网络信息对抗

网络信息对抗(Network Information Countermeasure)

　　网络信息对抗是指在信息网络环境中，一信息网络系统为载体，以计算机或计算机网络为目标，围绕信息侦查、信息干扰、信息欺骗、信息攻击，为争夺信息优势而进行的活动的总称。其作战目的是争取制网络权，作战对象是敌方的计算机网络和信息，作战区域是广阔的计算机网络空间，作战手段是根据计算机技术研制的各种病毒、逻辑炸弹和芯片武器等。

　　网络信息对抗是研究有关防止敌方攻击信息系统、检测敌方攻击信息系统、恢复破坏的信息系统及如何攻击、破坏敌方信息系统的理论和技术的一门科学。在军事上，网络信息对抗的本质是两个或多个敌对者在信息领域内，利用先进的电子信息技术和装备，使己方获取对战场信息的感知权、控制权和使用权而展开的斗争。由于斗争是限定在信息领域中进行的，因此信息对抗是围绕着信息的整个生命周期过程(包括信息的获取、传输、储存、处理、决策、利用及废弃等阶段)而展开的。在计算机网络日益普及的今天，信息的储存、处理与利用都必须依赖于信息系统，信息的传输必须依赖于有线的或各类无线的网络系统。因此，信息对抗实际上是保护己方的信息、信息处理、信息系统和计算机网络安全空间的同时，为破坏敌方的信息、信息处理、信息系统和计算机网络空间安全采取的各种行动。信息对抗的目标就是要获得明显的信息优势，进而获取决策优势，最终获得整个战场优势。

　　网络信息对抗的内涵包括：在准备和实施军事行动过程中，为夺取并保护对敌信息优势，按统一的意图和计划而采取的一整套信息保护措施，其中包括信息进攻和信息防御。

　　一、信息进攻

　　网络安全的最终目标是通过各种技术与管理手段实现网络信息系统的机密性、完整性、可用性、可靠性、可控性和拒绝否认性，其中前3项是网络安全的基本属性。机密性是保护敏感信息不被未授权的泄露或访问；完整性是指信息未经授权不能改变的特性；可用性是指信息系统可被授权人正常使用；可靠性是指系统能够在规定的条件与时间内完成规定功能的特性；可控性是指系统对信息内容和传输具有控制能力的特性；拒绝否认性是指通信双方不能抵赖或否认已完成的操作和承诺。

　　黑客攻击的目标就是要破坏系统的上述属性，从而获取用户甚至是超级用户的权限，以及进行不许可的操作。例如在UNIX系统中支持网络监听程序必须有root权限，因此黑客梦寐以求的就是掌握一台主机的超级用户权限，进而掌握整个网段的通信状态。

　　黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分为“攻击准备一攻击实施一攻击后处理”几个过程，如图1-1所示。下面我们来具体了解一下这几个过程。

　　　　　　　图1-1 攻击行为过程

　　1、攻击准备

　　攻击者在发动攻击前，需要了解目标网络的结构，收集各种目标系统的信息。通常通过踩点、扫描和查点三步来进行。

　　(1)踩点

　　在这个过程中，攻击者主要通过各种工具和技巧对攻击目标的情况进行探测，进而对其安全情况进行分析。这个过程主要收集如IP地址范围、域名服务器IP地址、邮件服务器IP地址、网络拓扑结构、用户名、电话及传真等信息。通过互联网中提供的大量信息，可以有效地缩小范围，针对攻击目标的具体情况选择相应的攻击工具。常用的收集信息的方式有通过网络命令进行查询，如whois、traceroute、nslookup、finger；通过网页搜索等。

　　(2)扫描

　　这个过程主要用于攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息。扫描技术主要包括Ping扫描、端口扫描、安全漏洞扫描。

　　①Ping扫描：用于确定哪些主机是存活的，由于现在很多机器的防火墙都禁止了Ping扫描功能，因此Ping扫描失败并不意味着主机肯定是不存活的。

　　②端口扫描：用于了解主机开放了哪些端口，从而推测主机都开放了哪些服务，著名的扫描工具有nmap、netcat等。

　　③安全漏洞扫描：用于发现系统软硬件、网络协议、数据库等在设计上和实现上可以被攻击者利用的错误、缺陷和疏漏，安全漏洞扫描工具有nessus、Scanner等。

　　(3)查点

　　这个过程主要是从目标系统中获取有效账号或导出系统资源目录。通常这种信息是通过主动同目标系统建立连接来获得的，因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关，所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和SNMP信息等。

