网络攻防中国策

各国频遭线上袭击

中国一家海事机构的办公室里，工作人员发现一台电脑忽然出现异常情况：运行缓慢，CPU、内存占用率极高。

这引起安全人员的警惕。360公司为该单位提供安全服务，相关负责人汪列军第一时间参与调查。这是来自海外的一场网络攻击。技术人员当即展开有效防御，但后续攻击沿着网线持续涌来。

计划承包商那里，窃取了新型战机、军舰的大量细节。韩国方面，包括暗杀金正恩在内的“5015作战计划”遭到泄露。

美国网络司令部司令曾预言：“下一次战争，将在网络空间打响。”这个断言，现在看来并不遥远。针对政府和敏感部门的攻击，正越来越频繁。大国的网络部队，也已现身，蠢蠢欲动。这时候，中国代表在联合国，提出了新的应对之策。

谁是敌人？

前不久，中国某对外涉密单位内网发现了一起攻击行动。同“海莲花”事件类似，黑客试图通过木马入侵系统。安全部门截获这起攻击后，迅速开始分析病毒构成，寻找攻击来源。

植入木马的方式，并不复杂。渔叉攻击和水坑攻击是常见的攻击方式之一。前者是黑客通常将木马程序包装成邮件附件，并给附件取一个极具诱惑的文件名——如“公务员工资收入改革方案”——诱使使用者点击，进而感染木马。水坑攻击则是黑客通过分析目标的上网习惯，找到其经常访问的网站，通过该网站漏洞，植入攻击代码，一旦攻击目标访问该网站，就会像掉进水坑陷阱一样中招。

也有利用U盘摆渡。网络安全公司中睿天下CTO魏海宇说，他们曾遇到过一个案例，有黑客在某政府部门丢了U盘，有个不懂技术的文职员工恰好捡到，她好奇U盘中的内容，插到电脑，结果U盘中植入的木马病毒开始窃取内网里的机密信息。

“其实光盘也可以”，魏海宇说，有的U盘里甚至可能会植入一种小芯片，“本身可以发网络信号，所以它不需要借助互联网，只要插入电脑，我离你可能几公里，或者是几百米之内，利用专门的设备可以接收到这个信号。”

与现实中的战争不同，网络攻击来源藏匿于阴影之中，对方可能通过分散在数个国家的服务器展开攻击，要想追溯到明确源头，非常困难。但技术人员仍然可以通过对攻击习惯、病毒代码的分析，找到一些蛛丝马迹。

截获针对上述涉密单位攻击的病毒后，与安全部门有合作的中睿天下，开始分析这次攻击的木马病毒。“在进行木马分析时”，魏海宇解释道，他们发现，这个病毒语言库里，有一个隐藏的地方，默认语言是英文，只有一个地方，用了另一种特殊地区使用的文字。分析出这个线索，再结合IP地址真实定位技术，基本就可以断定攻击者是来自使用该种文字的地区。

“当一个攻击者对我们进行攻击的时候，他有很多攻击手段，还可能利用很多攻击工具”，魏海宇接受本刊采访时解释道，他们搜集了大量黑客攻击指纹，遇到攻击时，就可以通过样本对比，进行溯源追踪，“比如我们收集到一个美国论坛里面的一个黑客工具，这个工具只有美国一个组织用过，如果我们发现攻击者使用的是这个工具时，哪怕他们的IP来自日本或者韩国，但我们也会初步断定攻击是来自美国。”

此前，爱沙尼亚与格鲁吉亚曾遭到网络攻击，黑客使用的是俄罗斯黑客常用的网络武器BlackEnergy。之后，这个网络武器不断升级，2014年，俄罗斯与乌克兰发生冲突，安全机构很快监测到为乌克兰政府量身打造的 BlackEnergy 新变种“BlackEnergy 3”。随即，黑客组织开始利用这个武器对北约、乌克兰和波兰政府、欧洲各重要工业系统进行了攻击。

2015年11月，乌克兰大选期间，多家新闻媒体公司遭到攻击，许多视频和文档资料被毁。一个月后，乌克兰电力网络受到黑客攻击，整个国家出现大面积停电事故。在此期间，乌克兰黑客也曾对俄罗斯展开反击，攻击其国家杜马运输委员会网站，并以运输委员会名义在官网发布谴责普京的声明。

但这种溯源也带有很多推断成分，很难有足够精确的证据。“现在的做法，一般是通过代码里的指纹，攻击手段的指纹来溯源”，清华大学网络科学与网络空间研究院副教授张超接受本刊采访时解释道，如果黑客可以伪造一些关键信息，就很难追踪了。“黑客可以使用各种匿名IP，不断的跳”，经常追踪到某个节点，可能就会中断了。

