网络战是现代战争中至关重要的作战手段,并有可能决定未来战场的胜利者。考虑到印度的体量和其在美国印太战略中的地位,印度今后可能会在包括网络战在内的国际竞争中扮演越来越重要的角色。以下介绍了印度在网络安全方面的政策导向,梳理了印度政府和军队中与网络作战有关的体系架构,并探讨了印度网络作战能力的主要问题和发展趋势。

内容目录:

1 政策演进

2 组织架构

2.1 军职部门

2.1.1 国防网络局

2.1.2 通信兵团

2.2 文职部门

2.2.1 印度计算机应急响应组

2.2.2 国家网络安全协调中心

2.2.3 国家关键信息基础设施保护中心

2.3 黑客组织

2.3.1 响尾蛇

2.3.2 白象、蔓灵花和魔罗桫

2.3.3 黑暗盆地

2.4 主要缺陷

2.4.1 缺乏统一指挥

2.4.2 能力建设迟缓

3 网络作战能力

3.1 防御能力

3.2 攻击能力

3.3 网络监控

3.3.1 网络流量分析系统

3.3.2 中央监控系统

3.3.3 国家情报网

4 发展趋势

4.1 打造印度版网络司令部

4.2 重塑民用网络防御力量

4.3 剥离中国的信息技术产品

5 结 语

0 引 言

过去十年来,随着各国对网络的依赖程度日益加深,网络空间已成为国家间冲突的最新舞台。美俄、美伊、俄欧、以伊等国家和组织之间的网络战愈演愈烈,而作为用户数量仅次于中美的互联网大国,印度自然也不会置身事外。为确保印度的网络安全,并为“数字印度”等以网络为核心的国家项目提供保障,印度建立了一套较为庞杂的网络安全体制机制,并借鉴美国的网络司令部模式来发展网络作战力量。

1 政策演进

印度早在2000年就颁布了《信息技术法》,该法虽涉及了网络犯罪和电子商务问题,但并非专门的网络安全法律,因此未规定网络安全方面的权利、义务和责任。2008年颁布的修订版《信息技术法》明显加大了对网络安全的关注力度,尤其是以法律形式规定了“印度计算机应急响应组”(CERT-In)的职能。

2013年的“斯诺登事件”震惊全球,极大地刺激了印度的网络安全意识。受此影响,印度于同年发布了《国家网络安全政策》(NCSP),从而建立了初步的国家网络安全框架,并由此催生了“国家关键信息基础设施保护中心”(NCIIPC)。但《国家网络安全政策》并未考虑到5G、人工智能、物联网和云计算等新技术引起的安全问题,也未理顺职能重叠的各机构之间的合作关系,因此存在明显的短板。

为加强网络和太空等新领域的作战能力,印度统合国防参谋部总部(HQ IDS)于2017年发布了最新版的《联合武装部队学说》。该学说将网络视为自海、陆、空、天之后的第五个作战域,并把“以网络为中心的作战”(NCW)视为未来的作战样式。为了在战略、行动和战术层面协调包括网络战在内的信息战行动,该学说提出设置统一机构来整合印度三军的网络作战,国防网络局(DCA)由此正式诞生。

印度原定于2020年出台《国家网络安全战略》(NCSS),但迄今尚未发布该文件。据消息人士称,《国家网络安全战略》的主要内容包括保护数字化公共服务、供应链和关键信息基础设施的安全,发展数字支付,加强威胁信息共享,以及在国家预算中单列网络安全预算等。此外《国家网络安全战略》或将充分考虑到新冠疫情对数字化进程的影响以及新近的技术发展,并阐明整个网络安全生态系统中的各机构职责。

2 组织架构

如图1所示,印度建立了以总理府(PMO)为核心,国防部(MoD)、电子与信息技术部(MeitY)和“国家技术研究组织”(NTRO)等诸多部门参与的庞大网络安全体制。其中国防部主要负责军用网络安全,电子与信息技术部主要负责建设和监管全国的信息技术基础设施,技术情报机构“国家技术研究组织”则主要负责提供与网络有关的技术信息和工具。此外负责网络犯罪的内政部(MHA)、负责电信政策的通信部(MoC)和对外情报机构“研究分析室”(R&AW)也或多或少承担着网络安全职能,作为“国家安全委员会秘书处”(NSCS)成员的国家网络安全协调员(NCSC)则居中协调这些机构的网络安全工作。

