网络空间间谍活动的特征、形式及应对

文│ 中国金融认证中心 隆峰 谢宗晓

在当前形势下，国家之间的间谍战已经不局限于现场侦查、情报刺探、渗透破坏等活动，信息技术赋予了间谍战更多的选择空间。间谍窃密的范围，从原来主要的军事与政治情报领域，扩展到现在的经济、科技、医疗卫生、生物基因、能源等各多个方面。各国安全防护链条逐步延伸，各种可预见和不可预见的风险明显增多，非传统安全日益凸显。网络空间和主权的争夺正在成为政府、安全部门新的虚拟战场，传统的间谍活动也逐步被互联网情报搜集、破坏所取代，需要采取新的策略、手段和方法，面对新的安全形势。

一、网络间谍活动的特征

2013 年的“棱镜门”事件让国家网络间谍机构再一次浮出水面，展现在普罗大众面前。近年来，网络间谍活动愈演愈烈，并逐步被大众认识。

1．隐蔽性是网络间谍活动的基本特征

网络间谍活动具有隐蔽性特点。一是主体隐蔽，发起组织会尽量隐藏身份，因这种行为本身也是非法的，可能造成外交被动，需要进行身份伪装和借壳。二是技术隐蔽，网络间谍会尽量使用未公布的漏洞、自研制工具。例如，棱镜门事件披露，美国情报人员使用了专门开发的工具集，在发起网络攻击时，会进行攻击源隐藏，采用多层跳板、跳转多国实施攻击，攻击完成后也会抹除痕迹。三是过程隐蔽，除了常规性的网络攻击之外，情报机构也可以通过买通与变节对象国人员进行窃取或者攻击，或借助本国内互联网企业等开展跨国商务活动时，在对象国网络或者系统内植入木马、后门，在当地窃取重要数据后将其传送回国。

2．网络间谍活动的最终目的是危害与破坏

国家层级的网络间谍行为具有高度的组织性、预谋性和针对性，军事和政府机关的专门情报机构可能作为发起和主导机构，采取直接方式窃取情报，通过策反、收买专业黑客或者内部人员获取情报，或进行公开渠道的常态化情报搜集，都是具有高度组织性、系统性、持续性的特征。网络间谍活动的最终目的是危害与破坏，哪怕前期仅仅只是搜集敏感情报，也是为了给己方的军事、科技、经济等建立优势，最终危害对象国的经济安全、军事安全、政治安全、社会安全等。

3．利用技术优势瓦解对方的防御系统

新兴技术和情报理念的应用，会带来攻击、渗透技术的变革以及网络间谍与反间谍技术的不断升级和换代。就像武器的发展一样，网络攻击与防守的技术也面临更新替代的问题，面临“装备一代、研制一代、预研一代”的难题 , 因此，在网络间谍活动防守上也需要思维、理念的革新。同时，情报活动早已扩大到军事、政治、经济等传统领域之外，使用的网络间谍武器和工具也不断推陈出新，例如使用量子解密、大数据捕获分析、人工智能社工等方式进行网络攻击。

国家层级的网络间谍行为会动用国家力量培养的专业网军。网军掌握数量庞大的“零日”（0-day）漏洞，可以制作专业的攻击渗透工具，并定期进行专业训练。例如，美国的情报机构与英国的情报机构合作，花费巨资研制网络清除器（NetEraser）软件，可用于监听全球范围的电子邮件。同时，情报机构也会利用社会技术力量扩大技术能力，例如，联合专业军工复合体、安全服务商、网络科技公司、跨国硬件商，在网络设备、移动终端、应用软件上安装先进和不易发现的后门程序，进行监听和窃密行动。网络间谍的渗透、破坏活动，在技术层面，无所不用其极，善于利用技术优势瓦解对方的防御系统。

