网络是信息流通的中枢,也是现代社会主要产业运作的平台。然而,由于网络空间的跨界性、战略性、隐蔽性与不确定性等特征,互联网与人类社会的深度交融在加速全球化的同时,也带来了风险的无界传播并导致外溢效应。频繁的网络攻击与网络犯罪以及肆虐的黑客进犯对世界各国关键基础设施的运转造成了严重的消极影响。鉴于此,有学者将这种境况称作“网络的不安全时代”(age of cyber insecurity)。网络安全成为国家安全的重要领域,正如习近平总书记指出:“在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。”
在网络安全领域,“突发性网络攻击”是信息时代网络战争(cyber warfare)的一种新形式。突发性网络攻击的防范与应对已经成为世界范围内网络安全乃至国家安全的重要课题。美国中央情报局第22任局长、国防部第23任部长莱昂·帕内塔多次强调突发性网络攻击对美国国家安全的挑战,并敦促军方出台相应的安全措施维护网络安全。当下,我国也逐渐重视突发性网络攻击,但相关研究仍处于起步阶段。在复杂的安全形势下,“网络安全的威胁来源和攻击手段不断变化”,我们需要未雨绸缪,强化防范意识、提升技术手段,构筑系统化、强效能、高科技的网络安全保障体系,提升整体国家安全水平。有鉴于此,笔者从突发性网络攻击的概念与要素入手,梳理与阐释突发性网络攻击对网络安全的挑战,并结合情报领域的专业知识分析应对突发性网络攻击的策略,以期从理论上丰富网络安全研究的视角,为现实层面构筑网络安全屏障、提升网络安全治理乃至国家安全治理效能提供借鉴思路。
1突发性网络攻击的概念与要素
网络空间(cyberspace)已经成为大国战略博弈的新领域,也是继陆、海、空、天之后的“第五大作战领域”。2007年4月,爱沙尼亚遭受到了前所未有的网络攻击,这场攻击规模之大、损失之严重远远超出了黑客攻击的范围,使其成为具有时代意义的网络安全事件。在爱沙尼亚的惨痛教训下,各国开始未雨绸缪,将国家安全延伸到网络空间。这表示,网络空间已然成为一个充满对抗的环境(contested environment),网络战争一触即发。突发性网络攻击正是在这一大背景下走进理论界与实务界的视野。
1.1 突发性网络攻击的概念突发性网络攻击并不是一个全新的概念。在安全情报领域,突发性网络攻击被美国情报界称为“网络珍珠港”(cyber pearl harbor)。
将“珍珠港”与“网络”这两个词语相结合,旨在描述网络空间中类似于珍珠港事件的突然攻击。美国情报与安全界在20世纪90年代初期曾指出,所有人都容易受到个人、组织和政府的电子窥探(electronic snooping)与蓄意破坏,并且这种破坏往往被公众所低估。因此,突发性网络攻击受到了美国中央情报局、美国国防部的强烈关注,并将突发性网络攻击视为国家安全的重要威胁。总的来看,作为网络战争的一种形式,突发性网络攻击具备如下特征:
a.以国家管理和运行中枢为打击对象。更为精确地说,“国家的基础设施(national infrastructure)”是突发性网络攻击的核心目标。只要对国家整体运转造成伤害的网络突然袭击,都是突发性网络攻击的囊括范围。
b.袭击的突然性。既然强调攻击的突发性,就意味着这种网络攻击是“晴天霹雳”(bolt-out-of-the-blue),即决策者和情报官员将无法预测网络攻击的范围、性质或目标。
c.攻防力量的非对称性。“进攻占优”是网络战争攻防力量的基本特征,这表明,网络战争的发起方占据着相当程度的技术优势。不过,进攻占优仅仅是将一般攻防理论运用到网络空间的研究发现。突发性网络攻击的另一特点是,实力弱小的国家也可能同样倾向对发达国家发动突发性的网络战争,因为发达国家更依赖于互联网,小国的网络战争能够以低成本代价对发达国家造成更大的损失。
