美以“震網”行動淺析

□ 孫 強

2010年，美國和以色列為破壞伊朗核計劃，運用“震網”病毒成功襲擊了伊朗布什爾核電站的工業控制系統，致使其約1/5的離心機失靈甚至報廢，極大地阻滯了伊朗核計劃進程，此次代號“震網”的攻擊行動，是歷史上首次在沒有爆發武裝沖突、沒有造成人員傷亡的情況下，通過虛擬空間對現實世界實施攻擊破壞，并直接達成戰略目的的軍事行動，標志著網絡空間作戰正式進入實戰化時代。

一、作戰背景

（一）伊朗的核開發。伊朗于20世紀50年代著手研發核技術，到70年代，已擁有1個反應堆、6個核研究中心和5個鈾處理設施。由于當時伊朗執政者是親美的巴列維政權，美國和西方國家支持伊朗用于和平目的的核研究活動。1979年伊斯蘭革命爆發后，伊朗與美國交惡，美國從此不再支持伊朗核計劃，當時伊朗領袖霍梅尼也表示，核武器是“非人道”的，伊朗的核計劃因此停頓下來。第一次海灣戰爭后，伊朗恢復了和平利用核能的計劃，1991年與俄羅斯達成了恢復修建布什爾核電站的協議；1995年又與俄羅斯簽署了為伊朗修建4座輕水核反應堆的合同；2002年9月，美國公布了其偵察衛星拍攝的有關照片，斷言伊朗在納坦茲市和阿拉克地區建造兩個秘密核設施；2003年2月，伊朗證實已在伊朗中部成功開采出鈾礦，開始發展核燃料的回收處理技術。

（二）國際社會的反應。從國際社會看，雖然伊朗一直強調其核計劃是用于和平及能源開發，但是伊朗并非工業大國，對電能需求量不高，因此其核電站計劃不能不讓人懷疑是企圖獲得核武器。自2002年8月以來，國際社會與伊朗就核問題進行了多輪談判。2003年12月，在國際原子能機構壓力下，伊朗簽署了《不擴散核武器條約》附加議定書，接受對核設施的檢查。2004年11月，伊朗與EU-3①EU-3：即英、法、德三國。達成《巴黎協議》，自愿中止與鈾濃縮有關的一切活動。但是，2005年8月伊朗重啟鈾轉換設施，并加強了核技術研究。2006年1月，關于伊核問題的六國（P5+1）②P5+1：是指聯合國安理會的五個常任理事國，加上德國。機制啟動，要求伊朗停止鈾濃縮活動，否則將采取懲罰性措施；伊朗對此反應消極。2006年12月，安理會通過1737號決議，決定對伊朗實施制裁。2007年3月，安理會又通過加大對伊朗進行制裁的1747號決議；期間，伊朗一面與國際原子能機構周旋，一面加快核計劃步伐。在伊朗核計劃加快進行的背景下，2010年6月9日，聯合國安理會通過第1929號決議，決定對伊朗進行更為嚴厲的多邊制裁。與此同時，美國和歐盟對伊朗實行了更為嚴厲的制裁。

（三）美國和以色列的態度。從國際制裁的效果上看，雖然一定程度地限制了伊朗從國際社會上獲得核原材料的途徑，但伊朗核開發仍然按部就班地實施。伊朗穩步走向擁核國家的殘酷現實，對以色列來講是一個巨大威脅，同時也是美國絕對不能接受的，因此美以兩國決心共同采取行動，遏制伊朗核計劃發展。美以兩國清楚地認識到，在國際制裁沒有取得理想效果的前提下，要想延遲或者中止伊朗核計劃，必須采取軍事行動對伊核設施進行破壞。但是，伊朗為防止發生類似于2007年以色列空襲敘利亞核反應堆的軍事行動，早已將核設施分散在全國各地的山區和地勢險要的地方，并由精銳部隊進行保護，單純實施軍事打擊行動，效果可能不會很理想。正當美以兩國對伊核問題一籌莫展時，智囊機構提出了“使用網絡武器阻滯伊朗鈾濃縮進程，比普通軍事打擊破壞效果更好”的意見建議；對此，在慎重考慮和組織專家充分論證后，美國最高決策層認為網絡攻擊伊核的條件和時機已經成熟，于是定下了聯合以色列通過“震網”病毒攻擊伊核設施的決心。

