北京,雁栖湖。2018年7月。

美国网络安全态势感知建设倡导在本土联邦范围内建立完备的数据截获、分析能力,并建立国家级安全运营中心,将被动监控的数据进行实时分析、并展示。期间美国推出了号称信息安全领域的曼哈顿计划,目的是提高美国重要网络设施的防御能力,旨在保护美国的网络空间安全,防止美国遭受各种恶意或敌对的电子攻击,打造和构建国家层面的网络安全防御体系。

国家网络安全综合计划(CNCI)共有十二项子计划,与态势感知关系最为密切的包括可信因特网连接计划(TIC)以及广为人知的爱因斯坦计划,除此之外还对态势感知信息共享、运营机制、情报对抗等内容。下面对主要的几个子计划进行简单介绍。

1、可信因特网连接(TIC)计划

本计划强力推进联邦网络集体接入,要求“各机构,无论是作为TIC访问服务供应商,或作为通过联邦总务局管理的Networx合同的商业性托管可信IP服务(MTIPS)供应商”,一律参与TIC计划。

该项目计划建立一个所谓的TIC(可信互联网连接)机构,然后让各个联邦机构都通过这个TIC连接到互联网,从而取消各个联邦机构自身的互联网出口,降低安全威胁。根据TIC计划,在2009年末美国联邦政府机构的互联网出口数量将从超过4300个下降到100个左右。

可信网络连接活动由管理和预算办公室(OMB)及国土安全部领导,涉及到对联邦政府的外部访问点(包括连接因特网的访问点)进行整合。整合后将实施一套统一的安全解决方案。

2、爱因斯坦I计划(Einstein-I)

根据《2002年国土安全法案》和联邦信息安全管理法案(FISMA)于2003年12月17日发布的国土安全第7号总统令的要求,US-CERT开发了爱因斯坦入侵检测系统。系统的第一个版本能够监视美国政府部门和机构网络关口的非正常流量,在2004年~2008年由联邦政府机构自愿部署。

爱因斯坦1计划采用了基于流量的分析技术,具体地说就是基于流数据(如NetFlow、sFlow、IPFIX等)的深度流检测(DFI)技术。US-CERT通过采集各个联邦政府机构的这些流信息,进行分析并获悉网络态势。

只恐夜深花睡去,故烧高烛照红妆。2019年3月。

3、爱因斯坦II计划(Einstein-II)

美国政府于2007年启动了爱因斯坦2计划,爱因斯坦2计划是爱因斯坦1计划的增强,系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,使得US-CERT获得更好的网络态势感知能力。

爱因斯坦2计划的系统扫描所有互联网流量及政府计算机(包括私人通信部分)的副本数据,检查这些数据的内容和元数据,以发现可能用于获取或伤害政府计算机系统的恶意计算机代码的“已知特征”。

爱因斯坦2计划实现恶意行为分析能力的技术是网络入侵检测技术,对TCP/IP通信的数据包进行DPI分析,发现恶意行为(攻击和入侵)。爱因斯坦2计划采用的IDS既有基于特征库的检测,也有基于异常的检测,二者互为补充。爱因斯坦2计划主要以商业的IDS技术为基础进行开发,并采用了US-CERT精选特征库。

4、爱因斯坦III计划(Einstein-III)

2008年美国启动CNCI中的一部分,就是DHS的爱因斯坦3计划(DHS成为下一代爱因斯坦计划)。爱因斯坦3计划的系统将检测恶意攻击代理,在恶意代码的威胁影响到政府计算机系统之前,采取实时措施进行阻断操作,以防止其攻击影响到政府网络系统。

在爱因斯坦3计划中,将综合运用商业技术和美国NSA的技术对政府机构的互联网出口的进出双向流量进行实时的全包检测(FPI),以及基于威胁的决策分析。借助在电信运营商处(ITCAP)部署传感器,能够在攻击进入政府网络之前就进行分析和阻断。爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前做出适当的响应,即具备入侵防御系统的动态防御能力。

本文相关链接:

声明:本文来自微言晓意,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。