二十世纪末,随着电子作战秩序、电子战、信息战和以网络为中心的作战等新概念的发展,战线的量化开始引起人们的兴趣。今天,现代武装力量的几乎所有组成部分都已经装备了以软件和硬件为支撑的系统。虽然大多数军事系统是通过与网络空间隔离来操作的,但有一些项目正在开发中,以便在不久的将来创建一个军事物联网。
网络威胁是所有在网络空间运行的系统最重要的安全问题。这就是为什么网络空间活动的有效开展取决于对网络威胁的积极定义、识别、分析和缓解。同时,属于网络安全范围的大多数概念可以有两种使用方式--就像网络武器可以用于网络防御和网络攻击。这就是为什么构成关键基础设施的部件被损坏会直接导致国家安全的脆弱性。因此,确保所有民用和军用层的有效网络安全,必须作为一个优先事项来对待。
"数据 "被定义为 "以有利于交流、解释和处理的形式表示事实、概念或命令",构成了当今数字化世界中最重要的组成部分之一,也被认为是涵盖所有生活领域的重要资产。包括人类在内的所有生物,以及地球上以技术为基础的系统都作为数据源运作。这些数据经过信息系统的处理,转化为信息,用于私人、一般或跨学科领域,并以持续的数据流的形式用于提高人们的生活质量和有效利用现有资源。在有效实现这一数据流的过程中,使用了由智能传感器、将提供快速和不间断通信的通信技术以及用于快速决策的决策支持系统组成的网络结构。在创建这些智能网络产生或使用的所有信息时,需要有效的接口软件、机器学习技术、网状网络结构和云计算技术来建立系统之间的通信标准。由于这些跨学科的技术,即时的数据变化可以被有效地跟踪,并可以进行迅速的决策过程。网络空间是一个高度动态的环境,被用来实现这种敏捷性。网络空间被定义为 "一个网络化的全球环境,其中信息技术基础设施,包括互联网、通信网络、计算机系统、嵌入式处理器和控制器,都是相互连接的"。
当考虑到这个定义时,网络空间代表了一个无限的综合物理/虚拟环境,不仅基于互联网,而且还有可以通过不同的网络结构相互交流的系统。换句话说,网络空间是一个环境,在这个环境中发生了获取、使用和存储数据/信息的过程。此外,虽然它是一个虚拟的环境,但其影响是物理的。
对网络空间概念的处理方法并不局限于对概念的定义,还包括确定其态势地位。在这种情况下,网络空间被定位为由陆地、海洋、空中和空间组成的四个维度之外的第五个维度。同时还指出,虽然这五个维度中的每个维度都被认为是相互独立的,而且交集区域有限,但网络空间的节点(连接点)与每个维度都有联系。网络空间,如图1所示,主要分三部分考察:物理层、逻辑层和社会层。在这三层中,物理层和社会层也被分为两个子部分。
图1:网络空间的层次
以下是这些层次及其子组件的总结:
物理层由地理和网络部分组成。地理组件是依靠现有网络工作的信息系统所在的环境。物理网络组件是有线/无线/光学基础设施以及提供接入这些基础设施的各种技术组件。
逻辑层规定了现有网络所连接的节点。这些通信节点包含了各种信息系统,包括计算机、智能手机和传感器。
社会层由现实和网络(虚拟)用户组成。虽然用户组件仅指实际存在的用户,但网络用户组件可以比实际用户组件多得多。
当我们思考我们使用的技术时,我们可以看到,网络空间层实际上是我们生活的一部分。这些环境包括教育、通信、所有能源生产资源、健康、金融、安全、银行、化学、国防、法律、运输、供应链、航空和空间。
在这些条件下,确保与网络空间通信的系统的安全与在网络空间中运行同样重要。这种保护涵盖了数据的不同过程,包括生产、存储和传输。需要保护的数据不仅包括数字,还包括物理价值。
物理环境可以概括为手写的文件、打印的文件和保存这些文件的文件、官方或私人信件/报告、传真打印件和会议室。数字环境可以概括为各种文件、电子邮件、数据库中的社交媒体数据、云计算系统、信息系统或外部记忆。也许其中最重要的信息来源是人。由于所有这些组件都在一个空间内运行,因此确保环境的物理安全也很重要。在这个阶段,信息安全的概念凸显出来,它被定义为 "试图通过为正确的目的和正确的方式使用正确的技术来防止不受欢迎的人在各种环境中获取信息资产,以保护信息作为一种资产免受威胁或危险"。
如图2所示,可以在三个主要标题下考察信息安全的组成部分:可访问性、完整性和保密性。
图2:信息安全组件
可访问性是指保护信息和信息系统不被未经授权的访问所破坏。及时和可靠地获取信息和信息系统。
完整性是指防止未经授权的编辑或删除信息,以确保信息和信息系统的准确、完整和完整。
保密性是指保护信息免受未经授权的访问或披露。它允许那些有权获取信息的人这样做,同时防止未经授权的人这样做。
当我们研究这些简短的定义和信息安全的组成部分时,我们可以说,信息安全的概念很广泛,足以涵盖所有共享环境的人和设备,从机构、校园、家庭或工作场所的入口门开始。然而,今天几乎所有与这些要素相关的技术都在继续与网络空间有关的活动。在线活动,特别是在COVID-19爆发期间,已经把我们的日常生活空间变成了一个正式的工作环境或教室。因此,安全的概念是通过确保网络空间维度的安全来实现的,所有这些因素都是共享的,而不仅仅是物理环境、产出或生产数据。这种对安全的理解将 "网络安全 "的概念带到了信息安全之外的最前沿。
国际电信联盟将网络安全定义为 "可用于保护网络环境、组织和用户资产的工具、政策、安全概念、安全措施、准则、风险管理方法、行动、培训、最佳实践、保证和技术的总体"。它包含了个人或机构通过用户资产和信息处理设备、人员、基础设施、应用程序、服务、通信系统以及与系统相连的网络空间设施所产生和/或储存的所有信息。
