网络安全中入侵和渗透的区别(网络安全中入侵和渗透的关系)

正文│赵齐中国人民解放军国防大学

当地时间5月7日，美国最大的石油管道运营商科洛尼尔管道运输公司(Colonier Pipeline Transportation Company)遭到勒索软件攻击，长达5500英里的石油管道被迫关闭，导致美国交通部下属的联邦汽车运输安全管理局发布“地区紧急状态声明”。美国情报机构和网络安全公司的调查显示，攻击Colonier公司的勒索软件团伙是“黑暗面”。虽然没有明确的证据表明国家部队直接参与了这次袭击，但不可否认的是，这次勒索袭击的破坏潜力与国家APT组织无异。这一事件表明，在网络安全威胁的结构性分析中，非国家行为者的比例将迅速增加，上升为与国家行为者并列的“主要变量”。现有的由政府主导、单边主义主导的网络空治理版图，也将被迫走向多利益主体、多边的网络空秩序。网络安全形势正在发生重大变化，维护网络空安全面临越来越多的挑战。

1.美国燃油管道供应商的勒索是第一次以网络犯罪为背景造成国家基础设施破坏的有针对性的攻击，宣告了网络安全威胁的结构性重塑。

(一)勒索软件的进化来自内部技术迭代和外部国家冲突的双重诱因。

勒索软件攻击可以大致归类为恶意软件发展的第三阶段。第一阶段是传统意义上的计算机病毒，从90年代开始活跃，特点是受害者感知度高，短时间内大规模爆发的社会影响；第二阶段是以窃取信息为主的恶意软件，特点是保密性强，受害者感知低，除非媒体渲染，否则社会影响有限。第三阶段是勒索软件，既有第一阶段的传播效果，又有第二阶段的秘密窃取能力。勒索软件虽然历史悠久，但早在1989年，哈佛学生Joseph L. Pope就编写了第一个勒索软件AIDS木马。然而，直到暗网、虚拟货币等技术逐渐成熟，勒索病毒才开始攻击这种大面积爆发并延续至今的网络逐利行为。

勒索病毒入侵能力的革命性升级始于各国网络武器的结合，构成了网间新的重大威胁源空。国家冲突向网络空的映射，加速了网络空之间的军备竞赛，而网络武器易于复制的特殊性，使得网络武器的扩散难以控制。2017年5-7月，以永恒之蓝为代表的勒索病毒在不同国家和地区爆发。相比之前更为传统的勒索病毒攻击，这两款软件在技术和构成上都有了明显的升级，达到了武器级别。原因是“WannaCry”病毒利用了美国国家安全局2016年泄露的网络工具“永恒之蓝”。“永恒之蓝”本身虽然没有直接伤害功能，但却有大规模传播扩散的能力。作为国家网络武器，其典型特征在于对微软Windows操作系统零日漏洞的利用和利用。零日漏洞具有难发现、易利用的典型特征，只有在网络中具有领先实力的技术优势国家才能发现空。勒索软件一旦与这种新的通信工具融合，其攻击能力和破坏效果立即大幅提升，导致一向以盈利为目的的勒索软件转向具有作为网络武器的战略潜力，成为全球网络间的一大威胁空。

图1应用于主要威胁勒索软件的关键技术

(2)针对美国燃油管道公司的勒索攻击的鲜明技术特征已经接近网络战。

据业内分析，“黑暗面”组织位于俄罗斯。由于没有证据表明俄罗斯政府直接参与，因此排除这是一场国家主导的网络战。“黑暗面”对科洛尼尔公司的讹诈攻击是第一次具有非政府和非国家背景的有针对性的攻击，造成了国家基础设施的破坏。此次袭击有以下显著特点:一是目标具有很强的针对性和指向性，“黑暗面”宣称绝不会袭击医疗、政府、教育、非营利组织等。这种讹诈延续了该组织对能源公司的“偏爱”；第二，长期持续潜伏渗透。“暗面”对标的进行了数周甚至数月的技术分析工作，包括会计数据、执行数据、销售数据、客户支持数据、营销数据等核心价值数据；第三，双重敲诈。为确保胁迫用户支付赎金成功，除了加密数据外，还窃取了大量重要数据信息，并以“如果不支付赎金，将公布核心数据”作为筹码；第四，攻击过程趋于APT，这是本次勒索攻击最重要的特点。它利用大量渗透测试工具扫描漏洞入侵目标网络系统，进入内网后横向移动，甚至攻击Windows域控制服务器，企图控制整个企业内网。整个攻击的专业化程度和精确程度与以往国家APT攻击相同，其破坏能力与国家实施的网络战高度接近。

