查看原文
其他

美国积极主动网络空间安全体系建设介绍

无名 中国保密协会科学技术分会 2022-10-02

摘要


在建设兼备防御和威慑能力的网络空间安全体系的国力竞赛中,美国走在了世界前列。从政府主导的“美国国家网络安全综合纲领(CNCI)”和“爱因斯坦计划”等大规模网络安全倡议和项目,到一系列相关法案、政策、指南,再到“斯诺登事件”、“影子经纪人”及维基解密曝光的网络空间进攻体系,反映出美国在网络空间中强大的、体系化的监听、攻击和主动防御能力。长期以来,美国特别重视建设积极主动的网络空间安全架构,重点在主动防御体系、攻击支撑体系、攻击装备体系三大体系上进行技术与装备的变革和发展。

主动防御体系

2010 年,奥巴马政府公开了一份关于 CNCI 的摘要,其中包括“部署一个由遍布整个联邦的感应器组成的入侵检测系统”和“寻求在整个联邦范围内部署入侵防御系统”,即“爱因斯坦 2”(EINSTEIN 2)计划和“爱因斯坦 3”(EINSTEIN 3)计划。“爱因斯坦”计划经历了三个阶段。“爱因斯坦 1”自 2003 年开始实施,监控联邦政府机构网络的进出流量,收集和分析网络流量记录,使得 DHS 能够识别潜在的攻击活动,并在攻击事件发生后进行关键的取证分析。“爱因斯坦 2”始于 2007 年,在“爱因斯坦1”的基础上加入了入侵检测(Intrusion Detection)技术,基于特定已知特征识别联邦政府网络流量中的恶意或潜在的有害计算机网络活动。“爱因斯坦 2”传感器产生大量关于潜在网络攻击的警报,美国土安全部(DHS) 安保人员会对这些警报进行评估,以确认警报是否具有威胁,以及是否需要进一步的补救,如果需要,DHS 会与受害者机构合作解决。“爱因斯坦 2”是“爱因斯坦 1”的增强,系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,使得 美国国家互联网应急中心US-CERT具备更好的态势感知能力。2010年,DHS 计划设计和开发入侵防御(Intrusion Prevention)来识别和阻止网络攻击,即“爱因斯坦 3”。根据奥巴马政府公布的摘要,“爱因斯坦 3”将利用商业科技和政府专业能力相结合的方式,实现实时的完整数据包检测,并能够基于威胁情况对进出联邦行政部门的网络流量进行决策,在危害发生前,对网络威胁自动检测并正确响应,形成一个支持动态保护的入侵防御系统。

攻击支撑体系

美国国防部按照网空行动目的,将计算机网络对抗(CNO)划分为计算机网络防御(CND)、计算机网络刺探(CNE)和计算机网络攻击(CNA),分别对应网空积极防御、网空情报行动和网空军事行动。为支撑上述能力,美国开展了一系列的网络空间进攻性能力支撑体系建设项目,这些项目主要由国家安全局(NSA)负责开发和实施,其中最大的支撑架构称为“湍流”(TURBULENCE,我们在之前介绍“关键得分”X-KEYSCORE项目时曾提到),由多个系统组成,包括主动情报采集系统 TUMULT、被动情报采集系统 TURMOIL、任务逻辑控制系统 TURBINE、进攻性网空行动系统“量子”(QUANTUM)、主动防御系统 TUTELAGE、密码服务 LONGHAUL、数据仓库 PRESSUREWAVE、网络流量分析系统 TRAFFICTHIEF 和信号情报分析系统CLUSTER WEALTH-2 等。这些系统各司其职,共同支撑信息收集、情报分析、积极防御、决策控制、网络作业等网空行动的攻击性行动环节,共同构成了美国强大的网络空间进攻性能力支撑体系。

网络空间攻击装备体系

自 2008 年以来美军已经实施了多次的进攻性网空行动,如针对全球手机监听的“金色极光”(AURORAGOLD)行动,通过收集关于全球移动通讯运营商内部系统的信息,以找到其漏洞,供美国国家安全局 NSA 随后的黑客攻击使用,该计划为美国 2011年对利比亚进行军事干预提供了利方重要人物的通信信息;针对 ISIS 的“发光交响乐”(Glowing Symphony)行动,主要目标是通过关闭、篡改 ISIS 的服务器来控制 ISIS 的网络宣传能力;针对伊朗核设施的“奥运会”(Olympic Game)行动,最终通过“震网”(Stuxnet)蠕虫,成功入侵并破坏伊朗核设施,严重迟滞了伊朗核计划,成为首个利用恶意代码对实体设施造成重大不可逆损坏的事件。这些行动展现了美国在情报作业、进攻行动和积极防御的反制与反击等方面的能力,这些进攻性能力不仅来自于完善的后端支撑体系,更来自于其强大的网空攻击装备体系。

总  结

与传统战争领域相同,网络空间的博弈对抗也要建立客观充分的敌情想定,深入分析敌我当前的体系、能力、态势、装备、编制、战法等相关因素。我们要在未来的博弈竞合中占据主动,既要发挥传统优势和积累,又不能拘泥于原有的视野和惯性;既要把美国作为一个超级网空威胁行为体来对待,又要把其作为一个能力引领方来看待。

参考文献:

[1]美国网络攻击及主动防御能力体系发展综述http://finsec.pingan.com/article/detail/714

[2] 移动目标防御技术综述.张晓玉

[3] 网络主动防御关键技术研究.罗跃斌

[4] 美国网络信息安全战略_发展历程_演进特征与实质.刘勃然

中国保密协会

科学技术分会

长按扫码关注我们

作者:无名

责编:高琪

往期精彩文章TOP5回顾

美国攻击窃密能力背后的顶层架构

美国网络安全体系架构简介

起底突破物理隔离的USB设备攻击窃密技术

通过电力线“搞定”物理隔离计算机

请注意:扬声器、耳机也能窃密了!——Mosquito攻击技术

近期精彩文章回顾

不同类型制造企业的工控安全问题

当边缘计算遇见区块链

利用主动防御技术构筑“变幻莫测”的网络

国内网络主动防御技术现状探讨

构建新型软件定义的主动纵深防御体系

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存