您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

揭秘美国网络安全体系架构

时间:2019-12-06 13:25:34  来源:  作者:

网络安全体系是一个复杂且综合的系统工程,涵盖了安全组织体系、安全技术体系和安全管理体系。

美国作为拥有最复杂的信息网络的国家之一,平均每5年就会出新的网络概念、新的网络架构和新的网络建设计划。关于美国的网络安全体系架构是怎么样的?其如何贯穿在美国的网络安全计划中、落实到具体机构的?带着这些困惑,和笔者一起,揭秘美国的网络安全体系架构。

 

安全体系模型

开头,先聊聊安全体系模型。国家级的网络安全体系必然不是一蹴而就,要探究如此庞大的体系架构,还是要理论先行。

过去几十年,美国提出了多个网络安全体系模型和框架,比较经典的如PDRR模型、P2DR模型、IATF框架和黄金标准框架,都广为人知并被国内广泛应用。

 

P2DR模型:基于时间的动态安全循环

安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。

20世纪90年代末,美国国际互联网安全系统公司ISS)提出了基于时间的自适应网络安全模型P2DR,该模型最大的特点是可以进行量化与数据证明。在使用加密、防火墙等静态防御工具的同时,P2DR模型利用检测工具来评估系统的安全状态,通过安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response),达到一个动态的安全循环。

 

PDRR模型:强调修复能力

这个阶段,安全的概念开始从信息安全扩展到了安全保障。由美国国防部提出的PDRR模型,集防护(Protection)、检测(Detection)、恢复(Recovery)、响应(Response)于一体,更强调自动故障修复能力。

 

IATF框架:纵深防御

IATF由美国国家安全局(NSA)制定并发布。通过将信息系统的信息保障技术层面划分成4个焦点域,局域计算环境、区域边界、网络和基础设施、支撑性基础设施,再在每个焦点域内,描述其特有的安全需求和相应的可控选择的技术措施,将信息基础设施的防护扩展到多层。

直到现在,IATF仍在不断完善和修订。

 

黄金标准框架:能力整合

2014年6月,NSA发布《美国国家安全体系黄金标准》(Community Gold Standard v2.0,CGS2.0)。可以说是基于美国国家安全系统信息保障的最佳实践。

黄金标准框架强调网络安全四大总体性功能:治理(Govern)、保护(Protect)、检测(Detect)和响应恢复(Respond & Recover)。值得注意的是,该框架没有给出解决方法,而是按照逻辑,将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在了一起,给出方法而不是”标准答案“。

虽然框架一直有所调整,但防御、检测、响应和恢复始终是核心所在,因此,就以 PDRR 模型为对照,看看美国网络安全体系如何在各机构层面铺开。

 

防护

关于网络空间安全防御,由于其涉及面非常广泛,加上很多内容作为机密文档并不公开,所以这里只是简单地介绍了美国在防御一块的所做的一些努力。

首先,近年来,美国组织了一些大规模的国家计划和战略,比较典型的就是国家级演习计划(下文会详细提及)。

此外, CNCI也是美国构建国家网络空间安全防御协调机制不能忽视的一个点。9·11事件后,美国于 2008 年发布第 54 号总统令,旨在从国家层面建设一个的综合的网络空间安全防御系统,核心即实施 CNCI。虽然CNCI自签署以来,因涉及国家安全的原因被列为高度机密,但从2008年底公开的12 项计划对其防护覆盖范围之广可见一斑。

 

CNCI :12个子计划

通过可信因特网连接(TIC)把联邦的企业级规模的网络作为一个单一的网络组织进行管理;

部署一个由遍布整个联邦的感应器组成的入侵检测系统;

寻求在整个联邦范围内部署入侵防御系统;

对研发工作进行协调并重新定向;

把当前的各网络行动中心相互连接起来,加强态势感知;

制定和实施一个覆盖整个政府部门的网络情报对抗计划;

增强涉密网络的安全;

扩大网络安全教育;

定义和制定能“超越未来”的持久的技术、战略与规划;

定义和发展持久的遏制战略与项目;

建立全方位的方法来实施全球供应链风险管理;

明确联邦的角色,将网络安全延伸到关键基础设施领域。

 

检测/态势感知

根据 CNCI,由 DHS 内的 NCSC 协调和综合来自六个中心的信息,从而提供横跨六个中心的态势感知与分析,并报告美国在情报、国防、国土安全、司法等方面的网络和系统状态。

揭秘美国网络安全体系架构

注:NCSC 隶属于 DHS,7x24小时全天候工作,制定政策报告,基于已有威胁制定缓和措施,评估网络空间状态,其核心竞争力主要体现在国防和态势感知两个方面。

 

响应

响应部分,可以通过一个简单的思维导图来看。美国针对安全事件的响应机制分为4个层面,国土安全、情报、国防和司法,每个领域由专门的机构来负责。

揭秘美国网络安全体系架构

为什么要划分开来?对于美国,包括其他国家来说,单一的个人或是组织完成一个重大网络空间事件的响应工作显然是不现实的,各机构的协调是必须的。基于协作的理念,2010 年,美国针对全美国各个机构、国际合作伙伴之间在应对网络空间安全事件时的协调和稳定运行问题,制定了 NCIRP——非战争状态下,由 DHS 主导的对国家级网络空间安全事件的应急响应。

