3．網絡空間威脅和脆弱性

行動案例

恐怖分子在2001年9月11日對美國實施了攻擊，這對我們的國家有著深遠的影響。整個聯邦政府和社會被迫重新檢討對國土安全的認識，很多人第一次意識到我們國家的敵人將造成的破壞可能達到什么樣的程度。

我們必須進一步認識到有很多敵人試圖破壞我們的生活方式，他們準備攻擊我們的本土，并傾向于使用非正規方法實施攻擊。“9·11”的攻擊是現實的物理性攻擊，而我們在網絡王國中也同樣面臨著日漸增加的來自敵人的威脅。

完全依賴于網絡空間的國家

對于美國來說，信息技術革命正悄悄地改變著商業和政府的運作方式。在沒有充分考慮安全性的情況下，國家將制造業、公共事業、銀行和通信的核心操作交給計算機網絡控制，這使得交易成本得到了降低而生產力急速提升。人們越發使用聯網系統的趨勢還在繼續，到了2003年，我們的經濟和國家安全已經完全依賴于信息技術和信息基礎設施。由多個網絡互聯構成的大規模網絡直接支撐著我們的所有經濟部門的運作，包括能源（電力、石油、天然氣）、運輸（鐵路、航空、船運）、金融和銀行、信息與通信、公共健康、應急服務、供水、化學品、國防工業基礎、食品、農業、郵政和海運。計算機網絡的觸角超越了網絡空間的范圍，它們還控制著像變壓器、火車、輸油管、油泵和雷達等物理設備。

網絡空間中的威脅

一些惡意人員能夠對我們的關鍵信息基礎設施實施攻擊，最受關注的是有組織的網絡攻擊能夠破壞國家關鍵基礎設施、經濟建設并危害國家安全。實施這種攻擊要求具有高超的技術，這從一定程度上解釋了為什么到目前為止還很少出現這種攻擊。但是我們不能太過樂觀，當前已經有一些有組織的攻擊者，他們對脆弱性的攻擊可能就是更大的破壞力的前兆。

目前所觀察到的幾次攻擊都沒有特別明確的攻擊目的，攻擊能力也還沒有完全體現出來，要了解威脅和脆弱性的長期趨勢就必須加強網絡威脅分析。到目前所知，攻擊工具和攻擊方法已經逐步擴散并比較容易獲得，有意制造混亂和破壞的用戶的技術能力和熟練程度正逐步提高。

例如，就“NIMDA”（尼姆達，“ADMIN”的倒序拼寫）攻擊而言，雖然事實上它并沒對關鍵基礎設施造成災難性的破壞，但它表明網絡攻擊技術的成熟程度正逐步提高，還表明有組織的攻擊者已經具有較強的學習能力并已經習慣在網絡環境下工作。“尼姆達”是一種自動化網絡攻擊，是一種計算機蠕蟲和計算機病毒的混合體。它以很快的速度在全國傳播，嘗試采用多種不同的方法感染其入侵的計算機系統，直到獲得控制權并破壞文件。它在1小時內從一個未知的地方傳遍全國并攻擊了86000臺計算機，這次攻擊持續了數天。

網絡攻擊的速度也在逐步提高，在“尼姆達”出現前兩個月，一個名為“紅色代碼”的蠕蟲在14小時內感染了150000臺計算機，此后出現的“尼姆達”的傳播速度比“紅色代碼”的傳播速度要高得多。

“紅色代碼”在Internet上的滲透如下圖所示：

由于計算機攻擊工具日益成熟，有能力對我們的基礎設施和網絡空間實施攻擊的人數也正在增加。在和平時期，美國的敵人可能對我們的政府、大學的研究中心和私營公司開展間諜活動，他們也可能預先摸清美國信息系統的情況，選擇重要的目標并安裝后門或其他訪問渠道以襲擊我們的基礎設施。在戰爭或危機時期，敵人可能攻擊關鍵基礎設施和重要的經濟功能，或打擊公眾對信息系統的信心，以達到恐嚇國家政治領導人的目的。

對美國信息網絡的攻擊能夠帶來嚴重的后果，如導致關鍵運行中斷、對財產和知識產權帶來損失或導致人身傷亡。對于這些攻擊，如果要降低脆弱性、遏制敵人對關鍵基礎設施進行危害的能力和動機，就必須發展穩健的對抗能力，但這種能力目前我們還不具備。

網絡空間為攻擊者提供了一個攻擊渠道，使其能夠從遠處對我們的基礎設施實施有組織的攻擊。這些攻擊只需要常用的技術，攻擊者能夠隱藏其身份、地點和攻擊的路徑。網絡空間不僅使別人能夠利用脆弱性攻擊我們的關鍵基礎設施，而且也為加劇物理攻擊提供了一個杠桿，包括可能中斷通信、阻礙美國在防御或進攻上的響應、延緩應急響應（發生物理攻擊之后應急響應變得非常重要）。

