從美國網空系統看中國高校安全

美國網絡空間戰略

美國網絡空間戰略的發展起步很早，從1998年克林頓政府發布《PDD-63總統令》，提出保護國家信息關鍵基礎設施，到距今20年的時間中，形成了很明顯的重心變化。美國網絡空間戰略走過了四個階段：

第一階段，稱為態勢感知體系發展——基本組件構建階段（1998～2002），倡導建立基本防御體系。

第二階段，基本能力構建階段（2005～2010），目標是建立完備的數據獲取、分析能力，建立國家級信息安全運營中心等。

第三階段，擴展能力構建階段（2010～2015），掌握全球形勢，形成主動探測能力和快速響應、作戰能力，開始了三個重量級的計劃——NSA-藏寶圖計劃、DHS-SHINE(SHODAN)、DAPRA-X計劃,針對全球互聯網形成探測。

第四階段，溯源反制能力構建階段（2011～2018），倡導建立主動防御、溯源反制能力，并不斷進行擴展，從積極防御轉變為攻擊威懾。

美國網絡空間態勢感知體系的構成見圖1，分為聯邦政府網絡和軍事網絡兩個部分，由不同的部門主管，建立各自的態勢感知體系。

在系統建設方面，態勢感知體系包含兩大業務系統，這兩大系統之間會進行威脅情報交換。一是DHS（美國國土安全部）的愛因斯坦計劃，能夠實時監測聯邦政府網絡，保證最快安全響應，促進國家關鍵部門（非聯邦網絡，大型企業、關鍵基礎設施等）網絡安全。二是Tutelage系統，用來實時監測軍隊網絡、全球網絡基礎設施數據獲取，實現定點打擊能力。為達成這些目標，NSA（美國國家安全局）開展大量保密項目，進行全球數據監聽和全球定點打擊能力的建設。

DHS和愛因斯坦計劃

DHS的目標是保護國家關鍵基礎設施。DHS下設4個不同部門，其中與網絡空間安全相關的是第一個部門NPPD(國家保護與計劃司)和第三個部門US-CERT（美國網絡應急響應中心）,這兩個部門主要負責信息安全基礎設施。

愛因斯坦計劃（Einstein Program）,也稱為國家網絡空間安全保護系統，最新的版本稱為EINSTEIN3 Accerlerated，它的目標是保護聯邦政府機構的網絡，由NPPD負責建設，US-CERT負責運行和使用。它是一個公開的網絡，信息對外開放。

愛因斯坦計劃分為三個建設階段。最早的階段從2003年開始部署，當時在所有政府的網絡出口部署探針IDS，監控網絡流量，基于數據流進行檢測，對異常事件報警并進行響應。第二階段開始于2009年，部署IDS，同時該階段與CNCI（國家網絡空間安全計劃）合并更名為NCPS,將基于流的檢測升級為DPI檢測。第三階段開始于2010年，除了檢測、防御，又加入了自動對惡意流量阻斷；2012年開始E3A，即愛因斯坦計劃第三階段加速，引入了主要運營商（ISP）的IPS服務，把端點延伸到了運營商，將政府網絡接入點的保護放在運營商，由運營商代替政府完成流量過濾和清洗等防御工作。

圖1 美國網絡空間態勢感知體系構成

愛因斯坦計劃包含五大部分，核心設施、入侵檢測、入侵防御、數據分析和信息共享。核心設施，是運行防御任務的基礎軟硬件設施，包括任務信息環境MOE，E3A任務運行環境E3A-MOE，事件管理系統IMS和開發運行環境Dev/Test。入侵檢測系統，包括愛因斯坦一代、二代檢測系統，還有被動域名服務報文檢測系統pDNS，pDNS主要用于收集、存儲和分析聯邦機構網絡中產生的所有DNS數據。數據分析系統，包括報文分析系統PCAP，安全信息與事件管理系統SIEM，增強分析數據庫EADB，高級惡意軟件分析中心AMAC，數據媒體分析環境DMA。信息共享系統，包括網絡加密共享CyberScope，網絡應急響應組接口US-CERT，增強分析數據庫CIR與高級惡意軟件分析中心CIAP。入侵防御系統，主要用于Web防御與過濾（WAF）,還有郵件的防御和過濾（附件掃描和過濾）。

