杨望 东南大学网络空间安全学院院长助理
美国网络空间战略
美国网络空间战略的发展起步很早,从1998年克林顿政府发布《PDD-63总统令》,提出保护国家信息关键基础设施,到距今20年的时间中,形成了很明显的重心变化。美国网络空间战略走过了四个阶段:
第一阶段,称为态势感知体系发展--基本组件构建阶段(1998~2002),倡导建立基本防御体系。
第二阶段,基本能力构建阶段(2005~2010),目标是建立完备的数据获取、分析能力,建立国家级信息安全运营中心等。
第三阶段,扩展能力构建阶段(2010~2015),掌握全球形势,形成主动探测能力和快速响应、作战能力,开始了三个重量级的计划--NSA-藏宝图计划、DHS-SHINE(SHODAN)、DAPRA-X计划,针对全球互联网形成探测。
第四阶段,溯源反制能力构建阶段(2011~2018),倡导建立主动防御、溯源反制能力,并不断进行扩展,从积极防御转变为攻击威慑。
美国网络空间态势感知体系的构成见图1,分为联邦政府网络和军事网络两个部分,由不同的部门主管,建立各自的态势感知体系。
图1 美国网络空间态势感知体系构成
在系统建设方面,态势感知体系包含两大业务系统,这两大系统之间会进行威胁情报交换。一是DHS(美国国土安全部)的爱因斯坦计划,能够实时监测联邦政府网络,保证最快安全响应,促进国家关键部门(非联邦网络,大型企业、关键基础设施等)网络安全。二是Tutelage系统,用来实时监测军队网络、全球网络基础设施数据获取,实现定点打击能力。为达成这些目标,NSA(美国国家安全局)开展大量保密项目,进行全球数据监听和全球定点打击能力的建设。
DHS和爱因斯坦计划
DHS的目标是保护国家关键基础设施。DHS下设4个不同部门,其中与网络空间安全相关的是第一个部门NPPD(国家保护与计划司)和第三个部门US-CERT(美国网络应急响应中心),这两个部门主要负责信息安全基础设施。
爱因斯坦计划(EinsteinProgram),也称为国家网络空间安全保护系统,最新的版本称为EINSTEIN3Accerlerated,它的目标是保护联邦政府机构的网络,由NPPD负责建设,US-CERT负责运行和使用。它是一个公开的网络,信息对外开放。
爱因斯坦计划分为三个建设阶段。最早的阶段从2003年开始部署,当时在所有政府的网络出口部署探针IDS,监控网络流量,基于数据流进行检测,对异常事件报警并进行响应。第二阶段开始于2009年,部署IDS,同时该阶段与CNCI(国家网络空间安全计划)合并更名为NCPS,将基于流的检测升级为DPI检测。第三阶段开始于2010年,除了检测、防御,又加入了自动对恶意流量阻断;2012年开始E3A,即爱因斯坦计划第三阶段加速,引入了主要运营商(ISP)的IPS服务,把端点延伸到了运营商,将政府网络接入点的保护放在运营商,由运营商代替政府完成流量过滤和清洗等防御工作。
爱因斯坦计划包含五大部分,核心设施、入侵检测、入侵防御、数据分析和信息共享。核心设施,是运行防御任务的基础软硬件设施,包括任务信息环境MOE,E3A任务运行环境E3A-MOE,事件管理系统IMS和开发运行环境Dev/Test。入侵检测系统,包括爱因斯坦一代、二代检测系统,还有被动域名服务报文检测系统pDNS,pDNS主要用于收集、存储和分析联邦机构网络中产生的所有DNS数据。数据分析系统,包括报文分析系统PCAP,安全信息与事件管理系统SIEM,增强分析数据库EADB,高级恶意软件分析中心AMAC,数据媒体分析环境DMA。信息共享系统,包括网络加密共享CyberScope,网络应急响应组接口US-CERT,增强分析数据库CIR与高级恶意软件分析中心CIAP。入侵防御系统,主要用于Web防御与过滤(WAF),还有邮件的防御和过滤(附件扫描和过滤)。
爱因斯坦计划的总体目标,是建立国家网络安全保护体系(NCPS),将入侵检测、分析、防御以及信息共享的四种能力集成在一起,保护联邦政府的IT信息基础设施的安全,免于遭受外部的网络侵袭。
NSA/CSS与藏宝图计划
藏宝图计划由NSA和CSS(中央安全局)两个部门共同负责,NSA的局长一般会兼任CSS局长,共同合作成立NTOC(威胁作战中心),由NSA负责维护运行,搜集全球互联网情报,用于建立态势感知能力。藏宝图计划TreasureMap,实际是通过建立大规模互联网映射、探测和分析引擎系统,建立一个近实时的交互式的全球互联网地图,目的是能够描绘任何时间点互联网上的任=何地点的任何设备。它主要服务于网络空间安全的态势感知(包含敌我双方),用于计算机攻击、漏洞利用环境的准备,以及网络侦查、作战有效性的测量等。它的面向范围包括IPv4、IPv6(部分),关注网络层(路由与自治域),包含物理层、链路层和应用层。
藏宝图的数据由美国主导,多方共建共享。由美国、英国、澳大利亚、加拿大、新西兰共同成立了五眼联盟,情报数据在五个国家间互相共享。在美国内部,建立了全球联合情报通信系统,由16个独立的情报部门共享情报信息。
藏宝图的数据来源非常丰富,包括互联网的开源情报,学术界工具和数据集,信号情报、商业购买与信息保障梳理(针对自有资产)。数据类型(开源/商业/学术)的来源也很丰富,包括BGP、Traceroute、Registries、DNS、OSFingerprints等。
NSA的全球采集点,基于五眼联盟扩大到30多个第三方国家情报组织之间共享数据源,还有80多个特殊情报数据源,也就是不同国家的大使馆;50000多个木马设备,通过将一个植入木马的设备放到指定的地点,成为自己的一个信息搜集点;20多个互联网主干光纤接入点,在全球比较大的海底光缆接入点,进行流量镜像,还有40多个卫星通信拦截点。
数据采集完成后,有专门的系统提供给不同的情报功能使用,用于浏览和检索数据,还提供了很多可视化图或实践,从AS角度、地理位置角度浏览互联网,需要进行攻击时,提供漏洞设备具体的信息,攻击路径信息、可扩展视图,多种数据之间的关联视图查询。
藏宝图计划的目标是要识别互联网地图上的任何时间、任何地点的任何设备。
中国高校安全参考
国内大部分高校目前完成了爱因斯坦计划和藏宝图计划的初级阶段,比如IDS/IPS的部署、资产管理等。国内高校正在做的工作也是美国政府在开展的业务。
从高校自身角度与今后的发展看,实际上目前学校的信息搜集能力已经具备,包括系统搭建、数据收集等,但是学校欠缺的是数据分析和信息共享能力。
一方面数据系统可能比较缺乏,维护人员也存在不足。另一方面,高校内部和高校之间还是各自为战,存在不同的数据源,在学校内部进行共享和分析、不同机构之间共享也存在不足。
在数据分析方面,需要有专业的数据存储和索引;需要专业的数据支撑人员和数据分析员,但大多数高校难以满足条件;同时还需要少数单位集中力量先行。另外,建立国家威胁信息标准、高校间的威胁情报联盟也是高校今后需要考虑的方向。通过多举措来共同推动高校网络空间安全的进步发展。
(本文根据东南大学网络空间安全学院院长助理杨望在"2018年高校网络信息安全研讨会"上的演讲整理,整理:杨燕婷)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。