来源:美国安全政策研究中心不定期论文系列第28期
作者:威廉.G.佩里博士
编译:知远/若水
1991年,美国采取大规模陆、海、空联合攻击手段摧毁了萨达姆.候赛因的军队,这场战斗在残酷性和有效性方面都是史无前例的。 这个紧随着苏联在阿富汗的失败而来的胜利向全世界强有力地表明了美国军队至高无上的地位。美军飞机在地面指挥的帮助下,瘫痪了萨达姆吹嘘防护严密的防空系统,并摧毁了他的通信大楼,从而切断了他与地面部队的指挥控制链路,直接导致了其彻底的失败。这场战争也因此成为现代战争史上最快速最精确的作战行动之一。
这场胜利被迅速地传遍世界的各个角落,或许没有一个地方比北京对这场战争更加关注。自冷战结束后,中共战略家们一直在考虑如何以最好的方式挑战美国在亚洲的优势地位,因为中共认为亚洲是它的势力范围。一直在关注沙漠风暴行动的人民解放军理论家们意识到,想要直接挑战美国军事现在还不现实――这样做只能是自取失败。然而,美国在实施联合打击时对卫星和信息技术的依赖度日益增大,这给了解放军一个取得不对称优势的机会――如果美国的网络遭到阻塞、破坏或摧毁,那么解放军将有机会赢得他们所谓的“高技术条件下的局部战争”。这种利用以己之长击敌之短的范式有着长期的军事传统,在中国叫做“以劣胜优”。
本文的目的在于分析中国信息战理论与实践的演进。信息战是北京正在寻求用来智取美国军事力量的一把利器。首先,讨论困扰中国学术界的关于信息战定义的问题;其次,我们将讨论中国是如何建立旨在渗透和削弱美国军事信息网络的相关基础设施;第三,举例证明中国的这些技术和人力资源就是针对美国太平洋地区军队,或更严重的是,针对美国国内IT基础架构的;最后,我们将对美军如何阻止和挫败中国信息战提出具体的政策建议。
在切入正题之前,需要指出的是,本文不是提出一个相关的而是明确的电子侦察问题。即使实施和结束,结果都是一样的,它是一个独立的概念,应得到它应有待遇。
中国信息战:背景
为了能更加详细地讨论信息战,我们不妨提出一个适当的背景,来加深对摆在眼前这个课题的认识。首先,我想简单谈谈现代信息环境。今天,军事行动、经济和金融设施已日益数字化,但同时,通信网络也给它带来了很大的风险。据一个私人行业调查报告称:“全球连通、雇员的流动及快速的技术革新使信息的基础设施暴露出各种风险形式,如诈骗、盗窃、侵权、工业间谍及商业破坏等。”这种说法仅是针对民间事务,并不能包括五角大楼已经网络化的C4ISR系统。那种系统如果没完备的防护显然是具有高风险的。
其次,有必要说一说中国理论家对这个问题的思考。在文学作品里,关于信息战的定义和描述形式多样,有一些很宽泛,有一些却很狭隘,不同的作者有不同的见解。我认为最恰当的是由吉原俊井提出的信息战定义,他在他的《中国信息战:幽灵的威胁还是新的威胁》一书中认为,中国的信息作战“旨在通过干扰对方获取、处理、传输和使用信息的能力来破坏敌人的决策过程。”这个战略与美国在沙漠风暴战役中剥夺了伊拉克领导人关键信息和通信系统在作战中发挥作用的情况非常相似。因此,在中国的文章中信息战被定义成一个非传统的作战武器,通过信息作战来打乱对手的决策乃至于遏制战争。如果不可避免地要使用武力,那么,中国将利用信息作战,以“重塑战场空间”的方式,来增加胜利的机会。
中国信息战能力及实践
为将信息战思想统一到实践中去,中国正积极发展其人力资源和物力,希望以此跻身于世界信息战领袖之列。根据五角大楼2006年中国军力报告,中国正在确保“军队及预备役获得民用计算机技术及设备来支持解放军的训练和作战”。从“科研院所及信息技术企业吸收人才”,以便将他们整合进“正规军事作战中”。这些人员受到严格训练,以便通过大规模的信息战攻击对方网络“积极地支援解放军作战”。这种军民一体的历史可以回溯到毛派主义的“人民战争”。并且在现代中国还具有强大的号召力。这也与邓小平提出的著名的“军民一致”口号是相同的。
综合信息作战能力主要针对的是美军。在计算机网络作战领域,五角大楼认为,解放军运用计算机病毒制造单元来攻击敌计算机系统和网络。一种名为Myfip(在国内也有的叫吗啡,译者注)的计算机病毒特别适合于信息化战争形态。它通常伪装得很好,而且一旦启动,将大肆破坏防护不力的网络系统的信息组织结构。在一次攻击调查中,信息的盗窃源追溯到了中国的天津。(Myfip的知识产权窃者分析,2005),这类攻击能够危及整个网络信息系统并窃取任何下列类型的文件:
