关于网络安全,这三份西方智库报告值得注意
原标题:应对网络空间的国家安全挑战:一场虚拟与现实交织的博弈
互联网技术的飞速发展与互联网应用的广泛普及,使社会运转、信息流通、人类生产生活变得更加高效、快捷,让世界变成了“鸡犬之声相闻”的地球村。但与此同时,网络安全问题所带来的挑战,从虚拟空间迅速延伸至实体空间,发展之快、涉及之广令各国猝不及防。不知不觉间,网络战成了一种全新的战争形式,网络刺探成了一种主流的获情手段,网络犯罪的受害者更是不计其数。一个前所未有的课题摆在各国政府和领导者面前,既要充分利用网络平台推进国家安全和发展战略,也要充分认清国家安全和发展战略所面临的来自网络空间的威胁,以及这种威胁可能造成的严重后果,制定、实施有效的应对方案。
在互联网技术和应用方面拥有绝对优势的美国早已意识到维护网络安全的重要性,奥巴马上任伊始就明确指出网络安全是国家面临的最严峻挑战之一。在国内,奥巴马政府已推出多部与网络安全相关的法律法规,如《2012年网络安全法案》、《确保IT安全法案》等。在国际上,美国积极主导网络空间“游戏规则”的制定,比如推出类似网络空间“战争法则”的《塔林手册》,并于2010年成立网络司令部,将网络战部队投入实战应用。2016年2月,奥巴马政府推出了《网络空间安全国家行动计划》,规划了短期行动措施与长期战略发展目标。但是,即使如此,美国也深感当前对网络安全的认识、理解和对策研究水平远远滞后于互联网技术发展速度。
那么,作为在使用规模、发展潜力上几乎可以比肩美国的另一个互联网大国,中国又该如何认识网络安全问题,怎样处理在相关领域的国际关系特别是对美关系呢?
更新网络安全观念需要掌握的常识
发达国家正加紧研究网络安全问题——三份关键报告
在瞬息万变、充满未知的网络空间,面对各种有形无形的威胁和挑战,作为一个主权国家、现代文明国家,如何才能做到“魔高一尺,道高一丈”,如何才能有效的维护国家安全、消除或降低来自网络空间的安全威胁?各国智库,特别是美国和西方国家智库展开了大量研究,试图找到最佳答案。自2015年下半年至今,国际上有三份与该问题直接相关的智库报告值得关注和思考。
一是美国兰德公司2015年9月发表的《美中军事记分卡:武力、地理和力量平衡的变迁》。这份报告承袭了兰德在定量分析上的一贯扎实作风,以389页的文件长度及113张图表,详细分析了中美一旦在台海、南海发生军事冲突时,两国海、空、天、网、核的作战力量运用、打击效果及优势弱势,并为每一项内容制作记分卡,以直观的方式体现两国军力对比。其中网络战能力分析部分约23页,虽然占全文内容比重并不大,但其一方面对网络战进行了定义,试图摸索网络战的特性和规律;另一方面对中美网络战力量进行了较为客观的分析判断,具有很强的参考价值。
二是美国战略与国际研究中心(CSIS)2015年11月发布的《2016全球展望》。这份报告更像是一本论文集,围绕2016年美国国内外一些热点问题,收录了该中心麾下一些专家的分析文章。美国战略与国际研究中心以研究战略层面的问题为专长,报告中虽然只有一篇短短3页纸的网络安全文章,但却一针见血指出,美国政府没能抓住解决网络安全问题的关键。
三是英国国际事务皇家研究所2015年10月发表的《民用核设施的网络安全》报告。该报告虽然聚焦在核设施网络安全的这个点上,但将网与核联系到一起,让人直观地感受到虚拟威胁现实化的冲击。特别是联想到日本福岛核泄漏的可怖景象,提醒了我们关键基础设施的网络安全隐患将会带来多么严重的后果。
网络战对实体空间战场态势的影响不可低估——中美战争假想
互联网技术的诞生源自军用,对传统的战争形态产生了结构性的影响。未来战争是否真的会像美国电影《骇客帝国》描绘的那样完全在虚拟空间展开,我们不得而知。但不可否认的是,网络战已经成为现代战争不可或缺的一部分。因此,只有看清网络战对实体空间战争的作用,才能把握诀窍,灵活高效地运用好这种作战手段。
兰德公司的报告在这方面做了较为详细的阐述。报告将网络战分为战略网络战与战术网络战。战略网络战的打击目标包括政府甚至民间设施,目的在于有效遏制敌方的进攻意图。战术网络战的打击目标为军事系统,目的在于有效削弱敌方的战斗力。
兰德公司的报告认为,网络战有四方面的特性。首先,虽然网络战行动是对实体空间作战行动的配合支援,但成功的网络打击可能会使战争局面产生逆转,可以起到物理打击达不到的效果,且网络战成本低、收益大,因而是一种“性价比”很高的作战行动。其次,网络战往往不是军队与军队之间的对抗,而是技术人员、工程师之间的对抗,因此难以像传统作战力量那样,根据兵力人数、武器性能参数等进行量化评估。第三,网络战的形式、方法、能力随着网络技术的更新而迅速变化。第四,由于网络进攻溯源的复杂性,对进攻意图、目的产生误判的可能性较大,网络战特别是战略网络战由于误判而导致战争升级的可能性也较大。
