中美网络安全态势感知发展状况

一次性付费进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

一、中国网络安全态势感知政策和发展

1、中国网络安全态势感知政策

随着信息技术的不断发展，网络安全给安全监管部门提出了新的挑战，而且目前我国信息系统安全产业及网络安全法律法规和标准不完善，导致国内网络安全保障工作滞后于信息技术发展。

为提高国家网络安全保障能力，2015年1月公安部颁布了《关于加快推进网络与信息安全通报机制建设的通知》（公信安[2015]21号）。“通知”要求建立省市两级网络与信息安全信息通报机制，积极推动专门机构建设，建立网络安全态势感知监测通报手段和信息通报预警及应急处置体系；明确要求建设网络安全态势感知监测通报平台；实现对重要网站和网上重要信息系统的安全监测、网上计算机病毒/木马传播监测、通报预警、应急处置、态势分析、安全事件（事故）管理、督促整改等功能，为开展相关工作提供技术保障。

2015年5月18日，公安部在北京召开电视电话会议，专题部署国家级重要信息系统和重点网站安全执法检查工作。公安部副部长、中央网信办副主任陈智敏在会议上强调，各级公安机关要充分认识网络安全的严峻形势和加强网络安全工作的重要性、紧迫性，加强国家网络安全通报机制建设，进一步健全完善网络安全信息通报和监测预警机制建设，确保网络安全执法检查工作取得实效。

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法（草案）》，其中明确提出建立网络安全监测预警和信息通报制度，将网络安全监测预警和信息通报法制化。

2015年7月27日，发布《关于组织开展网络安全态势感知与通报预警平台建设工作的通知》。

“没有网络安全就没有国家安全”。网络空间的无远弗届让网络安全风险加大，应对网络和信息安全的挑战必须要有正确的理论作指导。2016年4月19日，习近平主席在网络安全和信息化工作座谈会上提出：“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”

2016年11月7日，全国人民代表大会常务委员会发布《中华人民共和国网络安全法》（下面简称《网络安全法》），从2017年6月1日起实施。法规中明确提出建立网络安全监测预警和信息通报制度，将网络安全监测预警和信息通报法制化。其中，第四十四、四十五、四十七和四十八条均有提及。

2016年12月15日，国务院关于印发《“十三五”国家信息化规划的通知》（国发[2016]73号）中明确提出要全天候全方位感知网络安全态势，加强网络安全态势感知、监测预警和应急处置能力建设。

随着《网络安全法》和《国家网络空间安全战略》的相继出台，在我国态势感知被提升到了战略高度，众多行业、大型企业都开始倡导、建设和应用网络安全态势感知系统，以应对网络空间安全日益严峻的挑战。

2、中国网络安全态势感知的曲线发展历程

我国网络安全态势感知经历了一个曲线发展过程，可划分为萌芽、热潮、低谷、恢复和成熟等多个阶段。

萌芽期：用于进行安全运维和事件管理的SOC/SIEM等类型的产品和技术已经发展了很多年，受限于数据的处理和安全分析能力，始终停留在对大量微观的安全事件告警的处理层面。大数据技术的出现让建立在SOC/SIEM之上、基于大数据的安全分析技术成为现实，这是网络安全态势感知的萌芽期。

热潮期：网络安全行业很快兴起了对网络安全态势感知的炒作热潮，很多人认为这种技术代表了威胁对抗技术的先进生产力，并相信其能够解决大多数安全问题，突破传统安全的瓶颈，几乎所有人都对这种新技术满怀期望、充满信心。这是网络安全态势感知的热潮期。

低谷期：当最初的几款网络安全态势感知产品上市后，其所呈现出的能力让大家比较失望，有的只是对SOC/SIEM产品进行改头换面，有的则沦为展示汇报的“地图炮”，用户在使用过程中发现态势感知系统并没有真正解决安全问题，其能力也不如预期的那么强大，于是对于新技术的评价降到谷底。这是网络安全态势感知的低谷期。

恢复和成熟期：安全厂商和用户坚定不移地继续发展网络安全态势感知产品和技术，能够解决的问题越来越多，技术成熟度也越来越高。尤其是近几年，奇虎360、天融信、绿盟科技和安恒信息等公司的一大批优秀的网络安全态势产品和技术解决方案的出现，以及在国内众多行业和领域的成功应用，使之赢得用户越来越多的好评，逐渐实现了安全能力的落地。这是网络安全态势感知的恢复和逐渐成熟期。