图 1 印度网络安全体制

2.1 军职部门

印度军队的网络作战原先主要由国防情报局(DIA)负责,现已转交给新成立的国防网络局统管。印度陆海空三军也分别组建了各自的专职网络团队来处理网络事件,即陆军的“陆军网络队”(ACG)、海军的“网络事件响应组”(CIRT)和空军的“空军计算机应急响应组”(CERT-Air Force)。此外隶属于印度陆军的通信兵团(Corps of Signals)也多半具备网络攻防能力。

2.1.1 国防网络局

国防网络局隶属于国防部,于2019年末由此前主要负责网络作战的国防信息保障与研究局(DIARA)改组而来,而国防信息保障与研究局的前身则是国防情报局下设的国防信息战处(DIWA)。国防网络局可被视作简化版的网络司令部,负责统一指挥印度三军的网络部队。国防网络局主要由设在德里的指挥中心、分散于各作战部队的小组以及常驻各军种总部的专职军官组成,当前下辖1000人左右。据称国防网络局能够监视网络,布置蜜罐,从硬盘和手机中恢复已删除的数据,侵入加密信道,以及执行更复杂的网络任务。国防网络局还将在“国防研究与开发组织”(简称DRDO,其地位类似于美国的“国防先进研究项目局”(DARPA))、“国家技术研究组织”和研究分析室等机构的配合下,制定和监管一系列面向印度武装部队的网络要求。

2.1.2 通信兵团

通信兵团隶属于印度陆军,其主要职责是建设和维护陆军的“陆军无线电工程网”(AREN)、“陆军静态交换式通信网”(ASCOM)、卫星通信及其它军用网路,处理陆军内部的网络安全事件,以及执行电子战任务等。通信兵团由若干通信团和通信连组成,印度陆军的每个旅都配属一个通信连,每个师和兵团都配属一个通信团。通信兵团还设有两处通信训练中心和一处电信工程军事学院(MCTE),其中电信工程军事学院是印军培养信息战人员的主要基地。

2.2 文职部门

印度非军用网络的安全主要由“印度计算机应急响应组”负责,而该响应组下设的国家网络安全协调中心(NCCC)则在各类网络安全机构之间居中协调。鉴于关键信息基础设施(CII)的重要地位,印度还在“国家技术研究组织”下组建了专门负责关键信息基础设施的“国家关键信息基础设施保护中心”。

2.2.1 印度计算机应急响应组

“印度计算机应急响应组”成立于2004年,隶属于电子与信息技术部。该响应组是印度的国家级网络安全事件响应机构,也是主管全国非军用网络防御的最高机构。CERT-In的主要职责是收集、分析和发布网络事件信息,就潜在的网络安全事件发出预警,紧急协调和处理网络事件,以及发布相关的指南和建议等。

2.2.2 国家网络安全协调中心

“国家网络安全协调中心”成立于2017年,是围绕网络安全设立的国家级电子监视机构。该中心由国家网络安全协调员担任领导,其主要职责是收集、分析和整合经过主要互联网服务商(ISP)网关路由器的网络流量,以检测其中可能涉及国家安全的数据,并协调其它机构的情报收集活动。值得注意的是,国家网络安全协调员是印度最高国家安全机制“国家安全委员会秘书处”的成员,而该秘书处的其余成员还包括担任秘书长的国家安全顾问以及国防部长、内政部长、财政部长和外交部长,可见国家网络安全协调员在印度的网络安全体制中具有重要地位。

