美国国防部如何防止黑客攻击(中国黑客有多厉害)

美国国防信息网络面临3项主要威胁

在此之前，美国一些信息安全研究人员已经对软件弱型、网络安全和对国防部信息网络的威胁进行了比较充分的调研，本报告将大量引用他们的研究成果。

2007年5月，马丁（Martin）与彻瑞斯特（Christey）共同编写了一份漏洞类型分布文件，这份文件是本项研究中软件弱型分类的基础（Christey，Martin，2007，1）。

赛门铁克公司在过去的13年里连续发布了年度或半年国际互联网络安全威胁报告。

ARCIC提供了赛博攻击和电子战条件下美国陆军的作战环境，其中定义了陆军作战挑战#7（ARCIC 2016）。

阿德里安?格雷厄姆（Adrian Graham）的书《通信、雷达与电子战》（Communications, Radar, and Electronic Warfare）是一本很好的书，图文并茂，适用于管理人员和作战人员（Graham，2011，23）。

这些研究成果是本报告的基础性材料。

（一）混合赛博威胁∶逻辑影响和物理影响

俄罗斯已经证实，他们研制了许多具有混合能力的电子战系统。2008年8月，在与格鲁吉亚为期 5天的冲突中，俄罗斯就展示了其电子战能力。与1994-1996年的冲突相比，这次为期5天的战争有更好的计划和组织；在这次冲突中，俄罗斯快速部署了20000人的部队进入南奥赛梯，发挥了网络战和外交进攻的优势。与之前的车臣冲突相比，俄罗斯的能力有所提高，但是在使用精确武器和电子战方面，依然不能与世界强国相匹敌。（Pallin和Westerlund，2009，401）。

2015年，英国广播公司的《监控前苏联》（2015年11月）的报道描述了这一地区用于对抗外国部队的反介入和区域拒止电子战系统。描述的一个系统是“Rychag-AV直升机，能够在数百千米之外致盲敌方的雷达”（Rossiyskaya Gazeta 2015）。另一份报告指出，“根据[大众媒体]SMI的消息，一年前一种称为Khibiny的系统引起了一场轰动，该系统关闭了位于黑海上的美国驱逐舰唐纳德库克号的雷达，然后要求全部舰员撤离军舰”（Segodnya 2015）。这些报告的依据是俄罗斯国家主办的媒体信息，其真实性有待进一步核实。反介入与区域拒止一般是弹道导弹和防空火炮的任务，然而，“赛博攻击将是反介入/区域拒止作战方式的组成部分”（Gordon和Matsumura，2013，18）。

最近，在对乌克兰的攻击期间，俄罗斯能够进行有效的电子战。国家公共电台（NPR）晨报对这次鱼叉式网络钓鱼攻击作了如下的报道：

攻击是熟练的——从其进展过程来看——攻击者以“诱惑文件”做诱饵。前沿研究人员贾森?莱维以一篇2015年1月15日的WORD文件为例。它是用乌克兰语写的，概述了俄罗斯-乌克兰边界的局势——很明显是由乌克兰边境警卫队写的。文件标有“禁止扩散”。

莱维认为，“这份文件来自乌克兰军方的计算机”。黑客窃取了这份文件，然后将它发送给了乌克兰其他的安全机构——在文件中隐藏了恶意软件。“所以，人们的想法会是这样的：‘奥，这是今天的新闻，打开看看吧。’”

这样，恶意软件就会感染其计算机，黑客就可以获取更多的保密信息：侦察营中乌克兰部队的数量、他们使用的设备和叛军首长的姓名等。这种鱼叉式网络钓鱼攻击与获取索尼公司图象的攻击是相同的。（Shahani 2015）

俄罗斯在乌克兰已经成功地使用了鱼叉式网络钓鱼攻击，实施了对乌克兰陆军的影响。另一篇文章解释到，乌克兰人需要在通讯极度不畅的环境中与俄罗斯作战；电子战、干扰和信息收集都是潜在的威胁。（Gould 2015，1）。俄罗斯的电子战能力会随着时间不断地增强和演变，会对北约军队的指挥与控制系统构成更大的威胁。

