美海军曝计算机网络防御路线图 有高级取证能力
时间:2009-12-21 17:52:20 | 来源:中国网 | 作者:约翰•J•拉西尔
前 言
今天,美军运行在一个以网络为中心的环境中,实现了在信息方面所具有的优势。我们依靠建立、维持和保护安全、可共享的基础设施—— “网络”来实现并保持这种优势。我们为了保护信息的安全,必须进行有效地网络防御。网络和信息会不断遭受来自多方面的、高级、复杂且形式不断变化的威胁。这是我们所面临的挑战,它要求我们具备比以往任何时候都更为高级、持久、尖端和领先的技术。如果我们与政府和相关行业协作,把日益有限的资源高效和巧妙地集中起来,就可以使我们具有积极主动的地位,必要的时候就能做出实时反应,就能实现防御能力的目标。就像与其它国防部门和机构合作制定的投资决策一样,该路线图将为海军部(the Department of the Navy,简称DON)提供相应的指导。
为了使我们具备积极防御的能力,必须进行相应的投资。但在此之前我们必须侦察和预测网络上的威胁活动和行为,并不断地进行准确评估。该路线图为海军部“计算机网络防御”(Computer Network Defense,简称CND)的实现提前指明了发展道路。
路线图目的
《海军部海军网络环境—2016年关键概念、领域及战略》为海军部(DON)应对未来以网络为中心的作战环境制定了发展路线。该路线提出,海军部(DON)将由目前四个企业级计算与通信作战环境,向“海军网络作战环境”(Naval Networking Environment,简称NNE)转变。海军网络作战环境(NNE)将提供一个着眼于战士,高度安全、可靠的企业级范围的音频、视频和数据网络环境,该环境能确保从世界任何地方获取数据、服务和应用。
鉴于海军部(DON)的信息基础设施不断加强和来自敌方的威胁更加高级、持久且不断变化,海军部(DON)的信息保障策略为海军提供了一个适宜的纵深防御计划。海军部(DON)计算机网络防御 (CND)路线图的目的是:指导海军部(DON)维持和提升现有的计算机网络防御(CND),实现在将来向海军网络环境(NNE)转变的战略。在当前的网络中心战时代,计算机和网络技术几乎渗透进所有的模拟军事系统和互联互操作的军事单元。计算机网络防御(CND)是真正实现网络战斗力、共享信息、获知战况、快速下达指令和有效完成任务的必要条件。
海军部(DON)计算机网络防御(CND) 路线图阐明了利用计算机网络防御(CND)来应对计算机网络威胁的必然性。海军部对基于可靠信息制定决策的需求日益凸显,所以有必要投入计算机网络防御 (CND)使网络安全状态达到最优。虽然不断涌现的威胁和其它事件造成了这种状况的不断变化,为了应对这些变化,计算机网络防御(CND)必须随之改变,但计算机网络防御(CND)并不是一个短暂的过程。另外,该路线图指出,海军部最高领导层认为计算机网络防御(CND)十分重要,计算机网络防御 (CND)战略要与作战行动密切联系,计算机网络防御(CND)应与海军作战任务相结合。最后,指出计算机网络防御(CND)是每个人的责任,并且明确了海军部(DON)计算机网络防御(CND)的战略目标。
路线图概况
路线图首先介绍计算机网络防御(CND)的概念,紧接着讨论从任务到作战,再到战略目标的逻辑关系。这种关系明确了海军部(DON)各层次之间共享计算机网络防御(CND)的理念,为了达成战略目标,有必要将资源与事件处置的流动性和综合性相结合。换句话说,计算机网络防御(CND)路线图是计算机网络防御(CND)从任务到目标的纵向排列,如图 1所示。
图1:CND从任务到目标的纵向排列。(图中从上至下分别为:海军部的任务、海军部的构想、海军部的IM/IT战略、计算机网络防御(CND)的倡议 、计算机网络防御(CND)的战略目标)
计算机网络防御