2.2.3 国家关键信息基础设施保护中心

“国家关键信息基础设施保护中心”成立于2014年,隶属于“国家技术研究组织”,并遵照总理府的指示运作。该中心的主要职责是指定印度的关键信息基础设施,从战略层面领导网络威胁响应事务,协助制定相关的标准与保护策略,发布关于漏洞和网络审计的建议,支持相关的网络技术开发,组织相关培训,以及与国内外的其它网络机构进行协调等。

2.3 黑客组织

和其它国家一样,印度政府不承认其组建或雇用了任何“高级持续性威胁”(APT)组织或者说黑客组织,但从攻击对象和溯源分析来看,某些黑客组织很可能来自印度。其中较为活跃的组织包括“响尾蛇”(SideWinder)、“白象”(Patchwork,亦称“摩诃草”)、“蔓灵花”(BITTER)、“魔罗桫”(Confucius)和“黑暗盆地”(Dark Basin)等。这些黑客组织在一定程度上填补了印度网络攻击能力的不足,并可能已经或将会被印度军方吸纳为正规的网络攻击部队。

从攻击区域来看,这些组织主要以巴基斯坦和中国为目标,其次是孟加拉国等其它东南亚国家,有时也会将触角延伸到欧美等国。从攻击领域来看,这些组织热衷于攻击政府部门和军事机构,有时也会攻击军工企业、关键基础设施、科研机构、金融机构和教育机构等。

在攻击手法上,这些具有印度背景的黑客组织普遍青睐鱼叉式网络钓鱼,即通过电子邮件或即时通信工具向特定人员发送虚假的官方通知、招聘启事或推荐名单等。这些“量身定制”的文件很容易引起受害者兴趣,而一旦打开文件,潜藏的恶意程序就会在系统中植入后门。这些虚假文件中的部门名称、徽记和行文方式往往与真实文件一致,其主题紧跟时事,因此对受害者来说极具欺骗性。这些黑客组织还会相互冒充和模仿,以干扰安全人员的溯源分析。

2.3.1 响尾蛇

“响尾蛇”的活动最早可以追溯至 2012 年,其攻击目标主要是巴基斯坦的政府部门和军事机构,主要目的是窃取敏感资料。“响尾蛇”一般采用鱼叉式网络钓鱼发动攻击,比如在2020年间,该组织就以与新冠疫情有关的信息为诱饵,对中国和巴基斯坦的政府和教育机构发动了网络攻击。

“响尾蛇”采用的恶意程序主要包括两类,一是使用mshta.exe执行远程hta脚本的快捷方式文件(后缀为 .lnk),二是带有 CVE-2017-11882 漏洞的富文本文件(后缀为 .rtf)。“响尾蛇”在每轮攻击中都会交替使用这两种恶意程序。

2.3.2 白象、蔓灵花和魔罗桫

“白象”的活动最早可追溯至2009年,“蔓灵花”和“魔罗桫”则最早可追溯至2016年。这三者使用了相同的网络武器库和基础设施,因此可能是同一黑客组织的不同分支,或就是同一组织的不同化名。三者的攻击目标主要是中国和巴基斯坦的官方机构,其中“白象”侧重于攻击科研机构,“蔓灵花”侧重于攻击外交部门以及军工企业和核能企业,“魔罗桫”则侧重于攻击司法部门。

“白象”“蔓灵花”和“魔罗桫”一般也都采用鱼叉式网络钓鱼发动攻击,比如“白象”就曾在新冠疫情期间以“武汉旅行信息收集申请表”作为诱饵。此外“白象”还使用过水坑攻击,“魔罗桫”则使用过伪装成聊天工具的手机间谍软件。

2.3.3 黑暗盆地

“黑暗盆地”的活动最早可追溯至 2013 年,其攻击目标主要是全球各行各业的知名人士和组织,活动范围远超上述黑客组织。“黑暗盆地”的真身很可能是一家名为 BellTroX InfoTech 的印度公司,其并无政治意图,而是受客户雇用对指定目标发动攻击。BellTroX 的员工甚至在社交平台上列出了包括入侵电子邮件在内的黑客服务清单,以供客户“选购”。该组织擅长采用URL缩短器来伪造钓鱼网站,但也会像其它黑客组织那样使用钓鱼邮件。

