编者按：2023年8月，美国网络安全和基础设施安全局（CISA）发布了《2024-2026财年网络安全战略计划》。该计划是CISA落实《国家网络安全战略》的具体举措，为其近三年执行网络安全任务和提高网络安全能力明确了目标、部署了重点、排序了先后。其中，联合协作环境（JCE）、网络分析和数据系统（CADS）作为“爱因斯坦”计划的“接续”，CISA给予了高度关注与持续投入。公开资料对此两个项目的介绍相对较少，编者尝试着从财年预算中探寻它们的基本情况，初步勾勒出美联邦政府在网络安全态势感知方面的布局和进展，并思考提出网络空间安全态势感知能力建设需“不断创新迭代、持续稳定投入、体系思维推进”等个人浅识。供参考。

一、联合协作环境（Joint Collaborative Environment，JCE），为公私合作共享提供基础支撑

（一）2020年日光浴委员会政策建议构建JCE，一个共用的、基于云的环境

联合协作环境（JCE）2020年由美国网络空间日光浴委员会在“分层网络威慑战略”相关报告中提出，在“支柱5—与私营机构开展网络安全合作”中建议“国会应建立和资助一个联合协作环境，一个跨联邦政府、公共部门和私营机构的共享和融合威胁信息、见解和其他相关数据的共用的互操作的环境”。尽管美国政府已经采取了一系列措施来提高网络空间的态势感知能力，但其全面了解网络威胁的能力仍然存在很大的局限性。美国政府必须采取措施，建立机制和可执行的程序，为自身的运作和与私营机构建立真正的业务合作建立必要的态势感知。为此，国会应该建立一个“联合协作环境”，一个共用的、基于云的环境，在这个环境中，联邦政府的未加密和机密的网络威胁信息、恶意软件取证以及监控程序中的网络数据都可以被广泛用于查询和分析。

（二）2023年JCE列入CISA工作重点，被描述为公私合作的一组“高速公路”

2023年7月，CISA网络安全部门负责人Aastha Verma表示，CISA正在推出JCE项目，是CISA最近的优先事项，JCE构建的是一个共享的合作环境，旨在帮助共享和分析数据，不仅与民间国防机构，而且与私营部门，以加强其行业合作伙伴关系并丰富其网络威胁数据。Verma将JCE描述为一组“高速公路”，支持数据从获取点进入开发产品、分析产品等。

（三）2024年JCE列入CISA预算，显示为NCPS与CADS的“综合”

2024年起，JCE正式列入CISA预算，对JCE描述为：联合协作环境包括“国家网络空间安全保护系统”（National Cybersecurity Protection System， NCPS）即“爱因斯坦”计划和网络分析与数据系统（Cyber Analytics and Data System, CADS）计划。如图1所示。

图1 2024财年预算所述联合协作环境（JCE）

其中，NCPS计划提供资源，为联邦政府民事行政部门（federal civilian executive branch，FCEB）网络提供可见性和基线网络入侵检测和预防能力。CADS程序支持各种工具和功能，以促进数据的接收和集成，并协调和自动化数据分析，从而支持快速识别、检测、缓解和预防恶意网络活动。NCPS计划部署的信息共享、分析和核心基础设施能力将转移到CADS计划，并将继续在网络任务IT基础设施、网络作战工具和网络任务工程的新能力下运行和维护协调和自动化数据分析，支持快速识别、检测、缓解和预防恶意网络活动。

2024年JCE预算共4.922亿美元，其中CADS预算4.249亿美元，NCPS预算0.673亿美元，如图2所示。

图2 2024财年JCE（NCPS+CADS）预算

可以看出，JCE是包括基础设施、数据资源、分析工具等综合项目，项目能力主要源自一是NCPS计划的成果和延续，二是CADS计划的新建和提升。

（四）2025年预算显示JCE主要用于支撑CADS计划及运用

2025年CISA预算对JCE描述为：主要包括CADS计划，支持各种工具和功能，以促进数据的采集和集成，以及协调和自动化数据分析，从而支持快速识别、检测、缓解和预防恶意网络活动。JCE还将支持网络安全部门（Cybersecurity Division，CSD）分析师环境需求，为分析师提供一个现代化、可扩展、非保密的分析基础设施环境，以支持安全快速的数据传输、数据仓库、编排、分析、与情报界合作伙伴交换信息以及共享包含机密数据集的上下文报告等。

图3 2025财年预算所述联合协作环境（JCE）

预算内容显示，2024财年NCPS部分能力过渡到了CADS计划。2025财年，资源将完全从NCPS投资中转移出来：NCPS的开发和工程支持将过渡到CADS项目管理办公室支持；NCPS中代表入侵防御能力的E3A停止使用，不再维护；核心基础设施将完全过渡到CADS；NCPS分析和信息共享能力将完全过渡到CADS;信息共享将完全过渡到CADS;爱因斯坦1和2继续为CISA提供能力支撑。

