神马文学网兰德报告介绍网络防御 称某种角度看与哲学相似- 中国日报网
来源:百度文库 编辑:神马文学网 时间:2024/05/08 16:12:12
兰德报告介绍网络防御 称某种角度看与哲学相似
2010-05-17 00:00:00 来源:中国网
打印文章
发送给好友
[提要] 本文着力介绍网络空间防御的重要性,主要因为威慑阻止网络攻击的难度太大。军队一般来说没有主顾,因此他们执行核心任务的系统不必连接公共系统(即使外部连接很重要,但是这种方式并不值得赞赏)。
本文着力介绍网络空间防御的重要性,主要因为威慑阻止网络攻击的难度太大。即使美国防部的确担负起网络战攻击任务,它将可能在网络防御而不是在网络进攻方面投入并且需要投入更多资金。报复能力,甚至是阻止能力只是进攻能力的一部分。类似倾向具有美国空军的特点,尽管美空军主要担负全球打击任务。
本章自上而下对网络防御进行探讨,首先在结构、政策和战略层次层面进行介绍,然后介绍战役层面对网络防御。介绍顺序并不受上层的重要性的支配。事实上,系统防御的大多数工作不可避免成为系统管理员的日常工作范畴,用户警惕也加强了对系统的防御。为此,网络防御的具体详情得到兰德公司和其它人员的了解和广泛述说。
本文讨论仅限于国防系统(国防系统的大部分是、但不全都是军事系统)。虽然军事和非军事系统的差别为人所熟知,但是在此简要重申与本章有关的三点内容对了解本文是有所帮助的:
军队面对的是希望消灭他们的真正敌人,其他机构更可能面对的是出于机会或非直接原因而开展攻击的竞争对手。
军队一般来说没有主顾,因此他们执行核心任务的系统不必连接公共系统(即使外部连接很重要,但是这种方式并不值得赞赏)。
军队通常待命,他们随时准备应对极端的环境。
这些境况不一定使防御系统中的计算机安全性比在非防御系统中的更重要,甚至程度更高。世界最大的ISP公司-AT&T的员工指出金融机构是要求最高和最为世故的客户。但是,银行家面对的这些网络空间挑战并不同于士兵们所面对的挑战,并且银行家们必须寻求自己的解决方案。因此,军队也必须这样。
一、网络防御的目标
网络防御政策的第一步是确定要实施的政策规则。这可以通过一个反例加以证明。据韦伯斯特委员会称,间谍罗伯特.汉森对美国联邦调查局带来的损害是因为他从联邦调查局的电脑中下载了大量的资料。问题主要在于他被给予太多授权。次要原因是他虽然不是一名黑客,但也知道如何秘密获取信息的一些技巧。使事情更加复杂的是9.11攻击(汉森被逮捕几个月后)反映出该局内部流通的信息过少而发生了一些问题。美国联邦调查局针对韦伯斯特委员会提交的报告做出反应,使内部的黑客更难(联邦调查局系统是隔离的)看到和窃取他们不应该看到和窃取的文件。不幸的是,联邦调查局并没有去全面评估哪些特工被允许看到何种信息。该局没有涉及这些规则,只是保证更好实施这些规则。不愿开展全面评估意味该局默认让每一名负责的特工自行决定。不管一种或另一种运行结构是否正确都值得商榷,但它并没有质疑,至少对美国联邦调查局而言,未开展评估就会产生不完善的结果。
在讨论如何开展防御之前,我们应理解其原因。当然,将所有敌对活动排除在防御系统之外的目标是可取的,这里无须进一步介绍。但是迄今为止,这个目标是不可能,为实现目标所投入的资金也不符合成本效益。
核心的军事原则为实现网络防御提供指导。如果拥有军队的目的是应用军事力量(即发动战争和开展其它形式的防御),那么网络防御的目的就是在面对攻击时保存应用网络战的能力。全面排除所有的网络恶作剧是可以实现的。不过,如果这一目标不能得以实现,网络系统的坚固性(包括可恢复性)、完整性,保守秘密的能力等特征都是网络防御的真正的目标,将敌人排除在外只是达到这一目标的一种手段。
坚固性即从受影响系统和从未受影响的系统中获取同等军事力量的一种能力。坚固性相对信息系统的重要性并不次于相对其它军事系统。它不一定是一种系统、甚至是最高级别机构军事系统的一个特征(虽然也可能是)。坚固性是吸收妥协,但是象没事发生那样运行的一种能力。理想的目标是能够实现以下说法的:“是的,也许你已经侵入我们的系统,但是请注意,它没有使我们速度放慢,没有增加我们的伤亡,或没有削弱我们对你们造成损害的能力。”恢复性是坚固性的一个重要特征。恢复性是使受损系统得以复原,同时受损部分得到隔离、诊断、修理、检验和恢复运行。
如果军事实力的目标是充当一般威慑力量,那么坚固性的外表与坚固性本身一样重要。其它国家可能认为军事网络是美国防部的致命弱点,对其进行袭击,在预测网络攻击会取得成功的基础上发动战争。这些潜在的威胁的真实的。如果攻击者可以被说服它的行动将会失败,那么威胁就可得以消除。因此,迫切的问题是在于如何劝说?
米尔斯海默认为,国家不是因为担心被战败,而是预测到战争不是一种步态竞赛的前景,因而感受到威慑不再发动常规战争。如果事实这样,寻求威慑侵入者的国家最好投资建设纵深、嵌套、牢固的防御系统,使侵入者难以迅速取胜。因为其它一切都同等,提供最终转机或进攻行动的可能性的投资一般来说其威慑价值不大。
简单类比表明网络空间亦如此:投资提高系统的坚固性,保护核心信息系统力量,培养利用退化和可疑信息系统作战的能力,并强调在受攻击后灵活重组的能力。但是,这个类比可能过于草率。国家最不希望的是,敌人认为仅靠成功地网络攻击是远不能瘫痪该国军事反应能力的。因此,重要的是确保信息系统内部及其本身的坚固性,更重要的是确保军队在面临众多的可能的网络攻击时能开展坚强的防御。不管这意味着要保留10%或90%的信息能力,将取决于军事力量与这最不重要的90%或10%的网络之间的关系。
最后,只要斗争局限于网络空间,单靠网络攻击是不能阻止目标开展报复性网络攻击的。这使得冲突成为一种谁能够承受惩罚时间更长的测试,在这种情况下,快速失败的唯一方法就是快速投降。无论最初的网络攻击的程度是多少严重,表明忽视网络攻击决心的能力在这样的对抗下会给目标一定的优势。
注意,坚固性并不完全是网络防御本身的结果,它也是工程实践结果。尽管这种实践不仅包括恶意的行为,而且包括错误和意外事件。事实上,坚固性的第一个原则是系统(显而易见,即系统中系统)应得到保护,以防止子系统发生故障。例如,基本工程原则是软件指令不能导致系统因疏忽而摧毁自己。受影响系统应默认为适当的安全模式。到底什么是“安全”要视情况而定。就民用机械而言,安全模式可以是受控关闭。然而,如果武器收到意外指令就停止运行,那么这种设计决定是不符合战士们的最佳利益的,因为战士们依赖武器的运行才会使敌人处于危险之中。例如,恢复到可手动控制将会更为合适。因此在战役级别,适当的工程必须确定最佳的默认模式。出于这个原因,安全软件这一书尽管根本未提到黑客,但它是网络防御者需要尽早阅读的一类书。
