3．网络空间威胁和脆弱性

行动案例

恐怖分子在2001年9月11日对美国实施了攻击，这对我们的国家有着深远的影响。整个联邦政府和社会被迫重新检讨对国土安全的认识，很多人第一次意识到我们国家的敌人将造成的破坏可能达到什么样的程度。

我们必须进一步认识到有很多敌人试图破坏我们的生活方式，他们准备攻击我们的本土，并倾向于使用非正规方法实施攻击。“9·11”的攻击是现实的物理性攻击，而我们在网络王国中也同样面临着日渐增加的来自敌人的威胁。

完全依赖于网络空间的国家

对于美国来说，信息技术革命正悄悄地改变着商业和政府的运作方式。在没有充分考虑安全性的情况下，国家将制造业、公共事业、银行和通信的核心操作交给计算机网络控制，这使得交易成本得到了降低而生产力急速提升。人们越发使用联网系统的趋势还在继续，到了2003年，我们的经济和国家安全已经完全依赖于信息技术和信息基础设施。由多个网络互联构成的大规模网络直接支撑着我们的所有经济部门的运作，包括能源（电力、石油、天然气）、运输（铁路、航空、船运）、金融和银行、信息与通信、公共健康、应急服务、供水、化学品、国防工业基础、食品、农业、邮政和海运。计算机网络的触角超越了网络空间的范围，它们还控制着像变压器、火车、输油管、油泵和雷达等物理设备。

网络空间中的威胁

一些恶意人员能够对我们的关键信息基础设施实施攻击，最受关注的是有组织的网络攻击能够破坏国家关键基础设施、经济建设并危害国家安全。实施这种攻击要求具有高超的技术，这从一定程度上解释了为什么到目前为止还很少出现这种攻击。但是我们不能太过乐观，当前已经有一些有组织的攻击者，他们对脆弱性的攻击可能就是更大的破坏力的前兆。

目前所观察到的几次攻击都没有特别明确的攻击目的，攻击能力也还没有完全体现出来，要了解威胁和脆弱性的长期趋势就必须加强网络威胁分析。到目前所知，攻击工具和攻击方法已经逐步扩散并比较容易获得，有意制造混乱和破坏的用户的技术能力和熟练程度正逐步提高。

例如，就“NIMDA”（尼姆达，“ADMIN”的倒序拼写）攻击而言，虽然事实上它并没对关键基础设施造成灾难性的破坏，但它表明网络攻击技术的成熟程度正逐步提高，还表明有组织的攻击者已经具有较强的学习能力并已经习惯在网络环境下工作。“尼姆达”是一种自动化网络攻击，是一种计算机蠕虫和计算机病毒的混合体。它以很快的速度在全国传播，尝试采用多种不同的方法感染其入侵的计算机系统，直到获得控制权并破坏文件。它在1小时内从一个未知的地方传遍全国并攻击了86000台计算机，这次攻击持续了数天。

网络攻击的速度也在逐步提高，在“尼姆达”出现前两个月，一个名为“红色代码”的蠕虫在14小时内感染了150000台计算机，此后出现的“尼姆达”的传播速度比“红色代码”的传播速度要高得多。

“红色代码”在Internet上的渗透如下图所示：

由于计算机攻击工具日益成熟，有能力对我们的基础设施和网络空间实施攻击的人数也正在增加。在和平时期，美国的敌人可能对我们的政府、大学的研究中心和私营公司开展间谍活动，他们也可能预先摸清美国信息系统的情况，选择重要的目标并安装后门或其他访问渠道以袭击我们的基础设施。在战争或危机时期，敌人可能攻击关键基础设施和重要的经济功能，或打击公众对信息系统的信心，以达到恐吓国家政治领导人的目的。

对美国信息网络的攻击能够带来严重的后果，如导致关键运行中断、对财产和知识产权带来损失或导致人身伤亡。对于这些攻击，如果要降低脆弱性、遏制敌人对关键基础设施进行危害的能力和动机，就必须发展稳健的对抗能力，但这种能力目前我们还不具备。

网络空间为攻击者提供了一个攻击渠道，使其能够从远处对我们的基础设施实施有组织的攻击。这些攻击只需要常用的技术，攻击者能够隐藏其身份、地点和攻击的路径。网络空间不仅使别人能够利用脆弱性攻击我们的关键基础设施，而且也为加剧物理攻击提供了一个杠杆，包括可能中断通信、阻碍美国在防御或进攻上的响应、延缓应急响应（发生物理攻击之后应急响应变得非常重要）。