d.损失或后果的严重性。普通个人或者组织受到黑客攻击的影响不能和网络战争的后果相提并论。网络攻击所威胁的是“关键性信息基础设施”(critical information infrastructure)的安全。正如特朗普政府于2017年发布的《国家安全战略》强调,网络攻击不仅能构成基础设施瘫痪,甚至会造成经济损失以及生命损失等一系列次生灾害。从现实来看,到目前为止,世界上还并未出现破坏程度极强的突发性网络攻击。但是为了强调突发性网络攻击潜在的可能性,以及提升政府对网络安全与国家安全的重视,一些安全专家与情报专家建议将小型攻击(small attack)纳入到突发性网络攻击的分析与防范范围内,以增强日常的网络安全意识。
1.2 突发性网络攻击的要素对突发性网络攻击的描述与分析要建立在一种框架意识之上。
换言之,突发性网络攻击是一个由不同要素构成的整体,分为主体、目标、活动与影响四个部分。
1.2.1 突发性网络攻击的主体突发性网络攻击的主体包含了国家与非国家行为体。
20世纪90年代到21世纪初,发达国家尤其是美国安全界与情报界对突发性网络攻击的研究主要集中于非国家行为体(non-state actor),例如次国家组织(sub-national groups)以及恐怖组织(terrorist groups)。以非国家行为体为进攻主体的突发性网络攻击是网络恐怖主义(cyber terrorism)的体现。近年来,美国安全界与情报界开始强调国家行为体(state actors),莱昂·帕内塔在一次演讲中指出,“我们在网络空间面临的更大危险不仅仅是犯罪和骚扰。民族国家或暴力极端组织发动的网络攻击可能与“9·11”恐怖袭击一样具有破坏性”,约翰·哈姆雷也同样警告,敌对国家的情报机构和军事组织也会通过网络战争的形式实施攻击。
1.2.2 突发性网络攻击的目标突发性网络攻击的目标可以分为显性与隐性两个方面。
其中,显性目标是对信息基础设施的破坏,隐性目标则是网络威慑以及对目标国造成心理层面的创伤,即通过大规模的网络攻击形成威慑,使被攻击者生活于对互联网的恐惧之中。网络威慑不仅可以遏制对手的发展,同时也是威慑者防卫自身的有效手段。质言之,突发性网络攻击的目标就是实现“战略的最高境界”,即瘫痪对手,而不是杀戳对方”。
1.2.3 突发性网络攻击的活动“活动”就是网络攻击所采用的具体手段。
就目前而言,比较常见的网络攻击手段包括分布式拒绝服务(distributed denial-of-service, DDoS)、恶意软件、网络钓鱼,以及导致数据失窃的社会工程(social engineering)等等。鉴于突发性网络攻击的特性,突发性网络攻击的活动要产生出其不意或者大规模的结果,例如物理破坏(通过网络攻击使某些基础设施停止运转或者错误运转)和生命损失。这些破坏将使国家陷入瘫痪和震惊,并产生一种新的、深刻的脆弱性。
1.2.4 突发性网络攻击的影响“影响”指的是网络攻击的实际结果。对于攻击者而言,实际结果满足其攻击的预期目标自然是一种理想的情境。
但是对于能力非对称的双方而言,影响要以不会引起被攻击者的强烈报复为底线。例如,A国对B国实施网络攻击,既要对B国造成一定的损失,也要控制在B国容忍范围之内。日本偷袭珍珠港的史实表明,虽然日本打击了美国的士气,但却引起了美国的报复,与日本最初的作战目标完全相反。相较之下,对于被攻击者来说,突发性网络攻击可能难以避免,但在造成损失的同时希望唤醒组织和公众的网络安全意识,将损失化为推进网络安全治理的动力。为了更好地呈现突发性网络攻击各要素的主要内容,表1提供了各要素的简明描述。表1 突发性网络攻击的各要素解释
2突发性网络攻击的安全挑战分析
“网络战争对21世纪的意义可能就如同闪电战对20世纪的意义一样”,突发性网络攻击作为网络战争的新兴形式,对于世界来说仍是国家安全领域的新问题,对网络安全治理带来了不可忽视的严峻挑战。