二、网络间谍活动的形式

根据目前观察到的情况，网络间谍活动主要采取以下几种方式。

1．盗取和篡改敏感信息或情报

网络间谍人员最主要的工作就是获取重要情报，重要敏感信息或数据，一般需要使用涉密网络、专用网络、互联网进行传输。网络间谍活动主体会穷尽各种方法和途径进行攻击和渗透，以便获得极具价值的重要信息情报。

2．监听、搜集信息并加以分析利用

使用大数据、人工智能方式分析可公开的文献、资料、互联网流量等信息，是来源可靠、成本低廉的搜集情报方式，而且通过这些方式可以得到安全特征、总体趋势、影响因素、技术隐患等众多价值信息。网络间谍也通过非公开渠道来源获得信息，例如通过购买地下黑产、社工库等数据，或者通过本国的跨国互联网公司、网络设备商、汽车商等非法采集、监听方式获得信息。

3．攻击和破坏重要系统、网络、关键基础设施

政府、军工、航天等敏感行业成为被网络攻击的重点对象，电网、核设施、水务等工业控制系统等基础设施被网络间谍攻击的事件也屡见不鲜，由于关键信息基础设施存在硬件老化、系统版本过低、用户认证不严、操作人员安全意识不足、系统易被攻击等多种防御弱点，甚至很多工业控制设备都是国外厂商生产，本身带有后门或有隐藏权限，一旦被成功控制，将严重影响社会秩序和民生安全。考虑其对国家安全、民生安全的重要性，关键信息基础设施等层面的安全漏洞已经成为网络间谍重点研究的对象，例如伊朗核设施、委内瑞拉电力系统等事件已然成为被成功攻破、获得巨大战果的典型案例。

4．煽动舆论以制造对立并激化社会矛盾

西方国家媒体和网络间谍组织通过宣传所谓的自由、民主、人权等价值观，操纵舆论或进行道德绑架，或引发民众对立，或扰乱政治局势、网络环境。例如，西方媒体和网络间谍在新冠肺炎疫情问题上抹黑中国，针对各种社会热点事件的歪曲、夸大，散布谣言和虚假信息，挑起争端对立，制造社会矛盾，破坏党和政府公信力和声誉，从而达到影响社会稳定、破坏民族团结、延滞社会发展的目的。

三、网络间谍活动的防控策略

网络间谍从多种途径窃取国家机密，对系统和网络进行攻击和破坏，对军事和民生基础设施造成威胁，污名化国家和政府的信用和形象，污染网络生态环境，损害国家凝聚力和向心力，对国家安全造成重大安全隐患，是网络主权空间的毒瘤，应全面加以整治，加强防控。

1．加强重点行业领域安全威慑、防护和反制建设

网络间谍主要的活动是攻击和破坏政府、军工以及各重要命脉行业的网络和系统，窃取重要数据和情报信息，因此，首要任务是要针对网络攻击进行防护。各重要行业领域应按照等级保护、关键信息基础设施、数据安全保护等相关法律法规要求，加强信息系统、重要网络、基础设施、互联网络空间的安全建设、整改，执行日常安全测评与监督检查，进行动态化的红蓝对抗和攻防演练，建立行业内部情报共享和预警机制，国家相关监管单位也应加强网络安全领域的联防联控，包括在截获网络攻击之后进行阻断、警示、威胁、反制等。

2．加强对关键信息基础设施的重点保护

国家安全部于 2021 年 4 月发布的《反间谍安全防范工作规定》规定：“关键信息基础设施运营者应采取反间谍技术安全措施，防范、制止境外网络攻击、网络入侵、网络窃密等行为，保障网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全”。该规定要求围绕以关键信息基础设施为重心，加强对涉及民生安全与基础工业安全的系统和网络的重点防护，为工业控制系统提供专门保护，解决物联网系统和嵌入式设备的网络安全威胁，最大限度降低基础设施层面面临的风险。关键信息基础设施的防护方向也从防止军事破坏延伸到防止网络间谍的网络攻击破坏领域，应加强对关键信息基础设置的安全基线配置、强访问认证和控制、自主可控改造。