2.4 主要缺陷

尽管印度建立了庞杂的网络安全机制,但总体上还难以满足印度当下的网络安全需求,更遑论形成有效的网络威慑。就目前而言,该体制主要存在着以下三点缺陷。

2.4.1 缺乏统一指挥

印度缺乏统一的网络作战指挥机构。出于思维定势和军政平衡的考虑,印度军队仅负责保护军用网络,关键信息基础设施和非军用网络不在军方的任务范围内。此外受法律规定和保密制度的制约,印度陆海空三军一向都各自保护各自的关键军用网络,彼此间少有交流。新成立的国防网络局或将改善印度三军的信息交流和军用网络的总体安全,但其是否有责任保护关键信息基础设施还尚无定论。而在文职部门方面,“国家关键信息基础设施保护中心”和“印度计算机应急响应组”均属于咨询机构,它们虽会寻找漏洞、发出警报、制定指南和开展培训,但并不负责保护网络。

目前印度各类关键信息基础设施和非关键信息基础设施(NCII)的网络防御均由运营机构自行负责,为此各机构分别组建了各自的计算机应急响应组,比如国家热电公司(NTPC)的 CERT-Thermal、国家水电公司(NHPC)的CERT-Hydro 和印度电网有限公司(PGCIL)的CERT-Transmission 等等。然而由于缺乏统一指挥,这些响应组遭遇网络威胁时将难以得到其它单位的有效支援。

2.4.2 能力建设迟缓

受官僚主义和派系纷争的影响,印度向来都以工作效率低下著称,网络安全领域也是如此。尽管印度颁布了《国家网络安全政策》等政策法规,并设立了“国家关键信息基础设施保护中心”和“印度计算机应急响应组”等网络安全机构,但其网络作战能力的发展进度明显滞后于美俄中等国。最典型的例子就是印度军方早在2012年就呼吁建立国防网络局,然而该机构到2017年才获得批准,到2019年末才形成基本框架,前后耗时近8年。相比之下,中美早在2010年左右就组建了具备类似职能的机构。此外印度国家安全委员会从 2019年末就开始为《2020年国家网络安全战略》公开征求意见,然而直至2021年3月该文件都仍未发布。从历来的经验看,除非有关部门遭受了严重的网络攻击,否则印度各级机构对网络安全都不甚重视。

3 网络作战能力

印度的网络作战以防御为主,主要原因是印度的网络攻击人才严重不足。除陆军的通信兵团外,印度的其它部队、情报部门乃至文职机构均缺乏足够的网络攻击专家和相应的培训设施,同时这些单位也很少承担网络任务,因而无法通过实战来锻炼人才。印度的一些私营机构虽拥有合格的关键信息基础设施网络安全专家,但这些专家通常人数寥寥且专注于网络防御,因此也难以执行网络攻击任务。

3.1 防御能力

印度的军用网络采用了三层纵深防御模式,即在整个军用网络与全球网络之间、不同地区网络之间以及各总部、单位、机构网络之间设置网闸,以限制网络攻击或网络故障的影响范围。而关键信息基础设施和非关键信息基础设施的民用网络则通常以整个设施为界单独设置一道防火墙,内部分层与否由运营方自行决定。

所谓“网闸”是一种网络间的物理隔离设备,其能切断两套网络间的一切链路层连接,因此原则上可以有效阻断黑客入侵。不过在2019年10月,设置了网闸的印度库丹库拉姆(Kudankulam)核电站发现其信息管理系统感染了一种名为Dtrack的间谍软件,据推测可能是核电站的管理人员不慎将含有Dtrack的文件载入其计算机所致。尽管印度政府表示,真正控制核电厂的核岛系统并未受到影响,但此事件揭示出人为因素可能成为印度网络防御中的薄弱环节。

