IT安全篇：美国网络安全和反窃密架构

一、网络安全体系模型和架构

网络安全体系是一项复杂的系统工程，需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合，构建一体化的整体安全屏障。针对网络安全防护，美国曾提出多个网络安全体系模型和架构，其中比较经典的有PDRR模型、P2DR模型、IATF框架和黄金标准框架。

1. PDRR模型

PDRR模型由美国国防部（DoD）提出，是防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）的缩写。PDRR改进了传统的只注重防护的单一安全防御思想，强调信息安全保障的PDRR四个重要环节。图1所示为PDRR模型的主要内容。

图1 PDRR模型

2. P2DR模型

20世纪90年代末，美国国际互联网安全系统公司（ISS）提出了基于时间的安全模型——自适应网络安全模型（AdaptiveNetworkSecurityModel，ANSM），该模型也被称为P2DR（PolicyProtectionDetectionResponse）模型。该模型可量化，也可进行数学证明，是基于时间的安全模型，可以表示为：安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。

如图2所示，P2DR模型是在整体安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等手段）的同时，利用检测工具（如漏洞评估、入侵检测等系统）评估系统的安全状态，使系统保持在最低风险的状态。安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）组成了一个完整动态的循环，在安全策略的指导下保证信息系统的安全。P2DR模型提出了全新的安全概念，即安全不能依靠单纯的静态防护，也不能依靠单纯的技术手段来实现。

P2DR模型以基于时间的安全理论（TimeBasedSecurity）这一数学模型作为论述基础。该理论的基本原理是：信息安全相关的所有活动，如攻击行为、防护行为、检测行为和响应行为等都要消耗时间，因此可以用时间来衡量一个体系的安全性和安全能力。

图2 P2DR模型

3. IATF框架

信息保障技术框架（InformationAssuranceTechnicalFramework，IATF）由美国国家安全局（NSA）制定并发布，其前身是网络安全框架（NetworkSecurityFramework，NSF）。1998年起，NSA就开始着眼于美国信息化现状和信息保障的需求，建立了NSF。1999年，NSA将NSF更名为IATF，并发布IATF2.0。直到现在，随着美国信息技术的进步和对信息安全认识的逐步加深，IATF仍在不断完善和修订。

IATF是一系列保证信息和信息设施安全的指南，为建设信息保障系统及其软硬件组件定义了一个过程，依据所谓的纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。

IATF将信息系统的信息保障技术层面划分成了四个技术框架焦点域：局域计算环境（LocalComputingEnvironment）、区域边界（EnclaveBoundaries）、网络和基础设施（Networks&Infrastructures）、支撑性基础设施（SupportingInfrastructures），如图3所示。在每个焦点域内，IATF都描述了其特有的安全需求和相应的可控选择的技术措施。IATF提出这四个焦点域的目的是让人们理解网络安全的不同方面，以全面分析信息系统的安全需求，考虑恰当的安全防御机制。

四个焦点域中，局域计算环境包括服务器、客户端及其上所安装的应用程序、操作系统等；区域边界是指通过局域网相互连接、采用单一安全策略且不考虑物理位置的本地计算设备的集合；网络和基础设施提供区域互联，包括操作域网（OAN）、城域网（MAN）、校园域网（CAN）和局域网（LANs），涉及广泛的社会团体和本地用户；支撑性基础设施为网络、区域和计算环境的信息保障机制提供支持基础。

图3 IATF焦点域

IATF信息保障的核心思想是纵深防御战略，该战略为信息保障体系提供了全方位、多层次的指导思想，通过采用多层次、在各个技术框架区域中实施保障机制，以最大限度降低风险、防止攻击，保障用户信息及其信息系统的安全。IATF的纵深防御战略如图4所示，其中人（People）、技术（Technology）和操作（Operation）是主要核心因素，是保障信息及系统安全必不可少的要素。

图4 IATF的纵深防御战略

4.黄金标准框架

基于美国国家安全系统信息保障的最佳实践，NSA于2014年6月发布《美国国家安全体系黄金标准》（CommunityGoldStandardv2.0，CGS2.0）。

