標籤:

連載 | 美國網路空間安全體系(2):美國《國家網路安全綜合計劃(CNCI)》及安全防禦協調機制大揭秘

05-20
連載 | 美國網路空間安全體系(2):美國《國家網路安全綜合計劃(CNCI)》及安全防禦協調機制大揭秘

來自專欄 微言小偏見

美國網路空間安全體系(2):美政府《國家網路安全綜合計劃(CNCI)》及安全防禦協調機制大揭秘

文 | 李鵬飛

2008 年 1 月,時任美國總統的小布希發布了一項重大信息安全政策,稱為第 54 號國家安全總統令(NSPD54),同時也是第 23 號國土安全總統令(HSPD23),其核心是國家網路安全綜合計劃(CNCI)。

國家網路安全綜合計劃(CNCI)是美國政府對重大信息安全行動做出的總體部署,被美國一些媒體稱為信息安全的「曼哈頓計劃」。目的是提高美國重要網路設施的防禦能力,旨在保護美國的網路空間安全,防止美國遭受各種惡意或敵對的電子攻擊,打造和構建國家層面的網路安全防禦體系。

一、國家網路安全綜合計劃(CNCI)的十二項子計劃

一直以來國家網路安全綜合計劃(CNCI)十分敏感,被以國家安全的原因列為高度機密。但美國政府在國會和公眾的壓力下,於 2008 年下半年還是公開了 CNCI 的 12 項重大活動的基本信息,分別是:

1、通過可信網際網路連接把聯邦的企業級規模的網路作為一個單一的網路組織進行管理

可信網路連接活動由管理和預算辦公室(OMB)及國土安全部領導,涉及到對聯邦政府的外部訪問點(包括連接網際網路的訪問點)進行整合。整合後將實施一套統一的安全解決方案

2、部署一個由遍布整個聯邦的感應器組成的入侵檢測系統

入侵檢測系統使用的是被動的感應器,當非授權用戶試圖訪問聯邦網路時可以做出識別,這構成了美國政府網路防禦體系極為重要的部分。國土安全部正在部署一批基於特徵的感應器,能夠對進入聯邦系統的網際網路流量進行檢查,以發現非授權的訪問和惡意的內容,這是愛因斯坦 2(EINSTEIN 2)活動的一個組成部分。

3、尋求在整個聯邦範圍內部署入侵防禦系統

本項活動代表了聯邦行政機關內各民事部門安全防護的下一步發展方向。這稱為愛因斯坦3(EINSTEIN 3),其將採用商業技術和專門為政府開發的技術來對進出行政機關網路的流量實施實時的全封包檢查,並實現基於威脅的決策。愛因斯坦 3 的目標是發現惡意的網路流量並對其進行特徵化表示,以增強網路安全分析、態勢感知和安全響應能力。它能在網路威脅造成損害之前對其自動檢測並正確響應,因為入侵防禦系統支持動態防禦。

4、對研發工作進行協調並重新定向

沒有一個單獨的個人或者組織能夠了解政府資助的所有網路相關研發工作。本項活動旨在為協調美國政府資助或實施的網路研發工作而制定戰略和組織架構,無論是涉密還是非涉密研發,並在必要時對這些研發工作重新定向。當我們在確定戰略投資時,這一活動對於減少聯邦資助的網路安全研究項目中存在的重複性、查找研究空白、安排研發工作的優先順序以及確保納稅人的錢花得物有所值都至關重要。

5、把當前的各網路行動中心相互連接起來,加強態勢感知

為了實現和支持對態勢感知的共享,本項活動向承載美國網路活動的 6 個網路行動中心提供了必要的關鍵手段。這項工作關注的主要方面是,要能夠使美國網路活動的各個單元在履行工作使命時做到互為關聯,必不可少的內容有:基礎功能與投資,例如基礎設施的改造、帶寬的增加以及行動能力的整合;提高協同能力,包括一致的技術、工具和流程;通過共有的分析和協同技術來加強態勢感知的共享。