3.2 攻击能力

尽管电子与信息技术部下属的委员会曾在2018年的网络安全报告中简单提及进攻性技术,但印度迄今没有公布任何网络攻击学说或网络攻击部队,也从未认领过任何网络攻击事件。不过在印度外贸总局(DGFT)于2020年6月发布的出口管制清单中,明确提到了“专门设计或修改用于进攻性网络作战的军用软件”。尽管印度的国家网络安全协调员否认印度拥有此类武器,外贸总局也随即从清单中删除了这一条目,但此插曲很可能表明印度确实拥有正规的网络攻击能力。

巴基斯坦情报机构曾在2020年中发现一种名为“飞马”(Pegasus)的间谍软件感染了数十名军政官员的手机,并试图窃取其中存储的敏感信息。巴政府指控是印度从一家名为NSO Group的以色列公司购买并散播了这款间谍软件,印度官员当然对此矢口否认。但令人玩味的是,印度恰好是以色列武器的最大买家,而印度和以色列还在2020年7月签订了一份关于扩大网络安全合作的谅解备忘录。鉴于以色列是全球公认的网络战强国,印以合作显然有助于提升印度的网络攻击能力。尽管印度对其网络攻击能力三缄其口,但考虑到国内关于网络威慑的呼声,尚未发布的《2020年国家网络安全战略》或许会正式承认印度拥有网络攻击能力。

3.3 网络监控

为了有效监控国内的犯罪活动、尤其恐怖活动,印度启动了多个大规模电子监视项目。

3.3.1 网络流量分析系统

“网络流量分析系统”(NeTRA)是由印度“国防研究与开发组织”为印度情报机构开发的一款网络监控软件。NeTRA能从海量的网络流量(包括社交媒体、电子邮件、聊天记录、互联网电话乃至图片)中截获带有“攻击”“炸弹”“爆炸”或“杀死”等关键字的消息,然后将数据交给研究分析室等安全机构进行分析。

3.3.2 中央监控系统

“中央监控系统”(CMS)是由印度远程信息处理开发中心(C-DOT)为各级电信执法资源与监控(TERM)单位开发的集中式电话监听系统,其能按照执法机构的需求自动拦截和监听电信网络中的通话。印度计划为每个邦的TERM单位都配备一套 CMS。

3.3.3 国家情报网

“国家情报网”(NATGRID)是由印度政府各部门的独立数据库汇集而成的反恐情报数据库。NATGRID 至少有权访问 14000 座警察局的数据库,其会从这些政府数据库中收集与目标人员有关的信息(包括税务记录、银行账户、刷卡交易、签证以及铁路与航空旅行记录等),整理出与恐怖活动有关的情报,然后提供给研究分析室、情报局(IB)和国家调查局(NIA)等11家中央安全机构。

4 发展趋势

为了维护国家形象,不论是否拥有网络攻击能力,印度都不曾发布任何正式的网络攻击或网络威慑理论。不过鉴于全球网络攻击的频率与日俱增,近年来一些印方人士呼吁发展并宣示印度的网络攻击能力,以作为威慑对手的手段。印度未来的网络空间作战力量建设呈现出以下三大重点。

4.1 打造印度版网络司令部

为发展包括主动防御在内的网络攻击能力,印度打算效仿美国,尽早将国防网络局升级为职能完备的三军网络司令部。该司令部将采取“集中控制,分散执行”的运作模式,即把分散在各军种的网络单位组成松散的网络攻击和网络防御两大团队,然后由网络司令部统一向两者下达任务。网络攻击团队将由执行单位和研发单位组成,其中前者负责执行网络攻击任务,后者负责为前者提供专业支持。网络防御团队则将由各军种的计算机应急响应组(CERT)、审计人员和网络取证人员组成。

在机构合作方面,网络司令部辖下的网络单位将与对应级别的电子战单位建立联系,以协同开展网络电磁行动(CEMA);网络司令部本身则将与“印度计算机应急响应组”等其它主管网络的政府机构实时分享信息和相互协调。此外“国防研究与开发组织”也将与网络司令部对接,以便利用其专业知识为后者开发网络武器。而鉴于印度的技术人才大多集中在私营部门,印度还可能会以立法形式加强网络司令部与私营部门之间的合作,以充实网络部队的后备人才库。在印度看来,中国的独立军种“战略支援部队”能够更好地协同包括网络战在内的各种信息战(IO)能力,因此比美国的网络司令部更具优势。然而出于印度军队的信息战理论尚不成熟、难以从三军抽调大量人手以及军费有限等原因,印度最终选择了网络司令部模式。

