导读
美国持续诊断与缓解 (CDM)项目,是国土安全部(DHS)国家网络空间安全保护系统(NCPS)计划三大项目之一。360智库对CDM项目进行了深度研究和剖析。
1 项目背景
DHS认为要进行有效地网络安全风险管理需要进行纵深防御。除了在边界安全上部署爱因斯坦,还需要在联邦政府网络内部部署CDM。
CDM项目有2个作用。一是使得各联邦机构获得对自身网络的态势感知,认清风险,并优先处置重要的安全问题;二是通过国家统一运营中心(NCCIC),对联邦政府各机构的安全态势感知进行汇总,从国家层面及时、有效地识别系统性的安全风险。
CDM项目有4项关键能力。一是传感器实时向数据中心传输安全数据;二是实现分钟级的安全脆弱性评估;三是实现全国及各联邦机构的网络安全态势评估;四是不断降低美国联邦政府机构的网络风险。
2 CDM项目四层架构
CDM项目采用A-B-C-D四层架构设计,如下图所示。
A层分布式信息收集。它包含安全数据收集工具和安全数据传感器,与底层硬件和软件组件一起部署在联邦机构的信息系统基础设施中。
B层数据整合与预处理。支持数据集成和规范化,为CMaaS(Continuous Management as a Service)数据收集系统编排操作控制点。
C层是机构数据中心。它是联邦机构与联邦数据中心唯一(权威)连接途径,并从B层接收机构数据。
D层联邦数据中心,是国家级数据中心。它存储全国联邦机构的安全数据,并向各联邦机构下发标准和策略。
图-1 A-B-C-D概念架构
在底层机构数据中心层面,安全人员将能够识别、分析和解决优先级漏洞。然后,联邦数据中心将各底层机构的数据进行汇总。这些汇总数据将用于为整个联邦机构的系统性网络安全风险做出战略决策。
3 CDM项目建设四个阶段
CDM项目共分为4个阶段,目前刚刚进入第3阶段。
图-2 CDM四个发展阶段
阶段1(2013年-2015年)管资产:“网络上有什么?”
该阶段收集网络资产4类数据,包括设备数据、软件数据、安全配置数据和软件漏洞信息。
阶段2(2015年-2017年)管人:“谁在网络上?”
该阶段管理网络用户4项内容,包括帐户/访问/托管权限、人员访问权限可信度,凭据和身份验证安全相关行为。
阶段3(2017年-)管事件:“网络上发生什么事?”
该阶段包含4项功能,包括网络事件响应,确保安全软件发挥作用,网络操作和行为溯源,最终能够处置安全事件并防止在网络中传播。此阶段从资产管理转向更大规模和动态的安全控制监控
阶段4 管数据:“如何保护数据?”
该阶段基于收集的海量安全数据做评估,针对总体目标,持续识别网络安全风险,确定风险优先级,确保率先解决最严重问题。
4 主要依托民营企业共建CDM项目
图-3 民营企业参与CDM计划
目前约有130多家民营企业参与到CDM计划中。第1阶段,民营企业提供了7.3万项技术和产品;第2阶段,提供了2.5万项技术和产品;将在第3阶段提供6.8万项技术和产品;将在第4阶段提供7.7万项技术和产品。对应CDM项目四层架构,典型企业及其提供的技术和产品如上图所示。
2018年以来,美国CDM项目加大了吸纳民营企业参与的力度。
2月,博思艾伦公司赢得6.21亿美元的合同,成为CDM的主要承包商,共为13个联邦部门和机构提供网络安全软件,保护400万台计算机,针对事件响应和自动化提供技术支持。
2月,CACI公司赢得4.07亿美元的合同,在机密和非机密IT运营环境中支持CDM,从而提高各种应用和系统的可用性和安全性。CDM服务将与更广泛的DHS任务集成,并增强现有的部门范围的IT功能。
7月,CGI公司获得了5.3亿美元的合同,专注于云计算安全防护。该公司业务涉及IT咨询和外包服务及其相关产业。
8月,博思艾伦公司获得10.3亿美元的网络任务订单,迄今为止是CDM项目中最大的任务订单,用以支撑联邦政府六大重要机构。该订单主要为有权访问敏感系统的机构员工建立更多保护措施,增加网络访问控制,以及加强云环境中的安全性。
8月,RedSeal公司获得项目合同,负责漏洞管理和事件响应。在漏洞管理方面,结合扫描结果,进行漏洞优先级评估;在事件响应方面,能够识别风险,确定风险级别,判断可能存在哪些系统风险。
9月,ManTech公司获得6.68亿美元的合同,面向9家CDM机构,提供移动安全、云安全、网络安全以及加密服务。
5 建立我国的“CDM项目”启示
借鉴美国CDM项目的先进做法,建议由政府部门牵头,联合我国网络安全领域具有技术优势的民营企业,建立我国的“CDM项目”-政务安全大脑。
建立我国政府部门网络安全整体防御系统-政务安全大脑。我国政府部门网络安全防护还是比较碎片化、条块分割,各守自己的“一亩三分地”,网络安全软硬件系统之间互不兼容,无法协同联动,没有形成防御合力。建议由相关部门牵头,面向全国政务网络,利用“大数据+人工智能+专家智慧”,建设我国政务网络分布式智能防御系统,即“政务安全大脑”,实现对高级威胁的实时监测、智能预警、自动处置和精准溯源。
国家层面统一网络安全大数据。目前终端和网络上的网络安全设备种类及品牌五花八门,大家都只掌握自己的局部信息,也只关心局部的安全问题,安全信息无法有效共享,安全大数据分散,无法感知整个网络的态势。建议由安标委牵头设立安全大数据统一标准,便于数据共享和分析,或者统一安装一套网络安全工具,将安全大数据上传至政务安全大脑。
依托民营企业建设政务安全大脑。美国CDM项目之所以布局周密、建设快、效果好,一个关键因素是投入大量资金,引入民营企业为其服务。仅是2018年1月至8月,美国就投入了33亿美元建设CDM项目,平均每项合同金额不少于7亿美元。目前,共有130多家全球领先的美国本土网络安全企业为CDM项目服务,已提供了15万项核心技术和产品。建议我国由政府部门牵头,吸纳网络安全领军民营企业的先进技术、产品和服务,高投入、高标准的来建设政务安全大脑。
声明:本文来自360智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。