前述内容从多方面讲述了网络空间安全的严峻形势与攻防对抗的复杂特点。构建网络靶场的目标是“让错误发生在实验室”“把败仗打在网络靶场”。本节将继续探讨网络空间中的决胜因素。
安全的本质是对抗,对抗两端是人与人的较量,这可以被视为网络安全的“第一性原理”。
前文说过,网络安全的“原罪”就是人类在设计、开发、使用和运维过程中产生的大量安全漏洞与脆弱性问题。而“人与人的对抗”集中体现在以下6个方面。
·意识与思维能力的对抗。
·情报与知识的对抗。
·工具与武器的对抗。
·技术与战术的对抗。
·人员与组织的对抗。
·体系的对抗。
按照网络空间对抗的效果,站在攻击发起方的角度,可以将网络空间对抗划分为以下5个层次。
·第一个层次:获取数据、情报和知识。指通过各种手段,从网络空间中或通过网络空间获取数据、情报和知识。 包括开源情报获取与分析、信号情报截取与处理、入侵目标网络信息系统以获取情报数据、入侵目标网络角色以获取情报数据,以及多源情报融合分析等。
·第二个层次:中断、破坏网络空间运行。 指阻止对手在指定时间内访问、操作或使用特定功能。包括对物理设备或基础设施实施限制、破坏或摧毁,对逻辑网络组件实施拒绝服务攻击,以及删除数据、修改配置、重置系统以使其无法正常运行等。
·第三个层次:影响、改变网络空间运行。 指使用欺骗、诱骗、伪造和其他类似的技术,以控制或改变对方网络空间或公共网络空间中的信息、信息系统或网络。被攻击的网络似乎仍可正常运行,但原有信息流程已被改变。包括孤立目标通信信号并伪造假信号,劫持系统、服务在不破坏功能的同时实现特定目标等。
·第四个层次:造成网络空间之外的物理破坏。 指利用网络空间内部组件对外部物理实体的控制,改变控制信息从而破坏受控实体及其功能。攻击者必须掌握对物理实体控制过程的数据和情报,并能准确运用相关知识,方可实现攻击目标。
·第五个层次:影响特定个体/群体认知。 指通过对网络空间内部各类元素的操作,影响网络拥有者、运维者和使用者的心理认知。包括通过宣示攻击实施心理威慑,通过口令攻击假借身份,利用网络角色散布舆论、实施欺骗等。
网络靶场中举行过的无数次攻防演练,都以真实对抗的结果表明,攻防是不对称的。
通常情况下,攻击战队只需要撕开一个点,就会有所“收获”,甚至可以通过攻击一个点,拿下一座“城池”。但对于防守工作来说,考虑的却是安全工作的方方面面,仅关注某个或某些防护点,已经满足不了防护需求。实战攻防演练过程中,攻击战队或多或少还有些攻击约束要求,但真实的网络攻击则完全“无拘无束”,与实战攻防演练相比较,真实的网络攻击更加隐蔽而且强大。
为应对真实网络攻击行为,仅仅建立合规型的安全体系是远远不够的。随着云计算、大数据和人工智能等新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法,从体系化的规划和建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。
从应对实战角度出发,对现有安全架构进行梳理,以安全能力建设为核心思路,在识别内外攻击面的基础上,分析风险根因,重新设计安全治理体系与安全实施方案,通过多种安全能力的组合和结构性设计形成真正的纵深防御体系,并努力将安全工作前移,确保安全与信息化“三同步”(同步规划、同步建设、同步运行),建立起能够具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。
纵深防御之所以重要,是因为它包含了边界、隐藏、延缓、冗余和入侵容忍等很多安全机制与防护思想,为各种检测、响应和反制手段争取了宝贵的时间。我们可以利用“塔防”游戏来加强对纵深防御体系的理解。
