美國網絡空間攻擊與主動防護能力解析

我國是網絡大國，也是面臨網絡安全威脅最嚴重的國家之一。近年來，國內金融、能源、交通、教育等行業網絡成爲戰略對手攻擊和滲透的主要目標，利用網絡攻擊形成的信息竊取和破壞事件呈現增加趨勢。剛剛勝利閉幕的黨的十九大上，總書記「堅持整體國家安全觀」、「增強國家安全能力建設」等要求爲我國網絡空間安全發展指明瞭方向。爲維護我國網絡空間主權，保障網絡空間安全，實現網絡強國的戰略目標，必須高度重視網絡安全工做。

隨着網絡空間重要性的日益提高，世界各國紛紛大力建設兼具防護和威懾能力的網絡空間安全體系，組建網絡部隊，以求在網絡空間的較量中得到優點。在這方面，美國走在了世界前列。從政府主導的「美國國家網絡安全綜合綱領」和「愛因斯坦計劃」等大規模網絡安全倡議和項目，到一系列相關法案、政策、指南，再到「斯諾登事件」、「影子經紀人」及維基解密曝光的網絡空間進攻體系，反映出美國在網絡空間中強大的、體系化的監聽、攻擊、威懾和防護能力。這種網絡空間優點能力不只來源於政府的高度重視、持續大量的資金投入和美國的網絡技術優點，更離不開其藉助產業優點造成的深度軍民融合能力。

美國基礎信息產業、網絡安全產業、風險投資機構與政府機構關係圖

在戰略層面，2017年8月，特朗普總統將網絡司令部升級爲美軍第十個做戰司令部，這一舉措說明美國在不斷調整其國家信息安全戰略，逐步將網絡安全上升到國家安全戰略的重要位置，標誌着美軍的網絡戰向「成爲一種主流戰術級軍事能力」邁出了關鍵一步。在能力建設層面，美國的國家安全局（NSA）、中央情報局（CIA）等情報機構，發展出了強大的網絡信息採集和網絡攻擊能力，結合其傳統的信號情報（SIGINT）和人工情報（HUMINT）能力，使美國可以在網絡空間中繼續保持優點；同時，經過國防承包商承擔的工程與項目，充分利用安全廠商的技術能力，結合商業安全產品，構建複合的網絡安全防護體系。在產業層面，美國一方面經過審查、限制等方式驅離國外安全企業，導致安天等已經走出國門或者正在進軍海外的中國安全企業受困於供應鏈審查，而不得不退回原點；另外一方面，大力扶持以火眼（Fire Eye）爲表明的一批本國安全企業，經過政府機構、政府承包商、國防承包商和大廠商（包括大的IT寡頭和產業集團）的集中商業部署，使其得到迅速的規模成長並進一步轉化爲技術優點。同時，美國很是重視政府部門、軍隊與私人公司間的技術與業務合做，大量私人承包商參與到網絡空間相關項目中，斯諾登曾就任的博思艾倫（Booz Allen）就是其中之一。在技術層面，美國擁有全球領先的網絡空間技術能力，經過思科、IBM、微軟、谷歌、英特爾、高通、蘋果、甲骨文等「八大金剛」完整佈局並實際把持了操做系統、核心芯片、數據庫等關鍵IT環節，並經過新興互聯網巨頭們造成了對全球數據的有效聚合。

知己知彼，百戰不殆。網絡空間安全事關國家安全，網絡空間戰場上的較量是持續不斷的高烈度無底線較量。維護國家網絡空間安全，建設有效的網絡安全防禦體系，必須打破舊有以「物理隔離+好人假定+規定推演」構成的自我麻痹式的安全觀，以真實有效的敵情想定做爲基礎和前提。包括內網已經被滲透、供應鏈被上游控制、運營商網絡的關鍵路由節點被控制、物流倉儲被滲透劫持、關鍵人員和周邊人員被從互聯網進行定位摸底、內部人員中有敵特人員派駐或被髮展等。只有全面、深刻地瞭解對手的能力，尤爲是對手的進攻能力，才能在網絡空間安全建設中有的放矢，才能實現真正的「有效防禦」。在本系列專題中，咱們但願經過層次化地揭示美國在網絡空間信息獲取、進攻與防護能力，儘量清晰地展示美國在網絡空間安全領域的能力體系，爲我國網絡空間安全發展提供有益參考和借鑑。

