美國國家網路空間安全態勢感知協調機制

美國網路空間安全體系(4):美國國家網路空間安全態勢感知協調機制

文 | 李鵬飛

美國國家網路安全綜合計劃(CNCI)中規定,由國土資源部(DHS)內的國家計算機安全中心(NCSC)通過協調和綜合來自六個中心的信息,提供橫跨六個中心的態勢感知與分析,並報告美國在情報、國防、國土安全、司法等方面的網路和系統狀態,以促進合作與協調。

六個中心在態勢感知、公共-私有協調、國防、對外情報的某些方面具有優勢,六個小組之間通過通信、信息共享或通過聯絡員建立聯繫,國家計算機安全中心(NCSC)從這六個中心中創建跨域的態勢感知系統。

六個中心分別是情報界-事件響應中心(IC-IRC)、威脅行動中心(NTOC)、US-CERT、聯合任務組-全球網路行動中心(JTF-GNO)、網路空間犯罪中心(DC3)、國家網路空間調查聯合任務組(NCIJTF)。每個中心具體介紹如下:

0、國家計算機安全中心(NCSC)

國家計算機安全中心(NCSC)隸屬於DHS,涉及國土、情報、國防和司法四個領域。NCSC採用全天候(24h × 7)的工作模式,制定政策報告,基於已有威脅制定緩和措施,評估網路空間狀態;協調和綜合其它六個中心的信息,提供橫跨部門的態勢感知與分析,並提供美國在情報、國土安全、國防和司法等方面的網路和系統狀態。NCSC的核心競爭力主要體現在國防和態勢感知兩個方面。

1、情報界-事件響應中心(IC-IRC)

IC-IRC隸屬於ODNI,涉及情報領域。IC-IRC採用全天候(24h × 7)的工作模式,以信息的共享與收集,提供對外威脅分析,幫助獲得關於網路空間攻擊的特徵;管理和監控情報中心網路,對網路空間安全威脅進行分析,分析不同事件之間的關聯性,並給出報告。對網路空間起到預警作用。IC-IRC還會定期對信息通信技術系統進行網路空間演習,一便更好地為網路空間安全服務。IC-IRC的核心競爭力主要體現在國防、態勢感知和對外情報三個方面。

2、威脅行動中心(NTOC)

NTOC隸屬於NSA,涉及情報和國防兩個領域。NTOC與NIST、US-CERT及JTF-GNO進行合作,協調組織負責信息系統安全響應事件;評估信息,以檢測出網路空間的威脅和漏洞,制定相應的緩和措施;與DIA一起合作分析威脅信息源;出版安全配置指南,提供網路空間安全演習基地。NTOC的核心競爭力主要體現在國防和對外情報兩個方面。

3、美國計算機應急準備小組(US-CERT)

US-CERT隸屬於DHS,涉及國土安全領域。US-CERT為聯邦、州和地方實體提供全天候(24h × 7)的服務支持,與私營部門就事件處理和分析進行合作,與國內外的CERT組織合作,為公共、各級政府和私營部門提供交流合作平台;監控政府網路中不同來源的網路空間安全事件;收集和記錄與政府網路有關的網路空間事件或公共需求;建立TIC和愛因斯坦計劃,分析所有愛因斯坦計劃的數據,提供數據分析、惡意軟體分析和相關漏洞評估,分析政府網路系統中異常和入侵行為,以保護和完善美國聯邦網路。US-CERT的核心競爭力主要體現在態勢感知和公共-私有協調兩個方面。

4、聯合任務組-全球網路行動中心(JTF-GNO)

JTF-GNO隸屬於DoD,涉及情報和國防兩個領域。JTF-GNO主要為全球信息柵格(GIG)系統運行制定政策框架;監控DoD網路,檢測漏洞,識別新興技術和相關威脅,並分析DoD系統中的異常和入侵檢測行為;為所有的網路作戰(NetOps)中心提供事件報告和可能的相應措施。JTF-GNO的核心競爭力主要體現在態勢感知和國防兩個方面。

5、網路空間犯罪中心(DC3)

DC3隸屬於DoD,涉及情報、國防、司法/反情報三個領域。DC3主要為國防犯罪調查組織提供調查結果,國防計算機取證實驗室通過開展這些調查,獲取媒體的數字取證結果,進行數字取證情報工作,提供反情報分析和診斷服務;為國防網路空間犯罪研究所提供關於計算機取證方面的公認標準、工藝、方法、研究工具和技術,以滿足DoD目前和未來的需求。DC3的核心競爭力主要體現在國防方面。

6、國家網路空間調查聯合任務組(NCIJTF)

NCIJTF隸屬於FBI,涉及情報、司法/反情報兩個領域。NCIJTF採用全天候(24h × 7)的工作模式,主要制定信息戰的全球戰略,為已有機構的集中協調創建策略框架,制定新的措施;監控並分析所有的源數據,識別情報之間的不同;收集和綜合入侵相關活動的普通活動照片,找出危害國家安全的計算機網路;針對一些與網路空間安全相關的產品進行調查,進行反情報威脅的響應;對於網路空間安全的威脅進行及時中斷連接和響應。NCIJTF的核心競爭力主要體現在態勢感知方面。

根據美國2010年發布的《國家網路空間安全事件響應計劃》(NCIRP),為有效地了解網路空間中的風險,要求各部門和局、各機構每日對識別的威脅、漏洞和潛在影響進行共享。DHS通過NCCIC負責集成和維護國家級的通用態勢圖(COP)。COP提供跨域的態勢感知信息,是一張不斷更新的全面的網路威脅、漏洞和影響圖,包括即時事件的標識和預警。

態勢感知圖的信息來源較廣,包括聯邦部門和局、國家安全界和情報界、司法界(包括聯邦、州和地方司法部門)、各公司部門、公開信息源、網路空間安全提供商。實時的態勢感知情況將會被提供給國家基礎設施協調中心(NICC)和國家行動中心(NOC)等。儘管態勢感知圖是網路事件響應活動的基礎,但網路空間中有效的網路事件響應活動需要實時、準確的態勢感知協調。

如果覺得內容不錯,歡迎關注微信公共號(微信ID:WeYanXPJ)獲得後續更新;如需閱讀以前文章,請在公共號後台查看歷史消息。


推薦閱讀:

Empire中的Invoke-WScriptBypassUAC利用分析
關於信息安全專業在大學是學什麼?
這才是互聯網與安全團隊需要的幾種人才!
Wiping Out CSRF
打蛇要打七寸,要黑就黑數據中心

TAG:網路安全 | 信息安全 |