二、国外先进的网络安全态势感知经验

1、美国网络安全态势感知建设方式

在网络安全方面，无论是战略建设还是技术研究，美国都大幅度领先全球其他国家，因此美国在这一方面的建设思路和成熟经验可以作为借鉴。让我们一起看看美国是如何布局其国家网络安全战略和相关行动计划的。

可以从国家战略、政策法案、行动计划等方面对美国国家网络安全建设进行分析研究。美国国家网络安全建设大体上可以分成以下层次，如图1所示。

图1  美国国家网络安全建设层次框架

2、美国网络安全国家战略

美国在网络安全方面的国家战略称为全面的国家网络安全行动（CNCI），如图2所示。2008年1月8日，美国总统布什签署发布了第54号国家安全总统令/第23号国土安全总统令，即CNCI。出台该计划是因为当时的布什总统认为美国网络安全需要一个国家层面的综合计划并付诸实施。该计划旨在保护美国的网络安全，防止美国遭受各种恶意或敌对的电子攻击，并能对敌方展开在线攻击。

图2  2008年“全面的国家网络安全行动”（CNCI）

2010年3月2日，时任美国总统的奥巴马宣布解密其部分内容。据有关报道，CNCI计划总投资300亿～400亿美元，截至2012年年底已经投入资金177.6亿美元。CNCI中包含12个重点领域活动，具体实施由国土安全部（DHS）、国防部（DoD）、国家情报总监办公室（ODNI）、科学和技术政策办公室（OSTP）四个机构负责。

CNCI制定了美国网络安全相关机构建设、运营等工作的方针政策，指导了美国网络安全各项建设计划的实施，可以说CNCI对打造和构建美国网络空间安全具有现实和长远的战略性意义。

3、可信互联网连接

为了应对网络安全攻击，美国在2003年启动了爱因斯坦计划，目标是在政府网络出口部署入侵检测、NetFlow检测、入侵防护系统来提供攻击的早期预警和防护，随后于2007年提出可信互联网连接（TIC）计划，目标是将联邦政府8000个网络出口归并为50个左右。出口整合后，便于进行爱因斯坦计划的统一部署，监控和防护也能做到一体化。

（1）爱因斯坦1

爱因斯坦1计划始于2003年，系统能够自动地收集、关联、分析和共享美国联邦政府之间的计算机安全信息，从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁，并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息，US-CERT能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击，提高网络安全性，提升关键的电子政务服务的弹性，增强互联网的可生存性。

爱因斯坦1的技术本质是根据深度流检测（DFI）来进行异常行为的检测与总体趋势分析，具体地说就是基于xFlow数据的DFI技术。这里的xFlow最典型的一种就是NetFlow，此外还有sFlow、jFlow、IPFIX等。US-CERT通过对联邦政府机构的网络出口路由器进行流量抽取，采集这些流量的Flow信息并进行分析以获悉网络安全态势。

（2）爱因斯坦2

爱因斯坦2计划是爱因斯坦1计划的增强，始于2007年，该系统在原来对异常行为分析的基础上增加了对恶意行为的分析能力，以期使得US-CERT获得更好的网络态势感知能力。同时，爱因斯坦2计划将配合美国政府的TIC（可信互联网连接，旨在减少和收拢联邦政府机构分散的互联网出口）计划一起实施。

而实现该恶意行为分析能力的技术是网络入侵检测技术，爱因斯坦2对进出美国政府网络的TCP/IP通信数据包进行深度包检测（DPI）以发现恶意行为（攻击和入侵）。爱因斯坦2计划主要以商业的IDS技术为基础进行定制开发，而特征库既有商业的，也有US-CERT自己的开发版。爱因斯坦2计划中的特征库是US-CERT精选的，做到尽可能少。当联邦网络流量中出现恶意或可能有害的活动时，爱因斯坦2能够向US-CERT提供实时报警，并对导出数据提供关联和可视化能力。

（3）爱因斯坦3

从2008年开始，美国政府启动了CNCI，其中就包括爱因斯坦3计划（又称为“下一代爱因斯坦计划”）。目前，该计划披露的信息甚少。从掌握的信息看，爱因斯坦3计划的主要技术支撑是IPS。

根据CNCI中的TIC，提出了TICAP（可信互联网连接访问提供商）的概念，即将为联邦政府提供网络接入的ISP也纳入其中，如AT&T公司，由TICAP将政府网络的流量有选择性地镜像并重定向出来，供US-CERT对这些流量进行入侵检测与防御分析。根据爱因斯坦3计划，美国国土安全部希望最终能够将TIC与爱因斯坦计划融合起来，使之成为联邦政府网络基础设施的基本保障。