　　2．攻击实施

　　当攻击者探测到了足够的系统信息，掌握了系统的安全弱点后就可以开始发动攻击。

　　根据不同的网络结构、不同的系统情况，攻击者可以采用不同的攻击手段。通常来说，攻击者攻击的最终目的是控制目标系统，从而可以窃取机密信息，远程操作目标主机。对于一些攻击目标是服务器的攻击来说，攻击者还可能会进行拒绝服务攻击，即通过远程操作多台机器同时对目标主机发动攻击，从而造成目标主机不能对外提供服务。

　　3．攻击后处理

　　获得目标系统的控制权后，攻击者为了能够方便下次进入目标系统，保留对目标系统的控制权，通常会采取相应的措施来消除攻击留下的痕迹，同时还会尽量保留隐蔽的通道。采用的技术有日志清理、安装后门、内核套件等。

　　 ①日志清理：通过更改系统日志清除攻击者留下的痕迹，避免被管理员发现。

　　②安装后门：通过安装后门工具，方便攻击者再次进入目标主机或远程控制目标主机。

　　③安装内核套件：可使攻击者直接控制操作系统内核，提供给攻击者一个完整的隐藏自身的工具包。

　　网络世界瞬息万变，攻击者的攻击手段、攻击工具也在不断变化，并不是每次攻击都需要以上的过程，攻击者在攻击过程中根据具体情况可能会增减部分攻击步骤。

　　二、信息防御

　　一般情况下被攻击方几乎始终处于被动局面，他不知道攻击行为在什么时候、以什么方式、以怎样的强度来攻击，故而被攻击方只有沉着应战才有可能获取最佳效果，把损失降到最低。单就防御来讲，相应于攻击行为过程，防御过程也可分为3个阶段，即确认攻击、对抗攻击、补救和预防，如图1-2所示。

　　　　　　　　图1-2 防御行为过程

　　防御方首先要尽可能早地发现并确定攻击行为、攻击者，所以平时信息系统要一直保持警惕，收集各种有关攻击行为的信息，不间断地进行分析、判定。系统一旦确定攻击行为的发生，无论是否具有严重的破坏性，防御方都要立即、果断地采取行动阻断攻击，有可能的情况下以主动出击的方式进行反击(如对攻击者进行定位跟踪)。此外，尽快修复攻击行为所产生的破坏性，修补漏洞和缺陷来加强相关方面的预防，对于造成严重后果的还要充分运用法律武器。

　　(1)确认攻击

　　攻击行为一般会产生某些迹象或者留下踪迹，所以可以根据系统的异常现象发现攻击行为，如异常的访问日志、网络流量突然增大、非授权访问(如非法访问系统配置文件)、正常服务的中止、出现可疑的进程或非法服务、系统文件或用户数据被更改、出现可疑的数据等。发现异常行为后，要进一步根据攻击的行为特征，分析、核实入侵者入侵的步骤，分析入侵的具体手段和入侵目的。一旦确认出现攻击行为，即可进行有效的反击和补救。总之，确认攻击是防御、对抗的首要环节。

　　(2)对抗攻击

　　一旦发现攻击行为就要立即采取措施以免造成更大的损失，同时在有可能的情况下给以迎头痛击，追踪入侵者并绳之以法。具体地来说，可以根据获知的攻击行为手段或方式，采取相应的措施，比如，针对后门攻击，就要及时堵住后门；针对病毒攻击，要利用杀毒软件或暂时关闭系统以免扩大受害面积等。还可采取反守为攻的方法，追查攻击者，复制入侵行为的所有影像作为法律追查分析、证明的材料，必要时直接报案，通过法律来解决。

　　(3)补救和预防

　　一次攻击和对抗过程结束后，防御方应吸取教训，及时分析和总结问题所在，对于未造成损失的攻击要修补漏洞或系统缺陷；对于已造成损失的攻击行为，被攻击方应尽快修复，尽早使系统工作正常，同时修补漏洞和缺陷，需要的情况下运用法律武器追究攻击方的责任。总之，无论是否造成损失，防御方均要尽可能地找出原因，并适时进行系统修补，而且要进一步采取措施加强预防。