计算机网络防御(CNO)是众多可扩展和被广泛定义的网络空间领域1(如图2所示)和网络空间战2的要素之一。计算机网络防御(CND)的应用和原则是进行计算机网络战(Computer Network Operations,简称CNO)的能动组成部分之一,对所有作战领域都至关重要。计算机网络战(CNO)的三个能动组成部分分别是:计算机网络攻击 (Computer Network Attack,简称CNA),计算机网络利用(Computer Network Exploitation,简称CNE)和计算机网络防御(CND)。
计算机网络攻击(CNA)是指网络战士利用计算机网络中断、抵制、削弱或摧毁敌方计算机和网络中的信息,以及计算机和网络本身的活动。计算机网络利用(CNE)是指使我方具备作战和情报收集能力,引导我方利用计算机网络收集来自敌方自动信息系统和网络的数据的网络活动。计算机网络防御(CND)是指网络战士利用计算机网络保护、监控、分析、侦测和应对在国防部计算机信息系统和网络内未经授权的行为。
信息保障(Information Assurance,简称IA)的范围很广,是指为确保信息及信息系统的有效性、完整性、真实性、机密性和可用性所采取的保护和防御措施,应用一体化保护、侦测和应对的功能,对信息系统进行恢复。信息保障(IA)和计算机网络战(CNO)的各个方面相互关联,为发挥其效能而相互依赖。
图2:网络空间领域
任 务
海军部的任务是把海军作战单位——海军和海军陆战队投放去支援体现国家力量和影响力的整个作战任务。这就要求用安全可靠的系统和信息武装海军部队,以确保他们能取得作战胜利。因此,海军和海军陆战队必须能阻止、分析、保护、监控、侦测在自己计算机和网络系统中的网络活动,并能应对入侵行为。另外,海军和海军陆战队必须与其它的计算机网络防御 (CND)服务提供方协作,向他们报告入侵行为,确保实现更广泛的全球信息网格(the Global Information Grid,简称GIG)防御。
构 想
海军部的构想是为确保取得作战胜利,用安全、合适、可靠、准确和及时的信息武装各个海军作战单位。在网络时代,海军被迫面对各种冲突进行连续作战。对于计算机网络防御(CND)来说,这就要求整合各种功能和技术,使策略、服从、结构管理、补丁和漏洞管理、侦测和应对入侵等功能和技术相互配合,产生增效作用,从而为网络防御提供最大的支持。
战 略
海军部(DON)信息处理(Information Management,简称IM)和信息技术(Information Technology,简称IT)战略计划的目标是:“保护和防御海军的重要基础设施、网络和信息,最大限度地确保完成作战任务。”
迄今为止,海军部(DON)计算机网络防御 (CND)战略与海军部(DON)信息保障(IA)战略一样采用的是一种为保护海军部(DON)信息和信息系统的纵深防御。为了支持和引导完成作战任务,这种战略要求不断地对海军网络进行操控,即使在简化状态下也是如此。所有的这一切都是在一个复杂和持续变化的环境中完成的。纵深防御是一种分层防御措施,它迫使敌方必须突破多个防御层才能进入,从而降低其成功的机率。它需要以强有力信息保障(IA) 为基础,并且依赖于人员、技术和计算机网络防御(CND)三方面有效配合。
图3:计算机网络防御(纵深防御)
战略目标
海军部(DON)计算机网络防御(CND) 战略的目标是建立可信赖的信息和网络基础设施。换句话说,就是将敌方攻击的影响最小化。从约翰?霍普金森大学应用物理实验室的“国家信息保障中心交互模型”(如图4所示)中可以看出,我们必须阻止敌方进入、滞留和活动。从海军部(DON)的角度来讲,我们必须阻止敌方进入海军网络、滞留在海军网络和在海军网络中活动。
这个模型表明海军部(DON)纵深防御部分是三方面的交集,从战略上阐明了为减弱敌方对海军基础网络设施和信息的攻击,所需进行的保护和响应。
海军部(DON)计算机网络防御(CND) 战略的防御对象是敌方在网络空间领域进入、滞留和活动的能力。海军网络工作人员将在复杂多变的环境下实现海军部(DON)的战略。海军部(DON)计算机网络防御(CND)虽是实现纵深防御的新方法,但它仍然是一个多层防御手段,它迫使敌方突破多个防御层或经过多个防御层才能实现对网络的操控,从而降低其成功的机率。基于以强有力信息保障(IA)为基础的原则,海军部(DON)计算机网络防御(CND)战略依赖于人员、技术和计算机网络防御(CND) 三方面地有效配合。
