“如果你看看世界上的軍事大國，他們都有發動網絡攻擊的能力。雖然與發動網絡戰相比，真正軍事打擊更有可能從空中打擊開始，網絡空間也需要依靠基礎設施、電腦設備等物理存在。但無論如何，網絡戰已經是真實存在的威脅。”

“網絡空間是不是天生就不安全？這個問題，我剛剛與互聯網的創始人之一聊過，上世紀70年代，他與一群網絡精英共同創造了互聯網。他對我說：‘不，創造互聯網時，我們從未考慮過安全問題。如果我們能夠預見到今天會面臨的問題，那時我們也許會以不同的方式來構建網絡空間。’”華盛頓的一個清晨，詹姆斯?路易斯(James A. Lewis)在電話里告訴本刊記者。他是美國重要智庫戰略與國際研究中心高級研究員，負責技術與公共政策項目。此前，他是美國聯邦政府高級行政官員，在美國軍方有多年工作經歷。

今年2月，華盛頓舉行了一場名為“網絡沖擊波”(Cyber ShockWave)的高規格網絡安全演習。這場演習，由中情局前局長麥克爾?海頓設計，參與者包括美國前國土安全部部長，前國家情報局主任，前國家經濟委員會主任等。演習中的故事，從智能手機操作系統的漏洞開始：鍵盤記錄和截取數據的間諜軟件被載入智能手機，上百萬美元被竊取，資金被轉移到海外銀行。然后，截獲數據的盜竊軟件發生變異，將受到感染的手機和計算機變為僵尸設備，并把僵尸程序帶入電信系統。由于手機與計算機間有同步程序，這些惡意代碼開始復制，計算機和互聯網供應商也被僵尸程序感染。最后，互聯網和電信系統都發生障礙，導致空中交通失控，紐約股票交易所出現混亂。與此同時，酷熱的天氣和颶風給電力系統帶來極大壓力。颶風摧毀了石油提煉廠和天然氣加工中心，電網高負荷運轉，而這時，電力交換平臺受到惡意病毒的襲擊。

演習進行過程中，聯邦調查局發現，對電信系統的攻擊如果發源于一個俄羅斯境內的服務器。美國政府是否可以將服務器端掉？由于之前沒有先例可以借鑒，也沒有國際法可以遵循，關掉服務器的行為很可能被俄羅斯視為侵略或戰爭行為，因此，關掉服務器可能是危險的。而如果這個俄羅斯境內的服務器，只是一個中轉服務器，發動攻擊的服務器實際上在美國境內，是否可以端掉這個服務器呢？“政府官員”經過討論，得出的結論是，在美國領土上采取這種措施，也違反了一系列美國法律，只有在宣布緊急狀態時才能這樣做――網絡癱瘓時，存在著大量具有不確定性的政策問題。

美國SANS網絡預警中心主任馬庫斯?薩科斯(Marchs Sachs)受邀觀摩了這次演習。薩科斯有在美軍服役20年的經歷，曾在國土安全部工作，他的專長是網絡政策與國家安全。他很關注政府在這種情況下如何處理與私有企業的關系。在美國，電力和電信系統基礎設施，都為私人企業所有。演習中，扮演政府官員角色的人遲遲未讓決定電力和電信企業參與到決策中，讓他感覺到有些失真。他告訴本刊記者：“美國的私有部門，以及地方政府、州政府和聯邦政府，都沒有能力和權限單獨維護網絡安全，它必須是公民、大小公司、科研機構和政府的協作。這種協作，是一種‘安全文化’，只靠法律和監管發揮不了作用，只追求經濟利益也不行。”為促進這種協作的“安全文化”，薩科斯說：“美國國土安全部出臺了《國家基礎設施保護計劃》，美國企業成立了國家網絡安全聯盟。”