在20个世纪，物理上的隔离使得美国免于受到直接入侵，但在网络空间中国界并没有太大意义，信息在不同的政体、民族和宗教之间自由流动。甚至连构成网络空间的基础设施（硬件和软件）的设计和开发过程也是全球化的。由于网络空间全球化的特点，存在的脆弱性也是对整个世界开放的，任何人在任何地方都能够利用这些脆弱性。

在未知的威胁面前减少网络的脆弱性

在国家关键基础设施的威胁增加时当然必须要做出相应的处理，但是，如果在发生攻击之前不重视研究关键基础设施的脆弱性，而只是被动等待攻击，显然是危险且不可取的。通过网络攻击可能突袭国家的网络，预先没有任何征兆并且快速传播，很多受攻击的对象在此之前根本来不及得到预警信息。即使预先得到警告信息，也可能没有足够的时间、知识或必备的工具来保护自己。有时找到对抗攻击的方法可能就需要很长时间。

从很多网络攻击得到的经验教训是，对网络系统具有依赖性的机构必须采取积极措施，预先发现并矫正其网络的脆弱性，而不是在得到攻击预警或受到攻击时才采取行动。现在就必须进行脆弱性评估并矫正脆弱性，由受过训练的专业人员实施信息技术安全审计以标识基础设施的脆弱性，这个过程可能需要几个月的时间。接着可能还需再花几个月的时间制定多层次的防护措施、创建自恢复能力较强的网络以矫正最为严重的脆弱性，这一过程还必须定期重复实施。

威胁和脆弱性：5个级别上的问题

由于网络空间用户的数量巨大且类型各异，处理威胁和降低脆弱性是一个相当复杂的问题。事实上，无数设备通过很多网络互联，保护网络的安全需要由不同的人在多个级别采取行动，可以在5个不同的级别上解决网络空间的安全问题。

第1级：家庭用户/小型商业机构

虽然家庭用户的计算机不是关键基础设施的一部分，但是这些计算机可能被远程控制并用于对关键基础设施实施攻击。毫无防护的家庭用户或小商业机构的计算机，特别是DSL或宽带用户容易受到攻击。攻击者可以在计算机主人毫无知觉的情况下利用这些计算机。其他人可以用一组这样的“僵尸”对关键网络节点或其他重要企业或关键基础设施实施拒绝服务攻击。

第2级：大型机构

大型机构（公司、政府机构和大学）经常是网络攻击者的目标，很多这些大型单位是关键基础设施的一部分。这些机构需要有效的、清晰明确的信息安全政策和计划，确保其用户遵循了安全规范。根据美国情报部门的说法，恶意人员将会增加对美国的网络的攻击，既为了从这些获取数据，也为了利用这些网络。

第3级：关键部门/关键基础设施

经济部门、政府部门和学校团体可以联合起来解决常见的网络安全问题，比起单独解决问题来说，这样通常可以降低各个单位的负担。这种合作将导致他们依赖相同的机构和机制，这反过来使得有些脆弱性一旦被利用，就可能破坏所有的成员部门的正常运作。各个部门还可以通过参加各种小组以降低风险，这些小组将研究最佳解决方法、评估技术方案、评测产品和服务并交换信息。

有几个部门已经建设了自己的信息共享和分析中心（ISAC）以监测对其各自的基础设施的网络攻击。ISAC同时还是共享攻击动态、脆弱性和最佳实践措施的信息通道。

第4级：国家事务和全国性脆弱性

有些网络安全问题是全国性的问题，企业或基础设施部门无法单独解决这种问题。所有部门使用的是同一个Internet，如果Internet的机制不安全将会危及所有部门。广泛使用的软硬件中存在的脆弱性也可能会导致全国性的问题，这便需要全国协同努力来研究开发出改良的技术。另外，国家缺乏受过培训的和通过认证的网络安全专业人员，这一问题值得引起整个国家的关注。

第5级：全球

全世界的网络是由全球性的信息系统构成的，相同的标准使得全世界的计算机系统能够互操作。但是，这种互联也意味着在世界一端的计算机出现的问题有可能会对世界另一端的计算机造成影响。因此，我们依赖于国际合作，以共享与网络事件相关的信息并进一步起诉网络犯罪。如果没有这种合作，我们发现、震慑和减少网络攻击的能力将大大降低。

