注册
登录
| 关键词: 系统 攻击 威慑 网络 美国 或者 黑客 国家 如果 但是 |
网络空间是存在反差的事物:他是一种空间,因而同其他存在控制权争夺的媒介如陆地和海洋相似。他同时又不和任何其他空间相似。我们必须认识到网络空间的独特特点。他是人工制造的产物2。只有了解到这个特点后,我们才可能利用我们对威慑、物理层面的战争、在其他媒介内进行的战争的了解来找出什么要素适用于网络空间,适用程度又是怎样。 一、网络空间的机制 网络空间是虚拟媒介,比起土地、水、空气甚至太空和无线电频谱来说,远不可触摸。一种从整体上了解网络空间,从特殊意义上了解网络攻击的方式是把其看作由三个部分组成,物理层、物理层之上的句法层、顶层的语义层。 所有的信息系统的基础都是由许多盒子和(有时是)线路组成的物理层3。移走物理层,系统也不存在了。当然可能通过武力机动的方式攻击信息系统,但是像这般进行物理攻击,就不需要做更多的细致工作了。你只要知道,只要摧毁了电脑的组成器件,电脑也不可能再受欺骗了(虽然可以通过巧妙的替换一个器件实施欺骗)。 句法层包括设计者和用户给机器的指令和机器之间赖以互动的协议——设备认证、分组框架、寻址、路由选择、文件格式编排、数据库操作等等。某些通信设施的句法层比其他设施的要厚,但是每个不止两台机器一条线的系统都必须有句法层。在这个层次,当人工操作者寻求拥有超越设计者和用户的权限时,黑客现象就易于产生了。 最顶层,即语义层,包含机器所包含的信息——这是电脑存在的首要原因。某些信息,如地址查阅表或者打印控制码服务于系统的操作。语义服务格式、句法服务目的。其他信息,如插入指令或者程序控制信息服务于电脑控制器。系统的其他信息直接服务于人,因为是用自然语言进行编码的。信息和指令之间的差异可能是不明显的。实际上,许多黑客欺诈信息伪装成指令内容混入真实指令。比如,含有病毒、产生缓冲区溢出,进而向程序流注入额外字节的超长地址、含有恶意代码的网页等的附着信息。有可能仅仅通过向语义层注入错误信息来攻击电脑,就像在恒温器下面点燃一根火柴来给房间降温或者搞一个虚假新闻来源。可是,大部分情况下,只有那些指令在句法层(比如,用户机器被导向访问错误网站或者含有恶意代码的网站)被调整过的机器才能接受错误信息。 二、外部威胁 可以利用黑客从外部向网络发起网络攻击,也可以利用代理人或者流氓组件在内部发起网络攻击。外部黑客攻击是我们所讨论的典型途径,目前,这是一个国家将会采取的最常见的方式,特别是针对民用目标时。然而,军事部门和情报部门不能完全不管内部的攻击,内部攻击是文章后继部分的主题。 回到句法层这一黑客行为的多发区,网络空间受到官方的限制。电脑用户在正常情况下可以做他想做的任何事情。大多数情况下,用户应该会希望保持对电脑的全面控制,即便当电脑通过网络暴露在其他人面前时。企业级设置内的电脑易于更多地在系统管理员控制之下,一部分这类系统对仅仅是用户的人来说是关闭的。 对电脑实施黑客攻击就是违反这类权限。黑客可能会给用户发送恶意邮件,或者引诱用户访问恶意网站,从而无意中下载恶意代码5。某些类型的代码会从中了招的机器中窃取信息6。某些类型的代码允许黑客发送后续指令给电脑,因而“拥有”电脑(至少在这个目的上)。 黑客通过连接企业系统,伪装成和其他用户一样拥有权力和特权的合法用户,也能设法进入。在某些情况下,黑客得寸进尺,欺骗系统让其认为黑客具备管理员特权。拥有管理员特权后,黑客能随意改变几乎是系统的任何事情,这些事情多是其他用户享有的特权。一旦黑客渗入系统,攫取了足够的权限后,他们就能够进而大肆破坏了。 