4、信息安全持续监控

信息安全持续监控（ISCM）是对信息安全、脆弱性和威胁进行持续的评估，以支撑组织的风险管理决策。由于信息安全建设和安全防护运维的持续性，美国联邦政府越来越强烈地意识到“一次性”的安全建设不能够保证自身网络的持续安全。因此2010年的《联邦信息安全管理法》（Federal Information Security Management Act，又称FISMA 2.0）要求各机构的信息安全方案中必须包含信息系统的持续监测，修复有漏洞且不合规的项目，并根据联邦要求出具报告。报告每月自动化提交，并成为政府绩效评定的重要标准。

5、可借鉴的经验

通过研究美国的安全建设可以看出，美国通过TIC（可信互联网连接）来进行网络整合，便于统一进行高质量的安全监控和防护；利用爱因斯坦计划进行深度包检测（DPI）和深度流检测（DFI），以提高安全态势感知能力；开展持续监控计划，针对资产、漏洞、配置实施有体系的持续监控。

从美国对爱因斯坦计划的持续投入可以看到，网络空间安全的态势感知对于国家、行业有多么重要的意义。虽然我国的网络安全技术水平较美国有较大的差距，但可以利用我国现有网络信息安全技术，同时借鉴美国成熟的建设思路和实践经验，建设适合我国的网络安全态势感知系统。

三、网络安全态势感知建设意见

要完成网络安全态势感知的建设目标，既需要采集多源异构的安全数据，也需要通过数据/事件检测分析平台进行检测分析，同时也离不开安全分析师的人工专业分析。可以说，鉴于目前的技术水平，以及人工智能还处于初级阶段，网络安全分析师是态势感知的最重要部分，是确定网络安全态势感知项目成败的关键因素。成功的网络安全态势感知系统必须考虑到人工分析的因素，引入专业的安全分析师来进行辅助分析，并通过提供好的平台工具和流程来支撑他们高效完成工作。

网络安全态势感知是综合性安全能力建设，涉及很多方面，如数据源、大数据平台、多类型检测分析引擎、可视化、资产管理、安全分析师团队建设等，是一个复杂的系统工程，不可能一次到位，其建设过程需要明确建设目标、掌控关键性因素、分阶段开展。以下是一些阶段性建设意见。

第一阶段：搭建网络安全态势感知所需的基础工具和平台。主要包括多源异构数据的采集汇聚平台、数据分析处理平台、多类型检测分析引擎、态势可视化呈现以及资产管理平台等，当然还有安全管理团队的组建，这些基础性必备要素能支持一个组织内部网络的完整安全运营。

第二阶段：建立纵向支撑体系和情报数据共享体系。主要包括纵向恶意代码分析中心、增强的数据/事件分析中心、纵向威胁情报中心和一定的情报共享机制等。恶意代码分析和重大事件分析是需要高水平的安全分析师进行分析的，利用纵向的建设和集中这些资源，能够更快地提升网络整体运营水平。纵向威胁情报中心能够收集、整理并分发内部情报信息；而情报共享机制能够保障信息在行业内部以及公安、网信等部门的同步，通过内外结合，组织能够对整个行业面临的威胁有一个更精准、全面的掌控。

第三阶段：建立自动化、体系化的主动动态防御能力。该阶段是最理想的也是最高境界。随着基础平台和工具的完整搭建、纵向支撑体系和情报共享体系的增强，再加入自动化配置手段和高级人工智能的分析预测能力，进而全面提升对各类安全事件体系化的主动动态防护能力，更快速、更高效地识别、处理攻击事件和恶意行为并预测未来发展趋势，真正地为组织的网络安全运营保驾护航。

最后，谈一下如何判断所建设的网络安全态势感知系统是否提升了网络安全防护效能，真正解决了安全问题，这就涉及响应处置了。我们建设网络安全态势感知系统和进行安全运维的目标是降低MTTD/MTTR（平均检测时间/平均响应时间），安全人员始终在与攻击者赛跑：在攻击者进行针对性的攻击之前，完成防御策略的调整，阻断或者迟滞其攻击；在已经潜入内部的攻击者盗取数据、造成破坏之前，识别和发现它，并立即评估可能造成的损失范围和程度，及时响应和处置，避免造成真正的损失。因此，高效、及时的处置动作完成后才算完成闭环，才算真正解决了安全问题。态势感知必须与响应处置结合，这样才能有效提升网络安全防护效能，从而实现安全落地。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】