在20個世紀，物理上的隔離使得美國免于受到直接入侵，但在網絡空間中國界并沒有太大意義，信息在不同的政體、民族和宗教之間自由流動。甚至連構成網絡空間的基礎設施（硬件和軟件）的設計和開發過程也是全球化的。由于網絡空間全球化的特點，存在的脆弱性也是對整個世界開放的，任何人在任何地方都能夠利用這些脆弱性。

在未知的威脅面前減少網絡的脆弱性

在國家關鍵基礎設施的威脅增加時當然必須要做出相應的處理，但是，如果在發生攻擊之前不重視研究關鍵基礎設施的脆弱性，而只是被動等待攻擊，顯然是危險且不可取的。通過網絡攻擊可能突襲國家的網絡，預先沒有任何征兆并且快速傳播，很多受攻擊的對象在此之前根本來不及得到預警信息。即使預先得到警告信息，也可能沒有足夠的時間、知識或必備的工具來保護自己。有時找到對抗攻擊的方法可能就需要很長時間。

從很多網絡攻擊得到的經驗教訓是，對網絡系統具有依賴性的機構必須采取積極措施，預先發現并矯正其網絡的脆弱性，而不是在得到攻擊預警或受到攻擊時才采取行動。現在就必須進行脆弱性評估并矯正脆弱性，由受過訓練的專業人員實施信息技術安全審計以標識基礎設施的脆弱性，這個過程可能需要幾個月的時間。接著可能還需再花幾個月的時間制定多層次的防護措施、創建自恢復能力較強的網絡以矯正最為嚴重的脆弱性，這一過程還必須定期重復實施。

威脅和脆弱性：5個級別上的問題

由于網絡空間用戶的數量巨大且類型各異，處理威脅和降低脆弱性是一個相當復雜的問題。事實上，無數設備通過很多網絡互聯，保護網絡的安全需要由不同的人在多個級別采取行動，可以在5個不同的級別上解決網絡空間的安全問題。

第1級：家庭用戶/小型商業機構

雖然家庭用戶的計算機不是關鍵基礎設施的一部分，但是這些計算機可能被遠程控制并用于對關鍵基礎設施實施攻擊。毫無防護的家庭用戶或小商業機構的計算機，特別是DSL或寬帶用戶容易受到攻擊。攻擊者可以在計算機主人毫無知覺的情況下利用這些計算機。其他人可以用一組這樣的“僵尸”對關鍵網絡節點或其他重要企業或關鍵基礎設施實施拒絕服務攻擊。

第2級：大型機構

大型機構（公司、政府機構和大學）經常是網絡攻擊者的目標，很多這些大型單位是關鍵基礎設施的一部分。這些機構需要有效的、清晰明確的信息安全政策和計劃，確保其用戶遵循了安全規范。根據美國情報部門的說法，惡意人員將會增加對美國的網絡的攻擊，既為了從這些獲取數據，也為了利用這些網絡。

第3級：關鍵部門/關鍵基礎設施

經濟部門、政府部門和學校團體可以聯合起來解決常見的網絡安全問題，比起單獨解決問題來說，這樣通常可以降低各個單位的負擔。這種合作將導致他們依賴相同的機構和機制，這反過來使得有些脆弱性一旦被利用，就可能破壞所有的成員部門的正常運作。各個部門還可以通過參加各種小組以降低風險，這些小組將研究最佳解決方法、評估技術方案、評測產品和服務并交換信息。

有幾個部門已經建設了自己的信息共享和分析中心（ISAC）以監測對其各自的基礎設施的網絡攻擊。ISAC同時還是共享攻擊動態、脆弱性和最佳實踐措施的信息通道。

第4級：國家事務和全國性脆弱性

有些網絡安全問題是全國性的問題，企業或基礎設施部門無法單獨解決這種問題。所有部門使用的是同一個Internet，如果Internet的機制不安全將會危及所有部門。廣泛使用的軟硬件中存在的脆弱性也可能會導致全國性的問題，這便需要全國協同努力來研究開發出改良的技術。另外，國家缺乏受過培訓的和通過認證的網絡安全專業人員，這一問題值得引起整個國家的關注。

第5級：全球

全世界的網絡是由全球性的信息系統構成的，相同的標準使得全世界的計算機系統能夠互操作。但是，這種互聯也意味著在世界一端的計算機出現的問題有可能會對世界另一端的計算機造成影響。因此，我們依賴于國際合作，以共享與網絡事件相關的信息并進一步起訴網絡犯罪。如果沒有這種合作，我們發現、震懾和減少網絡攻擊的能力將大大降低。