.Pdf-Adobe公司便携式文件
.Doc-微软公司WORD文件
.Dwg-Autodesk公司制图文件
.Sch-CirCAD示意图文件
.Pcb-CirCAD电路设计文件
.Dwf-Autodesk公司图画文件
.Dwt-Autodesk公司模板文件
.Max-ORCAD公司排版文件
.mdb-微软公司数据库文件
任何感染Myfip病毒的网络,通常都会丢失组织文件、计划、通信及数据库。所有的关键数据都将被窃取。更为隐蔽的是,如果没有适当对目标采取监管措施,其所有的专有信息将失窃而所有人却一无所知。
近年来,中国的黑客和信息战人员不断地通过一系列低级别攻击和入侵事件来测试美国的网络防御能力。美中经济与安全评估委员会在2006年度国会报告中说,这些活动构成了一系列“网络侦察”计划,这是中国“刺探美国政府及私人公司计算机网络安全”,找出“其网络的薄弱点以及美国领导人的思想,发现美国政府及私人公司的通信方案,以及获取存储在网络上的重要信息”的计划。
这里有几个最近的“刺探”例子:
2006年末,美国国防大学银行的计算机因大型网上攻击被迫关闭。国防大学是在进行一次电子战模拟时得到这个报告的,这次袭击也没有对外公布。
也是在2006年末,海军战争学院的计算机网络被中国的网络入侵所关闭。一份报告暗示说,攻击的目标是海军武器中心战略研究小组,这个小组正在研究现代网络战概念。
2006年夏天,商务部工业与科学办公室的计算机在一次来自于中国的攻击后超过一个月未能实现联机。这次窃取攻击主要针对控制对中国高技术出口的办公室。
更近的一次攻击是发生在2007年6月,这次攻击可以多次关闭国防部长办公室电子邮件通信系统。虽然有多家媒体指出入侵来自中国,但国防部官员对攻击来源保持沉默。
中国在从事这种攻击时一个首选方式就是通过一种所谓的分散式阻断攻击(DDS)。简而言之,分散式阻断攻击就是发生在迫使某一单个信息源向服务器发起请求的 “僵尸网络”控制了目标时的攻击。“僵尸网络”是攻击者通过控制目标信息系统的反应来控制广阔范围内的计算机。这些计算机被士兵形象地称之为“僵尸”。而且这种攻击每次可控制多达10万台以上的计算机。今年五月发生在爱沙尼亚的网络攻击中,有报道称被“僵尸网络”控制的计算机高达100万台以上。学者蒂莫西.托马斯称,中国的情况是,有众多诸如组织“僵尸网络”这样的方式在中国150万后备力量中安了家。
中国的信息战理论把诸如“人民战争”这类独特的中国文化融入到美国信息作战理论中而创造了自己的信息战理论。通过借刀杀人的方式或弱点攻击来打击敌人,而不是凭借自己实力。
中国正在寻求能打赢一场“信息化”条件下的“局部”或有限战争。当前的中国认为信息战不是一成不变的,而是一个不断创新的过程,值得不断研究和变革。中国似乎已经吸收了大部分美国的信息战策略。联合出版物3-13和野战条令100-6这两个关键信息作战理论刊物已经被译成了中文。
信息战是高技术战场环境中的作战行动,敌对双方都使用信息技术手段、装备或系统阻止对方获取、控制和使用信息。信息战的目的在于夺取战场主动权;以数字化部队作为其基本作战单元;以信息的攫取、控制和使用为主要内容,以所有的信息武器装备(精确制导武器)和系统为主要手段。
中国试图发起信息战归因于将焦点集中于信息压制、破坏和改造的技术不对称。这一理论正好符合信息固有的弱点。连毛主席都认识到“通过封堵敌人的眼睛和耳朵致敌看不见、听不到,以及通过打乱敌的思维使敌首脑分散注意力”的价值。
中国的信息战理论基于维持与敌的技术平衡,同时依靠自己人多的优势来进行信息战。训练有素的平民计算机专家将可能成为信息化战争的士兵,从而取代战场上战士发起一波又一波的攻势行动。孙子兵法制胜之道是寻找和攻击敌之薄弱点,而不是将它交给陆军和海军去强攻。
中国的信息战理论的发现来自于威廉姆的论文引述中国信息战理论家魏金城的一个例子,这个例子是有关中国收复台湾的长期打算:
基于信息的对抗将着眼于通过无形的战争达成有形的和平,通过占据信息优势实施软件对抗、阻止及威慑敌以取得硬件上的维护和平。
中国正明显地计划实施一场有限战争来收复台湾,以及通过攻击C4ISR(指挥、控制、通信、计算机、情报、监视和侦察系统)和经济体系来剥夺西方的利益。如果第三方(恐怖主义国家或组织)在美国上空引爆电磁脉冲武器,这对于收复台湾可能会更容易一些。
我们应该怎么办?
