尽管澳大利亚与中国在经济上长期相互依存,但随着中国国力的提升和“海上丝绸之路”计划的铺开,中国与东南亚及太平洋岛国的联系越发紧密,这让一向视这些地区为“后院”的澳大利亚产生了危机感。加上与周边国家在民族与文化上的隔阂,近几届澳大利亚政府毫不掩饰地向美国靠拢,试图借助以盎格鲁-撒克逊文化为纽带的联盟体系来维持其在印度洋-太平洋(以下简称“印太”)地区的大国地位,澳英美三国不久前结成的安全合作联盟“AUKUS”(“AUKUS”一词由澳英美三国的名称缩写合并而来,并因美国向澳方出售核潜艇而备受关注。该联盟旨在深化三国的外交、安全和防务合作,尤其是加大三方在防务科技、产业基础和供应链方面的融合。)便是这一心态的突出例证。在此背景下,澳大利亚的网络作战力量势必奉行遏华策略,甚至凭借其隐匿性而成为对华博弈的排头兵,因此有必要对澳方在网络领域的动向保持高度警惕。

一、政策演进

在21世纪前,澳大利亚没有专门的网络作战力量,仅是依靠《犯罪立法修正案》等法律来打击包括网络犯罪在内的计算机犯罪。不过随着“911事件”爆发,澳大利亚开始全面加强国家安全能力,其中一项举措就是授权国防信号局[1](DSD)开展网络安全行动。当时DSD的任务既包括保护政府/国防基础设施的通信信息安全,也包括协助澳大利亚国防军(以下简称“澳军”)收集和处理各类数据,澳大利亚的网络作战力量建设由此起步。

在此后20年间,澳大利亚政府先后发布多份事关网络安全的政策文件,其中涉及网络作战力量的要点主要包括:

● 2009年发布的第一版《网络安全战略》首次明确了澳大利亚在网络安全领域的原则和目标,澳政府随之组建了两个国家级的网络安全机构:隶属于DSD的网络安全行动中心(澳大利亚政府在2009年发布的国防白皮书《在亚太世纪保卫澳大利亚:2030年力量》中首次提出设立CSOC,随后便于2010年1月正式设立了CSOC。此外尽管CSOC隶属于DSD,但为协调各方工作,澳大利亚安全情报组织<英文简称asio,其地位类似于美国联邦调查局>、律政部和澳大利亚联邦警察均向CSOC派驻了人员。)(CSOC)和隶属于律政部(Attorney-General"s Department)的“计算机应急响应组”(CERT)。这两家机构相互合作,共同保障澳大利亚的网络与计算机安全。

● 2013年发布的《澳大利亚国家安全战略》将“恶意网络活动”视为国家安全七大风险之一,而为集中力量应对网络威胁,澳政府要求CERT等相关机构向CSOC派驻人员,并将CSOC改组为“澳大利亚网络安全中心”(ACSC)。此举使ACSC成为了澳大利亚政府中负责网络安全的头号文职机构。

● 2016年发布的《2016年网络安全战略》制定了旨在启动应急响应和研判事件性质的国家级网络防御框架,并承认澳大利亚拥有网络攻击能力。按照该版战略的要求,澳政府加强了国防部、澳大利亚信号局(ASD)和联邦警察等部门的网络能力,在澳军内新设信息战司,并在ACSC下设立若干“联合网络安全中心”(JCSC),以作为各级政府和产业界之间的对接渠道。

● 2016年发布的《国防白皮书》将提升网络和情报能力作为澳军的战略方向之一,并强调“深化与美国的伙伴关系”是澳大利亚国家安全政策的落脚点,因此该白皮书要求澳大利亚在制定网络政策和开展网络行动时,应着重加强澳美两军之间的整合、互操作和情报共享。

● 澳大利亚在2020年内密集发布了多份相关文件:7月发布的《国防战略更新版》(Defense Strategic Update)和《军力结构计划》(Force Structure Plan)强调“情报是一切有效军事行动的立足点”,并将网络攻击能力视为国家威慑力的重要组成部分;8月发布的《2020年网络安全战略》大幅提高了网络安全领域的投资(该战略要求澳大利亚政府在未来10年内向网络安全领域投入16.7亿澳元<约合12亿美元>,这一数额远高于2016年第二版战略提出的2.3亿澳元,是迄今为止澳大利亚在网络安全领域的最大一笔财政支出。),其中包括耗资3160万澳元来壮大ACSC“打击境外网络犯罪的能力”,而这显然是提升网络攻击能力的委婉说法;澳军在2020年内还发布了一份保密的网络行动军事学说,据称其内容与美军的网络行动学说相仿。

二、组织架构

澳大利亚的网络作战力量集中在澳大利亚信号局(ASD)和澳大利亚国防军(ADF)两大机构,不过正如下图所示,其它机构也在为澳方的网络作战能力提供支撑,形成了一套相对完整的网络作战力量体系。

