前言

2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近平签署第29号主席令予以公布。构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。以法律形式确立总体国家安全观。共7章84条，自2015年7月1日起施行。清华大学法学院院长王振民评论说，这部法第一次明确了‘网络空间主权’这一概念，这可以理解为国家主权在网络空间的体现、延伸和反映。从这个法的内容可以看出，国家针对建设网络与信息安全保障体系，加强安全情报收集处置，建立风险预警，以及基础设施供应链管理准入方面针对网络安全做了强制要求和增强。

而迅速的网络安全法草案7月6日起在中国人大网上全文公布，并向社会公开征求意见。草案强调，国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设，鼓励网络技术创新和应用，建立健全网络安全保障体系，提高网络安全保护能力。随着网络安全上升到国家安全高度，如何建设一个有效的网络安全保障预警体系成为难点，因此，本文介绍了美国建设的网络与信息安全保障体系和最新的进展。

美国的防护预警体系

美国安全建设思路

从发达国家安全建设现状来看，基本思路为“集中防护，分散修补”。因为威胁的监控防护需要较高水平的专业人士来处理和较大的安全投入，所以“集中防护”。对于脆弱性(漏洞)修补管理来说，需要各个单位及时进行修补，因此“分散修补”。 2008年美国总统的布什发布了一项重大信息安全政策-第 54 号国家安全总统令( NSPD54)/第 23 号国土安全总统令( HSPD23)，其核心是对重大信息安全行动做出的总体部署“全面的国家网络安全行动(CNCI)”，该计划在奥巴马政府届内正式部署并进入全面实施。其中，焦点领域1第一项就是，“通过可信互联网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理”;这个就是爱因斯坦计划和可信互联网连接(TIC)计划。TIC计划是国家统一建的。而在焦点领域2中，美国开展持续监控(ISCM)计划。ISCM计划则由各个单位自行建设，为了避免各个单位自行建设成本问题，美国国土安全部开发了将持续诊断与缓解(CDM)作为工具和服务交付计划(The tools and services delivered through the Continuous Diagnostics and Mitigation program)来支持ISCM持续监控计划(CDM also known as Continuous Monitoring)。通过提供标准化的工具和云服务(CMaaS)的方式，来远程提供服务，解决各个单位自行开发的成本过高，不统一的问题。

爱因斯坦计划

美国为了面对网络安全攻击，在2004年启动了爱因斯坦计划，目标是在政府网络出口部署入侵检测、netflow检测、入侵防护系统来提供攻击的早期预警和攻击防护，但是鉴于爱因斯坦项目存在一些内容监控(邮件，上网行为)的监控技术手段，被民众指责，随后逐渐淡化宣称。爱因斯坦项目经过十余年的发展，技术逐渐成熟，总体而言，该项目共有3个发展阶段。

• 爱因斯坦1

基于流的统计分析技术，2004年启动,通过分析网络的流量信息查找可能的恶意活动，采用政府网络出口路由器的netflow技术实现。

• 爱因斯坦2

基于特征的入侵检测系统。可以通过分析网络的流量信息来查找以发现非授权的访问和恶意的内容，这是通过对进出美国政府网络的流量自动进行全封包检查来实现的。当联邦网络流量中出现恶意或可能有害的活动时，爱因斯坦2 能够向US-CERT提供实时报警，并对导出数据提供关联和可视化能力。

• 爱因斯坦3

基于威胁的决策系统。采用商业技术和专门为政府开发的技术来对进出行政机关网络的流量实施实时的全封包检查，目标是发现恶意的网络流量并对其进行特征化表示，以增强网络安全分析、态势感知和安全响应能力。由于采用的入侵防御系统支持动态防御，它能在网络威胁造成损害之前对其自动检测并正确响应。爱因斯坦 3还为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力。国土安全部将采纳国家安全局通过外国情报工作以及国防部在信息保障工作中发现的威胁特征，以支持国土安全部的联邦系统安全。