政策制定者、政府行政人员、基础设施的业主,还有经营者在保护我们国家免遭可能的信息战攻击方面必须更加积极。以下为政策建议:
1、所有承包商、大学和外包代理商在建设联邦政府的信息基础设施时,必须经过ISO17799认证。
ISO/IEC17799是一套国际信息安全惯例和标准。他们采用可接受的安全惯例,以确保信息资产安全。ISL/IEC17799标准(将来可能更改为ISO27000)寻求充当“一个组织发展(信息安全)特定指南的起点。”
ISO标准包括以下12个领域:风险评估及对策、安全政策、信息安全的组织、资产管理、人力资源安全、人身和环境安全、通信和操作安全、访问控制、信息系统获取、开发和维护、信息安全事件管理和业务连续性管理和遵守。
如果一个组织遵守了ISO17799,那么负责敏感信息管理的安全分析家就能比较有信心一些。高度的信息保障(安全)可能成为数据使用的一个特征。相反,如果组织不遵守ISO,遭受攻击就有可能成为现实。
2.美国国土安全部必须将此作为一个政策问题逐个部门推进信息安全意识培训计划。
国家大部分私人和政府组织完全没有意识到信息基础设施(计算机、网络、互联网等等)联合使用的威胁和脆弱性。国土安全部信息安全意识培训计划关注的焦点应不只是发布一系列藏在网站第三层或第四层的网页和报告。
国土安全部受过良好训练的雇员应被送往全国的各个州,培训大量的州国土安全职员,以满足信息安全的需要。信息安全意识培训计划应作为每个部门接入互联网关键的基础设施来投资。每个部门的雇员都应该牢记他们在信息安全是所应担负的责任。
3.所有敏感的国家研究和发展项目都应执行诸如严格人员筛选、安全训练及监控等相关的信息安全计划。
以百万美元计的关键研究和发展项目遍布整个国家。大多数的项目甚至缺乏最基本的信息安全计划的相关组成部分――“人们不知道什么信息从本质上讲具有价值,如果对价值没有一个很好的理解,商人和普通人就不能充分地确定他们所面对的风险以及判断所执行的信息安全策略是否得当。
我们的竞争对手或敌人所使用的手段和方式,以及现代信息处理技术要求我们必须在保护我们重要信息资产和国家研究基础设施方面保持警惕。
4.联邦雇员接入互联网应受到严格的限制和隔离。
联邦雇员接入互联网应受到严格的限制或拒绝。许多人可能认为在办公场所限制接入互联网是一个异端行为。但是,事实证明这是很有必要的。互联网及其服务将威胁载体带入台式机计算环境,并进入网络计算机终端。而在公共或私人部门的雇员却还没有意识到危险的来临。威胁按既定的编程设法找出存在于系统上的漏洞,并最终通过这个漏洞窃取或破坏目标计算机的信息基础设施。
只有数量有限的雇员必须直接进入互联网来完成自己的工作任务。需要浏览互联网的个人应拥有完全独立于内部网络使用的各种通讯设备和软件的工作站。
通过建立诸如转让文件(FTP)、“即时通讯”或分离工作站等独立的来自于互联网的工作站,将互联网从关键的内部网络中分离出去。
5. 所有联邦信息系统的通信都应加密
所有被联邦政府建立、保留、传输或转发的信息都应加密。信息安全失败的例子比比皆是。例如,华盛顿邮报最近报道,运输安全署在2007年5月初丢失了一个硬盘驱动器,驱动器内装有雇员的姓名及其它机密信息。如果信息被加密,那么损失可能会小很多。
据了解,美国联邦调查局和秘密情报部门已经开始对超过10万人的空中安全现任和前任运输安全部还包括空中安全办公室及空警在内的职员实施调查,调查包括计算机硬盘驱动器内载入的个人信息、薪资及银行资料等。丢失的硬盘驱动器要求使用生物特征认证(如指纹打印)才能被使用。但是,如果窃贼是内部人员,那么将很少有办法阻止窃贼用任何方式进入并使用信息。
