從高校自身與今后發(fā)展看，實(shí)際上目前學(xué)校的信息搜集能力已經(jīng)具備，但是仍欠缺的是數(shù)據(jù)分析和信息共享能力。

美國(guó)網(wǎng)絡(luò)空間戰(zhàn)略

美國(guó)網(wǎng)絡(luò)空間戰(zhàn)略的發(fā)展起步很早，從1998年克林頓政府發(fā)布《PDD-63總統(tǒng)令》，提出保護(hù)國(guó)家信息關(guān)鍵基礎(chǔ)設(shè)施，到距今20年的時(shí)間中，形成了很明顯的重心變化。美國(guó)網(wǎng)絡(luò)空間戰(zhàn)略走過(guò)了四個(gè)階段：

第一階段，稱為態(tài)勢(shì)感知體系發(fā)展——基本組件構(gòu)建階段（1998～2002），倡導(dǎo)建立基本防御體系。

第二階段，基本能力構(gòu)建階段（2005～2010），目標(biāo)是建立完備的數(shù)據(jù)獲取、分析能力，建立國(guó)家級(jí)信息安全運(yùn)營(yíng)中心等。

第三階段，擴(kuò)展能力構(gòu)建階段（2010～2015），掌握全球形勢(shì)，形成主動(dòng)探測(cè)能力和快速響應(yīng)、作戰(zhàn)能力，開始了三個(gè)重量級(jí)的計(jì)劃——NSA-藏寶圖計(jì)劃、DHS-SHINE(SHODAN)、DAPRA-X計(jì)劃,針對(duì)全球互聯(lián)網(wǎng)形成探測(cè)。

第四階段，溯源反制能力構(gòu)建階段（2011～2018），倡導(dǎo)建立主動(dòng)防御、溯源反制能力，并不斷進(jìn)行擴(kuò)展，從積極防御轉(zhuǎn)變?yōu)楣敉亍?/p>

美國(guó)網(wǎng)絡(luò)空間態(tài)勢(shì)感知體系的構(gòu)成見(jiàn)圖1，分為聯(lián)邦政府網(wǎng)絡(luò)和軍事網(wǎng)絡(luò)兩個(gè)部分，由不同的部門主管，建立各自的態(tài)勢(shì)感知體系。

在系統(tǒng)建設(shè)方面，態(tài)勢(shì)感知體系包含兩大業(yè)務(wù)系統(tǒng)，這兩大系統(tǒng)之間會(huì)進(jìn)行威脅情報(bào)交換。一是DHS（美國(guó)國(guó)土安全部）的愛(ài)因斯坦計(jì)劃，能夠?qū)崟r(shí)監(jiān)測(cè)聯(lián)邦政府網(wǎng)絡(luò)，保證最快安全響應(yīng)，促進(jìn)國(guó)家關(guān)鍵部門（非聯(lián)邦網(wǎng)絡(luò)，大型企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施等）網(wǎng)絡(luò)安全。二是Tutelage系統(tǒng)，用來(lái)實(shí)時(shí)監(jiān)測(cè)軍隊(duì)網(wǎng)絡(luò)、全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)獲取，實(shí)現(xiàn)定點(diǎn)打擊能力。為達(dá)成這些目標(biāo)，NSA（美國(guó)國(guó)家安全局）開展大量保密項(xiàng)目，進(jìn)行全球數(shù)據(jù)監(jiān)聽(tīng)和全球定點(diǎn)打擊能力的建設(shè)。

DHS和愛(ài)因斯坦計(jì)劃

DHS的目標(biāo)是保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施。DHS下設(shè)4個(gè)不同部門，其中與網(wǎng)絡(luò)空間安全相關(guān)的是第一個(gè)部門NPPD(國(guó)家保護(hù)與計(jì)劃司)和第三個(gè)部門US-CERT（美國(guó)網(wǎng)絡(luò)應(yīng)急響應(yīng)中心）,這兩個(gè)部門主要負(fù)責(zé)信息安全基礎(chǔ)設(shè)施。

愛(ài)因斯坦計(jì)劃（Einstein Program）,也稱為國(guó)家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)，最新的版本稱為EINSTEIN3 Accerlerated，它的目標(biāo)是保護(hù)聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)，由NPPD負(fù)責(zé)建設(shè)，US-CERT負(fù)責(zé)運(yùn)行和使用。它是一個(gè)公開的網(wǎng)絡(luò)，信息對(duì)外開放。

