返回首页 | 网站地图 | ENGLISH

当前位置:首页 -> 业内报道

解读国内外网络战形势
转载时间:2010-04-19
  随着信息化的逐步深入,信息战包括网络战对当今的战争产生了很大的格局变化,受影响的不仅是战场上的军事对抗,政府和国家特殊部门的系统,还包括金融网、电力网、通信网及各种导航系统……,可以说已经渗透到每一个普通民众的相关生活。因此,网络战日益引起了众人的关注。当“网络战”与“核战争”同等重要,“制网权”、“ 制信息权”与“制海权”、“制空权”同属关注时,了解网络对抗的概念、相关技术以及它的发展动态有着现实的意义。
  网络战——已引起各国重视
   近期国际上关于网络战的信息不断传来,据中国计算机安全网6月26日消息,英国政府高级官员6月表示,国际网络犯罪分子通过工业间谍和信用卡欺诈等活动,令英国经济每年损失“数十亿英镑”。英国政府承认,它必须采取更多措施,以加强针对网络攻击的防御,这些官员同时公布相关计划。设立“网络安全行动中心”(Cyber Security Operations Centre),该行动中心隶属政府通信总部(GCHQ)——英国政府设立在切尔滕纳姆的电子监测中心。这个新机构是英国政府最新国家安全战略的核心,英国首相戈登·布朗(Gordon Brown)正式公布了这一战略。布朗还另外设立了一个网络安全办公室(Office of Cyber Security),由高级官员尼尔·汤普森(Neil Thompson)统筹政府政策,工作人员来自军情五处(MI5)、军情六处(MI6)和其他政府机构。此外,在英国也召开网络战的研讨会,探讨了一些威胁与策略。
   5月30日中国计算机安全网转载新京报的消息称,美国国防部长盖茨今年6月23日正式下令组建网络战司令部,以保障美军网络安全和开展网络战等“军事行动”。 根据盖茨签署的备忘录,美军战略司令部将负责组建一个指挥网络战的次级司令部,并在9月1日前向国防部提交相关实施计划,最初运行时间不得晚于10月。盖茨在备忘录中说,美国在各方面正越来越依赖网络空间,同时来自网络的威胁也越来越多,增加了美国国家安全所面临的风险。新的网络战司令部必须能够对美军在全球的行动进行整合,并能为美国的非军事部门和国际伙伴提供支持。
   曾任我国第一届全军信息化专家委员会主任的戴清民将军在其最近的著作《求道无形之境》中写到“美军非常重视网络战部队建设,在网络战理论和实践方面都走在了世界前列。1995年6月,美军16名第一代网络战士从美国防大学新设立的信息资源管理学院信息化战争学校毕业,他们将在战争中执行网络战任务。”
   另据中新社北京7月9日电,韩国国防部官员7月9日透露,将于明年1月1日成立“信息安全司令部”,以维护韩国的国家网络安全。根据韩联社的报道,国防部负责该项目的官员金宰民(音译,Kim Jae-min)称,信息安全司令部明年1月设立,预计明年7月能完全发挥作用。金宰民称,今年内将研究信息安全司令部的详细情况,一旦成立,将制定可操作的防卫计划。韩国原计划2012年成立信息安全司令部,现在计划提前是因为韩国近日连遭黑客袭击事件。据悉,韩国连续三天遭遇黑客攻击,导致多个国内网站瘫痪。此前连续两天,韩国和美国的主要机构网站遭遇分布式拒绝服务(DDoS)攻击,韩国的青瓦台、国会、国情院和国防部等国家机关,及金融界、媒体和防火墙企业网站遭遇黑客袭击。
  种种迹象都表明,网络安全已经被各国提升到非常重要的地位;作为未来战争形态之一的网络战也备受重视。作为一个全新的战争样式,网络战模糊了战与非战、军事战争和商战、个人违法活动和国家行为的界限。鉴于网络战的规模、影响力、震撼力、破坏力都很大,各国都在引起重视,如何避免战争、求得和平与发展,成为信息时代政治家、军事家和战略家们所关注的历史课题。
   网络战(塞博空间战)概念及其三大要素
   什么是网络战呢?中科院的许榕生研究员概括:首先网络战的概念是包含在信息战概念里的。“网络战”是指通过计算机网络,包括互联网在内进行的攻防。英文通常用Cyber-warfare(塞博空间战),其内涵更为宽阔,除了在网络上的软件、硬件对抗外,也包括网络信息内容的对抗;形式上涉及到各种电子设备、存储技术、移动通信、从有线到无线的网络空间的对抗等。