“關鍵基礎設施的安全隱患是的的確確存在的，并非夸大的威脅。”華盛頓的Steptoe & Johnson網絡安全法律公司合伙人斯圖爾特?貝克(Stewart A. Baker)告訴本刊記者，他曾任美國國土安全部部長政策問題首席助理。不久前，受美國安全公司McAfee之托，智庫戰略與國際研究中心完成了一份題為《交火――網絡戰時代的關鍵基礎設施報告》的報告，對14個國家的600家IT和基礎設施企業進行了調查，貝克參與其中。報告指出，56%的受訪者認為，網絡攻擊的首要目標是金融信息，而針對能源，如電力、石油、天然氣部門的網絡攻擊有55%～56%是針對計算機化的操控系統的。然而，廣泛用于電力系統的數據采集與監控系統(SCADA系統)幾乎沒有安全措施。貝克向本刊記者解釋說：“SCADA系統與互聯網相連，可以降低遠程服務和監控的價格，所以更方便。”但這就使控制系統“基本是開放的，難以保障安全”，實際上是為方便而犧牲安全的做法。啟明星辰有限公司是北京中關村最早和規模最大的信息安全技術公司之一，它的信息安全專家翟勝軍也告訴本刊記者：“互聯網是承載攻擊的平臺，攻擊者可以不必直接接觸基礎設施而控制網絡。互聯網本身并非攻擊的根源，根源是基礎設施網絡與互聯網的隔離漏洞，使攻擊者有了可乘之機。”

《交火》報告還指出，中國對關鍵基礎設施采取了較多的安全保護措施，包括加密系統和用戶身份驗證。而在網絡監管程度上，其實印度最高，其次是中國和德國，美國的監管程度最低。“在監管方面，美國走得很慢。我們有一種意識形態，相信市場和企業，這使得我們監管網絡的能力很有限。美國對基礎設施實行監管的路徑是，一種新的基礎設施出現了，我們就跟著建立一個監管機構，再出現新的，再跟著建立。這樣，我們就有監管電信的聯邦通訊委員會，監管電網的能源部等。現在，聯邦通訊委員會正試圖監管網絡，但能不能實現，還不知道答案。”路易斯告訴本刊記者。在路易斯看來，“美國銀行已經采取了一些身份識別措施，但級別還不夠，它們在花錢升級身份識別系統上瞻前顧后。電力公司也不希望提高網絡安全的級別，因為要一家電力公司買一個提高網絡安全性的昂貴軟件，對提高它的效率或增加收入沒有任何貢獻”。在中國有多年工作經驗的路易斯說，“相比之下，中國公司更加愿意與和政府合作，而且基礎設施大多是國有企業所有，或者原本是國有企業，各國政治文化的背景是不同的”。

馬庫斯則不認為存在“更安全”的方式，他說：“網絡空間是由0和1構成，它不管誰是所有人，誰在控制，它也不管軟件是開放的還是專屬的。只要這個空間有漏洞，它就會受到攻擊，只要減少漏洞，它就會更安全。”

馬庫斯告訴本刊記者，網絡安全早就向全球發出警示了。從2007年4月底開始，愛沙尼亞總統和議會網站、政府各部門、各政黨、六大新聞機構中的3家、最大兩家銀行以及通訊公司就曾陸續受到規模廣泛和有深度的網絡攻擊。當時，愛沙尼亞正準備移走其境內蘇俄時代的紀念銅像，引起國內俄羅斯族的騷亂。網絡攻擊的第一次高峰出現在5月3日，當天莫斯科爆發激烈的示威抗議。另一高峰是5月8日和9日，隨著歐洲各國紀念“二戰”勝利，攻擊同步升級，至少6個政府網站被迫關閉，其中包括外交部和司法部。最后一次攻擊高峰是5月15日，愛沙尼亞最大的幾家銀行被迫暫停與國外的通訊，鄰國瑞典也預先封鎖流入愛沙尼亞的異常流量。

馬庫斯告訴本刊記者，這場網絡襲擊非常直接地揭示出應對網絡戰需要面臨的問題。愛沙尼亞政府曾成立緊急事件應變小組，在追蹤攻擊者時，發現源頭來自越南、美國全球各地的電腦，懷疑黑客可能利用僵尸網絡發動分布式拒絕服務攻擊，很可能是愛沙尼亞人自己發起的。發動如此規模的攻擊，未必需要政府在背后操控。“關鍵是，確認襲擊人的具體身份非常困難，這也是為什么網絡犯罪的案例無數，卻極少有人被逮捕。而要確定攻擊的源頭是政府、軍事組織還是民間組織，幾乎是不可能的。”

