從高校自身與今后發(fā)展看，實際上目前學(xué)校的信息搜集能力已經(jīng)具備，但是仍欠缺的是數(shù)據(jù)分析和信息共享能力。

美國網(wǎng)絡(luò)空間戰(zhàn)略

美國網(wǎng)絡(luò)空間戰(zhàn)略的發(fā)展起步很早，從1998年克林頓政府發(fā)布《PDD-63總統(tǒng)令》，提出保護國家信息關(guān)鍵基礎(chǔ)設(shè)施，到距今20年的時間中，形成了很明顯的重心變化。美國網(wǎng)絡(luò)空間戰(zhàn)略走過了四個階段：

第一階段，稱為態(tài)勢感知體系發(fā)展——基本組件構(gòu)建階段（1998～2002），倡導(dǎo)建立基本防御體系。

第二階段，基本能力構(gòu)建階段（2005～2010），目標(biāo)是建立完備的數(shù)據(jù)獲取、分析能力，建立國家級信息安全運營中心等。

第三階段，擴展能力構(gòu)建階段（2010～2015），掌握全球形勢，形成主動探測能力和快速響應(yīng)、作戰(zhàn)能力，開始了三個重量級的計劃——NSA-藏寶圖計劃、DHS-SHINE(SHODAN)、DAPRA-X計劃,針對全球互聯(lián)網(wǎng)形成探測。

第四階段，溯源反制能力構(gòu)建階段（2011～2018），倡導(dǎo)建立主動防御、溯源反制能力，并不斷進行擴展，從積極防御轉(zhuǎn)變?yōu)楣敉亍?/p>

美國網(wǎng)絡(luò)空間態(tài)勢感知體系的構(gòu)成見圖1，分為聯(lián)邦政府網(wǎng)絡(luò)和軍事網(wǎng)絡(luò)兩個部分，由不同的部門主管，建立各自的態(tài)勢感知體系。

在系統(tǒng)建設(shè)方面，態(tài)勢感知體系包含兩大業(yè)務(wù)系統(tǒng)，這兩大系統(tǒng)之間會進行威脅情報交換。一是DHS（美國國土安全部）的愛因斯坦計劃，能夠?qū)崟r監(jiān)測聯(lián)邦政府網(wǎng)絡(luò)，保證最快安全響應(yīng)，促進國家關(guān)鍵部門（非聯(lián)邦網(wǎng)絡(luò)，大型企業(yè)、關(guān)鍵基礎(chǔ)設(shè)施等）網(wǎng)絡(luò)安全。二是Tutelage系統(tǒng)，用來實時監(jiān)測軍隊網(wǎng)絡(luò)、全球網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)獲取，實現(xiàn)定點打擊能力。為達成這些目標(biāo)，NSA（美國國家安全局）開展大量保密項目，進行全球數(shù)據(jù)監(jiān)聽和全球定點打擊能力的建設(shè)。

DHS和愛因斯坦計劃

DHS的目標(biāo)是保護國家關(guān)鍵基礎(chǔ)設(shè)施。DHS下設(shè)4個不同部門，其中與網(wǎng)絡(luò)空間安全相關(guān)的是第一個部門NPPD(國家保護與計劃司)和第三個部門US-CERT（美國網(wǎng)絡(luò)應(yīng)急響應(yīng)中心）,這兩個部門主要負責(zé)信息安全基礎(chǔ)設(shè)施。

愛因斯坦計劃（Einstein Program）,也稱為國家網(wǎng)絡(luò)空間安全保護系統(tǒng)，最新的版本稱為EINSTEIN3 Accerlerated，它的目標(biāo)是保護聯(lián)邦政府機構(gòu)的網(wǎng)絡(luò)，由NPPD負責(zé)建設(shè)，US-CERT負責(zé)運行和使用。它是一個公開的網(wǎng)絡(luò)，信息對外開放。

愛因斯坦計劃分為三個建設(shè)階段。最早的階段從2003年開始部署，當(dāng)時在所有政府的網(wǎng)絡(luò)出口部署探針I(yè)DS，監(jiān)控網(wǎng)絡(luò)流量，基于數(shù)據(jù)流進行檢測，對異常事件報警并進行響應(yīng)。第二階段開始于2009年，部署IDS，同時該階段與CNCI（國家網(wǎng)絡(luò)空間安全計劃）合并更名為NCPS,將基于流的檢測升級為DPI檢測。第三階段開始于2010年，除了檢測、防御，又加入了自動對惡意流量阻斷；2012年開始E3A，即愛因斯坦計劃第三階段加速，引入了主要運營商（ISP）的IPS服務(wù)，把端點延伸到了運營商，將政府網(wǎng)絡(luò)接入點的保護放在運營商，由運營商代替政府完成流量過濾和清洗等防御工作。

圖1 美國網(wǎng)絡(luò)空間態(tài)勢感知體系構(gòu)成

愛因斯坦計劃包含五大部分，核心設(shè)施、入侵檢測、入侵防御、數(shù)據(jù)分析和信息共享。核心設(shè)施，是運行防御任務(wù)的基礎(chǔ)軟硬件設(shè)施，包括任務(wù)信息環(huán)境MOE，E3A任務(wù)運行環(huán)境E3A-MOE，事件管理系統(tǒng)IMS和開發(fā)運行環(huán)境Dev/Test。入侵檢測系統(tǒng)，包括愛因斯坦一代、二代檢測系統(tǒng)，還有被動域名服務(wù)報文檢測系統(tǒng)pDNS，pDNS主要用于收集、存儲和分析聯(lián)邦機構(gòu)網(wǎng)絡(luò)中產(chǎn)生的所有DNS數(shù)據(jù)。數(shù)據(jù)分析系統(tǒng)，包括報文分析系統(tǒng)PCAP，安全信息與事件管理系統(tǒng)SIEM，增強分析數(shù)據(jù)庫EADB，高級惡意軟件分析中心AMAC，數(shù)據(jù)媒體分析環(huán)境DMA。信息共享系統(tǒng)，包括網(wǎng)絡(luò)加密共享CyberScope，網(wǎng)絡(luò)應(yīng)急響應(yīng)組接口US-CERT，增強分析數(shù)據(jù)庫CIR與高級惡意軟件分析中心CIAP。入侵防御系統(tǒng)，主要用于Web防御與過濾（WAF）,還有郵件的防御和過濾（附件掃描和過濾）。