计算机网络防御(CND)服务的提供方
国防部(DoD)要求所有信息系统和网络的拥有方都应具备计算机网络防御(CND)的功能。在海军部内部,海军和海军陆战队分别通过海军网络防御作战指挥部(the Navy Cyber Defense Operations Command,简称NCDOC)和海军陆战队网络作战与安全中心(the Marine Corps Network Operations and Security Center,简称MCNOSC)定制计算机网络防御(CND)服务。海军部(DON)计算机网络防御(CND)的下属部门,在美国战略司令部、联合特遣全球网络作战部队(Joint Task Force-Global Network Operations简称JTF-GNO)的协同和唯一领导下,通过全球信息网格(GIG)执行多重和远程计算机网络防御(CND)作战任务。
计算机网络防御(CND)的主要服务内容是对网络进行保护、监控、分析、侦测和应对网络攻击。这些服务是指为了防止或减弱可能导致计算机网络中断、拒绝访问、降级、崩溃,计算机网络和信息系统被入侵,信息被偷窃的网络攻击所开展的作战行动。
计算机网络防御的起步
国防部(DoD)和海军部(DON)的特定需求推动了计算机网络防御的起步。为了发展和不断改进计算机网络防御(CND)的形态和性能,海军部做了很多努力和工作。下面是一些正在进行的主要起步工作:
1.普罗米修斯系统
海军部提出了为海军企业网络提供积极防御所必须的“网络空间感知”计划,来收集、关联、融合、分析、显示和发布来自各种渠道迥然不同的数据。海军部已经运行了“普罗米修斯”系统,并在不断扩展它的功能。
2. 服从安全配置主动确认(Secure Configuration Compliance Validation Initiative,简称SCCVI)和安全配置主动修正 (Secure Configuration Remediation Initiative,简称SCRI)
为了检测和自动修正安全配置,海军部(DON)正在执行SCCVI和SCRI,确保对不服从安全配置的系统进行重置。
(1)SCCVI是发现漏洞和核实信息是否服从信息保障漏洞警报(Information Assurance Vulnerability Alerts,简称IAVA)的工具。这是一种发现和审核的功能,它能发现和确认包括服务器、数据库、转换器、路由器和无线接入点在内的不同平台和技术上已知的安全漏洞。
(2) SCRI是推动信息保障漏洞警报(IAVA)修补不服从安全配置的系统,对其配置进行重置,并执行消除或减轻己确认漏洞的纠正工作。
3.基于主机的安全系统(Host Based Security System,简称HBSS)
海军部(DON)正在运行基于主机的安全系统(HBSS),实现了对已知的网络攻击进行实时侦测和反击。基于主机的安全系统(HBSS)通过受中心控制的“基于主机的防火墙系统”和“基于主机的防入侵系统”,提供充足的缓冲器溢出保护、基于署名和行为的入侵保护和使用监控,达到保护主机不被利用和免遭恶意攻击的目的。
4.恶意广告软件和间谍软件探测、清除和保护系统(Spyware Detection, Eradication and Protection,简称SDEP)
对于恶意广告软件和SDEP的功能,海军部(DON)依靠基于主机的安全系统(HBSS)的主动防御功能实现。
5.用户自定义操作界面(User Defined Operational Picture,简称UDOP)
为使相关个人或团体能发展和了解在自身系统和网络上的活动和行为,海军部(DON)正在发展和实现一项能共享一般信息,改进对情况的感知,改善对网络的指挥和控制的功能。海军部(DON)正在通过用户自定义操作界面(UDOP)提供入口来实现这一功能,由这个入口获得满足相关个人或团体要求而定制的内容。