   总体来看,都是在信息基础设施上进行的一种对抗。专家指出网络在向全球开放之际,其基础设施是自由介入的,这样就造成了全球网络信息的交叉,这个交叉现在看来是不可能退回去了,它扎根到很多领域,这样就形成了客观的历史条件。
   《求道无形之境》这本书给我们归纳了信息战包括的三大主要要素:一是电子战,电子战已经有一百多年的历史,包括通信、雷达等都涉及到电子技术,它是比原子战争时代还要早,现在很多军事武器都离不开电子技术,它已经成为信息战的基础和核心支柱;二是网络战,今天通过计算机网络交流信息已经达到很深的程度,计算机网络时代带给信息战一个全新的领域,在这个领域里,计算机与网络既成为战争的新式工具,也成为战争的一个目标,它在现代战争的发展中最具有潜力;三是心理战,这是信息战的高级阶段,自有战争以来就有心理战的配合,由于网络信息时代的到来,心理战变得非常高级,因为可以通过信息的充分交流或者渗透,让对方或者己方的心理在战争中发生变化,我们常说“不战或少战而屈人之兵”,这是古代军事家的一句话。
  网络对抗的武器与手段
   目前可能用于进攻性信息战的武器和手段可谓繁多,比较明显的包括有:分布式拒绝服务攻击、计算机病毒、特洛伊木马、逻辑炸弹、恶性程序、网络漏洞、系统后门、“黑客”行为、“芯片陷阱”、微米/纳米机器人、芯片细菌、电波辐射、信息欺骗、密码破译分析、电子干扰机等网络战进攻手段;高能粒子定向武器、精确制导武器从物理上摧毁对方基础设施或进攻性武器的电脑网络系统等。
   可应用于防御性信息战的装备和手段主要包括:防病毒措施、漏洞检测、数据加密、网络安全设计、风险分析、监控与告警、环境安全、网络“防火墙”、信息基础设施防护、移动计算机安全技术、防电磁(屏蔽)、防窃听/窃录/窃照、数据库的安全技术、访问控制、审计跟踪、安全密钥管理、网络安全协议、辐射探测器、信息犯罪侦察与取证、反情报、反欺骗等。
   随着时间的发展,我们将看到更多的名目会出现在网络战下。
  网络战应用于现代战争中
   海湾战争让人们见识到网络战的威力。战争中,以美国为首的多国部队先于5个半月开始了情报战,战前23小时就开始对伊军实施战略通信干扰,战前5个小时开始对伊军和老百姓进行干扰,并在伊拉克和科威特散发了几千万份传单,实施心理战。开战后,美军使用精确作战武器对伊拉克的指挥控制、通信系统和发电厂等信息、能源设施发起了猛烈的火力打击。这种在战争发生之前就发动绝对优势的信息战,使战争早已胜利在握。在海湾战争中,据统计美军参战的大型武器,如飞机、坦克、军舰等累计数量不过万余件,但参战的各种计算机加起来达到了4万至5万台。
  2008年8月的俄格冲突中,俄罗斯创造了一个网络战的经典案例。在军事行动前,俄控制了格鲁吉亚的网络系统,使格鲁吉亚的交通、通讯、媒体和金融互联网服务瘫痪,从而为自己顺利展开军事行动打开了通道。
  网络战的三个等级
   专家的分析进一步指出网络战大体上分为三个等级:第一个等级是通过通信干扰、破坏甚至控制对方的电子系统。这种破坏通信系统的信息轰炸方式,美国在伊拉克战争初期采用过,包括对伊军用系统进行电子干扰并使用网络攻击破坏伊地面部队的通信。美军的EC-130H干扰机在干扰伊军通信网络的同时,向部分频段的通信网络散布假消息和指令,几乎“接管”了伊军地面部队。去年以色列战斗机在空袭叙利亚目标时,也使用了这种网络攻击技术,控制叙利亚雷达转向。第二个等级是通过发动小规模的互联网攻击。策应、支援常规的战争行动,或者进行警告。科索沃战争时期,大量南联盟黑客对美国重要网站发动进攻,就属于这种层次的网络进攻。第三个等级是全面的网络战争。目前的网络系统存在安全上的弱点,非常容易被敌方利用,从而攻入关键的系统,例如控制电厂、精炼厂、民用通信的网络以及金融机构和其他基础设施的控制网络。俄罗斯黑客对爱沙尼亚网络的大规模攻击就是这种网络战的雏形。而按照美国的信息技术水平,一旦对敌方实施战争级的网络进攻,可能使对方的社会生活将陷入混乱,计算机系统大量出现死机、城市断电,银行的交易无法进行,这一切都是潜在的威胁。
