美國網(wǎng)絡(luò)空間攻擊與主動防御能力解析
——美國大型信號情報獲取項目

◎安天研究院

在上一期，我們從戰(zhàn)略、能力、產(chǎn)業(yè)、技術(shù)等方面分析了美國在網(wǎng)絡(luò)空間的優(yōu)勢，對美國具備網(wǎng)絡(luò)空間進(jìn)攻性職能的國家安全機(jī)構(gòu)、多樣的信號情報獲取項目、全平臺全功能的網(wǎng)絡(luò)攻擊裝備體系進(jìn)行了簡要介紹，從整體上展現(xiàn)了美國在網(wǎng)絡(luò)空間中強(qiáng)大的、體系化的情報、攻擊、威懾和防御能力。在本期中，我們將聚焦美國的大型信號情報項目，呈現(xiàn)其強(qiáng)大的信號情報（SIGINT）獲取能力，以及美國將傳統(tǒng)信號情報與網(wǎng)絡(luò)空間情報作業(yè)有機(jī)融合的明顯趨勢。

信號情報是一種有效的情報獲取方式。早在一戰(zhàn)時期，英國情報機(jī)構(gòu)就通過搭接海底電纜的方式截獲德國的通信。隨著無線電通訊的應(yīng)用，信號獲取變得更加容易，通過輪船、飛機(jī)、衛(wèi)星、地面站等都可以實現(xiàn)對信號的搜集。進(jìn)入到21世紀(jì)，計算機(jī)網(wǎng)絡(luò)的發(fā)展和普及，使得越來越多的信息通過網(wǎng)絡(luò)傳遞，網(wǎng)絡(luò)就成了情報獲取的重要來源。

美國極其重視信號情報工作。斯諾登曾披露了一份美國國家安全局（NSA）的絕密文件《信號情報任務(wù)戰(zhàn)略規(guī)劃（2008-2013）》，由NSA組織250多個單位共同參與完成，目的是提高信號情報重點任務(wù)的性能，并將情報及時地轉(zhuǎn)化為重大的國家成果。另一份絕密文件《信號情報戰(zhàn)略（2012-2016）》旨在“確保信號情報為全面提升美國國家安全利益提供決定性的優(yōu)勢”。

美國開展了大量的信號情報獲取項目和計劃，以實現(xiàn)其“監(jiān)聽一切”的目的。這類項目或計劃多由NSA負(fù)責(zé)具體實施，包括發(fā)起于20世紀(jì)60年代針對衛(wèi)星通訊的“梯隊”（ECHELON）項目、監(jiān)聽目標(biāo)涵蓋美國公民的“星風(fēng)”（STELLARWIND）計劃、針對全球網(wǎng)絡(luò)安全廠商的“拱形”（CAMBERDADA）計劃、針對電話監(jiān)聽的“神奇”（MYSTIC）項目、從網(wǎng)絡(luò)骨干光纜和交換機(jī)上復(fù)制光信號的“逆流”（UPSTREAM）項目等。這些項目涵蓋了網(wǎng)絡(luò)、衛(wèi)星、電話等多種信號情報源，共同支撐起了NSA強(qiáng)大的全球信號情報獲取能力。

“星風(fēng)”計劃

星風(fēng)是四個監(jiān)視項目的統(tǒng)稱代號。2001年911事件之后，在《愛國者法案》的授權(quán)下，NSA的情報監(jiān)視范圍擴(kuò)大到了美國公民。早在2004年，就有人注意到這些項目并展開了調(diào)查，奧巴馬上臺后，宣布這些項目都于2011年結(jié)束，但從多種來源分析，針對美國內(nèi)的監(jiān)視或已結(jié)束（或更為隱蔽），但不論其功能（對外國人應(yīng)用不違反美國法律）還是數(shù)據(jù)都仍在使用。

星風(fēng)包含的四個監(jiān)視項目分別是：“棱鏡”（PR ISM）、“主干道”（MAINWAY）、“碼頭”（MARINA）以及“核子”（NUCLEON）。棱鏡是一項由NSA自2007年起開始實施的絕密級電子監(jiān)聽項目，主要作用是利用美國主要互聯(lián)網(wǎng)企業(yè)所提供的接口進(jìn)行情報作業(yè)。從目前信息看，谷歌、微軟、蘋果、臉譜等多數(shù)美國主流IT企業(yè)與此計劃存在關(guān)聯(lián)。主干道和碼頭項目分別對通信和互聯(lián)網(wǎng)上數(shù)以億兆計的“元數(shù)據(jù)”進(jìn)行存儲和分析（在對電話和互聯(lián)網(wǎng)監(jiān)視的語義下，元數(shù)據(jù)主要指通話或通信的時間、地點、使用設(shè)備、參與者等，不包括電話或郵件等的內(nèi)容）。核子項目負(fù)責(zé)截獲電話通話者對話內(nèi)容及關(guān)鍵詞，相比于主干道和碼頭，核子項目更加聚焦于內(nèi)容信息的獲取，通過攔截通話以及通話者所提及的地點，來實現(xiàn)日常的監(jiān)控。

