網路空間（Cyber）態勢感知體系發展

                     ----看美國網路安全戰畧演進

編者按：美國是Internet的締造者，其理所當然的成為了這片廣袤領域的“掘金者”；然而，當時光的指針推送大家來到「互聯網時代」，由美國操縱的那個曾經“天真無邪”的Internet已經發展成為了攝人心魄的「魔戒」，它的主人（美國）的欲望也隨之貪婪無度的增長，甚至希望能夠佔據Cyber空間中的一切！托「NSA前雇員.斯諾登」的貢獻，我們才能够窺探到美國在Cyber領域控制欲望的無限生長。本文，從美國「網路空間Cyber態勢感知體系」演進的角度，分析一二。

根據美國資訊安全發展的脈絡，本文作者收集並整理了自1998年到2018年，美國的與「安全感知」相關的11份重要文件，如下表所示：

年份

名稱

主要目標

組織

1998

保護美國關鍵基礎設施

PDD-63總統令

對關鍵基礎設施建立基本保護能力

（通過部署安全閘道類、終端類產品）

白宮

1998

資訊保障科技框架IATF

宣導：縱深防禦；安全保障能力

NSA

2002

聯邦資訊安全管理法FISMA

1.關注聯邦政府網路安全

2.對網絡進行分級，實行不同的安全性原則

司法部

2007

國家網路安全綜合計畫

CNCI

1.聯邦政府網絡集中接入（TIC計畫）

2.網內數據深度稽核、分析

白宮

2012

PLAN X

快速繪製Cyber地圖

提供高效網絡作戰能力

DAPRA

2012

SHINE

本土關鍵基礎設施網絡組件安全態勢感知

DHS

2012

藏寶圖計畫

Treasure Map

1.全網態勢感知（己方、敵方）

2.公共作戰地圖支撐（COP）

3.全網偵察

4.攻擊/刺探效果評估

NSA

2011

網路空間行動戰畧

首次提出網路空間“積極防禦”的概念

國防部

2015

網路空間戰畧

要有能力破壞敵方網路系統、關鍵軍事設施和武器裝備

國防部

2017

2018財年國防授權法案

明確授權美國國防部“可在外國網路空間中採取適當規模的行動以實現擾亂、挫敗及威懾等目的”。

國會

2018

網路空間戰畧

可以通過網絡，對外國行動方通過網絡手段對美國國防、關鍵基礎設施等造成損害的行為進行反制行為。

國防部

上述11份檔案，構成了美國在「Cyber安全感知領域」比較完整的文字表述，後文會以這11份檔案為基礎，逐步分析美國資訊安全戰畧的逐步演進。

本階段主要跨越1998—2002年，以上節錶中前3個基本檔案為政策基石，宣導建立基本防禦體系（包括：基本資訊安全設備、安全性原則以及相關專業人員，主要針對本土關鍵基礎設施&聯邦政府網絡）。

在這個階段，由於美國和歐洲剛剛經過了互聯網經濟大發展的黃金10年，資訊技術已經很大程度的改變著人們的生活，不過另一方面，這也像打開了一個潘朵拉魔盒，資訊安全問題也源源不斷的湧了出來，各種蠕蟲（Nimda、CodeRed….輪番登場）、DoS、濫用充斥著互聯網。

所以，在1998—2005年，美國全力應付這些由一群愛好者們（ScriptKid）驅動的，現在看來十分“幼稚”的攻擊方法，主要的應對策略便是：

1.依據PDD-63總統令，要求關鍵基礎設施部署必要的資訊安全設備；

2.依據IATF，建立「資訊安全保障框架」，主要包括部署縱深防禦的硬體設備和建立一套完善的安全保障管理機制；

3.依據FISMA法案，要求美國聯邦政府網絡嚴格實施上述兩個方案。

本階段小結：這一階段，美國DOD還開發了資訊安全領域比較重要的「彩虹系列檔案」，其中的橘皮書就是現在被廣泛應用的CC的前身（GB/T18336），綜合這些計畫，美國的總體目標就是建立應對傳統資訊安全威脅的科技和管理能力，這些基本能力為日後的Cyber態勢感知能力構建打下了深刻的基礎。

本階段主要跨域2005—2010年，以第一節錶中第4個檔案為基石，宣導在本土Federal範圍內建立完備的數據截獲、分析能力，並建立國家級資訊安全運營中心，將被動監控的數據進行實时分析、並展示。

