對(duì)一個(gè)機(jī)構(gòu)來說，只要其依托網(wǎng)絡(luò)開展業(yè)務(wù)，網(wǎng)絡(luò)的安全運(yùn)轉(zhuǎn)就是其管理目標(biāo)的重中之重。各種安全威脅時(shí)時(shí)刻刻充斥在身邊，誰也不知道何時(shí)發(fā)作。安全措施的部署是否真的有效？某些安全設(shè)備是否該更換？安全策略是否該調(diào)整？若想保障機(jī)構(gòu)網(wǎng)絡(luò)的安全運(yùn)轉(zhuǎn)，除了“抓內(nèi)鬼”，還需要監(jiān)控“外鬼”的網(wǎng)絡(luò)攻擊威脅，而且要不間斷地、持續(xù)地進(jìn)行檢測(cè)。針對(duì)這些問題，美國提出一系列解決方案，搬出了“愛因斯坦”和“凱撒大帝”等偉人命名項(xiàng)目計(jì)劃來拯救網(wǎng)絡(luò)安全，其中“信息安全持續(xù)監(jiān)測(cè)ISCM”是方案中非常重要的策略。

    信息安全持續(xù)監(jiān)視（ISCM - Information Security Continuous Monitoring）是美國信息安全職能部門之一國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）提出的概念。NIST根據(jù)2002 年《聯(lián)邦信息安全管理法案》(FISMA)制定了三個(gè)有關(guān)ISCM的特別出版物，分別是SP 800-37、SP 800-53、SP 800-137。NIST總結(jié)了持續(xù)監(jiān)測(cè)三個(gè)不同角度的定義，從廣義范疇定義：持續(xù)監(jiān)測(cè)旨在提供告警的不間斷的觀測(cè)。持續(xù)監(jiān)測(cè)能力是對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行不間斷的觀測(cè)和分析，以提供有關(guān)態(tài)勢(shì)感知和偏離期望的決策支撐；從網(wǎng)絡(luò)空間安全角度：信息安全持續(xù)監(jiān)測(cè)是能夠保持對(duì)信息安全、漏洞和威脅的持續(xù)感知，支撐組織機(jī)構(gòu)的風(fēng)險(xiǎn)管理決策；從技術(shù)角度定義：持續(xù)監(jiān)測(cè)是網(wǎng)絡(luò)空間安全的一種風(fēng)險(xiǎn)管理措施，可維護(hù)組織機(jī)構(gòu)的安全態(tài)勢(shì)，提供資產(chǎn)可視化，數(shù)據(jù)自動(dòng)化反饋，監(jiān)測(cè)安全策略有效性并優(yōu)化補(bǔ)救措施。

    NIST SP 800-137從風(fēng)險(xiǎn)管理角度提出信息安全持續(xù)監(jiān)測(cè)的三層機(jī)構(gòu)視圖，從上到下依次是機(jī)構(gòu)層、任務(wù)/業(yè)務(wù)過程層、信息系統(tǒng)層。ISCM策略制定從上到下是細(xì)化落實(shí)過程，從下到上則是數(shù)據(jù)的收集、分析和報(bào)告過程。ISCM策略6個(gè)步驟：定義、建立、實(shí)施、分析數(shù)據(jù)及報(bào)告分析結(jié)果、響應(yīng)、審查及更新。

    2010年4月，國土安全部（DHS）受美國行政管理和預(yù)算局（OMB）委任，建立了持續(xù)監(jiān)測(cè)技術(shù)參考框架，即持續(xù)資產(chǎn)評(píng)估、態(tài)勢(shì)感知和風(fēng)險(xiǎn)評(píng)分參考框架（the Continuous Asset Evaluation, Situational Awareness, and Risk Scoring, CAESARS）。框架包含傳感器、數(shù)據(jù)庫、分析/風(fēng)險(xiǎn)評(píng)分和展示/報(bào)告四個(gè)子系統(tǒng)。