(3)网络安全威胁结构分析将并行面对国家和非国家行为体的“双主变量”。

根据发起者的不同，网络安全威胁可分为三类，分别来自个人黑客、犯罪集团或恐怖组织、国家或国家支持的组织。不同主体的网络攻击在生命周期、针对性、技术门槛、经济成本、影响等方面存在较大差异。其中，来自国家或国家支持的组织的网络威胁最大的区别在于，网络攻击的目标往往是目标国的关键基础设施或军事设施，可以产生物理操纵、瘫痪或破坏效果。这种网络攻击越来越影响国际安全局势。例如，2020年7月，时任美国总统特朗普公开证实，他批准了2018年对俄罗斯互联网研究所的网络攻击，并承认攻击是在美俄对抗日益激烈的情况下进行的。然而，保护国家的关键基础设施免受敌对国家的网络攻击已经成为各国政府在网络安全领域面临的首要任务。

互联网空技术深刻重塑了国际政治的内涵和形态，围绕技术的竞争和秩序的构建是21世纪国际战略竞争的重点，将国际政治从“地缘政治时代”推向“技术政治时代”。然而，各大国家网络空之间的战略制定仍然延续了地缘政治关注国家对手的思路，很少或根本不关注非国家行为体。美国2017版《国家安全战略》将大国竞争定义为国家安全的首要威胁，将中国和俄罗斯列为战略竞争对手。在此背景下，美军的网络空政策有了较大调整，将网络空竞争定义为国家战略竞争，并提出以对抗手段积极应对。2018年4月，美国网络司令部发布了新战略——《实现并保持网络间优势空:美国网络司令部的指挥理念》，提出了“持续参与”的战略理念。“持续对抗”战略的前提是，美国面临的网络空中的所有主要威胁都来自国家对手。随着能力相当的国家出现网络犯罪组织，这一策略的合理性受到严重挑战。未来，任何国家在分析网络安全威胁时，都必须高度重视非国家行为体的破坏性影响，全球网络安全威胁结构正式迎来了国家和非国家行为体并行的“双主变量”。

第二，“黑暗面”网络犯罪组织的发展反映了信息时代非国家行为者不断赋权的必然趋势，国家安全和国际关系面临新的重大变化。

针对美国燃油管道供应商的“阴暗面”勒索攻击，就是非国家行为者对网络空巨大影响力的缩影。进入21世纪，在互联网、大数据、人工智能和物联网的推动下，全球正处于第四次科技革命浪潮中。与以往以蒸汽机、电力、原子能为代表的工业革命不同，以互联网为代表的信息技术浪潮对国际政治的影响是自下而上的。它首先改变人们的思想和生活方式，然后逐步实现与传统产业的融合，从而重构经济发展、社会秩序和政府治理模式。在自下而上的传递过程中，非国家行为者在网络空间不断赋能，作用和影响力不断加强。这一趋势给国家安全和国际关系带来了巨大影响。

(1)网络安全突破了传统安全领域国家的治理维度。

在2011年出版的《权力的伟大未来》一书中，约瑟夫·奈专门分析了基于网络产生的权力。他认为国家不是网络空中的唯一行为者，权力正在从国家行为者向非国家行为者扩散。如果说网民从信息消费者到生产者的角色使其获得了更大的政治话语权，那么互联网公司作为数字时代的排头兵，凭借其在数字时代对关键资源的掌控能力，在国家经济政治生活中获得了更大的影响力和主导权。随着互联网公司和平台的不断发展壮大，少数科技巨头控制的经济社会资源几乎可以与国家抗衡，给现有的经济、政治和社会秩序带来冲击和挑战。互联网空中的黑客、犯罪集团或恐怖组织等非国家行为者更直接地挑战传统的国家权力。2014年，约瑟夫·奈提出了网络空治理的机制复杂性理论。通过建立一个多维度的规范框架，对不同的网络安全问题进行分析，以确定具体问题下的主导者。

(2)网络空有时会成为诱发国家间战争的高危地带。

网络空始终处于国与国之间低强度对抗的状态。由于网络攻防的破坏性明显低于传统的火力攻击，不存在升级为国家战争的危险，有学者将网络空归为“灰色地带”。但随着一些国家具备了通过网络摧毁基础设施的能力，网络空将成为一个可以决定国家生死存亡的战场。更危险的是，当非国家行为者掌握了这种网络武器，一方面可以对目标国家造成堪比战争的巨大伤害；另一方面，network 空这种难以追查的特殊属性，决定了非国家行为者可以隐藏身份，甚至推卸责任，从而制造了国家因为错误的网络归罪而升级为战争的风险。近年来，网络冲突的数量普遍增加。这其中，当然也有很多国家把实际矛盾延伸到网络空的原因。与此同时，大量的人、网络犯罪组织甚至网络恐怖势力在国家网络冲突的掩护下进入网络也是不容忽视的。目前，美国和许多其他西方国家在cyber 空战略中奉行进攻性立场，这种战略在面对日益严重、主体日益多样化的网络安全威胁时很可能被误导和利用，导致大国之间的战争。

