網路信息對抗

出自 MBA智库百科(https://wiki.mbalib.com/)

網路信息對抗(Network Information Countermeasure)

　　網路信息對抗是指在信息網路環境中，一信息網路系統為載體，以電腦或電腦網路為目標，圍繞信息偵查、信息干擾、信息欺騙、信息攻擊，為爭奪信息優勢而進行的活動的總稱。其作戰目的是爭取制網路權，作戰對象是敵方的電腦網路和信息，作戰區域是廣闊的電腦網路空間，作戰手段是根據電腦技術研製的各種病毒、邏輯炸彈和晶元武器等。

　　網路信息對抗是研究有關防止敵方攻擊信息系統、檢測敵方攻擊信息系統、恢復破壞的信息系統及如何攻擊、破壞敵方信息系統的理論和技術的一門科學。在軍事上，網路信息對抗的本質是兩個或多個敵對者在信息領域內，利用先進的電子信息技術和裝備，使己方獲取對戰場信息的感知權、控制權和使用權而展開的鬥爭。由於鬥爭是限定在信息領域中進行的，因此信息對抗是圍繞著信息的整個生命周期過程(包括信息的獲取、傳輸、儲存、處理、決策、利用及廢棄等階段)而展開的。在電腦網路日益普及的今天，信息的儲存、處理與利用都必須依賴於信息系統，信息的傳輸必須依賴於有線的或各類無線的網路系統。因此，信息對抗實際上是保護己方的信息、信息處理、信息系統和電腦網路安全空間的同時，為破壞敵方的信息、信息處理、信息系統和電腦網路空間安全採取的各種行動。信息對抗的目標就是要獲得明顯的信息優勢，進而獲取決策優勢，最終獲得整個戰場優勢。

　　網路信息對抗的內涵包括：在準備和實施軍事行動過程中，為奪取並保護對敵信息優勢，按統一的意圖和計劃而採取的一整套信息保護措施，其中包括信息進攻和信息防禦。

　　一、信息進攻

　　網路安全的最終目標是通過各種技術與管理手段實現網路信息系統的機密性、完整性、可用性、可靠性、可控性和拒絕否認性，其中前3項是網路安全的基本屬性。機密性是保護敏感信息不被未授權的泄露或訪問；完整性是指信息未經授權不能改變的特性；可用性是指信息系統可被授權人正常使用；可靠性是指系統能夠在規定的條件與時間內完成規定功能的特性；可控性是指系統對信息內容和傳輸具有控制能力的特性；拒絕否認性是指通信雙方不能抵賴或否認已完成的操作和承諾。

　　黑客攻擊的目標就是要破壞系統的上述屬性，從而獲取用戶甚至是超級用戶的許可權，以及進行不許可的操作。例如在UNIX系統中支持網路監聽程式必須有root許可權，因此黑客夢寐以求的就是掌握一臺主機的超級用戶許可權，進而掌握整個網段的通信狀態。

　　黑客常用的攻擊步驟可以說變幻莫測，但縱觀其整個攻擊過程，還是有一定規律可循的，一般可以分為“攻擊準備一攻擊實施一攻擊後處理”幾個過程，如圖1-1所示。下麵我們來具體瞭解一下這幾個過程。

　　　　　　　圖1-1 攻擊行為過程

　　1、攻擊準備

　　攻擊者在發動攻擊前，需要瞭解目標網路的結構，收集各種目標系統的信息。通常通過踩點、掃描和查點三步來進行。

　　(1)踩點

　　在這個過程中，攻擊者主要通過各種工具和技巧對攻擊目標的情況進行探測，進而對其安全情況進行分析。這個過程主要收集如IP地址範圍、功能變數名稱伺服器IP地址、郵件伺服器IP地址、網路拓撲結構、用戶名、電話及傳真等信息。通過互聯網中提供的大量信息，可以有效地縮小範圍，針對攻擊目標的具體情況選擇相應的攻擊工具。常用的收集信息的方式有通過網路命令進行查詢，如whois、traceroute、nslookup、finger；通過網頁搜索等。

　　(2)掃描

　　這個過程主要用於攻擊者獲取活動主機、開放服務、操作系統、安全漏洞等關鍵信息。掃描技術主要包括Ping掃描、埠掃描、安全漏洞掃描。

　　①Ping掃描：用於確定哪些主機是存活的，由於現在很多機器的防火牆都禁止了Ping掃描功能，因此Ping掃描失敗並不意味著主機肯定是不存活的。

　　②埠掃描：用於瞭解主機開放了哪些埠，從而推測主機都開放了哪些服務，著名的掃描工具有nmap、netcat等。

　　③安全漏洞掃描：用於發現系統軟硬體、網路協議、資料庫等在設計上和實現上可以被攻擊者利用的錯誤、缺陷和疏漏，安全漏洞掃描工具有nessus、Scanner等。

　　(3)查點

　　這個過程主要是從目標系統中獲取有效賬號或導出系統資源目錄。通常這種信息是通過主動同目標系統建立連接來獲得的，因此這種查詢在本質上要比踩點和埠掃描更具有入侵效果。查點技術通常和操作系統有關，所收集的信息包括用戶名和組名信息、系統類型信息、路由表信息和SNMP信息等。