当我们研究这个定义时,我们可以看到,网络安全的概念涵盖了所有的虚拟和物理环境。当然,这些环境不仅包括信息系统的硬件和软件,还包括提供这些系统与所有使用网络空间的系统之间的通信技术。
为此,为了保护任何物体、生物或数据,我们需要知道我们会遇到什么样的威胁,换句话说,我们需要能够定义威胁。当涉及到网络安全时,研究这些威胁来源和威胁积极使用的方法是非常有用的。
网络威胁可以定义为利用网络空间环境破坏硬件、软件、物理环境等利益相关者的活动,并削弱系统的确定性的因素。对于所有在网络空间运行的系统,网络威胁构成了最重要的安全挑战。因此,网络空间活动的有效实现取决于有效的网络威胁识别、检测、分析,以及降低威胁程度/损害风险。在这种情况下,图3可用于要进行的基本识别活动。
图3:网络威胁
根据图3,首先,必须确定网络威胁是由人引起的还是基于软件的。通过这种分类,目的是确定使用了什么有害的软件,以及恶意的人用什么策略开发了该软件。
恶意软件是任何旨在损害在网络空间运行的任何系统或利用网络空间活动的软件的通用名称。最基本的恶意软件来源是病毒、木马、蠕虫、间谍软件、勒索软件、加密劫持和rootkits。以下是对这些恶意软件来源的简要描述。
病毒。最古老的恶意软件类型。它们可以存储在任何类型的传输文件中。它们可以修改现有的程序,并在创建适当的环境时将自己复制到其他信息系统。
特洛伊木马。伪装成无害程序的恶意软件,但在用户不知情的情况下进行感染,当被制造这种恶意软件的人激活时,可以导致你的文件被共享、修改、跟踪和删除。特洛伊木马不能自行感染另一个系统并成为活动的。
蠕虫。就像病毒一样,它们可以繁殖并感染信息系统。这种增殖在它所在的系统和它所感染的系统中都会出现非常大的数量。由于这个原因,它们导致信息系统的网络流量大量拥堵,并减慢网络连接访问速度。
间谍软件。它们用信息系统中的数据收集系统用户的信息,并与感染间谍软件的人共享。共享的数据可以是各种金融信息,如电子商务、银行和信用卡密码,以及信息系统中的所有数据和文件。
勒索软件。一种恶意软件,通过加密用户创建的文件或它们所感染的信息系统中的整个信息系统,使其无法使用。要求用户支付一定数额的赎金,以使信息系统再次被访问。
密码劫持。在用户不知情的情况下安插在用户的信息系统中。然后,它利用它所感染的信息系统的处理能力来挖掘加密货币。
Rootkits: 一种恶意软件,允许恶意者访问和控制目标信息系统。你的信息系统在被rootkit感染后会变成一个完整的僵尸信息系统。
后门程序。这些软件可以使传统的安全装置失效,并在用户不知情的情况下打开信息系统进行远程访问。特洛伊木马经常被用来制造后门。大多数情况下,它们在复杂的攻击之前被加载到信息系统中,并等待攻击的那一天变得活跃。
用户在网络安全漏洞的范围内发挥着重要作用。有些人可以用他们自觉/不自觉或有意/无意的各种习惯来破坏信息系统的安全,甚至可能造成网络安全的破坏。大多数与不知道或不自觉地造成伤害的活动,多与缺乏技术知识有关。在这些情况下,在这种活动中造成的损害可能不涉及系统的过程,因为它不是故意的和有组织的。然而,一些网络安全事件可能是由具有恶意的人直接进行的。
这些人为造成的网络威胁,无论是个人的还是有组织的,一般涉及四种类型的活动。
欺诈性目的:利用属于机构的数据谋取私利。
破坏信息技术。针对机构的大型和不可预测的行动,旨在阻止整个基础设施的可用性。
盗窃知识产权。未经授权泄漏属于公司的版权、专利、商标和商业秘密。
间谍活动。非法获取工业或政府组织的各种数据。
此外,当从整体角度审视这一过程时,不应忘记,恶意软件范围内规定的因素和人为因素可以一起使用。这种情况也预示着恶意软件和人为造成的威胁都将随着技术的发展而迅速转变。面对这些不断变化的威胁,由网络安全研究人员提出并有效使用的 "网络攻击生命周期 "的概念已经变得非常重要。
要讨论在网络空间运行的所有系统或受益于网络空间设施的100%安全环境是不可能的。这是因为信息技术的不断发展也转变了网络威胁的来源。最大限度地减少网络威胁的影响的方法是进行详细和最新的风险分析。为了使这种分析准确,需要可靠的数据。因此,有必要通过分析检测到的威胁数据来确定威胁,并确定威胁的类型和攻击阶段。换句话说,要针对威胁寻找 "它是什么?"、"它在哪里?"、"它做什么?"这些问题的答案。然而,当威胁来自网络空间时,就很难找到这些问题的答案,而且识别威胁所需的时间也很长。在这种情况下,可以做的是发展 "以网络威胁源为中心的思维"。帮助发展这一思想的最重要因素是被描述为 "网络攻击生命周期 "的过程,如图4所示。
图4:网络攻击生命周期
网络攻击的生命周期显示了网络攻击者的活动和攻击过程。在这个过程中,首先要确定网络攻击的目标。
在确定目标的过程中或目标确定后,通过使用端口扫描、社会工程、网络渗透和流量监测等方法收集目标系统的信息。在确定了薄弱环节后,开始分析如何捕获目标系统的策略。
在这个阶段,如何攻击目标信息系统,将使用哪种攻击技术,以及使用哪种网络攻击工具,如恶意软件的类型,都要决定。根据这些决定,目标系统被攻击,系统被渗透。在这种渗透之后,有针对性的目标,如窃取信息,改变信息,加密数据或信息系统,或删除数据,都会被执行。在信息系统的预定攻击活动结束后,现有的痕迹开始被删除。在这里,攻击者的信息和技术基础设施越强大,删除痕迹的活动就越成功。因为留下痕迹意味着促进或加速对信息系统中产生的异常现象的检测。出于这个原因,网络痕迹要尽可能有效地消除。最后一个阶段是评估由于这次攻击而获得的利益/收益。在完成这个周期后,开始寻找新的目标。换句话说,这个过程在其他目标或同一目标的不同组成部分中继续进行。
