英国皇家国防研究所：网络战与国家应对

2020年9月，英国皇家国防研究所发布报告《State Cyberspace Operations, Proposing a Cyber Response Framework》，旨在避免网络空间的误判而导致各国参与武装冲突的行动的情况。...

2020年9月，英国皇家国防研究所发布报告《State Cyberspace Operations, Proposing a Cyber Response Framework》，旨在避免网络空间的误判而导致各国参与武装冲突的行动的情况。报告首先描述和分析了几个实际案例，然后建立了网络事件类别，并提出应对措施，最后提出“网络空间作战分级框架”以及“防御框架”均旨在增强各国网络活动透明度。本文对报告中的关键理论框架进行了详细介绍。

新世纪的战场

网络空间是新世纪的战场。在贸易、领土和冠状病毒大流行引发的争端的推动下，网络空间正在见证愈发多样化的国家互动形式。然而，紧张局势很可能导致误判增加。明确网络空间行动和反应类型有助于稳定国际关系中的战略局势。就是将网络行为分为：哪些可能被视为公然挑衅，哪些是可接受的，以及哪些介于两者之间。虽然分类不一定能达成国际共识，但有助于确保在和平时期的网络行动不会发展成为现实中的武装冲突。

网络攻击 VS 现实武装冲突

如果网络行动越过了明确的暴力门槛，就会引发敌对行动(武装冲突)。导致人员伤亡或物品损坏或毁坏的网络操作足以跨越武装冲突的门槛。跨越这一门槛的网络操作在本文中将被称为网络攻击。

本研究中按照影响程度，把网络空间作战类型分为三类：

（1）破坏性损伤（Damage Destuction），

（2）数据操控虚拟空间损坏（Data Manipulation Virtual Damage）

（3）侦查与间谍活动（Reconnaissance Espionage）。

网络空间作战的目标划分为4类：国家决策、关键基础设施、国家安全与平民。图2中将目标与影响综合来看，左下角是影响最小的网络行动，即针对平民的间谍活动，而右上角是针对高价值目标的高效操作，即针对国家决策的网络攻击行动。事实上，如果网络行动过于激进，则很可能被视为武装攻击，就很可能促使一个国家采取武装反击。因此，急需建立一套国家间的网络行为规范。

• 根据网络事件的严重性，该模型将网络行动的影响分为七类：侦察/企图渗透；渗透和权限升级；持续监视与间谍活动；数据过滤；数据操纵或破坏；系统危害(虚拟)；和物理效应。
• 将“网络攻击目标”分为：非关键基础设施的民用系统、政府系统；关键基础设施系统，国家安全系统（包括机密情报系统以及国防所需的军事系统）；以及核指挥、控制和通信(NC3)系统。

其中需要注意的是，如何定义关键基础设施各国都不同，如美国就定义了16个独立的关键基础设施部门。就本文而言，关键基础设施是指：那些需要持续运行才能确保国家安全、经济安全以及公众健康和安全的系统、网络和资产。

对图3中所列网络行动的影响，如下所述：

2.1 侦察/试图渗透

对网络系统的侦察包括端口扫描等类一些自动化的过程，目的是搜索系统中可能被利用的漏洞。国家资助的黑客可能在特定系统中找到漏洞。渗透是指未经授权进入系统，在这一层次，系统管理员可能已经注意到攻击者试图渗透系统但没有成功。

2.2 渗透和权限升级

有许多方法可以在未经授权的情况下渗透系统。其中，黑客最初渗透一般是对网络的基本访问，然后会利用手段提升他们的权限，进而进入操作系统进行网络配置，并通过擦除网络活动日志来掩盖他们的踪迹。获得系统管理员权限是其重要目标，因为这种访问级别使他们能够执行以下所有类别的操作。

2.3 持续存在与监视

一旦黑客获得了系统访问权，那么下一步就是要建立一个长期而持续的渗透与监视。甚至在其渗透被发现的情况下，依然可以重新回复权限并利用系统。其手段包括：安装恶意软件或创建额外的用户帐户，以提供返回方式或后门。这一类别中的间谍活动包括在系统中“四处窥探”，观察系统配置的及关键信息的位置。该过程包含一些数据包的交换，但没有大规模的数据输出。

2.4 数据泄露

本间谍活动的直接目标通常是：盗取数据，并向系统外发送数据副本。网络间谍可以制作无限数量的数据副本并从网络上发送出去，而不会对个人或组织产生不利影响。

2.5 数据操纵或破坏

如果黑客不仅仅是复制信息，而是使用系统访问来操纵、更改或删除数据信息，则将被归类为更严重的行为，并将导致更相应严格的应对措施。

2.6 虚拟损害与物理损坏

虚拟损害和物理损坏之间的界限可能非常模糊。虚拟损害主要指的是：网络攻击的行为导致系统不能以预期的方式运行，但并不会造成永久损坏。类似于用户掉线之后，发现计算机被冻结，然后重启就可以恢复运行。

根据不同的网络活动和作战类型，本文将防御者的分为四大类，按照严重程度由低到高划分为：系统内部反应；外部系统的持续操作；主动防御；和武装冲突层面的破坏。此外，还有两种“边缘”类别，分别是考虑是否发动武装行动、以及考虑是否进行外部系统的持续操作。

3.1 系统内部反应（Respond Inside System）

这些类反应没有对抗性的，也没有争议性。主要指的是：针对网络上不受欢迎的活动而采取适当的措施，如：更新病毒库、安装软件补丁；搜索分析网络流量，以查看、识别可疑的活动等。例如，2015年，美国人事管理办公室(OPM)遭到黑客攻击，导致至少1800万次安全审查， 诸如此类的事件反应并无争议，防御反应升级的风险为零。

3.2 外部系统的持续操作（Nondisruptive Action on Outside System）

这些类反应主要指的是：在面对有针对性的网络操作时，防御者的一系列持续操作，包括：跟踪恶意活动来源，删除恶意软件，或在源系统上安装非破坏性恶意软件，以跟踪或防止未来的攻击，并删除攻击源的数据。这些技术可能要求防御者以未经授权的方式访问外部系统。例如，2012年，格鲁吉亚政府对黑客的反击。政府人员首先将恶意软件加到黑客感兴趣的文件上，并有策略地将这些文件放在被破坏的网络位置。当黑客被感染后，再使用恶意软件向黑客发送控告文件并操控黑客的网络摄像头拍摄其照片。

3.3 主动防御（Actively Defend）

“主动防御”一词有多种不同定义，在本研究中定义为：未经授权访问攻击者的计算机/网络，以中断针对防御者系统的持续未经授权的活动。该类行动为非破坏性的，低于公认的武装攻击水平。例如，2018年《华盛顿邮报》报道称，美国网络司令部中断了一家曾干预2016年美国总统选举的俄罗斯巨魔农场。美国网络司令部采取的行动包括：网络干扰和向目标互联网研究机构的黑客直接发送消息。这两种类型的行动都属于主动防御。

3.4 破坏或摧毁（Damage or Destroy-Armed Conflict）

侵略性网络行动一旦越过了武装攻击的门槛，就很容易将局势推向武装冲突的边缘。这是一个国家可以使用的最高级别的回应方式。在此，国家可以利用高水平的网络能力，破坏甚至彻底摧毁攻击者的系统。

转自丨学术plus

作者丨Gary D Brown

编译丨谭惠文

编辑丨翟丽影

    关注 全球技术地图