黑客最常见的目标是窃取数据。当某些国家从另外的国家窃据数据,就叫做“电脑网络刺探(CNE)。”企业也可能从其他企业窃取数据(智力财富)。个人也更为频繁地从其他人处窃取数据,目的通常是盗用身份。每个人都可能从他人处窃取数据。因为窃取数据不会阻止用户自由地使用它们自己的系统(从经济上讲,信息是“非竞争性的”),所以可能很少显现他们正被利用的信号11。如果某个用户注意到意外出现有数据包向外渗漏的情况(但是对于中等用户来说,所有属于意外渗漏但是又完全合法的渗漏都会发生。),注意到反常活动或者反常活动模式,注意到恶意代码寄居在系统中,或者观察到具体的入侵产生的后果12,就可能察觉到黑客活动。 然而,未授权的进入可能导致更加恶性的后果:破坏和腐蚀。当系统中招,实施某些活动,让其自身停止运转、只能利用一小部分容量工作、出现明显的错误或者打断其他系统的活动,系统就被破坏了。黑客通过攻击代码,而能够摧毁物理器件的情况非常少,但是至少实验室结果表明,恶意代码可引起涡轮机走向自身毁灭。当数据和算法在未授权的情况下改动了,通常是损害了他们正确的功能,腐蚀现象就产生了。尽管还缺乏破坏和腐蚀之间差异的严格界定,但粗略而实用的辨析原则是:破坏的后果严重而明显,出现迅速,而腐蚀的后果是隐隐约约的,可能出现迟缓,或者反复出现。只说系统无法运行相对容易,而解释系统产生了错误信息或者做了错误决定则很难。 黑客的目的是实施后续的危害,他们通过向系统注入恶意电脑代码,以埋下祸害的种子,来加快目的的实现。被称作植入物的恶意代码通常保持静默,只能由目标电脑中的事件激发(比如,出现一种黑客可能感兴趣的信息类型)或者由黑客的指令激发。在某些情况下,植入物自动运行,寻找网络上尚未被植入代码的电脑,并在短期内进行植入。不论黑客窃取信息的目的是什么——破坏系统还是腐蚀系统——首先,也通常是最困难的一步实际上是渗透进入(也就是说,获取系统用户或者管理员的特权)。出于这个原因,电脑网络刺探的早期阶段和电脑网络攻击的阶段看起来一样。所以必然结果就是,那些渗透进入其他系统的能力最强的人,也很容易拥有实施电脑网络攻击的资格。 因为句法层基于物理层,所以人们能自信地宣称,网络空间不存在强力进入。如果某人从外部进入了系统,是因为此人促使系统做了用户并非真正想做的事情,做了系统设计者相信系统能拒绝做的事情。然而,在电脑的设计与使用模式(比如,用户直觉上认为电子邮件是信息,而不是指令)和软件代码的任意竞争中,软件代码总是胜利。任何进入系统的人都是通过软件允许的路径进入的。软件可能带有缺陷(大多数是无意留下的,但是有些可能是故意留下的),或者存在配置错误(比如,管理员建立的实际许可权限和其本来意图有差异),但是系统没有必要遵循设计时的原貌。 从安全角度来说,系统的这种分歧,就成为其脆弱性所在。不管黑客使用什么方法,人工的还是自动的,他们只要尝试利用系统脆弱性来获得进入系统的权限或者使系统接受恶意代码,就叫做“刺探。” 系统的完整性决定系统遭到网络攻击时的受损程度。有人甚至认为,系统的完整性相对于敌人利用系统的能力来说,是网络攻击是否成功的更重要的决定因素——毕竟,没有脆弱性,就没有刺探的可能。没有刺探的可能,就没有网络攻击。 因而,从理论上说,所有的电脑破坏最终都是因为系统所有者的错误造成的——要么是因为使用错误或者配置错误,要么就是因为首先在使用系统时,系统就存在缺陷。事实上,所有的电脑系统都容易受到错误的影响。设计与代码之间的分歧是软件系统的复杂性和潜在的人为错误所引起的。