被攻击单位对这一周期的适当评估将有助于在检测、识别和追踪网络攻击者的阶段中获得重要线索。也许这里要考虑的最重要的问题是网络攻击中使用的威胁源对被攻击系统的影响,用利益/收益的表述来简单描述。准确地确定和识别这种影响可以成为阻止网络攻击者实现其目标的一个机会。
解决任何问题或议题的第一步是要从整体角度正确定义问题或议题,并发掘其相关性。在这种情况下,为了能够分析问题或议题,必须找到该问题的根源,并以科学的分析方法从部分到整体进行。换句话说,必须对根本原因和问题之间的过程进行正确的建模或分类。由于这种分类,由于需要集中关注的领域将从其他领域中分离出来,注意力将集中在事件上,能量将得到有效的利用。
为了在网络威胁影响评估的范围内得出结论,我们需要将威胁源与危害等级进行比较。在学术资料中使用 "网络威胁谱 "或 "网络威胁等级 "的研究中,最不应该忽视的一点是,这些分类/评估的威胁都可以针对个人、机构或国家。
图5是对 "网络威胁谱 "研究的图解,它表现为网络威胁的比较和这些网络威胁的危险程度。事实上,这个结构是为了分类而进行的,在我们的研究中,将从网络威胁影响评估的方法中进行研究。
图5:网络威胁谱
根据图5,有七种类型的网络威胁:个人网络攻击者,小规模的犯罪分子,互联网用于恐怖主义目的,网络间谍,有组织的犯罪分子,国家支持的网络攻击,以及国家支持的网络动能攻击。这些类型在一个由 "网络威胁 "和 "危险等级 "组成的二维宇宙中进行比较,并根据网络威胁的危险等级分类,从低到高进行划分。在这种情况下,"个人网络攻击者 "在威胁和危险等级方面的威胁最小,而 "国家支持的网络动力攻击 "的威胁影响值最高。在这里,"国家支持的网络动能攻击 "的一个例子是在没有任何物理接触/攻击的情况下,由于网络攻击而使发电设施无法运行。
在研究的第一种方法中,称为 "网络威胁等级",等级被分为五类:"网络破坏"、"网络欺诈"、"网络监控"、"网络间谍 "和 "网络战争",如表1所示。
表1:网络威胁等级
这五个威胁级别通过两个主要部分进行了研究。"网络攻击者的类型 "和 "网络攻击者的目的和目标"。在这个网络威胁分类中,影响值最小的级别被定义为 "网络破坏",由小型攻击者团体代表,而被列为影响潜力最大的 "网络战争 "则由军事单位代表。
在网络威胁等级范围内进行的另一项研究中,网络威胁通过五个类别进行研究:黑客行动、网络犯罪、网络间谍、网络恐怖主义和网络战争,如图6所示。这些类别与三个影响值相比较:动机、行为者和目标。
图6:网络威胁等级
在这里,虽然网络威胁的影响值(严重性)从 "黑客行动 "增加到 "网络战争",但每个网络威胁所包含的问题都从其动机、参与活动的行为者和他们的目标方面进行审查。
在此背景下考察的三项研究统统显示在表2中,并注明了作者的名字:
表2:网络威胁评估总表
在这三项研究中--在内容和出版日期方面都不尽相同--最低的威胁级别被认为是基于人的威胁,而最高级别的威胁评估则被列为 "网络战"。然而,网络威胁评估不是一个结论,而是一个过程的开始,这个过程将成为确定网络攻击有效性的基础。在这种情况下,人脑的功能结构可以作为分析过程的一个模型。
人脑在分析任何问题时,会评估其环境中的现象,并在三维尺度上形成一套解决方案。除了本节所述的三项研究,另一项研究设计了一个三维的网络攻击空间,如图7所示,并关注网络攻击的影响程度:
图7:三维环境模型中的网络攻击效果
网络攻击包括三个方面。"攻击严重程度"、"转化过程 "和 "攻击持续时间"。因此,要进行的攻击的有效性是在三个轴上评估的,彼此不同,并且是综合的,如图7所示。
例如,假设图8中所示的字母A、B和C代表三种不同的网络攻击。
图8:网络攻击有效性的三个维度的实例说明
在这里,当我们看A、B、C三个维度的网络威胁的预测时,我们看到影响值是不同的。例如,可以看到B1>A1>C1是在 "攻击严重程度 "轴上,C2>B2>A2是在 "转化过程 "轴上,C3>B3>A3是在 "攻击持续时间 "维度上。换句话说,虽然B网络攻击源对 "攻击严重性 "轴的影响最大,但C网络攻击源对 "转化过程 "和 "攻击时间 "轴的影响最大。因此,在威胁评估阶段对差异进行分类是非常重要的。我们评估这种威胁的速度越快,应对所需的时间越长,威慑的程度就越成功。
"威慑 "一词被定义为 "采取措施防止和阻止侵略的工作"。换句话说,"它是指在不以现有手段进行任何攻击的情况下,使对方中立的能力"。虽然它多用于军事文献,但网络威慑的概念在学术文献中也占有一席之地,特别是自2010年代以来,人们将网络空间视为威胁源,并将网络威胁视为网络物理环境中的有效元素。
特别是在旨在发展网络战概念的研究中,网络威慑被强调,可以用图形来表达,如图9所示。
图9:网络威慑
在这种分类中,与国家战斗力和效果有关的威慑指标按照外交和经济条件(尽管所有条件都很重要)、网络能力、物质力量水平和核能力进行分级。在这种情况下做出的排名中,虽然外交和经济条件被评价为具有最少的威慑水平,但核能力被认为是最重要的力量倍增器,即具有最高威慑系数的组成部分。因此,根据这一评价,仅仅拥有核能力就可以提供最高水平的威慑力。