“当隶属关系不清的个人也能实施极具野心和侵入性的行动时，国家行动这个概念可能也变得模糊了……”美国政治家基辛格谈到这个问题时说，“更加危险的是，实施这些行为的嫌疑人可以合理推诿，而且也没有相关国际协议。”

网络军火库

5月12日上午，23岁的李中文正在搬家，突然接到公司领导的电话，要他赶紧来公司指挥中心，“当时感觉控制不住局面了”。

再过两天，“一带一路”国际合作高峰论坛就要开幕了。恰恰这个时候，勒索病毒（WannaCry）开始在全球泛滥，中国也未能幸免，不断有银行、加油站等基础设施的电脑罢工。

李中文瘦高，戴一副黑框眼镜，供职于360公司。接到公司安排后，他先去一些公安部门协助解决问题，等这边工作告一段落，他又接到电话，“连夜去了‘一带一路’会场那边”。

晚上10点多，他赶到国家会议中心。刚进办公区域，就发现一台电脑中招了。他当即断网检查，好在服务器并未受到感染。之后的一天，他一直待在会议中心，随时防备可能出现的问题。

勒索病毒的消息爆出后，上海电视台一个纪录片团队正在拍摄一部网络安全专题片。这部后来名为《第五空间》的专题片是受上海市网信办委托拍摄的。纪录片团队得到这个消息后，迅速赶到国家互联网应急中心与360公司，了解相关情况。据互联网应急中心提供的数据，5月13日中午，中心检测的全网攻击总数已经超过一百万次，被感染的机器接近一万台。

因为使用的一些系统版本老旧，中国政府部门、高校、公安局等单位成了此次病毒的重灾区。而国外的银行、医院系统，也受到很大冲击，一些手术不得不取消。据安全公司卡巴斯基发布的报告，全球74个国家和地区遭受了攻击，实际范围可能更广。在受攻击最多的20个国家和地区中，俄罗斯远超过其他受害者，中国大陆排在第五。

勒索病毒的爆发，不但让外界看到网络攻击对基础设施产生的威力，也曝光了美国的网络武器库。据报道，勒索病毒是利用Windows操作系统445端口存在的漏洞进行传播。今年4月，黑客组织“影子经纪人”打算在网上拍卖一些网络武器，其中就包括这个漏洞工具。当时“影子经纪人”声称这些武器来自美国国安局，但并未引起外界太大响应。

在此之前，维基揭秘网站也曾披露过美国中情局的网络武器库，并认为他们对武器库已经失去控制，很多工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”，存在“极大的扩散风险”。

与现实中的军火武器相比，网络武器的制造要更隐蔽，也更容易。“一台笔记本电脑就能造成全球性后果”，基辛格说，“一个人只要有足够的计算能力，就能进入网络领域，在一个无人知晓的角落，让重要基础设施陷入瘫痪或彻底毁坏。”

正因为如此便利，规则尚不明晰，除了国家行为外，一些民间网络军火商也正在崛起。据360发布的《2016 年中国高级持续性威胁（APT）研究报告》，目前全球最知名的三家网络军火商是：

意大利的 Hacking Team—— 2003 年就已涉足网络军火市场，是一家以协助政府监视公民而闻名的公司；

英国老牌网络军火商 Gamma 集团——军火商也反过来会遭到攻击，2013 年和 2014 年，Gamma 两度遭到黑客入侵，大量内部资料外泄；

以色列数字间谍工具开发公司 NSO 公司——以色列被公认拥有全世界最先进的监控技术。英国非政府组织隐私国际（Privacy International）曾发布报告称，总部设在以色列的监控公司总数多达 27 家，按人均计算，以色列每 10 万人就有 0.33 家监控公司。

这些网络军火商已经成为一群特殊的利益团体和组织，他们往往掌握着网络世界最前沿、最先进的技术，与本国政府或区域性政治团体之间有着紧密的联系。他们会出售计算机程序、软件或设备给政府；甚至，一些政府还会和他们签署协议，将情报搜集项目如监控监听外包给各网络军火商。

护网行动

中国一家国家控股能源企业的一个安全分析室里，数十台安全设备高速运转，十几网络安全工程师对着电脑紧张操作。室内偶有小声的讨论，多数时候只剩下键盘的敲擊声，以及计算机运转的风扇声。中睿天下的白应东也是其中一员。

该能源企业网络遭到猛烈的网络攻击。公司越大，潜在的入口也越多，它的网站、职工信息系统、邮件等都可能是黑客攻击的突破口。黑客也有可能从地方分公司切入进行攻击。有一次，攻击者试图通过企业内部的网线结构潜入，好在白应东和同事们及时发现，并做好了防御措施。