　　2．攻擊實施

　　當攻擊者探測到了足夠的系統信息，掌握了系統的安全弱點後就可以開始發動攻擊。

　　根據不同的網路結構、不同的系統情況，攻擊者可以採用不同的攻擊手段。通常來說，攻擊者攻擊的最終目的是控制目標系統，從而可以竊取機密信息，遠程操作目標主機。對於一些攻擊目標是伺服器的攻擊來說，攻擊者還可能會進行拒絕服務攻擊，即通過遠程操作多台機器同時對目標主機發動攻擊，從而造成目標主機不能對外提供服務。

　　3．攻擊後處理

　　獲得目標系統的控制權後，攻擊者為了能夠方便下次進入目標系統，保留對目標系統的控制權，通常會採取相應的措施來消除攻擊留下的痕跡，同時還會儘量保留隱蔽的通道。採用的技術有日誌清理、安裝後門、內核套件等。

　　 ①日誌清理：通過更改系統日誌清除攻擊者留下的痕跡，避免被管理員發現。

　　②安裝後門：通過安裝後門工具，方便攻擊者再次進入目標主機或遠程式控制制目標主機。

　　③安裝內核套件：可使攻擊者直接控制操作系統內核，提供給攻擊者一個完整的隱藏自身的工具包。

　　網路世界瞬息萬變，攻擊者的攻擊手段、攻擊工具也在不斷變化，並不是每次攻擊都需要以上的過程，攻擊者在攻擊過程中根據具體情況可能會增減部分攻擊步驟。

　　二、信息防禦

　　一般情況下被攻擊方幾乎始終處於被動局面，他不知道攻擊行為在什麼時候、以什麼方式、以怎樣的強度來攻擊，故而被攻擊方只有沉著應戰才有可能獲取最佳效果，把損失降到最低。單就防禦來講，相應於攻擊行為過程，防禦過程也可分為3個階段，即確認攻擊、對抗攻擊、補救和預防，如圖1-2所示。

　　　　　　　　圖1-2 防禦行為過程

　　防禦方首先要儘可能早地發現並確定攻擊行為、攻擊者，所以平時信息系統要一直保持警惕，收集各種有關攻擊行為的信息，不間斷地進行分析、判定。系統一旦確定攻擊行為的發生，無論是否具有嚴重的破壞性，防禦方都要立即、果斷地採取行動阻斷攻擊，有可能的情況下以主動出擊的方式進行反擊(如對攻擊者進行定位跟蹤)。此外，儘快修複攻擊行為所產生的破壞性，修補漏洞和缺陷來加強相關方面的預防，對於造成嚴重後果的還要充分運用法律武器。

　　(1)確認攻擊

　　攻擊行為一般會產生某些跡象或者留下蹤跡，所以可以根據系統的異常現象發現攻擊行為，如異常的訪問日誌、網路流量突然增大、非授權訪問(如非法訪問系統配置文件)、正常服務的中止、出現可疑的進程或非法服務、系統文件或用戶數據被更改、出現可疑的數據等。發現異常行為後，要進一步根據攻擊的行為特征，分析、核實入侵者入侵的步驟，分析入侵的具體手段和入侵目的。一旦確認出現攻擊行為，即可進行有效的反擊和補救。總之，確認攻擊是防禦、對抗的首要環節。

　　(2)對抗攻擊

　　一旦發現攻擊行為就要立即採取措施以免造成更大的損失，同時在有可能的情況下給以迎頭痛擊，追蹤入侵者並繩之以法。具體地來說，可以根據獲知的攻擊行為手段或方式，採取相應的措施，比如，針對後門攻擊，就要及時堵住後門；針對病毒攻擊，要利用殺毒軟體或暫時關閉系統以免擴大受害面積等。還可採取反守為攻的方法，追查攻擊者，複製入侵行為的所有影像作為法律追查分析、證明的材料，必要時直接報案，通過法律來解決。

　　(3)補救和預防

　　一次攻擊和對抗過程結束後，防禦方應吸取教訓，及時分析和總結問題所在，對於未造成損失的攻擊要修補漏洞或系統缺陷；對於已造成損失的攻擊行為，被攻擊方應儘快修複，儘早使系統工作正常，同時修補漏洞和缺陷，需要的情況下運用法律武器追究攻擊方的責任。總之，無論是否造成損失，防禦方均要儘可能地找出原因，並適時進行系統修補，而且要進一步採取措施加強預防。