在2009年进行的研究六年后进行的另一项研究中,图10中规定的条件引起了人们的注意。
图10:可能的张力模式
根据图10中的图表,核能力自然保持在顶端的位置,而网络攻击则根据其规模/体积条件位于动能攻击的下方和上方。这表明,在当今世界,大规模的网络攻击已经几乎等同于核能力。事实上,由于使用核武器会造成长期的健康(放射性)威胁,所以核武器只能继续发挥威慑作用,而大规模的网络攻击却可以在很多领域发挥作用。此外,由于核武器是在国家的控制之下,它们可能更容易控制。然而,网络攻击者可以很容易地进行不同层次的网络攻击,如图5和图6以及表1和表2中的图表所示。
网络攻击如此有效,而且几乎达到了核武器的效力水平,这就提出了一个问题:战略是否是效力的唯一决定因素。虽然所确定的策略在这些攻击的有效性中占有重要地位,但实现这些策略的最重要因素是攻击中使用的恶意软件类型,我们可以称之为网络武器。
在过去和现在,正常的武器系统被称为 "经典(常规)武器",而 "大规模杀伤性武器 "则根据其影响因素被列为 "经典武器",并以其使用的技术名称来称呼,如 "生物武器"、"化学武器"、"核武器 "和 "网络武器"。
除网络武器外,所有的武器都是通过各种平台向其目标实际发送的。它们造成的物理破坏程度是确定的,其结果可以通过物理方式进行评估。另一方面,网络武器不由任何外部平台携带,不由任何系统引导,其破坏程度也不能被传统的侦察工具发现。然而,它们造成的物理影响至少与其他武器系统一样多。
导向导弹可以被研究为除网络武器以外的所有弹头的最先进武器系统。导向导弹由四个基本部分组成:推进系统、搜索线圈、制导系统和弹头(弹药),如图11所示。
图11:制导导弹的基本部分
这些部件是:
制导系统,包括设计有主动、被动或半主动制导方法的搜索线圈,根据使用环境配备红外(infrared-IR)、射频(RF)或各种探测器,以及比载人航空平台更优越的机动系统。
火箭发动机是决定导弹速度和射程的推进系统。
根据影响和破坏程度准备的炸药。
在网络武器中,将瞄准网络目标的制导系统、提供推力的发动机系统和影响破坏程度的弹头,都聚集在恶意软件中。因此,开发、使用和确定网络武器效果的所有活动都是在网络空间条件下进行的。然而,网络武器攻击的后果往往可以在一定时间后表现为物理破坏。如果你没有一个强大的网络防御系统,你甚至可能没有意识到攻击已经进行了很长时间。
网络武器的识别或监管不仅在国际法研究者中,而且在信息技术和国际政治的专家以及安全研究者中都被认为是一个未解决的问题。换句话说,考虑到网络武器一词的各种技术、法律、安全和政治方面,不太可能确定一个普遍接受的定义。这种模糊性类似于缺乏国际公认的恐怖主义的定义。
然而,虽然这种不确定性只表现在定义上,但对网络武器的研究仍在继续。图12展示了利用另一项专注于网络武器不同层面的研究,在演示方面做了一些补充的概念性表述,并在同一来源的范围内总结了与此过程有关的评价。
图12:网络武器使用理念的概念表述
在这里,行动者表示国家、非国家实体,以及这两个因素共同使用的混合地区。"国家 "指的是政治结构、治理的政府和属于这些国家的官方机构。这种高级别的形成具有经济、政治、技术和军事设施,并在一定的过程中创造战略,按照这些战略设计/已设计,测试/已测试,一旦评估到必要性,就可以使用。然而,像国家机关这样的大型结构往往不可能在这个过程的范围内采取行动和迅速行动。
另一方面,非国家行为者可以根据个人的、意识形态的、经济的或道德的价值观采取行动,而不需要与国家组成部分接触。这些结构中的大多数,我们可以标记为黑客、网络专业人士、安全研究人员、私人组织或机构,可以更灵活、更快速地完成网络武器的开发过程。虽然国家在常规武器方面更有经验和生产力,特别是考虑到他们的经济手段,但由于经济资源有限,非国家行为者更有动力专注于开发网络武器。
混合行为体所表达的问题代表了国家和非国家行为体,或者非国家行为体和恶意的个人或组织联合行动的情况。这些网络武器可以被有经济或社会关切的国家使用,也可以被恶意的组织用于网络恐怖主义、网络犯罪和网络战争攻击等活动
第二步是根据网络空间内外的行为者所确定的目的/目标来定义目标,并在定义的目标中选择适当的目标。在这个过程中,选择目标并确定其优先次序,可以简称为 "目标选择过程"。
虽然在研究中没有提到,但在这个过程的范围内,有必要设计或提供针对目标的网络武器。
在采取行动的范围内,根据行为人的目的,确定用指定的网络武器对目标进行攻击。
在所有这些过程进行后,对所使用的网络武器对目标的影响进行检查。就像在物理攻击中,可能会遇到理想的效果,也可能会遇到不想要的效果。在这两种情况下,这些影响都是根据预期或意外的结果来评估的。
在一项调查网络武器控制的可能性的研究中,网络武器被分为三个部分进行评估。
仅用于攻击或造成伤害的攻击性武器。
仅用于攻击或伤害目的的网络攻击武器。
用于保护免受网络攻击武器攻击的网络防御武器。
如前所述,尽管网络武器的概念存在不确定性,但关于这个问题最详细的研究可能是由Maathuis等人完成的。
在这项研究中,网络武器的发展过程被确定为识别、侦察、设计、开发、测试、验证、入侵和控制、攻击、维护和渗透。