在近代历史上，反介入和区域拒止能力已经从蒺藜发展到了巡航导弹。最近的一项兰德研究指出，“这种情况在近期最著名的一次例子就是2006年在黎巴嫩南部的真主党。对于真主党来说，获得了来自伊朗和叙利亚的巨大支持，拥有远程火箭和反舰巡航导弹”（Gordon和Matsumura，2013，6）。当非国家行动者获得了这样先进的反介入和区域拒止武器后，就对在这一环境中进行作战的盟军军队构成巨大的威胁。当简单的GPS干扰就能破坏作战的时候，对抗这种威胁就变得更具有挑战性（Gordon和Matsumura，2013，5）。

（二）物理赛博威胁∶动能效果

破坏通信链路的方法都属于物理赛博威胁或者动能效果。这些威胁存在于物理世界，包括传统的动力学威胁和对电磁频谱的频率干扰。常规武器可用于从物理上摧毁通信基础设施。干扰利用定向能量以另一种方法破坏通信。

首先，激光干扰是一种新型的正在开发的进攻样式，它威胁物理的通信基础设施和对商业卫星的使用。《空天力量》（Air and Space Power）杂志的一份报道指出，“很多敌人都能够发射导弹、使用激光、进行干扰或者赛博攻击，可以以廉价方便的方式使得与美国政府之间的业务变得费用更高”（Lungerman，2014，104）。在这种情况下，在未来可能无法实现通过私有基础设施对卫星的访问请求。这将会把通信能力限制在政府专有卫星的有限带宽之内。

第二，另一种最新发展的动能武器是反卫星（ASAT）武器，可以摧毁通信基础设施。中国已经报道正在开发反卫星武器。2007年1月11日，中国成功地试验了撞击式反卫星武器，摧毁了一颗废弃的风云-1C气象卫星，这次试验很可能用到了机载光学跟踪仪，接近速度超过8千米/秒。（Forden，2007，19）。印度在2012年4月测试了阿格尼V（Agni V）导弹，加强了反卫星武器 的研制，用于构建“劝戒式威慑态势”（Pandit，2012）。改进的反卫星武器的发展会持续改变对通信基础设施的威胁性质，因此需要更完善的保护措施对抗这些先进的威胁。

第三，对通信网络的最古老最常用的威胁就是在所有电磁频谱内的无线电信号干扰。一组研究人员提供了军事干扰和干扰形式的简要历史。（mpitziopoulos等，2009，44）。研究人员解释到，干扰无线电信号是在第一次世界大战期间发现的，苏联和德国的在第二次世界大战期间应用了无线电信号干扰。他们还写到，第二次世界大战期间欺骗干扰的例子就是地面无线电操作员用敌方的语言向敌方飞行员发布错误指令。

研究人员将最常用的干扰分为 4类：选择性干扰以高功率干扰单一频率；扫频干扰以全功率在频率之间转换；阻塞干扰同时干扰一个频段；欺骗干扰在单一频率或者多个频率引入虚假数据。已经有许多方法可以克服来自干扰的威胁；这些方法包括采用低发射功率以避免被探测、采用高发送功率以克服噪声干扰、改变频率到无干扰的频道、在不同频率之间快速转换的跳频扩展频谱（FHSS）、使用伪噪声数字信号遮蔽传输信号的直接序列扩展频谱（DSSS）、将信号调制为大频谱上的极短脉冲的超宽带（UWB）技术、使用具有特定物理方向收缩无线电波传播的天线极化（mpitziopoulos等，2009，44）。像激光、导弹、无线电干扰和反卫星武器这样的动能威胁只是军事计划人员需要考虑的电子战影响的一小部分。

