美军六大网络战略

美军六大网络战略

戴 超　

    

  “如果你们用网络攻击手段关闭了我们的电网，我们将往你们的烟囱里扔导弹。”最近，美军网络战新战略成为各国关注的焦点，这一战略指出将对一切网络入侵实施包括传统军事打击在内的报复行动。其实早在4月底，美国防务系统网站就曝出美军新网络战略将转为“主动防御”，还被视为美国国防部长罗伯特?盖茨正式下令成立网络司令部以来，美军对网络防御战略的又一次完善。目前，包括军队、智库、院校、科研团体在内的美国多家机构经过长期实验、研究总结归纳出了多条网络防御战略，并在美军网络战的实际运用中不断发展完善。

                                 威慑战略

    奥巴马政府上台以来，高度重视网络安全在国家安全战略中的作用。从其上台后大幅削减对包括F－22战机在内的许多传统武器投入，筹建网络司令部谋求制网权等一系列做法就可以看出，奥巴马政府的网络安全战略已经显现出“攻击为主，网络威慑”的态势。
    美军认为，威慑战略在整个网络防御战略体系中处于基础性地位，所有其他的防御都是在威慑战略失效后进行的。威慑战略的有效实施，能够让潜在的攻击者认识到任何攻击尝试都是徒劳的，并且要为此付出巨大代价，进而放弃网络攻击行动。
    威慑战略的基础是能够识别攻击者、进而迅速给予其报复性打击。其中确定性、严厉性、快速性对于威慑战略的有效实施十分关键。在网络空间中如何有效地识别出攻击者对包括美国在内的世界各国来说都是一个难题。所以，虽然威慑被看作是一种重要的网络防御战略，但是在美国军方智库兰德公司2009年发布的一份报告中认为，在应对针对美国信息基础设施发起的攻击时，威慑战略作用可能并不明显，其原因就在于难于识别谁是网络攻击的发起者。而只有在能够准确识别攻击发起者之后，美军才能够进行后续的报复性行动。但是，一旦做出了识别，美军就必须保证能够按照既定预案做出迅速响应，例如，组织网络防御，为报复性的网络攻击提供“目标”等等。美军希望通过这样的积极防御战略暗示攻击者，不管针对美国的网络攻击是否成功，攻击发起者都势必付出惨重的代价。对此，在2011年5月16日奥巴马政府发布的《网络空间国际战略》中，已经明确写道美国“保留必要时使用包括外交、情报、军事、经济等手段（进行报复）的权利”。
  因此，美军网络防御中的威慑战略旨在通过预防性防御措施使攻击者相信，突破美军安全设备的防护需要付出高昂代价，或者此次攻击尝试根本不可能成功，甚至可能招致美军的报复性打击。

                               先发制人战略

    有报道称，2010年8月，五角大楼就在考虑如何采取更加有力的措施保护其计算机系统，这些措施包括采取一系列先发制人打击行动，比如率先击溃对手的计算机网络。
    从美国防部的预算文件中可以看到，美国防部正在大力研发网络攻击武器，通过这些武器，美军将具备“袭击和利用敌方的信息系统”以及“欺骗、拒止、瓦解、降级、摧毁敌方信息及信息系统”的能力。但是，五角大楼官员不愿在相关国际法和技术可行性问题得到完全解决之前使用这些攻击武器。这正是让美国决策者感到头疼的地方。因此，美部分政府官员提出质疑：五角大楼是否能够在不违犯国际法或侵犯其他国家主权的前提下采取先发制人行动。还有一些官员和专家认为，现有技术难以有效利用网络攻击手段，并质疑在诸如更新防火墙、保护计算机端口以及修改登录密码这些传统防御手段都未曾全面实施的情况下，是否还有必要采取先发制人行动。
    尽管如此，在美国防部副部长威廉?林恩概括的一项网络战略中提出了美军计算机系统的积极防御措施，他称之为“美国网络防御措施的根本性变化”。林恩表示此举包括“主动出击”封锁恶意软件，“以防它们抵达”军队网络的门户。将恶意代码封锁在网络之外，这在五角大楼的权限范围之内。但是，从另一方面来讲，在他国网络中击溃可能的网络攻击则必然需要跨越他国网络边界。对此，美网络战司令部司令官基思?亚历山大强调：“美军必须拥有网络攻击能力，以在第一时间击溃试图攻击我们的敌人。”另一位高级防务官员也表示：“我认为我们深知，为了确保军队网络的健全完整，我们必须能够尽我们所能主动出击——一旦我们知道威胁出自何方，就要努力消除那些威胁。”
  美军声称，先发制人战略与其他战略相互配合可以发挥出更优的效果。例如，先发制人战略将使威慑战略的作用更加有效，潜在攻击者在决定对美实施网络攻击前势必会更加慎重地考量可能由此导致的各种后果。而威慑战略则又为先发制人战略的存在与发展奠定了基础，为了保证足够的威慑力，必然要求不断发展以网络攻击能力为基础的先发制人战略。