“星風(fēng)”計劃的系統(tǒng)結(jié)構(gòu)圖（猜測）

關(guān)鍵得分（X-KEYSCORE）項目

X-KEYSCORE是斯諾登曝光的NSA絕密項目之一，《衛(wèi)報》對其做了較為詳細(xì)的報道。它最初是針對郵件和瀏覽器活動的采集和分析，并建立了龐大的“指紋”系統(tǒng)，隨后發(fā)展為覆蓋VoIP、社交聊天等各種網(wǎng)上行為的監(jiān)視和分析系統(tǒng)。 X-KEYSCORE在全球150個站點有700臺服務(wù)器（2013年數(shù)據(jù)），可對3天內(nèi)的數(shù)據(jù)進(jìn)行暫存，被稱為NSA的谷歌系統(tǒng)。分析人員可以通過姓名、電話號碼、IP地址、瀏覽器等多種關(guān)鍵字來查找目標(biāo)網(wǎng)絡(luò)活動的內(nèi)容數(shù)據(jù)和元數(shù)據(jù)。憑借該系統(tǒng)，NSA可對互聯(lián)網(wǎng)上特定目標(biāo)的一舉一動盡收眼底。據(jù)報道，僅2008年以前，X-KEYSCORE就協(xié)助定位了300余名恐怖分子。

X-KEYSCORE還具有良好的擴(kuò)展性，可以與NSA的“湍流”（Turbulence）網(wǎng)絡(luò)攻擊作業(yè)體系集成或交互，對其他渠道采集的網(wǎng)絡(luò)信息進(jìn)行自動分析，并觸發(fā)任務(wù)邏輯；也可以接受來自其他項目任務(wù)的數(shù)據(jù)（如，外國衛(wèi)星通信收集SKIDROW項目的數(shù)據(jù)），并提供分析處理功能；X-KEYSCORE也為“五只眼”情報聯(lián)盟各國使用和共享情報提供支持。此外，X-KEYSCORE在建設(shè)中也充分引入了民間技術(shù)能力，例如大數(shù)據(jù)公司Palantir的海量數(shù)據(jù)分析和可視化分類服務(wù)能力為X-KEYSCORE提供了有力支撐。

“拱形”計劃

2015年斯諾登披露的一份NSA絕密文檔介紹了拱形計劃，該計劃始于2007年，信息保障局（Information Assurance Directorate, IAD）和NSA威脅行動中心（NSA/CSS Threat Operations Center, NTOC）兩個部門參與了該計劃。該計劃以俄羅斯反病毒廠商卡巴斯基等為目標(biāo)，通過監(jiān)聽其樣本上報渠道，從中分析安全廠商是否已發(fā)現(xiàn)、掌握其網(wǎng)絡(luò)攻擊武器。但“五只眼”情報聯(lián)盟國家的反病毒廠商并不在內(nèi)，可能說明“五只眼”相關(guān)情報機(jī)構(gòu)與所在國安全廠商有直接的互動方式和溝通渠道，而無需通過監(jiān)聽的方式。該計劃后續(xù)目標(biāo)包括安天等22家全球重點網(wǎng)絡(luò)安全廠商。

X-KEYSCORE全球分布

美國的大型信號情報獲取項目眾多，覆蓋面廣，持續(xù)時間長，使美國獲得了強(qiáng)大的信號情報搜集能力。這些項目在打擊犯罪、反恐、國家政策制定、重大問題決策等方面起到了重要作用，并為美國獲得網(wǎng)絡(luò)空間安全防御與反制、威懾、攻擊等全方位優(yōu)勢奠定了基礎(chǔ)。那么，運行這些監(jiān)控項目需要什么樣的支持體系，美國政府在這些項目中如何借助民間的技術(shù)和能力，這些監(jiān)控行動如何與積極防御和反制相結(jié)合，監(jiān)控如何與攻擊行動結(jié)合，我們后續(xù)的文章會為您一一解答，敬請期待。

“拱形”計劃目標(biāo)分布