美国国家网络安全和通信集成中心编辑本段回目录
在今年的RSA大会上,奥巴马的网络安全协调员霍华德·施密特(Howard Schmidt)表示 ,为了缓解民众对国家网络空间安全计划的不满情绪,尤其是对涉及公民个人隐私的担忧,宣布将针对NSPD54秘密文件公布一份5页的PDF文件,并发布到白宫网站上。如今,白宫的安全委员会网站已经将这份文件发布出来了。这里有该文章的中文译文,或者这个版本。
这个公布的文件介绍了CNCI的12项计划,其中,就技术层面而言,比较值得关注的是:
1)计划建立一个所谓的TIC(可信互联网连接)机构,然后让各个联邦机构都通过这个TIC连接到互联网,从而取消各个联邦机构自身的互联网出口,降低安全威胁。根据TIC计划,在2009年末美国联邦政府机构的互联网出口数量将从超过4300个下降到100个左右。这个相当于美国电子政务外网的改造。
2)计划升级和翻新政府的网络监控系统,建立一个叫做“爱因斯坦”的网络监控系统,使得联邦政府具备更快速地对网络威胁进行检测和响应的能力。该计划又具备分为两项,一个是部署IDS的爱因斯坦2,另一个是部署IPS的按因斯坦3。爱因斯坦3强调对每个政府部门的网络出口部署IPS,各自形成保护的个体。而爱因斯坦2则强调通过分布式的IDS建立一整套安全检测的体系,并与美国的CERT联系起来,形成美国政府的网络空间安全的早期预警机制(early warning System)。
3)计划由DHS国土安全部承建统一的网络空间安全协调中心,具体由DHS下面的The National Cybersecurity Center (NCSC)国家网络空间安全中心担纲。目前,该协调中心已经开始兴建,叫做“国家网络空间安全和通信集成中心”(NCCIC,National Cybersecurity and Communications Integration Center)。该中心总投资约900万美元,将24小时全天候监控涉及基础网络架构和美国国家安全的网络威胁。
计划的其他部分则涉及方针、策略、政策、制度、流程、组织、意识、培训、合作等安全的各个方面。当然,在文中政府再三保证会小心界定和处理涉及公民个人隐私的内容。
参观美国国土安全部的安全运营中心:NCCIC 编辑本段回目录
为了全面实行美国政府的网络空间国家安全战略,美国国土安全部(DHS)于2009年在弗吉尼亚阿林顿(DoD的总部也在这里)兴建了一个NCCIC(National Cybersecurity and Communications Integration Center),用于7×24的监测针对美国重要/关键基础设施的网络攻击,以及针对美国国家安全的网络威胁。NCCIC是DHS承担的美国CNCI计划的重要组成部分,相当于DHS的一个安全运营中心(SOC)。
我们之前已经参观过AT&T新泽西总部,以及Symantec全球多个安全运营中心,现在,就让我们看看美国政府的国家级别的安全运营中心啥样子吧。
在2010年,DHS搞了一次开放日(Open Day)活动,邀请多个媒体前往NCCIC进行参观。
在正面墙上,有五块大屏幕,每块屏幕都是5×2的显示矩阵。
上图显示了监控室的场景,包括前面的大屏幕墙和后面的座席,比起AT&T来,感觉差了不少,不过一期投资只有900万美元嘛。
在前面的大屏幕上显示了实时监测的所有美国政府机构和重要基础实施的网络运行情况,还播放着美国主要媒体的新闻(跟Symantec一样)。另外,有特色的是在中间那块大屏幕中央位置有一个DHS的发言讲台,后面两侧插着一面DHS的旗子和美国国旗,应该是做新闻发布,或者领导发言之用。
第二块大屏左侧显示了以美国地图背景的网络攻防信息图。
上图是一幅监控分析师的工作台特写。每个分析师的桌上有三块屏幕,数量跟NYSE的股票交易员一样。每个分析师都能接入4个物理分离的网络进行操作。另外,这个中心的分析师既有DHS的雇员,还有很多DHS的外包服务合作厂商的员工。
上图是他们的会议室,有电视屏幕可以接近大屏幕上的东西(包括监控界面和电视新闻)。最有趣的是正面墙上左上角的两个指示灯,其中亮着绿色字的是Unclassified,表明现在是在开非涉密的会议,另一个亮起来的话就是表明是涉密会议。这个指示灯是给开会的人看的。
这幅图有点熟悉吧。没错,这就是爱因斯坦系统的运行截图。这幅图显示了一个在美国各联邦政府机构互联网出口处部署的探针的列表。这个运行界面被投射在了一个2×2的大屏幕上。
这是另一个爱因斯坦系统的运行界面截图,以全屏的方式显示了各种协议的互联网出口双向流量信息的时间曲线,这应该是爱因斯坦1的界面。
这幅图跟NCCIC监控中心倒是关系不大。不过,在必要的时候,NCCIC的分析师可能会拎着这个工具箱(取证分析工具箱)去某个事故现场,进行数字取证分析。呵呵,这个包里面的东东可以看个大概吧。