                               纵深防御战略

    美国国家安全局最初于1998年制定、至今仍在不断完善的信息保障技术框架（IATF），主要为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论就是“纵深防御战略”。
    顾名思义，纵深防御的目标即通过采用不同技术安全设备的梯次配置，形成设备、技术之间的优势互补，从而挫败网络攻击。因此，纵深防御战略的基础是“可信系统可以通过不可信的组件加以构建”。其基本思想是尽可能避免美军网络防御体系重蹈一战时法国马其诺防线的覆辙，因为经过精心准备并且能够调动各种资源的攻击者似乎总能找到某种方法来突破防御。这里需要强调的是，一旦防御体系被突破，美军网络安全部门应该具备能够检测到此次突破、并对其对产生影响进行评估的能力，随后根据不同威胁级别，采取分级响应。同时，不管美网络战部队后续采取哪种报复行为，都必须迅速对遭受攻击的系统与网络进行重新配置、恢复以将攻击所造成的损失降到最低。因此，防御被突破后，自我恢复的能力也可以看作是纵深防御的一部分。
    美军之所以重视纵深防御，其原因在于网络领域中防御与攻击的不对称性。通常认为，网络防御的难度要大大高于网络攻击。这是因为，有效的网络防御必须能够成功应对所有攻击，而攻击只要成功一次就突破了所有防御。而且网络攻击更容易、更快，较之网络防御代价更低。正是基于这种不对称性，美军认为如果没有多重防御层次迫使攻击者针对各种“屏障”进行不断的尝试，而仅仅关注于网络边界的防御策略，则注定要失败。但是，即便为攻击者设置了大量障碍，对于有效防御仍然是不够的。因为纵深防御不仅需要防御层次的数量，更需要质量。
  对此，美军已经认识到纵深防御战略所采用的各种防护技术实现原理必须尽可能不同，以避免出现相同的破绽。如果防御系统中所采用的防护设备都具有相同的破绽（例如都使用漏洞百出的操作系统），那么即便运用了纵深防御战略的防御体系也会被轻易突破。而如果各种防护设备采用的原理互不相同、并且能够有效互补，然后在网络中加以配置，那么攻击者就要耗费大量精力去突破这些基于不同技术原理实现的设备。而且，这时一个攻击者就需要面对多种不同的技术，要求攻击者具备所有相关的专业知识以及大量的时间来突破所有安全防护设备。而这一过程所争取到的时间以及攻击者进行不断尝试所留下的各种痕迹，就能够帮助美军网络安全部门大大提高检测到攻击的概率，从而做出进一步响应以挫败攻击行动。

                                  欺骗战略

    前美国防高级研究项目管理局网络安全专家、现任网络防御机构总裁萨米?塞佳里认为，网络防御中欺骗战略的目的在于，就关键信息系统、资源的价值和位置等内容向潜在的攻击者提供尽可能多的混淆和不确定性信息。为了保证欺骗战略的有效性，网络防御中的欺骗在实现过程中必须是动态的，即在对方能够把点滴信息拼凑起来、最终形成对美军当前网络态势的有效认识之前，向对方展现出不断变换的系统或者网络环境。
    欺骗战略有助于其他网络防御战略的实现。以威慑战略为例，通过给对方一个安全程度高于实际安全配置水平的印象，那么攻击者就有可能认为无法突破美军当前的网络安全配置从而放弃攻击。如果威慑战略失败，那么欺骗战略还可以用来误导针对美军网络的攻击者，在美军联合条令JP3－13.4《军事欺骗》中就专门介绍了欺骗战略在计算机网络战中的应用。比如，参照作战部队信息系统构建虚假的服务器、通信结点、以及其他与作战结点相联系的硬件设施，从而避免遭受对关键结点的物理打击；还可以通过有意向对方情报收集系统泄露虚假信息进行误导。事实上，对手具备的情报收集能力越强大，则越可能收到专门为其定制的虚假信息。美军认为，通过这些方式可以大量消耗攻击者实施攻击的时间和资源，为美军网络安全部门检测攻击创造出更多机会，便于后续分析、识别进而做出适当响应。
  在实际应用过程中，通过预先精心筹划的欺骗造成混淆，可以作为整体纵深防御战略的一部分，在并不需要付出很多代价的情况下提供一套强大、有效的安全措施。所以美军认为，欺骗战略与其他战略相配合能够发挥最好的作用，而不是孤立地实施。

