2008年“全面的國家網(wǎng)絡(luò)安全行動（CNCI）”

 美國公布的目標和現(xiàn)狀

美國公布2013年現(xiàn)狀

2.1.2  愛因斯坦計劃

美國為了面對網(wǎng)絡(luò)安全攻擊，在2004年啟動了愛因斯坦計劃，目標是在政府網(wǎng)絡(luò)出口部署入侵檢測、netflow檢測、入侵防護系統(tǒng)來提供攻擊的早期預(yù)警和攻擊防護，但是鑒于愛因斯坦項目存在一些內(nèi)容監(jiān)控（郵件，上網(wǎng)行為）的監(jiān)控技術(shù)手段，被民眾指責(zé)，隨后逐漸淡化宣稱。愛因斯坦項目經(jīng)過十余年的發(fā)展，技術(shù)逐漸成熟，總體而言，該項目共有3個發(fā)展階段。

愛因斯坦1
 基于流的統(tǒng)計分析技術(shù)，2004年啟動,通過分析網(wǎng)絡(luò)的流量信息查找可能的惡意活動，采用政府網(wǎng)絡(luò)出口路由器的netflow技術(shù)實現(xiàn)。

愛因斯坦2
 基于特征的入侵檢測系統(tǒng)。可以通過分析網(wǎng)絡(luò)的流量信息來查找以發(fā)現(xiàn)非授權(quán)的訪問和惡意的內(nèi)容，這是通過對進出美國政府網(wǎng)絡(luò)的流量自動進行全封包檢查來實現(xiàn)的。當聯(lián)邦網(wǎng)絡(luò)流量中出現(xiàn)惡意或可能有害的活動時，愛因斯坦2 能夠向US-CERT提供實時報警，并對導(dǎo)出數(shù)據(jù)提供關(guān)聯(lián)和可視化能力。

愛因斯坦3
 基于威脅的決策系統(tǒng)。采用商業(yè)技術(shù)和專門為政府開發(fā)的技術(shù)來對進出行政機關(guān)網(wǎng)絡(luò)的流量實施實時的全封包檢查，目標是發(fā)現(xiàn)惡意的網(wǎng)絡(luò)流量并對其進行特征化表示，以增強網(wǎng)絡(luò)安全分析、態(tài)勢感知和安全響應(yīng)能力。由于采用的入侵防御系統(tǒng)支持動態(tài)防御，它能在網(wǎng)絡(luò)威脅造成損害之前對其自動檢測并正確響應(yīng)。愛因斯坦 3還為國土安全部提供了對檢測到的網(wǎng)絡(luò)入侵企圖進行自動報警的能力。國土安全部將采納國家安全局通過外國情報工作以及國防部在信息保障工作中發(fā)現(xiàn)的威脅特征，以支持國土安全部的聯(lián)邦系統(tǒng)安全。

總體而言，愛因斯坦項目就是DFI（深度流檢測）+DPI（深度包）+決策支撐系統(tǒng)，實際上，針對威脅態(tài)勢感知預(yù)警，是目前比較完整的技術(shù)架構(gòu)。除此外，愛因斯坦項目每年約有300左右的維護團體，進行深入的數(shù)據(jù)挖掘工作。而決策支撐系統(tǒng)是分析師們的成果。

2.1.3  可信互聯(lián)網(wǎng)連接（TIC）計劃

2007年，在愛因斯坦計劃基礎(chǔ)上提出可信互聯(lián)網(wǎng)連接（TIC）計劃，目標是將聯(lián)邦政府8000個網(wǎng)絡(luò)出口歸并為50個左右。出口整合后，便于進行安全設(shè)備統(tǒng)一部署，監(jiān)控和防護也能做到一體化。隨著進展的深入，隨著進展的深入，美國發(fā)現(xiàn)政府基層的辦事處（類似街道辦的級別）很難覆蓋完全，又提出了可管理的可信互聯(lián)網(wǎng)協(xié)議服務(wù)“Managed Trusted Internet Protocol Services” (MTIPS)?；鶎拥霓k事處也可以通過運營商提供NBIP-VPN，連接到MTIPS網(wǎng)絡(luò)中，統(tǒng)一上互聯(lián)網(wǎng)，從而完成TIC目標（見下圖）。按照美國政府計劃，在2013年整合95%的出口。

