简读爱因斯坦计划－美国的网络空间态势感知，从零基础到精通，收藏这篇就够了！_我国自2009年起也开始推进相关研究,中国科学院计算所同年开启了网络空间靶场的技-CSDN博客

本文链接：https://blog.csdn.net/Python_0011/article/details/146120886

引言

我国近年民间开始出现“态势感知”方面的技术研究，2015年官方开始启动和探索，国内安全商业机构纷纷启动对于此领域的产品和商业化方案。美国的众多标志性事件促使了一次次的变革手段的出台，最有名的是911事件后组建了DHS以及发布了著名的FISMA法案，近几年的维基解密事件、棱镜门事件等都推动了发展。

美国在2003年开始启动全面的网络空间安全监控计划，并在法律、机构、商业、政治、外交、军事、情报等领域展开行动，本文简读该计划旨在探讨并启发，网络战争已足以操纵全球信息流动和世界经济命脉，改变国家力量对比和世界政治格局。

一、什么是爱因斯坦计划？

“爱因斯坦计划”起源于国土安全法和联邦信息安全管理法案，由美国联邦政府主导的一个网络安全自动监测项目,用于监测政府网络入侵行为,保护政府网络系统安全。一旦遭受网络攻击,监测系统将自动报警给国土安全部下属的美国计算机应急响应小组(US-CERT)。

简言之，是一个政府主导，各商业机构参与的国家级大项目，并在法律上由美国政府签署核投资，美国国家安全局全面执行的跨度大、项目众多的国家计划。

这里需要说明几个细节，爱因斯坦计划（EINSTEIN）是2003年启动，但在2009年美国政府启动了全面国家网络空间安全计划（CNCI），爱因斯坦计划并入CNCI，并改名为NCPS（National CybersecurityProtection System，国家网络空间安全保护系统）。

爱因斯坦计划包括1、2、3，分别启动于2003、2007、2008年。

目的是把美国联邦机构各自的互联网出口数据汇集并分析、感知，获取整个联邦政府的安全态势，提高相互之间的信息共享、信息安全的协同。

美国国土安全部（DHS）通过爱因斯坦计划自动高效地去收集、关联、分析和共享通信数据，感知网络中的各种威胁行为，从而采取对策。

二、该计划的主要核心技术发展

爱因斯坦计划所对应的系统可以分为两个部分：传感器部分和分析中心部分。

爱因斯坦计划1主要采用的是＊flow技术（NetFlow，此外还有sFlow，jFlow，IPFIX等），采集网络数据供US-CERT分析并提出修复措施。相比于计划1的采样数据，爱因斯坦计划2则采用了DPI技术的全数据采集，分析通过IDS技术，主要是商用规则和US-CERT精简规则，侧重攻击行为的发现。数据保存期至少3年。

以上两项计划完成的功能相当于计划1只采样收集数据用于分析，计划2则增加了可疑对象的行为和数据。爱因斯坦3计划（EINSTEIN-3A）的数据采集依然是DPI和DFI技术，分析技术以IPS（入侵防御技术）为主，由NSA（国家安全局）主导开发，识别网络空间威胁（Cyber Threat），包括钓鱼、IP欺骗、僵尸网络、DoS、DDoS、中间人攻击、恶意代码插入等威胁，见下图：

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
需要注意的是计划3的入侵防御技术，代号为Tutelage已经用于保护军方网络。

以上三个阶段完成了入侵检测、防御、双向流量实时全包检测，第四个阶段在CNCI要求由国土安全局的NCSC来协调6大中心：事件响应中心、威胁行动中心、应急响应中心、联合任务组－全球网络行动中心、DC3、国家网络空间调查联合任务小组。通过横跨6大中心的态势感知分析，得出美国在情报、国防、国土安全、司法等网络方面的状态。第五个阶段则是借助大数据分析和处理能力，实施全球网络监控。美国国土安全局目前维护了世界最大的数据中心，收集和保存全球所有个人和组织的交流信息，包括邮件、手机通信记录、搜索记录、个人形踪、金融、外交、法律文书等。

三、隐私方面的争议

“爱因斯坦3A”计划启动后一直备受压力，特别是运营商AT&T的加入合作。该计划可以收集和监控私人通信的内容并进行存储，同时在全球范围内展开对恶意行为源头的追踪和打击、溯源。由于此计划的项目过多，且是基于深度包的检查，美国民众关心对于隐私问题的关注。

争议最大最大的宪法障碍是“第四次修订案”（禁止“无理搜查和扣押”），第四修正案并没有如同预期的那样成为计划规划的实际障碍，美国政府认为政府在网络中进行大规模的信息嗅探将是合法的。