第一,结合当下的战略背景,突发性网络攻击的受害者往往是世界上具有影响力的大国。网络攻击是一种成本较低的战争替代办法,因此大国将在防范突发性网络攻击与实现有效网络安全治理方面投入更多的资源和精力。根据目前的世界格局,国与国之间的军事实力是完全不对称的,尤其是有核国家和无核国家之间的能力差距。网络攻击便成为在实力上处于劣势的国家在政治和战略上取得成功的可行之路。情报专家指出,网络攻击可以避开军事能力之间的不对等,并且可以为对方造成损失,甚至能够改变现实的战略环境。像美国这种以信息和通信技术作为军事行动基础的大国,对突发性网络攻击具有更强的易感性,一旦信息系统中的一个链条被打破,将迅速造成跨行业、跨领域的震荡,造成不可估量的损失。对于弱国而言,对大国的网络攻击更能够实现可欲的影响。大国的决策者面对突如其来的网络攻击,只能亡羊补牢,扭转损失,而不能够发动一场代价更高的战争来报复。正是鉴于这样一种权衡,美国的安全战略才不断地强调对突发性网络攻击的预防。当然,美国对突发性网络攻击的强调也出于对多方网络冲突的担忧,因为美国也是多起网络战争的始作俑者。根据学者的统计,美国主要媒体对突发性网络攻击(尤其是“网络珍珠港”)的报道于2011-2013年之间呈飙升的趋势,而这正是因为伊朗对美国和其波斯湾盟国进行了一系列的网络攻击,以作为美国和以色列对伊朗核设施实施的震网(Stuxnet)攻击的报复。与此同时,我国也是频繁遭受互联网攻击的国家之一,根据国家互联网应急中心统计,2019年境外组织对我国300余个政府网站发起了1 000余次DDoS攻击,攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透。
第二,互联网强国也会通过网络战争的方式实现一种新形式的对抗,尤其在霸权主义的滋养下,突发性网络攻击成为干涉别国主权、破坏别国经济社会建设与国家安全的重要工具。上文提到的震网攻击不仅对伊朗造成了严重的影响,同时也波及到了全世界。这正是美国推行霸权主义的体现。继2010年遭受震网病毒攻击之后,伊朗在2018年又一次受到了震网病毒的攻击,并且攻击的严重程度远远超过2010年。对于2018年的震网攻击,美国表示并非美方网络力量所为,以色列则继续遵循“既不承认也不否认”的模棱两可策略。在互联网虚拟性的特征之下,主权国家可能伪装成非国家行为体或者雇佣黑客组织蓄意破坏网络空间,从而使受害者难以对发动突发性网络攻击的主权国家进行追责。例如,Google信息安全高管希瑟·阿德金斯就提到,政府雇佣黑客组织实施网络攻击已经司空见惯。在霸权主义的欺凌下,欠发达国家和发展中国家一旦成为网络攻击的目标,这些国家将面对着难以承受的损失。因为这些国家的网络安全指数往往偏低,网络风险预防的建设落后和对网络安全危机的认知不足,所以体系具有较强的脆弱性。
第三,鉴于网络威胁的源头难以识别,使得被攻击者对突发性网络攻击的源头侦测与原因分析也困难重重。一方面,情报的不完备使得国家难以精准地预知潜在的网络攻击,为突发性网络攻击的“晴天霹雳”留下了情报缺口;另一方面,如果网络安全风险的应急准备不足,不仅会造成信息基础设施的迅速瘫痪,甚至会使被攻击方陷入茫然的境地,难以迅速采取有效的应对措施。各种网络威胁背后的动机极其复杂,可能出于政治目的,例如军事报复、政治对抗或贸易壁垒;抑或夹带文化意图,例如历史记忆、身份差异以及宗教冲突等。网络安全风险不仅关涉“个人的安全”“人类的安全”等非传统安全议题,还牵连到军事安全、国家主权等一系列等攸关国家生存与发展的传统安全议题。因此,判断突发性网络攻击背后的直接动因就成为一项棘手问题。以网络恐怖主义为例,网络恐怖主义是网络安全威胁中极为特殊的一类,识别恐怖主义主导的网络攻击的动因和方式是当下网络安全的重大挑战。网络恐怖主义在未来将呈现行动更隐蔽、防范更困难、攻击更有效、后果更可怕的趋势。