再加上了解系统故障时会发生什么,防御者应知道系统是可能发生故障(它的特征故障模式)。该特征概念并不意味最可能(虽然有可能)而是反映系统部件对故障最为敏感,或者相反,它应恢复正常才能工作。即使大多数核电厂由于其它原因而采取安全的防范措施并自行关闭,冷却剂的减少也是核电厂的特征故障模式。超出后勤链是陆军的特征故障模式。机场安全警卫的不留神是航空公司安全的特征故障模式。
因此,在宣扬“认识自己”方面,孙子和柏拉图是正确的,因为网络防御与哲学差不多。如果在网络攻击情形下要防止网络发生故障,没有其它的方式可以理解军事系统是如何发生故障的。此外,网络防御者不仅必须在机器逻辑层面,而且要在战役层面(这也就是说,作战层面)去积极发现(如果不是利用)故障。开展这项评估的速度既不能快,它的代价也不会低(如果不花费上数十亿美元,是不可能得以快速完成的),但是评估目的的范围要比确定网络攻击者的行动广泛得多。战争招致破坏,信息基础设施同物理基础设施面临同样大的风险。军事系统相对民用系统更多依靠射频通信链路,并且敌人可能会干扰这些链路。战争尽管创造迷雾,它还给人们造成压力,并且这两方面因素都会让人犯错误。相应地,信息系统有许多故障情形,并且对它们进行深入分析对保证系统的坚固性是必要的。网络防御者必须推动这一进程,但不只是单独这些进程。
坚固性之后的一个重要目标是系统的完整性:系统按照操作人的想法运行,并且不会做操作员不想做的事情。完整性也是被信任人员拥有的一项功能,即事实上系统应做它应该做的事情。虽然作战人员除相信自己的作战机器以外再没有别的选择,但是信任更可能根据需要使用信息系统。受猜疑但功能正常的信息系统是不实用的。
最后一个目标是保密性,即能够保守秘密,不仅要保守军队自己行动不可或缺的秘密,而且保守其它人(如情报机构)交付的秘密。虽然计算机网络的利用不同于网络攻击,但是两者是密切关联。防止敌人进入信息系统是两种防御方式的重要组成部分。不论好坏,军队信息安全体系结构往往受老式的,基于纸张模式推动。在这种模式下,安全来自于保守秘密,而不只是确保系统的坚固性。后勤信息系统提供了一个很好的例子:这些系统相对作战系统受到的保护要少一些,这是因为它们存储较少的秘密,但如上所述,它们和加强作战部队的坚固性的任一系统一样重要。
二、结构
美国军事结构是多层次的,这种结构与第二章介绍的核心和边缘是一致的。美军管理能够访问互联网的非保密网络,支持作战人员日常通信,并将国防部与更广泛的支持机构联结起来。它还管理保密网络,以便开展指挥和控制,保护敏感信息,这类系统与其它系统完全隔离。最后它还管理更高层次的各类子网络以处理最敏感的情报数据。公开消息透露,所有成功攻击军事系统的黑客都只是攻击非机密网络。从理论上讲,没有机密信息被泄露,但在实践中并不是每个人都非常认真将保密信息与非保密网络完全隔离的。
三个基本结构挑战是:(1)确定军用非保密和保密网络之间的界限。(2)确定非保密网络的适当保护级别。(3)确保应被隔离的保密网络实际上得到隔离。
划清保密网络和非保密网络适当界限的一种方式就是将前者视为影响、联络和学习的管道,将后者视为指挥和控制的管道(加上更保密网络中的情报)。军队在快速学习方面是有较大影响力的,非保密网络的安全结构不应妨碍学习。尽管明显存在安全风险,军队必须与盟军伙伴合作,联结其它的机构,并与更广泛的国家和国内安全机构交换所获得的经验教训。具有讽刺意味的,网络攻击的一个更诱人的动机就是产生高度敏感性的数字对等物,这种免疫性的反应如此强大以至于会消灭掉本体。害怕与其它人互动的军队(并且今天难免越来越多通过网络互动)将会被击败。正如一位精明的陆军上校曾经说过,“信息战的首要原则是自己不要这样做。”
有些不同想法应用可以担负起外泄信息,但不能担负起丧失完整性后果的网络。如后勤、医疗保障、环境监测和系统监控系统。新的安全模型可能必须寻求这样的系统,但是这些系统可以使用过滤设备或防火墙,它们不太关注向外发送的信息并更不太关注输入的信息。
国防部机密的、可能隔离的系统面临的关键安全挑战是确保它们事实上被隔离。潜在的违犯包括物理访问(如未设防的大门)、硬件级别的访问(如未被充分监控的USB接口,未知导线连接,不当的路由器配置),部件级别的访问(例如,损坏的软件或硬件输入),无线射频访问(例如,系统在不需要接受射频信号时接受射频信号,或是射频链路没有或加密程度不高),和人员访问(例如,不信任用户)。由于一些保密网络因为其依赖的机器发生故障而停止工作,这样一种观察还必须考虑路由器等硬件,这些硬件也处理非保密通信,甚至操控和外部网络相连接的空调部件。由于违犯行为的可能性大致与网络规模成正比,保密网络安设置成千上万个访问点的事实表明,完全隔离的可能性并不高。正因为如此,每个保密网络至少可以怀疑来自其它保密网络并到达该网络的对象。异常检测服务器,监控设备,文件分发控制设备,内部防火墙和降低网络受污染的授权能力等效用性是不能完全被放弃的。
三、政策
如果结构是一个组织的信息系统框架,并且如果运行包括日常防御技术,那么政策和战略是指信息系统运行下的所有规则。大多数好的政策原则都为信息安全部门所熟悉,这里无须重复。但是,简化和准确的任务分解仍需要特别注意。
在这一范围内,由于复杂性是许多漏洞的源泉,简化有利于正确开展网络防御。核心问题是,随着电脑功能越来越强大,他们的理解力超过了人的理解力,人的发展要缓慢得多。然而,电脑需要人的理解力才能发现系统的行为是否“有趣。”这有待于系统管理员(其直觉很可能来自训练)和用户(其直觉没有那么有把握)保持注意力。系统越简单,就越容易向指挥官解释运行情况,提高他们把对系统可靠性的直觉与其它战争计划合成起来的能力。为了简化系统和他们关注的系统,当额外系统只是偶尔提供一些利益时,各有关信息安全机构应积极依靠更少的功能和方案。因此,操作方案和应用系统应默认为禁用(将开放式软件交由熟练的防御程序员控制的值)。在电子文件中(广泛定义的),外来物资(如主动代码点)应被过滤掉。网络配置应尽可能未受污染。只要狂热受到制衡,结果应该值得争议。
正确的任务分解是组织内部分配网络防御责任的一门艺术。空军集中规划和分散实施的做法适用于网络防御。结构和对系统故障模式的综合分析是一项顶级工作。贯彻安全规则要交给同一系统的管理员,因为他能够理解他们管理的网络,他们的工作就是在面对危险、受到诱导和发生其它情形时使系统正常运行(网络中的大多数攻击实际是攻击网络中的系统)。