系统越复杂——系统确实正变得更加复杂——就可能隐藏越多的错误。每个信息系统都存在脆弱性——有些系统比其他系统严重。软件供应商本身发现了大量这些脆弱性的所在,他们定期颁布补丁,用户会安装这些补丁,有些补丁比起其他补丁来说,能更好更快地优化系统。黑客找到某些脆弱性所在,然后对无所察觉的用户进行相应的刺探,否则的话,用户所做的每件事都是正确的。事实上,数千记的刺探都是无作为的。许多更加狡猾的人需要目标系统的物理接口。大多数了解情况的人不会对补丁完善的系统下手。 在某种意义上,网络攻击依靠欺骗进行——诱使系统做出其设计者不想要其做的事情。幸运的是,欺骗是把双刃剑。一项刺探行为如果暴露,这等于告诉管理员出现异常情况。通过详细的记录,管理员可能能够找出黑客与系统的相互作用时产生的异常现象发生的地点。文件(数据或者指令)的变动或者意料外文件的出现也能反映情况。这个过程不可能是完美的。管理员有可能确认某个具体的脆弱性所在,但是却忽略了更大的设计错误,而具体的脆弱性所在只是设计错误中的一个例子。而且,个人系统的管理员几乎从不直接深入探查打包软件,也不能修补卖主本身未意识到的软件的脆弱性所在。然而,任何一个管理员都能够利用拥有共同兴趣的国际社团来减少明显的脆弱性。 在考虑网络空间时,辨别系统的外围部分可能是有帮助的。外围部分可能被认为包括用户的设备。是指那些由用户自己建立功能和参数的设备23。外围部分,如果没有“空隙”或者没有长期的加密保护,很容易存在多处的脆弱性,这主要是因为用户极少受过信息安全的训练或者极少关注信息安全。黑客通过破解密码、欺诈、诱骗、网站的恶意代码、不良媒介(比如移动硬盘)等等进入用户系统,使用用户特权。可悲的是,一般情况下,外围部分作为一个整体的安全状况和最懵懂的用户所能确保的安全状况差不多。反过来,核心问题是系统管理控制了什么——监视器、路由器、管理设备、机器(如武器)和数据库。系统管理员(应该)受过训练,对安全问题敏感。他们还设立专业术语,用户(和他们的系统)通过这些专业术语和系统核心进行互动。虽然,让用户们对安全问题敏感起来对大众来说挺好,但是对于工程师来说,最好假设用户不会永远保持敏感性。尽管有可能保护系统核心免受不保险的用户的干扰,但是当有足够多的用户系统陷入相当程度的错乱,即便系统管理员具备网络管理的功能,网络是否能够运行这一点不是很清楚。大体上,系统核心很难两次遭到相同而准确的方式的干扰而陷入混乱,但是外围部分总是处于危险之中。 三、内部威胁 国家具备两种进入系统的方法。实际,也是唯一的两种进入确实封闭的系统的方法。一种是收买内部人员,辅以各种程度的帮助之后,就能够对系统造成危害(特别如果收买的是系统管理员本身)。另外一种是在设备供应链上作手脚,给目标系统安插看起来是良性但是却包含代码的组件,这些组件能够对国家的指令作出反应或至少优先作出反应。不像许多电脑黑客技术都在网站上披露了或者出版了,收买内部人员和安插组件的做法基本上是国家情报部门的本行,因此高度保密。不知道他们的效率怎么样。 (一)内部人员 不像操作一个与存在黑客的世界相连的系统,从内部进行操作来危害系统似乎有违明显的信任机制。鉴于内部人员的潜在威胁,具备这种能力的系统操作员必须经过复杂得多的安全程序的审核来达到规定的安全级别。 内部人员的威胁常常是电脑安全的主要敌人,而不仅仅限于银行业26。大多数管理完善的系统对于恶意员工来说,很难遭到巨大的破坏,在某些情况下,员工能接触到的资源是有限的(即使某个单个项目是可以获得的)。作为一般原则来讲,恶意员工带来的危险和那些处在开放系统外围部分的懵懂用户带来的危险是相似的。