美国网络空间安全体系(2):美国《国家网络安全综合计划(CNCI)》及安全防御协调机制大揭秘
2020-04-18 19:53 微言晓意 阅读(1969) 评论(0) 编辑 收藏 举报2008 年 1 月,时任美国总统的小布什发布了一项重大信息安全政策,称为第 54 号国家安全总统令(NSPD54),同时也是第 23 号国土安全总统令(HSPD23),其核心是国家网络安全综合计划(CNCI)。
国家网络安全综合计划(CNCI)是美国政府对重大信息安全行动做出的总体部署,被美国一些媒体称为信息安全的“曼哈顿计划”。目的是提高美国重要网络设施的防御能力,旨在保护美国的网络空间安全,防止美国遭受各种恶意或敌对的电子攻击,打造和构建国家层面的网络安全防御体系。
一、国家网络安全综合计划(CNCI)的十二项子计划
一直以来国家网络安全综合计划(CNCI)十分敏感,被以国家安全的原因列为高度机密。但美国政府在国会和公众的压力下,于 2008 年下半年还是公开了 CNCI 的 12 项重大活动的基本信息,分别是:
1、通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理
可信网络连接活动由管理和预算办公室(OMB)及国土安全部领导,涉及到对联邦政府的外部访问点(包括连接因特网的访问点)进行整合。整合后将实施一套统一的安全解决方案。
2、部署一个由遍布整个联邦的感应器组成的入侵检测系统
入侵检测系统使用的是被动的感应器,当非授权用户试图访问联邦网络时可以做出识别,这构成了美国政府网络防御体系极为重要的部分。国土安全部正在部署一批基于特征的感应器,能够对进入联邦系统的因特网流量进行检查,以发现非授权的访问和恶意的内容,这是爱因斯坦 2(EINSTEIN 2)活动的一个组成部分。
3、寻求在整个联邦范围内部署入侵防御系统
本项活动代表了联邦行政机关内各民事部门安全防护的下一步发展方向。这称为爱因斯坦3(EINSTEIN 3),其将采用商业技术和专门为政府开发的技术来对进出行政机关网络的流量实施实时的全封包检查,并实现基于威胁的决策。爱因斯坦 3 的目标是发现恶意的网络流量并对其进行特征化表示,以增强网络安全分析、态势感知和安全响应能力。它能在网络威胁造成损害之前对其自动检测并正确响应,因为入侵防御系统支持动态防御。
4、对研发工作进行协调并重新定向
没有一个单独的个人或者组织能够了解政府资助的所有网络相关研发工作。本项活动旨在为协调美国政府资助或实施的网络研发工作而制定战略和组织架构,无论是涉密还是非涉密研发,并在必要时对这些研发工作重新定向。当我们在确定战略投资时,这一活动对于减少联邦资助的网络安全研究项目中存在的重复性、查找研究空白、安排研发工作的优先级以及确保纳税人的钱花得物有所值都至关重要。
5、把当前的各网络行动中心相互连接起来,加强态势感知
为了实现和支持对态势感知的共享,本项活动向承载美国网络活动的 6 个网络行动中心提供了必要的关键手段。这项工作关注的主要方面是,要能够使美国网络活动的各个单元在履行工作使命时做到互为关联,必不可少的内容有:基础功能与投资,例如基础设施的改造、带宽的增加以及行动能力的整合;提高协同能力,包括一致的技术、工具和流程;通过共有的分析和协同技术来加强态势感知的共享。
6、制定和实施一个覆盖整个政府部门的网络情报对抗计划
为了协调联邦所有部门间的有关工作,一个覆盖整个政府的网络情报对抗计划是必要的,以检测、遏制、消除那些由国外发起的、针对美国及其私营部门信息系统的网络情报威胁。为此,这个计划要确立和扩展网络情报对抗教育和意识项目,建立人才队伍,以便将情报对抗融入所有的网络行动和分析之中,提高雇员对网络情报对抗威胁的认识,提高政府各部门间情报对抗的协同。《网络情报对抗计划》与《2007 年美国国家情报对抗战略》保持一致,并支持 CNCI 中其余的活动。
7、增强涉密网络的安全
涉密网络中存储着联邦政府最敏感的信息,支持着至关重要的战争、外交、反恐、执法、情报和国土安全行动。对涉密网络的成功渗透或破坏将对我们的国家安全造成极端严重的危害。我们需要恪尽职守,确保涉密网络及网络中数据的完整性。
8、扩大网络安全教育
现有的各个网络安全培训和人才发展项目尽管不错,但在侧重点方面还有不足,且缺少一致性。为了有力确保我们持久的技术优势以及未来的网络安全,必须建立起一支技术熟练、熟谙网络安全知识的人才队伍,以及有效的后续雇员输送管道。为了应对这一挑战,需要制定一个国家战略,就像上世纪50 年代的科学和数学教育改革一样。
9、定义和制定能“超越未来”的持久的技术、战略与规划
CNCI的一个目标是发展相关技术,使之能够提高当前不计其数的系统的安全性,并且能在未来 5 到10 年内得到部署。本项活动力图制定有关的战略和规划,在政府的研发组合中加大那些具有高风险/高回报性质的关键网络安全问题解决方案的比重。联邦政府已经着手为研究界列举重大挑战,以期帮助解决这些需要创造性思维的困难问题。政府正在识别并与私营部门交流共有的需求,这些需求将驱动双方在关键研究领域的共同投资。
10、定义和发展持久的遏制战略与项目
在一个依赖于有保障地利用网络空间的世界中,国家的高层决策者必须仔细考虑美国的长期战略选择。目前,美国政府已经采取了传统的办法来解决网络安全问题——这些措施还没有达到我们需要的安全水准。本项活动旨在建立一种实现网络防御战略的方法,通过完善预警能力、发挥私营部门和国际合作者的角色、对来自国家和非国家的行动者进行正确应对,遏制对网络空间的干涉和攻击。