愛(ài)因斯坦計(jì)劃分為三個(gè)建設(shè)階段。最早的階段從2003年開始部署，當(dāng)時(shí)在所有政府的網(wǎng)絡(luò)出口部署探針I(yè)DS，監(jiān)控網(wǎng)絡(luò)流量，基于數(shù)據(jù)流進(jìn)行檢測(cè)，對(duì)異常事件報(bào)警并進(jìn)行響應(yīng)。第二階段開始于2009年，部署IDS，同時(shí)該階段與CNCI（國(guó)家網(wǎng)絡(luò)空間安全計(jì)劃）合并更名為NCPS,將基于流的檢測(cè)升級(jí)為DPI檢測(cè)。第三階段開始于2010年，除了檢測(cè)、防御，又加入了自動(dòng)對(duì)惡意流量阻斷；2012年開始E3A，即愛(ài)因斯坦計(jì)劃第三階段加速，引入了主要運(yùn)營(yíng)商（ISP）的IPS服務(wù)，把端點(diǎn)延伸到了運(yùn)營(yíng)商，將政府網(wǎng)絡(luò)接入點(diǎn)的保護(hù)放在運(yùn)營(yíng)商，由運(yùn)營(yíng)商代替政府完成流量過(guò)濾和清洗等防御工作。

圖1 美國(guó)網(wǎng)絡(luò)空間態(tài)勢(shì)感知體系構(gòu)成

愛(ài)因斯坦計(jì)劃包含五大部分，核心設(shè)施、入侵檢測(cè)、入侵防御、數(shù)據(jù)分析和信息共享。核心設(shè)施，是運(yùn)行防御任務(wù)的基礎(chǔ)軟硬件設(shè)施，包括任務(wù)信息環(huán)境MOE，E3A任務(wù)運(yùn)行環(huán)境E3A-MOE，事件管理系統(tǒng)IMS和開發(fā)運(yùn)行環(huán)境Dev/Test。入侵檢測(cè)系統(tǒng)，包括愛(ài)因斯坦一代、二代檢測(cè)系統(tǒng)，還有被動(dòng)域名服務(wù)報(bào)文檢測(cè)系統(tǒng)pDNS，pDNS主要用于收集、存儲(chǔ)和分析聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)中產(chǎn)生的所有DNS數(shù)據(jù)。數(shù)據(jù)分析系統(tǒng)，包括報(bào)文分析系統(tǒng)PCAP，安全信息與事件管理系統(tǒng)SIEM，增強(qiáng)分析數(shù)據(jù)庫(kù)EADB，高級(jí)惡意軟件分析中心AMAC，數(shù)據(jù)媒體分析環(huán)境DMA。信息共享系統(tǒng)，包括網(wǎng)絡(luò)加密共享CyberScope，網(wǎng)絡(luò)應(yīng)急響應(yīng)組接口US-CERT，增強(qiáng)分析數(shù)據(jù)庫(kù)CIR與高級(jí)惡意軟件分析中心CIAP。入侵防御系統(tǒng)，主要用于Web防御與過(guò)濾（WAF）,還有郵件的防御和過(guò)濾（附件掃描和過(guò)濾）。

愛(ài)因斯坦計(jì)劃的總體目標(biāo)，是建立國(guó)家網(wǎng)絡(luò)安全保護(hù)體系（NCPS），將入侵檢測(cè)、分析、防御以及信息共享的四種能力集成在一起，保護(hù)聯(lián)邦政府的IT信息基礎(chǔ)設(shè)施的安全，免于遭受外部的網(wǎng)絡(luò)侵襲。

NSA/CSS與藏寶圖計(jì)劃

藏寶圖計(jì)劃由NSA和CSS(中央安全局)兩個(gè)部門共同負(fù)責(zé)，NSA的局長(zhǎng)一般會(huì)兼任CSS局長(zhǎng),共同合作成立NTOC（威脅作戰(zhàn)中心），由NSA負(fù)責(zé)維護(hù)運(yùn)行，搜集全球互聯(lián)網(wǎng)情報(bào)，用于建立態(tài)勢(shì)感知能力。藏寶圖計(jì)劃TreasureMap,實(shí)際是通過(guò)建立大規(guī)?；ヂ?lián)網(wǎng)映射、探測(cè)和分析引擎系統(tǒng)，建立一個(gè)近實(shí)時(shí)的交互式的全球互聯(lián)網(wǎng)地圖，目的是能夠描繪任何時(shí)間點(diǎn)互聯(lián)網(wǎng)上的任何地點(diǎn)的任何設(shè)備。它主要服務(wù)于網(wǎng)絡(luò)空間安全的態(tài)勢(shì)感知（包含敵我雙方），用于計(jì)算機(jī)攻擊、漏洞利用環(huán)境的準(zhǔn)備，以及網(wǎng)絡(luò)偵查、作戰(zhàn)有效性的測(cè)量等。它的面向范圍包括IPv4、IPv6（部分），關(guān)注網(wǎng)絡(luò)層（路由與自治域），包含物理層、鏈路層和應(yīng)用層。

