。借助在电信运营商处(ITCAP)部署传感器,能够在攻击进入政府网络之前就进行分析和阻断。爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前做出适当的响应,即具备入侵防御系统的动态防御能力。

三、美国态势感知协调运行机制

美国国家网络安全综合计划(CNCI)中规定,由国土资源部(DHS)内的国家计算机安全中心(NCSC)通过协调和综合来自六个中心的信息,提供横跨六个中心的态势感知与分析,并报告美国在情报、国防、国土安全、司法等方面的网络和系统状态,以促进合作与协调。

六个中心在态势感知、公共-私有协调、国防、对外情报的某些方面具有优势,六个小组之间通过通信、信息共享或通过联络员建立联系,国家计算机安全中心(NCSC)从这六个中心中创建跨域的态势感知系统。

六个中心分别是情报界-事件响应中心(IC-IRC)、威胁行动中心(NTOC)、US-CERT、联合任务组-全球网络行动中心(JTF-GNO)、网络空间犯罪中心(DC3)、国家网络空间调查联合任务组(NCIJTF)。每个中心具体介绍如下:

3.1、国家计算机安全中心(NCSC)

国家计算机安全中心(NCSC)隶属于DHS,涉及国土、情报、国防和司法四个领域。NCSC采用全天候(24h × 7)的工作模式,制定政策报告,基于已有威胁制定缓和措施,评估网络空间状态;协调和综合其它六个中心的信息,提供横跨部门的态势感知与分析,并提供美国在情报、国土安全、国防和司法等方面的网络和系统状态。NCSC的核心竞争力主要体现在国防和态势感知两个方面。

3.2、情报界-事件响应中心(IC-IRC)

IC-IRC隶属于ODNI,涉及情报领域。IC-IRC采用全天候(24h × 7)的工作模式,以信息的共享与收集,提供对外威胁分析,帮助获得关于网络空间攻击的特征;管理和监控情报中心网络,对网络空间安全威胁进行分析,分析不同事件之间的关联性,并给出报告。对网络空间起到预警作用。IC-IRC还会定期对信息通信技术系统进行网络空间演习,一便更好地为网络空间安全服务。IC-IRC的核心竞争力主要体现在国防、态势感知和对外情报三个方面。

3.3、威胁行动中心(NTOC)

NTOC隶属于NSA,涉及情报和国防两个领域。NTOC与NIST、US-CERT及JTF-GNO进行合作,协调组织负责信息系统安全响应事件;评估信息,以检测出网络空间的威胁和漏洞,制定相应的缓和措施;与DIA一起合作分析威胁信息源;出版安全配置指南,提供网络空间安全演习基地。NTOC的核心竞争力主要体现在国防和对外情报两个方面。

3.4、美国计算机应急准备小组(US-CERT)

US-CERT隶属于DHS,涉及国土安全领域。US-CERT为联邦、州和地方实体提供全天候(24h × 7)的服务支持,与私营部门就事件处理和分析进行合作,与国内外的CERT组织合作,为公共、各级政府和私营部门提供交流合作平台;监控政府网络中不同来源的网络空间安全事件;收集和记录与政府网络有关的网络空间事件或公共需求;建立TIC和爱因斯坦计划,分析所有爱因斯坦计划的数据,提供数据分析、恶意软件分析和相关漏洞评估,分析政府网络系统中异常和入侵行为,以保护和完善美国联邦网络。US-CERT的核心竞争力主要体现在态势感知和公共-私有协调两个方面。

3.5、联合任务组-全球网络行动中心(JTF-GNO)

JTF-GNO隶属于DoD,涉及情报和国防两个领域。JTF-GNO主要为全球信息栅格(GIG)系统运行制定政策框架;监控DoD网络,检测漏洞,识别新兴技术和相关威胁,并分析DoD系统中的异常和入侵检测行为;为所有的网络作战(NetOps)中心提供事件报告和可能的相应措施。JTF-GNO的核心竞争力主要体现在态势感知和国防两个方面。

3.6、网络空间犯罪中心(DC3)

DC3隶属于DoD,涉及情报、国防、司法/反情报三个领域。DC3主要为国防犯罪调查组织提供调查结果,国防计算机取证实验室通过开展这些调查,获取媒体的数字取证结果,进行数字取证情报工作,提供反情报分析和诊断服务;为国防网络空间犯罪研究所提供关于计算机取证方面的公认标准、工艺、方法、研究工具和技术,以满足DoD目前和未来的需求。DC3的核心竞争力主要体现在国防方面。

3.7、国家网络空间调查联合任务组(NCIJTF)