然而在紧急情况下,当发生争议和进行系统恢复时,上级可以适当越权。高层对争议的管理是值得投入的,因为这种技术专长只是片面集中和使用。如果更大规模的攻击以类似方式影响到多个系统,对恢复过程的自上而下的管理可以更加有效,速度会更快(对等信息共享也可以分发有用的技巧)。从大规模攻击中恢复也同样受益于自上而下的管理,特别是如果它需要隔离和分流。如果网络含有特别的、能够迅速扩散到其它用户的恶意软件,那么就需要对网络进行隔离。如果病毒已经广泛蔓延,那么可能需要对网络进行隔离,确保有待隔离的网络不会再次被感染。当清洁资源数量有限,就需要对网络进行分流,因此,必须向更重要的网络进行分配(确定哪些网络最为关键是自我认识的另一理由)。一种特别稀缺的资源可能是那些擅长判断文件是否受到篡改(包括可执行文件和相关支持代码)的人员。针对由少量载体重复使用所形成的大规模攻击,自上而下的结构在受影响的人群中广播发现这些载体及其性质将是有效的。最后,网络防御可能象电力网络一样,因为将一切同时投入服务可能会引起故障,分阶段恢复是可取的,这也需要自上而下的控制。
四、战略
大多数网络攻击都有目的。辨识这一目的可以感觉攻击者的行动,并且允许被攻击的对象采取措施,使攻击者不能实现其目标。如果使攻击者相信网络攻击行动会事与愿违,那么攻击行为是可以被劝阻的。计划不周的网络攻击行动可能会透露出攻击者的目标(例如,攻击者希望对象国放弃与第三方的复杂国际关系,因此攻击者可以采取突然的行动并出于自己的目的重新建立关系)。
可以采取更多措施以找到办法,区分出敌人攻击己方军事系统的动机,如确定攻击是一项测试、假象,或真正的攻击。如果是真正的攻击,那么攻击是直接攻击还是稍晚时候进行?例如,网络运行中心的零星的大工作量与向不同的地址发送异常规模的数据包之间存在关联性,这可能是标志着是一种测试。针对此类测试性攻击的反应措施应该产生他们好象在这一领域受到观察的效果,例如,通过展示出灵活性和想象力,(即使许多调整在后来悄悄结束),但与此同时,应该悄悄加强对工作区的搜索行动。
因为假象必须经过设计以便重复出现,因此假象有可能针对目标的边缘而不是针对核心,也不可能使用特别复杂的(因而破坏)攻击措施。从当时的攻击者的军队战备状态可以推测出攻击是否为假象的更深层的迹象。正在酝酿的直接物理攻击迹象将包括那些旨在摧毁而不是损坏的网络攻击,并且还将包括对后勤、动员和部署系统的攻击。如果还不算晚的话,这些反应措施在适当条件下应提高戒备水平,并转到更高级别的防御条件。证明这种影响不大的攻击可能有所帮助。
相反,损坏攻击指向后面的物理行动,因为在扭转局势之前它们的影响要比辨识和坚持更长的时间难度更大些。这些迹象包括故障完整性检查的代码,监控外部信号的不可见的进程,以及在系统测试下发生的莫明其妙的错误。好的反应措施就是开展示范演习,强调在没有良好系统下的运行能力,同时加强代码检查和重新启动以发现受损系统。
五、运行
正如安全机构熟悉几乎所有的网络防御政策,因此,几乎所有的网络防御作战的技术也是如此。他们不需要在这里重复。有3类技术在此值得一提。硬件标记(和基于硬件的覆盖)可能对一个机构有用:(1)该机构采用大量硬件,其中大部分为分布的(如传感器),(2)该机构要比民间组织承担更重大的责任。欺骗,尤其是蜜罐、蜜网和诱饵技术值得重视,这些技术不仅转移袭击,而且允许攻击者描述攻击方式。红军部队其实对所有机构来说很有价值,出于相当明显的原因,红军部队对军事机构特别有关联的。
六、硬件
一般来说,数字认证的实用性和价值,特别是基于硬件的控制,反映出防御系统受到的威胁,并且反映了对严格责任的期待,这些责任是可以从作战人员那里期待的。数字认证有助于区分真假消息,它也是针对恶意的圈内人士的有用对策。当某人或某物接收到来自其他来源的通信,认证增强了人们对来源和信息都是正确的信心。如果无赖国家的操作员发出的通信信息经证明是有问题的,对该操作员(不是一些黑客)予以指责的做法将是正确的。不幸的是,今天个人电脑不允许有这样的信心,因为他们的软件是容易被黑客控制和攻击的(即使内置入设备之后,许多集成电路还可以重新编程的)。因此,恢复信心需要使用不能重新编程的硬件设备。在某些情况下,这些设备是可以附加的,如独立的具有USB接口的凹形垫。在其他情况下,可以劝说主要供应商安装硬件设备(如开机光盘),允许软件安装只能由特定供应商或原供应商认证的第三方供应商进行。这种想法说明军队如何寻求适应特定威胁和环境的网络防御战略。
七、欺骗
军事机构一定要对欺骗行为感兴趣,这种欺骗行为将超越了在保护网络过程中所能提供的任何帮助。通过错误描述网络及其内容,国防部希望劝说攻击者,使它们把攻击行为指向别处;希望误导攻击者的攻击重心,希望使攻击者能够放大或低估它能够完成的攻击行为,更不用说建立实际能力的假象。
在这方面,军事和民用网络不同。黑客对民用网络感兴趣,他们渗透民用网络主要是为了告知他们的网络攻击的行动。但是国家黑客想要了解一支军队的实际作战能力,以了解他们的作战对象的强弱点,他们的军事思想,指挥和控制,传感器的覆盖缝隙等。反过来,网络防御者的工作就是在黑客头脑中建立起一种清晰的印象,希望这种印象最终将误导黑客的领导人。防御者的优势是不应被低估的。即使黑客拥有他们成功攻击的网络,他们缺乏每个操作员和管理员头脑中所拥有的系统物理访问和隐性知识。他们在本质上,通过一个虚拟的窥视孔,窥视他们目标的广阔的网络空间,敏捷的防御者可以让他们只能看到防御者想要投送的图像。可以肯定的是,欺骗要小心,以免自己被欺骗,但在这个领域,谨慎的实践可以熟能生巧。
蜜罐(及蜜网)是了解网络攻击者所作所为的众所周知的设备。如果正确配置,蜜罐应以纯粹的形式显示攻击效果,而不发出任何噪音。不断改变的文件,在网络上数据包的不断交换,这是主动用户的正常电脑的特征。使用适当配置的蜜罐,通过观察哪些文件以意想不到的方式发生改变或是电脑正在试图进行它从未尝试过的进程来检测恶意软件的存在。蜜罐还可以加载一些潜在敌人特别感兴趣的进程或文件。观察哪些文件被复制或哪些过程被改变也有助于了解网络攻击的目标,并可能得知攻击者在网络空间的战略。后者可能提供有关军事姿态或战略的有用提示。相反,银行面对多种潜在的网络窃贼,这些窃贼的试图相互了解方面并不会有多大的帮助。
八、红军部队
所有面临严重威胁的机构需要了解他们的网络如何经受住攻击。由于多方面的原因,美国国防部对这方面的需求比大多数机构多得多。首先,针对美国国防部的认真的攻击者在全面受影响(如交战)之前是不可能透露出最佳行动的。与此不同的是,针对银行等机构的许多攻击者很少需要等待数年时间,或是外部事件为其提供适当的机会时才开展行动。第二,军队不断举行演习,红军部队演练能够轻松与其它演习可用的模式和结构协同。第三,军队获得某些特别敌人的情报,并使创造特定的攻击模式成为可能(虽然限制已经出现的演习模式很可能是一个错误)。第四,由于军事设施普遍较民用设施安全,红军部队可使军队测试网络和物理保护设备之间的相互作用。