網絡空間中各方的角色和職責見下表：

新的脆弱性需要持續的響應

人們總是不斷發現或制造新的脆弱性，因此保護網絡和系統的過程是不可中斷的。計算機應急響應小組/協調中心（CERT/CC）注意到，不僅網絡事故和攻擊以驚人的速度增加，攻擊者可以利用的脆弱性也在以很高的速度增長。計算機安全脆弱性（即軟件或硬件中存在的錯誤，它們可用于非授權訪問系統或破壞網絡）從2000年到2002年明顯增加，脆弱性的數目已從1090個增加到4129個。

CERT-CC報告的脆弱性數目（1995—2002年）如下圖所示：

只安裝網絡安全設備并不能取代對網絡的經常性維護。最近計算機安全學會（CSI）的一次調查表明，在被調查的人員中，85%使用了反病毒軟件。在同一調查中，89%的人員安裝了計算機防火墻，60%的人員安裝了入侵檢測系統。但是，90%的人報告曾經受到攻擊，40%的系統曾經被網絡外部的人員入侵。

CERT-CC報告的事件數目（1998—2002年）如下圖所示：

通過采取較好的安全措施可以消除絕大多數的脆弱性。但是，以上調查說明，好的安全措施并不僅僅是安裝這些軟件或硬件，還要求人們正確地使用它們，并需要經常打補丁或升級病毒庫以確保這些防護措施是最新的。

網絡安全及其機會成本

對于每個公司和整個國家來說，提高計算機安全都需要投入精力、時間和金錢。在2003財政年度，布什總統要求國會為保護計算機安全增加64%的預算。布什總統現在對計算機網絡安全上的投入的這些預算將會降低國家整體的開銷，通過電子政府、現代企業管理、減少浪費和欺詐等措施將能夠節省開支。

對于整個國家的經濟，特別是對于信息技術產業，缺乏可信、可靠、安全的信息系統將阻礙未來經濟的增長。信息技術革命還可能以多種途徑加速經濟增長，但是這些增長途徑的實現要受到網絡安全問題的制約。網絡空間的脆弱性不僅會危及網絡交易，還危及知識產權、商業運行、基礎設施服務和消費者的信心。

網絡安全投資不會只是昂貴的日常性開支，這種投資是會有所回報的。有關調查已不斷表明：

雖然遭受嚴重網絡攻擊的可能性很難估計，但一次成功的攻擊帶來的損失可能要大于實施計算機安全項目的開銷。

在一個機構的信息系統體系結構中設計強安全協議可以降低整個運營成本，因為這些安全協議可以使很多用來節省成本的措施得以實現，如遠程訪問、顧客或供應鏈的互動等。在沒有安全網絡的情況下，這些措施都是無法實現的。

這些結果表明，公司的網絡安全意識越強，就越能夠從其網絡安全中獲益。增強意識和自愿參與是《保護網絡空間的國家戰略》中的一個重要組成部分。

個人與國家的風險管理

截至2001年9月11日之前，跨國恐怖組織對美國造成的破壞并不大，而到了這一天，一切很快發生了改變。有人估計，對美國信息系統的攻擊造成的損失在過去4年內增長了4倍，雖然這些損失相對來說并不顯著，但是它們可能會突然迅速增加。

網絡攻擊每天都威脅著美國的各個公司和家庭計算機用戶，這些攻擊造成了一定程度的破壞，并給受害者帶來了很大的損失。它們可能導致全國性的破壞并給國家帶來損失，還可能影響到國家所依賴的網絡和系統。以下是導致這些攻擊的原因：

敵人有攻擊的意圖；

用于實施攻擊的工具唾手可得；

國家的信息系統存在很多眾所周知的脆弱性。

沒有一種策略能夠徹底消除網絡空間的脆弱性及其相關的威脅。不論怎樣，國家必須行動起來擔負起風險管理的責任，提高管理能力以減少攻擊帶來的損失。1997年總統委員會在一份公開的報告中指出了這種風險；2000年發布了第一份針對該問題的國家計劃，2001年布什總統在一份行政命令中提到了這些風險并將網絡安全作為一項優先事務來抓，并相應地增加了保護聯邦網絡的資金；2002年，總統在提議成立國土安全部時也建議將鞏固和加強聯邦網絡安全作為國土安全部的一項職責。

政府無法單獨保護網絡空間安全

雖然公眾對網絡安全的重要性的意識已經有所提高，而且已經采取的一些措施增強了我們的能力，但是我們國家的信息網絡及其管理下的關鍵系統中仍然潛藏著網絡風險。降低網絡風險要求在國家的不同部門以及在國際之間建立一種空前廣泛的合作關系。

聯邦政府不能（事實上也不應該）保護私有的銀行、能源公司、運輸公司和其他私營實體的計算機網絡。聯邦政府同樣也不能到家庭、小型單位、學校、州政府或地方政府去建設安全的計算機網絡。每個依賴于網絡空間的美國人都必須保護他們擁有或負責的那部分網絡空間的安全。