　　1、以奪取和控制制網路權為首要目的

　　以奪取和控制制網路權為首要目的，是電腦網路戰區別於其他作戰樣式的重要標誌。電腦網路將各級指揮控制機構與作戰部隊甚至單兵有機地組織成一個整體，如果在作戰中保持了制網路權，就意味著具有強大的戰鬥力，如果喪失了制網路權，即使己方人員、裝備完好無損，也仍然是一盤散沙，不能形成戰鬥力。未來戰場，誰在作戰中控制網路的能力更強、更持久，誰就將奪取戰爭的勝利。

　　2、人員素質要求高且技術性強

　　電腦網路戰是高技術戰爭，電腦網路戰士要求有很高的專業技術水平。現在博士和科學家也衝到了戰爭的最前線，發動“電腦戰”。在電腦網路戰中，網路戰士將使用各種先進的網路戰武器向敵方進行攻擊。此外，電腦網路戰涉及的微電子技術、電腦技術、網路安全技術、網路互聯技術、資料庫管理技術、系統集成技術、調製解調技術、加(解)密技術、人工智慧技術及信息獲取、傳遞、處理技術等都是當今的高、精、尖技術。

　　3、行動更加隱蔽且突然

　　當今社會電腦網路已遍佈世界各地，大大縮短了人們的時間、空間距離，因此以網路為依托的電腦網路戰也就打破了以往戰爭中時空距離的限制，可以隨時、隨地向對方發起攻擊。目前，對電腦網路可能的攻擊手段，不僅有傳統的兵力、火力打擊等“硬”的一手，還有諸多“軟”的手段，而且許多手段非常隱蔽，不留下任何蛛絲馬跡。被攻擊者可能無法判定攻擊者是誰、它來自何方，難以確定攻擊者的真實企圖和實力，甚至可能在受到攻擊後還毫無察覺。

　　4、效費比高

　　電腦網路對抗是把攻防聯繫得更為緊密的作戰樣式，這種攻防兼備的作戰形式提高了電腦網路戰的作戰效益。一是電腦網路對抗攻防範圍廣泛。進攻行動隱蔽，攻擊速度快，危害性大，危及面寬；電腦網路防禦在己方整個電腦網路上實施，對保證整個系統正常運行有巨大作用。二是電腦網路攻防重點是敵我雙方的核心系統。一旦核心系統遭受攻擊或破壞，就會造成指揮中斷。三是電腦網路對抗戰的成本低，手段隱蔽，破壞力強。研製新型的電腦病毒武器比研製其他高新技術武器成本要低，而破壞力卻並不低，因此，效費比高。

　　5、破壞性是長久的、持續的

　　在干擾發生以後，它仍然在繼續行動，而傳統的電子對抗只是在干擾發生期間起作用。所以，網路信息對抗的效果要比電子對抗大許多，它是唯一能勝任破壞戰術操作能力的對抗技術。

　　6、網路信息對抗的戰鬥力可以準確地進行控制

　　它可以通過編程的方法搜索特定的敵方系統，一旦找到，智能武器就潛伏下來，等待時機行動。網路信息對抗的戰鬥力包括偷偷地改變系統功能，使系統關機，破壞數據文件和戰術程式等。

　　網路信息對抗主要有以下幾個層次。

　　1、實體層次的電腦網路對抗

　　以常規物理方式直接破壞、摧毀電腦網路系統的實體，完成目標打擊和摧毀任務。在平時，主要指敵對勢力利用行政管理方面的漏洞對電腦系統進行的破壞活動；在戰時，指通過運用高技術明顯提高傳統武器的威力，直接摧毀敵方的指揮控制中心、網路節點及通信通道。這一層次電腦安全的首要任務是做好重要網路設施的保衛工作，加強場地安全管理，做好供電、接地、滅火的管理，與傳統意義上的安全保衛工作的目標相吻合。

　　2、能量層次的電腦網路對抗

　　敵對雙方圍繞著制電磁頻譜權而展開的物理能量的對抗。敵對雙方一方面通過運用強大的物理能量干擾、壓制或嵌入對方的信息網路，甚至像熱武器一樣直接摧毀敵方的信息系統(如高能射頻槍、脈衝變壓器彈等)；另一方面又通過運用探測物理能量的技術手段對電腦輻射信號進行採集與分析，獲取秘密信息。這一層次電腦安全的對策主要是做好電腦設施的防電磁泄露、抗電磁脈衝干擾，在重要部位安裝干擾器、建設屏蔽機房等。