九、结论
虽然美国国防部与大多数其他组织一样并不将所有的网络攻击费用花费在防御方面,但是它仍然在这方面投入大部分资源,并且这一领域值得投入。防御网络并不象民用网络。在大多数情况下,美国国防部使用同样的硬件、软件和协议。因此,国防部防御网络所需要的工具和技术类似于民用网络的所需要的工具和技术。这一领域已经得到介绍,不再在此进行介绍。
由于军队的特色,网络防御战略必须进行相应的制定。其中最突出的是潜在对手的存在,它们的兴趣在于(如销售破坏设备用于防御网络)盗窃、破坏、或损坏行动。这样的敌人还非常重视理解军队网络,从而了解军队自身。军事网络也具有其他方面的不同:用户基础使用严格的问责制,必须支持紧急行动(即战争),大量使用软件控制的设备(如传感器、武器)。因此,在许多重要方面,这些的系统如何得到防御将具有重要的独特的因素。
让人棘手的地带
当面对不能阻止的威胁时,潜在目标能够试图防御、消除敌意,或开展威慑活动。如图9.1所示,这三种方式的最佳组合可能取决于待解决的战争的模式。
多种作战形式可以适用于威慑-解除武装-防御三角形
例如,在传统地面作战中,作战行动的重点是解除战斗中敌人的武装。一般来说,依托防御并不能较好地取得实效(马其诺防线就是一个最佳例子),一般通过采取惩罚威胁措施来实施威慑,其针对的是被解除武装的或装备很差的敌人(例如,谢尔曼行军通过格鲁吉亚)。在中世纪后期,当时城堡非常坚固,炮兵未得到使用,最佳防御地点处于三角形防御顶点附近。在海上作战时,过去的对抗一般是围绕自由航行展开;防御在海战中发挥的作用较小(除了在战术层面,就船舶设计而言)。但是在解除武装方面(就舰队本身而言)与惩罚性威胁方面(就商船掠夺而言)之间存在着激烈的辩论。早期的空战观察人士认为,城市是不可能被防御的,并且他们对解除进攻舰队的武装表示悲观,并且因此将作战重心放在威慑方面1。随着第二次世界大战开始,人们对空袭所持的态度更加坚定。在不列颠之战中解除德国空军的武装是可能的,但是地面防空系统往往未发挥其功效2。最佳防御地点移至三角形中间区域。在核战争时代,特别是作战力量通过导弹表达出来,防御几乎成为不可能的,解除武装(反作用力)作为第二次打击的考虑因素,因此首要的工作重点就是威慑(对应价值)。
网络空间会发生什么样的战争?显然,解除武装是不可能的,并且没有人严重怀疑防御的必要性(以免非恶意黑客人士,犯罪分子和间谍在他人的系统中肆无忌惮)。问题在于威慑是否发挥出作用。调查表明,在这一媒介中,最完善的防御不一定是妥当的进攻,它通常是一次出色的防御。当然,放弃威慑手段是一种极端行为,也没有这种必要(即通过处罚措施实现的威慑),当某些国家在这一领域公开挑衅美国时,只要有可靠的反应措施即可。否则,正如本文已经证明,网络威慑是很成问题的。在考虑将威慑作为对抗国家组织的网络攻击威胁的主要措施之前,美国可以首先用尽其它措施,如外交、经济、和起诉手段。最起码,这个专题需要更仔细的考虑。
除了威慑位于网络空间的斗争之中,网络空间还少有直观东西,直截了当的东西会更少。到处都是不明确的。在这一媒介中取得的每一次成功依赖于欺骗。无论谁宣称电子为最终精确武器,他应出言谨慎。在这一媒介中,即使基本的新闻问题也可能找不到答案:是谁攻击?从哪儿来的攻击?他们有什么损害?他们是怎么做到的?攻击在什么时候发生的?他们为什么要这么做呢?网络空间可以是数字化的,但数字清晰度是高清晰度电视的一项特征,而不是网络战的特征。
在战斗中,要死死锁定某人。不过网络的这种含糊不清给应用所有的武器带来这样或那样的挑战。问题是武器是否有用,取决于它使用的成本和它们的可能的效果。按照这一标准,网络可能被看好。网络武器相对成本较低。由于破坏性极强的网络攻击有利于或扩大物理行动的战果,并且由于网络战运行力量成本相对较低(特别是如果空军可以投资计算机网络利用),进攻性网络战力量是值得开发的。攻击者可以使用这些力量而不必过于担心己方受到的损害会比目标受到的大一些。这里可以采取一些合理的防范措施:避免创建自我复制的代码(如蠕虫);确保攻击的系统不是自己或朋友的实际使用的系统(如在不知情的情况下);各军种应花费多少经费以建设作战网络战力量,这是一种典型的多少即足够的问题。在这一点上,作战部队似乎应该小而精,而情报和和计划部队应该得到最多的人力和资源,即衡量两次,削减一次理论。
如果作战人员没有陷入生死决战之中,网络威慑的运行难度,网络战,以及网络战的作战风险正成为一种战略性挑战,并且所有的战争迷雾并不只是准确性问题。如果这些因素被滥用,作战人员将会冒着在错误的时间、错误的地点,由于错误的原因,打击错误的敌人的风险(例如,在现实的空间里,网络空间不会那么血腥)。
网络威慑不应与核威慑相混淆:报复的危险是如此骇人,以至于没有人敢靠近尝试。网络威慑也不应与刑事威慑相混淆:法律相对不法分子有着明显的合法性优势。在无政府世界里,网络攻击和网络报复可能类似于管理敌对城市帮派,相互怀疑的沙漠部落,或裴尔德和麦考伊之间的对抗性态势,直到有人升级这一态势。
网络对抗的态势的危险接近于战区。很大程度上这取决于对抗是否在阴影中发生,包括系统管理员,幽灵和主管人员,或是对抗是否在阳光下发生,在这里,整个世界都在关注。在第一种情形下,战略性行动可就演变成第二种情形下的一场闹剧。实际发生的事情要比人们认为正在发生的紧要得多。
美国能否完全地消除网络威慑和网络战?这或许存在一个敌人,它如此之愚蠢以至于敢攻击世界上最强大的军事力量,从而给本国社会带来极大的烦扰(也许在可能的情形下,切断所有人的电源),并在实质上询问:对此,你将有何打算?美国应该可以回答这个问题。
无论哪个国家通过采取更少的敌意手段(例如通过起诉或外交手段)或更暴力的手段来回答这样一个网络空间的问题。但是,这将依赖于更多的因素,而不是领导人在发生实际情形下及为什么发生这样的情形下的所拥有的信心。网络报复尽管存在它的难度,但不应该是这一情形下的唯一反应措施。
作者:马丁 C 理贝基(Martin C. Libicki)
编译:知远/于君
来源:中国网
2010-05-17 00:00:00 来源:中国网
打印文章发送给好友[提要] 本文着力介绍网络空间防御的重要性,主要因为威慑阻止网络攻击的难度太大。军队一般来说没有主顾,因此他们执行核心任务的系统不必连接公共系统(即使外部连接很重要,但是这种方式并不值得赞赏)。
