“爱因斯坦计划”是一个入侵检测系统,监视美国政府部门和机构网络关口的非正常流量。
这套系统由US-CERT开发,US-CERT是国土安全部国家网络安全局的技术支撑单位。
爱因斯坦的第一版本检查网络流量,后续版本将扩展可以查看内容。
爱因斯坦计划是美国国会和总统一系列完善互联网上政府服务行动的结果,包括2002年电子政府法案。
从国家标准和技术研究院(NIST)开始,后来移交到总务局(General Services Administration),联邦计算机机事件响应能力中心(Federal Computer Incident Response Capability,FedCIRC)是四个保护联邦信息技术的监视中心之一,电子政府法案将FedCIRC 作为主要的事件响应中心。
以FedCIRC为核心,US-CERT于2003年9月成立,作为新成立的国土安全部和国防部资助的位于卡耐基·梅隆大学CERT/CC之间合作项目。
US-CERT 提供爱因斯坦计划来满足法律和管理方面对国土安全部提出保护联邦网络和提供必要政府服务的要求。
爱因斯坦计划首先是根据2002年国土安全法案和联邦信息安全管理法案的要求,以及2003年12月17日发布的国土安全总统令(Homeland Security Presidential Directive, HSPD)7。
2007年11月20日,根据管理和预算办公室备忘录,爱因斯坦版本2需要部署到所有联邦机构,但不包括国防部和国家情报机构的执行分支。
爱因斯坦项目在2004年到2008年之间是自愿部署的。
截至2005年,3个联邦机构参与,提供另外6个机构部署的资金。
2006年12月,8个机构参与爱因斯坦计划,2007年国土安全部在自己的全部机构部署了爱因斯坦系统。
2008年底,爱因斯坦系统部署在近600个美国政府机构、部门和网站系统中的15个。
爱因斯坦2
国土安全部试图解决的限制爱因斯坦部署的三个问题:联邦机构接入点数量巨大、机构参与度低、系统的后向结构(backward-looking architecture)。
管理和预算办公室(OMB)的“可信互联网连接”计划2008年6月将政府接入点数目从4300个减少到50个左右。
在机构减少超过60%的接入点,但其实际需求超过其目标,OMB重新设定目标时限到2009年后半部分,并对数目重新确定。
爱因斯坦的新版本计划被提出,“实时收集网络流量数据,同时分析一些通信内容,发现恶意代码,例如电子邮件附件。
”这一扩展是至少9个保护联邦网络措施之一。
爱因斯坦2系统将自动化地发现恶意网络行为,并产生报警。
爱因斯坦2将使用最低量的必要的预先定义的攻击特征,这些特征来自内部、商业和公共来源。
爱因斯坦2传感器监测每个参与机构的互联网连接点,“不严格局限于”可信互联网连接,爱因斯坦2同时使用商业和政府开发的软件。
爱因斯坦可以进一步改进建立早期预警系统来预告入侵。
US-CERT可以根据书面标准操作流程与“联邦执行机构(federal executive agencies)”共享爱因斯坦2信息,但只是“摘要表”形式。
因为US-CERT没有情报或执法职责,当涉及这些机构的事件发生时,它只负责提醒和提供练习信息给“执法、情报和其他机构”
爱因斯坦3
根据2010年解密的部分CNCI计划细节,“爱因斯坦3”将综合商业科技和政府专业科技的手段,对进出联邦行政部门的网络流量进行基于威胁的决策的完整数据包检测。
“爱因斯坦3”的目标就是要识别和描述恶意网络流量,增强网络安全分析、态势感知和安全响应能力,它可以在危害发生前,自动检测并正确响应网络威胁,最终形成一个支持动态保护的入侵防护系统。
“爱因斯坦3”将协助应急响应小组防范、保护联邦行政部门网络系统,并减少系统漏洞。
它还将支持加强国土安全部与联邦行政部门和机构之间的信息共享,赋予国土安全部在检测到网络入侵时自动警告的能力,如果有必要,国土安全部还会发送不包含通信具体内容的警告给国家安全局,以得到国家安全局对其工作的合法授权支持。
此纲领会投入大量长期的资金,以帮助情报机构发现国外网络威胁的关键信息,并实时地反应到“爱因斯坦3”系统中。
国家安全局国外情报机构和国防部的信息保障工作决定“爱因斯坦3”使用的基于威胁的签名技术,以支持国土安全部的联邦网络系统的安全保障工作,国土安全部也将适应这一签名技术。
网络入侵方面的信息共享,以及国土安全部、情报部、国防部的相关活动,都将在监督下依法进行,以保护个人隐私及公民权。
“爱因斯坦3”是基于国家安全局开发的技术,对收集到的危害联邦网络系统的入侵行为信息加强管理和保护的能力。
国土安全部正在进行一项测试工作,对此能力进行测试。
个人隐私和公民自由保护部门的政府人员正在与国土安全部和应急响应小组紧密合作,为“爱因斯坦3”的设计部署制订出恰当和必要的隐私保护方法。