1.國(guó)土安全部主導(dǎo)“愛因斯坦計(jì)劃”

“愛因斯坦計(jì)劃”是美國(guó)國(guó)土安全部(DHS - Department of Homeland Security)主導(dǎo)的一個(gè)網(wǎng)絡(luò)安全自動(dòng)監(jiān)測(cè)項(xiàng)目，由國(guó)土安全部下屬的美國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)中心(US-CERT)開發(fā)，用于監(jiān)測(cè)針對(duì)政府網(wǎng)絡(luò)的入侵行為，保護(hù)政府非涉密網(wǎng)絡(luò)系統(tǒng)的安全。“愛因斯坦計(jì)劃”最早起因于2002年的《國(guó)土安全法》和《聯(lián)邦信息安全管理法案》(FISMA)，2003年12月17日由國(guó)土安全總統(tǒng)令(HSPD 7)正式提出。2009年美國(guó)政府啟動(dòng)“國(guó)家網(wǎng)絡(luò)空間安全全面創(chuàng)新計(jì)劃”(CNCI- Comprehensive National Cybersecurity Initiative)，國(guó)土安全部響應(yīng)計(jì)劃要求，提出建設(shè)“國(guó)家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)”(NCPS - National Cybersecurity Protection System)，“愛因斯坦計(jì)劃”作為執(zhí)行層面的具體項(xiàng)目納入到NCPS中。

國(guó)土安全部的重要使命之一是負(fù)責(zé)美國(guó)聯(lián)邦政府非密信息系統(tǒng)的安全，面向聯(lián)邦民口政府機(jī)構(gòu)提供基本的安全保障(安全基線-security baseline)，協(xié)助政府機(jī)構(gòu)有效管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，所提供的基本安全保障能力就是部分通過“愛因斯坦”系統(tǒng)實(shí)現(xiàn)的。“愛因斯坦”系統(tǒng)在聯(lián)邦政府網(wǎng)絡(luò)空間安全方面有兩個(gè)重要作用：一是“愛因斯坦”系統(tǒng)檢測(cè)并防止聯(lián)邦機(jī)構(gòu)免受網(wǎng)絡(luò)攻擊;二是為國(guó)土安全部提供威脅情報(bào)態(tài)勢(shì)感知能力，如檢測(cè)到一個(gè)機(jī)構(gòu)受到網(wǎng)絡(luò)攻擊威脅，能及時(shí)響應(yīng)保護(hù)其余的機(jī)構(gòu)，并幫助保護(hù)民營(yíng)部門，也就是“一人發(fā)燒感冒，大家吃藥預(yù)防”的思想。

NCPS已經(jīng)在美國(guó)政府機(jī)構(gòu)中除國(guó)防部門之外的23個(gè)聯(lián)邦政府機(jī)構(gòu)中部署運(yùn)行。國(guó)土安全部在弗吉尼亞州阿靈頓市興建了一個(gè)運(yùn)營(yíng)中心(NCCIC - National Cybersecurity and Communications Integration Center)，7×24小時(shí)監(jiān)測(cè)針對(duì)美國(guó)重要/關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊和針對(duì)美國(guó)國(guó)家安全的網(wǎng)絡(luò)威脅。

[[193336]]

2.與“愛因斯坦計(jì)劃”相關(guān)的項(xiàng)目

NCPS計(jì)劃是一個(gè)龐大的計(jì)劃，除了 “愛因斯坦計(jì)劃”之外，還有兩個(gè)落地項(xiàng)目是“可信互聯(lián)網(wǎng)接入(TIC-Trusted Internet Connection)”和“持續(xù)診斷與緩解 (CDM - Continuous Diagnostics and Mitigation) ”。CDM是國(guó)土安全部牽頭負(fù)責(zé)集中開發(fā)的項(xiàng)目，具體落實(shí)NIST提出的信息安全持續(xù)監(jiān)測(cè)(ISCM)策略(關(guān)注中國(guó)保密協(xié)會(huì)科技分會(huì)官微，了解“美國(guó)信息安全持續(xù)監(jiān)測(cè)(ISCM)簡(jiǎn)介”)。

TIC計(jì)劃由國(guó)土安全部、美國(guó)行政管理和預(yù)算局(OMB)牽頭。根據(jù)OMB備忘錄(OMB Memorandum M-08-05)，TIC的目標(biāo)是優(yōu)化和標(biāo)準(zhǔn)化當(dāng)前聯(lián)邦機(jī)構(gòu)在用的包括互聯(lián)網(wǎng)在內(nèi)的外部網(wǎng)絡(luò)連接。該項(xiàng)目通過減少和加固外部網(wǎng)絡(luò)連接，提升聯(lián)邦政府安全態(tài)勢(shì)和應(yīng)急響應(yīng)能力，同時(shí)提供對(duì)外部網(wǎng)絡(luò)連接的強(qiáng)大監(jiān)視和態(tài)勢(shì)感知能力。具體操作上，將聯(lián)邦政府各部門網(wǎng)絡(luò)合并成單一的、接入TIC的政府網(wǎng)絡(luò)，為聯(lián)邦政府網(wǎng)絡(luò)提供一個(gè)共同的安全解決方案。

3.“愛因斯坦計(jì)劃”的基本架構(gòu)