图1 澳大利亚网络作战体系

2.1 澳大利亚信号局

澳大利亚信号局(ASD)是澳大利亚的国家安全机构之一,其主管着澳大利亚的网络情报行动、网络安全行动和网络攻击行动。ASD主要承担以下四类任务:1)获取外国的信号情报(按照“五眼联盟”<“五眼联盟”(fvey)起源于英国与美国在1943年签署的情报共享协议《英美协议》(ukusa),冷战爆发后,加拿大、澳大利亚和新西兰相继加入,组成了以盎格鲁-撒克逊民族为主的五国情报合作联盟。>的内部分工,ASD负责监控东亚和南亚地区的信号情报,尤其是中国和印度尼西亚的情报 <其余“五眼”国家也各有分工:美国负责监控加勒比地区、非洲、中东、苏联/俄罗斯和中国;英国负责监控欧洲、苏联/俄罗斯西部、中东和中国香港;加拿大负责监控苏联/俄罗斯东部、中国和南美洲;新西兰负责监控东南亚和西太平洋地区。>);2)掌握网络威胁态势,并向政府、企业和社区提供网络风险管理方面的建议和协助;3)对境外组织和个人发动网络攻击,以支持澳方的军事行动,或藉此打击恐怖活动、网络间谍活动和网络犯罪等;4)及时向政府、企业和社区提供网络安全信息和建议。澳大利亚的网络行动大都由ASD负责,但“澳大利亚安全情报组织”(“澳大利亚安全情报组织”(ASIO)是澳大利亚的国家安全机构之一,负责打击澳大利亚境内的间谍活动、破坏活动、政治干涉和恐怖活动等,其地位类似于美国的联邦调查局(FBI)或英国的军情五处(MI5)。)(ASIO)有时也会与ASD共同开展澳境内的网络行动。

ASD的前身是成立于1947年的“国防信号局”(DSD),几经改组后,于2017年成为独立于澳军的国家安全机构,但仍受国防部管辖。ASD下设澳大利亚网络安全中心(ACSC)、“信号情报与网络行动”(Signals Intelligence and Network Operations)部门和“团体与能力”(Corporate and Capability)部门,是澳大利亚最全面、最强大的网络作战力量。在2019年发布的《澳大利亚信号局2019至2020年机构规划》中,ASD宣称将建立世界级的网络攻击能力,并强调将与盟友合作实施网络攻击行动。

2.1.1 澳大利亚网络安全中心

“澳大利亚网络安全中心”(ACSC)由“网络安全行动中心”(CSOC)改组而来,并于2018年从澳军转隶ASD。ACSC主要负责民事网络安全,包括持续监控全球网络威胁,发生网络事件时向个人、企业和关键基础设施运营商提供建议,与澳大利亚及外国的政府、学术界和企业合作开发网络安全解决方案,牵头制定文职部门的网络政策,以及配合执法部门打击网络犯罪等。作为政府、企业与民众之间的网络安全枢纽,ACSC吸纳了来自ASD内外的网络与电信专家、战略情报分析员、计算机应急响应小组、网络安全政策编制者和网络犯罪调查员等专业人士,并在多地开设了“联合网络安全中心”(JCSC),以作为地方政府、学术界、国际合作伙伴及关键基础设施提供商等私营部门之间的信息共享平台。

需要指出的是,ACSC主管历来都兼任ASD副局长,并一度担任澳大利亚总理的网络安全特别顾问,而现任ASD局长也是由前ACSC主管升任。可见ACSC虽不参与网络作战,但很大程度上却主导着澳大利亚的网络安全事务。

2.1.2 信号情报与网络行动团队

“信号情报与网络行动团队”负责收集、分析和生成信号情报,以及依托ASD网络开展各种行动。该部门下设一个情报处和一个网络行动与网络访问处,其中前者负责与外国信号情报有关的任务,后者负责开展进攻性网络行动。

2.1.3 国防情报与网络司令部

“国防情报与网络司令部”(DSCC)是由ASD与澳军共同组建的网络作战指挥机构,下辖“联合网络单位”(JCU)和“联合信号情报单位”(JSU)。虽然DSCC在行政上隶属于澳军,但其吸纳了来自ASD的文职人员,并由前ASD官员领导,因此与ASD渊源颇深。DSCC可以统一指挥澳军所有的信号情报人员和ASD网络人员,以免在网络行动中出现指挥权不明的问题。

2.2 澳大利亚国防军

澳大利亚国防军(ADF)的海陆空三军均各自组建了专职的网络部队,三军之外还设有信息战司来协调澳军的网络行动,并另设网络与电子战司(CEWD)以研发网络作战技术。不过澳军近几年才开始加快发展网络作战能力,其现有的网络部队皆以网络防御和网络保障为重,因此网络攻击行动目前仍由ASD主导。