200年9月统计为19个政府部门使用了爱因斯坦计划1，8个联邦部门使用了爱因斯坦计划2，维基解密事件发生后促使2400多个接入点处于严密防护。

美国国土安全部的首席隐私官通过隐私影响评估（PIA的）来识别和减轻隐私程序进行，并帮助公众了解哪些个人身份信息部正在收集，为什么正在收集它，它如何被使用，共享，访问和存储。

四、该计划的的发展

奥巴马政府2010年3月2日对CNCI（国家网络安全综合计划）的部分内容进行解密。通过3个重要目标，进而保护美国的网络空间安全：1、通过_态势感知能力_加强入侵的防御能力；2、加强反情报能力；3、加强协调联邦政府合作能力，巩固网络安全。

CNCI计划的12项内容主要内容是关于可信互联网连接计划（TIC）的推行，并部署爱因斯坦计划。同时制定美国有名的6大中心协调合作、反情报、培训等。

从2009年开始，美国政府启动了全面国家网络空间安全计划（CNCI），爱因斯坦计划并入CNCI，并改名为NCPS（National CybersecurityProtection System，国家网络空间安全保护系统），同时并入的还有TIC（可信互联网连接），见下图两者的融合关系：

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
2010年，US-CERT公布《国家信息网络安全综合指南》，称之为“爱因斯坦行动计划3”演习程序，分成4个连续阶段，时长18个月。国防部长和国土安全部长共同签署了一份网络安全合作协议备忘录，并任命国家安全局亚历山大作为网络司令部司令官全面负责合作协议的协调和执行，2011年爱因斯坦计划3进入实用阶段并全面部署。关于规模，这里有一笔预算，可窥一斑而见全貌，国土安全部提出的2012年该计划预算为3亿美元，用于安全风险评估、改进、队伍建设培训、合作协调等，主要执行的US－CERT团队约百余人，人力明显不足。2016年DHS提交了一份总额达650亿美元的2016财年预算申请，并重点支持NCPS和CDM，以加强网络空间的态势感知和信息分享能力。目前据美国国土安全部新闻办公室在今年1月发布的新闻中声称爱因斯坦3A实际上是在保护超过50％的政府部门并已经阻止超过70万次的网络威胁。

从技术角度看，爱因斯坦计划依靠已知特征识别威胁，而对于APT攻击则无能为力。目前有计划改进，比如通过启发式分析方式来发现未知威胁，检测未知攻击行为。但，我们要看到它的运营者是US-CERT，它背后还有千万个安全组织和个人在更新贡献能力，同时该计划主要目的更侧重于态势感知和大数据分析，而且针对政府的防御这个也是第一道门而已。

爱因斯坦3A也在推进民间使用，但有些行业的法规可能对其造成阻碍。为了帮助铺平法律上的问题，2015年七月国土安全部董事长罗恩·约翰逊R-威斯康星州和特拉华州的民主党汤姆·卡珀引入了联邦网络安全加强法案（S.1869）。该法案将要求机构一年内部署爱因斯坦3A的强制要求，同时说明爱因斯坦收集的信息可以合法共享，但只能由美国国土安全部使用，目前该法案的发布还未出炉。

结尾：爱因斯坦计划给予我们的启示

我国目前仍处于基础信息技术薄弱,核心技术与产业依赖国外，我周目前尚未建立起应对网络战的体系和力量,特别是军队。政府、军队、情报、金融、商贸、面临攻击时依靠的是企业力量单打独斗，应对网络战争带来了更为严峻的挑战。

2014年我国成立了中央网信领导小组，随后2015年酝酿《网络安全法草案》，这些都为未来的发展铺垫了基础，但在网络安全技术创新等方两需要通过政策引导和扶植措施，并吸纳民间力量。在体系设计结构需要国家层面构筑军民协同一体化信息安全防御体系，包括风险控制、体系结构、协议工程、有效评估、工程方法弥补落后被动的重要举措。

最后再说一句，相比于我们的CTF虚拟可控环境的比赛，美国则是两年一次的“网络风暴”实战演习，以此来检验CNCI以爱因斯坦计划为主的各部门的协调和执行能力。

参考文献：

［1］论文《国家网络安全综合计划(CNCI)》综述，作者：来自国家信息技术安全研究中心的张文贵，彭博，潘卓，2010年9月

［2］纸质书《美国网络空间安全体系》，作者：刘峰，林东岱，2015年12月

［3］维基百科《Einstein (US-CERT program》

［4］美国HDS《Trusted Internet Connections (TIC) Reference Architecture Document Version 2.0》，2013年