对一个机构来说，只要其依托网络开展业务，网络的安全运转就是其管理目标的重中之重。各种安全威胁时时刻刻充斥在身边，谁也不知道何时发作。安全措施的部署是否真的有效？某些安全设备是否该更换？安全策略是否该调整？若想保障机构网络的安全运转，除了“抓内鬼”，还需要监控“外鬼”的网络攻击威胁，而且要不间断地、持续地进行检测。针对这些问题，美国提出一系列解决方案，搬出了“爱因斯坦”和“凯撒大帝”等伟人命名项目计划来拯救网络安全，其中“信息安全持续监测ISCM”是方案中非常重要的策略。

    信息安全持续监视（ISCM - Information Security Continuous Monitoring）是美国信息安全职能部门之一国家标准与技术研究院（NIST）提出的概念。NIST根据2002 年《联邦信息安全管理法案》(FISMA)制定了三个有关ISCM的特别出版物，分别是SP 800-37、SP 800-53、SP 800-137。NIST总结了持续监测三个不同角度的定义，从广义范畴定义：持续监测旨在提供告警的不间断的观测。持续监测能力是对系统的运行状态进行不间断的观测和分析，以提供有关态势感知和偏离期望的决策支撑；从网络空间安全角度：信息安全持续监测是能够保持对信息安全、漏洞和威胁的持续感知，支撑组织机构的风险管理决策；从技术角度定义：持续监测是网络空间安全的一种风险管理措施，可维护组织机构的安全态势，提供资产可视化，数据自动化反馈，监测安全策略有效性并优化补救措施。

    NIST SP 800-137从风险管理角度提出信息安全持续监测的三层机构视图，从上到下依次是机构层、任务/业务过程层、信息系统层。ISCM策略制定从上到下是细化落实过程，从下到上则是数据的收集、分析和报告过程。ISCM策略6个步骤：定义、建立、实施、分析数据及报告分析结果、响应、审查及更新。

    2010年4月，国土安全部（DHS）受美国行政管理和预算局（OMB）委任，建立了持续监测技术参考框架，即持续资产评估、态势感知和风险评分参考框架（the Continuous Asset Evaluation, Situational Awareness, and Risk Scoring, CAESARS）。框架包含传感器、数据库、分析/风险评分和展示/报告四个子系统。

    CAESARS参考框架虽然提供了技术架构的基础，但也存在一些局限。2012年，NIST基于CAESARS参考框架进一步研究和改进，在NIST IR 7756中提出了CAESARS扩展框架。改进后的CAESARS FE框架包含6个子系统，分别是展示/报告子系统、内容子系统、采集子系统、数据聚合子系统、分析/评分子系统和任务管理器。另外，NIST IR 7799中对CAESARS FE框架的工作流、子系统和接口规范进行了详细定义，NIST IR 7800结合安全内容自动化协议（Security Content Automation Protocol, SCAP）对CAESARS FE框架的数据域约束和处理规范进行了详细的定义。

    为判断网络安不安全，首先要有方方面面的数据来支撑进一步分析。持续监测的理念一方面强调持续，即以适当的频率收集数据；另一方面强调监测，即收集网络中的各种安全数据、状态数据等能体现安全态势的数据。通过多方面分析这些数据，对网络安全态势、风险等级进行评估，并将分析评估结果可视化，展现给管理网络安全风险的决策者。只有决策者全面了解了整个网络的安全状态后，才能结合机构的实际情况调整信息安全策略。单靠持续监测无法解决所有的安全问题，但可以让用户更了解自己的安全状况，不断改善安全策略，能够以积极主动的姿态防御安全威胁。

    NIST原本建议ISCM任务由各联邦机构自行建设，国土安全部以避免各个单位自行建设成本问题名义，提出集中开发“持续诊断与缓解项目”(CDM - Continuous Diagnostics and Mitigation)具体落实ISCM策略。2013年11月，美国行政管理和预算局（OMB）发布了一份备忘录M-14-03，要求所有联邦机构建立信息安全持续监控（ISCM）机制, 国土安全部被委以重任协助所有部门和机构实施此项目，OMB要求所有联邦机构在2014年2月 28日之前完成CDM/ISCM策略的部署。CDM主要保护联邦民口机构的信息系统和网络免受网络攻击。CDM项目通过提供标准化工具和云服务(CMaaS)的方式，解决各联邦机构自行开发的成本和不统一问题。这些工具包括识别偏离基线的网络安全风险、区分风险影响的严重程度、促进网络安全人员解决最重大安全问题。SuperTEK公司承包了美国政府机构持续监控系统项目，项目要求能监控分布于全球的一百多万部设备信息安全。