4.2 重塑民用网络防御力量

正如第2.4.3节所述,NCIIPC 虽名为“国家关键信息基础设施保护中心”,但其实只是一家咨询机构,并不直接保护关键信息基础设施。鉴于保护关键信息基础设施本质上属于由内政部负责的国内安全事务,一些印方人士建议在内政部辖下组建专门的关键信息基础设施网络安全机构。

按照设想,该机构将类似于内政部辖下的“中央工业安全局”(简称 CISF,其职责是保护印度的关键工业基础设施),负责为铁路和核设施等公用事业的关键信息基础设施提供全方面防护。对于私营发电厂和银行等私营关键信息基础设施,该机构将与运营方的首席信息安全官(CISO)密切合作,设法为这些关键信息基础设施增设防火墙,并通过攻防演习等方式来加强对私营关键信息基础设施的审核与监控。该机构将下设国家级的网络安全运行中心,以接过“国家关键信息基础设施保护中心”和“印度计算机应急响应组”当前在关键信息基础设施方面的职责。此外该机构还将建立工作移交机制,以便在面临重大危机时将关键信息基础设施交由军方保护。

4.3 剥离中国的信息技术产品

近年来,为打压中国信息技术(IT)产业的发展,美国无端宣称华为等中国厂商的产品威胁美国的国家安全,并在全球范围内拉拢各国排斥中国产品。目前印度有80%的电信设备产自中国,而媒体早在2012年就发现印度陆军的炮兵指挥与控制系统“夏克提”(Shakti)使用了来自中国的关键组件。考虑到印度因中印边境冲突产生的不安全感,以及许多 IT 软硬件确实会将用户数据传回本国的服务器,印度也开始加大对中国产品的排斥力度。目前印度已永久封禁了TikTok、微信和百度等59款源自中国的手机应用程序,并把中国公司排除在政府采购之外,同时其国防网络局也表示将清除印度军队内的中国产品。

然而印度本国的制造业相当孱弱,无法自行生产相关设备,而中国又在全球供应链中占据着举足轻重的地位,所以即使从他国采购产品,印度也难免使用来自中国的零部件。举例来说,英国的Exception PCB公司是美国F-35战斗机的电路板生产商之一,而该公司早在2013年就被中国企业收购,这意味着世界上最先进的军火也难免存在“中国元素”。由此可见,印度不可能在短期内完全淘汰中国产品。

不过印度社会长期敌视中国,并把中国视为主要战略对手,因此出于收买民意和战略安全的考虑,本届乃至未来的印度政府很可能会坚持不懈地抵制中国的IT产品,以行政命令、关税壁垒和进口替代等方式不断削减中国产品的在印份额。印度自2020年6月以来实施的5轮中国软件禁令就是一个突出的例证。

5 结 语

自尼赫鲁以来,印度一向以“做个有声有色的大国”为己任,在日益牵动国家安全的网络安全领域也不例外,现任总理莫迪甚至声称要做网络安全领域的全球领导者。然而在勃勃雄心的背后,印度的网络作战能力却相对薄弱,与中美等大国存在明显差距。目前印度正依托国防网络局来完善其网络作战力量,但印度的工业水平尚无法生产网络战所必需的信息技术设备,加之一贯迟缓的工作进度,印度很难如愿建成强大的网络作战力量。

引用本文:吕玮,万兵,龚汉卿.印度网络空间作战力量研究[J].信息安全与通信保密,2021(4):17-25.

作者简介

吕玮(1985—),男,硕士,工程师,主要研究方向为网络安全研究;

万兵(1983—),男,硕士,工程师,主要研究方向为网络安全与信息化;

龚汉卿(1987—),男,学士,工程师,主要研究方向为网络安全研究。

选自《信息安全与通信保密》2021年第4期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。