愛因斯坦計(jì)劃實(shí)際上是一個(gè)入侵檢測(cè)系統(tǒng)，可監(jiān)視美國(guó)政府機(jī)關(guān)各部門網(wǎng)絡(luò)關(guān)口的非授權(quán)流量。2013年DHS下屬的網(wǎng)絡(luò)安全部門(NSD)開始實(shí)施具有初步入侵防御能力的“EINSTEIN 3A”，可提供 .gov網(wǎng)站的主動(dòng)防護(hù)能力。其中有一個(gè)支持主動(dòng)防御功能的主要模塊稱為“鳥巢(Nest)”，該模塊是一個(gè)保密設(shè)備，部署在每個(gè).gov網(wǎng)絡(luò)的出入口，有惡意流量阻斷、域名服務(wù)器阻斷和郵件過濾等功能。DHS將惡意活動(dòng)的專用指示信息(specific indicators)共享給互聯(lián)網(wǎng)服務(wù)提供商(ISP)，ISP依此檢測(cè)和特征匹配已知惡意網(wǎng)絡(luò)流量模式。該計(jì)劃如果全面部署，就能發(fā)揮出“國(guó)家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)(NCPS)”的作用，一旦根據(jù)特征檢測(cè)到已知或受質(zhì)疑的網(wǎng)絡(luò)攻擊威脅，NCPS應(yīng)該可以阻止網(wǎng)絡(luò)威脅并防止破壞攻擊目標(biāo)，也可以借助來自商業(yè)界和政府的資源為所有聯(lián)邦機(jī)構(gòu)提供在線的防護(hù)措施。

4.“愛因斯坦計(jì)劃”進(jìn)展

“愛因斯坦計(jì)劃”從2003年開始，已經(jīng)經(jīng)歷了兩次重大升級(jí)，從EINSTEIN 1、EINSTEIN 2到目前的EINSTEIN 3A，目標(biāo)和功能都有了調(diào)整，錢也花了不少。根據(jù)2015年4月美國(guó)審計(jì)署(GAO)的報(bào)告，截至2014年，該計(jì)劃已經(jīng)累計(jì)花費(fèi)了12.5億美元。經(jīng)費(fèi)投入總體呈現(xiàn)增長(zhǎng)趨勢(shì)，投入比例從早期關(guān)注入侵檢測(cè)逐步轉(zhuǎn)向關(guān)注入侵防御、分析和共享能力建設(shè)。

5.對(duì)“愛因斯坦計(jì)劃”的詬病

2015年6月初，美國(guó)人事管理局(OPM)的電腦遭到大規(guī)模網(wǎng)絡(luò)攻擊，導(dǎo)致400萬現(xiàn)任和前任員工個(gè)人信息被盜。這件事情引起官方和社會(huì)輿論對(duì)國(guó)土安全部花費(fèi)上百億美元打造的網(wǎng)絡(luò)安全計(jì)劃NCPS的普遍質(zhì)疑。人事管理局(OPM)也是國(guó)土安全部部署“愛因斯坦計(jì)劃”和“持續(xù)診斷與緩解CDM”的部門，這兩個(gè)項(xiàng)目曾號(hào)稱是能夠?qū)崟r(shí)對(duì)抗此類攻擊的基石。不幸的是，這個(gè)“基石”用了5個(gè)月時(shí)間才發(fā)現(xiàn)這次大規(guī)模網(wǎng)絡(luò)攻擊，而攻擊的影響還在進(jìn)行評(píng)估分析中。

來自GAO的批評(píng)：2016年1月，美國(guó)審計(jì)署(GAO，General Accounting Office)提交的一份給國(guó)會(huì)的報(bào)告《DHS Needs to Enhance Capabilities, Improve Planning, and Support Greater Adoption of Its National Cybersecurity Protection System》，該報(bào)告對(duì)“愛因斯坦計(jì)劃”項(xiàng)目提出了嚴(yán)厲的批評(píng)，稱該系統(tǒng)“言過其實(shí)”，沒有達(dá)到其原來聲稱的目標(biāo)，僅“部分達(dá)標(biāo)”。該系統(tǒng)在入侵檢測(cè)、入侵防御、分析能力和信息共享等方面都存在較大差距。

根據(jù)GAO報(bào)告，NCPS僅僅能從2014年CVE報(bào)告的489個(gè)漏洞里檢測(cè)出來其中的29個(gè)，檢測(cè)成功率不到6%，94%的漏洞檢測(cè)失效。另外，國(guó)土安全部雖然研究了NCPS性能的測(cè)試方法，但是并沒有給出該系統(tǒng)入侵檢測(cè)和防御等方面在質(zhì)量、準(zhǔn)確度和有效性上的指標(biāo)。結(jié)果是國(guó)土安全部不能描述NCPS的貢獻(xiàn)和價(jià)值。需要支持的23家聯(lián)邦機(jī)構(gòu)，只有5家能夠獲得入侵防御的服務(wù)。因此，這套系統(tǒng)的實(shí)效性非常有限。

來自民間的批評(píng)：人事管理局(OPM)遭到大規(guī)模網(wǎng)絡(luò)攻擊，也引起社會(huì)輿論和民間對(duì)“愛因斯坦計(jì)劃”和“持續(xù)診斷與緩解CDM”項(xiàng)目的廣泛批評(píng)。

 【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文