 可管理的可信互聯(lián)網(wǎng)協(xié)議服務(wù) (MTIPS)

美國公布的TIC計劃2013年目標

2.1.4  持續(xù)監(jiān)控計劃

信息安全持續(xù)監(jiān)控（ISCM）是定義為對信息安全、脆弱性和威脅保持持續(xù)的評估，來支撐組織的風(fēng)險管理決策。2010年的《聯(lián)邦信息安全管理法》(Federal Information Security Management Act)，又稱 FISMA 2.0，要求各機構(gòu)的信息安全方案中必須包含信息系統(tǒng)的持續(xù)監(jiān)測。美國行政管理和預(yù)算局 (OMB) 已經(jīng)規(guī)定了最后的期限，各機構(gòu)的首席信息官必須在 2012 財年結(jié)束之前實施可持續(xù)監(jiān)測網(wǎng)絡(luò)安全的軟件。這個計劃目標是將一個靜態(tài)安全控制評估和風(fēng)險測定過程變換成一個可以提供必要的、實時的且反映相關(guān)安全狀態(tài)信息的動態(tài)系統(tǒng)。也就是說美國聯(lián)邦政府希望從以前只能通過手動審核的聯(lián)邦信息系統(tǒng)法規(guī)遵從性評估管理過程提升到系統(tǒng)化的接近實時的自動化過程，動態(tài)管理企業(yè)的風(fēng)險。要求各機構(gòu)持續(xù)監(jiān)測其整個 IT 環(huán)境，修復(fù)有漏洞且不合規(guī)的項目，并根據(jù)聯(lián)邦數(shù)據(jù)調(diào)用要求出具報告。聯(lián)邦政府為這個項目，從2013年起，5年內(nèi)撥款了60億美元來采購相關(guān)技術(shù)工具和服務(wù)。2011年11月15開始，各個政府機構(gòu)必須通過一個基于Web網(wǎng)關(guān)平臺（網(wǎng)絡(luò)轄域：Cyber Scope），按月提交報告。報告的好壞，成為政府績效評定的重要標準，并決定官員升遷。
 

 

美國公布的持續(xù)監(jiān)控的目標95%

2.1.5  將持續(xù)診斷與緩解(CDM)作為工具和服務(wù)交付計劃

為了保障持續(xù)監(jiān)控ISCM計劃的順利進行，美國國土安全部開發(fā)了“將持續(xù)診斷與緩解(CDM)作為工具和服務(wù)交付計劃（The tools and services delivered through the Continuous Diagnostics and Mitigation program），由通用動力公司等的17家服務(wù)商，簽訂了為期五年的由政府制定的一系列“持續(xù)監(jiān)控”協(xié)議。這些公司將為美國國土安全部、聯(lián)邦、州和地方政府提供持續(xù)監(jiān)控工具，持續(xù)監(jiān)控可以加強政府網(wǎng)絡(luò)空間安全、評估和打擊實時網(wǎng)絡(luò)空間威脅，并將持續(xù)監(jiān)控作為一種服務(wù)手段（云服務(wù)），提供給需要的政府單位的網(wǎng)絡(luò)空間監(jiān)控和安全風(fēng)險緩解服務(wù)。同時為需要額外服務(wù)的機構(gòu)提供數(shù)據(jù)整合和提供用戶個性化服務(wù)。簡單而言，就是將持續(xù)監(jiān)控需要的產(chǎn)品和服務(wù)標準化，通過服務(wù)提供給政府單位。CDM計劃力圖保護聯(lián)邦以及政務(wù)單位的IT網(wǎng)絡(luò)免受網(wǎng)絡(luò)安全威脅，通過提供持續(xù)監(jiān)控引擎工具，診斷、緩解工具和持續(xù)監(jiān)控服務(wù)Continuous Monitoring as a Service (CMaaS) 來增強政府網(wǎng)絡(luò)安全態(tài)勢。

2.2  美國安全建設(shè)的啟示

研究美國的安全建設(shè)可以看出，美國是通過TIC可信互聯(lián)網(wǎng)連接來進行網(wǎng)絡(luò)整合，便于統(tǒng)一進行高質(zhì)量的安全監(jiān)控和防護。同時，針對資產(chǎn)、漏洞、配置做有體系的持續(xù)監(jiān)控。便于及時發(fā)現(xiàn)各個網(wǎng)站的漏洞，提升網(wǎng)絡(luò)安全態(tài)勢感知，提升安全防護能力?？梢詫⒉糠职踩?wù)形成云服務(wù)，進行進一步標準化，便于提升服務(wù)質(zhì)量，降低安全成本。