2.2.1 信息战司

信息战司(IWD)成立于2017年,其隶属于澳军“联合能力集团”(“联合能力集团”(JCG)与各军种平级,由联合后勤司令部、联合卫生司令部、澳大利亚国防学院、信息战司、联合支援服务司、澳大利亚军民中心、联合宪兵单位和军事法律服务司组成,负责为澳军提供前沿技术、后勤、卫生、教育和法律等方面的辅助性服务,某种程度上类似于中国的“战略支援部队”。)(JCG),下设“情报、监视、侦察、电子战与网络”(ISREW & Cyber)、“太空与通信”、“联合指挥与控制”(JC2)、“国防信号情报与网络司令部”(DSCC)和“联合影响力活动理事会”五个部门。信息战司负责发展澳军所需的一切信息战能力以及联合“指挥、控制、通信及计算机(C4)”能力,包括保护澳军的网络与任务系统、开展各种演训活动以及参与救灾活动等。此外为更好地了解最新的信息战威胁,信息战司还与政府机构、企业界和学术界保持着密切的合作关系。信息战司成立时的编制为100人,但计划在2027年时增加至900人。

信息战司的职责并非直接指挥作战,而是培养、训练和保持各军种所需的信息战和太空情报等支援能力。执行进攻性网络任务时,信息战司下设的DSCC将制定行动计划,然后由ASD按计划开展行动。

2.2.2 空军第462信息战中队

第462中队曾是传统的空军单位,后于2005年改组为不执行飞行任务的信息战部队,现隶属于澳大利亚皇家空军空军司令部空战中心信息战局( 该信息战局(Information Warfare Directorate)负责为澳空军提供情报、网络和电子战支援,和前述的信息战司(Information Warfare Division)是两个不同单位。)(IWD)。第462中队在2019年末时拥有约100名专职网络人员,是澳军中规模相对最大的网络作战力量。该中队下设“网络防护小队”(CPF)、“情报小队”、“训练与标准小队”、“行动支援小队”和工程维护科等单位,其职责是保护空军(尤其是第五代战斗机)的数据、系统和能力免受网络攻击,具体任务包括提供专家建议、验证空军的各类任务系统和网络、处理网络事件以及参与各种网络演习和网络行动等。第462中队的总部位于南澳大利亚州的爱丁堡空军基地(RAAF Base Edinburgh),并在该总部、堪培拉市和威廉镇基地(RAAF Base Williamtown)均驻有CPF。

第462中队从2019年开始招收网络战专家,他们主要承担四项任务:1)处理恶意软件;2)根据网络领域的新发现和新对策来加固各类系统;3)规划网络战行动;4)模拟网络攻击。第462中队已开发了一种名为CyberSim的模拟网络环境,这种环境能够模拟数千台计算机以及它们之间的网络流量,从而为网络战人员提供可控的训练环境。第462中队的“网络漏洞调查小组”(CVIT)正通过CyberSim模拟空军系统的完整网络,以开展漏洞评估训练;该中队的各支CPF则在CyberSim中进行网络威胁防御训练。值得注意的是,第462中队会依照真实黑客组织的“战术、技术和程序”(TTP)来生成训练所需的恶意程序,这表明该中队至少拥有与黑客组织相近的网络攻击能力。目前第462中队正在与负责网络防御项目的“9131联合项目组”(JP 9131)共同改进CyberSim,以便将其升级为训练更有深度、环境更加真实的“国防网络靶场”(DCR)。

2.2.3 陆军第138信号营

第138营隶属于澳大利亚陆军部队司令部下辖的第6作战支援旅第7信号团,是澳陆军最主要的网络防御部队。在2019年末时,第138营拥有约50名专职网络人员。在2019年举行的“联合网络技能挑战赛”中,第138营战胜了来自澳军其它部队、ASD、ACSC、“国防科学与技术组织”(DSTO)、“五眼联盟”盟国部队以及产业界的其余44支队伍,从侧面印证了其拥有不俗的网络作战能力。第138营还于2020年初参与了澳洲国民银行(NAB)的网络攻防演习,这意味着必要时澳方可调动第138营来加强银行等关键基础设施的网络防御能力。

2.2.4 海军“舰队网络单位”

“舰队网络单位”(FCU)是澳大利亚皇家海军于近年组建的网络部队,负责保护澳海军的关键任务系统免遭敌方入侵、操纵或破坏,以及将加密网络纳入到澳海军的所有网络行动中。FCU是陆海空三军中规模最小的军种级网络部队,在2019年末时仅有16人。FCU于2020年首次执行随舰任务,两名FCU成员被派驻到在中东执行任务的护卫舰“图文巴”(Toowoomba)号上,负责搜索网络中的异常趋势和恶意活动,并以简报会的方式来提升舰员的网络安全意识。

