文 | 对外经济贸易大学国际关系学院/国家安全计算实验室研究助理 萧德璋

网络攻击在近年来各国的冲突中愈发普遍,在俄乌冲突之前以及过程中,俄罗斯与乌克兰相互进行了对政府网站和基础设施服务网络的多次破坏性网络攻击。在 2022 年 2 月 24日冲突升级之前,俄罗斯发动了针对乌克兰政府机构等关键部门的大规模分布式拒绝服务攻击(DDoS)和数据擦除恶意软件攻击,乌克兰依赖以美国为中心的西方势力实施对俄罗斯的网络攻击。参战的双方不再局限于本国的政府军,对抗的成员扩展到非政府组织以及黑客志愿者。同时,虚假信息传播也伴随其中。俄乌冲突带来战争形态的变化,网络攻击、舆论攻击、信息对抗、封锁制裁等非常规、非对称作战与高强度的军事冲突结合成为“混合战争”,各国为此不断调整本国网络政策,增加在网络安全方面的资金投入,更加注重网络基础设施安全的维护,深化与伙伴国家的合作,以期在现代军事行动中维护本国网络安全以及掌握对外网络战的主动权。

一、欧盟在俄乌冲突后的网络政策调整

俄乌冲突中,双方针对能源网络、基础设施进行网络攻击,凸显战争中网络安全的重要性。为维护欧盟网络安全、提高欧盟对内维护公民安全和基础设施安全的能力,欧盟提出并修改多项计划和方案,应对日趋复杂的局势变化。

在俄乌冲突爆发初期,为增强共同防御能力,欧盟理事会于 2022 年 3 月 21 日通过“战略指南针”计划。该计划提出了为保护自己的公民并为全球安全和平做出贡献的“四大支柱”,即行动(act)、安全(secure)、投资(invest)、结成伙伴(partner),在每一个支柱下又设定了不同的目标、实现途径和时间表。针对欧盟和全球安全面临的局势更为动荡、复杂、碎片化的情况,以及其他国家或非国家行为体可能针对欧盟采用混合工具(hybrid tools),包括破坏性技术的滥用、网络攻击、虚假消息和其他有恶意影响的军事手段,欧盟将提高情报分析能力,开发混合工具箱和建设应急反应团队,将不同的工具结合在一起检测和应对广泛的混合威胁,进一步开发网络外交工具箱并设立欧盟网络防务政策,更好地预备及应对网络攻击。该计划是一项全面具体的军事合作计划,尤其关注技术、信息、数据、网络的重要性,还特别提到了“混合攻击”的危害。这体现了欧盟对数字时代数据和数字技术、信息和网络安全的重视,符合欧盟大力推进“数字转型”的趋势。

随着俄乌冲突的持续,欧盟委员会行政和外交部门在 2022 年 11 月 10 日提出了新的网络防御政策,旨在应对俄乌冲突导致的地缘政治局势,加强各成员国网络防御方面的合作,更好地保护、检测和防御来自外部的网络攻击。这份战略文件主要包括四方面内容。第一,成员国共同行动增强欧盟网络防御能力,加强欧盟成员国间和不同部门间网络安全协调和信息共享,将网络防御演习(CyDef-X)作为网络联合防御的合作机制,加强军事和民用网络之间的信息交流与合作,并进一步支持军事行动和共同安全和防御政策(CSDP)任务。第二,保护欧盟国防生态系统。国防生态系统包括国防部门在内的政府机构或公司、易被网络攻击的非关键软件组件等。进一步开展网络安全标准化和认证工作,在民用和军用网络终端设立统一的网络安全标准和认证体系。第三,增加网络防御能力领域投入。以协作的方式增加对现代军事网络防御能力投入,利用欧盟层面的合作平台和机制组建更多的网络快速反应小组,例如永久合作框架(PESCO)、欧洲国防基金和欧洲地平线计划和数字欧洲计划,加强欧盟内部的网络安全危机管理和欧洲国防技术与工业基础(EDTIB)建设,减少欧盟在关键网络技术上的依赖性,促进培训,吸纳网络安全人才。第四,合作应对共同挑战。在现有安全和防御以及与伙伴国家对话的基础上,寻求在网络防御领域建立更多元的伙伴关系。