在這個階段，由於剛剛經歷過9.11恐怖襲擊事件，而且一大批Internet科技較為落後的國家已經迎頭趕上（如90年代末---2005年左右，是中國Internet大發展階段，SinaSOHUNetEaseBaiduTencent…），使得資訊安全領域又多了一些“壞小子”。

所以，在2005---2010年，美國推出了號稱美國「資訊安全領域的曼哈頓計畫」的龐大國家計畫，以應對互聯網上所謂的一些“恐怖組織”。據相關資訊介紹，CNCI計畫總投資將達到300—400億美元。其主要的子項目如下：

1. TIC計畫（Trusted Internet Connection）

本計畫強力推進Federal網絡集體接入，要求“各機构，無論是作為TIC訪問服務供應商，或作為通過聯邦總務局管理的Networx契约的商業性託管可信IP服務（MTIPS）供應商”，一律參與TIC計畫。

2.愛因斯坦I II III計畫

本計畫對通過TIC集中接入的網絡做數據捕獲和深入分析：

（1）I階段，聯合US-CERT，應用基於Flow（NetFlow）的DFI科技進行資料分析；

（2）II階段，應用DPI科技進行惡意行為發現（本質來說是IDS）；

（3）III階段，應用FPI科技，並擴展Sensor位置，前置到ISP的IDC中。

本階段小結：這一階段，美國已經開始逐步構建自己的態勢感知體系，借助第一階段所輸出的安全保障能力（這裡主要指代安全設備）和商業領域剛剛發展起來的SIM &SEM科技，將大量的日誌、流量監控起來，形成基本的態勢感知體系（由於這裡的感知源都是被動獲得，所以這裡姑且稱它為「態勢感知體系1.0」）。

本階段主要跨域2010—2015年，以第一節錶中第5、6、7號檔案為基石，宣導進一步加固關鍵基礎設施網絡組件（動因：工業4.0的發展&工業駭客攻擊科技的發展）&主動的探測能力和快速回應、作戰能力。

在這個階段，一方面發生了以Stuxnet、Havex為代表的瞄準「工業控制系統」的攻擊事件，另一方面「克裡米亞事件」、「美伊霍爾木茲海峽對峙」、「釣魚島事件」等，讓戰火的硝烟幾度甚囂塵上。這些事件讓美國已經不滿足於，被動的監測、感知。

所以，2010年以來，為了應對局勢變化，展現其大國威懾，接連推出了3個重量級的計畫（本部分計畫附件中進行了詳細介紹）：

1.依據SHINE計畫，DHS會定期監測本土關鍵基礎設施網絡組件的安全狀態；

2.依據X計畫，DAPRA會為網路戰部隊提供戰場地圖快速描繪能力，並輔助生成作戰計畫，從而推動網絡作戰效率和能力；

3.依據TreasureMap計畫，NSA會形成對全球的多維度資訊主動探測能力，從而形成大規模情報生產能力。

本階段政策性檔案主要跨越2011—2018年，以第一節錶中後4個檔案為基石，宣導主動防禦、溯源反制（動因：2012-2015年，美國發生了現任和退休聯邦雇員超過2210萬相關個人資訊和560萬指紋數據遭到洩露，以及美國參院委員會認定“俄羅斯干預美國總統選舉”等事件，推動美國防部决心推動網絡威懾手段）。

在這個階段，美國的國家戰畧逐漸從“積極防禦”轉變為“攻擊威懾”。在網絡進攻方面，存在NSA和CIA身影的Stuxnet工業病毒和WannaCry勒索病毒都對全球網絡造成了十分嚴重的危害；在溯源反制方面，推動洛克希德馬丁和Mitre開發KillChain和Att&CK模型，促進威脅情報標準Stix/Taxii等的落地，强化APT發現能力。並利用FireEye、Mandiant等機构曝光系列APT攻擊事件，形成網絡威懾。

其實，美國很早就開展溯源反制的科技研究。2002年，美國國防部就資助卡內基.梅隆大學相關研究，並形成《追踪溯源網絡攻擊的技術挑戰及全球戰略》的成果；2003年，DARPA資助美國北卡羅來納州州立大學，研究基於數字浮水印科技的網絡追踪溯源科技；2006年，美國聯合高級研究開發計畫（ARDA）資助CS3公司完成STARDECK追跡溯源系統研製；2009年，DARPA開展“網絡基因組計畫”，旨在自動高效地實現對惡意程式的識別及設計者的確認。