随着 "电子战争秩序"、"电子战争"、"信息战争 "和 "以网络为中心的行动 "等概念的出现,战线的数字化已经提上日程,这些概念在20世纪末开始发展。目前,我们看到,现代武装部队的几乎所有组成部分都配备了软件和硬件支持的系统。尽管大多数军事系统在与网络空间环境隔离的情况下运作,但他们正在开发项目,以便在不久的将来创建战场物联网基础设施。虽然今天没有任何发展可以给出具体的例子,但通过学术界各科学分支提出的论文,可以了解到发展的领域。计划或设想在此范围内的环境包括军事(友好和威胁)和民用传感器节点,除了现有的智能传感器外,还包括三维雷达和激光图像检测和测距传感器。这些网络结构的规划量将涵盖广泛的网络地理,从小型机载计算设备到强大的边缘云。这种硬件驱动的环境还必须得到时间、性能/功能、安全和可靠性的支持。在这种情况下,它需要利用侧信道传播发现民用和威胁节点的算法,需要快速自上而下合成特定任务军事对象的互联网功能的算法,以及风险评估。报告还指出,将需要用算法支持传感器观测,以利用传感器观测的物理动态,确保在数据污染的情况下进行安全和灵活的情况预测和控制。
网络战的原则在八个小标题下进行审查。"没有物理边界"、"物理(动能)效应"、"保密性"、"可变性和不一致性"、"身份和特权"、"双重使用"、"基础设施控制 "和 "信息作为作战环境"。这些小节总结如下。
在物理世界中,每个平台都在其定义的地理区域和指定的时间范围内运作。距离和空间的物理限制并不适用于网络空间。网络空间的物理距离既不是执行攻击的障碍,也不是执行攻击的促进因素。一个网络攻击可以从世界的另一端或从隔壁的房间以同样的效力进行。虽然在动能世界中实现目标有物理限制,但在网络空间中探测和捕获目标没有类似的限制。网络攻击者甚至可以在不消耗大量时间和/或材料的情况下创造和制造多个网络武器的副本。
网络战的目的是为了创造物理效应。这涉及到物理损害或简单地影响目标行为者的决策过程。一个最热门的问题是,哪些网络事件应被视为网络战争。我们所说的实体战争的概念一般是以使用国家的武装部队的形式实现的。这在联合国的立法中得到了明确的阐述。
然而,国际上对网络战并没有明确的定义。关于这个问题最重要的研究是剑桥大学出版的《塔林手册》,其第一版和第二版都以数字形式出版。
网络战概念的另一种方法包括针对关键基础设施的网络攻击。"关键基础设施;容纳信息系统的基础设施,如果其处理的信息的保密性、完整性或可访问性受到损害,这可能导致生命损失、大规模经济损失、国家安全赤字或公共秩序的破坏"。
在这种情况下,对伊朗纳坦兹核设施的网络攻击被认为是第一个网络战事件。简而言之,网络攻击的目标不是可能造成核污染的物理攻击,而是使该设施中心的反应堆失效。为了做到这一点,该攻击旨在加速、减慢和破坏离心机系统的稳定性,而离心机是反应堆的一个重要组成部分。为了实现这一目标,对控制上述系统的SCADA系统的网络攻击已经提上日程。在这种情况下创建的恶意软件被发送到伊朗,转移到设施信息系统,加载到生产阶段使用的微控制器上(制造商不知情),并在攻击当天激活。这次攻击的出现是通过调查这种破坏的根源进行的,因为它在不同国家的设施中被激活,这些设施收到了加载有恶意软件的其他微控制器,并发生了类似的破坏。这次攻击以 "stuxnet "的名义开始了网络战的历史。
人们可以采取积极措施隐藏在网络空间,但我们在网络空间所做的一切是可见的。不存在完全隐藏的事情。只有较少的可探测的痕迹,即试图隐藏现有数据流中的异常值。因此,在网络空间中不能采取类似于在物理世界中通过冷却红外信号来隐藏雷达能量的步骤。相反,它试图从现有的数据流中存储证据。
在网络战中,差异可以转化为不总是以相同方式进行的攻击,改变攻击的环境,以及攻击性能的波动。网络空间不变的一面是需要物理世界的变化。例如,除非物理世界中的人使用更快的处理器,否则软件性能不会超过计算机的处理能力。通信带宽将受到通信基础设施的限制。
这一原则的一个影响是,你永远无法确定攻击中的某一步骤会成功。攻击是利用数据路径来计划的,这些数据路径表明系统状态从最初的威胁访问到到达目标点的变化。这个过程中的每条路径都包含了一组攻击方案,或一组特定攻击者可以到达的攻击方案。
网络空间中的某些个人可能具有执行攻击者想要执行的任何操作的权限、访问权限或能力。攻击者的目标是尝试获取该人的身份以隐藏其身份。
网络战平台是双重用途的,就像实体作战系统一样。使用最新技术的战机(如F-16)既可用于攻击地面目标,也可用于从空中防御敌机。决定这种使用方式的最重要因素是使用的弹药。在网络战中,同样的工具被用于攻击和防御,既有硬件也有软件。例如,在攻击时使用漏洞扫描器,而类似的浏览器则用于寻找和修复其系统的弱点。同样,网络管理员用于诊断网络问题的设备也被攻击者用于侦察。
防御者和攻击者都控制着他们所使用的网络空间的一小部分。谁能控制对手使用的一部分网络空间,谁就能控制他的对手。出于这个原因,渗透测试等方法是通过事先模拟对其网络的攻击来确定对威胁的脆弱程度。
在物理战争中,地形条件、天气、威胁部队的位置等要素都会影响作战环境,而在网络空间环境中,这一过程由信息系统、依靠现有网络工作的有线/无线/光学基础设施以及提供进入这些基础设施的各种技术组件组成。因此,在实体战和网络战环境中,信息被认为是最重要的力量倍增器。
在建立有形的武装力量中,最重要的组成部分应该是人员、情报、后勤和行动。所有这些领域都构成了一个重要的军事力量要素,具有强大的指挥-控制-通信-计算机-情报-监视-侦察结构。
就网络战而言,在使用类似结构的网络空间环境时,图13中总结的结构尤为重要。
图13:网络作战环境的整体分析
在传感器系统以及动能和网络武器系统出现的同时,一个不间断的安全通信网络也开始发挥作用。在这种情况下,这些系统的摘要可在以下小标题下获得。
