论坛 产品库 视频 专题 CIO俱乐部 Windows8 实验室 CMO俱乐部 案例

从国家安全法出台看防护预警体系

发布时间:2015-07-24 15:06:00 来源:比特网 作者:肖岩军
关键字:防护预警 国家安全法 绿盟 推荐

  前言

  2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近平签署第29号主席令予以公布。构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。以法律形式确立总体国家安全观。共7章84条,自2015年7月1日起施行。清华大学法学院院长王振民评论说,这部法第一次明确了‘网络空间主权’这一概念,这可以理解为国家主权在网络空间的体现、延伸和反映。从这个法的内容可以看出,国家针对建设网络与信息安全保障体系,加强安全情报收集处置,建立风险预警,以及基础设施供应链管理准入方面针对网络安全做了强制要求和增强。

  而迅速的,网络安全法草案7月6日起在中国人大网上全文公布,并向社会公开征求意见。草案强调,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。

  随着网络安全上升到国家安全高度,如何建设一个有效的网络安全保障预警体系成为难点,因此,本文介绍了美国建设的网络与信息安全保障体系和最新的进展,以及绿盟在这些年进行态势感知,大数据挖掘,早期预警方面的研究工作。并成功为很多运营商,金融企业建立预警平台,希望这些能为企事业单位决策者提供参考。

  美国的防护预警体系

  美国安全建设思路

  从发达国家安全建设现状来看,基本思路为“集中防护,分散修补”。因为威胁的监控防护需要较高水平的专业人士来处理和较大的安全投入,所以“集中防护”。对于脆弱性(漏洞)修补管理来说,需要各个单位及时进行修补,因此“分散修补”。 2008年美国总统的布什发布了一项重大信息安全政策-第 54 号国家安全总统令( NSPD54)/第 23 号国土安全总统令( HSPD23),其核心是对重大信息安全行动做出的总体部署“全面的国家网络安全行动(CNCI)”,该计划在奥巴马政府届内正式部署并进入全面实施。其中,焦点领域1第一项就是,“通过可信互联网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理”;这个就是爱因斯坦计划和可信互联网连接(TIC)计划。TIC计划是国家统一建的。而在焦点领域2中,美国开展持续监控(ISCM)计划。ISCM计划则由各个单位自行建设,为了避免各个单位自行建设成本问题,美国国土安全部开发了将持续诊断与缓解(CDM)作为工具和服务交付计划(The tools and services delivered through the Continuous Diagnostics and Mitigation program)来支持ISCM持续监控计划(CDM also known as Continuous Monitoring)。通过提供标准化的工具和云服务(CMaaS)的方式,来远程提供服务,解决各个单位自行开发的成本过高,不统一的问题。

  2008年“全面的国家网络安全行动(CNCI)”

  美国公布的目标和现状

  美国公布2013年现状

  爱因斯坦计划

  美国为了面对网络安全攻击,在2004年启动了爱因斯坦计划,目标是在政府网络出口部署入侵检测、netflow检测、入侵防护系统来提供攻击的早期预警和攻击防护,但是鉴于爱因斯坦项目存在一些内容监控(邮件,上网行为)的监控技术手段,被民众指责,随后逐渐淡化宣称。爱因斯坦项目经过十余年的发展,技术逐渐成熟,总体而言,该项目共有3个发展阶段。

  • 爱因斯坦1

  基于流的统计分析技术,2004年启动,通过分析网络的流量信息查找可能的恶意活动,采用政府网络出口路由器的netflow技术实现。

  • 爱因斯坦2

  基于特征的入侵检测系统。可以通过分析网络的流量信息来查找以发现非授权的访问和恶意的内容,这是通过对进出美国政府网络的流量自动进行全封包检查来实现的。当联邦网络流量中出现恶意或可能有害的活动时,爱因斯坦2 能够向US-CERT提供实时报警,并对导出数据提供关联和可视化能力。

  • 爱因斯坦3

  基于威胁的决策系统。采用商业技术和专门为政府开发的技术来对进出行政机关网络的流量实施实时的全封包检查,目标是发现恶意的网络流量并对其进行特征化表示,以增强网络安全分析、态势感知和安全响应能力。由于采用的入侵防御系统支持动态防御,它能在网络威胁造成损害之前对其自动检测并正确响应。爱因斯坦 3还为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力。国土安全部将采纳国家安全局通过外国情报工作以及国防部在信息保障工作中发现的威胁特征,以支持国土安全部的联邦系统安全。

  总体而言,爱因斯坦项目就是DFI(深度流检测)+DPI(深度包)+决策支撑系统,实际上,针对威胁态势感知预警,是目前比较完整的技术架构。除此外,爱因斯坦项目每年约有300左右的维护团体,进行深入的数据挖掘工作。而决策支撑系统是分析师们的成果。


比特微信账号
比特微信账号

微信扫一扫
关注Chinabyte

返回首页 长微博 返回顶部