为进一步加强网络防御并减轻来自俄罗斯的网络安全威胁,欧盟理事会在 2022 年 11 月 28 日通过了《关于在欧盟全境实现高度统一网络安全措施的指令》(Directive on Measures for a High Common Level of Cybersecurity across the Union)(以下简称“NIS2 指令”)。欧盟第一个“NIS 指令”是立法机构在 2016 年通过的《网络与信息系统安全指令》。2022 年的“NIS2 指令”目的是提高公共和私营部门以及整个欧盟的网络安全及事件响应能力。“NIS2 指令”将涵盖在关键领域运营的大中型政府和商业组织并且建立欧洲网络危机联络组织网络(EU-CyCLONe),支持大规模网络安全事件和危机协调管理。“NIS2 指令”要求在事件发生的 24 小时内向有关部门报告网络安全事件,修补软件漏洞,以及准备风险管理措施保护网络安全。

在俄乌冲突的影响下,欧盟网络政策调整具有以下特点。第一,更加注重成员国之间及欧盟境内大中型政府或商业组织的合作和相互之间的信息交流,使欧盟境内网络更加协调和易于管理。第二,更加注重维护基础设施安全,尤其是网络基础设施,包括基础服务运营商、数字服务提供者的网络与信息系统安全。第三,网络安全被置于更重要的位置,欧盟将投入更多的资金及人员,全方位加强网络防御能力,同时更加注重民用网络安全。

二、美国对俄乌网络活动的认知与网络政策调整

2022 年,尤其是在俄乌冲突爆发后,美国调整在两个方面的网络安全政策。对外方面,美国在多个东欧国家部署了网络“前出狩猎”行动,这些行动既有防御性,也带有进攻性。对内方面,美国则渲染来自俄罗斯的网络威胁,并提出“护盾”计划,维护国内机构网络安全。

(一)美国对俄罗斯的网络活动认知

认知是思维的工具,国家通常根据自身对他国的认知而做出判断并付出行动。美国针对俄罗斯在俄乌冲突以及冲突升级之前的俄罗斯网络战行为做出判断,并以此在网络空间采取防卫和进攻的新策略。

美国网络安全与基础设施安全局(CISA)在 2021 年 10 月发布的《俄罗斯网络威胁概述》(Russia Cyber Threat Overview and Advisories)报告对俄罗斯网络活动进行了评估。报告提到,俄罗斯实施恶意网络活动和大范围网络间谍活动,抑制社会和政治活动,窃取知识产权,并威胁地区和国际安全。俄罗斯政府支持的犯罪活动对美国和其他西方国家在新冠肺炎疫情、政府运作、选举机构、医疗保健和制药机构、国防、能源、核能、商业设施、航空和关键制造等不同行业和领域展开攻击。

2022 年 4 月 20 日,美国、澳大利亚、加拿大、新西兰和英国的网络安全部门共同发布的一份联合网络安全咨询报告《俄罗斯国家支持的犯罪网络对关键基础设施产生威胁》指出,俄乌冲突可能会使该地区面临更多的恶意网络活动。俄罗斯扩大在网络空间的活动是为了应对本国受到的前所未有的经济制裁以及美国及其盟国和伙伴国家对乌克兰提供物资支持的反制措施。该报告提供了俄罗斯政府支持的具有潜在威胁的黑客组织清单,目的是构建安全的网络环境并防范可能来自网络空间的风险。为此,美国不断调整网络安全政策并开展行动。

(二)与东欧国家开展“前出狩猎”行动

在俄乌冲突中,北约国家没有派遣军队直接参与冲突。除了对乌克兰武器援助以外,美国与俄罗斯在网络领域发生直接冲突。“前出狩猎”行动并不是纯粹的防御性行动,而是对俄罗斯发起的主动网络攻击行为。以往,美国对外部署军事行动人员的国家通常是在欧洲、中东以及印太地区,目的是对抗和制衡俄罗斯和中国。这种情况在 2022 年发生了改变。美国对外网络合作的国家大多变为东欧国家,原因之一是美国在俄乌冲突后将俄罗斯视为首要威胁,另一部分原因在于俄乌冲突爆发之后,东欧国家更加担心来自俄罗斯的网络威胁,因此,主动要求美国在当地部署网络国家任务部队,以单边的形式扩大网络军事合作和确保基础设施安全。