恶意系统管理员是一个更加令人头痛的角色,但是银行长期以来就有所防备。收买内部人员能够造成预计之外的破坏效果,但是没那么容易造成国家范围内的影响。这种攻击不可能像电脑网络刺探一样随意复制(除非是作为黑客发起攻击的接应点,或者是用来在流氓软件失效时,予以启动)。揭发一个叛徒引发的调查能够揭露整个收买内部人员的网络。 (二)供应链 成功利用器件的着名例子包括:第一,英国捐赠密码机给其他国家,而这些国家可能没有意识到英国能够破解密码,从而通过这些机器获取信息。第二,使装入前苏联天然气网络系统(黑市)的控制器运行出现故障,导致灾难性的管道爆炸。有人怀疑瑞士公司出售的一些加密设备含有美国国家安全局支持开设的后门。许多国防界人士担心中国在元器件生产市场日益增长的份额会给中国提供很多机会进行破坏——中国可能会大胆作为。 除非或者直到购买者掌握所有他们购买的电子元器件的代码,供应链的攻击很难防御。这些元器件会失灵,可能会在既定的时间瘫痪系统或者对某些系统情况作出反应。但是,如果安装在真正物理隔绝的系统,流氓元器件的作用就有限了。他们不能对信号作出反应,除非系统能够接受到外界的信息,他们不能泄露信息,除非系统能够制造信息。元器件攻击是一种运动行为。发现中国玩具上的油漆含有铅污染,这让中国大为震动——这只是产品的不洁。想想一个蓄意腐蚀过的元器件会对中国的名誉产生多大的危害,更不用说那个无耻的供应商的荣誉了。发现一个问题就会刺激供应商对遭到怀疑的资源进行必要的回收。 (三)小结 不管是情报部门还是腐蚀过的元器件都没有违反我们之前所讨论过的基本原则。两者都是欺骗的形式之一,两者都是那种一旦成功实施欺骗之后,第二次就不再容易得逞的方式。然而,相反的是,理论上假设一个系统不可能被相同的方式愚弄两次,激发元器件和间谍的高昂代价表明任何一种恶意手段都可以重现——但是就算是一个狡猾的攻击者想要重复上次的胜利时,也会遇到严重的阻碍。 四、定义网络攻击 背景如题,为了便于讨论,这里的网络攻击指一个国家蓄意破坏或者腐蚀另外一个国家的利益系统。前一个国家将被认为是攻击者,后一个国家将被看作是目标。在某些条件下,目标也可能变为报复者。遭到攻击的系统将被看作是目标系统。附录A主要讨论网络攻击是否是战争活动的组成部分。 注意这一定义的一个重要分支:电脑网络刺探(间谍)不是攻击(破坏和腐蚀是攻击)。再注意两个假设:攻击者是一个国家,目标是另外一个国家的利益系统。为什么作这样的界定? 电脑网络刺探应该与网络攻击区分开来。首先,电脑网络刺探不剥夺用户对于机器的完整使用权。用户除了泄密之外没有其他重大有害后果。第二,因为电脑网络刺探非常难以探测,所以威慑政策启动时只能针对例外情况。那些犯罪极少被探测到,针对犯罪的严酷惩罚措施作为法律执行机制易于失去信誉,如果这些手段用来试图控制其他国家的活动的话,那就更加是这样了。第三,战争法极少把间谍活动视为战争理由,也没有出现改变这种看法的经典案例,甚至间谍活动的方式也已改变。第四,各国都采取了这等做法。那些企图建立威慑政策来阻止别国来做相同的事情的国家自己就必然证明自己是愚蠢的或者是伪君子——除非他们足够强大,可以为所欲为。即使是美国,是否有那样强大也是值得怀疑的。针对电脑网络刺探的威慑姿态会被认为是伪君子做法,可能不那么让人信服——事实上,就是不让人信服。照这种说法,电脑网络刺探通常被作为是“攻击”。而且,如果攻击的定义是这样,那遭遇大规模的间谍试探活动(比如,一波连接测试)的国家如果认为这种测试是大规模攻击的准备活动,看起来也完全合理。