　　3、邏輯層次的電腦網路對抗

　　邏輯層次的電腦網路對抗即運用邏輯手段破壞敵方的網路系統，保護己方的網路系統的對抗。這個概念接近於美國人講的Cyberspace Warfare，包括電腦病毒對抗、黑客對抗、密碼對抗、軟體對抗及晶元陷阱等多種形式。它與電腦網路在物理能量領域的對抗的區別表現在如下幾點。

　　①在邏輯的對抗中獲得制信息權的決定因素是邏輯的而不是物理能量的，取決於對信息系統本身的技術掌握水平，是知識和智力的較量，而不是電磁能量強弱的較量。

　　②電腦網路空間(Cyberspace)成為戰場，消除了地理空間的界限，使得對抗雙方的前方、後方、前沿、縱深的概念變得模糊，進攻和防禦的界限很難劃分。

　　③雖然它基本上屬於對系統的軟破壞，但信息的泄露、篡改、丟失乃至網路的癱瘓同樣會帶來致命的後果。有時它也能引起對系統的硬破壞。

　　④由於電腦系統本質上的脆弱性，為了對付內行的系統入侵者，信息系統安全的核心手段應該是邏輯的(如訪問控制、加密等)，而不是物理的(如機房進、出入制度等)，即通過對系統軟、硬體的邏輯結構設計從技術體制上保證信息的安全。

　　網路技術驚人的發展速度和網路日希擴大的覆蓋面。使邏輯意義上的網路對抗將不僅僅局限在軍事領域，而是會成為波及整個社會大系統的全面抗衡和較量，具有突發性、隱蔽性、隨機性、波及性和全方位性。

　　4、超邏輯層次(也可稱為超技術層次)的電腦網路對抗

　　超邏輯層次的電腦網路對抗即網路空間中面向信息的超邏輯形式的對抗。網路對抗並不總是表現為技術的、邏輯的對抗形式，如國內外敵對勢力利用電腦網路進行反動宣傳、傳播謠言、蠱惑人心，進行情報竊取和情報欺騙，針對敵方軍民進行心理戰等。這些都已經超出了網路的技術設計的範疇，屬於對網路的管理、監察和控制的問題。利用黑客技術篡改股市數據以及對股市數據的完整性保護屬於邏輯的對抗，而直接發表虛假信息欺騙大眾則屬於超邏輯的對抗。後一種意義上的網路對抗瞄準了人性的弱點，運用政治的、經濟的、人文的、法制的、輿論的、攻心的等各種手段，打擊對方的意志、意念和認知系統，往往以偽裝、欺詐、謠言、誹謗、恐嚇等形式出現。

　　超邏輯層次的對抗與邏輯層次的對抗的主要區別是：它把信息看作為難以用形式化語言描述的、不可分析的對象，其概念更加接近於信息的本質內涵，類似於歷史上對信息戰概念的傳統理解，其戰例和作戰理論古已有之，並且在運用了現代網路技術後其形式已變得更加豐富多彩。雖然這一層次的對抗也要使用大量高科技，但它本質上是對技術的超越，其關鍵因素是策劃創意的藝術，而不是具體的技術。後者是邏輯上可遞歸的，本質上可計算的；前者則是對邏輯的超越，本質上不存在可行的求解演算法，否則敵方的作戰意圖、社會政治動向就可以準確地算出來了。顯然後者屬於更高層次的信息類型。

　　以上4種網路對抗的概念既有本質上的內在聯繫，又有各自不同的展開空間。第1個層次的對抗在常規物理空間上展開；第2個層次的對抗在電磁頻譜空間上展開；第3個層次的對抗在電腦網路空間上展開；第4個層次的對抗則在一個更為廣泛而深刻的精神空間上展開。

　　網路信息對抗的“秘密”武器是智能信息武器，它是電腦病毒、抗電腦病毒程式及對網路實施攻擊的程式的總稱。智能武器作為一種新型的電子戰武器，它的攻擊目標就是網路上敵方電子系統的處理器。終極目的就是在一定控製作用下，攻擊對方系統中的資源(數據、程式等)，造成敵方系統災難性的破壞，從而贏得戰爭的勝利。其作戰步驟如下。

　　①通過傳播，把智能攻擊武器註入敵方系統的最薄弱環節(無保護的鏈路之中)。

　　②智能武器通過感染將病毒傳播到下一個節點——有保護的鏈路之中，從而對有保護的節點構成威脅。

　　③通過一級級地感染，最終到達預定目標——敵方指揮中心的電腦系統，用特定的事件和時間激發，對敵方系統造成災難性的破壞。網路信息對抗與傳統的電子對抗的主要差別在於電子對抗的目標是電子系統的接收設備，而信息對杭的目標是敵方系統的處理器(即電腦)。