除FCU外,澳海军还设有专司网络作战的通信与信息战官(CIWO),其主要职责是从总体上保障所有舰艇和人员的网络安全,但也负责支持FCU,并与美国、英国、加拿大和新西兰等盟友开展海军网络安全合作。

2.2.5 网络与电子战司

网络与电子战司(CEWD)隶属于澳国防部下辖的研究机构“国防科学与技术组织”(“国防科学与技术组织”(DSTO)负责研究各类军事科技,其地位类似于美国的“国防高级项目研究局”(DAPRA),下设陆地司、海事司、航空航天司、研究服务司、科学参与及影响司、联合与行动分析司、武器与作战系统司、研究网络与电子战司以及情报、监视与太空司九个不同领域的研究单位。)(DSTO),该司整合了澳军在网络、电子战、信号情报及通信领域的科研能力,主要职责是为澳军及ASD等国家安全机构提供这些领域的军用技术和专家建议。CEWD的研究领域分为五大类,即冲突环境下的通信、网络感知与塑造、网络战行动、电子监视与协调以及电子战行动,其中前三者与网络空间关系密切。具体而言,“冲突环境下的通信”团队研究战术组网所需的卫星通信技术、抗毁网络、无线协议以及针对定位、导航和授时(PNT)系统的电子攻防;“网络感知与塑造”团队研究网络访问技术、通信网络、通信信号处理以及密码学;“网络战行动”团队研究可信军用系统、网络防御、网络安全认知以及任务的保护与效果。

在网络技术上,CEWD现已成功研发了可接入保密网络的硬件模拟设施,用于理解大规模复杂网络的分析工具,以及多种可抵御木马的可信信息通信技术(ICT)设备。未来CEWD将侧重于网络、信号情报、通信和电子战领域间的技术整合与保障,以便为各种平台、电子系统和网络提供全谱任务能力。

三、网络攻防能力

3.1 网络防御能力

澳大利亚在网络防御上表现平平,尽管其并未遭遇堪比“太阳风”事件的重大网络威胁,但澳总理在2020年6月称,澳大利亚的各级政府、政治组织以及关键基础设施运营商等均遭到国家级黑客组织的入侵。为应对这一局面,澳大利亚已建立了全国性的网络安全信息共享平台和网络事件响应机制,并在政府机构和私营企业中大力推行多个网络安全项目。

3.1.1 政府机构:防护策略难以落地,安全项目相继启动

政府网络一向是网络攻击的首选目标,作为澳大利亚政府中的头号网络安全部门,ACSC会调查政府机构遭遇的网络安全事件(ACSC在2020年内处理了434起政府网络安全事件,其中46%的事件为政府机构自行上报,54%由ACSC或第三方调查发现。),与电信、金融、能源和国防等领域的政府机构和企业共享网络威胁情报,并共同制定防范和减轻网络威胁的建议。不过政府机构普遍对改善网络安全一事态度消极,比如澳大利亚国家审计署(ANAO)于2019年发现,72%的政府机构都尚未全面落实《保护性安全政策框架》(PSPF)中的网络安全策略;而截至2021年2月,仍有65.5%的政府网站未采用“超文本传输安全协议”(HTTPS)。有鉴于此,ACSC已启动了若干专门面向政府机构的网络安全项目。

· 域名系统防护项目

ACSC于2020年2月启动“域名系统防护”(PDNS)项目,以阻止政府设备访问存在勒索软件、网络钓鱼程序或其它恶意内容的网站。PDNS项目不仅能阻断访问,还能通过沉洞(sinkhole)等技术实现网络安全态势感知。在2020年4月至12月的试点期间,PDNS处理了来自八家政府机构的约20亿次查询请求,防止了15万次以上的网络事件。鉴于PDNS的出色表现,ACSC计划在2021年至2022年间将该项目扩展到所有政府机构。

· 主机传感器项目

ACSC于2019年启动“主机传感器项目”,以监测政府网络中的网络入侵迹象。截至2020年9月,ACSC已在50家政府机构的约4万台联网设备(包括服务器、工作站和笔记本电脑等)上安装了超过3.6万套监控软件(即所谓的“传感器”),以识别恶意网络活动、确认威胁指标和协助制定安全对策。通过分析从这些主机上收集的数据,ACSC得以更深入地了解政府ICT系统的网络漏洞、检测网络入侵以及减轻网络攻击的后果,并为参与该项目的政府机构提供了针对性的改进建议。

· 网络卫生改善项目

ACSC于2019年启动“网络卫生改善项目”(CHIP),以便自动发现和上报各级政府机构的网络卫生(“网络卫生”没有统一标准,不过通常包含漏洞数量、漏洞严重性、漏洞扫描频率和软件更新频率等指标。)问题。截至2020年8月,CHIP已覆盖了187家政府机构的71315个政府网域,其主要功能包括:1)扫描政府服务器中的电子邮件是否加密;2)扫描政府网站是否及时更新了安全软件和证书;3)扫描政府机构的互联网端口是否存在严重安全漏洞;4)在突发网络安全事件时迅速查找政府网络中的相应漏洞,并向可能受影响的政府机构通报事态和建议;5)帮助政府机构了解其网络服务的安全态势。