愛因斯坦計劃的總體目標，是建立國家網絡安全保護體系（NCPS），將入侵檢測、分析、防御以及信息共享的四種能力集成在一起，保護聯邦政府的IT信息基礎設施的安全，免于遭受外部的網絡侵襲。

NSA/CSS與藏寶圖計劃

藏寶圖計劃由NSA和CSS(中央安全局)兩個部門共同負責，NSA的局長一般會兼任CSS局長,共同合作成立NTOC（威脅作戰中心），由NSA負責維護運行，搜集全球互聯網情報，用于建立態勢感知能力。藏寶圖計劃TreasureMap,實際是通過建立大規模互聯網映射、探測和分析引擎系統，建立一個近實時的交互式的全球互聯網地圖，目的是能夠描繪任何時間點互聯網上的任何地點的任何設備。它主要服務于網絡空間安全的態勢感知（包含敵我雙方），用于計算機攻擊、漏洞利用環境的準備，以及網絡偵查、作戰有效性的測量等。它的面向范圍包括IPv4、IPv6（部分），關注網絡層（路由與自治域），包含物理層、鏈路層和應用層。

藏寶圖的數據由美國主導，多方共建共享。 由美國、英國、澳大利亞、加拿大、新西蘭共同成立了五眼聯盟，情報數據在五個國家間互相共享。在美國內部，建立了全球聯合情報通信系統，由16個獨立的情報部門共享情報信息。

藏寶圖的數據來源非常豐富，包括互聯網的開源情報，學術界工具和數據集，信號情報、商業購買與信息保障梳理（針對自有資產）。數據類型（開源/商業/學術）的來源也很豐富，包括BGP、Traceroute、Registries、DNS、OS Fingerprints等。

NSA的全球采集點，基于五眼聯盟擴大到30多個第三方國家情報組織之間共享數據源，還有80多個特殊情報數據源，也就是不同國家的大使館；50000多個木馬設備，通過將一個植入木馬的設備放到指定的地點，成為自己的一個信息搜集點；20多個互聯網主干光纖接入點，在全球比較大的海底光纜接入點，進行流量鏡像，還有40多個衛星通信攔截點。

數據采集完成后，有專門的系統提供給不同的情報功能使用，用于瀏覽和檢索數據，還提供了很多可視化圖或實踐，從AS角度、地理位置角度瀏覽互聯網，需要進行攻擊時，提供漏洞設備具體的信息，攻擊路徑信息、可擴展視圖，多種數據之間的關聯視圖查詢。

藏寶圖計劃的目標是要識別互聯網地圖上的任何時間、任何地點的任何設備。

中國高校安全參考

國內大部分高校目前完成了愛因斯坦計劃和藏寶圖計劃的初級階段，比如IDS/IPS的部署、資產管理等。國內高校正在做的工作也是美國政府在開展的業務。

從高校自身角度與今后的發展看，實際上目前學校的信息搜集能力已經具備，包括系統搭建、數據收集等，但是學校欠缺的是數據分析和信息共享能力。

一方面數據系統可能比較缺乏，維護人員也存在不足。另一方面，高校內部和高校之間還是各自為戰，存在不同的數據源，在學校內部進行共享和分析、不同機構之間共享也存在不足。

在數據分析方面，需要有專業的數據存儲和索引；需要專業的數據支撐人員和數據分析員，但大多數高校難以滿足條件；同時還需要少數單位集中力量先行。另外，建立國家威脅信息標準、高校間的威脅情報聯盟也是高校今后需要考慮的方向。通過多舉措來共同推動高校網絡空間安全的進步發展。