对于通信计划需要考虑的其他两种因素是无线电信号探测和网络拦截。敌方军队可以探测信号，分析信号的功率和频率，获得敌方军队的信息。发现了特定的频率、测量到了功率大小以后，就可以根据电台形式估算发射距离。 格雷厄姆（Graham）在他的关于电子战的书中解释到，“它强调了认知电子战（CEW）和电子战（EW）的基本规则；已知系统参数的数据库是最基本的”（Graham，2011，280）。保持一个关于无线电发射频率范围、正常功率作战输出和其它参数的数据库，对于理解作战区域收集的信号情报是至关重要的。探测系统的设计要覆盖宽的频率范围、能够快速扫描信号、提供信号分析，同时探测多重信号，一般可通过编程搜索预先选择的频道或者信号类型。（Graham，2011，283）。无线电信号的截获要更加复杂。 对于要进行分析的信号，不需要能够“识别它的调制方案，然后对信号进行解调，以便接收基带传输”（Graham，2011，284）。如果信号是加密的，还需要扩展代码，重建信号。格雷厄姆（Graham）解释到，“在这种情况下，信号的重编码必须发送到中央设施，例如美国的国家安全局（NSA）或者英国的政府通信司令部（GCHQ）”（Graham，2011，285）。

当通信系统、探测系统、雷达系统和监听系统在临近位置一起工作的时候，对于军事计划人员来说，天线位置变得日益重要。通过地形分析选择天线位置、仔细使用定向天线，可以改进系统操作、有助于信号情报收集、减小来自友军和盟军系统的噪声干扰。格雷厄姆（Graham）还解释了测向系统的复杂性，测向系统使用各种不同的技术确定无线电信号的位置；多普勒测向系统、沃森-瓦特测向系统和干涉仪测向系统使用不同的天线位置和信号分析方法定位敌人的信号传送。同样重要的是，方位测定信息可以实时提供，这样它才对指挥官有用，这意味着与测向系统的通信不能中断。（Graham，2011，299 - 314）。

GPS干扰变得日益重要，因为更多的系统依赖于方向信息。格雷厄姆（Graham）解释说，“GPS接收机以较小的信号工作，很容易受噪声、串扰和人为干扰的影响。试验已经表明，GPS容易受到白噪声、连续波、调幅、调频 和扫频干扰”（Graham，2011，328）。噪声信号的强度只要强于GPS信号，就能破坏GPS系统的正常工作。发射虚假的或者错误的GPS信号可以导致GPS接收机沿不同路径运动（Graham，2011，328）。

（三）逻辑赛博威胁∶计算机黑客

当考虑对计算机资源和基础设施的威胁和赛博攻击时，计算机黑客可能人们最先想到的变化最快的威胁。电子战威胁表现为多种形式，随着时间的进展也在不断的演化，所以电子战威胁越来越复杂、越来越先进。黑客可以看作是一种逻辑威胁，与传统的动能威胁以及存在于电磁频谱的无线电干扰威胁不同。

最早的著名的国际黑客事件是2007年由黑客对爱沙尼亚进行攻击事件。（Schmitt，2013，16）。在爱沙尼亚，政府决定将苏联从纳粹手中解放爱沙尼亚的纪念碑移到“塔林（Tallinn）一个不显著、不容易被人注意到的位置”（Herzog，2011，49）。青铜士兵雕塑是苏联压迫爱沙尼亚多数人的符号，但是对于从俄罗斯移民到爱沙尼亚的26%否认人口而言，“雕塑的重新定位标志着他们的群族的边缘化” （Herzog，2011，51）。赫尔措格（Herzog）进一步解释说，全国爆发了暴动，大量的拒绝服务攻击瘫痪了爱沙尼亚的计算机系统。这些事件以后，“2009年，北约卓越合作网络防御中心和位于爱沙尼亚塔林的国际军事组织”邀请专家，起草了第一份管理网络战法律的手册，名为《适用于网络战的国际法塔林手册》（Schmitt，2013，16），下称塔林手册。

塔林手册分7章95条，包括军队使用、进行攻击和中立等。

手册的第二部分包括国家责任和特别条款7，是对国家发起的黑客行动的法律漏洞；手册写到，“政府赛博基础设施发起的或来源于政府赛博基础设施的网络作战事实不是该国发起作战的充分证据，只能显示该国可能与该赛博作战有关”（Schmitt，2013，39）。手册还指出，为了隐瞒攻击初始位置的“电子欺骗”（spoofing）适用于这一准则，爱沙尼亚（2007）和格鲁吉亚（2008）的事件证明了这一点（Schmitt，2013，40）。手册提到了2008年发生在格鲁吉亚的类似事件，在这次事件中成功使用了拒绝服务攻击。