2022 年 11 月 15 日,美国网络司令部(USCYBERCOM)发布《网络 101:前出狩猎行动》(CYBER 101:Hunt Forward Operations)报告。报告指出,“前出狩猎”行动是美国网络司令部在伙伴国家邀请下,将网络国家任务部队(CNMF)部署到伙伴国家的防御性网络行动,目的是检测和识别网络恶意网络活动,增强伙伴国的国土防御能力及抵御网络威胁的能力。来自美国网络司令部网络国家任务部队的参与行动人员,负责保护国防部信息网络免受恶意网络行为和国外黑客攻击,并与伙伴国家共同寻找网络漏洞和恶意软件。美国网络司令部与部署“前出狩猎”小组的伙伴国家、联邦调查局(FBI)、国土安全部(DHS)等其他政府机构以及私营企业分享“前出狩猎”行动的成果。报告指出,美国不断受到敌对国家的黑客网络攻击,他们试图利用漏洞破坏美国社会和军事能力。同时,美国网络司令部也不断进行网络防御和攻击,消除潜在的网络威胁,并不断强化国防部信息网络安全。从 2018 年到 2022 年,美国网络司令部的网络国家任务部队与伙伴国家进行了 20 多次“前出狩猎”行动。美国网络国家任务部队被部署到 16 个国家,包括乌克兰、爱沙尼亚和立陶宛、北马其顿等东欧国家。

2022 年 11 月 28 日,美国网络司令部发布报告《入侵之前:在乌克兰的前出狩猎行动》(Before the Invasion:Hunt Forward Operations in Ukraine)指出,从 2021 年 12 月至俄乌冲突爆发后的 2022 年 3 月,美国联合部队与乌克兰政府密切合作,与乌克兰网络司令部人员一起开展防御性网络行动。在行动过程中,乌克兰政府为美国“前出狩猎”行动部队提供多个网络访问权限。相较于以往开展的行动,在乌克兰的“前出狩猎”行动使用了创新技术提供远程分析和咨询支持,并根据关键网络开展网络防御活动。2022 年 7 月,美国网络国家任务部队与乌克兰国家安全局(SSU)合作并共享新的网络安全信息,例如恶意软件、IoC(入侵指标)情报等。

(三)对内维护美国国内机构网络安全

美国网络安全和基础设施安全局(CISA)在 2022 年 4 月上线了“护盾”(SHIELDS UP)安全防护指引网站。网站文章指出,俄罗斯对美国的网络安全威胁来自两个方面,一是俄罗斯“入侵”乌克兰会对乌克兰以及其他国家的组织机构安全产生的影响。二是作为对美国及其盟友和伙伴国家对俄罗斯施加经济制裁的回应,俄罗斯可能发动针对美国本土的网络攻击活动。为此,CISA 针对团体、公司提出一系列防御措施。

一是降低破坏性网络入侵的可能性。在网络连接方面,验证所有企业网络的远程访问和管理员账号的安全性,并且需要双重验证进行远程连接,所有业务的非必要的网络端口与协议已禁用。在可能存在的漏洞方面,SHIELDS UP 提出确保软件更新到最新版,并且优先更新 CISA 已知识别的漏洞。确保 IT 人员在政府和商业组织内部使用的云计算服务的设备采用了 CISA 指南中的安全配置。通过注册使用 CISA 的免费网络服务包括提供漏洞扫描等安全检测功能,帮助政府和商业组织减少面临的威胁风险。

二是采取措施快速检测潜在的入侵行为。确保网络安全人员与 IT 人员能够识别与快速评估任何非预期或异常的网络行为并激活日志记录功能,以便更有效率地调查事件与问题。政府和商业组织的网络应该在杀毒软件的保护之下,且杀毒软件数字签名已更新。与乌克兰合作的企业需监控、检查与隔离来自乌克兰的流量,仔细审查这些流量的访问控制。

三是确保政府和商业组织在受到网络入侵发生时能够迅速做出响应。方法是在网络安全人员配备方面组织网络危机应急团队。团队成员依据技术、通信和运营等不同方面进行分配,在出现网络安全事件时共同处理。

四是政府和商业组织做到安全韧性最大化,应对破坏性网络安全事件。针对备份程序进行测试,确保政府和商业组织遭遇勒索软件或破坏性网络攻击的影响时能够快速恢复关键资料,备份的资料应处于无网络连接状态避免来自网络的攻击。工业控制系统(ICS)或运营技术(OT)应针对手动控制进行测试,确保在不可用或不受信任的情况下组织的网络关键功能依然处于正常操作状态。