· 网络工具箱项目

ACSC于2020年4月启动“网络工具箱”(Cyber Toolbox)项目,以便向政府机构提供一系列软件工具及相应流程,使它们能对照“基本八策”(ACSC于2019年7月发布了面向政府机构的八项基本网络安全策略,其中每项策略的具体措施将取决于机构所达到的网络安全成熟度(ACSC将机构的网络安全水平从低到高划分为零级至三级共四级成熟度)。)(Essential Eight)来自行评估网络安全成熟度。截至2020年9月,ACSC已向六家试点机构提供了两种工具(即“基本八策成熟度验证工具”(E8MVT)和“应用程序控制措施验证工具”(ACVT)),并正在开发更多工具。

· 网络成熟度衡量项目

ACSC于2020年启动“网络成熟度衡量项目”(CMMP),其派出的专家将依据“基本八策”来审查其它政府机构的ICT系统,提出改善网络安全的针对性建议,必要时还会通过“网络安全善后项目”(CSAP)提供后续服务,甚至通过“ACSC政府网络安全提升服务”(ACSUSG)提供经费支持。

3.1.2 私营企业:安全能力乏善可陈,电信企业担当中坚

澳大利亚的网络安全企业众多,基本覆盖了从网络治理到网络防护、再到网络检测与响应的整个网络安全领域。其中一些企业参与了澳军的网络能力建设,比如FifthDomain公司于2020年为信息战司开发了名为“快速国防网络训练”(ADCT)的网络训练平台,Elttam公司在该平台上扮演网络攻击方,Penten公司则为该平台提供由人工智能生成的内容和用户行为。不过根据《澳大利亚网络防御产业能力》报告,截至2020年初,只有Kinetic IT、OpSys和Pure Security等少数企业才能提供全面的网络安全服务,且没有一家企业被列入The Manifest网站评选的2021年百大网络安全企业,这反映出澳大利亚私营企业的网络防御能力总体上乏善可陈。

值得一提的是,澳大利亚最大的电信公司Telstra在网络安全上肩负着特殊职责。Telstra公司于2019年启动了一项名为“更清洁的管道”(Cleaner Pipes)的DNS过滤项目,以阻断来自僵尸网络的控制命令,以及防止下载远程访问木马或其它恶意软件。截至2020年5月,Telstra公司称其已阻断了数百万次涉及恶意软件的通信。目前包括大型银行、大型电信服务商、大型零售连锁店和保险机构在内,已有20多家公司同意参与该项目,而该项目一旦全面铺开,必将大大增强澳大利亚的大规模网络检测与阻断能力。

3.1.3 协调机制:信息共享成为关键,全国演练因时而异

澳大利亚已推出了“澳大利亚互联网安全倡议”(AISI)、“网络威胁情报共享”(CTIS)平台、“联邦首席信息安全官论坛”(CCISOF)以及若干网络安全演习等多种关乎网络安全的信息共享与机构协调机制,而其中最重要的当属“网络事件管理安排”(CIMA)和“国家演练项目”(NEP)。

CIMA是由国家网络安全委员会( 国家网络安全委员会(NCSC)是澳大利亚的最高网络安全协调机构,负责从国家层面监管和协调政府的网络安全政策和网络安全能力,其成员包括ACSC的领导、各辖区的网络安全负责人以及总理与内阁部和内政部的代表。)(NCSC)于2018年制定的国家级网络响应机制,其并非具体的操作规程(此类规程由各级政府及其它机构自行制定),而是在发生网络事件时协调各辖区工作的指导原则。CIMA至少每三年接受一次审查,其宗旨在于共享信息而非统一谋划,体现了澳大利亚网络安全体制的责任共担原则。

NEP是由ACSC主办的国家级网络安全活动,旨在锻炼关键政府机构和私营部门在网络安全方面的战略决策、行动与技术能力以及沟通与协调水平。每年的NEP都围绕特定领域展开:2019年的NEP着眼于电力行业,2020年的NEP因疫情取消,2021年的NEP则着眼于供水与废水处理行业。NEP一般分为实地演习和战略讨论两个部分,但规模不大(比如2019年的NEP中只有560人参与实地演习,25人参与战略讨论)。不过2020年版《网络安全战略》已要求ACSC扩大NEP的规模,另外NCSC也会根据NEP的结果来修订CIMA。

3.2 网络攻击能力

澳大利亚将网络攻击行动分为作战和执法两大类,其中网络作战行动由澳军制定计划并遵从澳军的交战规则,由ASD的网络技术人员具体实施;网络执法行动则由澳大利亚联邦警察(AFP)等部门单独批准和实施,澳军并不参与。澳大利亚不反对他国发展网络攻击能力,但呼吁各国尽量公开自身的网络攻击实力和攻击行动。