当我们回忆起发生在老兵事务署的丢失超过2600万条军事人员记录的事件时,对所有联邦数据进行加密就变得愈加明显了。数据很容易被覆盖,但决定信息是否被复制却是相当不容易的。华盛顿邮报这样写道:“自从2003年以来,19个联邦机构报告了788件数据失窃或丢失事件,影响到数千名员工及人民”。对信息和数据进行适当的加密将会使他人很难解密。
6.任何产品、材料、集成电路、元件、程序、方法或其它被认为是美国国家安全极为重要的物品都应只能使用本国产品而不采用外国供应商所提供的产品和材料,另外是禁止此类物品出口。
正如论文所述涉及到相互交叉多重威胁的信息战可以攻击一大批漏洞。中国已经展示了大量针对美国利益的信息战行动。要求安装由美国公司(有足够信息安全)自己制造的组件和产品将有助于降低高技术成果的损失。
比如,对于美国来讲出了名的不友好国家将在关键技术研究和发展方面与美国保持很近距离,如纳米技术和光子技术。急于利用潜在利润丰厚的国外市场和使用廉价劳动力导致我们为了生产而出口敏感技术,更为严重的是增加了我们所要面对的危险。再如,为美国各部门所采购的计算机就应只能是在美国生产的(而不是购买来自于中国生产的联想电脑),而且必须是按严格的要求进行生产的。
数以千计的貌似无辜的技术工艺和制造工艺转让已经导致国家安全的无数次妥协。这些损失实际上是可以避免的。
7.与国家关键基础设施有关的信息网络私营业主必须要通过ISO17799认证。
在美国,大部份关键信息基础设施属私营部门所有。要求那些直接面对任何关键基础设施(如国防、执法、金融、能源等等)的私营网络执行ISO17799将是一个审慎而强有力的安全措施,而且也是最容易做到的。
关键基础设施包括:“因失能或毁坏对美国国防和经济产生影响的所有服务。”相互联接的关键基础设施的组成部分将成为大规模信息战攻击的首批目标。中国的技术预备役部队已经展示了这种积极信息作战能力。
一个针对关键基础设施的恶意软件攻击就能引起损害、破坏、窃取和拒绝进入保护我们人民的关键基础设施。联合打击私人拥有的部分国家关键基础设施来自于网络空间。
8. 美国应集中一切力量来造就更多的国内工程师和科学家。
中情局的一份报告称,“教育”是全球从现在到2015年所有国家和个人取得成功唯一的、最重要的因素。我们国家需要合格的信息技术专门人才。当前,危急的局势变得很明显。我们相信国家正式的信息技术培训计划促进了我们切身的政治利益和经济利益的防护吗?
我们没有一个牢固的国家计划来促进专门信息技术培训计划。美国还根本没有培养必需的人力资源。事实上,信息技术产业还不断要求国会增加H1-B签证,以雇用更多的外国熟练工人。这样使得问题变得更加恶化。
受雇于美国大学和专门学院的科学和工程人才有大约30%都是国外出生的。超过40%的科学、工程和数学领域的博士来自于国外的市民。我们需要依赖外国出生的科学家的忠心来保证安全的这种状况应该得到缓解。
已经非常接近我们信息基础设施的外国出生的个人(他们不喜欢成为美国公民)的数量多得着实令人惊奇。超过43%通过H1-B签证进入美国的人们已经回到自己的信息技术领域工作岗位上了。印度公民在外国公民中居首位,其次是中国公民。
我们国家应该起草一份国家信息技术法案来解决有关问题。商业界和工业界可以指定内容。大学可以成为每个州指定的信息技术学院(类似于印度的ITmegapower计划),提供有配套资金。信息技术学院可以颁发证书、满足继续教育的要求及人力资源的培训需求。这样的一个计划,将有助于消除我国依赖外国出生的信息技术专门人才。
作者简介:佩里博士是一位西卡罗莱纳大学的计算机信息系统和教授,主要从事计算机网络和信息安全教育。他具有丰富的反情报和威胁评估经验,并提出了有关国家关键基础设施的保护政策。