第四,突发性网络攻击同时为安全情报工作带来了挑战。首先,在突发性网络攻击的可能性下,情报机构要全面地分析所有可能被打击目标的脆弱性。以情报工作应对恐怖主义的研究指出,分析脆弱性,就是要在特定时间内,根据特定攻击类型评估给定目标发生损害(损害可能涉及死亡、伤害、财产损失或其他后果)的概率[25]。由于突发性网络攻击发生的时间节点难以识别,且打击面较广,攻击手段与强度也较为多样化,所以为有关网络安全情报的搜集与分析带来了困难,降低了安全风险评估的科学性与有效性,也拖延了安全预警的及时性。其次,以互联网为载体传递虚假信息往往会干扰正常的情报工作,或者通过突然打击其他目标制造混乱,掩盖真实的打击意图。一方面,网络攻击方可以通过虚假信息将真实的意图和行为隐藏起来;另一方面,网络攻击也可以直接干扰情报、监视和侦察系统。
总的来说,突发性网络攻击对于网络安全的挑战可以概括为如下方面:一方面,大国是突发性网络攻击的主要受害者,但霸权国家也可能是突发性网络攻击的始作俑者。作为受害者,小国发动突发性网络攻击的目的在于通过网络攻击这种小代价的战争模式来实现更为低成本的战争效果;作为攻击方,大国发动的突发性网络攻击是霸权主义在网络空间的体现,具有极强的破坏性,可以直接造成小国各类基础设施迅速瘫痪,既造成实际破坏,也能够形成网络威慑。另一方面,突发性网络攻击的防范与应对具有较强的复杂性。突发性网络攻击的动因多元、手段多样、行动隐蔽,为网络威胁的精准防范和网络安全的有效治理带来了困境。另外,由于互联网本身的特性以及突发性网络攻击自身的特征,突发性网络攻击为网络安全情报工作带来了巨大的工作量,甚至会混淆视听,造成“情报失败”(intelligence failure)。
3突发性网络攻击的应对策略
应对突发性网络攻击,推动情报工作转型是重中之重,核心工作在于侦测(detecting)与回应(respond)。负责任和安全的情报政策、程序与工作机制是满足网络安全治理任务的信息基础。正如美国中情局原局长约翰·杜奇提到,“(网络突然袭击)这种情况发生的可能性有多大?谁有能力发动这样的攻击?如何防御这种攻击?最重要的是,我们能否非常及时地确定攻击的幕后黑手?”结合突发性网络攻击的特征以及对情报工作的挑战,并借鉴协同型网络威胁情报(collaborative cyber threat intelligence)的工作方法,从源头侦测、情报共享平台、协同分析方法、易感性评估、防范技术升级等方面推进情报工作转型,以扩大情报源、整合情报力量、提升情报能力、筑牢安全技术屏障。协同型网络威胁情报的工作要旨在于,为了适应和应对突如其来与快速变化的网络安全威胁,信息社会中所有受影响的主体都要展开合作,实现情报目标协同、方法协同、技术协同的有机统一。
3.1 源头侦测一如我们指出,源头侦测是情报工作应对突发性网络袭击的重点与难点,对了应对突然袭击,提前侦知是关键。
借鉴珍珠港事件的教训,美国情报专家指出,虽然珍珠港事件的情报准备不足,但是一些预警信号(warning signs)也应该受到情报机构和决策者的重视。例如,珍珠港事件发生前夕,美日的关系已经跌至冰点,美国早应该做好对日的安全防范措施。对于防范突发性网络攻击也是如此,需要系统评估国家所嵌入的国际安全环境,整合经济、政治、文化、外交等要素,分析外在的安全威胁。“冲突中较弱的一方比较强的一方更有可能采取需要意外因素才能成功的策略”是情报工作的“金科玉律”,这一原则可以被用于突发性网络攻击的分析当中。其次,在加强对外情报工作的同时也要对内部的情报工作予以高度重视。“后斯诺登时代”的情报教训指出,强化对内情报工作也是维护国家安全的重要措施,以预防“堡垒从内部攻破”。这意味着,突发性网络攻击或许并不完全来自于外部,内部的敌对势力也可能成为突发性网络攻击的始作俑者。
3.2 情报共享平台
情报共享平台是应对网络威胁的制度基础。通过情报共享,不同的组织可以打破自身的情报盲区,并通过一种成本收益较高的方式利用其合作伙伴的知识、经验与能力来提升各自的安全级别。网络安全情报共享利用是一种有效提高响应能力的手段,因此,构建一个整合政府与各类非政府组织的具有高度安全性的网络情报共享平台可以使情报价值最大化,降低情报搜集成本和连接信息孤岛,提高参与共享各方的风险检测与应急响应能力。在构建情报共享平台中,实现情报自动化处理和破解共享信任障碍是提升情报共享平台有效性的基础。对此,区块链技术、自然语言处理技术是构建情报共享平台可兹利用的技术手段。
