美国网络安全态势感知 (三)：协调运行机制建设

长沙，浏阳河。2018年11月

一、态势感知协调运行机制

美国国家网络安全综合计划（CNCI）中规定，由国土资源部（DHS）内的国家计算机安全中心（NCSC）通过协调和综合来自六个中心的信息，提供横跨六个中心的态势感知与分析，并报告美国在情报、国防、国土安全、司法等方面的网络和系统状态，以促进合作与协调。

六个中心在态势感知、公共-私有协调、国防、对外情报的某些方面具有优势，六个小组之间通过通信、信息共享或通过联络员建立联系，国家计算机安全中心（NCSC）从这六个中心中创建跨域的态势感知系统。

六个中心分别是情报界-事件响应中心（IC-IRC）、威胁行动中心（NTOC）、US-CERT、联合任务组-全球网络行动中心（JTF-GNO）、网络空间犯罪中心（DC3）、国家网络空间调查联合任务组（NCIJTF）。每个中心具体介绍如下：

0、国家计算机安全中心（NCSC）

国家计算机安全中心（NCSC）隶属于DHS，涉及国土、情报、国防和司法四个领域。NCSC采用全天候（24h × 7）的工作模式，制定政策报告，基于已有威胁制定缓和措施，评估网络空间状态；协调和综合其它六个中心的信息，提供横跨部门的态势感知与分析，并提供美国在情报、国土安全、国防和司法等方面的网络和系统状态。NCSC的核心竞争力主要体现在国防和态势感知两个方面。

1、情报界-事件响应中心（IC-IRC）

IC-IRC隶属于ODNI，涉及情报领域。IC-IRC采用全天候（24h × 7）的工作模式，以信息的共享与收集，提供对外威胁分析，帮助获得关于网络空间攻击的特征；管理和监控情报中心网络，对网络空间安全威胁进行分析，分析不同事件之间的关联性，并给出报告。对网络空间起到预警作用。IC-IRC还会定期对信息通信技术系统进行网络空间演习，一便更好地为网络空间安全服务。IC-IRC的核心竞争力主要体现在国防、态势感知和对外情报三个方面。

2、威胁行动中心（NTOC）

NTOC隶属于NSA，涉及情报和国防两个领域。NTOC与NIST、US-CERT及JTF-GNO进行合作，协调组织负责信息系统安全响应事件；评估信息，以检测出网络空间的威胁和漏洞，制定相应的缓和措施；与DIA一起合作分析威胁信息源；出版安全配置指南，提供网络空间安全演习基地。NTOC的核心竞争力主要体现在国防和对外情报两个方面。

3、美国计算机应急准备小组（US-CERT）

US-CERT隶属于DHS，涉及国土安全领域。US-CERT为联邦、州和地方实体提供全天候（24h × 7）的服务支持，与私营部门就事件处理和分析进行合作，与国内外的CERT组织合作，为公共、各级政府和私营部门提供交流合作平台；监控政府网络中不同来源的网络空间安全事件；收集和记录与政府网络有关的网络空间事件或公共需求；建立TIC和爱因斯坦计划，分析所有爱因斯坦计划的数据，提供数据分析、恶意软件分析和相关漏洞评估，分析政府网络系统中异常和入侵行为，以保护和完善美国联邦网络。US-CERT的核心竞争力主要体现在态势感知和公共-私有协调两个方面。

北京，首都机场。2019年2月

4、联合任务组-全球网络行动中心（JTF-GNO）

JTF-GNO隶属于DoD，涉及情报和国防两个领域。JTF-GNO主要为全球信息栅格（GIG）系统运行制定政策框架；监控DoD网络，检测漏洞，识别新兴技术和相关威胁，并分析DoD系统中的异常和入侵检测行为；为所有的网络作战（NetOps）中心提供事件报告和可能的相应措施。JTF-GNO的核心竞争力主要体现在态势感知和国防两个方面。

5、网络空间犯罪中心（DC3）

DC3隶属于DoD，涉及情报、国防、司法/反情报三个领域。DC3主要为国防犯罪调查组织提供调查结果，国防计算机取证实验室通过开展这些调查，获取媒体的数字取证结果，进行数字取证情报工作，提供反情报分析和诊断服务；为国防网络空间犯罪研究所提供关于计算机取证方面的公认标准、工艺、方法、研究工具和技术，以满足DoD目前和未来的需求。DC3的核心竞争力主要体现在国防方面。

6、国家网络空间调查联合任务组（NCIJTF）

NCIJTF隶属于FBI，涉及情报、司法/反情报两个领域。NCIJTF采用全天候（24h × 7）的工作模式，主要制定信息战的全球战略，为已有机构的集中协调创建策略框架，制定新的措施；监控并分析所有的源数据，识别情报之间的不同；收集和综合入侵相关活动的普通活动照片，找出危害国家安全的计算机网络；针对一些与网络空间安全相关的产品进行调查，进行反情报威胁的响应；对于网络空间安全的威胁进行及时中断连接和响应。NCIJTF的核心竞争力主要体现在态势感知方面。

根据美国2010年发布的《国家网络空间安全事件响应计划》（NCIRP），为有效地了解网络空间中的风险，要求各部门和局、各机构每日对识别的威胁、漏洞和潜在影响进行共享。DHS通过NCCIC负责集成和维护国家级的通用态势图（COP）。COP提供跨域的态势感知信息，是一张不断更新的全面的网络威胁、漏洞和影响图，包括即时事件的标识和预警。

态势感知图的信息来源较广，包括联邦部门和局、国家安全界和情报界、司法界（包括联邦、州和地方司法部门）、各公司部门、公开信息源、网络空间安全提供商。实时的态势感知情况将会被提供给国家基础设施协调中心（NICC）和国家行动中心（NOC）等。尽管态势感知图是网络事件响应活动的基础，但网络空间中有效的网络事件响应活动需要实时、准确的态势感知协调。

本文相关链接：

• 美国网络安全态势感知（1）：基础防御建设过程

• 美国网络安全态势感知（2）：基本能力建设过程

声明：本文来自微言晓意，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。