NCIJTF隶属于FBI,涉及情报、司法/反情报两个领域。NCIJTF采用全天候(24h × 7)的工作模式,主要制定信息战的全球战略,为已有机构的集中协调创建策略框架,制定新的措施;监控并分析所有的源数据,识别情报之间的不同;收集和综合入侵相关活动的普通活动照片,找出危害国家安全的计算机网络;针对一些与网络空间安全相关的产品进行调查,进行反情报威胁的响应;对于网络空间安全的威胁进行及时中断连接和响应。NCIJTF的核心竞争力主要体现在态势感知方面。

根据美国2010年发布的《国家网络空间安全事件响应计划》(NCIRP),为有效地了解网络空间中的风险,要求各部门和局、各机构每日对识别的威胁、漏洞和潜在影响进行共享。DHS通过NCCIC负责集成和维护国家级的通用态势图(COP)。COP提供跨域的态势感知信息,是一张不断更新的全面的网络威胁、漏洞和影响图,包括即时事件的标识和预警。

态势感知图的信息来源较广,包括联邦部门和局、国家安全界和情报界、司法界(包括联邦、州和地方司法部门)、各公司部门、公开信息源、网络空间安全提供商。实时的态势感知情况将会被提供给国家基础设施协调中心(NICC)和国家行动中心(NOC)等。尽管态势感知图是网络事件响应活动的基础,但网络空间中有效的网络事件响应活动需要实时、准确的态势感知协调。

四、美国态势感知协调运行机制

美国网络威慑与溯源反制能力建设阶段跨越2011年~2018年,在这个阶段美国的国家战略逐渐从“积极防御”转变为“攻击威慑”。在这个阶段,美国政府不但发布了多个网络威慑相关战略政策,同时也开展了一系列的相关具体行动项目。

4.1、网络威慑与反制相关政策

2011年7月14日美国国防部发布首份《网络空间行动战略》。尽管国防部强调新战略重在防御,即加强美军及重要基础设施的网络安全保护,但从种种迹象来看,美军已经将网络空间的威慑和攻击能力提升到更重要的位置。美国媒体认为,美军在网络空间的扩张可能导致网络空间军事化,并引发网络军备竞赛。

2015年4月23日,美国公布了国防部新版网络战略。作为2011年7月首版《网络行动战略》的升级版,这份文件旨在划定未来5年美军网络行动的新目标,而其中最值得关注的3个关键词——威慑、进攻、同盟,则代表了美军网络力量的发展方向。新战略声称,为阻止网络攻击,必须制定实施全面的网络威慑战略,“在网络恶意行为发生前威慑此类行为”。为有效实施威慑,美应具备以下能力:一是通过政策宣示展现反击态度;二是形成强大的防御能力,保护国防部和整个国家免受复杂网络攻击,实现“拒止”威慑;三是提高网络系统的恢复能力,确保国防部网络即使遭受攻击后也能继续运转,以降低对手网络攻击的成功几率。

2018年9月18日,美国国防部公布了《2018国防部网络战略》摘要。摘要由前言、战略方针及结论三部分组成,其中战略方针部分提出了建立更具杀伤力的力量、网络空间竞争及威慑、强化联盟和合作伙伴关系、改革国防部、以及培养人才等五条具体战略方针。《2018国防部网络战略》指导国防部积极对抗和威慑美国的竞争对手,实现提前防御、塑造日常竞争、并准备作战。综合起来,这些相互促进的活动将使国防部能够在网络空间领域竞争、威慑并取胜。

4.2、溯源与反制主要行动

在网络进攻方面,存在美国国家全局(NSA)和美国中央情报局(CIA)身影的Stuxnet工业病毒和WannaCry勒索病毒都对全球网络造成了十分严重的危害;在溯源反制方面,推动洛克希德马丁和Mitre开发KillChain和Att&CK模型,促进威胁情报标准Stix/Taxii等的落地,强化APT发现能力。并利用FireEye、Mandiant等机构曝光系列APT攻击事件,形成网络威慑。

2013年起,NSA负责建立和维护了世界最大的数据中心-犹他数据中心,收集和保存全世界所有的个人和组织的交流信息,包括个人电子邮件、手机通信记录、谷歌搜索记录和其他任何个人的跟踪信息,如停车收据、旅游线路、购书记录、电子消费开支记录等。借助强大的大数据处理和分析能力,数据中心对所有金融信息、股票交易信息、商业信息、各国军事、外交、法律文件和各中绝密的个人交流信息进行收集、处理,实施全球范围内的网络监控。

2013年,斯诺登向媒体提供机密文件曝光了包括“棱镜”项目在内的美国项目政府多个秘密情报监视项目。通过该项目美国政府直接从包括Microsoft、Google、Yahoo、Facebook、PalTalk、AOL、Skype、YouTube及Apple在内的这九个公司服务器收集信息,甚至入侵其他国家网络实施网络监控。


关注作者公众号,获取更多内容:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助