美國國家網路空間安全態勢感知協調機制

美國網路空間安全體系（4）：美國國家網路空間安全態勢感知協調機制

文 | 李鵬飛

美國國家網路安全綜合計劃（CNCI）中規定，由國土資源部（DHS）內的國家計算機安全中心（NCSC）通過協調和綜合來自六個中心的信息，提供橫跨六個中心的態勢感知與分析，並報告美國在情報、國防、國土安全、司法等方面的網路和系統狀態，以促進合作與協調。

六個中心在態勢感知、公共-私有協調、國防、對外情報的某些方面具有優勢，六個小組之間通過通信、信息共享或通過聯絡員建立聯繫，國家計算機安全中心（NCSC）從這六個中心中創建跨域的態勢感知系統。

六個中心分別是情報界-事件響應中心（IC-IRC）、威脅行動中心（NTOC）、US-CERT、聯合任務組-全球網路行動中心（JTF-GNO）、網路空間犯罪中心（DC3）、國家網路空間調查聯合任務組（NCIJTF）。每個中心具體介紹如下：

0、國家計算機安全中心（NCSC）

國家計算機安全中心（NCSC）隸屬於DHS，涉及國土、情報、國防和司法四個領域。NCSC採用全天候（24h × 7）的工作模式，制定政策報告，基於已有威脅制定緩和措施，評估網路空間狀態；協調和綜合其它六個中心的信息，提供橫跨部門的態勢感知與分析，並提供美國在情報、國土安全、國防和司法等方面的網路和系統狀態。NCSC的核心競爭力主要體現在國防和態勢感知兩個方面。

1、情報界-事件響應中心（IC-IRC）

IC-IRC隸屬於ODNI，涉及情報領域。IC-IRC採用全天候（24h × 7）的工作模式，以信息的共享與收集，提供對外威脅分析，幫助獲得關於網路空間攻擊的特徵；管理和監控情報中心網路，對網路空間安全威脅進行分析，分析不同事件之間的關聯性，並給出報告。對網路空間起到預警作用。IC-IRC還會定期對信息通信技術系統進行網路空間演習，一便更好地為網路空間安全服務。IC-IRC的核心競爭力主要體現在國防、態勢感知和對外情報三個方面。

2、威脅行動中心（NTOC）

NTOC隸屬於NSA，涉及情報和國防兩個領域。NTOC與NIST、US-CERT及JTF-GNO進行合作，協調組織負責信息系統安全響應事件；評估信息，以檢測出網路空間的威脅和漏洞，制定相應的緩和措施；與DIA一起合作分析威脅信息源；出版安全配置指南，提供網路空間安全演習基地。NTOC的核心競爭力主要體現在國防和對外情報兩個方面。

3、美國計算機應急準備小組（US-CERT）

US-CERT隸屬於DHS，涉及國土安全領域。US-CERT為聯邦、州和地方實體提供全天候（24h × 7）的服務支持，與私營部門就事件處理和分析進行合作，與國內外的CERT組織合作，為公共、各級政府和私營部門提供交流合作平台；監控政府網路中不同來源的網路空間安全事件；收集和記錄與政府網路有關的網路空間事件或公共需求；建立TIC和愛因斯坦計劃，分析所有愛因斯坦計劃的數據，提供數據分析、惡意軟體分析和相關漏洞評估，分析政府網路系統中異常和入侵行為，以保護和完善美國聯邦網路。US-CERT的核心競爭力主要體現在態勢感知和公共-私有協調兩個方面。

4、聯合任務組-全球網路行動中心（JTF-GNO）

JTF-GNO隸屬於DoD，涉及情報和國防兩個領域。JTF-GNO主要為全球信息柵格（GIG）系統運行制定政策框架；監控DoD網路，檢測漏洞，識別新興技術和相關威脅，並分析DoD系統中的異常和入侵檢測行為；為所有的網路作戰（NetOps）中心提供事件報告和可能的相應措施。JTF-GNO的核心競爭力主要體現在態勢感知和國防兩個方面。

5、網路空間犯罪中心（DC3）

DC3隸屬於DoD，涉及情報、國防、司法/反情報三個領域。DC3主要為國防犯罪調查組織提供調查結果，國防計算機取證實驗室通過開展這些調查，獲取媒體的數字取證結果，進行數字取證情報工作，提供反情報分析和診斷服務；為國防網路空間犯罪研究所提供關於計算機取證方面的公認標準、工藝、方法、研究工具和技術，以滿足DoD目前和未來的需求。DC3的核心競爭力主要體現在國防方面。

6、國家網路空間調查聯合任務組（NCIJTF）

NCIJTF隸屬於FBI，涉及情報、司法/反情報兩個領域。NCIJTF採用全天候（24h × 7）的工作模式，主要制定信息戰的全球戰略，為已有機構的集中協調創建策略框架，制定新的措施；監控並分析所有的源數據，識別情報之間的不同；收集和綜合入侵相關活動的普通活動照片，找出危害國家安全的計算機網路；針對一些與網路空間安全相關的產品進行調查，進行反情報威脅的響應；對於網路空間安全的威脅進行及時中斷連接和響應。NCIJTF的核心競爭力主要體現在態勢感知方面。

根據美國2010年發布的《國家網路空間安全事件響應計劃》（NCIRP），為有效地了解網路空間中的風險，要求各部門和局、各機構每日對識別的威脅、漏洞和潛在影響進行共享。DHS通過NCCIC負責集成和維護國家級的通用態勢圖（COP）。COP提供跨域的態勢感知信息，是一張不斷更新的全面的網路威脅、漏洞和影響圖，包括即時事件的標識和預警。

態勢感知圖的信息來源較廣，包括聯邦部門和局、國家安全界和情報界、司法界（包括聯邦、州和地方司法部門）、各公司部門、公開信息源、網路空間安全提供商。實時的態勢感知情況將會被提供給國家基礎設施協調中心（NICC）和國家行動中心（NOC）等。儘管態勢感知圖是網路事件響應活動的基礎，但網路空間中有效的網路事件響應活動需要實時、準確的態勢感知協調。

如果覺得內容不錯，歡迎關注微信公共號（微信ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。