杨望 东南大学网络空间安全学院院长助理美国网络空间战略美国网络空间战略的发展起步很早，从1998年克林顿政府发布《PDD-63总统令》，提出保护国家信息关键基础设施，到距今20年的时间中，形成了很明显的重心变化。美国网络空间战略走过了四个阶段：第一阶段，称为态势感知体系发展–基本组件构建阶段（1998~2002），倡导建立基本防御体系。第二阶段，基本能力构建阶段（2005~2010），目标是建立完备的数据获取、分析能力，建立国家级信息安全运营中心等。第三阶段，扩展能力构建阶段（2010~2015），掌握全球形势，形成主动探测能力和快速响应、作战能力，开始了三个重量级的计划–NSA-藏宝图计划、DHS-SHINE(SHODAN)、DAPRA-X计划，针对全球互联网形成探测。第四阶段，溯源反制能力构建阶段（2011~2018），倡导建立主动防御、溯源反制能力，并不断进行扩展，从积极防御转变为攻击威慑。美国网络空间态势感知体系的构成见图1，分为联邦政府网络和军事网络两个部分，由不同的部门主管，建立各自的态势感知体系。图1 美国网络空间态势感知体系构成在系统建设方面，态势感知体系包含两大业务系统，这两大系统之间会进行威胁情报交换。一是DHS（美国国土安全部）的爱因斯坦计划，能够实时监测联邦政府网络，保证最快安全响应，促进国家关键部门（非联邦网络，大型企业、关键基础设施等）网络安全。二是Tutelage系统，用来实时监测军队网络、全球网络基础设施数据获取，实现定点打击能力。为达成这些目标，NSA（美国国家安全局）开展大量保密项目，进行全球数据监听和全球定点打击能力的建设。DHS和爱因斯坦计划DHS的目标是保护国家关键基础设施。DHS下设4个不同部门，其中与网络空间安全相关的是第一个部门NPPD(国家保护与计划司)和第三个部门US-CERT（美国网络应急响应中心），这两个部门主要负责信息安全基础设施。爱因斯坦计划（EinsteinProgram），也称为国家网络空间安全保护系统，最新的版本称为EINSTEIN3Accerlerated，它的目标是保护联邦政府机构的网络，由NPPD负责建设，US-CERT负责运行和使用。它是一个公开的网络，信息对外开放。爱因斯坦计划分为三个建设阶段。最早的阶段从2003年开始部署，当时在所有政府的网络出口部署探针IDS，监控网络流量，基于数据流进行检测，对异常事件报警并进行响应。第二阶段开始于2009年，部署IDS，同时该阶段与CNCI（国家网络空间安全计划）合并更名为NCPS，将基于流的检测升级为DPI检测。第三阶段开始于2010年，除了检测、防御，又加入了自动对恶意流量阻断；2012年开始E3A，即爱因斯坦计划第三阶段加速，引入了主要运营商（ISP）的IPS服务，把端点延伸到了运营商，将政府网络接入点的保护放在运营商，由运营商代替政府完成流量过滤和清洗等防御工作。爱因斯坦计划包含五大部分，核心设施、入侵检测、入侵防御、数据分析和信息共享。核心设施，是运行防御任务的基础软硬件设施，包括任务信息环境MOE，E3A任务运行环境E3A-MOE，事件管理系统IMS和开发运行环境Dev/Test。入侵检测系统，包括爱因斯坦一代、二代检测系统，还有被动域名服务报文检测系统pDNS，pDNS主要用于收集、存储和分析联邦机构网络中产生的所有DNS数据。数据分析系统，包括报文分析系统PCAP，安全信息与事件管理系统SIEM，增强分析数据库EADB，高级恶意软件分析中心AMAC，数据媒体分析环境DMA。信息共享系统，包括网络加密共享CyberScope，网络应急响应组接口US-CERT，增强分析数据库CIR与高级恶意软件分析中心CIAP。入侵防御系统，主要用于Web防御与过滤（WAF），还有邮件的防御和过滤（附件扫描和过滤）。爱因斯坦计划的总体目标，是建立国家网络安全保护体系（NCPS），将入侵检测、分析、防御以及信息共享的四种能力集成在一起，保护联邦政府的IT信息基础设施的安全，免于遭受外部的网络侵袭。NSA/CSS与藏宝图计划藏宝图计划由NSA和CSS(中央安全局)两个部门共同负责，NSA的局长一般会兼任CSS局长，共同合作成立NTOC（威胁作战中心），由NSA负责维护运行，搜集全球互联网情报，用于建立态势感知能力。藏宝图计划TreasureMap，实际是通过建立大规模互联网映射、探测和分析引擎系统，建立一个近实时的交互式的全球互联网地图，目的是能够描绘任何时间点互联网上的任=何地点的任何设备。它主要服务于网络空间安全的态势感知（包含敌我双方），用于计算机攻击、漏洞利用环境的准备，以及网络侦查、作战有效性的测量等。它的面向范围包括IPv4、IPv6（部分），关注网络层（路由与自治域），包含物理层、链路层和应用层。藏宝图的数据由美国主导，多方共建共享。由美国、英国、澳大利亚、加拿大、新西兰共同成立了五眼联盟，情报数据在五个国家间互相共享。在美国内部，建立了全球联合情报通信系统，由16个独立的情报部门共享情报信息。藏宝图的数据来源非常丰富，包括互联网的开源情报，学术界工具和数据集，信号情报、商业购买与信息保障梳理（针对自有资产）。数据类型（开源/商业/学术）的来源也很丰富，包括BGP、Traceroute、Registries、DNS、OSFingerprints等。NSA的全球采集点，基于五眼联盟扩大到30多个第三方国家情报组织之间共享数据源，还有80多个特殊情报数据源，也就是不同国家的大使馆；50000多个木马设备，通过将一个植入木马的设备放到指定的地点，成为自己的一个信息搜集点；20多个互联网主干光纤接入点，在全球比较大的海底光缆接入点，进行流量镜像，还有40多个卫星通信拦截点。数据采集完成后，有专门的系统提供给不同的情报功能使用，用于浏览和检索数据，还提供了很多可视化图或实践，从AS角度、地理位置角度浏览互联网，需要进行攻击时，提供漏洞设备具体的信息，攻击路径信息、可扩展视图，多种数据之间的关联视图查询。藏宝图计划的目标是要识别互联网地图上的任何时间、任何地点的任何设备。中国高校安全参考国内大部分高校目前完成了爱因斯坦计划和藏宝图计划的初级阶段，比如IDS/IPS的部署、资产管理等。国内高校正在做的工作也是美国政府在开展的业务。从高校自身角度与今后的发展看，实际上目前学校的信息搜集能力已经具备，包括系统搭建、数据收集等，但是学校欠缺的是数据分析和信息共享能力。一方面数据系统可能比较缺乏，维护人员也存在不足。另一方面，高校内部和高校之间还是各自为战，存在不同的数据源，在学校内部进行共享和分析、不同机构之间共享也存在不足。在数据分析方面，需要有专业的数据存储和索引；需要专业的数据支撑人员和数据分析员，但大多数高校难以满足条件；同时还需要少数单位集中力量先行。另外，建立国家威胁信息标准、高校间的威胁情报联盟也是高校今后需要考虑的方向。通过多举措来共同推动高校网络空间安全的进步发展。 （来源：《中国教育网络》2019年2-3月合刊）