藏寶圖的數(shù)據(jù)由美國(guó)主導(dǎo)，多方共建共享。 由美國(guó)、英國(guó)、澳大利亞、加拿大、新西蘭共同成立了五眼聯(lián)盟，情報(bào)數(shù)據(jù)在五個(gè)國(guó)家間互相共享。在美國(guó)內(nèi)部，建立了全球聯(lián)合情報(bào)通信系統(tǒng)，由16個(gè)獨(dú)立的情報(bào)部門共享情報(bào)信息。

藏寶圖的數(shù)據(jù)來(lái)源非常豐富，包括互聯(lián)網(wǎng)的開源情報(bào)，學(xué)術(shù)界工具和數(shù)據(jù)集，信號(hào)情報(bào)、商業(yè)購(gòu)買與信息保障梳理（針對(duì)自有資產(chǎn)）。數(shù)據(jù)類型（開源/商業(yè)/學(xué)術(shù)）的來(lái)源也很豐富，包括BGP、Traceroute、Registries、DNS、OS Fingerprints等。

NSA的全球采集點(diǎn)，基于五眼聯(lián)盟擴(kuò)大到30多個(gè)第三方國(guó)家情報(bào)組織之間共享數(shù)據(jù)源，還有80多個(gè)特殊情報(bào)數(shù)據(jù)源，也就是不同國(guó)家的大使館；50000多個(gè)木馬設(shè)備，通過(guò)將一個(gè)植入木馬的設(shè)備放到指定的地點(diǎn)，成為自己的一個(gè)信息搜集點(diǎn)；20多個(gè)互聯(lián)網(wǎng)主干光纖接入點(diǎn)，在全球比較大的海底光纜接入點(diǎn)，進(jìn)行流量鏡像，還有40多個(gè)衛(wèi)星通信攔截點(diǎn)。

數(shù)據(jù)采集完成后，有專門的系統(tǒng)提供給不同的情報(bào)功能使用，用于瀏覽和檢索數(shù)據(jù)，還提供了很多可視化圖或?qū)嵺`，從AS角度、地理位置角度瀏覽互聯(lián)網(wǎng)，需要進(jìn)行攻擊時(shí)，提供漏洞設(shè)備具體的信息，攻擊路徑信息、可擴(kuò)展視圖，多種數(shù)據(jù)之間的關(guān)聯(lián)視圖查詢。

藏寶圖計(jì)劃的目標(biāo)是要識(shí)別互聯(lián)網(wǎng)地圖上的任何時(shí)間、任何地點(diǎn)的任何設(shè)備。

中國(guó)高校安全參考

國(guó)內(nèi)大部分高校目前完成了愛(ài)因斯坦計(jì)劃和藏寶圖計(jì)劃的初級(jí)階段，比如IDS/IPS的部署、資產(chǎn)管理等。國(guó)內(nèi)高校正在做的工作也是美國(guó)政府在開展的業(yè)務(wù)。

從高校自身角度與今后的發(fā)展看，實(shí)際上目前學(xué)校的信息搜集能力已經(jīng)具備，包括系統(tǒng)搭建、數(shù)據(jù)收集等，但是學(xué)校欠缺的是數(shù)據(jù)分析和信息共享能力。

一方面數(shù)據(jù)系統(tǒng)可能比較缺乏，維護(hù)人員也存在不足。另一方面，高校內(nèi)部和高校之間還是各自為戰(zhàn)，存在不同的數(shù)據(jù)源，在學(xué)校內(nèi)部進(jìn)行共享和分析、不同機(jī)構(gòu)之間共享也存在不足。

在數(shù)據(jù)分析方面，需要有專業(yè)的數(shù)據(jù)存儲(chǔ)和索引；需要專業(yè)的數(shù)據(jù)支撐人員和數(shù)據(jù)分析員，但大多數(shù)高校難以滿足條件；同時(shí)還需要少數(shù)單位集中力量先行。另外，建立國(guó)家威脅信息標(biāo)準(zhǔn)、高校間的威脅情報(bào)聯(lián)盟也是高校今后需要考慮的方向。通過(guò)多舉措來(lái)共同推動(dòng)高校網(wǎng)絡(luò)空間安全的進(jìn)步發(fā)展。