文章总结： 本文深入解析美国NSA棱镜计划的技术细节，指出该计划通过FBI直接从谷歌、微软等9家科技巨头服务器获取用户数据，与截获光缆流量的上游收集计划形成互补。文章详细披露了监控选择器格式、数据类型范围及自动化分析工具，并结合防御承包商数据泄露阻断等案例，阐述了PRISM在反恐与网络安全情报中的核心地位及其作为美国最高产情报来源的高自动化运作机制。 综合评分： 85 文章分类： 威胁情报,数据安全,网络安全

第145篇：美国斯诺登棱镜门事件的技术细节揭秘：通过互联网巨头窃听全球用户数据

原创

abc123info

希潭实验室

2025年12月28日 17:04 山东

Part1 前言

大家好，我是ABC_123。斯诺登曝光的“棱镜门”事件想必许多人耳熟能详，但真正的技术细节和运作机制却鲜为人知。所谓“棱镜计划”是美国国家安全局（NSA）和联邦调查局（FBI）于2007年启动的一个代号为“棱镜”的绝密监控计划，美国政府凭借其在全球互联网拓扑结构中的核心枢纽地位以及科技力量，构建出覆盖全球的数字化监控网络。该计划通过与谷歌、微软、苹果等九大美国互联网巨头直接合作，大规模获取互联网用户的电话记录、聊天日志、电子邮件、照片、语音通信、网络社交、视频、文件传输、存储数据、搜索记录等敏感数据，再将截获的信息统一汇聚并分发至 NSA 内部及其他美国情报机构进行分析与利用，形成一套以数据为底层驱动力的全球情报捕获体系。

Part2 技术研究过程

图中展示了2011年国际互联网带宽容量图，表明全球大部分互联网通信流量都会经过美国。由于数据传输通常遵循”成本最低路径”而”非物理最短路径”，即便是一个欧洲用户发送信息给拉丁美洲用户，其通信数据也会绕道流经美国的网络基础设施。这种架构赋予了美国NSA的主场优势，大量的非美国本土的数据会流经美国本土的交换节点，因此美国政府能够轻易截获流经此地的外国通信数据。

图中展示了美国NSA在FAA 702法律条款下两种主要的数据窃听手段，两者可以结合使用，也起到互补作用。图中代号为US-984XN的PRISM就是斯诺登之前爆出的棱镜计划，美国政府直接从9家科技巨头互联网服务提供商（微软、雅虎、脸书、苹果等）中获取获取互联网用户的通信内容，如已发送的邮件内容、云存储文件、VoIP网络语音数据等。图中展示的Upstream上游收集项目是另外一个计划，它拥有全球范围的流量拦截能力，可以从海底光缆和网关网络基础设施中拦截通信数据，它包含代号为FAIRVIEW、STORMBREW（暴风雪计划）、 BLARNEY、OAKSTAR等项目，但在存储情报数据方面能力较弱，该计划ABC_123后续会单独写一篇文章讲解。

图中展示了9大美国互联网公司加入美国NSA的PRISM棱镜计划的时间节点。从图中可以看到，美国微软公司加入最早2007年9月，美国苹果公司Apple于2012 年10月。项目成本在当时约2000万美元，可谓是物美价廉。

图中列出了棱镜计划PRISM可以收集的数据内容，包括：电子邮件、聊天记录（视频/语音）、视频内容、照片、存储的数据、VoIP通话、文件传输、视频会议、登录通知以及社交网络详情等。

该图展示了为什么美国NSA 需要同时运行 PRISM（棱镜）和 Upstream（上游收集）这两个不同的项目？答案在于它们在技术能力和覆盖范围上是互补的。PRISM棱镜计划仅针对 9家美国的互联网服务提供商（如 Google, Microsoft, Facebook 等）进行数据监控。这意味着它的范围是特定的，但情报分析深度很大。Upstream（上游收集）计划则针对全球范围的数据源（Worldwide sources），指的是海底光缆和互联网骨干网基础设施，涉及范围更广，不仅限于美国公司。对于Prism棱镜计划，美国NSA 不直接接触 Google 等公司，必须由 FBI 出面索取数据；而Upstream项目美国NSA 直接与电信骨干网运营商合作进行光缆拦截，不需要 FBI 作为中间人。

图中详细描述了PRISM棱镜计划的选择器Selector的格式，以P2ESQC120001234举例， P2 代表9大互联网提供商（P1=微软, P2=雅虎, P3=谷歌, P4=脸书等）；E 代表窃听的数据类型是 Email（A=存储通信, B=即时通讯, C=实时邮件通知, D=实时聊天通知, F=VoIP, G=完整论坛数据, H=社交网络消息, I=社交网络基本信息, J=视频）；SQC固定的三字母代码，表示棱镜（PRISM）来源收集；12代表年份，剩余部分代表序列号。