本文着力介绍网络空间防御的重要性,主要因为威慑阻止网络攻击的难度太大。即使美国防部的确担负起网络战攻击任务,它将可能在网络防御而不是在网络进攻方面投入并且需要投入更多资金。报复能力,甚至是阻止能力只是进攻能力的一部分。类似倾向具有美国空军的特点,尽管美空军主要担负全球打击任务。
本章自上而下对网络防御进行探讨,首先在结构、政策和战略层次层面进行介绍,然后介绍战役层面对网络防御。介绍顺序并不受上层的重要性的支配。事实上,系统防御的大多数工作不可避免成为系统管理员的日常工作范畴,用户警惕也加强了对系统的防御。为此,网络防御的具体详情得到兰德公司和其它人员的了解和广泛述说。
本文讨论仅限于国防系统(国防系统的大部分是、但不全都是军事系统)。虽然军事和非军事系统的差别为人所熟知,但是在此简要重申与本章有关的三点内容对了解本文是有所帮助的:
军队面对的是希望消灭他们的真正敌人,其他机构更可能面对的是出于机会或非直接原因而开展攻击的竞争对手。
军队一般来说没有主顾,因此他们执行核心任务的系统不必连接公共系统(即使外部连接很重要,但是这种方式并不值得赞赏)。
军队通常待命,他们随时准备应对极端的环境。
这些境况不一定使防御系统中的计算机安全性比在非防御系统中的更重要,甚至程度更高。世界最大的ISP公司-AT&T的员工指出金融机构是要求最高和最为世故的客户。但是,银行家面对的这些网络空间挑战并不同于士兵们所面对的挑战,并且银行家们必须寻求自己的解决方案。因此,军队也必须这样。
一、网络防御的目标
网络防御政策的第一步是确定要实施的政策规则。这可以通过一个反例加以证明。据韦伯斯特委员会称,间谍罗伯特.汉森对美国联邦调查局带来的损害是因为他从联邦调查局的电脑中下载了大量的资料。问题主要在于他被给予太多授权。次要原因是他虽然不是一名黑客,但也知道如何秘密获取信息的一些技巧。使事情更加复杂的是9.11攻击(汉森被逮捕几个月后)反映出该局内部流通的信息过少而发生了一些问题。美国联邦调查局针对韦伯斯特委员会提交的报告做出反应,使内部的黑客更难(联邦调查局系统是隔离的)看到和窃取他们不应该看到和窃取的文件。不幸的是,联邦调查局并没有去全面评估哪些特工被允许看到何种信息。该局没有涉及这些规则,只是保证更好实施这些规则。不愿开展全面评估意味该局默认让每一名负责的特工自行决定。不管一种或另一种运行结构是否正确都值得商榷,但它并没有质疑,至少对美国联邦调查局而言,未开展评估就会产生不完善的结果。
在讨论如何开展防御之前,我们应理解其原因。当然,将所有敌对活动排除在防御系统之外的目标是可取的,这里无须进一步介绍。但是迄今为止,这个目标是不可能,为实现目标所投入的资金也不符合成本效益。
核心的军事原则为实现网络防御提供指导。如果拥有军队的目的是应用军事力量(即发动战争和开展其它形式的防御),那么网络防御的目的就是在面对攻击时保存应用网络战的能力。全面排除所有的网络恶作剧是可以实现的。不过,如果这一目标不能得以实现,网络系统的坚固性(包括可恢复性)、完整性,保守秘密的能力等特征都是网络防御的真正的目标,将敌人排除在外只是达到这一目标的一种手段。
坚固性即从受影响系统和从未受影响的系统中获取同等军事力量的一种能力。坚固性相对信息系统的重要性并不次于相对其它军事系统。它不一定是一种系统、甚至是最高级别机构军事系统的一个特征(虽然也可能是)。坚固性是吸收妥协,但是象没事发生那样运行的一种能力。理想的目标是能够实现以下说法的:“是的,也许你已经侵入我们的系统,但是请注意,它没有使我们速度放慢,没有增加我们的伤亡,或没有削弱我们对你们造成损害的能力。”恢复性是坚固性的一个重要特征。恢复性是使受损系统得以复原,同时受损部分得到隔离、诊断、修理、检验和恢复运行。
如果军事实力的目标是充当一般威慑力量,那么坚固性的外表与坚固性本身一样重要。其它国家可能认为军事网络是美国防部的致命弱点,对其进行袭击,在预测网络攻击会取得成功的基础上发动战争。这些潜在的威胁的真实的。如果攻击者可以被说服它的行动将会失败,那么威胁就可得以消除。因此,迫切的问题是在于如何劝说?
米尔斯海默认为,国家不是因为担心被战败,而是预测到战争不是一种步态竞赛的前景,因而感受到威慑不再发动常规战争。如果事实这样,寻求威慑侵入者的国家最好投资建设纵深、嵌套、牢固的防御系统,使侵入者难以迅速取胜。因为其它一切都同等,提供最终转机或进攻行动的可能性的投资一般来说其威慑价值不大。
简单类比表明网络空间亦如此:投资提高系统的坚固性,保护核心信息系统力量,培养利用退化和可疑信息系统作战的能力,并强调在受攻击后灵活重组的能力。但是,这个类比可能过于草率。国家最不希望的是,敌人认为仅靠成功地网络攻击是远不能瘫痪该国军事反应能力的。因此,重要的是确保信息系统内部及其本身的坚固性,更重要的是确保军队在面临众多的可能的网络攻击时能开展坚强的防御。不管这意味着要保留10%或90%的信息能力,将取决于军事力量与这最不重要的90%或10%的网络之间的关系。
最后,只要斗争局限于网络空间,单靠网络攻击是不能阻止目标开展报复性网络攻击的。这使得冲突成为一种谁能够承受惩罚时间更长的测试,在这种情况下,快速失败的唯一方法就是快速投降。无论最初的网络攻击的程度是多少严重,表明忽视网络攻击决心的能力在这样的对抗下会给目标一定的优势。
注意,坚固性并不完全是网络防御本身的结果,它也是工程实践结果。尽管这种实践不仅包括恶意的行为,而且包括错误和意外事件。事实上,坚固性的第一个原则是系统(显而易见,即系统中系统)应得到保护,以防止子系统发生故障。例如,基本工程原则是软件指令不能导致系统因疏忽而摧毁自己。受影响系统应默认为适当的安全模式。到底什么是“安全”要视情况而定。就民用机械而言,安全模式可以是受控关闭。然而,如果武器收到意外指令就停止运行,那么这种设计决定是不符合战士们的最佳利益的,因为战士们依赖武器的运行才会使敌人处于危险之中。例如,恢复到可手动控制将会更为合适。因此在战役级别,适当的工程必须确定最佳的默认模式。出于这个原因,安全软件这一书尽管根本未提到黑客,但它是网络防御者需要尽早阅读的一类书。
再加上了解系统故障时会发生什么,防御者应知道系统是可能发生故障(它的特征故障模式)。该特征概念并不意味最可能(虽然有可能)而是反映系统部件对故障最为敏感,或者相反,它应恢复正常才能工作。即使大多数核电厂由于其它原因而采取安全的防范措施并自行关闭,冷却剂的减少也是核电厂的特征故障模式。超出后勤链是陆军的特征故障模式。机场安全警卫的不留神是航空公司安全的特征故障模式。