三.  綠盟下一代安全決策預(yù)警體系

綠盟科技作為國內(nèi)最大的專業(yè)安全廠家之一，擁有最全面的產(chǎn)品線，在DFI檢測（綠盟NTA異常流量監(jiān)控產(chǎn)品），DPI檢測方面（綠盟IPS/IDS入侵檢測/保護產(chǎn)品），脆弱性檢測方面（綠盟RSAS遠程安全評估產(chǎn)品，BVS配置核查產(chǎn)品，WSM網(wǎng)站監(jiān)控產(chǎn)品）均為國內(nèi)第一或者唯一的產(chǎn)品，而依托綠盟大數(shù)據(jù)安全分析系統(tǒng)，綠盟形成全部自主可控的預(yù)警監(jiān)測平臺，并進行云監(jiān)護服務(wù)。集成多年經(jīng)驗，綠盟形成了下一代安全決策預(yù)警技術(shù)體系。

3.1  態(tài)勢感知的相關(guān)研究

隨著近年來在態(tài)勢感知方面研究的努力，在總體視圖我們已經(jīng)完成被動威脅感知的相關(guān)研究，目前已經(jīng)完成了DDOS攻擊態(tài)勢感知，網(wǎng)絡(luò)入侵態(tài)勢感知，僵木蠕態(tài)勢感知，溯源追蹤等系統(tǒng)，正在進行整合。

3.1.1  DDOS態(tài)勢感知

DDOS威脅一般稱為網(wǎng)絡(luò)氫彈，是目前國與國之間，競爭對手之間的主要攻擊方式，成本低，見效大。DDOS攻擊越來越頻繁，尤其針對發(fā)達地區(qū)和重點業(yè)務(wù)，某省電信每天發(fā)生的DDOS攻擊次數(shù)在100次左右。其次，DDOS攻擊流量越來越大，從檢測結(jié)果來看20%以上攻擊在大于20G。2014年4月，監(jiān)測到的某電信的單一IP攻擊流量達到300G。因此，如何檢測預(yù)警大型的DDOS攻擊。是我們研究重點。在這個方面，綠盟進行了超過十年的研究積累，綠盟新版本的NTA網(wǎng)絡(luò)異常流量檢測，可以全目標檢測(傳統(tǒng)DFI設(shè)備為了提升性能，需要設(shè)定檢測目標)。而且擁有自學(xué)習(xí)功能，可以降低80%以上誤報，經(jīng)過處理后，800G出口的骨干網(wǎng)，形成告警完全是可以處置的。
 

3.1.2  網(wǎng)絡(luò)入侵態(tài)勢感知

網(wǎng)絡(luò)入侵態(tài)勢感知是國際上公認的難點，核心是海量日志的挖掘和決策支持系統(tǒng)的開發(fā)，發(fā)達國家這方面的研究比較領(lǐng)先。綠盟科技經(jīng)過多年的研究，提出“基于對抗的智能態(tài)勢感知預(yù)警模型”，形成“入侵威脅感知引擎NSTSA”和“APT攻擊推理引擎（NS）”，通過決策推理狀態(tài)機制來實現(xiàn)了這方面的研究，取得較好的成果。有望解決海量日志挖掘的工作。尤其是決策推理系統(tǒng)的相關(guān)研究，吸收國外著名的kill chain擊殺鏈和attack tree攻擊樹的相關(guān)研究，形成綠盟獨有的推理決策系統(tǒng)，借助BSA大數(shù)據(jù)分析系統(tǒng)的分布式數(shù)據(jù)庫，可以實現(xiàn)決策預(yù)警，真正的為企業(yè)服務(wù)。經(jīng)過實際測試，在1G的典型環(huán)境中，1天IDS日志在20萬條，經(jīng)過“入侵威脅感知引擎NSTSA”后，形成500個左右的事件，經(jīng)過“APT攻擊推理引擎（NS）”后，僅僅形成10-20個攻擊成功的事件。
 

 