　　1、以夺取和控制制网络权为首要目的

　　以夺取和控制制网络权为首要目的，是计算机网络战区别于其他作战样式的重要标志。计算机网络将各级指挥控制机构与作战部队甚至单兵有机地组织成一个整体，如果在作战中保持了制网络权，就意味着具有强大的战斗力，如果丧失了制网络权，即使己方人员、装备完好无损，也仍然是一盘散沙，不能形成战斗力。未来战场，谁在作战中控制网络的能力更强、更持久，谁就将夺取战争的胜利。

　　2、人员素质要求高且技术性强

　　计算机网络战是高技术战争，计算机网络战士要求有很高的专业技术水平。现在博士和科学家也冲到了战争的最前线，发动“计算机战”。在计算机网络战中，网络战士将使用各种先进的网络战武器向敌方进行攻击。此外，计算机网络战涉及的微电子技术、计算机技术、网络安全技术、网络互联技术、数据库管理技术、系统集成技术、调制解调技术、加(解)密技术、人工智能技术及信息获取、传递、处理技术等都是当今的高、精、尖技术。

　　3、行动更加隐蔽且突然

　　当今社会计算机网络已遍布世界各地，大大缩短了人们的时间、空间距离，因此以网络为依托的计算机网络战也就打破了以往战争中时空距离的限制，可以随时、随地向对方发起攻击。目前，对计算机网络可能的攻击手段，不仅有传统的兵力、火力打击等“硬”的一手，还有诸多“软”的手段，而且许多手段非常隐蔽，不留下任何蛛丝马迹。被攻击者可能无法判定攻击者是谁、它来自何方，难以确定攻击者的真实企图和实力，甚至可能在受到攻击后还毫无察觉。

　　4、效费比高

　　计算机网络对抗是把攻防联系得更为紧密的作战样式，这种攻防兼备的作战形式提高了计算机网络战的作战效益。一是计算机网络对抗攻防范围广泛。进攻行动隐蔽，攻击速度快，危害性大，危及面宽；计算机网络防御在己方整个计算机网络上实施，对保证整个系统正常运行有巨大作用。二是计算机网络攻防重点是敌我双方的核心系统。一旦核心系统遭受攻击或破坏，就会造成指挥中断。三是计算机网络对抗战的成本低，手段隐蔽，破坏力强。研制新型的计算机病毒武器比研制其他高新技术武器成本要低，而破坏力却并不低，因此，效费比高。

　　5、破坏性是长久的、持续的

　　在干扰发生以后，它仍然在继续行动，而传统的电子对抗只是在干扰发生期间起作用。所以，网络信息对抗的效果要比电子对抗大许多，它是唯一能胜任破坏战术操作能力的对抗技术。

　　6、网络信息对抗的战斗力可以准确地进行控制

　　它可以通过编程的方法搜索特定的敌方系统，一旦找到，智能武器就潜伏下来，等待时机行动。网络信息对抗的战斗力包括偷偷地改变系统功能，使系统关机，破坏数据文件和战术程序等。

　　网络信息对抗主要有以下几个层次。

　　1、实体层次的计算机网络对抗

　　以常规物理方式直接破坏、摧毁计算机网络系统的实体，完成目标打击和摧毁任务。在平时，主要指敌对势力利用行政管理方面的漏洞对计算机系统进行的破坏活动；在战时，指通过运用高技术明显提高传统武器的威力，直接摧毁敌方的指挥控制中心、网络节点及通信信道。这一层次计算机安全的首要任务是做好重要网络设施的保卫工作，加强场地安全管理，做好供电、接地、灭火的管理，与传统意义上的安全保卫工作的目标相吻合。

　　2、能量层次的计算机网络对抗

　　敌对双方围绕着制电磁频谱权而展开的物理能量的对抗。敌对双方一方面通过运用强大的物理能量干扰、压制或嵌入对方的信息网络，甚至像热武器一样直接摧毁敌方的信息系统(如高能射频枪、脉冲变压器弹等)；另一方面又通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析，获取秘密信息。这一层次计算机安全的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰，在重要部位安装干扰器、建设屏蔽机房等。

　　3、逻辑层次的计算机网络对抗

　　逻辑层次的计算机网络对抗即运用逻辑手段破坏敌方的网络系统，保护己方的网络系统的对抗。这个概念接近于美国人讲的Cyberspace Warfare，包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗及芯片陷阱等多种形式。它与计算机网络在物理能量领域的对抗的区别表现在如下几点。