1、美國具有網絡空間進攻性職能的國家安全機構

美國國防部（DoD）是美國做戰部門的最高領導機關，2006-2008年間，總統就曾容許DoD舉行大規模網絡做戰演習，發起網絡攻擊，奪取對方指揮控制權。做爲DoD的重要組成部分，NSA專門負責收集和分析國內外的信號情報，爲美國提供決策優點。NSA下屬的特定入侵行動辦公室（TAO）是NSA的一個重要職能部門，負責針對特定目標收集情報、潛入外國計算機和電信系統、破解密碼、竊取數據等，NSA稱這些行動爲計算機網絡利用（CNE），TAO對目標形成直接影響的其它行動，例如癱瘓服務、破壞文件等，則被稱爲計算機網絡攻擊（CNA）。NSA擁有完善的音頻、視頻、郵件等信號情報的收集、處理機制，而且針對CNE、CNA和網絡防護（CND）等多種任務創建了穩定、完備的基礎設施。

CIA是美國惟一一個獨立的情報機構，也是美國最重要的情報機構之一。CIA的傳統任務包括人工情報、全源情報分析和祕密任務。2015年，CIA進行了重大重組，增設了數字創新處（DDI），專門負責爲傳統的人工情報開發數字裝備和手段，使得CIA可以更好地爲國家決策者的戰略評估提供情報支撐。

2、多樣的監聽手段獲取全球信息

美國經過在產業、技術上的優點，逐步實現了對全球網絡空間的全面佈局並具有了事實上的控制能力。斯諾登事件相關文件代表，美國具備多種情報收集方式，包括爲NSA提供數據的30多個國家的合做夥伴、在全球範圍內的計算機上植入惡意軟件以及與大型IT企業合做等。

2004年，美國政府啓動「星風」（STELLAR WIND）計劃，進行大規模的情報蒐集、監聽，後因法律等問題，將「星風」拆分爲「棱鏡」、「主幹道」、「碼頭」、「核子」等項目，由NSA接管。谷歌、微軟、臉譜、雅虎等IT企業均與「棱鏡」項目有關聯。「拱形計劃」（CamberDADA）是在斯諾登披露的一份絕密文件中提到的，NSA對俄羅斯網絡安全廠商卡巴斯基進行監聽，經過監聽樣本上報渠道，從中分析安全廠商是否已發現、掌握其網絡攻擊武器。該計劃後續目標包括安天等22家全球重點網絡安全廠商。

3、全平臺、全功能的網絡攻擊裝備體系

在「全面拒止威懾」的積極防護思想引導下，NSA、CIA極爲重視網絡攻擊裝備的研發。「震網」、「毒曲」、「火焰」、「方程式」等事件均被認爲與美國有關。

從斯諾登和「影子經紀人」泄露的資料看，NSA具備強大的網絡攻擊裝備和豐富化的漏洞儲備，今年5月席捲全球的「魔窟」（WannaCry）勒索軟件事件就是由NSA的裝備庫泄露直接致使。

今年3月起，維基解密陸續曝光了包含大量CIA網絡攻擊裝備資料的「7號保險庫」（Vault 7），功能涵蓋了突破物理隔離、信息竊取、持久化能力、隱蔽信息傳輸、邊信道傳輸、直接漏洞利用等衆多方面，同時體現了強大的多平臺能力。其中，部分裝備被安全廠商與以往發生的40多起網絡安全事件關聯。

實現網絡強國的戰略目標離不開深度的網信軍民融合，正是由於對手的強大，我國的網信軍民融合才肩負着更重要的使命。以多領域民間領先技術和優秀產品爲軍隊提供支撐，以軍隊的資源、體系和能力優點支持民間抵禦來自國家行爲體和非國家行爲體的威脅，各盡其能，共同構建我國軍民融合的網絡空間安全能力體系。

*本文來源：網信軍民融合，做者：安天研究員