3.2.1 网络作战:网络渗透可圈可点,高端能力尚待考验

澳大利亚时任总理特恩布尔于2016年宣布对恐怖组织“伊斯兰国”发动网络攻击,这是澳方首次承认其具备网络攻击能力,也是其唯一公开的网络作战行动。据当时媒体报道,在2016年7月,ASD团队(由黑客、语言学家、IT专家、情报分析员、文化专家和反恐专家等20人组成)以电子邮件网络钓鱼等方式渗透进约100人组成的“伊斯兰国”网络,最终发现了10个可供入侵的漏洞。到11月时,该ASD团队加入美国主导的“光辉交响曲行动”(Operation Glowing Symphony),其成员分为若干小组入侵敌方账户,下载所有内容后将其彻底删除(包括托管的原始宣传材料和材料设计平台等),然后锁定了这些账户。ASD通过此次行动截获了3 TB的数据,其中包括“伊斯兰国”内部的身份信息、电子邮件、联系人、财务账户、照片和视频以及文件等。此外“伊斯兰国”成员再也无法访问原有的电子邮箱、虚拟专用网络(VPN)和媒体制作平台,其宣传能力受到严重削弱。虽然此次攻击的细节不得而知,但仍可从中看出一些端倪:

首先,ASD并未动用诸如“震网”的网络病毒武器。不论从新闻报道还是从当时的恶意软件传播形势来看,此次攻击都没有动用病毒武器。毕竟恐怖分子藏身于互联网(而非与世隔绝的伊朗核设施),作为病毒武器的恶意软件多半会扩散到互联网中,造成巨大的附带损伤,这肯定是澳方所不愿看到的。更何况从“震网”的例子来看,尖端网络武器技术复杂、成本高昂、研发时间漫长、适用范围狭窄、投送困难且往往只能使用一次(网络武器一旦投入使用,就很难控制其扩散范围,这意味着所有对手乃至全球的网络安全企业都很可能掌握其代码并加以分析,进而采取打补丁等针对性的防范措施,导致该武器在短时间内失去作用。),仅适合在关键时期瘫痪敌方战略性目标。而对澳大利亚而言,其既没有理由将网络武器浪费在千里之外的恐怖组织身上,也多半没有足够的资源(据称“震网”病毒的开发周期长达5年,开发成本不低于100万美元(另一说是上亿美元),此外美以情报部门不得不获取真实的离心机及其工控系统以用于测试,还只能通过潜伏在伊朗核设施内的特工注入病毒。)来开发这种一次性武器。

其次,ASD具备一定的社会工程学攻击能力。ASD之所以让语言学家和文化专家参与网络作战,显然是为了更好地欺骗恐怖分子以进入内部网络,为之后夺取系统权限奠定基础。在2019年的一次演讲中,ASD局长也举例说明了一名ASD人员是如何冒充恐怖组织指挥官,最终说服一名极端穆斯林放弃“圣战”的。然而“伊斯兰国”这种热衷于招募人手的组织本来就很难防范社会工程学攻击,所以很难断言这种攻击方式对戒心十足的高端对手是否奏效。

最后,ASD更倾向于网络渗透而非网络破坏。此次攻击并未以洪泛攻击等方式直接瘫痪“伊斯兰国”的系统或服务,而是进入内部网络后利用漏洞获取系统权限,再依靠这些权限开展行动。按照ASD局长的说法,他们仅在非常特殊的情况下才会直接破坏网络,许多时候则是采用“微妙而复杂的手段”,以便在关键时刻突然瘫痪对手的通信能力。与洪泛攻击或恶意软件等直截了当的攻击方式相比,网络渗透更加隐蔽,但缺点在于需要长期准备,且随时都可能因被发现而前功尽弃,比如经过精心策划的“太阳风”供应链渗透行动便是如此。虽然ASD肯定也有能力实施网络破坏,但此类能力未经过实战检验(目前没有任何一起重大网络事件被归咎于澳方),能否瘫痪网络强国的高弹性网络尚不可知。

3.2.2 网络执法:执法工作收效良好,境外行动引发争议

ASD于2019年宣布将境外网络犯罪分子也纳入网络攻击的范畴,而根据澳大利亚“网络安全行业咨询委员会”统计,通过网络攻击行动及与英国政府通信总部(GCHQ)等外国同行的合作,ASD已屏蔽/关闭了全球范围内6000多个涉嫌网络犯罪的网站,避免了9000多万澳元的经济损失。ASD下设的ACSC还于2019年推出了网络犯罪上报平台ReportCyber,该平台在2019至2020年间处理了59806份网络犯罪报告,相当于每10分钟就处理一份报告。ReportCyber平台不但明显加快了ASD及警方的网络执法速度,还有助于ASD掌握网络犯罪的模式和趋势。除ASD外,AFP也组建了若干多学科网络犯罪调查团队,据称这些团队有能力发现、锁定、调查和消灭网络犯罪,甚至打击暗网上的犯罪。