CGS2.0标准框架强调了网络空间安全四大总体性功能：治理（Govern）、保护（Protect）、检测（Detect）和响应与恢复（Respond&Recover），如图5所示。其中，治理功能为各机构全面了解整个组织的使命与环境、管理档案与资源、建立跨组织的弹性机制等行为提供指南；保护功能为机构保护物理和逻辑环境、资产和数据提供指南；检测功能为识别和防御机构的物理及逻辑事务上的漏洞、异常和攻击提供指南；响应与恢复功能则为建立针对威胁和漏洞的有效响应机制提供指南。

CGS框架的设计使得组织机构能够应对各种不同的挑战。该框架没有像开处方那样给出单独的一种方法来选择和实施安全措施，而是按照逻辑，将基础设施的系统性理解和管理能力、以及通过协同工作来保护组织安全的保护和检测能力整合在了一起。

图5 CGS框架示意图

5.总结

随着信息化的快速发展，网络安全已经成为影响社会各个层面的战略性国家问题，保障网络安全直接关系到国计民生、经济运行和国家安全。构建网络安全体系是进行网络安全防范的基础，能够将各种网络安全防范单元进行有机集成，形成网络安全防范系统的最高层抽象。

二、美国攻击窃密能力背后的顶层架构

1.美国的情报联盟及其情报网络

“911”之后，美国整合成16个情报部门，成立情报联盟（IC-Intelligence Community），设立国家情报总监(DNI) 和情报总监办公室（ODNI - Office of the Directorof National Intelligence），如图 6所示。

图 6 美国情报联盟、情报总监办公室和16个情报部门

美情报机构均有自己的顶层架构和情报搜集系统，相当于竖起来16个“烟囱”。美国国防部希望整合这些“烟囱”，打造情报联盟（IC）的顶层架构，提供情报机构和经费决策工具，为美国国家利益更好服务。根据斯诺登曝光材料，“五只眼”国家及其几十家情报机构建立了全球情报网络，2013年仅美国情报部门预算总计达到526亿美元，如图7所示。

图 7 斯诺登透露的“五只眼”国家情报网络和情报机构预算

2.企业架构（EA）

美国在情报整合和共享方面所作的努力由来已久，其发展轨迹如图8所示。原美国国防部负责情报工作的副部长Michael G. Vickers指出：美国及其盟国正面临不断变化、增长、复杂的威胁，为消除威胁，需建立国防安全企业（DSE）。DSE是一种治理机制，提供实现安全能力策略上监督和主张的方法，保障支持整个国防部综合优先任务的完成。这种机制就是倡导建立一个联合架构，协调各成员企业，集中优势资源，在必要时保证国家安全[2]。

图 8 国防企业架构的由来

早在上世纪70年代，美国军方就启动计划试图整合作战所需的所有设备、器材、程序来建立一个大而全的系统，由此逐步引发企业架构框架（EAF）理论的出现和发展。被誉为EAF开拓者的Zachman将企业架构(EA)称为构成组织的所有关键元素和关系的综合描述，EAF是一个描述企业架构方法的蓝图[3]。

EA可分为两大部分：

① 业务架构：是把企业的业务战略转化为日常运作的渠道，战略决定业务 架构，它包括业务的运营模式、流程体系、组织结构、地域分布等内容。

② IT架构：指导IT投资和设计决策的IT框架，是建立企业信息系统的综合蓝图，包括数据架构、应用架构和技术架构三部分。

如图 9所示，企业架构不仅仅是服务器、应用程序和网络，它涵盖了标准、人员、政策、流程、系统，其目标在于将这些内容组织和联系起来成为一个统一逻辑视图用于给出明确的业务决策[4]。仅仅靠技术创新而没有相应流程、人员、政策和标准的进步，最终结果也不可能得到改进。

图 9 企业架构的要素

3.联合架构参考模型（JARM）

为了满足美国众多情报部门更好的进行复杂协作的需求，美国情报总监专门成立了联合架构工作组（JAWG），面向情报联盟的16个成员单位，整合情报部门的顶层企业架构，从而确立了一个情报联盟核心（IC Core）的目标[1]，情报联盟核心价值的概念化模型如图10所示。

图 10IC Core架构图

联合架构工作组（JAWG）改变传统企业架构模型，建立了联合架构参考模型（JARM），如图 11所示。JARM是一种由任务/业务驱动的互操作模型，也称为十层模型。该模型分为三个层面：1-5层属于落地服务，6-7层属于面向业务的服务，8-10层属于业务驱动层。模型自顶向下展开设计，每一层都细化和映射到下一层，每一层都是其上一层的支撑和实现。