三、日本在俄乌冲突后的网络安全政策调整

俄乌冲突爆发后,日本以最大限度地维护国家利益为目标,将俄乌冲突看作是国际秩序变革的转折点,以此为由加快本国修宪和构建军事大国的良机。在行动上,日本加强与北约和欧盟的合作,向乌克兰援助物资和对俄制裁,强化美日印澳“四边机制”,挑动地区对抗。在言论上,日本渲染“今天的乌克兰可能是明天东亚”等危险文字。

在 2022 年 7 月日本防卫省发布的 2022 年版《防卫白皮书》中,日本将俄罗斯、中国、朝鲜列为主要假想敌,将俄乌冲突视为俄罗斯单方面改变国际秩序基础的行为。针对日本面临的外部威胁,《防卫白皮书》提到,日本在加强自身方位体制和加强日美同盟方面构建“威慑力”,同时,在新领域,主要是太空领域和网络领域,将与美国和北约加强合作作为防卫政策调整的重点方向。日本防卫省计划在网络领域全面增加人力和财力投入,通过加强专门部队、参与实战演习、培养人才等,从根本上增强网络防御能力。

日本提高网络防御能力的做法主要体现在三个方面。一是参加北约合作网络防御卓越中心(CCDCOE)的“锁定盾牌”演习。2022 年,CCDCOE 接纳日本和韩国这两个亚洲国家,使其成员国数量达到 20 个,标志北约全球化进程取得突破。这将进一步强化西方对国际网络空间的支配,同时,在亚洲地区建立网络对抗中国的支点,更好地服务美国网络安全的战略需要。二是新组建自卫队网络防卫队。日本自卫队在 3 月拆分自卫队中分散的网络部门并集中组建一支由 540 名成员组成的网络防御部队,负责网络防御、管理信息和通信网络以及作战行动。这支新的部队在日本海陆空自卫队编制中隶属于陆上自卫队分支的电子作战队。三是日本陆上自卫队在 3 月举办了同美英法澳等国家的网络战比赛,加强与参赛国的合作关系。参与方就侦测攻击、掌握破坏范围、恢复服务器功能的方法和理念展开竞争,目的是应对俄乌冲突中表现出来的传统型战斗、切断基础设施网络和舆论战相结合的“混合战”模式。

随着全球网络攻击的频率和规模不断增加,2022 年 12 月 12 日,日本政府修改法律,允许在网络空间增强自卫的能力,变动内容包括引入“主动网络防御”以及将日本内阁网络安全中心改组为国家网络防御机构。此举是日本自 2013 年 12 月制定《国家安全战略》以来的首次修订,以便应对不断变化的地缘政治格局。此举将使日本政府能够保护如电网和金融网络的关键基础设施,也有望成为日本网络防御的转折点。

在网络政策外,日本政府在 2022 年 12 月 16 日临时内阁会议上通过修改后的《国家安全保障战略》《国家防卫战略》《防卫力量整备计划》等三份安全保障文件,强调拥有反击能力、加强国防力量的重要性。日本网络政策及防卫政策调整是“项庄舞剑,志在沛公”,以俄乌冲突为借口而不断武装化,目的遏制中国,成为北约在东亚的重要一环。

四、结 语

俄乌冲突深刻改变了世界局势,冲突中的网络战显示出在破坏基础设施、污名化敌方过程中的攻击能力,网络空间对抗已经融入现代军事行动。随着俄乌冲突的持续,各国在政策方面调整趋势逐步明朗,全球政治稳定面临更多严峻挑战。

在维护国家网络安全方面,各国应分析未来网络信息战争可能出现的各种情况和国家网络能力建设方面的不足,对关键信息基础设施采取去中心化式备份,防止在遭受境外黑客组织攻击时核心数据的安全。国家不仅强化政府机构的网络攻防能力,同时应注重对非政府机构以及个人的网络安全引导,普及公众对网络安全隐患以及潜在风险的认知。

在国际合作方面,各国应建立不排他的多边网络安全机构,分享网络安全漏洞,避免在网络空间形成势力划分以及技术限制的“新冷战”,实现互联网为每个人服务的目标。

(本文刊登于《中国信息安全》杂志2023年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。