縱覽美國的“3+1步戰畧”，我們可以看到美國資訊安全戰畧從“基礎建立”的「Cyber安全態勢感知基本組件構建階段」，到“監聽感知”的「Cyber安全態勢感知基本能力構建階段」，再到“探測感知”的「Cyber安全態勢感知擴展能力構建階段」，最後到“溯源反制”的「Cyber安全態勢感知溯源反制能力構建階段」的演進歷程，也表明了美國的國家資訊安全戰畧從被動保障---主動威懾的變化過程。

這期間，從第1階段到第2階段，跨越了美國人權、平等的基本價值觀；從第2階段到第3階段，跨越了對全人類隱私權利的基本尊重；從第3階段到第4階段的穿越，跨越了對各個國家網絡主權的基本尊重。

作為充滿正義感的地球人，當看到已經被魔戒迷失了自己的霍比特人貪婪而發狂的吞噬一切的時候，好吧，是時候了，「白袍薩魯曼」（自己的「Cyber安全態勢感知體系」），該你登場了！來捍衛我們美麗的地球，美好的家園！

PS：本文僅從國家政策角度描述了美國網路安全國家戰畧的變化，其實筆者認為，在這樣漫長的發展歷程中，美國的產業界也發揮了非常巨大的作用，後面有機會的話，會換個視角再分析下。

本文純屬作者個人臆想，如有不當，還望不吝指正，謝謝！

附件：“藏寶圖計畫”、“X計畫”、“SHINE計畫”介紹

1. NSA----藏寶圖計畫

1.1負責組織：NSA（美國國家網路安全局）

1.2可支撐任務：

（1）網絡態勢感知（包括己方&敵方網絡）

（2）公共作戰影像（COP）

（3）網絡偵察

（4）效果評估

1.3項目用戶：“五眼”（美國、英國、加拿大、澳大利亞、紐西蘭）合作夥伴，JWICS（全球聯合情報交流系統）的相關用戶。

1.4本項目主要關注點：對網際空間多層（地理層、實體層、邏輯層、社交層）

數據的捕獲及快速分析，從而形成的大規模情報生產能力。

1.5自我更新效率：每90天交付新功能&每天更新30G+數據

1.6數據來源：

（1）BGP、AS資訊（IP空間、AS從屬關係、BGP路由條目）

（2）路由資訊（TraceRoutes管道進行探測，每天錄入約1800w條資訊）

（3）Whois資訊（注册資訊、DNS資訊）

（4）指紋資訊（作業系統&軟件特徵，每天採集3-5kw ip資訊）

2. DAPRA---- X計畫

2.1負責組織：DAPRA & I2O（Information Innovation Office，資訊創新辦公室）

ps:I2O主要負責以國家安全視角，研究“足以改變遊戲規則”的資訊技術，從而為未來新型作戰模式提供必要思路和相應工具。

2.2項目名稱：基礎網路戰（Foundatinal Cyberwarfare，Plax X）

2.3申請時間：截止到2013.2.25

2.4本項目主要關注點：對網絡戰場地圖的快速描繪，並輔助生成並執行作戰計畫，並將作戰結果迴響中樞指揮機關，從而推動網絡作戰效率和能力。

2.5項目週期：X計畫設計為4個1年的開發階段，每個階段包含4個開發螺旋（其中每個螺旋包含6周的開發& 1周的稽核）。

2.6主要內容：

（1）網絡戰場地圖：包含兩類資訊（邏輯拓撲&中繼資料）

ps:此為基礎數據層，是X計畫的主要支撐；

 關鍵組件：網絡戰場地圖生成引擎&端到端網絡戰場地圖感知平臺

（2）操作單元：包含兩個平臺（終端節點—單兵作戰版&支持平臺—集團作戰版）

ps:此為平臺層，是X計畫的應用入口；

 關鍵組件：網絡作戰計畫（CFG）自動生成框架& CFG自動執行框架

（3）能力集：包含三類能力（可達&功能&通信）

ps:此為應用層，是X計畫的基礎科技組件庫；

    關鍵組件：RootKits、keyloggers、network scanner、DOS等。

3. DHS----SHINE計畫

3.1負責組織：DHS下屬ICS-CERT（工業控制系統網絡應急小組）

3.2項目名稱：SHINE（SHodan INtelligence Extraction）

3.3參與人員：Bob Radvanovsky & Jake Brodsky

3.4本項目主要關注點：網際空間中存在的美國本土關鍵基礎設施行業相關設備，的網絡可達及安全態勢。

3.5覈心組件：網際空間搜尋引擎（Shodan）

3.6現時取得的成果：從最初的46w的初始IP庫作為輸入，進行ICS相關性過濾，最終過濾到7200存活並存在弱點的設備。

文/網信君

軍民共築網絡國防，捍衛共同網上家園