通过兰德公司报告对中美网络作战行动的设想,可以清晰地看到网络战作用于实体战场的方法、路径和效果。这份报告预想,一旦战争爆发,中国的网络战力量将首选进攻美军的后勤补给系统,因为它建立在五角大楼的非保密网络之上,安全性较低,不难攻破。中国网络战部队可以通过入侵、破坏后勤补给系统达到以下效果:窃取情报,通过对后勤物资数量、投送地点等信息的掌握,分析作战部队的关键信息;通过“洪流攻击”等简单易行的方式,堵塞后勤补给系统的对外通道,阻断国防部与后勤补给供应商之间的联系,滞迟相关信息传输,降低后勤补给效率;入侵网络并采取欺骗、篡改等方式,使后勤补给供应商接受假指令而导致混乱。
兰德公司报告认为,中方对美军后勤补给系统的打击能对战场态势带来多大影响,与这场战争的性质紧密相关。美军前线作战实行的是“铁山”政策,也就是说部队会携带大量、甚至是过量的武器装备、后勤物资前往前线。在战争的头一个星期,即使来自国内的补给被完全切断,也不会造成决定性的伤害。因此,如果中美之间发生的是一场小规模、速战速决式的战争,那么中国网络战力量对美军后勤补给系统的打击即使在战术上取得巨大胜利,在战略上也意义有限。
反之,如果发生的是一场持久战,那么后勤系统的瘫痪肯定会削弱美军部队的战斗力。值得注意的是,当前,美军的后勤补给正在向“精确后勤”和“实时后勤”转型,以降低物资堆积战场带来的损失。如果实现了这样的转型,中国网络战力量对美军后勤补给系统的打击,将会对战争的胜负起到更加关键的作用。
兰德公司报告指出,对于美国网军来说,对中国进行网络作战最大的苦恼,不是“攻不进”,也不是“防不住”,而是“中国军队作战对网络的依赖程度太低”。这使其不得不采取“进攻军民共用基础设施”等方式。报告指出,随着中国军队信息化建设的推进,美国的网络战力量将会有更大的施展空间,比如破坏综合防空系统和海上情报、监视与侦察系统,这会给中国在实体战场的作战行动造成伤害。
通过上述兰德公司报告关于中美网络战的假想不难看出,网络战不是一种孤立的存在,需要将它作为立体作战中的一环,与其他作战手段综合运用,进行有效的协同、配合,才能最大化地发挥作用。
互联网产业对国家安全的支撑不容忽视——美国经验谈
通常来讲,非军工产业多是从经济、科技等层面间接地作用于国家安全,但互联网产业却是个特例,它异乎寻常地靠近国家安全的核心。虚拟世界里的攻防,用的不是刀剑枪炮,而是一行行的代码,网络安全博弈的根本在于技术,而技术发展与提升源自互联网产业。
兰德公司报告认为,中国在网络空间“并没有想像中的那样可怕”。兰德公司得出这一结论,其自信主要源自美国在互联网技术上的绝对优势。支撑这种技术优势的不是美国国防部、也不是白宫,而是像“八大金刚”(思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软)、赛门铁克、火眼这样的互联网技术公司。根据兰德公司报告的判断,中国在未来五年甚至更长时间内都不具备与美国“八大金刚”抗衡的能力。
在美国看似自由的市场环境里,互联网技术公司并非“野生”。政府通过制订法律、合同采购、委托研发甚至直接注资等方式,引导、助力互联网产业按自身希望的形态和速度生长。特别值得注意的是,网络安全是个新兴的行业,从杀毒、加密到监控系统安全、威胁情报分析,新的网络安全需求层出不穷,新的技术、新的公司也层出不穷。但是网络安全公司资金规模小、服务内容单一,公司创始人多为技术发明者,资本运作经验不足,“自生”的速度快,“自灭”的机率也很高。而一些涉及国家安全的、前瞻性的技术公司,由于缺少市场回报而更难生存。为了合理布局网络安全产业结构,培育、扶助优秀的网络安全技术公司,美国政府往往伸出“无形的手”,扶持他们的经营运作。
在美国,有一家唯一的政府直接资助的风投公司“In-Q-Tel”(IQT)。该公司平均每年从政府获得3700万美元资助,已投资超过200家初创公司,重点关注新兴科学技术领域,网络安全技术相关的创新公司首当其冲。纵观IQT的投资名单,不乏火眼、Keyhole(谷歌地球的前身)这样引领技术革命的优质公司。IQT投资不以短期回报为目的,在它的资助下,许多优质公司得以缓解生存危机,将目光投向更长远的未来,从而支撑美国始终占领互联网技术的尖端位置。
