1.国土安全部主导“爱因斯坦计划”
“爱因斯坦计划”是美国国土安全部(DHS - Department of Homeland Security)主导的一个网络安全自动监测项目,由国土安全部下属的美国计算机应急响应中心(US-CERT)开发,用于监测针对政府网络的入侵行为,保护政府非涉密网络系统的安全。“爱因斯坦计划”最早起因于2002年的《国土安全法》和《联邦信息安全管理法案》(FISMA),2003年12月17日由国土安全总统令(HSPD 7)正式提出。2009年美国政府启动“国家网络空间安全全面创新计划”(CNCI- Comprehensive National Cybersecurity Initiative),国土安全部响应计划要求,提出建设“国家网络空间安全保护系统”(NCPS - National Cybersecurity Protection System),“爱因斯坦计划”作为执行层面的具体项目纳入到NCPS中。
国土安全部的重要使命之一是负责美国联邦政府非密信息系统的安全,面向联邦民口政府机构提供基本的安全保障(安全基线-security baseline),协助政府机构有效管理网络安全风险,所提供的基本安全保障能力就是部分通过“爱因斯坦”系统实现的。“爱因斯坦”系统在联邦政府网络空间安全方面有两个重要作用:一是“爱因斯坦”系统检测并防止联邦机构免受网络攻击;二是为国土安全部提供威胁情报态势感知能力,如检测到一个机构受到网络攻击威胁,能及时响应保护其余的机构,并帮助保护民营部门,也就是“一人发烧感冒,大家吃药预防”的思想。
NCPS已经在美国政府机构中除国防部门之外的23个联邦政府机构中部署运行。国土安全部在弗吉尼亚州阿灵顿市兴建了一个运营中心(NCCIC - National Cybersecurity and Communications Integration Center),7×24小时监测针对美国重要/关键基础设施的网络攻击和针对美国国家安全的网络威胁。
2.与“爱因斯坦计划”相关的项目
NCPS计划是一个庞大的计划,除了 “爱因斯坦计划”之外,还有两个落地项目是“可信互联网接入(TIC-Trusted Internet Connection)”和“持续诊断与缓解 (CDM - Continuous Diagnostics and Mitigation) ”。CDM是国土安全部牵头负责集中开发的项目,具体落实NIST提出的信息安全持续监测(ISCM)策略(关注中国保密协会科技分会官微,了解“美国信息安全持续监测(ISCM)简介”)。
TIC计划由国土安全部、美国行政管理和预算局(OMB)牵头。根据OMB备忘录(OMB Memorandum M-08-05),TIC的目标是优化和标准化当前联邦机构在用的包括互联网在内的外部网络连接。该项目通过减少和加固外部网络连接,提升联邦政府安全态势和应急响应能力,同时提供对外部网络连接的强大监视和态势感知能力。具体操作上,将联邦政府各部门网络合并成单一的、接入TIC的政府网络,为联邦政府网络提供一个共同的安全解决方案。
3.“爱因斯坦计划”的基本架构
爱因斯坦计划实际上是一个入侵检测系统,可监视美国政府机关各部门网络关口的非授权流量。2013年DHS下属的网络安全部门(NSD)开始实施具有初步入侵防御能力的“EINSTEIN 3A”,可提供 .gov网站的主动防护能力。其中有一个支持主动防御功能的主要模块称为“鸟巢(Nest)”,该模块是一个保密设备,部署在每个.gov网络的出入口,有恶意流量阻断、域名服务器阻断和邮件过滤等功能。DHS将恶意活动的专用指示信息(specific indicators)共享给互联网服务提供商(ISP),ISP依此检测和特征匹配已知恶意网络流量模式。该计划如果全面部署,就能发挥出“国家网络空间安全保护系统(NCPS)”的作用,一旦根据特征检测到已知或受质疑的网络攻击威胁,NCPS应该可以阻止网络威胁并防止破坏攻击目标,也可以借助来自商业界和政府的资源为所有联邦机构提供在线的防护措施。
4.“爱因斯坦计划”进展
“爱因斯坦计划”从2003年开始,已经经历了两次重大升级,从EINSTEIN 1、EINSTEIN 2到目前的EINSTEIN 3A,目标和功能都有了调整,钱也花了不少。根据2015年4月美国审计署(GAO)的报告,截至2014年,该计划已经累计花费了12.5亿美元。经费投入总体呈现增长趋势,投入比例从早期关注入侵检测逐步转向关注入侵防御、分析和共享能力建设。
5.对“爱因斯坦计划”的诟病
2015年6月初,美国人事管理局(OPM)的电脑遭到大规模网络攻击,导致400万现任和前任员工个人信息被盗。这件事情引起官方和社会舆论对国土安全部花费上百亿美元打造的网络安全计划NCPS的普遍质疑。人事管理局(OPM)也是国土安全部部署“爱因斯坦计划”和“持续诊断与缓解CDM”的部门,这两个项目曾号称是能够实时对抗此类攻击的基石。不幸的是,这个“基石”用了5个月时间才发现这次大规模网络攻击,而攻击的影响还在进行评估分析中。
来自GAO的批评:2016年1月,美国审计署(GAO,General Accounting Office)提交的一份给国会的报告《DHS Needs to Enhance Capabilities, Improve Planning, and Support Greater Adoption of Its National Cybersecurity Protection System》,该报告对“爱因斯坦计划”项目提出了严厉的批评,称该系统“言过其实”,没有达到其原来声称的目标,仅“部分达标”。该系统在入侵检测、入侵防御、分析能力和信息共享等方面都存在较大差距。
根据GAO报告,NCPS仅仅能从2014年CVE报告的489个漏洞里检测出来其中的29个,检测成功率不到6%,94%的漏洞检测失效。另外,国土安全部虽然研究了NCPS性能的测试方法,但是并没有给出该系统入侵检测和防御等方面在质量、准确度和有效性上的指标。结果是国土安全部不能描述NCPS的贡献和价值。需要支持的23家联邦机构,只有5家能够获得入侵防御的服务。因此,这套系统的实效性非常有限。
来自民间的批评:人事管理局(OPM)遭到大规模网络攻击,也引起社会舆论和民间对“爱因斯坦计划”和“持续诊断与缓解CDM”项目的广泛批评。
【本文为51CTO专栏作者“中国保密协会科学技术分会”原创稿件,转载请联系原作者】