6.国防部内部威胁主动侦测系统
为处理“内部威胁”,海军部(DON)正在参与国防部内部威胁主动侦测系统,该系统正在开发和部署一个内部威胁集中侦测工具(Insider Threat Focused Observation Tool,简称InTFOT)。
7.NIPRNET非军事区(DMA)
为加强对内部和外部网络之间的保护,海军部 (DON)正在与国家安全局(the National Security Agency,简称NSA)和国防信息系统局(Defense Information Systems Agency,简称DISA)合作,为NIPRNET开发一个新的非军事区体系机构。海军部(DON) 正在运行新非军事区体系机构,来加强内部与外部网络交换信息时的信息保障(IA)策略。在保护内部网络不受外部网络攻击的同时,非军事区(DMZ)对不可信的外部资源使用公开信息进行了限制。
8.入侵保护系统(Intrusion Protection Systems,简称IPS)
海军部(DON)正通过运行入侵保护系统(IPS),监控网络和系统中的活动,查找恶意和多余的网络行为,并允许网络防卫人员实时采取果断的行动对其进行阻止或预防。
9.智能代理安全管理者(Intelligent Agent Security Manager,简称IASM)
海军部(DON)正在通过智能代理安全管理者(IASM),做到几乎实时地获取和标准化来自主传感器、防火墙、路由器和操作系统的安全事件日志和警报,完成对基于署名的标准化事件的分析,并对引发特定安全攻击警报的异常事件进行评估。智能代理安全管理者(IASM)能监视网络中的通信,并根据多种标准判断其是错误操作、欺骗行为还是网络攻击。它能对数据进行收集、标准化、关联和分析,实时判断网络攻击的概况。
10.静态数据(Data at Rest,简称DAR)加密
海军部(DON)正在通过施行加密静态数据(DAR)的解决方案,保护储存在政府微型电脑、其它移动电脑设备和移动存储设备中的敏感和非保密数据。
11.用户对计算机网络防御(CND)的认知
海军部(DON)正在不断强调和加强用户对计算机网络防御(CND)认识,确保计算机和网络用户充分意识到威胁的存在,及他们有责任对威胁进行防御。
12.密码登录(Cryptographic Log,简称On CLO)
海军部(DON)己不再信任用户名和口令的安全性,海军部(DON)为提高网络的安全性,正在向完全的密码登陆(CLO)方式转变。
13. 使用硬件代号
海军部(DON)为了克服软件公钥基础设施(Public Key Infrastructure,简称PKI)固有的弱点,正完全忠实地向使用硬件代号(比如:通用访问卡、交替代码、基于硬件的外部授权代码和基于硬件的联合PKI代码)转变。
14.联邦桌面型电脑核心配置(Federal Desktop Core Configuration,简称FDCC)
海军部(DON)为了提高安全性、降低成本和减少软件的兼容性问题,将为运行微软操作系统的桌面型电脑和微型电脑提供统一标准的企业级操作环境,采用为企业开发的通用配置而不是数以百计的自创配置。执行《安全内容自控协议》(the Security Content Automation Protocol,简称SCAP),是成功实现遵从联邦桌面型电脑核心配置(FDCC)的主要途径,该协议采用特殊的标准,能自动完成检测计算机的弱点和审核计算机是否遵循必备安全策略的工作。
15. 过滤网络内容
海军部(DON)正在通过过滤网络内容的功能,预防来自接入网络的恶意软件、间谍软件、不稳定的恶意代码和其它不适宜的内容,为网络提供实时保护。
16.海上计算机网络防御(CND)
海军正在舰船上运行由遵从安全配置主动确认(SCCVI)、安全配置主动修正(SCRI)和基于主机的安全系统(HBSS)组成的海上计算机网络防御(CND)组件。入侵保护系统(IPS)正被安装在大型甲板平台上。
下一步路线图