分布式拒绝服务（DDoS）攻击是一种以各种方法破坏计算机操作的赛博攻击。在格鲁吉亚，2008年7月19日和2008年8月8日，连续发生了拒绝服务攻击。这些攻击正好发生在俄罗斯部队进入南奥赛梯的时间，俄罗斯部队进入南奥赛梯是为了应对2008年8月7日格鲁吉亚开始的军事行动。当俄罗斯部队进入上述地区的时候，大多数格鲁吉亚政府网站被攻击。（Korns，2009，60）。

在进入上述区域之前破坏格鲁吉亚政府的通信和计算机系统，很明显是俄罗斯军方的作战预备行动，取得了预期的效果。格鲁吉亚政府无法进行通信，作者解释到，更重要的是，“没有事先获得美国政府的批准，格鲁吉亚将关键的官方国际互联网络资产配置到了美国、爱沙尼亚和波兰......这对研究赛博冲突的敏感的和被忽视的方面——网络中立思想——提供了机会”（Korns，2009，60）。因为格鲁吉亚政府能够从美国内部使用民间的IT公司进行“网络避难”，这会对美国的网络中立产生影响，尽管这些行动发生在民间组织，没有经过美国政府的批准。（Korns，2009，61）。

重要的是，俄罗斯没有声明对2008南奥赛梯战争期间的赛博攻击行动负责。（Bussing，2013，5）。政策制订者必须考虑对未来赛博冲突中发生在民间组织内的行动进行响应的可能性。必须开发赛博空间防御作战，以反抗和打败这些分布式拒绝服务攻击。

2012年8月15日发生了一次极大规模的黑客攻击事件，世界上最大的石油公司——沙特阿拉伯国的阿美石油公司（Aramco）的行政管理计算机网络遭到黑客攻击，计算机硬盘驱动器被删除。一个诈骗电子邮件被打开后，链接了一个有害的连接，黑客获得了系统的访问权，实施了攻击。“数小时内，35000台计算机被部分删除数据或者被完全摧毁”（Pagilery，2015，1）。位于硅谷的安全公司赛门铁克的研究人员对侵染石油公司计算机的沙蒙（Shamoon）病毒进行了分析，他们发现代码中含有单词“Shamoon”；病毒“被设计用于完成两个任务；用一副燃烧的美国国旗的图片取代硬盘驱动器上的数据，报告受感染的计算机的地址”（Perloth，2012a，1）。

发生在最近的其它主要的黑客攻击事件引起了基础设施的物理损坏。颇勒斯（Perloth）讲了另外一次事件，“纽约时报[2012年] 6月报道，美国和以色列对震网（Stuxnet）病毒负责，该计算机病毒在2010年摧毁了伊朗核设施中的离心机”（Perloth，2022a，2）。得克萨斯国际法杂志的作者德夫（Dev）对这次事件做了深入细致的描述，引用如下：

2010年6月，人们发现了震网（Stuxnet）病毒的存在，这是一种无线电恶意软件病毒，能够超越公共国际互联网络，该病图攻击了伊朗的最大核设施的编程计算机，引起伊朗核设施的大规模故障。这种蠕虫恶意软件是一种“复杂的计算机程序，以准自主的方式突破远程系统并获得对远程系统的控制”，它的目标是伊朗核设施中的计算机编程系统——最终完全改变被攻击系统的程序。病毒侵袭计算后，后潜伏数天或者数周，最后发出指令，使离心机加速或者减速，在超音速状态下开始自旋，最终自毁。一位研究了震网（Stuxnet）病毒的德国专家是这样描述的，“它是一种军用级的网络导弹，发射后用于全面摧毁伊朗的核计划。”一些国家行动者和非国家行动者，据说包括美国和以色列，只是轻点鼠标，就使伊朗纳坦兹（Natanz）核燃料浓缩工厂出现重大故障，有估算表明，2009年中期到2010年中期，震网（Stuxnet）蠕虫导致运行的离心机数量降低23%。（Dev，2015, 398）。

