长沙,浏阳河。2018年11月
一、态势感知协调运行机制
美国国家网络安全综合计划(CNCI)中规定,由国土资源部(DHS)内的国家计算机安全中心(NCSC)通过协调和综合来自六个中心的信息,提供横跨六个中心的态势感知与分析,并报告美国在情报、国防、国土安全、司法等方面的网络和系统状态,以促进合作与协调。
六个中心在态势感知、公共-私有协调、国防、对外情报的某些方面具有优势,六个小组之间通过通信、信息共享或通过联络员建立联系,国家计算机安全中心(NCSC)从这六个中心中创建跨域的态势感知系统。
六个中心分别是情报界-事件响应中心(IC-IRC)、威胁行动中心(NTOC)、US-CERT、联合任务组-全球网络行动中心(JTF-GNO)、网络空间犯罪中心(DC3)、国家网络空间调查联合任务组(NCIJTF)。每个中心具体介绍如下:
0、国家计算机安全中心(NCSC)
国家计算机安全中心(NCSC)隶属于DHS,涉及国土、情报、国防和司法四个领域。NCSC采用全天候(24h × 7)的工作模式,制定政策报告,基于已有威胁制定缓和措施,评估网络空间状态;协调和综合其它六个中心的信息,提供横跨部门的态势感知与分析,并提供美国在情报、国土安全、国防和司法等方面的网络和系统状态。NCSC的核心竞争力主要体现在国防和态势感知两个方面。
1、情报界-事件响应中心(IC-IRC)
IC-IRC隶属于ODNI,涉及情报领域。IC-IRC采用全天候(24h × 7)的工作模式,以信息的共享与收集,提供对外威胁分析,帮助获得关于网络空间攻击的特征;管理和监控情报中心网络,对网络空间安全威胁进行分析,分析不同事件之间的关联性,并给出报告。对网络空间起到预警作用。IC-IRC还会定期对信息通信技术系统进行网络空间演习,一便更好地为网络空间安全服务。IC-IRC的核心竞争力主要体现在国防、态势感知和对外情报三个方面。
2、威胁行动中心(NTOC)
NTOC隶属于NSA,涉及情报和国防两个领域。NTOC与NIST、US-CERT及JTF-GNO进行合作,协调组织负责信息系统安全响应事件;评估信息,以检测出网络空间的威胁和漏洞,制定相应的缓和措施;与DIA一起合作分析威胁信息源;出版安全配置指南,提供网络空间安全演习基地。NTOC的核心竞争力主要体现在国防和对外情报两个方面。
3、美国计算机应急准备小组(US-CERT)
US-CERT隶属于DHS,涉及国土安全领域。US-CERT为联邦、州和地方实体提供全天候(24h × 7)的服务支持,与私营部门就事件处理和分析进行合作,与国内外的CERT组织合作,为公共、各级政府和私营部门提供交流合作平台;监控政府网络中不同来源的网络空间安全事件;收集和记录与政府网络有关的网络空间事件或公共需求;建立TIC和爱因斯坦计划,分析所有爱因斯坦计划的数据,提供数据分析、恶意软件分析和相关漏洞评估,分析政府网络系统中异常和入侵行为,以保护和完善美国联邦网络。US-CERT的核心竞争力主要体现在态势感知和公共-私有协调两个方面。
北京,首都机场。2019年2月
4、联合任务组-全球网络行动中心(JTF-GNO)
JTF-GNO隶属于DoD,涉及情报和国防两个领域。JTF-GNO主要为全球信息栅格(GIG)系统运行制定政策框架;监控DoD网络,检测漏洞,识别新兴技术和相关威胁,并分析DoD系统中的异常和入侵检测行为;为所有的网络作战(NetOps)中心提供事件报告和可能的相应措施。JTF-GNO的核心竞争力主要体现在态势感知和国防两个方面。
5、网络空间犯罪中心(DC3)
DC3隶属于DoD,涉及情报、国防、司法/反情报三个领域。DC3主要为国防犯罪调查组织提供调查结果,国防计算机取证实验室通过开展这些调查,获取媒体的数字取证结果,进行数字取证情报工作,提供反情报分析和诊断服务;为国防网络空间犯罪研究所提供关于计算机取证方面的公认标准、工艺、方法、研究工具和技术,以满足DoD目前和未来的需求。DC3的核心竞争力主要体现在国防方面。
6、国家网络空间调查联合任务组(NCIJTF)
NCIJTF隶属于FBI,涉及情报、司法/反情报两个领域。NCIJTF采用全天候(24h × 7)的工作模式,主要制定信息战的全球战略,为已有机构的集中协调创建策略框架,制定新的措施;监控并分析所有的源数据,识别情报之间的不同;收集和综合入侵相关活动的普通活动照片,找出危害国家安全的计算机网络;针对一些与网络空间安全相关的产品进行调查,进行反情报威胁的响应;对于网络空间安全的威胁进行及时中断连接和响应。NCIJTF的核心竞争力主要体现在态势感知方面。
根据美国2010年发布的《国家网络空间安全事件响应计划》(NCIRP),为有效地了解网络空间中的风险,要求各部门和局、各机构每日对识别的威胁、漏洞和潜在影响进行共享。DHS通过NCCIC负责集成和维护国家级的通用态势图(COP)。COP提供跨域的态势感知信息,是一张不断更新的全面的网络威胁、漏洞和影响图,包括即时事件的标识和预警。
态势感知图的信息来源较广,包括联邦部门和局、国家安全界和情报界、司法界(包括联邦、州和地方司法部门)、各公司部门、公开信息源、网络空间安全提供商。实时的态势感知情况将会被提供给国家基础设施协调中心(NICC)和国家行动中心(NOC)等。尽管态势感知图是网络事件响应活动的基础,但网络空间中有效的网络事件响应活动需要实时、准确的态势感知协调。
本文相关链接:
声明:本文来自微言晓意,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。