鉴于澳大利亚的网络作战和网络执法均由ASD主导,澳方的这两种能力并无本质区别。不过大部分网络犯罪都意在追求经济利益,所以澳大利亚交易报告与分析中心也会参与网络执法,利用其专业金融知识来追踪犯罪收益的去向。另外与其它国家相比,澳大利亚的一大优势是能通过情报和技术合作来打击网络犯罪,甚至借盟友之手直接关闭位于境外的服务器。然而也有观点认为,既然澳大利亚能以执法的名义攻击境外网络,那么其它国家也会如法炮制,纷纷以“境外网络犯罪”为由公然攻击他国网络,从而加剧网络空间的紧张态势,甚至引发更多网络安全事件。

四、发展趋势

4.1 高调推行网络威慑战略

澳大利亚是少数公布网络威慑战略的国家之一(在承认拥有网络攻击能力(这显然是实施网络威慑的必要前提)的国家中,目前明确宣布网络威慑战略的仅有美国、英国和澳大利亚等少数国家。),其在2021年发布的《澳大利亚的国际网络与关键技术参与战略》中阐述了澳方网络威慑战略的四大核心要素,即挫败、示意、回应和国际合作。具体而言,“挫败”是指阻止、发现、破坏和遏制网络攻击行动,以提高攻击方的攻击代价或降低其攻击收益;“示意”是指向网络攻击方发出明确、一致且可信的讯息,表明澳方有足够的能力和意愿让攻击方付出代价;“回应”是指针对恶意网络活动酌情采取外交、经济、执法乃至军事手段,不过只有在符合国家利益的情况下澳方才会作出回应,且未必会公开回应;“国际合作”是指澳方会与盟友和合作方共同应对网络攻击,并认为这种合作能提高网络威慑的效果。不过和其它宣布网络威慑战略的国家一样,澳大利亚也声称“将在国内法和国际法的框架内开展行动”。

虽然澳大利亚希望借网络威慑战略来吓阻网络攻击,但能否如愿还有待观察。一方面,网络攻击溯源的技术难度较大,澳大利亚并不以网络技术见长[33],而若无法确定攻击方,最核心的威慑要素——回应——就无从谈起。澳大利亚虽可请求美国提供溯源情报,但两国的利益终究有别,美国是否愿意提供情报及其情报是否准确都难下定论。另一方面,澳大利亚在网络战领域尚无亮眼战绩,仅仅攻击过“伊斯兰国”这样缺乏研发能力和基础设施的弱敌,这让国家级对手很难相信澳大利亚拥有足够的报复能力。不过澳大利亚若能拉拢美国共同实施报复,则或许能够起到一定威慑作用。从将“国际合作”作为核心威慑要素来看,澳方也深知网络威慑的效果恐将取决于美方的支持力度。

4.2 大力扩充网络攻防队伍

虽然ASD是澳大利亚实力最强大的网络机构(ASD在2020年末时有1952人),但2020年版《澳大利亚网络安全战略》仍承诺在未来十年内将ASD的编制再扩增500人,而许多提及网络攻击行动的ASD官方声明也都附带招募信息。这些信息透露出ASD的网络攻击能力多半受到人才不足的掣肘,使其急于扩充网络攻防队伍。

澳军的网络攻防队伍比ASD更加孱弱,全军的专职网络人员在2019年末时仅300人左右(在著名智库贝尔弗中心发布的《2020年国家网络实力指数》和国际电信联盟(ITU)发布的《2018年网络安全指数》中,澳大利亚均排名第10,落后于中美俄以及英法德日等主要发达国家。),且因待遇不佳和工作难度而频频离职。为了能在2027年前按计划扩充至900人,信息战司推出了名为“澳大利亚国防军网络补缺项目”(ADF Cyber Gap Program)的培训项目。该项目提供了高额补助[35],并可颁发最高至硕士的文凭,这对经济条件一般的学员来说颇具吸引力。值得注意的是,除常见的网络安全方面课程外,该项目还包括网络作战规划课程,这意味着澳大利亚已将网络攻击视为无需避讳的“常规”网络能力,这种开放的态度无疑有助于吸引更多网络作战人才。该项目虽不强求学员加入澳军,但学员毕业后势必大多都将从事网络安全工作,这对提升澳大利亚全国的网络安全水平大有裨益。