6、制定和實施一個覆蓋整個政府部門的網路情報對抗計劃

為了協調聯邦所有部門間的有關工作,一個覆蓋整個政府的網路情報對抗計劃是必要的,以檢測、遏制、消除那些由國外發起的、針對美國及其私營部門信息系統的網路情報威脅。為此,這個計劃要確立和擴展網路情報對抗教育和意識項目,建立人才隊伍,以便將情報對抗融入所有的網路行動和分析之中,提高僱員對網路情報對抗威脅的認識,提高政府各部門間情報對抗的協同。《網路情報對抗計劃》與《2007 年美國國家情報對抗戰略》保持一致,並支持 CNCI 中其餘的活動。

7、增強涉密網路的安全

涉密網路中存儲著聯邦政府最敏感的信息,支持著至關重要的戰爭、外交、反恐、執法、情報和國土安全行動。對涉密網路的成功滲透或破壞將對我們的國家安全造成極端嚴重的危害。我們需要恪盡職守,確保涉密網路及網路中數據的完整性。

8、擴大網路安全教育

現有的各個網路安全培訓和人才發展項目儘管不錯,但在側重點方面還有不足,且缺少一致性。為了有力確保我們持久的技術優勢以及未來的網路安全,必須建立起一支技術熟練、熟諳網路安全知識的人才隊伍,以及有效的後續僱員輸送管道。為了應對這一挑戰,需要制定一個國家戰略,就像上世紀50 年代的科學和數學教育改革一樣。

9、定義和制定能「超越未來」的持久的技術、戰略與規劃

CNCI的一個目標是發展相關技術,使之能夠提高當前不計其數的系統的安全性,並且能在未來 5 到10 年內得到部署。本項活動力圖制定有關的戰略和規劃,在政府的研發組合中加大那些具有高風險/高回報性質的關鍵網路安全問題解決方案的比重。聯邦政府已經著手為研究界列舉重大挑戰,以期幫助解決這些需要創造性思維的困難問題。政府正在識別並與私營部門交流共有的需求,這些需求將驅動雙方在關鍵研究領域的共同投資。

10、定義和發展持久的遏制戰略與項目

在一個依賴於有保障地利用網路空間的世界中,國家的高層決策者必須仔細考慮美國的長期戰略選擇。目前,美國政府已經採取了傳統的辦法來解決網路安全問題——這些措施還沒有達到我們需要的安全水準。本項活動旨在建立一種實現網路防禦戰略的方法,通過完善預警能力、發揮私營部門和國際合作者的角色、對來自國家和非國家的行動者進行正確應對,遏制對網路空間的干涉和攻擊

11、建立全方位的方法來實施全球供應鏈風險管理

必須採用能夠涵蓋產品、系統和服務的完整生命周期的戰略性、綜合性的方案,對來自國內和全球供應鏈的風險加以管理。本項活動將使聯邦政府向各部門提供強健的供應鏈風險管理與控制工具集的能力、政策和流程得到強化,使經過管理和控制後的供應鏈風險同系統與網路的重要性相稱

12、明確聯邦的角色,使網路安全延伸到關鍵基礎設施領域

本項活動建立在已有且不斷發展的合作關係基礎之上,合作關係的一方是聯邦政府,另一方是位於公共和私營部門的關鍵基礎設施與重要資源(CIKR)的所有者、運營者。國土安全部及其私營部門的合作者已經制定了一項共同行動的計劃,包括一系列的里程碑及行動。它考慮了整個網路空間基礎設施的安全和信息保障工作,以增強所有 CIKR 領域的韌性和運行能力為目的。其側重點之一是公-私之間就政府以及 CIKR 領域網路威脅和事件信息的共享

二、美國國家網路空間安全防禦協調機制

1、美國國家網路安全綜合計劃(CNCI)部門職責

美國國家網路安全綜合計劃(CNCI)中有四個部門被賦予了重要職責,分別是國土安全部(DHS)、國防部(DoD)、美國國家情報總監辦公室(ODNI)和白宮科技政策辦公室(OSTP),這四個部門的主要職責分工如下:

1)國土安全部(DHS):主要負責保護民用機構信息系統安全,減少和合併外部接入點,部署被動網路感測器,以及確定公共和私營夥伴關係;

2)國防部(DoD):主要負責檢測軍事情報系統,提高涉密網路的安全性,部署入侵防禦系統等;

3)美國國家情報總監辦公室(ODNI):主要負責監控情報界信息系統,以及其他與情報相關的活動,包括制定政府範圍的網路反情報計劃;

