對一個機構(gòu)來說，只要其依托網(wǎng)絡(luò)開展業(yè)務(wù)，網(wǎng)絡(luò)的安全運轉(zhuǎn)就是其管理目標的重中之重。各種安全威脅時時刻刻充斥在身邊，誰也不知道何時發(fā)作。安全措施的部署是否真的有效?某些安全設(shè)備是否該更換?安全策略是否該調(diào)整?若想保障機構(gòu)網(wǎng)絡(luò)的安全運轉(zhuǎn)，除了“抓內(nèi)鬼”，還需要監(jiān)控“外鬼”的網(wǎng)絡(luò)攻擊威脅，而且要不間斷地、持續(xù)地進行檢測。針對這些問題，美國提出一系列解決方案，搬出了“愛因斯坦”和“凱撒大帝”等偉人命名項目計劃來拯救網(wǎng)絡(luò)安全，其中“信息安全持續(xù)監(jiān)測ISCM”是方案中非常重要的策略。

[[193339]]

那么什么是信息安全持續(xù)監(jiān)測?

信息安全持續(xù)監(jiān)視(ISCM - Information Security Continuous Monitoring)是美國信息安全職能部門之一國家標準與技術(shù)研究院(NIST)提出的概念。NIST根據(jù)2002 年《聯(lián)邦信息安全管理法案》(FISMA)制定了三個有關(guān)ISCM的特別出版物，分別是SP 800-37、SP 800-53、SP 800-137。NIST總結(jié)了持續(xù)監(jiān)測三個不同角度的定義，從廣義范疇定義：持續(xù)監(jiān)測旨在提供告警的不間斷的觀測。持續(xù)監(jiān)測能力是對系統(tǒng)的運行狀態(tài)進行不間斷的觀測和分析，以提供有關(guān)態(tài)勢感知和偏離期望的決策支撐;從網(wǎng)絡(luò)空間安全角度：信息安全持續(xù)監(jiān)測是能夠保持對信息安全、漏洞和威脅的持續(xù)感知，支撐組織機構(gòu)的風險管理決策;從技術(shù)角度定義：持續(xù)監(jiān)測是網(wǎng)絡(luò)空間安全的一種風險管理措施，可維護組織機構(gòu)的安全態(tài)勢，提供資產(chǎn)可視化，數(shù)據(jù)自動化反饋，監(jiān)測安全策略有效性并優(yōu)化補救措施。

持續(xù)監(jiān)測的機構(gòu)視圖

NIST SP 800-137從風險管理角度提出信息安全持續(xù)監(jiān)測的三層機構(gòu)視圖，從上到下依次是機構(gòu)層、任務(wù)/業(yè)務(wù)過程層、信息系統(tǒng)層。ISCM策略制定從上到下是細化落實過程，從下到上則是數(shù)據(jù)的收集、分析和報告過程。ISCM策略6個步驟：定義、建立、實施、分析數(shù)據(jù)及報告分析結(jié)果、響應(yīng)、審查及更新。

持續(xù)監(jiān)測的“凱撒(CAESARS)”參考框架

2010年4月，國土安全部(DHS)受美國行政管理和預(yù)算局(OMB)委任，建立了持續(xù)監(jiān)測技術(shù)參考框架，即持續(xù)資產(chǎn)評估、態(tài)勢感知和風險評分參考框架(the Continuous Asset Evaluation, Situational Awareness, and Risk Scoring, CAESARS)?？蚣馨瑐鞲衅?、數(shù)據(jù)庫、分析/風險評分和展示/報告四個子系統(tǒng)。