　　①在逻辑的对抗中获得制信息权的决定因素是逻辑的而不是物理能量的，取决于对信息系统本身的技术掌握水平，是知识和智力的较量，而不是电磁能量强弱的较量。

　　②计算机网络空间(Cyberspace)成为战场，消除了地理空间的界限，使得对抗双方的前方、后方、前沿、纵深的概念变得模糊，进攻和防御的界限很难划分。

　　③虽然它基本上属于对系统的软破坏，但信息的泄露、篡改、丢失乃至网络的瘫痪同样会带来致命的后果。有时它也能引起对系统的硬破坏。

　　④由于计算机系统本质上的脆弱性，为了对付内行的系统入侵者，信息系统安全的核心手段应该是逻辑的(如访问控制、加密等)，而不是物理的(如机房进、出入制度等)，即通过对系统软、硬件的逻辑结构设计从技术体制上保证信息的安全。

　　网络技术惊人的发展速度和网络日希扩大的覆盖面。使逻辑意义上的网络对抗将不仅仅局限在军事领域，而是会成为波及整个社会大系统的全面抗衡和较量，具有突发性、隐蔽性、随机性、波及性和全方位性。

　　4、超逻辑层次(也可称为超技术层次)的计算机网络对抗

　　超逻辑层次的计算机网络对抗即网络空间中面向信息的超逻辑形式的对抗。网络对抗并不总是表现为技术的、逻辑的对抗形式，如国内外敌对势力利用计算机网络进行反动宣传、传播谣言、蛊惑人心，进行情报窃取和情报欺骗，针对敌方军民进行心理战等。这些都已经超出了网络的技术设计的范畴，属于对网络的管理、监察和控制的问题。利用黑客技术篡改股市数据以及对股市数据的完整性保护属于逻辑的对抗，而直接发表虚假信息欺骗大众则属于超逻辑的对抗。后一种意义上的网络对抗瞄准了人性的弱点，运用政治的、经济的、人文的、法制的、舆论的、攻心的等各种手段，打击对方的意志、意念和认知系统，往往以伪装、欺诈、谣言、诽谤、恐吓等形式出现。

　　超逻辑层次的对抗与逻辑层次的对抗的主要区别是：它把信息看作为难以用形式化语言描述的、不可分析的对象，其概念更加接近于信息的本质内涵，类似于历史上对信息战概念的传统理解，其战例和作战理论古已有之，并且在运用了现代网络技术后其形式已变得更加丰富多彩。虽然这一层次的对抗也要使用大量高科技，但它本质上是对技术的超越，其关键因素是策划创意的艺术，而不是具体的技术。后者是逻辑上可递归的，本质上可计算的；前者则是对逻辑的超越，本质上不存在可行的求解算法，否则敌方的作战意图、社会政治动向就可以准确地算出来了。显然后者属于更高层次的信息类型。

　　以上4种网络对抗的概念既有本质上的内在联系，又有各自不同的展开空间。第1个层次的对抗在常规物理空间上展开；第2个层次的对抗在电磁频谱空间上展开；第3个层次的对抗在计算机网络空间上展开；第4个层次的对抗则在一个更为广泛而深刻的精神空间上展开。

　　网络信息对抗的“秘密”武器是智能信息武器，它是计算机病毒、抗计算机病毒程序及对网络实施攻击的程序的总称。智能武器作为一种新型的电子战武器，它的攻击目标就是网络上敌方电子系统的处理器。终极目的就是在一定控制作用下，攻击对方系统中的资源(数据、程序等)，造成敌方系统灾难性的破坏，从而赢得战争的胜利。其作战步骤如下。

　　①通过传播，把智能攻击武器注入敌方系统的最薄弱环节(无保护的链路之中)。

　　②智能武器通过感染将病毒传播到下一个节点——有保护的链路之中，从而对有保护的节点构成威胁。

　　③通过一级级地感染，最终到达预定目标——敌方指挥中心的计算机系统，用特定的事件和时间激发，对敌方系统造成灾难性的破坏。网络信息对抗与传统的电子对抗的主要差别在于电子对抗的目标是电子系统的接收设备，而信息对杭的目标是敌方系统的处理器(即计算机)。