3．强化数据全生命管理安全、加强数据出境管理

在非战争状态下，网络间谍活动的主要内容是窃取情报信息。为防止敏感数据被窃取，内部数据要进行分类分级和标识，必要时使用强制访问控制，网络边界要严格加强安全防护，数据传输、存储要加密，数据出域、出网、出境要审批，数据流转要有审计和监控。数据的防护链条应当覆盖全生命周期，在内容覆盖上也应与时俱进，将更多敏感信息纳入保护范围，如数据智能算法、疫情应急、生物基因信息、地理测绘等。以“滴滴出行”事件为警示和教训，应谨防国内外科技公司在军事和敏感区域附近采集出行数据、活动轨迹、人员关系数据等搜集或者泄露军事、政治性辅助情报的可能性。

4．加强国外厂商安全审查，推进国产化与自主可控

大量国外的网络设备、系统软件、工业控制系统、手机设备、车联网系统、应用软件等都被发现存在后门或非法搜集上传数据等情况，国际根域名服务器等大量 IT 基础设施资源都掌握在欧美国家手中，西方国家也拥有系统底层源代码。如果西方国家利用其垄断地位优势开展网络间谍活动或者进行肆意破坏简直易如反掌，在涉及国家安全、民生基础设施的关键领域，必须加强芯片、电子元器件、操作系统、数据库、工业软件、基础应用、终端控制设备等的国外服务商的安全审查、认证与准入，同步推进国产化和自主可控，才能在国家层面的网络安全和情报对抗中进退自如。

5．开展新型网络间谍活动预研应对和反制

随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展，网络间谍活动一直在动态发展和变化。部分国家已经使用大数据、人工智能等技术进行军事、机要人员性格画像和特征分析。人工智能机器人将来也能用于进行自动化的诱导欺骗、社工攻击，撒网式获取敏感信息，甚至可以通过真假难辨的语音模拟，越过声纹为主的生物特征方式的认证，冒充上级领导、同事等索要敏感资料。如何应对此种技术条件下的网络间谍活动，研发先进技术手段对其进行防范、破解、反制，也是将来需要面临的重大难题。

6．深化全民网络安全与反间谍教育

积极深入宣传《网络安全法》《反间谍法》《数据安全法》等涉及国家安全的法律。切实增强网络安全意识教育、保密安全教育，突出场景植入式案例教育，组织特色鲜明、生动形象的基层宣传活动，补足人员安全意识不足的短板。同时，反间谍也需要走群众化路线，安全系统和人工智能并不能解决所有问题，需要广大人民群众的“火眼金睛”，去扫除妖魔鬼怪，让谣言散布者、带节奏者、“网络公知”、话题制造者等网络间谍行为无处遁形。

7．加强网络舆情监控，提升治理能力

由于历史原因，西方媒体长期占据舆论宣传高地，掌控话语权，利用长期的关于民主、自由、人权的宣教，利用热点事件放大矛盾，制造分化和对立，打击人民群众对道路、理论、制度、文化的自信。公开报道的事件证明，不少受西方政府资助的幕后基金参与其中。国家应加强对网络空间的舆情治理与引导，包括在法规上设置红线，明确网络运营者的安全责任和适度管控，加强舆情大数据的监控分析，出现热点事件时及时降温和正向引导，组织形式多样、活泼生动的正能量、正面典型的宣传报道，弘扬英雄主义、爱国主义，监控与查处恶意控评团队、非法网军水军，切断海外非法资金资助链条。

在针对网络间谍活动通过公开网络渠道搜集情报信息方面，应加强对公共网络空间的敏感信息控制、审查与应急响应能力，对公众大数据出境、非法利用、共享转让要进行严格管控和审批，对在网络论坛、聊天室、即时通信组群、短视频网站等涉及军事、航天、经济、科技等敏感话题讨论和疑似泄密行为，应能通过敏感信息监控与情报分析等系统、平台，快速核查可疑行为，及时响应处置。

（本文刊登于《中国信息安全》杂志2021年第10期）