在塔防游戏里,玩家需要建立自己的防御线,搭建各种防御塔,动用各种作战策略,不断升级,抵御对方一次又一次的攻击。在游戏中,对手可能会从无防区长驱直入,或者动用后推土机绕过我方防线,或者调用飞机攻击者穿透我方防御力量(见图1-16)。
·图1-16 “塔防”防御体系概念图之一
如果玩家需要保护的阵地是一个网络空间,那他就需要避免简单的“马奇诺”式边界防护,而应该考虑如何从网络拓扑层面利用自己的先发优势排兵布阵,善用“迷宫”设施干扰、控制攻击者的攻击路径;基于Design of failure原则布控多道防线,每一道防线都针对能通过前一道防线进攻者的特点,精心设计防御手段;在重要路线上部署雷区,作为安全响应的“后手”;并针对从“迷宫”路径“逃逸”的飞机进攻者部署有效的防御机制(见图1-17)。
·图1-17 “塔防”防御体系概念图之二
在设计纵深防御体系的过程中,需要将网络安全防御相关的各种工作纳入一个整体的框架。美国网络安全研究机构SANS梳理出“架构安全-被动防御-积极防御-情报-进攻”五个大类,设计了网络安全“滑动标尺”模型。国内安全厂商在此基础上进一步提出了叠加演进的网络安全能力模型(见图1-18)。
·图1-18 叠加演进的网络安全能力模型
该模型将网络安全能力分为基础结构安全、纵深防御、态势感知与积极防御、威胁情报和反制五大类别,并明确提出所有类别的能力都是一个完善的网络安全防御体系所必需的。从技术发展角度来看,这五大类能力在客观上有出现先后顺序,但是从实际对抗角度来看,各种类别的能力缺一不可,类别之间并不存在“升级替换”的可能性,而且必须叠加在一起持续演进才能同时确保有效性、完整性与先进性;从各类型能力所实现的价值来看,相互之间存在着支撑和依赖关系,只有较基础的能力得到完善落实了,较高阶的能力才能够得到基础保障;从企业建设实施的角度来看,较基础能力的建设条件会相对比较成熟,而随着建设进程的演进,较高阶能力才会具备建设条件。
上述叠加演进模型,较为全面地描述了一个具备动态综合特点的网络安全防御能力体系。但是在具体落实的过程中,需要注意“结合面”和“覆盖面”。
·“结合面”指的是网络安全防御能力与物理、网络、系统、应用、数据与用户等各个层级的深度结合。 在体系规划及后续具体设计的过程中,需要基于“面向失效的设计”原则,在各个层级考虑如何结合网络安全防御能力,确保防御能力与实际情况紧密结合。
·“覆盖面”指的是要将网络安全防御能力部署到企业信息化基础设施和信息系统的“每一个角落”,力求最大化覆盖构成企业网络的各个组成实体,包括桌面终端、服务器系统、通信链路、网络设备、安全设备乃至人员等,避免由于存在局部的安全盲区或者安全短板,而导致整个网络安全防御体系的失效。 项目规划与方案设计都需要基于实际的网络拓扑结构和系统部署架构,全面细致地考虑如何将防御能力部署到所有需要的实体节点之上,并在费用预算、人力资源配备和运维管理体系等方面进行充分考虑。
体系作战是信息时代的基本作战方式。基于信息系统作战体系的体系作战,有别于以往任何时代的作战方式,既不同于冷兵器时代的单打独斗,也不同于机械化战争时代的大兵团作战。主要表现在以下几个方面。
(1)单兵、平台和作战单元仅仅是作战体系的“触角”
单兵、平台和作战单元与背后的作战体系之间,过去联系是松散的,双方对抗表现为单打独斗。现在不同,有态势感知、信息支援和火力协同,产生了基于信息链式运动的作战要素之间的链式反应,表现为牵一发而动全身,即体系对抗。单兵、平台和作战单元只是作战体系向敌人前伸的“触角”,打仗的并不只是这些要素,而是整个体系在对抗,单兵、平台和单元的作战能力具有广阔的“纵深”。
(2)单兵、平台和单元在战场上将面临多方向、多对手威胁