4.3 积极加强政企信息共享

在澳大利亚的网络安全体系中,ACSC下设的“联合网络安全中心”(JCSC)承担着重要的桥梁和纽带作用。从2017年起,ACSC在布里斯班、悉尼、墨尔本、珀斯和阿德莱德等大城市相继开设JCSC,以便与当地的其它政府机构和企业进行交谈、举办培训和开展演练等。仅在2021年上半年,各地的JCSC就举办了200多场线上线下活动,期间向有关单位提供了高度敏感的网络威胁情报。截至2020年末,已有来自各级政府、商业界和学术界的667家机构加入了JCSC推出的“ACSC伙伴关系项目”。

2020年版《澳大利亚网络安全战略》在未来十年内为JCSC划拨了6700万澳元的高额预算(“持久性网络训练环境”(PCTE)是美国陆军为网络司令部开发的一款网络训练工具,其最大特点是受训人员可从全球任何地点登录PCTE的在线客户端,从而共同参与网络演训活动。),这反映出澳政府对JCSC寄予厚望。未来ACSC很可能在达尔文等其它大城市继续开设JCSC,以提升重要政府机构和企业的网络安全意识和威胁防范能力。

4.4 全面深化澳美网络合作

澳大利亚政府一向将美国视为最重要的盟友,不论是在美国发动的历次战争中,还是在美国建立的“跨太平洋伙伴关系”(TPP)和“四方机制”(Quad)等印太合作关系中,都每每能看到澳方的身影。在网络领域,除臭名昭著的“五眼联盟”外,今年9月结成的澳英美安全合作联盟“AUKUS”也将网络能力、人工智能和量子计算确立为三国的优先合作方向,而此前澳美两国于2020年11月签署的《网络训练能力项目安排》或许正是此类合作的前奏:按照该协议,澳军将使用美军的网络训练平台“持久性网络训练环境( “持久性网络训练环境”(PCTE)是美国陆军为网络司令部开发的一款网络训练工具,其最大特点是受训人员可从全球任何地点登录PCTE的在线客户端,从而共同参与网络演训活动。)(PCTE),美军则将根据澳方意见来改进PCTE。此外澳美两军也积极参加对方的网络演习,比如澳军每年都会参加美军主办的“网络夺旗”(Cyber Flag)演习,而澳军主办、美日等国参与的“护身军刀”(Talisman Sabre)军事演习也从2017年开始增设网络攻防科目。

澳大利亚的网络政策可谓是随美国起舞,其不但支持美国的“网络威慑倡议”,还早在2018年就响应美国号召,成为全球第一个禁用中国5G设备的国家。这背后主要有三大原因:一是美国以终止“五眼联盟”情报共享为筹码向澳方施压;二是澳大利亚将自身定位为西方国家、尤其是盎格鲁-撒克逊国家,对民族和文化相去甚远的周边国家抱有很深的不信任感,以至于不惜牺牲经济利益也要维持与西方、特别是美国的关系;三是随着中国国力的增长,澳大利亚担心其在印太地区被边缘化,于是希望通过加强澳美合作来“对冲”中国影响力。受这些因素的影响,不论未来澳中关系是否转圜,澳大利亚都将继续加强包括网络在内的澳美合作。

4.5 重金搅局印太网络建设

2020年版的《澳大利亚网络安全战略》声称将支持印度洋-太平洋地区的网络能力建设,以打造开放、自由和安全的印太网络空间。为此,澳大利亚外交与贸易部早在2016年就推出了面向东南亚和南太平洋地区的“网络合作项目”,而待该部任命的“网络事务大使”于2021年发布《澳大利亚的国际网络及关键技术参与战略》后,该项目又扩大为“网络与关键技术合作项目”(CCTCP)。澳大利亚为CCTCP投入了7150万澳元,并称CCTCP旨在帮助印太国家运用网络技术及其它关键技术。然而从公开报道来看,澳方并未向相关国家转移任何关键技术或启动任何基础设施工程,仅仅是每年向伙伴国提供最多3次名为“网络训练营”(Cyber Bootcamp)的培训活动。按照澳方的说法,该训练营将为东盟各国的政府官员提供专家建议和技能培训,以帮助他们了解网络及其它关键技术领域的机遇和风险,制定国家层面的网络决策,以及建立国际网络安全稳定框架等。

考虑到澳方为CCTCP投入的巨额资金,以及“网络训练营”由澳大利亚国立大学国家安全学院(而非IT院系)操办的事实,CCTCP的真实用意怕是操纵印太国家的网络安全政策,从而加强澳大利亚在网络及关键技术领域的话语权,甚至建立排斥他国ICT的统一阵营。不过尽管澳大利亚对CCTCP满怀期待,但该项目覆盖众多国家,分摊到各国的资源属实有限;更遑论其中的老挝、柬埔寨、巴布亚新几内亚和斐济等国更是经济水平低下、网络技术人员稀缺,对这些网络能力相当落后的国家来说,“防范国家级网络威胁”不论从经济上还是技术上都更近似于一种奢谈,因此CCTCP能起到多大效果,值得怀疑。

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。