“凱撒”擴展框架

CAESARS參考框架雖然提供了技術(shù)架構(gòu)的基礎(chǔ)，但也存在一些局限。2012年，NIST基于CAESARS參考框架進一步研究和改進，在NIST IR 7756中提出了CAESARS擴展框架。改進后的CAESARS FE框架包含6個子系統(tǒng)，分別是展示/報告子系統(tǒng)、內(nèi)容子系統(tǒng)、采集子系統(tǒng)、數(shù)據(jù)聚合子系統(tǒng)、分析/評分子系統(tǒng)和任務(wù)管理器。另外，NIST IR 7799中對CAESARS FE框架的工作流、子系統(tǒng)和接口規(guī)范進行了詳細定義，NIST IR 7800結(jié)合安全內(nèi)容自動化協(xié)議(Security Content Automation Protocol, SCAP)對CAESARS FE框架的數(shù)據(jù)域約束和處理規(guī)范進行了詳細的定義。

持續(xù)監(jiān)測如何解決問題呢?

為判斷網(wǎng)絡(luò)安不安全，首先要有方方面面的數(shù)據(jù)來支撐進一步分析。持續(xù)監(jiān)測的理念一方面強調(diào)持續(xù)，即以適當?shù)念l率收集數(shù)據(jù);另一方面強調(diào)監(jiān)測，即收集網(wǎng)絡(luò)中的各種安全數(shù)據(jù)、狀態(tài)數(shù)據(jù)等能體現(xiàn)安全態(tài)勢的數(shù)據(jù)。通過多方面分析這些數(shù)據(jù)，對網(wǎng)絡(luò)安全態(tài)勢、風險等級進行評估，并將分析評估結(jié)果可視化，展現(xiàn)給管理網(wǎng)絡(luò)安全風險的決策者。只有決策者全面了解了整個網(wǎng)絡(luò)的安全狀態(tài)后，才能結(jié)合機構(gòu)的實際情況調(diào)整信息安全策略。單靠持續(xù)監(jiān)測無法解決所有的安全問題，但可以讓用戶更了解自己的安全狀況，不斷改善安全策略，能夠以積極主動的姿態(tài)防御安全威脅。

美國政府對ISCM干了些什么?

NIST原本建議ISCM任務(wù)由各聯(lián)邦機構(gòu)自行建設(shè)，國土安全部以避免各個單位自行建設(shè)成本問題名義，提出集中開發(fā)“持續(xù)診斷與緩解項目”(CDM - Continuous Diagnostics and Mitigation)具體落實ISCM策略。2013年11月，美國行政管理和預(yù)算局(OMB)發(fā)布了一份備忘錄M-14-03，要求所有聯(lián)邦機構(gòu)建立信息安全持續(xù)監(jiān)控(ISCM)機制, 國土安全部被委以重任協(xié)助所有部門和機構(gòu)實施此項目，OMB要求所有聯(lián)邦機構(gòu)在2014年2月 28日之前完成CDM/ISCM策略的部署。CDM主要保護聯(lián)邦民口機構(gòu)的信息系統(tǒng)和網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。CDM項目通過提供標準化工具和云服務(wù)(CMaaS)的方式，解決各聯(lián)邦機構(gòu)自行開發(fā)的成本和不統(tǒng)一問題。這些工具包括識別偏離基線的網(wǎng)絡(luò)安全風險、區(qū)分風險影響的嚴重程度、促進網(wǎng)絡(luò)安全人員解決最重大安全問題。SuperTEK公司承包了美國政府機構(gòu)持續(xù)監(jiān)控系統(tǒng)項目，項目要求能監(jiān)控分布于全球的一百多萬部設(shè)備信息安全。

ISCM實施效果受到質(zhì)疑

2015年6月初，美國人事管理局(OPM)的電腦遭到大規(guī)模網(wǎng)絡(luò)攻擊，導(dǎo)致400萬現(xiàn)任和前任員工信息被盜。中國“躺著中槍”，美國國家情報總監(jiān)(DNI)詹姆斯•克拉珀聲稱中國是網(wǎng)絡(luò)入侵的“頭號嫌疑人”。這件事情引起輿論對國土安全部花費上百億美元打造的網(wǎng)絡(luò)安全計劃的普遍質(zhì)疑，其中就包括CDM項目。

【本文為51CTO專欄作者“中國保密協(xié)會科學技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文