因此,在宣扬“认识自己”方面,孙子和柏拉图是正确的,因为网络防御与哲学差不多。如果在网络攻击情形下要防止网络发生故障,没有其它的方式可以理解军事系统是如何发生故障的。此外,网络防御者不仅必须在机器逻辑层面,而且要在战役层面(这也就是说,作战层面)去积极发现(如果不是利用)故障。开展这项评估的速度既不能快,它的代价也不会低(如果不花费上数十亿美元,是不可能得以快速完成的),但是评估目的的范围要比确定网络攻击者的行动广泛得多。战争招致破坏,信息基础设施同物理基础设施面临同样大的风险。军事系统相对民用系统更多依靠射频通信链路,并且敌人可能会干扰这些链路。战争尽管创造迷雾,它还给人们造成压力,并且这两方面因素都会让人犯错误。相应地,信息系统有许多故障情形,并且对它们进行深入分析对保证系统的坚固性是必要的。网络防御者必须推动这一进程,但不只是单独这些进程。
坚固性之后的一个重要目标是系统的完整性:系统按照操作人的想法运行,并且不会做操作员不想做的事情。完整性也是被信任人员拥有的一项功能,即事实上系统应做它应该做的事情。虽然作战人员除相信自己的作战机器以外再没有别的选择,但是信任更可能根据需要使用信息系统。受猜疑但功能正常的信息系统是不实用的。
最后一个目标是保密性,即能够保守秘密,不仅要保守军队自己行动不可或缺的秘密,而且保守其它人(如情报机构)交付的秘密。虽然计算机网络的利用不同于网络攻击,但是两者是密切关联。防止敌人进入信息系统是两种防御方式的重要组成部分。不论好坏,军队信息安全体系结构往往受老式的,基于纸张模式推动。在这种模式下,安全来自于保守秘密,而不只是确保系统的坚固性。后勤信息系统提供了一个很好的例子:这些系统相对作战系统受到的保护要少一些,这是因为它们存储较少的秘密,但如上所述,它们和加强作战部队的坚固性的任一系统一样重要。
二、结构
美国军事结构是多层次的,这种结构与第二章介绍的核心和边缘是一致的。美军管理能够访问互联网的非保密网络,支持作战人员日常通信,并将国防部与更广泛的支持机构联结起来。它还管理保密网络,以便开展指挥和控制,保护敏感信息,这类系统与其它系统完全隔离。最后它还管理更高层次的各类子网络以处理最敏感的情报数据。公开消息透露,所有成功攻击军事系统的黑客都只是攻击非机密网络。从理论上讲,没有机密信息被泄露,但在实践中并不是每个人都非常认真将保密信息与非保密网络完全隔离的。
三个基本结构挑战是:(1)确定军用非保密和保密网络之间的界限。(2)确定非保密网络的适当保护级别。(3)确保应被隔离的保密网络实际上得到隔离。
划清保密网络和非保密网络适当界限的一种方式就是将前者视为影响、联络和学习的管道,将后者视为指挥和控制的管道(加上更保密网络中的情报)。军队在快速学习方面是有较大影响力的,非保密网络的安全结构不应妨碍学习。尽管明显存在安全风险,军队必须与盟军伙伴合作,联结其它的机构,并与更广泛的国家和国内安全机构交换所获得的经验教训。具有讽刺意味的,网络攻击的一个更诱人的动机就是产生高度敏感性的数字对等物,这种免疫性的反应如此强大以至于会消灭掉本体。害怕与其它人互动的军队(并且今天难免越来越多通过网络互动)将会被击败。正如一位精明的陆军上校曾经说过,“信息战的首要原则是自己不要这样做。”
有些不同想法应用可以担负起外泄信息,但不能担负起丧失完整性后果的网络。如后勤、医疗保障、环境监测和系统监控系统。新的安全模型可能必须寻求这样的系统,但是这些系统可以使用过滤设备或防火墙,它们不太关注向外发送的信息并更不太关注输入的信息。
国防部机密的、可能隔离的系统面临的关键安全挑战是确保它们事实上被隔离。潜在的违犯包括物理访问(如未设防的大门)、硬件级别的访问(如未被充分监控的USB接口,未知导线连接,不当的路由器配置),部件级别的访问(例如,损坏的软件或硬件输入),无线射频访问(例如,系统在不需要接受射频信号时接受射频信号,或是射频链路没有或加密程度不高),和人员访问(例如,不信任用户)。由于一些保密网络因为其依赖的机器发生故障而停止工作,这样一种观察还必须考虑路由器等硬件,这些硬件也处理非保密通信,甚至操控和外部网络相连接的空调部件。由于违犯行为的可能性大致与网络规模成正比,保密网络安设置成千上万个访问点的事实表明,完全隔离的可能性并不高。正因为如此,每个保密网络至少可以怀疑来自其它保密网络并到达该网络的对象。异常检测服务器,监控设备,文件分发控制设备,内部防火墙和降低网络受污染的授权能力等效用性是不能完全被放弃的。
三、政策
如果结构是一个组织的信息系统框架,并且如果运行包括日常防御技术,那么政策和战略是指信息系统运行下的所有规则。大多数好的政策原则都为信息安全部门所熟悉,这里无须重复。但是,简化和准确的任务分解仍需要特别注意。
在这一范围内,由于复杂性是许多漏洞的源泉,简化有利于正确开展网络防御。核心问题是,随着电脑功能越来越强大,他们的理解力超过了人的理解力,人的发展要缓慢得多。然而,电脑需要人的理解力才能发现系统的行为是否“有趣。”这有待于系统管理员(其直觉很可能来自训练)和用户(其直觉没有那么有把握)保持注意力。系统越简单,就越容易向指挥官解释运行情况,提高他们把对系统可靠性的直觉与其它战争计划合成起来的能力。为了简化系统和他们关注的系统,当额外系统只是偶尔提供一些利益时,各有关信息安全机构应积极依靠更少的功能和方案。因此,操作方案和应用系统应默认为禁用(将开放式软件交由熟练的防御程序员控制的值)。在电子文件中(广泛定义的),外来物资(如主动代码点)应被过滤掉。网络配置应尽可能未受污染。只要狂热受到制衡,结果应该值得争议。
正确的任务分解是组织内部分配网络防御责任的一门艺术。空军集中规划和分散实施的做法适用于网络防御。结构和对系统故障模式的综合分析是一项顶级工作。贯彻安全规则要交给同一系统的管理员,因为他能够理解他们管理的网络,他们的工作就是在面对危险、受到诱导和发生其它情形时使系统正常运行(网络中的大多数攻击实际是攻击网络中的系统)。
然而在紧急情况下,当发生争议和进行系统恢复时,上级可以适当越权。高层对争议的管理是值得投入的,因为这种技术专长只是片面集中和使用。如果更大规模的攻击以类似方式影响到多个系统,对恢复过程的自上而下的管理可以更加有效,速度会更快(对等信息共享也可以分发有用的技巧)。从大规模攻击中恢复也同样受益于自上而下的管理,特别是如果它需要隔离和分流。如果网络含有特别的、能够迅速扩散到其它用户的恶意软件,那么就需要对网络进行隔离。如果病毒已经广泛蔓延,那么可能需要对网络进行隔离,确保有待隔离的网络不会再次被感染。当清洁资源数量有限,就需要对网络进行分流,因此,必须向更重要的网络进行分配(确定哪些网络最为关键是自我认识的另一理由)。一种特别稀缺的资源可能是那些擅长判断文件是否受到篡改(包括可执行文件和相关支持代码)的人员。针对由少量载体重复使用所形成的大规模攻击,自上而下的结构在受影响的人群中广播发现这些载体及其性质将是有效的。最后,网络防御可能象电力网络一样,因为将一切同时投入服务可能会引起故障,分阶段恢复是可取的,这也需要自上而下的控制。