3.1.3  僵木蠕態(tài)勢感知

在辦公網(wǎng)等內(nèi)網(wǎng)環(huán)境中，僵木蠕的威脅是首要威脅，僵木蠕引起的arp，DDOS斷網(wǎng)等問題成為主要問題，更不用說由僵木蠕導(dǎo)致的apt泄密等事件了。在這個場景下，我們嘗試進行APT的深入挖掘。

3.1.4  APT攻擊態(tài)勢監(jiān)控

已知攻擊檢測，我們可以用入侵檢測設(shè)備，防病毒，但是針對目前越來越嚴重的APT攻擊，我們需要更先進的技術(shù)手段和方法。綠盟威脅分析系統(tǒng)TAC，可有效檢測通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。因此，在整個防護體系中，未知的0day攻擊，APT態(tài)勢感知，我們依靠TAC來完成。
 

3.1.5  溯源追蹤

如何在海量網(wǎng)絡(luò)中追蹤溯源DDOS攻擊，網(wǎng)絡(luò)入侵攻擊是業(yè)界難點和重點，我們采用DFI模式開發(fā)網(wǎng)絡(luò)溯源系統(tǒng)，針對APT攻擊，DDOS攻擊，僵木蠕進行有效的追蹤溯源?？梢员ＷC未知的攻擊的危害得到有效的溯源，如，DDOS攻擊可以溯源到鏈路，物理接口。APT溯源可以溯源到外泄了多少G的數(shù)據(jù)。僵木蠕溯源可以溯源CC主機的影響范圍。未來基于信譽情報，可以挖掘更多信息，重要的是，提供了在海量數(shù)據(jù)下的溯源難題?？梢栽诘统杀鞠拢€原任何IP的流量。
 

3.1.6  脆弱性態(tài)勢

作為國內(nèi)領(lǐng)先的安全廠家，綠盟科技遠程安全評估產(chǎn)品，web應(yīng)用掃描產(chǎn)品和系統(tǒng)配置核查產(chǎn)品，長期以來市場占有率第一，其中遠程安全評估產(chǎn)品連續(xù)4年占有率第一。作為檢測的首選工具，依托于這些產(chǎn)品，可以形成，脆弱性態(tài)勢感知，上級單位可以一眼看出下級單位的風(fēng)險分布情況。依托此技術(shù)可以形成企業(yè)版的ISCM持續(xù)監(jiān)控系統(tǒng)。為企業(yè)風(fēng)險管理中脆弱性管理保駕護航。

 
3.1.7  網(wǎng)站態(tài)勢監(jiān)控

網(wǎng)站作為企業(yè)對外的窗口，面臨的安全威脅也最多，因此，有必要部署專門的網(wǎng)站監(jiān)控設(shè)備形成網(wǎng)站安全態(tài)勢監(jiān)控，監(jiān)控網(wǎng)站漏洞，平穩(wěn)度，掛馬，篡改，敏感內(nèi)容，并有效進行運維管理，從而言避免因為網(wǎng)站出現(xiàn)問題導(dǎo)致公眾問題。
 

3.2  安全大數(shù)據(jù)的相關(guān)研究

面對海量的安全日志，傳統(tǒng)數(shù)據(jù)庫下進行態(tài)勢感知，數(shù)據(jù)挖掘變得極端困難。綠盟近年來投資進行了安全大數(shù)據(jù)方面的研究，形成綠盟安全大數(shù)據(jù)分析系統(tǒng)(BSA)，采用多種最新的技術(shù)，如MQ、Hadoop分布式數(shù)據(jù)庫、搜索型數(shù)據(jù)庫、內(nèi)存數(shù)據(jù)庫等最新的技術(shù)，使得海量數(shù)據(jù)的挖掘，高速處理成為可能。而在未來，我們將在此基礎(chǔ)上形成企業(yè)級的私有云服務(wù)。
 

四.  結(jié)語

在云計算，互聯(lián)網(wǎng)+的大趨勢下，國家、企業(yè)面臨的問題也越來越相似，動輒10G，100G的出口，使得我們在態(tài)勢感知、威脅發(fā)現(xiàn)、早期預(yù)警變得非常困難。利用新技術(shù)，新架構(gòu)使得傳統(tǒng)的技術(shù)無法實現(xiàn)成為可能，在未來，我們將繼續(xù)在這個領(lǐng)域中進行研究，使得態(tài)勢感知的研究真正為企業(yè)決策提供參考，真正為國家安全、企業(yè)安全保駕護航。

liwz

need 500 dollars today