网络空间中各方的角色和职责见下表：

新的脆弱性需要持续的响应

人们总是不断发现或制造新的脆弱性，因此保护网络和系统的过程是不可中断的。计算机应急响应小组/协调中心（CERT/CC）注意到，不仅网络事故和攻击以惊人的速度增加，攻击者可以利用的脆弱性也在以很高的速度增长。计算机安全脆弱性（即软件或硬件中存在的错误，它们可用于非授权访问系统或破坏网络）从2000年到2002年明显增加，脆弱性的数目已从1090个增加到4129个。

CERT-CC报告的脆弱性数目（1995—2002年）如下图所示：

只安装网络安全设备并不能取代对网络的经常性维护。最近计算机安全学会（CSI）的一次调查表明，在被调查的人员中，85%使用了反病毒软件。在同一调查中，89%的人员安装了计算机防火墙，60%的人员安装了入侵检测系统。但是，90%的人报告曾经受到攻击，40%的系统曾经被网络外部的人员入侵。

CERT-CC报告的事件数目（1998—2002年）如下图所示：

通过采取较好的安全措施可以消除绝大多数的脆弱性。但是，以上调查说明，好的安全措施并不仅仅是安装这些软件或硬件，还要求人们正确地使用它们，并需要经常打补丁或升级病毒库以确保这些防护措施是最新的。

网络安全及其机会成本

对于每个公司和整个国家来说，提高计算机安全都需要投入精力、时间和金钱。在2003财政年度，布什总统要求国会为保护计算机安全增加64%的预算。布什总统现在对计算机网络安全上的投入的这些预算将会降低国家整体的开销，通过电子政府、现代企业管理、减少浪费和欺诈等措施将能够节省开支。

对于整个国家的经济，特别是对于信息技术产业，缺乏可信、可靠、安全的信息系统将阻碍未来经济的增长。信息技术革命还可能以多种途径加速经济增长，但是这些增长途径的实现要受到网络安全问题的制约。网络空间的脆弱性不仅会危及网络交易，还危及知识产权、商业运行、基础设施服务和消费者的信心。

网络安全投资不会只是昂贵的日常性开支，这种投资是会有所回报的。有关调查已不断表明：

虽然遭受严重网络攻击的可能性很难估计，但一次成功的攻击带来的损失可能要大于实施计算机安全项目的开销。

在一个机构的信息系统体系结构中设计强安全协议可以降低整个运营成本，因为这些安全协议可以使很多用来节省成本的措施得以实现，如远程访问、顾客或供应链的互动等。在没有安全网络的情况下，这些措施都是无法实现的。

这些结果表明，公司的网络安全意识越强，就越能够从其网络安全中获益。增强意识和自愿参与是《保护网络空间的国家战略》中的一个重要组成部分。

个人与国家的风险管理

截至2001年9月11日之前，跨国恐怖组织对美国造成的破坏并不大，而到了这一天，一切很快发生了改变。有人估计，对美国信息系统的攻击造成的损失在过去4年内增长了4倍，虽然这些损失相对来说并不显著，但是它们可能会突然迅速增加。

网络攻击每天都威胁着美国的各个公司和家庭计算机用户，这些攻击造成了一定程度的破坏，并给受害者带来了很大的损失。它们可能导致全国性的破坏并给国家带来损失，还可能影响到国家所依赖的网络和系统。以下是导致这些攻击的原因：

敌人有攻击的意图；

用于实施攻击的工具唾手可得；

国家的信息系统存在很多众所周知的脆弱性。

没有一种策略能够彻底消除网络空间的脆弱性及其相关的威胁。不论怎样，国家必须行动起来担负起风险管理的责任，提高管理能力以减少攻击带来的损失。1997年总统委员会在一份公开的报告中指出了这种风险；2000年发布了第一份针对该问题的国家计划，2001年布什总统在一份行政命令中提到了这些风险并将网络安全作为一项优先事务来抓，并相应地增加了保护联邦网络的资金；2002年，总统在提议成立国土安全部时也建议将巩固和加强联邦网络安全作为国土安全部的一项职责。

政府无法单独保护网络空间安全

虽然公众对网络安全的重要性的意识已经有所提高，而且已经采取的一些措施增强了我们的能力，但是我们国家的信息网络及其管理下的关键系统中仍然潜藏着网络风险。降低网络风险要求在国家的不同部门以及在国际之间建立一种空前广泛的合作关系。

联邦政府不能（事实上也不应该）保护私有的银行、能源公司、运输公司和其他私营实体的计算机网络。联邦政府同样也不能到家庭、小型单位、学校、州政府或地方政府去建设安全的计算机网络。每个依赖于网络空间的美国人都必须保护他们拥有或负责的那部分网络空间的安全。