四、战略
大多数网络攻击都有目的。辨识这一目的可以感觉攻击者的行动,并且允许被攻击的对象采取措施,使攻击者不能实现其目标。如果使攻击者相信网络攻击行动会事与愿违,那么攻击行为是可以被劝阻的。计划不周的网络攻击行动可能会透露出攻击者的目标(例如,攻击者希望对象国放弃与第三方的复杂国际关系,因此攻击者可以采取突然的行动并出于自己的目的重新建立关系)。
可以采取更多措施以找到办法,区分出敌人攻击己方军事系统的动机,如确定攻击是一项测试、假象,或真正的攻击。如果是真正的攻击,那么攻击是直接攻击还是稍晚时候进行?例如,网络运行中心的零星的大工作量与向不同的地址发送异常规模的数据包之间存在关联性,这可能是标志着是一种测试。针对此类测试性攻击的反应措施应该产生他们好象在这一领域受到观察的效果,例如,通过展示出灵活性和想象力,(即使许多调整在后来悄悄结束),但与此同时,应该悄悄加强对工作区的搜索行动。
因为假象必须经过设计以便重复出现,因此假象有可能针对目标的边缘而不是针对核心,也不可能使用特别复杂的(因而破坏)攻击措施。从当时的攻击者的军队战备状态可以推测出攻击是否为假象的更深层的迹象。正在酝酿的直接物理攻击迹象将包括那些旨在摧毁而不是损坏的网络攻击,并且还将包括对后勤、动员和部署系统的攻击。如果还不算晚的话,这些反应措施在适当条件下应提高戒备水平,并转到更高级别的防御条件。证明这种影响不大的攻击可能有所帮助。
相反,损坏攻击指向后面的物理行动,因为在扭转局势之前它们的影响要比辨识和坚持更长的时间难度更大些。这些迹象包括故障完整性检查的代码,监控外部信号的不可见的进程,以及在系统测试下发生的莫明其妙的错误。好的反应措施就是开展示范演习,强调在没有良好系统下的运行能力,同时加强代码检查和重新启动以发现受损系统。
五、运行
正如安全机构熟悉几乎所有的网络防御政策,因此,几乎所有的网络防御作战的技术也是如此。他们不需要在这里重复。有3类技术在此值得一提。硬件标记(和基于硬件的覆盖)可能对一个机构有用:(1)该机构采用大量硬件,其中大部分为分布的(如传感器),(2)该机构要比民间组织承担更重大的责任。欺骗,尤其是蜜罐、蜜网和诱饵技术值得重视,这些技术不仅转移袭击,而且允许攻击者描述攻击方式。红军部队其实对所有机构来说很有价值,出于相当明显的原因,红军部队对军事机构特别有关联的。
六、硬件
一般来说,数字认证的实用性和价值,特别是基于硬件的控制,反映出防御系统受到的威胁,并且反映了对严格责任的期待,这些责任是可以从作战人员那里期待的。数字认证有助于区分真假消息,它也是针对恶意的圈内人士的有用对策。当某人或某物接收到来自其他来源的通信,认证增强了人们对来源和信息都是正确的信心。如果无赖国家的操作员发出的通信信息经证明是有问题的,对该操作员(不是一些黑客)予以指责的做法将是正确的。不幸的是,今天个人电脑不允许有这样的信心,因为他们的软件是容易被黑客控制和攻击的(即使内置入设备之后,许多集成电路还可以重新编程的)。因此,恢复信心需要使用不能重新编程的硬件设备。在某些情况下,这些设备是可以附加的,如独立的具有USB接口的凹形垫。在其他情况下,可以劝说主要供应商安装硬件设备(如开机光盘),允许软件安装只能由特定供应商或原供应商认证的第三方供应商进行。这种想法说明军队如何寻求适应特定威胁和环境的网络防御战略。
七、欺骗
军事机构一定要对欺骗行为感兴趣,这种欺骗行为将超越了在保护网络过程中所能提供的任何帮助。通过错误描述网络及其内容,国防部希望劝说攻击者,使它们把攻击行为指向别处;希望误导攻击者的攻击重心,希望使攻击者能够放大或低估它能够完成的攻击行为,更不用说建立实际能力的假象。
在这方面,军事和民用网络不同。黑客对民用网络感兴趣,他们渗透民用网络主要是为了告知他们的网络攻击的行动。但是国家黑客想要了解一支军队的实际作战能力,以了解他们的作战对象的强弱点,他们的军事思想,指挥和控制,传感器的覆盖缝隙等。反过来,网络防御者的工作就是在黑客头脑中建立起一种清晰的印象,希望这种印象最终将误导黑客的领导人。防御者的优势是不应被低估的。即使黑客拥有他们成功攻击的网络,他们缺乏每个操作员和管理员头脑中所拥有的系统物理访问和隐性知识。他们在本质上,通过一个虚拟的窥视孔,窥视他们目标的广阔的网络空间,敏捷的防御者可以让他们只能看到防御者想要投送的图像。可以肯定的是,欺骗要小心,以免自己被欺骗,但在这个领域,谨慎的实践可以熟能生巧。
蜜罐(及蜜网)是了解网络攻击者所作所为的众所周知的设备。如果正确配置,蜜罐应以纯粹的形式显示攻击效果,而不发出任何噪音。不断改变的文件,在网络上数据包的不断交换,这是主动用户的正常电脑的特征。使用适当配置的蜜罐,通过观察哪些文件以意想不到的方式发生改变或是电脑正在试图进行它从未尝试过的进程来检测恶意软件的存在。蜜罐还可以加载一些潜在敌人特别感兴趣的进程或文件。观察哪些文件被复制或哪些过程被改变也有助于了解网络攻击的目标,并可能得知攻击者在网络空间的战略。后者可能提供有关军事姿态或战略的有用提示。相反,银行面对多种潜在的网络窃贼,这些窃贼的试图相互了解方面并不会有多大的帮助。
八、红军部队
所有面临严重威胁的机构需要了解他们的网络如何经受住攻击。由于多方面的原因,美国国防部对这方面的需求比大多数机构多得多。首先,针对美国国防部的认真的攻击者在全面受影响(如交战)之前是不可能透露出最佳行动的。与此不同的是,针对银行等机构的许多攻击者很少需要等待数年时间,或是外部事件为其提供适当的机会时才开展行动。第二,军队不断举行演习,红军部队演练能够轻松与其它演习可用的模式和结构协同。第三,军队获得某些特别敌人的情报,并使创造特定的攻击模式成为可能(虽然限制已经出现的演习模式很可能是一个错误)。第四,由于军事设施普遍较民用设施安全,红军部队可使军队测试网络和物理保护设备之间的相互作用。
九、结论
虽然美国国防部与大多数其他组织一样并不将所有的网络攻击费用花费在防御方面,但是它仍然在这方面投入大部分资源,并且这一领域值得投入。防御网络并不象民用网络。在大多数情况下,美国国防部使用同样的硬件、软件和协议。因此,国防部防御网络所需要的工具和技术类似于民用网络的所需要的工具和技术。这一领域已经得到介绍,不再在此进行介绍。