4)白宮科技政策辦公室(OSTP):主要負責提供國內和國際事務科學技術影響的建議。

2、美國國家網路安全綜合計劃(CNCI)任務目標

美國國家網路安全綜合計劃(CNCI)有建立能夠應對當前網路空間安全威脅的防線、對抗全面威脅、鞏固未來的網路空間安全環境三個明確的目標,根據目標的不同將任務進行分類如下:

1)建立能夠應對當前網路空間安全威脅的防線:包括任務1)通過可信網際網路連接把聯邦的企業級規模的網路作為一個單一的網路組織進行管理;2部署一個由遍布整個聯邦的感應器組成的入侵檢測系統;3)尋求在整個聯邦範圍內部署入侵防禦系統; 5)把當前的各網路行動中心相互連接起來,加強態勢感知。

2)對抗全面威脅:包括任務6)制定和實施一個覆蓋整個政府部門的網路情報對抗計劃;7)增強涉密網路的安全; 11)建立全方位的方法來實施全球供應鏈風險管理。

3)鞏固未來的網路空間安全環境:包括任務4)對研發工作進行協調並重新定向; 8)擴大網路安全教育;9)定義和制定能「超越未來」的持久的技術、戰略與規劃;10)定義和發展持久的遏制戰略與項目。

3、美國國家網路安全綜合計劃(CNCI)各項任務責任部門

美國國家網路安全綜合計劃(CNCI)各項任務活動的簡稱和責任部門分工如下:

任務活動1:(TIC),OMB/DHS;

任務活動2:(愛因斯坦2),DHS;

任務活動3:(愛因斯坦3),DHS/DoD;

任務活動4:(研發工作的協調和重新定向),OSTP;

任務活動5:(態勢感知),ODNI;

任務活動6:(情報對抗),ODNI/DoJ;

任務活動7:(涉密網路安全),DoD/ODNI;

任務活動8:(教育),DHS/DoD;

任務活動9:(新技術),OSTP;

任務活動10:(遏制戰略),NSC;

任務活動11:(供應鏈安全),DHS/DoD;

任務活動12:(公-私合作),DHS。

4、美國國家網路安全綜合計劃(CNCI)工作協調機制

美國國家網路安全綜合計劃(CNCI)的規劃以及執行機制可以歸納為跨機構工作組,其中有的工作組是既有的,也有工作組是專門成立的。這些工作組包括:

1)國家網路空間研究工作組(NCSG):2007年5月,布希總統指示國家情報總監對聯邦政府的信息安全狀況進行評估,為此專門成立了NCSG,由ODNI領導,成員來自20個政府部門。

2)通信安全和網路空間策略協調委員會(PCC):這是白宮在起草和最初執行 CNCI 時發揮主要作用的機構,奧巴馬上台將其更名為信息和通信基礎設施跨機構政策委員會(ICIIPC)。PCC 由國土安全委員會和國家安全委員會聯合領導,下轄 6 個子工作組。2007 年末,NCSG 將起草 CNCI 的工作移交給了 PCC,後者向奧巴馬提交了 CNCI 的草案。CNCI 被批准後,PCC 立刻承擔起了監督 CNCI執行的職責。PCC 每周召開一次會議來評估 CNCI 的行效果,每季度實施一次全面、深入評估。

3)跨機構網路空間聯合特別工作組(JIACTF):第 54 號國家安全總統令將 CNCI 的監督和協調職責賦予了 ODNI。為此,ODNI 於 2008 年2 月專門成立了跨機構網路空間聯合特別工作組,該工作組要確保情報機構和非情報機構都能全面參與 CNCI,並為監督CNCI的執行制定績效評價指標。JIACTF代理主任認為,雖然ODNI 承擔了協調者的角色,但其並未獲得授權去指揮其他機構,只能監督並向總統彙報CNCI 的進展。

美國網路空間安全體系閱讀:

美國網路空間安全體系(1):美國網路空間安全相關機構與職責介紹

長按圖片關注「踏實實驗室(微信號:TS-SecLab)」,獲得後續更多精彩更新:

推薦閱讀:

APP加固技術歷程及未來級別方案:虛機源碼保護
美國國家網路空間安全態勢感知協調機制
政策解讀 | 重要數據出境,將受到嚴格控制
vsftpd 安全配置指南與疑難雜症
Snort VS Suricata

TAG:網路安全 | 信息安全 |