   网络战部队的特点
  网络战部队的特点一是分散在各类作战部队中。 因特网服务器结点的分散特性决定了信息战部队是分散在各个结点上,通过网络使他们构成一个整体。他们的主要任务是要经常向处于机动状态的指挥官提供战役或战术信息情报,通过这些情报使指挥官能洞察监控战场态势,形成战略,战役和战斗优势。二是主要装备是因特网服务器。要求陆、海、空等各军种实现信息共享,协同作战。美国由陆军负责人力因素,空军负责服务器,海军负责网络通道。三是军寓于民:凡是在信息领域从事信息工作的人都是信息战士。 信息技术的快速发展,各国都在提倡“军民协作”。尤其网络战软硬件的厂商都可能是来源于民间企业,军事部门充分利用他们的成果与产品以争取时间和节约人力。
   另外的一个重要特点是,网络战的部备级别是跟核武器的部备相当的。日前的有关报道称,美国原有两个网络战中心,一个负责保护五角大楼在美国本土和全球范围内的网络系统,应对每天数十万起试图攻入美军网络的攻击;另一个的主要职责是对敌人发动网络攻击。例如,快速侵入敌方电脑网络系统,瘫痪指挥网络和依靠电脑运行的武器系统。这两个网络战部队构成了美军网络防御与进攻的盾与矛。在以上基础上这两个部门合并逐步形成为网络战司令部。这一负责网络战的司令部在级别和重要程度上都与美军核武器部队相当。
  最高境界的战争艺术
   中孚泰和公司总经理孙强介绍说,“中孚恶意程序辅助监测系统V2.0”是一套包括网络监测和单机体检的综合检查分析系统,专门为职能检查机构及主管部门提供专业、高效、便携的木马检测评估手段,能够快速探测被检主机是否中了已知或未知木马。系统能够记录网络底层报文、监测网络信息流,发现可疑目标主机后,通过单机体检系统进行单机检查取证。中孚在深入研究了境内外敌对势力和情报机构窃密方式、特点和规律的基础上,增加了DNS数据包分析、域名实时监控、可疑文件扫描、木马特征码检测等行为分析功能,大大提高了计算机特种“木马”检测分析的有效性,形成实际检查能力。
   检查人员只需在被检查单位的网络上运行软件程序,即可完成对计算机是否感染已知高危木马和未知木马的一键式检测。系统通过静态和动态两个检测引擎搜集基础信息,利用木马特征库和评估模块进行基线安全点对比分析,并快速给出评估报告,更可利用“智能分析”模块动态跟踪分析已知或未知木马的入侵和窃密行为,通过嵌入式报表系统快速打印关注的检测项报告,检测结果一览无遗。通过计算机体检系统,对计算机的扫描和检测,能够查看计算机系统中的IE 状况,插件状况,服务状况,进程状况等等关系到计算机本身安全的实时信息。并且能通过体检系统删除恶意插件,修改注册表,终止可疑进程等等方式来解除危险,恢复系统的安全性。注册表扫描能够让用户非常方便的查看真实的注册表信息,而注册表关键位置比较则能最快速的将计算机中隐藏的注册表项提供给用户检查。单机体检系统根据现有的网络安全状况,添加了多项强劲功能,能做到全面、准确的检测与修复计算机安全问题。
   系统绿色无须安装,一键式的简洁操作,专门为职能检查机构及安全保密主管部门提供专业、高效、便携的木马检测评估手段,快速探测被检主机是否中了已知或未知木马。利用嵌入式智能分析引擎,通过基线评估算法,评估未知木马风险等级,动态跟踪木马在主机上进行的通信及文件窃密行为。
   相关技术之二:斩断流量的黑手
   2009年美国国土安全部发表报告称:2005年共有4095起针对美国政府和私营部门的网络攻击,这一数字2008年已增长至7.2万起。另外一组数据显示,视频网站Youtube在2007年的视频流量已经达到了2000年互联网的总流量。这两个数据表明,网络越来越容易受到攻击,同时网络流量也在迅猛发展。这对企业而言,需要花费更多的精力放在网络安全和流量方面。
  可是,企业该如何做到斩断网络流量的黑手,保护企业网络安全? 针对网络流量滥用的情况,很好地解决企业所遇到的上述问题,东软将创新成果转化为解决方案。
  谁在用网络?