此外,美国联邦采办条例(FAR)中要求政府采购合同除要考虑价格、成本、质量等因素外,还要“满足国家安全战略需要”,据此国家安全、情报等部门可以通过技术、服务采购的方式,弥补网络安全技术“供”(技术供应多在民间企业)与“需”(技术需求多在政府官方)的断层,为安全技术公司提供更丰厚的土壤。美政府或军方还将一些网络安全核心技术需求进行拆分,交付给大学实验室、智库或其他科研机构完成,在防止泄密的前提下自下而上地有效汲取技术养分。
美国在对互联网产业的扶植、塑造方面成效显著,但是在管理监控方面却暴露出短板。美国战略与国际问题研究中心《2016全球展望》报告就指出,美国在处理网络安全问题上采取了“舍本逐末”的方式,过于关注终端用户的安全而忽视了对IT产品供应商监管,一些不合理的免责条款、协议,使IT企业可以放心大胆地销售、传播带有明显安全隐患、漏洞、后门的产品,有些企业为谋私利甚至还向自己的产品中植入恶意程序。这就像治疗传染病,传上一个治一个只会越来越被动,关键是要从根本上掐断传染源。报告认为,美国之所以没有把握住解决网络安全问题的根本,主要有三个原因:一是对网络安全问题的认识不够深入;二是缺少对企业监管的技术手段;三是不敢招惹业界大佬。
关键基础设施是网络攻击的“裸靶”——绝非耸人听闻
2015年12月,乌克兰国家电网因受木马病毒攻击发生电力中断。2016年1月,以色列能源与水力基础设施部部长证实该国电力供应系统遭受重大网络攻击侵袭。此类事件还有不少,表明关键基础设施网络安全防护薄弱易于进攻,而一旦破坏成功,其对国家安全的直接或间接损害不可估量。这种低成本、高回报的打击是来自网络空间的“不对称”威胁。
兰德公司报告指出,美军如果对中国发起网络进攻,首选目标很可能就是军民共用关键基础设施(如交通运输、导航、医疗、电力等相关领域的基础设施,和平时期为民用,战争时期为军队提供保障)。报告推测中美最有可能发生军事冲突的战场在台海和南海,对于中国来说,这样的周边作战使境内的军民共用关键基础设施显得更为重要。这些设施多由民间企业运营,网络应用与网络安全建设出现严重失衡。
兰德公司报告的分析提醒我们,对于很多关键基础设施的管理者来说,加强网络安全建设不仅要投入大量人力和财力,而且不会产生任何经济效益。在和平时期他们遭受的网络攻击强度、频率有限,所造成的损失也都在可控的范围。因此,他们对加强网络安全的需求和迫切程度不高,多采取放任的态度。但是,一旦战争爆发,这些设施的网络安全问题就会凸显,所遭受的攻击不可与和平时期同日而语,除非技术人员拥有惊人的快速反应能力,否则这些关键基础设施就会成为网络战场上的一块“裸靶”。
英国国际事务皇家研究所《民用核设施的网络安全》报告特别研究了核设施的网络安全隐患,指出世界上的核设施越来越依赖数字控制系统,大量使用“现成”的商业软件,这虽可大幅提高效率、降低成本,但也为可能的网络攻击提供了便利。更为严重的是,核电厂的管理、技术人员缺乏应有的网络安全意识,没有应急预案和准备,面对突如其来的网络攻击束手无策。
《民用核设施的网络安全》报告将核设施的网络安全隐患归纳为三点:一是许多工业控制系统本身就是“不安全设计”,因为在设计之初并未考虑到网络安全因素;二是现有的标准化解决方案,主要是出于商业目的,不完全适用于关键基础设施;三是核设施工作人员网络安全培训不足,不具备应对大规模网络安全事件的能力。
另一个值得发出提醒的是对“物理隔离法”的认识。很多人认为,将关键基础设施的控制系统与互联网进行物理隔离就万事大吉了。但是,随着现代科学技术的发展,物理隔离的神话已经破碎。早在2014年以色列本·古里安大学的研究人员就向外界展示了一款名为AirHopper的软件,该软件可以在没有网络、SIM卡或WIFI的环境下,强制计算机将信息以键盘敲击的形式,通过无线电波传送给无线接收器。而大名鼎鼎的“震网”病毒可以利用操作系统漏洞,完全突破工业专用局域网的物理限制,直接对基础设施进行攻击,其对伊朗核设施的成功破坏便证明了这一点。
不管我们接不接受,愿不愿意,用“阻断互联”换取绝对安全的想法已经过时。无论是关键基础设施的控制系统还是政府、军队的保密内网,甚至是武器操控系统都不能再把物理隔离作为一劳永逸的“杀手锏”,而是要直面网络安全威胁的现实,尽早投入到网络对抗能力建设中去。
从国家层面来看,要对关健基础设施的网络安全问题给予足够的重视,改变当前相关企业对网络安全问题视而不见甚至瞒天过海的局面,采取法律约束或者专项资金注入等方式,引导、助力关键基础设施的网络安全能力建设。
本文链接:http://www.gdjsdr.com/html/military/info_9795.html
文章仅代表作者观点,不代表本站立场。转载请注明出处和本文链接