图4 NCPS向CADS过渡概况

2025年JCE预算共3.941亿美元，较2024年减少了近1亿美元。

图5 2024财年JCE预算

可以看出，从2025财年开始，“爱因斯坦”计划不再申请任何预算，仅仅一年时间，CISA就完成了从NCPS到CADS的过渡与切换。

二、网络分析与数据系统（Cyber Analytics and Data System, CADS），态势感知因威胁改变而变

（一）不断严峻的威胁形势和快速发展的信息技术，促使CADS的推出

NCPS即“爱因斯坦”计划建设之初是美国政府为了加强对其联邦政府网络出口安全管理，而进行的一项长期的安全监测与防护计划，核心目标是保护联邦政府网络空间基础设施安全，提升其防御能力。2009年，美国政府启动了《国家网络空间安全计划》（CNCI），“爱因斯坦”计划列入CNCI并得到进一步关注。持续建设近20年来，NCPS成绩显著，在美国白宫管理和预算办公室（OMB）2024年6月发布的《2023财年联邦信息安全现代化法案年度报告》中描述到，“CISA主导并建立了一整套国家网络安全保护系统，保护联邦系统的所有组织层级；借助NCPS，美国联邦政府为其互联网侧态势感知构建起了四大能力：入侵检测、入侵防御、安全分析和信息共享”。

但是，随着网络安全威胁形势的日趋严峻，无论是管理方还是用户方都对NCPS的效能提出了质疑，也对其技术和架构提出了更高的要求。一方面是网络攻击越来越隐蔽，技战法越来越复杂，加密技术运用越来越多，“未知攻击”越来越难检测出来；另一方面，信息系统越来越庞大、连接范围越来越广、供应链越来越复杂，检测和分析难度越来越高。导致NCPS的防护检测效能越来越受限，特别是2020年Solarwinds攻击事件使得美国联邦政府蒙受损失，事后人们纷纷质疑耗资巨大的NCPS为何没能及时识别攻击。2023年，DHS监察总长办公室发布了一份审查报告，认为“CISA需要显著改进网络可见性和威胁识别技术。建议CISA下面的网络安全部对NCPS数据分析能力的组织、运行和维护做出并实施一项长期计划”。

（二）CADS提供强大且可扩展的信息技术基础设施和分析能力支撑

CADS将成为CISA内部网络任务工程和服务提供方，提供任务系统基础设施、数据获取、数据管理、分析和信息共享能力，使CISA能够实现其任务目标。主要专注于满足CISA网络安全分析师和决策者的运营需求，以更好地保护和服务其利益相关者社区，包括联邦政府民事行政部门、关键基础设施、私营部门和公众。主要包括以下四个部分：

1.网络任务IT基础设施：在利用国土安全部和CISA通用基础设施核心服务的基础上，持续开发并交付任务系统IT基础设施，主要服务包括基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS），以满足CSD网络任务需求。

预算投入主要用于硬件和软件维护成本以及设备的标准技术的更新；采购安全分析师访问数据、分析和信息共享的桌面设备。支持用于交付能力的云基础设施和DevSecOps设施。经费还支持扩大网络任务基础设施的能力，以支持更多的数据集，改善分析师对数据和工具的访问并提供持续实施/持续交付（CI/CD）渠道等。

2.网络运营工具：为CISA网络运营商提供分析和信息共享工具，以便能够跟上数据量的激增，识别趋势、关键漏洞等。这些工具还将提供数据和分析编排，以提高自动化分析和信息传播、数据可视化以及恶意软件取证和分析能力。继续运营和维护的功能包括安全和事件管理、恶意软件下一代环境、云分析环境、部署在国土安全信息网络上的CISA网络门户，以及用于支持自动指标共享（Automated Indicator Sharing，AIS）的基础设施和工具的维护成本、指标管理、跨域解决方案和统一工作流等。

预算投入主要用于支持维护部署到生产环境中的网络操作工具的年度许可证成本，以及与操作和维护生产工具相关的劳动成本。支持团队和数据科学家能够为CISA威胁溯源分析师提供现场支持。支持高级分析的持续开发和调整，以实现对多个数据集的快速分析。支持扩展现有能力并支持JCE的一些要求，主要提供数据集成和数据分析、知识管理和通信工具，支持态势感知、决策和适用于识别、检测、缓解和预防恶意网络活动行动。支持为CISA实施统一工单系统所需的许可证，以改进事件响应，并支持《关键基础设施网络事件报告法案》（CIRCIA）要求。