渗入敌国系统的恶意代码是用来窃取信息还是用来破坏系统或者腐蚀系统可能无法区分。激进的防御者在对敌方窃取信息的企图作出反应的时候,可能会以为敌方的真正企图是进行破坏,反应措施就可能是反击。 谈论对等威慑要求将我们的讨论限于国家层面之间。只要能够给攻击方的高价值信息系统带来危险,报复对等就成为可能。实际上,任何拥有电话系统特别是移动电话系统的国家都面临危险,任何从某公司购买了设备并投入使用程度国家都可能购买了复杂的信息系统来运行这些设备。但是不同国家对信息系统的依赖程度大为不同,因而其信息系统遭到的破坏对国家可能的危害程度也不同。将威慑的讨论领域从国家层面扩展到网络发达又存在系统风险的公司(或者类似企业)是可以的,但是公司极少被归入黑客的行列,他们的财产大多数也总是处于政府法律的保护之下。因此,把公司纳入讨论范围分析不出任何东西。虽然资金充足的团体(比如十五年前的奥姆真理教)可以像多数国家一样发动网络袭击,但是他们同时也极少拥有面临风险的系统。比如,暴力的伊斯兰原教旨主义者喜欢浏览已建立的网络,或者依靠朋友的帮助来获取信息。除非这些团体谋求某种准独立的地位,国家才会不得不发起犯罪起诉(或者执行非法律的等价措施)。 很明显,对等报复不可能阻止自己不具备信息系统的攻击者的行为(比如,想要抹除攻击者的银行账户的报复性攻击可能会遭到劝阻,但是对于可能是无辜的第三方银行来说,后果更加严重)。但是,这并不意味着由个人或者非政府人员发起的网络攻击无法通过其他方式制止,这些方式可能需要网络法医(来确立有罪性)或者其他通过网络而整合的智力资源。然而,我们选择不把使用网络空间来支持其他形式的威慑定义为对等威慑。 最后一条标准,目标系统对于国家来说是有价值的。这条标准不言而喻,但是也产生了一个疑问。一个国家能够合法地以报复相威胁来攻击国外的信息系统吗?第一个简短的答案是一句反问:为什么不可以?可以想象,针对信用卡公司的信息系统的攻击能在之后相当长一段时期内瘫痪所有相关的交易业务。这难道不应该比关键的电脑位于加拿大而不是美国重要吗?事实上,除了服务器所有者之外,谁真正知道相关的服务器在哪里啊?不过,第二个简短的答案是,不要跨度太大。先不论一个国家是否应该对针对私人系统的攻击实施报复,让受到黑客攻击的系统的所有者显示足够的技术信息来找出发生了什么,攻击者是谁,存在实际困难。如果遭到攻击的系统位于国境之外,想要实施报复的国家很可能会发现深度进入这些系统更加难。这些困难并非无法克服,但是如果我们忽略这些案例,那么下面的讨论就没什么意义。 五、定义网络威慑 我们选择将网络威慑定义成对等威慑来试验美国的主张,就像卡特赖特将军所提出的,美国需要发展针对别国而别国也可能针锋相对的网络空间力量。要拥有这种能力,必须要假设有充分的时间基础 在此时间内,没有其他更加暴力和更加吸引眼球的东西出现。否则的话,为什么要让次要的事物来困扰我们?不奇怪的是,正在思考或者发展网络攻击能力的群体相对于由常规反应能力武装起来的群体来说,在网络威慑上的利益更大。出于我们的目的,对等报复的假设引发了几乎所有的争端 有的认为各种更加暴力的报复将会出现,有的认为不然。 有些人相信报复应该得到控制来避免事态的升级,实体部队的使用代表着对等报复越过了网络攻击的范畴,他们可能会发现对等报复比更加暴力的升级报复是更有吸引力的,因为前者所引发的问题的比例小一些。相反,对等报复可能会成为合法的战争形式,这不是因为美国而立法,在任何情况下,美国的传统力量都十分强大。