为了抵御这次网络攻击，该公司联动全国各地的分公司，参与其中的人数近百。

这一场发生在中国的网络战，其实是一场名为“护网”行动的演习。来自数十家网络安全企业的信息工程师组成“攻击部队”，两家国企的信息系统是它们攻击的对象。

虽是演习，但参与攻防的工程师们被告知，要在真实业务环境下，寻找对手信息系统内存在的漏洞，并发起网络攻击。一周之后，国家电网成功的抵挡住了攻击方的各种入侵，中睿天下CTO魏海宇说，另外一家企业，“完全被打瘫了，漏洞太多了”。

《连线》杂志资深作者Kim Zetter曾断言，未来的网络攻击，最有可能成为攻击目标不是军事系统，而是民用系统，首当其冲的会是交通、通信和金融网络，其次是食品生产厂和化工厂，还有天然气管道、水利电力设施，甚至铀浓缩工厂。

Kim Zetter写过一本揭秘“震网”病毒的书。这种病毒是由美国和以色列联合研制的蠕虫病毒，这款病毒的顶级之处在于，它利用了四个“零日漏洞”来对付Windows操作系统，一个“零日漏洞”来攻击西门子软件。零日漏洞，是指那些开发人员未及时打补丁或未发现的漏洞。震网之前，从未出现过能同时利用两个“零日漏洞”的病毒。

2010年7月，伊朗浓缩铀工厂遭到这种蠕虫病毒攻击。它改变了伊朗核工厂内离心机的转速，导致千余台离心机永久性损坏，致使伊朗数次推迟核电站的供电时间，伊朗核发展计划被迫延迟。由此，震网开启了一个针对关键基础设施造成物理伤害的网络战新时代。

在谈及这场网络攻击的威力时，基辛格认为，“它成功破坏和延迟了伊朗的核努力，在破坏程度上相当于一次有限军事打击”。

网络战

2016年中期的某一天，时任美国总统奥巴马终于决定，对俄罗斯展开网络攻击。美国中情局接到来自高层的命令：筛选袭击目标、开启网络端口、提交作战方案，做好对俄发动网络战的万全准备。

这个命令遭到媒体曝光后，时任美国副总统拜登说，美国会在合适的时间，并且认为可能产生最大效果的条件下，向俄罗斯“传递一个信息”。而美国退役海军上将、北约前最高军事长官斯塔夫里迪斯则认为，这次拟议的网络战应攻击俄罗斯的互联网监控和曝光普京及其手下的“金融交易”，这会令他们“非常尴尬”。

为了应对这样的战争，美国已经准备多年。2009年，美军就公开建立了世界上第一个“网络战争司令部”。等到特朗普上台，这个机构的实力还会再次加强——今年8月18日，特朗普下令，网络司令部升级为美军第十个联合作战司令部，地位与美国中央司令部等主要作战司令部持平。国防部此前还对外宣布，网络司令部下属133支部队，已经具备初始作战能力。

如此高调宣战，是因为美国认定俄罗斯通过网络攻击，干预了美国大选。美国中情局、国土安全部出台的报告认定：俄罗斯黑客不但攻击了民主党候选人希拉里，而且还“黑入”两党竞选总部，窃取数千份文件，再化名向维基揭秘网站爆料。美国情报机构分析认为，“从黑客攻击的规模和敏感度判断，只有俄罗斯最高层才能立项批准”；当时奥巴马的国土安全和反恐顾问表示，黑客事件的严重性已跨越“新门槛”——不可接受的“侵略性骚扰”。

俄罗斯否认了指控，且强硬回击。俄罗斯杜马负责国际事务的成员公开声称，俄罗斯会加强保护信息技术领域的国家利益，同时动用国家资源反击敌对行动。

在网络攻防领域，俄罗斯是一位并不弱于美国的对手。2007年4月，爱沙尼亚曾与俄罗斯交恶，27日深夜，爱沙尼亚开始遭到网络攻击，最初，影响只在小范围传播。三天后，黑客开始利用病毒劫持爱沙尼亚国内的计算机，组成僵尸网络，对更多网站进行攻击。高峰时刻，爱沙尼亚有58家网站瘫痪，最大银行汉莎银行的线上服务中断90分钟，第二天又中断两小時。