   “互联网的应用面临‘倒一九’的局面,即10%的网络资源支撑着90%的利润来源,而剩余的90%资源却被网民、黑客滥用。”东软网络安全产品策划部部长王军民一语道破互联网的流量来源。他用数字举例说,DDoS在2006年的单次攻击峰值为2.5G bps,而2008年则为40G bps;Botnet在中国约有200万。黑客控制了这些僵尸主机,只需轻轻一点击鼠标,普通的网站便会骤然瘫痪。而BT应用、视频流量共占用55%的网络资源。
   王军民无不忧心地说,根据国家计算机网络应急技术处理协调中心的统计,去年,我国网络流量基于80端口的应用竟排在第一的位置,但我们很清楚的知道,基于80端口的流量肯定不仅仅是Web应用。BT客户端为了避免被封堵端口,完全可以把下载端口改为80,这是非常可怕的事情,如何判断流量的异常成为了主要技术问题。
   其实,如果企业能够有效的控制流量的内容,将维持企业正常运作的关键流量合理的保护起来,将与维持企业正常运作无关的流量控制起来,使其对关键业务流量不构成威胁,那么,相信企业就不必再因“无奈”的带宽扩容而花冤枉钱了。
   当前大多数企业都有自己的安全防护措施,但为什么传统的安全设备无法充分发挥作用?王军民分析说:“传统的安全设备只能局限于对某一点或一个小的范围来进行控制,这对于一个具有广域网络的大型企业来讲,已经成为了安全防护的瓶颈。如果解决带宽资源非法占用的安全问题必须全面考虑。”他提出以下4个方面的考虑:
   1)解决网络安全问题必须从一个“面”上进行整体分析从而有效的采取防御措施;2)对于所控制的流量,不仅局限于DDos流量,更要能够对应用层协议、未来可能出现的新的异常流量进行识别和阻断;3)在控制力度上,要做到精细化、智能化,当前常用的带宽控制设备所能执行的动作仅仅简单的做到了permit、deny,并不能结合企业实际的流量变化制定平滑的、实时调整的带宽控制策略;4)要考虑针对10G乃至上百G的流量的分析与控制策略,这么巨大的带宽资源,仅靠传统的部署与过滤是根本无法实现的。
   按照他分析的这种策略来看,只有能够准确的识别全网范围内的流量内容,才可以根据实际情况,采取必要的流量调整策略,从而确保主干链路及关键业务的正常运营。看来,识别业务、分清主次,是对企业流量管理的关键所在。
   控制全局流量
   那么,东软在这方面是如何做的,方案能否控制流量?王军民认为,要想做到有效的流量控制,需要从两个方面着手:具备对全网业务流量内容进行检测的能力;具备对可疑流量进行过滤的能力。东软针对流量控制的解决方案充分考虑到这两个方面。
   他指着全局流量控制方案示意图解释说,网络中的核心路由/交换设备可以通过flow、snmp等技术将流量信息发送至NTARS上来,NTARS负责对复杂的网络进行全面的流量分析,并根据业务流量情况,采取以下措施:将可识别的DDos类攻击直接送到黑洞路由器中丢弃掉;将可疑的、不可识别的流量分流给网络流量净化设备。
   据了解,NTARS给用户提供了一个开放式的流量分析平台,这个平台不仅可以与自有产品(网络流量净化系统NTPG)搭配使用,更可以与第三方产品灵活配合工作,例如,可以用思科的guard产品取代NTPG网关、可以将流量分析结果上报SOC平台等等。这也使得NTARS能够在保护用户已有投资的前提下,提升对全网流量控制力度。
   据王军民介绍:“除对全网流量监控以外,本方案还考虑到投资收益回报率(ROI)。举例来讲,对于IDC服务商来说,如果能够给每个托管用户提供其服务器的访问流量规律,将大大有利于托管用户了解服务器的载荷情况,并调整cluster以便承载更多的合法流量。这显然是能够带给运营商增值服务的商机。而对于大型企业而言,同样可以让不同的分支机构IT管理者了解自身网络的状况,这种虚拟化的流量管理也最大限度的节省了用户的投资。”
   两个关键技术
   王军民介绍说,NTARS能够有效的进行全局的流量分析与控制,源于东软的两个核心技术:ICA复合机制和自学习的动态基线调整技术。
  ICA复合机制是NTARS系统的技术灵魂。通过ICA的智能调度,NTARS系统能够依据一种机制的输出结果而动态调整其他机制的输入策略,从而在L2~L7各协议层之间、流量图示与网元状态之间进行灵活的检测作业分配,并自动完成异常事件检测与反向抑制指令之间的策略驱动。
   王军民认为,ICA复合技术的引入,不仅能够促进 “面—线-点”各层面之间分阶段逐级检测思路的实现,保持高带宽流量分析性能和应用级检测深度的高度统一,同时还提高了系统针对异常流量做出抑制响应动作的时效性和自动化程度,大幅度降低同类其他设备所必需的人工介入负担。
  另外一个核心技术是NTARS系统动态基线,是由东北大学、东软信息学院和NetEye网络安全实验室持续多年的联合研究成果,实现了多种网络流量趋势预测算法,能够通过对未知特征的网络流量进行一定周期的采样分析后,自动完成对该部分流量的图示建模和基线描述,并持续跟踪实际流量的变化曲率而对基线进行动态调整,从而保证了NTARS系统对于网络流量演变趋势的自学习能力,能够有效避免随机杂波的偶发干扰,显著提高系统检测命中率。
文章来源: 信息安全与通信保密

网上申请

查询专区

专题专栏