另一方面，網絡恐怖主義正成為現實存在的威脅。2009年，30歲的加拿大軟件工程師莫敏?哈瓦亞被判10年有期徒刑，他被指控參與2002至2004年間發生在英國的肥料炸彈事件，曾多次進行遠程遙控炸彈的試驗。2006年，多倫多的穆斯林極端主義組織頭目扎卡利亞承認，他曾學習如何用互聯網來控制肥料炸彈的爆炸，而且打算炸多倫多股票交易所，他被判終身監禁。圣戰者還通過互聯網發動心理戰，通過“虛擬大學”宣傳圣戰思想，并通過網絡獲得資助。為了防止一般的密碼軟件留有后門，他們還開發出自己的密碼軟件。

“身份無法驗證，讓建立法律、監管或協議都很困難。如果有一天真的發生網絡戰，現在的《日內瓦公約》無法適用，因為很難確定交戰方是誰。”馬庫斯說。因此，幾年前，關于“分割網絡”的討論就已經開始。分割網絡的目的，是為了讓網絡身份可以得到確認，使警察能夠逮捕網絡犯罪者，從而提高網絡安全。目前，網絡交通的地址系統是由一個世界性的非政府組織，互聯網名稱與數字地址分配機構(英文縮寫為ICANN)來管理的。ICANN通過監督互聯網技術標識符的分配和頂級域名的授權，來保證所有互聯網用戶都能找到有效的地址，它是維護互聯網全球開放性的關鍵。但與此同時，美國也因此掌握著互聯網的主動脈――不僅各個國家和地區的通信支干線都要經過美國主干線，美國還掌握著全球互聯網13臺域名根服務器中的10臺，只要在根服務器上屏蔽國家域名，就可以讓一個國家在網絡上瞬間“消失”。

而分割網絡，就是要建立各國自己封閉的內網，全球互聯網作為外網，兩者物理隔離(使用不同的網絡硬件系統)，這顯然違背了互聯網的初衷。“人們討論了很多年，但還是沒實現，我對它能否實現抱有懷疑。如果分隔網絡，你必須在計算機上的兩個系統間(國家網和全球互聯網)跳來跳去，非常麻煩。那你就得在你的桌上安兩個電腦，沒人愿意花這個錢。”路易斯說，“你在使用互聯網時，會常常卡殼，就像在機場檢查護照一樣，總有人盤問你說，‘我是不是該讓你進入我國？’”

“網絡世界正在發生變化。在過去幾年中，一個有趣的趨勢是，政府開始在網絡空間中扮演更重要的角色。一個例子是，澳大利亞政府正在討論過濾進入澳大利亞的信息流量，而在法國，網絡信息內容是受政府限制的，法國可以關閉掉違反法國法律的美國公司網站。這個時候，美國的公司必須遵守法國的法律法規，但同時美國憲法又規定，不能干涉信息和言論自由，這對美國公司和國會來說，是個棘手的問題。但無論怎樣，過去，人們認為政府不該干涉互聯網，如今，很多國家不再接受這種觀點，因為網絡空間如此廣泛地滲透進我們的經濟生活，并且在航空航運系統、銀行系統、通訊、能源、軍事等關鍵基礎設施中發揮越來越重要的作用，我們需要政府發揮作用。”路易斯說。

正是在這種情況下，2009年6月，美國國防部長蓋茨正式下令組建網絡司令部，它是與空軍作戰司令部、太空司令部平級的單位，由四星上將領導。據估計，美軍的網戰部隊人數大概在8.8萬人左右，每年投入網絡戰的費用超過100億美元，美軍由此具備隨時發起信息網絡攻擊的能力。“如果你看看世界上的軍事大國，他們都有發動網絡攻擊的能力。雖然與發動網絡戰相比，真正的軍事打擊更有可能從空中打擊開始，網絡空間也需要依靠基礎設施、電腦設備等物理存在。但無論如何，網絡戰已經是真實存在的威脅。”路易斯和貝克都這樣向本刊記者強調。■