第三，武器级恶意软件的泛滥将为全球网络安全形势催生新的契机。中国需要在网络安全形势复杂演变的不确定性中锚定确定性，塑造整体上对中国有利的网络形势。

4月下旬，在科洛尼尔公司的勒索攻击爆发之前，拜登政府刚刚出台了一项“百日计划”，以提振能源供应系统的网络安全。这次攻击充分暴露了传统军事强国在网络空中的脆弱性。与现实空不同的是，网络空之间存在“玻璃房效应”，军事实力的绝对优势并不意味着绝对安全。一个国家的互联网融合程度越高，对网络空的依赖程度就越大，面对网络攻击和其他安全威胁的脆弱性也就越大。敲诈勒索等重大网络安全事件为网络空之间重新凝聚共识提供了关键点，也为中国塑造持续稳定的网络安全态势提供了有利契机。

(1)“数字社区路线”的可持续性进一步凸显。

网空之间的战略竞争不仅包括数字经济、军事实力和科技主导权，还包括网空之间的路线。代表性的有中国坚持的“数字社区路线”和美国画的“数字冷战路线”。习近平总书记指出:“互联网发展是无国界、无边界的。用好、发展好、管理好互联网，必须深化网间国际合作空，携手构建网间命运共同体空。”中国视互联网空为主权空，反对传统霸权主义向互联网空的新延伸，呼吁在尊重互联网空主权的基础上，共同建设和维护全球互联网空家园，共同应对网络犯罪和网络盗窃。同时，许多国家、企业、非政府组织等。纷纷提出了自己的见解。例如，2018年，法国总统马克龙提出了全球共管互联网的“九点倡议”，2019年，万维网之父李佑晨提出了互联网契约中包含的“九项原则”。此外，联合国协调和推动了一系列关于互联网空的全球治理问题，以期实现互联网空和平、网络犯罪、数字经济、网络信息内容和新兴技术。虽然这些倡议和主张在内容上有很大不同，但都体现了“数字社区”的基本原则。

支持“数字社区路线”的行动者从全球视角寻求共同的解决方案，但仍有许多行动者在将网络空推向“数字冷战”。2020年8月5日，在新冠肺炎疫情肆虐全球的背景下，时任美国国务卿蓬佩奥推出六大政策措施的“清洁网络计划”，以单边行动强行整合全球互联网治理的对话地图，并一跃将传统军事领域的假想敌延伸至数字经济领域。网间空的和平路线被严重阻断，数字经济合作的机遇期和窗口期迅速萎缩。关于互联网碎片化、互联网巴尔干化、数字孤岛的讨论突然多了起来。随着勒索病毒攻击等网间空共同威胁的不断恶化，尤其是武器级勒索病毒的泛滥导致的战争风险不断增加，两种路线的优劣对比将更加清晰，一个基于“数字社区路线”、更具共识、更强调共同参与的网间空新生态将会出现。

(2)全球网络空间重大威胁的应对离不开中国的作用。

网络空是一个复杂的多元综合体，依托不同国家、不同行为体的多利益主体框架是应对网络空之间重大威胁的必然选择。尤其是中国作为全球第二大数字经济体，必然要扮演大国的角色。美国在国际上大力倡导network 空的“三不”原则:不攻击核指控系统，不破坏金融系统的数据完整性，不在供应链上设置后门。这些原则暴露了美国在互联网空方面的弱点。目前，包括核指控系统和金融系统在内的美国重要网络平台正受到网络犯罪集团和恐怖组织的威胁。“太阳风”事件进一步暴露了美国供应链安全的脆弱性。中国可以积极回应美国等西方国家的关切，积极协调大国立场，抵消少数不负责任国家制造的对抗状态，建立网络空之间的互信，促进网络空的整体稳定。

(3)在网络攻击的公开可追溯性等问题上，加强多利益主体的作用。

网络攻击的公开追踪是网络间国际合作空的核心问题。长期以来，美国制定公诉溯源规则，利用其优势地位诬陷他国，将非国家行为诬为国家行为，甚至将其不负责任的行为说成是他国行为。目前中国在这个问题上的话语权还是极其有限的。未来需要增强该领域多元利益主体的话语权，积极发挥中国互联网经济和技术创新的影响力。鼓励国内网络安全NGO和企业广泛参与公共溯源，更好地利用法律、技术和安全的关联性，以复杂的手段应对复杂的博弈，丰富网间的博弈手段空，拓展博弈空；以及支持在联合国框架下参与制定网络攻击公开溯源的国际规则，以对冲美国既当裁判又当球员的特殊地位；推动建立不受美国和西方控制的国际认可的第三方溯源组织，对网络攻击进行公开公正的溯源。

(本文发表于《中国信息安全杂志》2021年第6期)