总体而言，爱因斯坦项目就是DFI(深度流检测)+DPI(深度包)+决策支撑系统，实际上，针对威胁态势感知预警，是目前比较完整的技术架构。除此外，爱因斯坦项目每年约有300左右的维护团体，进行深入的数据挖掘工作。而决策支撑系统是分析师们的成果。

可信互联网连接 (TIC)计划

2007年，在爱因斯坦计划基础上提出可信互联网连接 (TIC)计划，目标是将联邦政府8000个网络出口归并为50个左右。出口整合后，便于进行安全设备统一部署，监控和防护也能做到一体化。随着进展的深入，随着进展的深入，美国发现政府基层的办事处(类似街道办的级别)很难覆盖完全，又提出了可管理的可信互联网协议服务“Managed Trusted Internet Protocol Services” (MTIPS)。基层的办事处也可以通过运营商提供NBIP-VPN，连接到MTIPS网络中，统一上互联网，从而完成TIC目标。按照美国政府计划，在2013年整合95%的出口。

持续监控计划

信息安全持续监控(ISCM)是定义为对信息安全、脆弱性和威胁保持持续的评估，来支撑组织的风险管理决策。2010年的《联邦信息安全管理法》(Federal Information Security Management Act)，又称 FISMA 2.0，要求各机构的信息安全方案中必须包含信息系统的持续监测。美国行政管理和预算局 (OMB) 已经规定了最后的期限，各机构的首席信息官必须在 2012 财年结束之前实施可持续监测网络安全的软件。这个计划目标是将一个静态安全控制评估和风险测定过程变换成一个可以提供必要的、实时的且反映相关安全状态信息的动态系统。也就是说美国联邦政府希望从以前只能通过手动审核的联邦信息系统法规遵从性评估管理过程提升到系统化的接近实时的自动化过程，动态管理企业的风险。要求各机构持续监测其整个 IT 环境，修复有漏洞且不合规的项目，并根据联邦数据调用要求出具报告。联邦政府为这个项目，从2013年起，5年内拨款了60亿美元来采购相关技术工具和服务。2011年11月15开始，各个政府机构必须通过一个基于Web网关平台(网络辖域：Cyber Scope)，按月提交报告。报告的好坏，成为政府绩效评定的重要标准，并决定官员升迁。

将持续诊断与缓解(CDM)作为工具和服务交付计划

为了保障持续监控ISCM计划的顺利进行，美国国土安全部开发了“将持续诊断与缓解(CDM)作为工具和服务交付计划(The tools and services delivered through the Continuous Diagnostics and Mitigation program)，由通用动力公司等的17家服务商，签订了为期五年的由政府制定的一系列“持续监控”协议。这些公司将为美国国土安全部、联邦、州和地方政府提供持续监控工具，持续监控可以加强政府网络空间安全、评估和打击实时网络空间威胁，并将持续监控作为一种服务手段(云服务)，提供给需要的政府单位的网络空间监控和安全风险缓解服务。同时为需要额外服务的机构提供数据整合和提供用户个性化服务。简单而言，就是将持续监控需要的产品和服务标准化，通过服务提供给政府单位。CDM计划力图保护联邦以及政务单位的IT网络免受网络安全威胁，通过提供持续监控引擎工具，诊断、缓解工具和持续监控服务Continuous Monitoring as a Service (CMaaS) 来增强政府网络安全态势。

美国安全建设的启示

研究美国的安全建设可以看出，美国是通过TIC可信互联网连接来进行网络整合，便于统一进行高质量的安全监控和防护。同时，针对资产、漏洞、配置做有体系的持续监控。便于及时发现各个网站的漏洞，提升网络安全态势感知，提升安全防护能力。可以将部分安全服务形成云服务，进行进一步标准化，便于提升服务质量，降低安全成本。

结语

在云计算，互联网+的大趋势下，国家、企业面临的问题也越来越相似，动辄10G，100G的出口，使得我们在态势感知、威胁发现、早期预警变得非常困难。利用新技术，新架构使得传统的技术无法实现成为可能，在未来，我们将继续在这个领域中进行研究，使得态势感知的研究真正为企业决策提供参考，真正为国家安全、企业安全保驾护航。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/77/13485077_all.shtml

(责任编辑：aqxh)