◎安天研究院

在上一期，我们从战略、能力、产业、技术等方面分析了美国在网络空间的优势，对美国具备网络空间进攻性职能的国家安全机构、多样的信号情报获取项目、全平台全功能的网络攻击装备体系进行了简要介绍，从整体上展现了美国在网络空间中强大的、体系化的情报、攻击、威慑和防御能力。在本期中，我们将聚焦美国的大型信号情报项目，呈现其强大的信号情报（SIGINT）获取能力，以及美国将传统信号情报与网络空间情报作业有机融合的明显趋势。

信号情报是一种有效的情报获取方式。早在一战时期，英国情报机构就通过搭接海底电缆的方式截获德国的通信。随着无线电通讯的应用，信号获取变得更加容易，通过轮船、飞机、卫星、地面站等都可以实现对信号的搜集。进入到21世纪，计算机网络的发展和普及，使得越来越多的信息通过网络传递，网络就成了情报获取的重要来源。

美国极其重视信号情报工作。斯诺登曾披露了一份美国国家安全局（NSA）的绝密文件《信号情报任务战略规划（2008-2013）》，由NSA组织250多个单位共同参与完成，目的是提高信号情报重点任务的性能，并将情报及时地转化为重大的国家成果。另一份绝密文件《信号情报战略（2012-2016）》旨在“确保信号情报为全面提升美国国家安全利益提供决定性的优势”。

美国开展了大量的信号情报获取项目和计划，以实现其“监听一切”的目的。这类项目或计划多由NSA负责具体实施，包括发起于20世纪60年代针对卫星通讯的“梯队”（ECHELON）项目、监听目标涵盖美国公民的“星风”（STELLARWIND）计划、针对全球网络安全厂商的“拱形”（CAMBERDADA）计划、针对电话监听的“神奇”（MYSTIC）项目、从网络骨干光缆和交换机上复制光信号的“逆流”（UPSTREAM）项目等。这些项目涵盖了网络、卫星、电话等多种信号情报源，共同支撑起了NSA强大的全球信号情报获取能力。

“星风”计划

星风是四个监视项目的统称代号。2001年911事件之后，在《爱国者法案》的授权下，NSA的情报监视范围扩大到了美国公民。早在2004年，就有人注意到这些项目并展开了调查，奥巴马上台后，宣布这些项目都于2011年结束，但从多种来源分析，针对美国内的监视或已结束（或更为隐蔽），但不论其功能（对外国人应用不违反美国法律）还是数据都仍在使用。

星风包含的四个监视项目分别是：“棱镜”（PR ISM）、“主干道”（MAINWAY）、“码头”（MARINA）以及“核子”（NUCLEON）。棱镜是一项由NSA自2007年起开始实施的绝密级电子监听项目，主要作用是利用美国主要互联网企业所提供的接口进行情报作业。从目前信息看，谷歌、微软、苹果、脸谱等多数美国主流IT企业与此计划存在关联。主干道和码头项目分别对通信和互联网上数以亿兆计的“元数据”进行存储和分析（在对电话和互联网监视的语义下，元数据主要指通话或通信的时间、地点、使用设备、参与者等，不包括电话或邮件等的内容）。核子项目负责截获电话通话者对话内容及关键词，相比于主干道和码头，核子项目更加聚焦于内容信息的获取，通过拦截通话以及通话者所提及的地点，来实现日常的监控。

“星风”计划的系统结构图（猜测）

关键得分（X-KEYSCORE）项目

X-KEYSCORE是斯诺登曝光的NSA绝密项目之一，《卫报》对其做了较为详细的报道。它最初是针对邮件和浏览器活动的采集和分析，并建立了庞大的“指纹”系统，随后发展为覆盖VoIP、社交聊天等各种网上行为的监视和分析系统。 X-KEYSCORE在全球150个站点有700台服务器（2013年数据），可对3天内的数据进行暂存，被称为NSA的谷歌系统。分析人员可以通过姓名、电话号码、IP地址、浏览器等多种关键字来查找目标网络活动的内容数据和元数据。凭借该系统，NSA可对互联网上特定目标的一举一动尽收眼底。据报道，仅2008年以前，X-KEYSCORE就协助定位了300余名恐怖分子。

X-KEYSCORE还具有良好的扩展性，可以与NSA的“湍流”（Turbulence）网络攻击作业体系集成或交互，对其他渠道采集的网络信息进行自动分析，并触发任务逻辑；也可以接受来自其他项目任务的数据（如，外国卫星通信收集SKIDROW项目的数据），并提供分析处理功能；X-KEYSCORE也为“五只眼”情报联盟各国使用和共享情报提供支持。此外，X-KEYSCORE在建设中也充分引入了民间技术能力，例如大数据公司Palantir的海量数据分析和可视化分类服务能力为X-KEYSCORE提供了有力支撑。

“拱形”计划

2015年斯诺登披露的一份NSA绝密文档介绍了拱形计划，该计划始于2007年，信息保障局（Information Assurance Directorate, IAD）和NSA威胁行动中心（NSA/CSS Threat Operations Center, NTOC）两个部门参与了该计划。该计划以俄罗斯反病毒厂商卡巴斯基等为目标，通过监听其样本上报渠道，从中分析安全厂商是否已发现、掌握其网络攻击武器。但“五只眼”情报联盟国家的反病毒厂商并不在内，可能说明“五只眼”相关情报机构与所在国安全厂商有直接的互动方式和沟通渠道，而无需通过监听的方式。该计划后续目标包括安天等22家全球重点网络安全厂商。

X-KEYSCORE全球分布

美国的大型信号情报获取项目众多，覆盖面广，持续时间长，使美国获得了强大的信号情报搜集能力。这些项目在打击犯罪、反恐、国家政策制定、重大问题决策等方面起到了重要作用，并为美国获得网络空间安全防御与反制、威慑、攻击等全方位优势奠定了基础。那么，运行这些监控项目需要什么样的支持体系，美国政府在这些项目中如何借助民间的技术和能力，这些监控行动如何与积极防御和反制相结合，监控如何与攻击行动结合，我们后续的文章会为您一一解答，敬请期待。

“拱形”计划目标分布