对伊朗核设施中物理设备的损坏的严重程度加强了人们对赛博攻击力量的认识，赛博攻击可以实现动能效应，达成战略目标。

在2012年9月发生的另一次黑客事件中，美国6家银行受到拒绝服务攻击，破坏了银行的网上银行服务（Perloth，2012b，1）。这次攻击据报道是来自伊朗，最后经过100多个国家的协作防御，击退了攻击，但是，有人认为，这样的防守态势过于软弱，不足以威慑未来对美国机构的赛博攻击。（Dev，2015, 394）。赛博攻击不可能仅限于伊朗与美国之间，北朝鲜也对美国进行过赛博攻击。

索尼图象公司（Sony Pictures）拍摄的电影《采访》（The Interview）包含刺杀朝鲜领导人金正恩的喜剧情节，此后，朝鲜被怀疑对索尼图象公司（Sony Pictures）进行了黑客攻击。（Pagilery，2014，1）。哈格德（Haggard）和林赛（Lindsay）对这一国家赛博攻击事件作了报道，事件的两个原因使得这一事件变得意义重大：

索尼公司黑客攻击事件是为数不多的情况，一个国家试图使用赛博空间明确地实现其目的。索尼公司黑客攻击事件之所以引起人们的关注，还在于美国政府进行了有力公开的反击，保护受攻击的民间公司。（Haggard和Lindsay，2015, 3）。

这一事件证明，联邦政府保护索尼公司获得了公众支持。美国联邦调查局也发布了公开声明，谴责北朝鲜在2014年11月进行的赛博攻击，国务院也公开说，“会采取一系列的应对手段...一些时能看到的，一些是看不到的”（Daugirdas和Mortenson，2015，420）。 后来的报告表明，北朝鲜的互联网由于拒绝服务攻击停止运行，官员简单地说，“可能发生了意外”（Daugirdas和Mortenson，2015，420）。

在武装冲突法律中，对这种对美国业务的侦探和对政府信息政府窃取还没有定义，因此，决策者必须利用总统行政命令12958中的指导规则，总统行政命令12958将偷窃信息的重要性分为5种，见表1（Bussing，2013，12）。

表1 总统行政命令12958

1. 1类攻击引起美国国防或者经济安全的损害或者不方便。

2. 2类攻击引起美国国防或者经济安全的破坏。

3. 3类攻击引起美国国防或者经济安全的严重损坏。

4. 4类攻击引起美国国防或者经济安全的重大损坏。

5. 5类攻击引起美国国防或者经济安全的关键损坏。

来源∶约瑟夫巴斯（Joseph Bussing），“网络战场的影响力度”

https://lumen.cgsccarl.com/login?url=http://search.proquest.com.lumen.cgsccarl.com/docview/1501475997?accountid=28992.12.

转自 信息与电子前沿

置顶中国指挥与控制学会公众号，精彩内容抢先看！

　　【主编】想了解哪些军事及学术知识？欢迎留言给我们

　　C2

　　如何加入学会

　　注册学会会员：

　　个人会员：

　　关注学会微信：中国指挥与控制学会（c2_china），点击下方的CICC会员-个人会员，进入会员系统，按要求填写申请表即可，如有问题，可阅读位于下方的“阅读学会章程”和“阅读入会须知”。通过学会审核后方可在线进行支付宝缴纳会费。

　　单位会员：

　　关注学会微信：中国指挥与控制学会（c2_china），点击下方的CICC会员-单位会员，进入会员系统，按要求填写申请表即可，通过学会审核后，请按照“阅读入会须知”里的付款信息进行会费缴纳。

　　学会近期活动

　　1. CICC企业会员交流会

　　会议时间：（具体时间详见后续通知）

　　长按下方学会二维码，关注学会微信

　　感谢关注