网络指挥和控制系统负责与计划活动的人/人一起成功完成既定任务,如路由、协调和控制,以及用各种方法和技术定期检查人员、设备、网络基础设施和安全软件的过程。
为了有效管理这个过程,有必要确定检测到的数据是否有害,并进行威胁分析。如果确定或强烈怀疑存在威胁,就有必要根据威胁等级来确定所要采取的措施。
在这种情况下,属于或可能属于威胁的要素可以列举出人为的威胁、含有恶意软件的网页/应用程序、将网页用于有害的宣传目的、信息系统的破坏/功能障碍/将其变成僵尸(僵尸网络)信息系统、通过夺取智能网络结构中的传感器创建的假数据传输,以确保系统的安全,以及对关键基础设施的攻击和同时对不同目标的攻击。
各种来源产生的信号,如声、光、压力、电磁散射、频率等,由特殊设备定义,并由这些设备转换为电信号。然后它们被传输到信息系统或其他智能网络系统。执行这种识别和转换过程的设备被称为智能传感器。
图14:智能传感器
以图14的工作原理为模型的智能传感器,通过传感元件检测其环境中可以识别的标志,并将其转换成电信号。然后,转换为要在 "信号调节层 "处理的格式的信号被直接传送到微处理器。由微处理器制作好的信号被传输到评估中心或其他智能网络节点。智能传感器最重要的特点是体积小,能量需求低,灵敏度高,能快速处理数据,使用效果好。这一过程的有效创造取决于对来自各种来源的数据的有效管理和不间断地将数据传输到中央服务器。
基于物联网创建的网络物理环境被用于作战环境以及民用环境,被称为战场物联网。然而,自21世纪初以来,这一领域在军事文献中被称为以网络为中心的行动或以网络为中心的战争。
当我们检查武器系统时,我们可以看到,许多武器系统和平台,不管是哪个部队指挥部,都是由软件支持的,并且是基于嵌入式系统的。在这种情况下,将拥有最先进技术的武器系统/平台--其开发工作继续处于高度保密状态--是第六代战斗机。根据所描述的项目,一项洞察力研究(STMThinktech)准备了一张关于可能使用的技术的信息图。该图片中的技术总结如下。
人工智能。与无人驾驶航空器(UAV)机群的协调
与盟国在地面、空中、海上和太空平台的强大传感器连接
更大的机身和更高效的发动机
结合传感器信息和图像使用的飞行员头盔
真正的以网络为中心的行动
网络战和网络安全能力
有能力使用定向能量武器
利用电子干扰、电子战系统和红外调光提高隐蔽性
可选择作为有人驾驶式空中平台
人们认为,第六代战斗机将通过放置在固定硬件上的软件获得作战功能,就像第五代战斗机一样。在这种情况下,所有系统都会成为网络战的一个组成部分。然而,由于智能传感器的存在,几乎无限的操作区域可以使这些平台像指挥和控制中心一样运作。出于这个原因,特别是以网络为中心的行动/以网络为中心的战争在这个过程中发挥了关键作用。
以网络为中心的战争的概念广泛地描述了 "一个网络化的力量可以用来创造决定性战争优势的新兴战术、技术和程序的组合"。它用陆地、海洋、空中和太空的维度来模拟作战环境,并将使用这些维度的平台(连同它们使用的设备)放在一起。在这个概念之前,它发展了电子作战区的概念,显示为三维,并发展了即时成像和操作设施。
用于军事目的的电磁系统和定向能被用来监测电磁波谱,收集信息,控制或攻击敌人,并在必要时阻止电磁波谱的使用。
电子战由三个主要部分组成:电子支持、电子攻击和电子保护。这些部分的基本分项如图15所示。
图15:电子战部门
电子支持:它是紧急威胁探测的电子战部门,包括搜索、探测和识别有意识/无意识的电磁能量发射源的活动。它由导航和威胁警告两个子项组成。
电子突击:它是电子战的一个分支,涉及用电磁系统或定向能武器攻击电磁系统,以减少、抵消或消除电磁威胁的作战能力。它包括反传播导弹、定向能、干扰和欺骗。
电子保护:这是电子战部门,涵盖了保护人员、设施和设备免受友军或敌军电子战活动的影响,以减少、消除或破坏友军的作战能力。该部门由传播控制、电磁加固、电磁频率碰撞预防和其他过程/措施等子项组成。
一个人需要信息和各种获取或生产信息的手段,以保护自己的个人,了解和检测攻击,并对防御方法做出决定。简而言之,防御是保护系统免受攻击的行为。因此,网络防御指的是一个积极的过程,确保正在进行的关键过程免受攻击。
虽然网络防御的概念是为了保护我们的网络基础设施,但它也在制定战略以在必要时对抗网络攻击方面发挥了积极作用。在这种情况下,首先,使用和管理我们的网络资产的人的个人意识,以及专家关于他们的职责和其他活动的知识应该不断地进行转变,这将有助于支持基于威胁数据的决策。当然,在收集用于这一过程的数据方面,传感器的使用是非常重要的。通过这些传感器,可以预测诸如攻击的能力和策略等要素。根据情况分析所产生的数据,可能需要启动防御系统。这个过程可以被简单描述为网络指挥和控制。在这种情况下,虽然指挥部研究选项并根据决策过程范围内的情况迅速进行评估,但控制方面是一个既定的系统,以沟通决策并在整个系统中可靠地执行它们。
到目前为止提到的几点是对网络防御的全面回顾,也有人指出,"网络情报 "应该作为一个额外的因素加入到这些层面。通过这些方法,网络防御活动可以通过将从过去的攻击中吸取的教训纳入指定的流程而得到加强。
当对当前的网络安全活动水平进行评估时,可以看到它们在个人安全和有关国家安全方面都有了发展。然而,个人因素的简单错误会直接影响一个国家的安全。出于这个原因,需要制定高水平的措施。