对比起来,美国面对此类攻击至少也是和其他国家一样十分脆弱,而且美国比起当前的竞争对手和次要威胁(如伊朗)来说更为依赖信息系统。 同样的,网络威慑的这一定义不包括这些次要的方式如控诉黑客本身或者使用外交、经济手段,虽然第五章有触及这些次要的方式。这不是说这种方式的威胁不能挫败敌方在网络空间内的挑衅行为——他们可能实际上是运用智慧的更好途径。然而,如果某些不那么具有进攻性的方式就已足够,为何还要纠结于网络威慑?再说,扩大网络威慑定义的范畴对于解决这里讨论的许多问题来说没有必要。同样,出于讨论的目的,这里的定义不牵涉基于其他类型的攻击的反应。图2.1描述了4种类型的反应,排列方式大致按照冲突等级(尽管不一定会产生那般重要的后果)。 威慑的目标是界定开始敌意行动和执行进一步敌意行动的区别。目标威胁要惩罚恶意行为,但是如果没有恶意行为或者至少没有什么行动触及门槛的话,但又隐隐承诺控制进行惩罚。至少,需要有能力区分行为性质的好坏。错误的积极行为和错误的消极行为都对这一政策不利,前者更为糟糕。不恰当的惩罚缺乏法律依据:如果有嫌疑的攻击者是无辜的,那么报复者可能制造了一个新的敌人。如果有嫌疑的攻击者由于其他恶意行为应该得到惩罚,那他做好事的动机可能被削弱。如果惩罚不分无辜和犯罪,为什么不干脆犯罪?无法实施惩罚削弱了威慑的价值,但是不一定会消除威慑的价值。很多情况还是取决于被抓的可能性和后果。即使被抓的几率小于100%,人们实施犯罪的动机也遭到了制约——如果他们发现被抓的后果比犯罪所得要大大地得不偿失的话。在某种程度上,如果被抓的几率很低,潜在的报复者能够通过保持惩罚的高严厉性来保持罪犯被抓后付出代价的高昂。这是事实,然而,罕见而严厉的惩罚易于被人们看做是比例不当,从而也没有那么强的法律依据。如果某人处在级别相同的系统中时,过大的反应可能会被解释成升级了的挑衅行为。 威慑也要求敌方能够辨别是否在接受惩罚。在大多数领域,这不是个问题——但是不是在网络空间。如下文进一步将要讨论的,报复者和攻击者双方都未必能预计报复的后果,甚至也未必能完全确认以前发生的报复所产生的后果。如果潜在的报复者怀疑其计划好的报复是否能够达到理想效果,假装没有攻击发生(在某些领域可能性相当大)比把攻击看得很重,发动报复机器,完全或基本隐蔽报复企图要更为明智。 威慑一般来讲有许多形式。有些形式的威慑是一次性的,而其他的得重复使用。一些是非对称的,一些是对称的(在同级的对手之间)。 核威慑是一次性的和对称的。之所以是一次性的是因为要点在于核战的前景十分恐怖,以至于无人敢于挑衅。如果核报复接踵而来,报复和反报复实施过后,威慑条件下(原来的)的情况以至于战略环境都可能产生剧变。一方或者双方可能已被消灭,失去自由行动能力或者无力再次行动。威慑的性质也会第二次变得不同。对于重量级的传统威慑来说也基本适用:如果报复得以使用,也很可能在实施过后导致大规模战争,本国或者敌国也可能会灭亡。 犯罪威慑是可重复的也是对称的。之所以必须是可重复的,是因为某些参加第一次犯罪的罪犯第二次再度参与。同时,来自罪犯的反报复的前景在美国和发达国家一般情况下不是一个严峻的问题。警察和司法系统的其他官员极少面临个人危险,主要归功于他们所依照的法律、他们潜在的集中力量的能力,以及法律制约罪犯的力量。但以下的例子除外,比如美洲毒品泛滥的其他国家、伊拉克由叛乱武装正式占领的地盘。这些地区的社会明显处于麻烦之中。那里司法体系已经无法运转,丛林法则大行其道。 网络威慑必须是可重复的,因为没有哪套可行的网络报复行动可以消灭有敌意的国家,可以打倒敌国政府,或者是解除敌国的武装。