    CAESARS參考框架雖然提供了技術(shù)架構(gòu)的基礎(chǔ)，但也存在一些局限。2012年，NIST基于CAESARS參考框架進(jìn)一步研究和改進(jìn)，在NIST IR 7756中提出了CAESARS擴(kuò)展框架。改進(jìn)后的CAESARS FE框架包含6個(gè)子系統(tǒng)，分別是展示/報(bào)告子系統(tǒng)、內(nèi)容子系統(tǒng)、采集子系統(tǒng)、數(shù)據(jù)聚合子系統(tǒng)、分析/評(píng)分子系統(tǒng)和任務(wù)管理器。另外，NIST IR 7799中對(duì)CAESARS FE框架的工作流、子系統(tǒng)和接口規(guī)范進(jìn)行了詳細(xì)定義，NIST IR 7800結(jié)合安全內(nèi)容自動(dòng)化協(xié)議（Security Content Automation Protocol, SCAP）對(duì)CAESARS FE框架的數(shù)據(jù)域約束和處理規(guī)范進(jìn)行了詳細(xì)的定義。

    為判斷網(wǎng)絡(luò)安不安全，首先要有方方面面的數(shù)據(jù)來支撐進(jìn)一步分析。持續(xù)監(jiān)測(cè)的理念一方面強(qiáng)調(diào)持續(xù)，即以適當(dāng)?shù)念l率收集數(shù)據(jù)；另一方面強(qiáng)調(diào)監(jiān)測(cè)，即收集網(wǎng)絡(luò)中的各種安全數(shù)據(jù)、狀態(tài)數(shù)據(jù)等能體現(xiàn)安全態(tài)勢(shì)的數(shù)據(jù)。通過多方面分析這些數(shù)據(jù)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)、風(fēng)險(xiǎn)等級(jí)進(jìn)行評(píng)估，并將分析評(píng)估結(jié)果可視化，展現(xiàn)給管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的決策者。只有決策者全面了解了整個(gè)網(wǎng)絡(luò)的安全狀態(tài)后，才能結(jié)合機(jī)構(gòu)的實(shí)際情況調(diào)整信息安全策略。單靠持續(xù)監(jiān)測(cè)無法解決所有的安全問題，但可以讓用戶更了解自己的安全狀況，不斷改善安全策略，能夠以積極主動(dòng)的姿態(tài)防御安全威脅。

    NIST原本建議ISCM任務(wù)由各聯(lián)邦機(jī)構(gòu)自行建設(shè)，國土安全部以避免各個(gè)單位自行建設(shè)成本問題名義，提出集中開發(fā)“持續(xù)診斷與緩解項(xiàng)目”(CDM - Continuous Diagnostics and Mitigation)具體落實(shí)ISCM策略。2013年11月，美國行政管理和預(yù)算局（OMB）發(fā)布了一份備忘錄M-14-03，要求所有聯(lián)邦機(jī)構(gòu)建立信息安全持續(xù)監(jiān)控（ISCM）機(jī)制, 國土安全部被委以重任協(xié)助所有部門和機(jī)構(gòu)實(shí)施此項(xiàng)目，OMB要求所有聯(lián)邦機(jī)構(gòu)在2014年2月 28日之前完成CDM/ISCM策略的部署。CDM主要保護(hù)聯(lián)邦民口機(jī)構(gòu)的信息系統(tǒng)和網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。CDM項(xiàng)目通過提供標(biāo)準(zhǔn)化工具和云服務(wù)(CMaaS)的方式，解決各聯(lián)邦機(jī)構(gòu)自行開發(fā)的成本和不統(tǒng)一問題。這些工具包括識(shí)別偏離基線的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、區(qū)分風(fēng)險(xiǎn)影響的嚴(yán)重程度、促進(jìn)網(wǎng)絡(luò)安全人員解決最重大安全問題。SuperTEK公司承包了美國政府機(jī)構(gòu)持續(xù)監(jiān)控系統(tǒng)項(xiàng)目，項(xiàng)目要求能監(jiān)控分布于全球的一百多萬部設(shè)備信息安全。