在这种情况下,"根据'部长会议关于开展、管理和协调国家网络安全工作的决定(BKK)'和2012年10月20日政府公报中编号为28447的第5809号电子通信法,准备和协调与提供国家网络安全有关的政策、战略和管理计划的任务被赋予运输、海洋事务和通信部的责任,"根据同一法律,土耳其成立了一个 "网络安全委员会"。
土耳其网络安全集群是在土耳其共和国国防工业主席的领导下,在所有相关公共机构/组织、私营部门和学术界的帮助下建立的,作为一个平台,根据土耳其在网络安全领域生产技术并与世界竞争的主要目标,发展我国的网络安全生态系统。平台活动是在总统府数字转型办公室的支持和协调下进行的。
在土耳其2023年愿景框架内确定的国家网络安全目标如下。
全天候保护关键基础设施的网络安全。在国家层面拥有网络安全领域的最新技术设施。在业务需求的框架内发展国内和国家技术机会。
继续发展主动的网络防御方法,基于对网络事件的反应是一个整体,涵盖了事件发生前、发生中和发生后。衡量和监测网络事件应对小组的能力水平。提高网络事件响应团队的能力。
通过基于风险的分析和基于规划的方法,提高企业、部门和国家对网络事件的准备水平。确保机构和组织之间的安全数据共享。
确保数据流量的来源和目的地都在国内。在关键的基础设施部门制定一个管理和监督网络安全的方法。
防止生产商在关键基础设施部门对信息技术产品的依赖。确定确保下一代技术安全的要求。支持创新的想法和研发活动,并确保实现其转化为国内和国家产品和服务。
社会各阶层安全使用网络空间。保持活动,使整个社会的网络安全意识保持在一个较高的水平。
在机构和组织中建立企业信息安全文化。确保儿童在网络空间受到保护。加强人力资源,为对网络安全感兴趣的个人或想在这一领域从事专业工作的个人提供项目。
在正规和非正规教育中传播网络安全培训,丰富培训内容。制定机制,确保与国家和国际利益相关者的信息共享和合作。
尽量减少网络犯罪,提高威慑力。建立机制,确保在互联网和社会媒体上分享准确和最新的信息。
在其他有效利用技术的国家和我国一样,都在制定网络安全战略。在这种情况下,下面介绍美国、俄罗斯、中国、英国、以色列和伊朗确定的政策和战略。
美国公共部门和私营部门联合行动,保护关键基础设施。
在公共和私营部门之间共同行动,对付可能来自网络空间的攻击,以及提出发展这种联合行动的策略和计划,鼓励和支持私营部门履行其在网络空间领域的职责,并在所有这些目标的范围内发展一个联邦系统。
提高美国企业和雇主部门以及整个社会对网络攻击的认识,重视在联邦一级对这个问题的培训和指导活动。
由于俄罗斯日益增长的网络力量和网络挑战对美国的安全构成严重威胁,制定计划以消除这些威胁。
由于中国对美国构成威胁,特别是在网络间谍活动领域,美国应采取必要措施,保护其技术创新和私营部门的商业利益。
保护农业和食品部门、饮用水和公共卫生及应急系统、社会保障、信息和电信基础设施、能源、交通、银行和金融及化工部门、邮政和航运系统的所有官方计算机、软件和网络技术为国家关键基础设施,并保护这些领域免受网络攻击。
认识到网络空间是全球一级的共同使用领域,这些领域应该是安全和自由的,以确保货物和服务、思想、企业家和资本的自由流动。在此背景下,美国应采取各种措施确保这些自由机会,在此背景下,应在全球范围内打击俄罗斯和中国对互联网进行分割的技术和行政措施。
美国应全力支持有关国家打击旨在破坏盟国稳定的网络攻击。
在格拉西莫夫学说提出的原则范围内,俄罗斯旨在通过将不具有军事性质的方法纳入其军事能力,以较少的常规力量指导和管理热点冲突的进程,从而减少人员损失和代价。在这种情况下,在军事干预之前,它的目的是通过对目标地区、国家、社区或国家的网络攻击来获得优势,消磨目标,用心理战的方法压制它,打击它的士气,打破防御阻力,破坏其关键的基础设施,并损害其经济。
在网络行动范围内提供对实现经济增长和稳定有重大影响的新一代技术。
控制互联网以维持国家治理,从而控制当地的分离主义团体和可能的社会动荡。
制定针对以网络技术为中心的对手信息战计划措施,反击旨在干涉国家内部事务的活动。
针对外国情报部门对中国计划的网络间谍活动,建立有效的反合同结构。
在源于网络空间领域的新一代技术所提供的可能性范围内支持军事能力,以及准备针对潜在对手军事力量的关键基础设施的计划。
组织针对目标地区和政府的信息战战略和以网络技术为中心的网络活动。
防御:英国政府必须确保加强国家IT基础设施的防御,并确保其免受针对英国关键数据和系统的网络威胁。为了实现这一目标,公共和私人部门应共同行动。
威慑:英国应加强现有的对网络威胁的主动和被动的抵御能力,并创造一种有效的威慑观念。
发展:英国政府必须提高英国的网络能力,以应对网络威胁。在这种情况下,英国不断增长的网络安全产业的发展应该得到支持。
凭借其战略计划,以色列是全球网络安全经济中的一个典范。以色列的公共当局根据国家的安全和商业利益,以具体的经济计划鼓励私营部门在网络安全领域的发展,在这种激励下,以色列的各个大学和研究中心都专注于网络安全领域的研发研究,并不断在这个领域创造新的发展和揭示产品。
在这种情况下,根据经济合作与发展组织(OECD)的数据,以色列已经成为世界上领先的国家之一,将其国民生产总值的约4%(100亿欧元)分配给科学研发支出。此外,以色列的信息、通信和技术部门正在迅速增长。2014年,以色列在全球网络安全行业的份额增长了8%,达到60亿美元。另一方面,据了解,2016年,以色列有超过350家大大小小的公司在网络安全行业运营。这个数字在2017年迅速增加,达到420家活跃的公司。其中26家网络安全公司跻身2017年世界上最活跃、发展最迅速的500家网络安全公司之列。