由于军队的特色,网络防御战略必须进行相应的制定。其中最突出的是潜在对手的存在,它们的兴趣在于(如销售破坏设备用于防御网络)盗窃、破坏、或损坏行动。这样的敌人还非常重视理解军队网络,从而了解军队自身。军事网络也具有其他方面的不同:用户基础使用严格的问责制,必须支持紧急行动(即战争),大量使用软件控制的设备(如传感器、武器)。因此,在许多重要方面,这些的系统如何得到防御将具有重要的独特的因素。
让人棘手的地带
当面对不能阻止的威胁时,潜在目标能够试图防御、消除敌意,或开展威慑活动。如图9.1所示,这三种方式的最佳组合可能取决于待解决的战争的模式。
多种作战形式可以适用于威慑-解除武装-防御三角形
例如,在传统地面作战中,作战行动的重点是解除战斗中敌人的武装。一般来说,依托防御并不能较好地取得实效(马其诺防线就是一个最佳例子),一般通过采取惩罚威胁措施来实施威慑,其针对的是被解除武装的或装备很差的敌人(例如,谢尔曼行军通过格鲁吉亚)。在中世纪后期,当时城堡非常坚固,炮兵未得到使用,最佳防御地点处于三角形防御顶点附近。在海上作战时,过去的对抗一般是围绕自由航行展开;防御在海战中发挥的作用较小(除了在战术层面,就船舶设计而言)。但是在解除武装方面(就舰队本身而言)与惩罚性威胁方面(就商船掠夺而言)之间存在着激烈的辩论。早期的空战观察人士认为,城市是不可能被防御的,并且他们对解除进攻舰队的武装表示悲观,并且因此将作战重心放在威慑方面1。随着第二次世界大战开始,人们对空袭所持的态度更加坚定。在不列颠之战中解除德国空军的武装是可能的,但是地面防空系统往往未发挥其功效2。最佳防御地点移至三角形中间区域。在核战争时代,特别是作战力量通过导弹表达出来,防御几乎成为不可能的,解除武装(反作用力)作为第二次打击的考虑因素,因此首要的工作重点就是威慑(对应价值)。
网络空间会发生什么样的战争?显然,解除武装是不可能的,并且没有人严重怀疑防御的必要性(以免非恶意黑客人士,犯罪分子和间谍在他人的系统中肆无忌惮)。问题在于威慑是否发挥出作用。调查表明,在这一媒介中,最完善的防御不一定是妥当的进攻,它通常是一次出色的防御。当然,放弃威慑手段是一种极端行为,也没有这种必要(即通过处罚措施实现的威慑),当某些国家在这一领域公开挑衅美国时,只要有可靠的反应措施即可。否则,正如本文已经证明,网络威慑是很成问题的。在考虑将威慑作为对抗国家组织的网络攻击威胁的主要措施之前,美国可以首先用尽其它措施,如外交、经济、和起诉手段。最起码,这个专题需要更仔细的考虑。
除了威慑位于网络空间的斗争之中,网络空间还少有直观东西,直截了当的东西会更少。到处都是不明确的。在这一媒介中取得的每一次成功依赖于欺骗。无论谁宣称电子为最终精确武器,他应出言谨慎。在这一媒介中,即使基本的新闻问题也可能找不到答案:是谁攻击?从哪儿来的攻击?他们有什么损害?他们是怎么做到的?攻击在什么时候发生的?他们为什么要这么做呢?网络空间可以是数字化的,但数字清晰度是高清晰度电视的一项特征,而不是网络战的特征。
在战斗中,要死死锁定某人。不过网络的这种含糊不清给应用所有的武器带来这样或那样的挑战。问题是武器是否有用,取决于它使用的成本和它们的可能的效果。按照这一标准,网络可能被看好。网络武器相对成本较低。由于破坏性极强的网络攻击有利于或扩大物理行动的战果,并且由于网络战运行力量成本相对较低(特别是如果空军可以投资计算机网络利用),进攻性网络战力量是值得开发的。攻击者可以使用这些力量而不必过于担心己方受到的损害会比目标受到的大一些。这里可以采取一些合理的防范措施:避免创建自我复制的代码(如蠕虫);确保攻击的系统不是自己或朋友的实际使用的系统(如在不知情的情况下);各军种应花费多少经费以建设作战网络战力量,这是一种典型的多少即足够的问题。在这一点上,作战部队似乎应该小而精,而情报和和计划部队应该得到最多的人力和资源,即衡量两次,削减一次理论。
如果作战人员没有陷入生死决战之中,网络威慑的运行难度,网络战,以及网络战的作战风险正成为一种战略性挑战,并且所有的战争迷雾并不只是准确性问题。如果这些因素被滥用,作战人员将会冒着在错误的时间、错误的地点,由于错误的原因,打击错误的敌人的风险(例如,在现实的空间里,网络空间不会那么血腥)。
网络威慑不应与核威慑相混淆:报复的危险是如此骇人,以至于没有人敢靠近尝试。网络威慑也不应与刑事威慑相混淆:法律相对不法分子有着明显的合法性优势。在无政府世界里,网络攻击和网络报复可能类似于管理敌对城市帮派,相互怀疑的沙漠部落,或裴尔德和麦考伊之间的对抗性态势,直到有人升级这一态势。
网络对抗的态势的危险接近于战区。很大程度上这取决于对抗是否在阴影中发生,包括系统管理员,幽灵和主管人员,或是对抗是否在阳光下发生,在这里,整个世界都在关注。在第一种情形下,战略性行动可就演变成第二种情形下的一场闹剧。实际发生的事情要比人们认为正在发生的紧要得多。
美国能否完全地消除网络威慑和网络战?这或许存在一个敌人,它如此之愚蠢以至于敢攻击世界上最强大的军事力量,从而给本国社会带来极大的烦扰(也许在可能的情形下,切断所有人的电源),并在实质上询问:对此,你将有何打算?美国应该可以回答这个问题。
无论哪个国家通过采取更少的敌意手段(例如通过起诉或外交手段)或更暴力的手段来回答这样一个网络空间的问题。但是,这将依赖于更多的因素,而不是领导人在发生实际情形下及为什么发生这样的情形下的所拥有的信心。网络报复尽管存在它的难度,但不应该是这一情形下的唯一反应措施。
作者:马丁 C 理贝基(Martin C. Libicki)
编译:知远/于君
来源:中国网
兰德报告介绍网络防御 称某种角度看与哲学相似- 中国日报网
美国兰德公司报告:《中国与全球化》
美国兰德公司报告:《中国与全球化》
美国兰德公司报告:《中国与全球化》
兰德公司报告:中国与全球化
美国兰德公司报告:《中国与全球化》.
美国兰德公司报告:《中国与全球化》.
站在哲学的角度看《周易》
求论文:"哲学--乃是某种介乎神学与科学之间的东西"
男人从脸上看疾病- 中国日报网
从传播学角度看“网络推手”gg
东亚经济评论>美国兰德公司报告:《中国与全球化》
中国与全球化 来自兰德公司的中国报告
东亚经济评论>美国兰德公司报告:《中国与全球化》
兰德公司报告
兰德公司报告
兰德公司报告 -
兰德公司报告
网络骗术防御要点
换一个角度看疾病与治疗
换一个角度看疾病与治疗
兰德公司的中国报告
与饮食密切相关的几种癌症- 中国日报网
兰德报告:2015年前生物、纳米、材料技术及与信息技术发展趋势