单兵、平台、单元和体系之间,过去是独立的,各自按照事先明确的任务作战,双方对抗表现为孤军奋战。现在不同,有信息共享、通用结构和即插即用的一体化联合作战,单兵、平台和单元只是挂在作战体系上的一只只“蚂蚱”,战场网络上的一个个节点,可随时接入也可随时退出。对抗过程中,单兵、平台和作战单元面对的对手好像不是唯一的,自己被击倒的瞬间,可能还不知道这颗“子弹”来自何方。如果单兵、平台与体系对抗,再先进的平台、再优秀的战士,都将被体系“熔化”而无法取胜。
(3)基于目标打击序列的快速作战协同成为常态
单兵、平台、单元和体系之间的作战协同,由过去基于任务的协同变为现在的基于目标的协同,根据目标的威胁程度和价值排序,分布在战场上的所有单兵、平台、单元和体系联合采取行动,在第一时间摧毁最重要的目标。他们必须按照同一时序行动,统一授时、授时精度等问题破天荒地被提高到战略地位。作战协同的内容由战略、战役和战术向技术层面扩张,基于互通互联互操作的分布式作战,大大缩短了从发现到摧毁的时间,协同能力的差异成为决定作战胜负的关键因素之一。
(4)现实空间对抗与虚拟空间对抗同步展开
进入信息时代以来,军事体系对抗向虚拟空间拓展,网络空间成为重要战场,信息对抗已成为军事体系对抗的重要部分。 同时,以“舒特”系统为代表的“离线”网络攻击武器,以对方电子设备、雷达、通信或己方预置传感器等天线为入口,采取无线电接入、程序代码嵌入等方式,侵入对方计算机、通信系统和军事网络,实时窥测对方雷达屏幕信息,实施干扰和欺骗,完全控制对方雷达系统,甚至引导飞机、导弹进行物理摧毁,从而从根本上动摇了“物理隔绝的封闭网络不会受到外界攻击”的传统理念。
同时,网络战在“整体战争”中的作用与地位越来越发挥出其独特的优势。
(1)破坏指挥信息系统,影响指挥决策
随着军事网络化的发展,军队指挥信息系统建设方面有了很大的提升,满足了现代化作战的要求,但同时也带来了一定的风险。战时,指挥信息系统一旦被侵入并修改,将虚拟现实成果技术植入指挥控制信息系统中,将其战术佯动的假情报、假决策和假部署传输给我方,诱导我方判断失误。向指挥官和士兵发布假命令、假指示和假计划,屏蔽或欺骗我方情报系统,以改变作战意图,影响高层的智慧决策。一旦对方阴谋得逞,会干扰指挥机关的指挥控制行动,使其陷入处理各种复杂信息的事务性工作中,不能集中精力处理有关作战的重大问题,影响削弱指挥作战,使我方在战略战术上不能占据有利态势,甚至直接影响到整个战役的成败。
(2)渗透军事信息网络,获取军事情报
网络战大大拓宽了情报的获取方法和渠道,对方可通过破解程序密码,直接或间接进入军事信息网络或军用计算机,获取军事斗争决策、军事力量部署和装备性能参数等军事情报,对被攻击方造成极大损失。同时,由于可以对所窃取的信息进行加密来掩盖痕迹,被攻击方将无法及时察觉网络攻击行动。更有甚者,将永远无法获知对方窃取了哪些机密信息,造成的后果是无法想象的。
(3)侵入武器控制网络,削弱作战能力
近年来,随着武器装备的不断更新,武器的自动化程度越来越高,很多武器控制系统由计算机智能控制,如果对方侵入武器控制网络或通过控制带有“预设”后门的计算机、数字信号处理器和大规模集成电路的武器装备,使飞机、导弹、坦克和雷达等武器系统按照自己意图操作或因程序错误而发生自行爆炸、自我摧毁以及相互残杀等,达到摧毁武器平台、削弱作战能力的目的。
(4)瘫痪空防作战系统,降低作战效能
对方可利用空防作战系统的网络“后门”漏洞,将网络病毒或分布式拒绝服务等工具远程植入或无线注入空防作战系统,在关键时刻使病毒发作,侵害系统软件,使整个系统瘫痪。通过“破网”破击战场信息网络,瘫痪被攻击方指挥信息系统和信息基础设施,降低情报支援能力和战场信息情报感知能力,使被攻击方作战力量难以有效聚合,从而使整个空防体系要素分离、功能分散、结构坍塌,难以实施有效作战。