因而,国家能够攻击、承受报复,生存下来准备来日的攻击。但是网络威慑是对称的,因为他发生在同等条件下。因此,目标国家(潜在的报复者)并不比攻击者占有更高的道德基点。如果事态持续发展,也没有理由相信目标国家能够在与攻击者的冲突中保持常胜。因而,报复者经常不得不考虑到反报复(就像核冲突中的情形一样),从而自动修正其威慑政策。 网络威慑在可重复和对称的同时,并非是独一无二的。属于此类威慑的典型特点是争端国家(或者争端部族)相互影响对方。双方都要保护自己免受对方的劫掠,双方都希望维护尊严,不受藐视。在这种情势下的威慑不能完全确保和平。在无政府的体制中,暴力是会传染的。回想起来,没有比战斗更重大的问题。 鉴于美国的常规军事力量,美国正享受着让其成为世界头号大国的优势,他可以为所欲为,而不必担心别国会如何反应。这种情况不会出现在网络空间中。美国可能拥有超常的进攻能力——已经在这些能力上进行了大量投资——国家的编码天才不比任何其他国家的差——美国仍然是明显的软件净出口国。但是美国依然十分脆弱。美国社会,特别是军队(偏好网络中心战)严重依靠系统。至少相比那些不怎么发达的国家或者不怎么民主的国家来说,这些由私人或者公家运营的系统更加易于进入。在美国许多机构中,安全政策也很少能够统一。这可能会让社会整体更加健康,但也能给犯罪带来更多的机会,产生能够被不同组织利用的安全缝隙。更重要的是,最本质的原因是因为在常规冲突中处于劣势的国家感到被迫要强调网络攻击,以此作为追回丢分的战术。因而,如果报复引起反报复,美国由于其传统军事优势,在网络方面所承受的打击将比敌国多。 网络威慑,从其自身来讲,是美国可以选择的一种政策。记住我们的目标是:将网络攻击的风险和损失减至可以接受的水平。如果网络防御能够满足这种需求,为什么还要冒额外的风险来威胁要进行对抗,以此保护系统?不幸的是,信息安全的成本是十分昂贵的。美国信息安全组织的花费动不动就是以数百亿美元计——然而,安全缺口却日渐增加。这就是为什么在已花费的数十亿美元基础上,联邦政府在2009财年再度花费73亿美元来保护政府的电脑。基于现今网络空间的水平形成的攻防曲线表明,攻击的效费比更好。也就是说,花费在防御上的钱要求比花费在攻击上的钱要多得多,才能恢复初始阶段的安全态势。具体可见图2.2(在这一点上,要特别注意实线左手稍低的一边。)为什么进攻在现实阶段成本很低的部分原因是因为独立黑客很少面临个人危险。这将刺激他们推动政府继续运行,或者如果他们的政府觉得成本太高,就会把他们的成果私有化(但是还不至于逮捕黑客)。 图2.2 攻击的成本——效果曲线会在高强度的水平上降低吗? 网络威慑的吸引力在于,如果奏效,就能减少保卫系统的成本。不再被迫投入巨资来使系统变得更加安全,保卫者通过威胁要针对得逞的攻击进行报复来制止攻击者的图谋(或者,如果保卫者足够自信能够驳倒持强烈进攻意图的人)。如果在面临惩罚的条件下,如果攻击者能被劝服而减少攻击活动,那么防御者就能节省本来要用于防御的经费,又能满足相同水平的安全需要。 即使是成功的网络威慑政策节省的经费也不该被夸大。电脑安全的主要部分还是必须予以解决来应对恶意黑客和源自非政府的威胁。不存在国家能够发现,而黑客不能够发现和利用的脆弱处。因而,即使所有国家都已掣肘,也没有什么针对黑客行为的防御措施会被摒弃。而且,网络威慑的效益不仅仅是可信性就能够一言蔽之的。即使某个攻击者相信,被抓之后可能会有严重后果,他可能不会相信他会被捉住。即使被捉住,他也能绞尽脑汁在下次躲藏得更好一些。最后,那些提倡扩展网络防御的人一般也提倡扩大网络威慑。