我们所面对的威胁是高级的、持久的和持续变化的,这要求海军部的(DON)计算机网络防御(CND) 要更高级和持久,尽可能灵活和适应不断变化的威胁。这意味着为了侦测网络上不适宜的活动和行为,并能实时采用正确的应对措施,就要求拥有正确的数据和信息,了解用户的行为和他们所使用的海军部(DON)系统和网络。
海军部(DON)将继续执行全面的多层防御 —纵深防御—战略,确保能应对未来网络威胁的挑战。海军部(DON)计算机网络防御(CND)将向主动防御已知的威胁,主动处理新型的和未知的威胁的方向发展。处理新型的和未知的威胁最为困难,也最具挑战性。无论如何,只要把海军部(DON)计算机网络防御(CND)从不能使我们全面认识网络和系统中的用户和活动,发展为能使我们熟悉和了解对用户、系统和网络可以接受的应用和行为,这些威胁的程度就可能被减轻。这要求实时地对数据进行收集、关联和分析。运用现有的、新型的和未来的技术,把海军部(DON)计算机网络防御(CND)发展成更为合理和充分综合各项功能的组合套装,就能实现这一目标。
除了不断变化的威胁之外,像博客、社交网、播客和维基这样的协作网和移动终端设备越来越流行,也给计算机网络防御(CND)带来了一系列新的挑战。
海军部(DON)将通过管辖程序与JTF- GNO和其它组织协作,为确保能成功完成任务,选择特定产品和工具,使计算机网络防御(CND)达到并维持在关键水平。通过人员、程序和技术之间的协同配合,将创造出更大强的防御效果。未来的海军部(DON)计算机网络防御(CND)将包括下列几部分,它们同时也具备现有计算机网络防御(CND)的功能,按投资回报大小的顺序排列:
1.高级网络访问控制(Network Access Control,简称NAC)
通过这项功能,能评估接入网络的设备的安全状态。一旦设备被接入网络,它就能对其进行不间断的监控,并依据设备的状态采取必要的修正策略。这项功能允许管理包括从防火墙外接入网络的设备在内的所有网络终端,防火墙是网络的第一道外围防御,它在网络的边缘提供真正的点保护。海军部(DON)将使计算机网络防御(CND)与涵盖所有企业访问控制的解决方案充分结合,这个方案支持“第一个为此成立的联盟/非政府组织(NGO)环境联盟”内部的点对点请求,该联盟消除了不同环境信任等级的差异。
2.增强型(下一代)入侵保护系统(IPS)
这项技术改进了侦测和修正的功能,着眼于协议栈中的不同防御层,能实时主动地发挥作用。它利用比简单的关键词匹配更优、更先进的侦测技术,能对内容作更全面的检查;不像异常侦测方法那样需要时间学习和标准化基础流程,这种模式和行为能直接运行,并以最低误报率直接做出评估。
3.增强型反病毒技术
这项技术优于基于署名的检测和修复技术。它支持实时和嵌入式检测和修复,利用全面扫描来发现和清除Rootkits和其它被植入很深的病毒活动。另外,这项增强型技术能防御未知或无法提供签名或修复方法的新生(zero-day)病毒,支持基于行为的病毒防护。
4.简化管理和经营的复杂性
通过自动控制,我们能简化网络和系统管理和经营的复杂性。我们将获得能提供更完整的用户、系统和网络活动的情况的功能。这项功能将依靠审查和事件日志,展示数据间的相关性,在有可疑的活动时向网络操作和防御人员提出警告。海军网络操作和防御人员将通过控制界面,处理对网络和系统复杂而精密的管理和经营工作。在控制界背后是自动执行的收集、关联和分析网络和系统数据,并向网络操作和防御人员报告用户和网络活动和行为的工作。另外,海军网络操作和防御人员能设置和授权一些主动防御的特性,如对威胁自动、实时响应和主动报告。最后,我们将把这项可靠的管理功能融入整个网络功能中。
5.识别虚拟环境
通过加强针对所有被激活的虚拟计算机和存档的图像的安全策略,计算机网络防御(CND)必将具备识别虚拟环境,保护在线和离线虚拟图像的功能。
6.高级取证能力
这项功能引入了事后取证和事前取证的关联性,能持续监视网络的状态。它支持对用户、系统和网络的行为进行学习和了解的功能,使行为的标准更容易被确定,进而能主动应对系统和网络中的异常活动和行为。
下一篇:没有了 上一篇:美空军将网络战列为重点研究对象 有专门部队应