图中展示了代号为 REPRISMFISA 的网页端工具，美国NSA的情报分析人员在反恐任务授权下，使用该系统进行反恐情报数据分析，可以像使用搜索引擎一样，输入简单的关键词就可以提取来自9家美国科技巨头公司的用户数据情报。网页界面显示有PRISM、FBI FISA（由 FBI 执行的传统 FISA 监控，通常涉及物理线路及本土的监听）和DOJ FISA（司法部相关的监控）的三大数据源图标。图中展示了搜索结果有117,675条活跃记录。

PRISM棱镜计划（代号 US-984XN）是美国依据《外国情报监视法》（FISA）修正案第702条（FAA 702）实施的网络监控项目。图中展示了一个发生在2012年美国本土的真实案例。美国NSA的威胁行动中心NTOC通过PRISM发现一名美国国防承包商的员工企图将150GB的数据外传，美国NSA迅速通知联邦调查局FBI，FBI随即与承包商协同展开处置，在一天内即清除了植入的恶意软件并阻止了数据泄露。

该图展示了英国政府情报机构GCHQ使用美国NSA的PRISM棱镜计划中的数据，用以追踪2012年伦敦奥运会相关的恐怖分子信息，文中提到，大约有100名经过培训和批准的 GCHQ情报人员拥有访问 PRISM 数据的权限。当时有 256个“选择器” (Selectors) 处于监控下，在2012年5月16日至5月22日的一周内，共有 11,431份“通信截获片段” (Cuts of traffic) 被转发。自2012年4月12日起，已根据这些情报生成了 4份报告。

图中展示了PRISM棱镜计划是美国NSA最高产的情报数据来源之一。ECC（一般被认为为企业安全行动中心或 NSA 内部相关网络安全分析部门）是其重度赖的使用方，对 PRISM 数据的依赖度高达 52%，在其 1,147 份情报报告中，有 922 份完全依靠 PRISM 单一数据来源撰写。与此同时，S2I（Counterterrorism，反恐情报部门）则基于 PRISM 产出了多达 3,493 份情报分析成果，恐怖组织习惯使用美国互联网服务商提供的邮件、社交网络等平台进行沟通，使得 PRISM 在反恐链条中成为无可替代的主力来源。即便是依赖度较低的 S2H，其 PRISM 使用量的增长率也高达 159%，说明美国NSA 内部可能在通过内部推广培训的方式，让不常用 PRISM 的部门也开始尝试使用。

图中所示数据直观反映了 PRISM 棱镜计划在美国国家安全局（NSA）内部的情报价值与覆盖程度。以反恐任务（S2I）为例，其监控任务分拣器（Selectors）数量高达 14,945 个，其中 77%（即 11,461 个）均经由 FAA／PRISM 渠道实施监控，可见其在反恐链路中的绝对核心地位。同时，ECC（F22）网络安全部门也展现出极高依赖度，其 72% 的数据均源自 PRISM 系统。相比之下，其他区域情报部门的依赖比例则明显较低，例如专注中东及非洲情报的 S2E 部门，仅有 38% 的选择器通过 PRISM 进行监控。更值得注意的是，几乎所有主要业务部门对 PRISM 的依赖均呈现持续上升趋势。例如，S2D 部门在一年多的时间里新增 1,872 个 PRISM 监控目标，而 S2H 也增长了 660 个。

Part3 总结

1.  美国NSA的PRISM 棱镜计划并非传统光纤监听，而是直接从美国9家科技巨头公司服务器调取数据。

2.  PRISM棱镜计划既获取通信元数据，也能提取邮件、文件、照片、聊天记录等内容级信息。

3.  NSA 通过 FBI 的 DITU 单元接入企业系统，这既是法律隔离，也是技术接口；通过UTT等统一工具，实现了从目标选定到数据分发的高度自动化流程，是NSA获取外国情报最高产的来源之一（后续会专门写文章给大家讲解）。

4.  如果说Upstream（上游收集）像是在公海捕鱼（撒网捞取流经光缆的数据），那么PRISM就是直接去鱼市场（科技公司的服务器）拿已经分类好的鱼（存储的具体用户数据）。

5.  大家有好的建议，欢迎给我留言。为了便于技术交流，现已建立微信群”希水涵-信安技术交流群”，欢迎您的加入。

公众号专注于网络安全技术分享，包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com

OR 2332887682#qq.com

(replace # with @)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：希潭实验室 abc123info《第145篇：美国斯诺登棱镜门事件的技术细节揭秘：通过互联网巨头窃听全球用户数据》