3.3 协同分析方法协同分析方法的核心是为决策者提供准确与可供行动的情报。
主要分为两方面内容。第一,将问题逐一分解,细化分析目标。细化目标有利于将安全威胁缩小到不同领域之内,做到精准防范、科学应对。具体来说,就是将已经确定好的任务目标准确地转化为需要回答的问题,并对问题进行全面、精确、详细地分解和逐级细化,最终形成可供情报人员容易进行分析的小目标。第二,要将情报分析置于来自不同领域、不同组织情报分析人员之间的协同框架之中,弥补情报分析中的认知偏见、情报解释中的个人偏好以及单一分析方法对情报知识增殖的限制,这样一种分析方法对于识别外部威胁,分析潜在受攻击目标的易感性具有重要意义。对于突发性网络攻击这种源头多元、攻击偶然性强的安全威胁,更需要对各种网络安全情报进行系统的分析与评估,以供决策者制定有效应对潜在威胁的对策。
3.4 易感性评估
国家的基础设施是突发性网络攻击的核心目标,所以要在明确网络安全威胁确实存在的基础上,明确何种基础设施更易遭受突发性网络攻击。强化国家重要基础设施的信息安全建设,是预防突发性网络攻击、将其破坏力控制在最小范围内的先行之举。借鉴美国的网络安全防范经验,奥巴马政府区分了16个易受攻击的关键基础设施,包括化学工业、商业设施、通信设施、关键制造业、水利设施(大坝)、国防工业设施、应急服务系统、能源系统、金融服务业、食品与农业系统、政府机构、医疗机构、信息产业、核反应设施、交通系统、水资源系统,并对这些设施进行常态化的漏洞监测,实施有针对性的网络安全建设。以电网系统的安全维护为例,需要通过提升防火墙等级,使用加密和更精细的检测网络入侵工具以及智能代理网络等措施来保护数据采集与监视控制系统(Supervisory Control and Data Acquisition)。
3.5 防范技术升级应对突发性网络攻击不仅在于侦测,也在于攻击发生后的应对,所以要提升网络攻击的防御和反击能力。
第一,有效防御取决于迅速地评估攻击可能影响的范围以及迅速地隔离并修复被感染的主机。因此,要完善网络安全应急响应流程机制,提升网络安全风险识别与评估能力,基于威胁建模和评估,选择精准合适的防御作战解决方案,采用“各个击破”的网络防御战术。
第二,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”,在加强网络安全防御能力的同时,提升网络威慑能力也至关重要。从概念上讲,网络威慑指的是潜在对手由于某种行动的固有风险或反映而不发动网络攻击的状态。网络威慑的有效性不仅仅在于网络攻防能力,同时也囊括了军事、外交、经济等多重领域。简言之,基于网络威慑的视角,应对突发性网络攻击最好的方法就是改变对手的动机,使其不能够通过避开对手的优势军事力量来获得实现目标的战略信心。综上所述,以上5个方面构成了一个系统化的应对突发性网络攻击的情报流程(见图1)。这5个方面相互连接相互影响,共同构成了一个有机整体,每一个步骤都要充分履行,否则会削弱整个情报流程的效能。
4总结与展望
突发性网络攻击是当代国家安全的重要威胁已经成为一项共识。不仅是发达国家,近年来,我国也开始关注到了突发性网络攻击问题,一些学者论证指出,突发性网络攻击是摆在任何国家面前一个很严重的问题,实际上是有发生可能的。但由于国内对突发性网络攻击内在特征的阐释与系统研究较少,所以有必要将其作为国家安全的重要问题,在总体国家安全观的立场上分析突发性网络攻击的应对策略。在概念分析与挑战梳理的基础上,文章重点从情报工作的角度提供了突发性网络攻击的应对策略,希望以“小切口、大问题”的方式审视信息时代的国家安全。总的来说,网络安全承载着国家安全,未来相关研究仍需进一步探索,例如国家安全与网络安全的关系,如何从网络安全的角度去看待全球治理中的国家安全问题等等,这些有助于为全球治理领域与安全领域提供新的话语体系与研究空间。(文章来源:安全信息服务平台)