“集结僵尸网络，就像集结军队一样”，爱沙尼亚国防部一名官员曾回忆。这场网络攻击也震动了北约，这个组织因此建立了一个永久性的机构——合作网络防御示范中心。

一年后，俄罗斯与格鲁吉亚发生武装冲突。格鲁吉亚国内很快遭受到网络攻击，8月8日这天，网络攻击变得异常强烈。攻击的方式基本与爱沙尼亚的遭遇一致，如前所述，使用的都是Black Energy。除了格鲁吉亚的政府网站暂不能访问、国家银行下令所有分支机构停止提供电子服务十天外，此次攻击的最大影响在于限制了格鲁吉亚政府的国际通信能力，使他们在发生武装冲突的关键时刻无法发声。

虽然俄罗斯并不承认这些网络攻击行为，但安全专家从网络武器中发现蛛丝马迹，均指向俄方。

这一系列事件，使得其他国家意识到风险的存在，纷纷成立了网络部队。日本近期正打算再让网军增员九百人左右，以应对网络攻击，增加收集、分析威胁情报的能力。德国也在今年年初成立了网络司令部，人数为1.35万人。2015年，英国联合部队司令部要求政府在未来五年投入20亿英镑，聘请300名网络专家或黑客，同时开发更多网络武器。9月6日，以色列进行了20年来最大规模的军事演习，网络部队首次参加。

据统计，现在有46个国家已经成立了网络部队。与此同时，每年针对政府、敏感机构的网络攻击，也持续增加。尤其是在中国周边国家和地区，韩国、日本、印度都建立了庞大的网络部队，台湾也开始筹建，计划在2019年全面行成战斗力。更甚者，围绕这些网络部队展开的攻防，也愈演愈烈。

新秩序？

1647年，为了结束持续了二十多年的战争，神圣罗马帝国和它的两大对手法国和瑞典，决定坐下来谈一谈。来自神圣罗马帝国内部各国的178位代表在德国小城明斯特聚集，另一方代表新教派的大国，则在30英里外的德国小城奥斯纳布鲁克碰头。共有235位使节及其随从住满了两地能找到的所有房间，包括弥漫着香肠和鱼油味道的纺织工小店。

需要开会时，与会代表就赶往两个小城中间的中立区，在这个地区的更小的几个镇上，双方展开了一系列的谈判。这场战争最终打了三十年，造成了太多的流血与牺牲，靠着以往的宗教观念，已经无法达成一致。最终各方都接受，通过平衡各方利益实现和平。

经过一系列复杂的谈判、争吵之后，这些国家在不同城镇签署了三个互为补充的协议。通过这三个协议，欧洲建立起了后世成为“威斯特伐利亚体系”国际原则：主权独立平等原则；不干涉内政原则；势力均衡原则。

“威斯特伐利亚原则被普遍认为是构成世界秩序的基础”，基辛格在《世界秩序》一书中写道，“它力图通过一套国际法律和组织结构，抑制世界的无序性。”

现在，网络世界再次面临三百多年前的混乱无序状态。网络军火商的崛起，各国对网络部队的热衷，使得网络攻击技术发展迅速。“在这个新时代，对这种能力还没有共同的解释，甚至没有共同的理解。对使用这些能力，尚缺乏或明或暗的约束”。基辛格说，这种攻击的危害已经多次得到印证，攻击者不用像常规战，必须入侵对方领土才能发起战争，“在一国实际领土之外发起的行动，就可以让电网崩溃、电厂瘫痪。地下黑客集团已经证明能够侵入政府网络，瘫痪系统，散播机密信息，其结果足以对外交活动产生影响”。

9月12日，第72届联合国大会在纽约开幕。开会前，按照惯例，各国要提前提交立场文件，阐述各自国家在大会期间的政策和目标。8月份，中国就把自己的立场提交到大会秘书处了，据中国外交部公布的版本，文件第五个议题，就提到了网络安全。排序在难民问题、朝鲜等地区热点问题之前。

“当务之急是在联合国框架下，坚持和平、主权、共治、普惠原则，制定各方普遍接受的网络空间国际行为准则，以及打击网络犯罪和网络恐怖主义国际法律文书。”在这份文件中，中国建议，“共同构建和平、安全、开放、合作、有序的网络空间，建立多边、民主、透明的互联网国际治理体系”。

这已经不是中国第一次发出这种呼吁了。早在2015年，中共中央总书记、国家主席习近平出席第二届世界互联网大会时，就提出了推进全球互联网治理体系变革的四个原则：坚持尊重网络主权、维护和平安全、促进开放合作、构建良好秩序。

“通向世界秩序的道路也许漫长坎坷，但如果一个极为普遍的问题被排除在严肃对话之外，国际社会就不会取得有意义的进展。”基辛格也在其论著中写道，如果无法达成共识，各方继续自行其是，“危机很可能爆发”。

推荐访问： 国策 攻防 网络