虽然2013年美国呈现当局封锁、债务上限、预算构和和延续的政治作秀等状况，一个复杂年夜而昂贵的当局项目已在比来几周开端稳步摆设。

　　不受实事影响，在收到1.5亿美元的初始分派资金后，美国总务治理局与河山安然局(DHS)已开端摆设被称为持续诊断缓和解(Continuous Diagnostics and Mitigation，CDM)的项目。对这个项目，良多不附属于当局的实体更加熟谙的名字是持续安然监控，该项目标方针是操纵最新手艺和尺度化政策，春联邦当局最首要的收集资本摆设持续监控。

　　企业可以从当局的工作中进修到良多经验。本文中让我们进一步深进这个持续安然监控的概念，并切磋你的企业若何可以从这类摆设中获益。

　　CDM和CSM含义

　　CDM项目是一种采购和谈，它帮忙几十家私营联邦当局机构采购产品来摆设持续安然监控(CSM)，以融进DHS设计的架构。当然该和谈有60亿美元的上限，个别机构仍然需要按照和谈本身筹集资金来采办产品。

　　简单地说，CSM是指不竭查抄企业中最首要的收集资本。这个术语中利用的“持续”的含义是，某些资产将被全天候监控，当产生任何异常环境时，预警机制将会通知系统治理员。当然事实上，CSM已存在了相当一段时候了，但直到比来才呈现专门的术语。

　　多年来，企业的收集安然策略是经由过程摆设各类进侵防御/检测系统(IDS/IPS)与某种日记记实机制来监控和呵护收集。但是，跟着安然专业人员和企业收集的不竭进步，企业开端构建和摆设更全方位的解决方案。到此刻，不但仅是联邦当局，良多企业都开端倡导和撑持成熟的CSM解决方案。

　　经由过程CDM项目，DHS的重点是让当局机构摆设六步CSM过程：安装和更新收集扫描传感器、主动化搜刮已知系统缝隙、汇集扫描成果、会审和阐发成果、减缓最大年夜或最严重的缝隙，和陈述进展环境。其目标是让私营机构在72小时传感器摆设中充分诊断其收集。

　　当然这一项目是不是会成功还有待不雅察，但这是受大年夜型采办和谈撑持的“大志勃勃”的项目。假定成功的话，这将较着帮忙联邦当局机构进步信息安然性。SANS研究所的Alan Paller在描述该项目标潜力时暗示，CDM“将会改革收集安然东西的蓝图，关头根本举措措施和其他企业将从中进修到的经验教训，帮忙他们优化收集安然支出和遏制华侈更多钱采办高价位低效力东西。”

　　企业CSM：起步

　　那么，平易近营企业若何跟从当局的法度来摆设这类持续安然监控呢?当然决定计划者可以从赛门铁克、Tenable、TripWire、FireMon等供给商选购各类商业监控产品，但事实上，大年夜大都企业收集已有一些需要的东西来开端摆设CSM。但是，在会商东西之前，让我们看看CSM打算过程的一个首要部门：设备分类。

　　在摆设持续监控系统之前，企业必需决定哪些收集组件和网段应优先用于持续监控。摆设传感器和解释成果的资本都很有限，所以企业应当采纳基于风险的做法来摆设CSM。起首应当从数据敏感度和/或任务关头性最高的关头资产开端。此中，包含关头资产数量最多的收集是CSM初始摆设的首要方针。从那边，你可以继续利用基于风险的编制操纵可用的资本扩大年夜你的摆设到其他网段。

　　企业CSM东西：操纵你现有的设备

　　在考虑哪些现有东西可用于持续安然监控时，请寄望，这些东西不克不及作为专用CSM系统的持久替代方案，而只是临时替代。假定企业已有IDS/IPS、缝隙治理产品、收集列举解决方案和某种类型的收集日记记实机制，就已可以摆设一个简单的CSM系统。

　　当触及IDS时，一个风行的开源东西是Sourcefire(此刻已回思科公司所有)的Snort。这个广受欢迎的产品供给了很是矫捷的法则治理系统，使你可以从社区更新，并弥补你本身的自定义脚本法则来监控你的收集上的状况。

　　收集列举

　　别的一个常常被忽视的CSM部门是收集列举。对此刻企业收集内日趋风行的携带本身设备到工作场合(BYOD)策略，这尤其首要。简单地说，你很难持续监控你不知道其存在的东西。当然收集列举东西有多种多样，我们知道一个很是受欢迎的易于利用的颠末时候查验的开源东西是Nmap。市道上有良多针对Nmap的不合的图形用户界面，但Nmap的核心是一个号令行东西，很像Snort，具有很强的可编写脚赋性。例如，假定系统治理员知道其内部收集IP范围是10.0.0.0/16，那么，为了定位该收集范围内的每台设备，他们应当键进以下号令：

　　nmap 10.0.0.0/16 >>mytextfile.txt

　　这个号令可以奉告Nmap东西定位给定子网内的每台设备，并输出节点信息到文本文件，这将帮忙系统治理员更好地辨认所有收集设备。

　　日记记实：没有它的话，CSM不会成功

　　对持续安然监控，最后或许是最首要的方面是日记记实。日记供给了有关系统和收集上的勾当的首要审计线索，使安然专业人员可以从头建构可能导致安然变乱的事务。日记阐发东西可以检测标题问题并找出不成能被发现的标题问题。例如，对经由过程直接登录到敏感机械而没有产生收集流量的内部报复打击，日记阐发多是独一的安然信息来历。

　　与收集列举东西一样，日记记实东西也是多种多样的，但可以必定地说，此刻企业中有一个很是风行(假定说不是最风行)的日记记实机制是Linux办事—syslog。因为syslog具有高度可编写脚赋性，并且具有很是细粒度的数据汇集程度，良多企业发现他们可以很等闲地调剂其日记记实功能来知足其特定需求。例如，假定系统治理员想发送所有Snort警报到syslog办事器，他们会浏览到etc/snort/snort.conf 并在建设文件末尾增加以下号令：

　　output alert_syslog:host=10.0.0.1:514, LOG_AUTH LOG_ALERT

　　上述号令的前提是，该syslog办事器的IP地址是10.0.0.1，并且它正在监听UDP端口514。当系统治理员建设警报来记实异常进站和/或出站连接、在本地收集中插进新设备或治理员觉得值得警戒的其他收集事务时，这个号令出格有效，并具有高度可扩大性。

　　结论

　　持续安然监控正在联邦当局和私营部门内获得鞭策力。河山安然局的CDM步履为联邦当局用户供给了一个共同的框架，并概述了合适各行各业企业的摆设编制。这个框架的可用性，和CDM采购和谈(各类安然监控东西)应当会鞭策联邦当局内的摆设。并且，联邦当局的步履很可能会鞭策私营企业，在全部公共和专用收集内给安然根本举措措施摆设带来一种新的紧急感。