政治上的讨论可不是“要么这样要么那样”的命题。真正的差异是存在于那些对威胁更为警惕和不那么警惕的人之间。如果美国开始向网络威慑投入重要资源,就可以假定政府向网络防御投入的资源也在增加。 另外一个怀疑网络威慑政策是否能够显着减少美国今天在防御上的花费的原因是,美国还未遭到攻击——或者至少没有遭到严重而又成功的攻击——由其他国家在网络空间内发起。因而,美国可能已经从隐约的威慑姿态获利,警告了其他怀有强烈敌意的国家。这并不是说国家黑客放过了美国的系统。毫无疑问,他们已经深入美国的系统,如果仅仅是窃取信息(人所共知),那就不可能在任何合理的威慑政策下有所异动。虽然严重的攻击没有发生,但攻击发生的可能性还是存在的,这使得美国威胁在网络空间内进行报复对减少当今遭到的攻击无所裨益。对于威慑,举个最好的例子,是假设潜在敌国已经准备好了网络攻击。他们在此事上的进展非常大,系统性也比我们迄今所见到的活动更加好。这将意味着当前攻击数量不多与害怕遭到报复无关,更多的是与其他国家缺乏足够的能力来形成足够优良的素质或者创造足够紧迫的机遇有关——目前。面对未来强度更大的潜在威胁,我们该怎么办来保持足够的安全级别? 如果攻防曲线继续表明攻击是有利的,那么就有人会认为,要么网络攻击带来的潜在破坏是无法接受的,要么要花费在防御上的资源是无法承担的。因此,美国没有其他的办法,只有还击。有人继续认为,与其让事情到达这一步,美国应该清楚地向潜在的攻击者表明,他们将会遭到对等的反击。这将会影响他们今天的计算,那就是到底在这种能力上该投入多少资源。如果他们今天听得进别人的建议,那么太阳真是从西边出来了。 然而,攻防曲线(见图2.2的虚线)在到达高强度的水平时上升趋势会变得力竭而趋于平缓,这完全有可能。如果投入足够的资金和精力来保护关键的网络(比如,让外界无法改变配电网络的执行参数),即便是最顶尖的黑客也无法攻入这一系统。这种进步并非是不可能的。鉴于因事而开战会带来许多风险,而这些事情是能够通过投入更多精力而加以解决的,威慑的意义可能会被严重削弱。 但是没有人知道攻防曲线在到达比目前所见的强度要高得多的状态后,到底趋势会如何。 实际上,持威慑提倡论观点的人和持威慑怀疑论观点的人的区别主要不在于未来攻防曲线的发展趋势,更多是关于当前的毁坏程度。号称网络鹰派的人坚持认为目前遭受的损伤远远超过我们的所知。他们认为被黑客袭击过的组织不情愿透露他们曾经遭到过袭击,免得让自己看起来很无能。当他们真的被请进联邦调查局时,人人都保持沉默。敏感信息系统遭受的损失甚至可能比系统所有者知道的要多得多,因为大量的恶意代码可能还在潜伏,等待发动信号。仅仅在美国,平均每年大概就有超过价值1000亿美元的损失,这种现象很平常。 但是,有些东西是绝没有在网络空间中发生的。首先,针对大型组织进行的一项长期年度调查发现,损失金额近来才超过10亿美元。第二,与美国积极交战的敌国(因此,他们没有理由隐忍不发,而寻找更恰当的攻击时机)没有实施为人所知的网络攻击,比如1999年的塞尔维亚、2003年的伊拉克和至少从1998年开始针对美国的基地组织。第三,美国的配电网络还没有被中断。唯一的由电脑黑客攻击引起的一次电话服务中断发生在十年以前,受害者也不到1000人。但是所有一切仍然有待证实。 译自:兰德公司报告(MG877)第二章 作者:马丁?C?理贝基(Martin C. Libicki) 编译:知远/小川 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