第9层“主线与场景”，表述为能力范围或主线，可以是诸如搜集国外情报、分析情报、反间谍活动等业务能力。

图 11 JARM十层模型

第8层“企业活动与业务操作”表述为企业胜任能力模型（ECM）。胜任能力模型(Competency Model)又称为素质模型，来源于人力资源管理的概念。ECM是对使命/业务功能和活动的刻画，是一种表达“做的是什么”的方式。在该层，工作组研究了美国情报联盟400多个业务功能和活动，提炼成24个胜任能力，细化为185个业务功能。每个能力又细分为策略/规划、管理和执行三大类，如图12所示。

图 12 第8层的ECM模型

ECM中的功能对应到企业服务列表（ESL）中的若干服务，由这些服务组合实现业务功能。ESL提供了一种业务驱动的、功能化的框架对企业服务进行分类，包含服务域、服务类型和服务组件，如图 13所示。

图13 ESL内容列表

第1-7层逐一由相应的技术服务分类（TST）中相应的服务来实现，如图14所示。比如第7层“应用与内容”可转换为规划与分析支撑服务、数据获取服务、元数据处理服务、开发服务、任务管理服务、任务执行服务、应用与内容安全服务等。其中任务管理服务可再细化为：采集需求管理服务、外部用户状态感知服务、任务规划、任务工作流管理、任务调度服务等等。

图 14 第1-7层对应的TST内容

JARM的10层模型依次映射为企业胜任能力模型ECM、企业服务列表ESL、技术服务分类TST。第8层可表示为ECM中的相应能力，每个能力对应的功能表示为ESL中相应的服务，具体的服务又由技术服务分类TST中的相应技术服务实现，而TST又对应到JARM中的第1-7层，如图 15所示。该模型体现了自顶向下的设计思想，每一层都细化和映射到下一层，每一层都是其上一层的支撑和实现。

图 15JARM与ECM、ESL、TST的层级关系

4.企业架构的应用成果

情报联盟企业架构模型在美国情报联盟得到广泛应用，“斯诺登事件”曝光的美国大规模监控计划是美国企业架构的重要成果。

比如，美国国防情报局建立了自己ECM模型，在规划、管理和执行层面确定了不同的职责和业务能力。为了满足这些业务能力，完成职责使命，需要诸如信息检索、数据挖掘、信息共享等服务，这些服务的不同功能则由很多具体的应用技术系统来提供，如图 16所示。“斯诺登事件”曝光之后，美国国家安全局（NSA）官员曾表态NSA并不清楚斯诺登曝光的秘密代号项目，这是因为按照企业架构模型，情报部门的官员只关心自己的职责和使命以及能够获得的服务，至于是由哪个具体代号的技术系统提供的服务，他们并不关心。

图 16 国防情报局的联合架构参考模型应用实例

再比如，NSA建立了监控引擎（Surveillance Engine）ICREACH，情报人员可以像使用Google所提供搜索服务一样检索所有监控对象，如图 12所示[5]。根据图中的统计在2007年该引擎已有记录8500亿条，按照每天增加10亿到20亿条记录计算，到2017年可以达到4.5万亿至8.15万亿条记录。

图 17ICREACH及其架构和统计数据

参考文献

[1] Randy Marks. Enterprise Architecture in the Intelligence Community: TheJoint Architecture Working Group (JAWG)[R]. (2013)http://cryptome.org/2013/09/nsa-spy-architecture.pdf

[2] DoD Report. Defense Security Enterprise Strategic Plan[R]. (2013)http://www.fas.org/sgp/othergov/dod/dse-plan.pdf

[3] From Wikipedia，ZachmanFramework.

[4] Spencer Brown. Mission/Business Driven Enterprise ArchitectureApproach[R]. (2009.9.9)

[5] Ryan Gallagher，TheSurveillance Engine How the NSA Built Its Own Secret Google, The Intercept, 2014, https://theintercept.com/2014/08/25/icreach-nsa-cia-secret-google-crisscross-proton/

来源：中国保密协会科学技术分会

剖析IC、支付、安全、移动互联网、IT运营领域的产业链关系、商业模式、产品设计、推广运营、关键技术、案例剖析。