11、建立全方位的方法来实施全球供应链风险管理
必须采用能够涵盖产品、系统和服务的完整生命周期的战略性、综合性的方案,对来自国内和全球供应链的风险加以管理。本项活动将使联邦政府向各部门提供强健的供应链风险管理与控制工具集的能力、政策和流程得到强化,使经过管理和控制后的供应链风险同系统与网络的重要性相称。
12、明确联邦的角色,使网络安全延伸到关键基础设施领域
本项活动建立在已有且不断发展的合作关系基础之上,合作关系的一方是联邦政府,另一方是位于公共和私营部门的关键基础设施与重要资源(CIKR)的所有者、运营者。国土安全部及其私营部门的合作者已经制定了一项共同行动的计划,包括一系列的里程碑及行动。它考虑了整个网络空间基础设施的安全和信息保障工作,以增强所有 CIKR 领域的韧性和运行能力为目的。其侧重点之一是公-私之间就政府以及 CIKR 领域网络威胁和事件信息的共享。
二、美国国家网络空间安全防御协调机制
1、美国国家网络安全综合计划(CNCI)部门职责
美国国家网络安全综合计划(CNCI)中有四个部门被赋予了重要职责,分别是国土安全部(DHS)、国防部(DoD)、美国国家情报总监办公室(ODNI)和白宫科技政策办公室(OSTP),这四个部门的主要职责分工如下:
1)国土安全部(DHS):主要负责保护民用机构信息系统安全,减少和合并外部接入点,部署被动网络传感器,以及确定公共和私营伙伴关系;
2)国防部(DoD):主要负责检测军事情报系统,提高涉密网络的安全性,部署入侵防御系统等;
3)美国国家情报总监办公室(ODNI):主要负责监控情报界信息系统,以及其他与情报相关的活动,包括制定政府范围的网络反情报计划;
4)白宫科技政策办公室(OSTP):主要负责提供国内和国际事务科学技术影响的建议。
2、美国国家网络安全综合计划(CNCI)任务目标
美国国家网络安全综合计划(CNCI)有建立能够应对当前网络空间安全威胁的防线、对抗全面威胁、巩固未来的网络空间安全环境三个明确的目标,根据目标的不同将任务进行分类如下:
1)建立能够应对当前网络空间安全威胁的防线:包括任务1)通过可信因特网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理;2部署一个由遍布整个联邦的感应器组成的入侵检测系统;3)寻求在整个联邦范围内部署入侵防御系统; 5)把当前的各网络行动中心相互连接起来,加强态势感知。
2)对抗全面威胁:包括任务6)制定和实施一个覆盖整个政府部门的网络情报对抗计划;7)增强涉密网络的安全; 11)建立全方位的方法来实施全球供应链风险管理。
3)巩固未来的网络空间安全环境:包括任务4)对研发工作进行协调并重新定向; 8)扩大网络安全教育;9)定义和制定能“超越未来”的持久的技术、战略与规划;10)定义和发展持久的遏制战略与项目。
3、美国国家网络安全综合计划(CNCI)各项任务责任部门
美国国家网络安全综合计划(CNCI)各项任务活动的简称和责任部门分工如下:
-
任务活动1:(TIC),OMB/DHS;
-
任务活动2:(爱因斯坦2),DHS;
-
任务活动3:(爱因斯坦3),DHS/DoD;
-
任务活动4:(研发工作的协调和重新定向),OSTP;
-
任务活动5:(态势感知),ODNI;
-
任务活动6:(情报对抗),ODNI/DoJ;
-
任务活动7:(涉密网络安全),DoD/ODNI;
-
任务活动8:(教育),DHS/DoD;
-
任务活动9:(新技术),OSTP;
-
任务活动10:(遏制战略),NSC;
-
任务活动11:(供应链安全),DHS/DoD;
-
任务活动12:(公-私合作),DHS。
4、美国国家网络安全综合计划(CNCI)工作协调机制
美国国家网络安全综合计划(CNCI)的规划以及执行机制可以归纳为跨机构工作组,其中有的工作组是既有的,也有工作组是专门成立的。这些工作组包括:
1)国家网络空间研究工作组(NCSG):2007年5月,布什总统指示国家情报总监对联邦政府的信息安全状况进行评估,为此专门成立了NCSG,由ODNI领导,成员来自20个政府部门。
2)通信安全和网络空间策略协调委员会(PCC):这是白宫在起草和最初执行 CNCI 时发挥主要作用的机构,奥巴马上台将其更名为信息和通信基础设施跨机构政策委员会(ICIIPC)。PCC 由国土安全委员会和国家安全委员会联合领导,下辖 6 个子工作组。2007 年末,NCSG 将起草 CNCI 的工作移交给了 PCC,后者向奥巴马提交了 CNCI 的草案。CNCI 被批准后,PCC 立刻承担起了监督 CNCI执行的职责。PCC 每周召开一次会议来评估 CNCI 的行效果,每季度实施一次全面、深入评估。
3)跨机构网络空间联合特别工作组(JIACTF):第 54 号国家安全总统令将 CNCI 的监督和协调职责赋予了 ODNI。为此,ODNI 于 2008 年2 月专门成立了跨机构网络空间联合特别工作组,该工作组要确保情报机构和非情报机构都能全面参与 CNCI,并为监督CNCI的执行制定绩效评价指标。JIACTF代理主任认为,虽然ODNI 承担了协调者的角色,但其并未获得授权去指挥其他机构,只能监督并向总统汇报CNCI 的进展。