在针对核设施的Stuxnet攻击事件发生后,伊朗出于报复性反应,加快了网络安全工作。然而,伊朗提高其网络攻击能力的努力,当初是以报复的动机而加速的,现在已经变成了一个目标,即通过以下时期的措施使伊朗成为网络空间的有效行为者。在这种情况下,伊朗将拥有强大的网络攻击能力作为其国家目标。这一目标的背景基本上是,不是全球大国的伊朗希望利用网络空间提供的不对称优势,在中东地区与美国、沙特阿拉伯和以色列进行权力斗争。
在伊朗的网络攻击能力中,网络安全最高委员会、革命卫队、伊朗情报部、网络司令部以及与这些机构有联系的伊朗网络军队的代理结构在决定网络政策方面具有重要作用。
伊朗的网络攻击目标似乎与伊朗传统的国内和国外的防御重点相一致。
网络安全的概念--考虑到今天的技术层面--现在是一个不能被放弃的领域。这个概念被认为是一个不仅与个人,而且与部门、组织、机构,当然还有国家密切相关的领域。虽然它只由两个词组成--网络和安全,但这只是冰山一角。构成网络安全的组成部分有哪些?当我们问起时,我们可能一开始并没有意识到这个主题有多深。我们可以把构成这个领域的一些组成部分表达出来,如图16所示。
图 16:网络安全组件的选择
当我们研究图16中的网络安全组成部分的选择时,可以看到这些组成部分既与民用也与军事有关。因此,网络安全范围内的许多现象具有双重用途(正如网络武器可以用于网络防御和网络进攻的目的)。因此,当我们将网络安全的最高层视为网络战时,这一概念将不限于武装部队,还将涵盖构成国家权力要素的所有层级的责任领域。特别是,图16中最右边一栏所示的人工智能、大数据和物联网的组成部分,也应被视为能够使这一过程进一步复杂化并使威胁类型敏捷化的技术。
当我们特别关注军事系统所创造的环境时,可以看到在物理战场上使用的所有武器系统和平台所创造的维度已经成为收集、生产、共享和使用数据范围内的网络物理环境。出于这个原因,有可能谈论军事大数据环境。在这种情况下,即使作战数据在某些环境下是加密或匿名的,但几乎是PB级的数据被生产、共享和存储的事实表明,这一领域对网络活动(网络间谍活动、恐怖主义、攻击等)是开放的。在所有这些发展的背景下,使用 "军事物联网 "的概念而不是以网络为中心的行动或以网络为中心的战争的概念是合适的。我们可以借助图18来总结军事物联网结构在网络防御-公共安全范围内的重要性。这种结构也可以作为一个指标来评价,即要安装和使用的系统有多复杂。特别是军事运行环境,应该有一个网络安全盾牌。
图18:网络防御-公共安全和军事物联网
此外,考虑到敌方部队和友方部队都在一个有效的人工智能平台上共同行动,探测、识别和干预系统中恶意软件造成的异常情况将同样困难。
在这种情况下,如果我们把大数据、军事物联网和人工智能技术放在一起评估,并在网络安全的大框架下进行整合结构,我们可以说这个过程是双向作用的,存在防御/攻击、朋友/对手等困境。
考虑到这些组件可以影响所有民用/官方安全层,保护 "关键基础设施 "是非常重要的,它被定义为 "包含信息系统的基础设施,当它们处理的信息的保密性、完整性或可访问性被破坏时,可能导致生命损失、大规模经济损失、国家安全漏洞或公共秩序的破坏"。构成关键基础设施的部件受到损害,可能导致国家安全的脆弱性。
出于这个原因,确保所有层面--平民和军队--的有效网络安全应被视为重中之重。在确定有效的网络安全过程中,图19所示的 "网络安全生命周期 "可以作为一个重要的指导。
图19:网络安全生命周期
为了提高网络安全生命周期的有效性,可以设计一个 "人工智能支持的网络安全决策支持系统",如图20所示。
在这个设计中,来自各种来源的数据都要进行初步评估,调查数据中是否存在异常。如果没有异常,则继续进行正常的活动,而如果有异常,则将这些数据发送到网络威胁库,并与现有的威胁数据进行比较。如果无法识别,则从网络威胁情报方面进行调查,并确定威胁识别。然后,它被处理到网络威胁库中。被定义为异常的数据在经历了威胁分析、威胁分类、影响评估和风险评估后,被转移到 "人工智能支持的决策支持系统"。在这里,网络威胁的网络威胁层(战略、操作或战术)被确定,适当的选项(根据级别)被提交给相关的决策者。决策者在这些选项的帮助下,在现行法律的范围内做出有效的决定。
图 20:人工智能支持的网络安全决策支持系统
网络安全概念的影响是多方面的,其中一个主要原因是它涵盖了社会的各个层面。今天,被引入网络空间的年龄已经下降到学龄前,特别是由于父母使用智能手机来分散孩子的注意力。因此,从学龄前儿童到死亡,人类都在网络空间运作。因此,在具有综合结构的网络安全过程中,最薄弱的环节是不具备网络安全意识的个人。出于这个原因:
考虑到个人的教育水平和年龄差异,规划培训,以包括社会的所有层面,包括计划和当前的威胁,以加强网络安全意识和网络安全措施。
建立网络安全战略和网络安全实施政策,包括所有机构、组织和部门,从社会最小的单位--家庭开始,保持这些政策的更新,支持现实的做法。
鼓励在生产敏感技术,特别是关键基础设施系统所需的所有软件时,以机构为单位进行国家源码编码,并按照安全软件创建标准进行创建。
并评价说,应该鼓励实现所有相关学科(心理学、社会学、管理组织、行为科学、战略管理、工程领域等)在网络威胁检测、网络威胁分析、网络威胁分类、网络威胁影响评估、网络威慑和确定网络攻击者特征等领域的跨学科课题的独特项目。