愛因斯坦計劃的總體目標(biāo)，是建立國家網(wǎng)絡(luò)安全保護體系（NCPS），將入侵檢測、分析、防御以及信息共享的四種能力集成在一起，保護聯(lián)邦政府的IT信息基礎(chǔ)設(shè)施的安全，免于遭受外部的網(wǎng)絡(luò)侵襲。

NSA/CSS與藏寶圖計劃

藏寶圖計劃由NSA和CSS(中央安全局)兩個部門共同負責(zé)，NSA的局長一般會兼任CSS局長,共同合作成立NTOC（威脅作戰(zhàn)中心），由NSA負責(zé)維護運行，搜集全球互聯(lián)網(wǎng)情報，用于建立態(tài)勢感知能力。藏寶圖計劃TreasureMap,實際是通過建立大規(guī)模互聯(lián)網(wǎng)映射、探測和分析引擎系統(tǒng)，建立一個近實時的交互式的全球互聯(lián)網(wǎng)地圖，目的是能夠描繪任何時間點互聯(lián)網(wǎng)上的任何地點的任何設(shè)備。它主要服務(wù)于網(wǎng)絡(luò)空間安全的態(tài)勢感知（包含敵我雙方），用于計算機攻擊、漏洞利用環(huán)境的準(zhǔn)備，以及網(wǎng)絡(luò)偵查、作戰(zhàn)有效性的測量等。它的面向范圍包括IPv4、IPv6（部分），關(guān)注網(wǎng)絡(luò)層（路由與自治域），包含物理層、鏈路層和應(yīng)用層。

藏寶圖的數(shù)據(jù)由美國主導(dǎo)，多方共建共享。 由美國、英國、澳大利亞、加拿大、新西蘭共同成立了五眼聯(lián)盟，情報數(shù)據(jù)在五個國家間互相共享。在美國內(nèi)部，建立了全球聯(lián)合情報通信系統(tǒng)，由16個獨立的情報部門共享情報信息。

藏寶圖的數(shù)據(jù)來源非常豐富，包括互聯(lián)網(wǎng)的開源情報，學(xué)術(shù)界工具和數(shù)據(jù)集，信號情報、商業(yè)購買與信息保障梳理（針對自有資產(chǎn)）。數(shù)據(jù)類型（開源/商業(yè)/學(xué)術(shù)）的來源也很豐富，包括BGP、Traceroute、Registries、DNS、OS Fingerprints等。

NSA的全球采集點，基于五眼聯(lián)盟擴大到30多個第三方國家情報組織之間共享數(shù)據(jù)源，還有80多個特殊情報數(shù)據(jù)源，也就是不同國家的大使館；50000多個木馬設(shè)備，通過將一個植入木馬的設(shè)備放到指定的地點，成為自己的一個信息搜集點；20多個互聯(lián)網(wǎng)主干光纖接入點，在全球比較大的海底光纜接入點，進行流量鏡像，還有40多個衛(wèi)星通信攔截點。

數(shù)據(jù)采集完成后，有專門的系統(tǒng)提供給不同的情報功能使用，用于瀏覽和檢索數(shù)據(jù)，還提供了很多可視化圖或?qū)嵺`，從AS角度、地理位置角度瀏覽互聯(lián)網(wǎng)，需要進行攻擊時，提供漏洞設(shè)備具體的信息，攻擊路徑信息、可擴展視圖，多種數(shù)據(jù)之間的關(guān)聯(lián)視圖查詢。

藏寶圖計劃的目標(biāo)是要識別互聯(lián)網(wǎng)地圖上的任何時間、任何地點的任何設(shè)備。

中國高校安全參考

國內(nèi)大部分高校目前完成了愛因斯坦計劃和藏寶圖計劃的初級階段，比如IDS/IPS的部署、資產(chǎn)管理等。國內(nèi)高校正在做的工作也是美國政府在開展的業(yè)務(wù)。

從高校自身角度與今后的發(fā)展看，實際上目前學(xué)校的信息搜集能力已經(jīng)具備，包括系統(tǒng)搭建、數(shù)據(jù)收集等，但是學(xué)校欠缺的是數(shù)據(jù)分析和信息共享能力。

一方面數(shù)據(jù)系統(tǒng)可能比較缺乏，維護人員也存在不足。另一方面，高校內(nèi)部和高校之間還是各自為戰(zhàn)，存在不同的數(shù)據(jù)源，在學(xué)校內(nèi)部進行共享和分析、不同機構(gòu)之間共享也存在不足。

在數(shù)據(jù)分析方面，需要有專業(yè)的數(shù)據(jù)存儲和索引；需要專業(yè)的數(shù)據(jù)支撐人員和數(shù)據(jù)分析員，但大多數(shù)高校難以滿足條件；同時還需要少數(shù)單位集中力量先行。另外，建立國家威脅信息標(biāo)準(zhǔn)、高校間的威脅情報聯(lián)盟也是高校今后需要考慮的方向。通過多舉措來共同推動高校網(wǎng)絡(luò)空間安全的進步發(fā)展。