3.项目管理办公室：支持与管理CADS项目相关的行政成本，包括需求收集、客户拓展和参与、工程流程支持、功能测试、安全测试、安全认证和项目配置管理支持等。

4.网络任务工程：提供架构和工程框架的工程资源，以实现CISA网络传感器、遥测数据、基础设施、分析和信息共享工具的集成，从而进一步实现CSD网络任务。

（三）2025年预算显示CADS是CISA投资重点计划

根据美国白宫2025年预算显示，联邦民事机构网络安全资金从2024财年的112.1亿美元增加至123.3亿美元。国土安全部获得了最大的份额，高达到31.5亿美元，其中，CADS预算占了10%以上，金额约为3.743亿元（不含人员薪酬） 如表1所示。

表1 2025年CADS预算（不含人员薪酬）

主要由技术和服务费约2.507亿美元（计入JCE）如图6所示，采购、实施和改进费约0.83亿美元如图7所示，运行和支持费约0.406亿美元如图8所示。

图6 CADS技术和服务费（计入JCE）

图7 CADS运行和支持费

图8 CADS采购、施工和改进费

可以看出，CADS是基于数据驱动安全的理念，采用云计算架构，通过构建统一的数据平台，以期实现对美国联邦机构内外多源海量数据，如入侵检测与防御信息、终端防护数据、云迁移数据以及情报资源等的获取、转换、存储和流转。通过编排工具和自动化技术，实现便捷灵活的自动化安全分析和情报融合共享，有效阻断和缓解攻击和恶意行为。采取DevSecOps开发运营模式，使新的功能和安全内容能快速集成并上线。

三、几点思考

（一）网络空间安全态势感知需不断创新与迭代

网络空间安全态势感知能力建设绝非“一蹴而就”。NCPS即“爱因斯坦”计划从2003年启动到2024年调整为CADS，前后历时20余年，时间跨度很长，在这漫长的过程中，美网络空间安全态势感知建设呈现出不断创新与迭代态势。如爱因斯坦1最根本动因是要解决联邦政府整体安全性难以得到保障、整体安全态势无法掌握的问题，采取的技术路线是在联邦政府机构出口部署流检测引擎，进行基于流的分析。建设到2010年爱因斯坦3时，联邦政府对态势感知的需求转向“主动”，要求系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应，此阶段系统加大了数据的采集、存储与分析，加强了信息共享与协作，综合了更多商业技术，引入了网络管理理念等。随着云计算、大数据、人工智能等技术的广泛应用，CADS可谓是美联邦机构最新版的态势感知系统，充分发挥NCPS已经建设的采集能力、整合渠道、协同机制等，将发力点更多集中在了后端数据分析上，似乎正在践行数据驱动安全的理念。

（二）网络空间安全态势感知需持续稳定的投入

网络空间安全态势感知能力建设绝非“一锤买卖”。在NCPS即“爱因斯坦”计划长达20年的建设过程中，其资金投入一直较稳定，《国家网络安全综合计划》（CNCI）实施后，资金和人员投入逐年稳步提升并维持在较高水平线上。2021年CISA估测NCPS总投资额达71.85亿美元。在这20余年的持续建设过程中，虽然NCPS受到了多方的质疑，美国审计署（GAO）曾经给出“成效低于预期”的审计结论，但是从资金投入上可以看出，美国政府应该对“投入收效比”是满意的，对技术路线是认可的。

（三）网络空间安全态势感知建设是个体系工程

网络空间安全态势感知能力建设绝非“单一工程”。NCPS即“爱因斯坦”计划从建设之初便是站在国家网络安全的高度来设计和推进，从法律法规、标准规范、基础设施、配套工程、协调机制等多个方面体系化设计。宏观层面，如2008年第 54 号国家安全总统令（NSPD54）中提出的国家网络安全综合计划（CNCI）12项任务中四项与态势感知相关。可信互联网接入（TIC）、持续诊断与缓解计划（CDM）等国家级项目都是NCPS建设的重要支撑。微观层面，美国较早从技术标准启动了安全互联互通工作，如ITU-T安全研究组（SG17）发布的 X.1500《网络安全 息交换概述标准》,NIST发布的SP 800-150《网络威胁信息共享指南》等，为统一数据采集、数据共享、协同接口，确保不同厂商产品和系统之间的互联互通进行了技术规范，为其网络安全态势感知的快速发展奠定了重要的基础。

（四）网络空间安全态势感知永远有无法感知到的威胁

网络空间安全态势感知能力建设绝非“一劳永逸”。如果我们把网络空间态势感知理解为，态是“网络的状态”，势是“关联、趋势”、感是“检测、获取”、知是“知晓、判断”，即掌握网络连接行为的实时状态以及连接关系；测度网络状态的突发并判断网络安全的趋势。然而，一方面网络已经发展成为一个庞大的复杂系统，连接的灵活性、数据的多样性、接入的复杂性等都给“态”的准确掌握带来了挑战，另一方面攻击的专业性、动态性、隐蔽性等都给“感”带来了难度。可以说，感受不到未知的威胁在相当长的时间内是必然的。网络空间安全态势是网络安全防御能力的必要条件，但不是充分条件。

声明：本文来自青青喵吟 悠悠网事，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。