                                动态划分战略

    美空军研究实验室的有关专家建议，如果威慑战略失败，安全防护措施也不能够阻止攻击者成功穿越美军网络的纵深防御体系，那么就要把受影响的系统以及网络从其他信息基础设施中剥离出来，直到受攻击部分恢复如初，这就是网络防御中的动态划分战略。
    动态划分的目标是以一种动态可扩展的方式将美军网络中遭受攻击的部分划分出去，以减少对美军信息基础设施造成的损失。打个比方来说，网络防御中的划分战略就好像在船体结构中建立的隔舱，即使船体中某一点受到猛烈撞击但并不足以造成对整条船的影响。对船体的破损部分进行修补后，这艘船就又能重新开始航行。还可以把划分战略看作是急救时所用的止血带，虽然使用止血带后可能会失去一条手臂，但能挽救一条可能因失血过多而逝去的生命。因此，如果网络中某一部分受到攻击，通过将受攻击的网络从剩余网络中划分出去，则可以避免造成整个网络的“沉没”或者“失血过多”。
  美国军方智库兰德公司在一份报告中建议到，在网络威胁较多的一段时期里，可以通过将美军重要网络划分成安全区的方式，以减少攻击者对广泛互联的信息基础设施中所存在漏洞加以利用的机会。在这些安全区中，将对维持运行所需的数据或者代码进行本地存储，那么安全区中的网络虽然在性能上会受到一定影响，但是依然能够保持良好运转。然而此时美军必须面对两个问题，第一个问题是，安全区中被隔离的网络在不对其他网络资源进行存取的情况下，能够良好地运转多长时间。第二个问题是，对于一个大型网络而言，为了进行准确有效的划分，如何在实施划分战略前搞清楚系统以及网络之间众多依赖关系和互联状况。像美国这样信息化程度较高的国家，其信息基础设施是一个不断变化的系统和互联网络的集合，准确搜集这些信息是十分困难的。对于划分战略的应用，美国加州大学戴维斯分校的一位学者还提出一种观点，将整个国家的网络看作是一个安全区，通过使用国家级的防火墙，对进出的信息流进行分级控制，这样就能够在网络威胁较多时暂时性地与国际互联网相隔离已达到防御目的。

                                 隔离战略

    与动态划分战略的隔离对象是受到攻击的系统或者网络不同，隔离战略的隔离对象是攻击者。根据实施的时间，美军认为可以进一步将隔离战略分为两类，短期行为的隔离战略和长期行为的隔离战略。
    对于短期行为的隔离战略，其目的在于将进入美军网络的攻击者引入特定区域，而不是急于将攻击者赶出网络，这样美网络安全人员就可以对攻击行为进行观察并加以评估，进而对其可能造成的影响加以限制。这种战略就相当于使攻击者进入一个鱼缸，其一举一动都被美网络安全人员尽收眼底。另一种类型的隔离技术，则是以一种更积极的方式地将攻击者从高价值的资源吸引到一个专门设置的、虚拟的受控空间，而这个空间有着一个专门的名字，叫做“蜜罐”。比如美国雷神公司开发的“网上蜜罐”系统，就是通过伪装成国防部网站等方式引诱黑客上钩，然后捕捉黑客发动攻击的程序代码进而研究出相应的防御措施。上述两种技术的目的都是使针对美军网络的攻击者远离关键目标，并为确定攻击者的身份、意图以及攻击手段创造条件。
    其实，这些方法同时也是欺骗战略在网络防御中的应用，这样攻击者就会相信攻击的是正确目标，而事实上这些目标是被美军网络安全部门有意创造出来诱导攻击者的。还有一种隔离，则是通过建立网络“禁飞区”来实现的。美军在网络中专门划分出一部分区域，只有通过美军基于网络的认证或者敌我识别的网络流量才能通过该区域。如果可疑的网络数据不能够证明它的合法性，那么相应的网络链接就会被断开。
  长期行为的隔离战略适用于美军从全球信息基础设施中剔除自认为恶意的用户或者组织，在网络空间中此战略通过信息禁运、信息阻塞的方式来实现。当今社会高度信息化，长期的隔离战略将对美军判定为恶意的用户及其组织产生深远影响。美军声称，虽然这种战略不会100%有效，但是足以向攻击者传递美军实施惩罚的决心，形成威慑。
  （《环球视野globalview.cn》第386期，摘自2011年第6期《环球军事》）