揭秘美国网络安全体系架构

而NCCIC作为DHS的一个协调中心,其响应的信息来源分为2块:

1、与其有合作伙伴关系的机构通过特殊渠道共享的网络空间安全事件信息源;

2、自有信息源。

这些信息经过汇总和自身的COP——传输给 NCRAL 系统进行评估——NCRAL 系统在风险评估信息源和态势感知专项指导的参与下给出评估结果:常态事件或重大网络空间安全事件。

针对常态事件,CyberUCG 可以给出响应措施,并把这些响应措施反馈给与 NCCIC 有合作关系的机构或组织;

针对重大网络空间安全事件,DHS 中负责网络和通信的副部长负责直接与 NCCIC 协调召集组成 CyberUCG IMT,进行响应,并把响应措施通过特殊渠道反馈给与 NCCIC 有合作关系的机构或组织。

 

恢复

恢复,是安全事件响应的后续动作,主要是对各部门的响应实施情况提出意见,帮助其及时有效地恢复工作,降低损失。这一点就不详细展开了。

以上四点基本介绍了美国的网络安全体系如何在内部运作,鉴于出现的部门过多,可以对照:美国联邦政府的网络空间安全组织机构体系图:

揭秘美国网络安全体系架构

来源:刘峰、林东岱等著《美国网络空间安全体系》

 

应急演习

在美国网络安全体系的梳理后,不得不谈谈应急演习。作为无风险的环境下,用以训练、评估和改进国家网络安全能力的重要手段,应急演习是国家网络安全体系的测试场。实战见能力,美国开展了Cyber Storm、Cyber Guard、Cyber Flag等比较典型、大型的年度网络空间安全演习。

以最出名的Cyber Storm为例,这是美国国土安全部(DHS)为了推动关键基础设施安全监测、应急响应能力,而举行的一个多国家、多联邦政府部门、多私营企业参与的协同演练。演习覆盖了演习规划、方案设计、实战和演习后优化等步骤,以此发现网络安全体系在防御、检测、响应、修复环节中的问题和待优化的地方,评估NCIRP的有效性。

理论模型——网络安全体系构建——演习实战的验证,让美国的网络空间安全体系不断优化运行。

在整个美国网络安全体系的研究过程中,可以深切地感受到,国家级网络空间安全是一个如此庞杂的体系,涵盖面广的同时各个因素又互相影响互相制约。由此,我国网络空间安全的工作开展,同样需要从全局的角度考虑各种变量,从而形成一个完整的动态的网络安全体系。

最后,和大家聊几句近年来话题度特别高的“网络战”。美国作为世界上第一个提出网络战概念,也是第一个将其应用于实战的国家,其网络安全体系往往与网络战挂钩,尤其是近年来美国启动大量针对性的国家级演习,更是透露出在网络战上的事前准备。不止如此,美国网络司令部也声名鹊起,取代美国国土安全部(DHS)成为美国网军的指挥主角。

要知道,自2010年全面运作以来,美国网络司令部就将原本各自为战的美军各部门统一了起来。2017年,特朗普宣布美国网络司令部升级,地位与中央司令部持平,到了2018年,其所辖的网络任务部队数量更是达到了133支,总人数约6200人。

可以说,在美国庞大的网络安全体系之下,基本形成了统一的网络战指挥体系,为其争夺网络空间霸权增加砝码。

来源:FreeBuf.COM



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
中新网12月27日电 据中国网信网消息,近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《...【详细内容】
2021-12-28  Tags: 网络安全  点击:(1)  评论:(0)  加入收藏
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  Tags: 网络安全  点击:(10)  评论:(0)  加入收藏
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  Tags: 网络安全  点击:(29)  评论:(0)  加入收藏
网络安全板块是什么 1、网络安全网络安全是计算机行业中网络、计算、储存外的第四个基础设施。是计算机行业中增速最快的超千亿的板块。2、近几个月来大涨四个原因滴滴事件...【详细内容】
2021-12-08  Tags: 网络安全  点击:(19)  评论:(0)  加入收藏
即使在安全技术取得进步之后,网络犯罪仍在不断增加。据统计,网络犯罪每分钟给企业造成约 290 万美元的损失。主要是因为新技术不断涌现,难以维护安全。随着网络威胁的增加,网络...【详细内容】
2021-11-04  Tags: 网络安全  点击:(40)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13  Tags: 网络安全  点击:(49)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  Tags: 网络安全  点击:(189)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  Tags: 网络安全  点击:(47)  评论:(0)  加入收藏
前言上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样。一个黑客年薪是多少呢?外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客...【详细内容】
2021-08-24  Tags: 网络安全  点击:(122)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  Tags: 网络安全  点击:(72)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条