二、作戰準備

（一）美軍征求解決方案，私營公司提出技術原型。2006年，美國國家安全局和中央情報局等情報界通過媒體向社會征集網絡攻擊的創新思路。不久，國際互聯網上出現帶有指揮控制中心的“蠕蟲”病毒，成為此次定向網絡攻擊的基礎技術原型。研究人員發現，由德國西門子公司提供的主流工業控制軟件開發環境①這是國際上主流工業控制系統開發系統，包括WinCC、Step7兩部分。存在重大漏洞，受注入式病毒感染后，可能使離心機因超負荷運轉而導致機芯過熱，從而足以摧毀離心機運轉能力且無法修復。隨即，時任美國總統的小布什批準了代號為“奧運會”的項目。幾家脫胎于傳統軍火公司的小型私營公司集成這些新思路，提出帶有指揮控制中心功能的網絡空間進攻武器設計方案，完成了相關武器的原型開發。

（二）情報界綜合籌劃，總統定下戰略決心。美國情報界于2008年就提出利用新型定向網絡空間進攻武器打擊伊朗核設施的設想。但由于擔心實施網絡打擊會招致國際社會的非議，以及確實尚未發展出實用化網絡武器，于是喬治·W·布什總統發布總統令，規定非戰爭狀態下網絡攻擊的決定權在總統。因此，對伊朗核設施實施網絡攻擊的行動一直沒有展開。但是到了2009年1月，布什在與當選總統奧巴馬的私人會談中要求其繼續“奧運會”計劃，奧巴馬對此照單全收，下令繼續對伊朗核設施展開網絡攻擊，并指示：行動必須在可控狀態下進行，避免傷及自身；同時行動必須隱秘進行，避免因暴露引發不必要的國際爭端。

（三）技術演示驗證，確認可行性。“震網”病毒的研發任務完成后，美軍又在國家網絡靶場虛擬環境、因特網真實環境上進行多次試探性實驗，明確了作戰的關鍵是找到伊朗核工業控制軟件的開發者。為此，美國情報界求助以色列情報部門，雙方合力組建作戰團隊，將技偵與情偵相結合，綜合運用網絡技術與社會工程，以線上攻擊與線下專家輔助決策相配合。為了確保病毒達到預想的攻擊效果，以色列在迪莫納中心使用與伊朗相同的離心機對病毒進行了測試。②在2003年利比亞宣布放棄核計劃后，美國和以色列因此獲得了利比亞的離心機。

（四）深度偽裝潛伏，實現瞞天過海。伊朗高度重視核設施的安全，為防止遭到網絡攻擊，將核設施內部的計算機與互聯網實施了物理隔離。因此，使用傳統的網絡病毒攻擊方式很難達到破壞目的。為此，美軍病毒研發團隊很早就將“震網”病毒經過偽裝后放到了互聯網上。雖然著名網絡安全公司賽門鐵克（Symantec）早在2009年初就已經發現了該病毒，但是由于其偽裝性能好，沒有發現攻擊目標時，不會露出真面目，結果僅僅被當作一般蠕蟲病毒看待，使得各國逐漸對其失去警覺性。因此，在襲擊伊朗核設施之前，該病毒已經大規模地感染了伊朗國內聯接互聯網的計算機。至此，“震網”行動一切準備就緒。

三、作戰經過

“震網”行動具體實施過程分為兩個階段①參見溫柏華：《“震網”行動中美軍攻擊性網絡作戰與網絡威懾》，載《外國軍事學術》，2013（4）。。

第一階段：美國主導階段（2009年上半年—2009年8月）

美國網絡空間作戰人員在前期情報搜集的基礎上，突破伊朗政府部門高級用戶的計算機終端，掌握了伊朗核工業控制軟件的技術來源。經綜合分析后認為，伊朗核工業控制軟件的開發者是俄羅斯技術專家。據此，從2009年上半年開始，由美國主導，在丹麥設置指揮控制中心，展開“震網”第一階段攻擊。為了避免網絡攻擊的大范圍擴散，逃避各類殺毒軟件的“追殺”，美國非常謹慎小心，攻擊速度緩慢。截止到2009年8月，美國雖然對伊朗核設施的情況有了進一步的了解，但尚未實施有效的網絡攻擊。

第二階段：以色列主導的攻擊階段（2009年8月—2010年6月）

鑒于伊朗核進程持續取得進展，以色列決心獨自展開行動。以色列派出大量情報人員專門針對開發工業控制軟件的高技術公司展開情報搜集活動，進一步摸清了伊朗核工業控制軟件的開發過程。以色列情報人員獲悉，伊朗憑借與馬來西亞同是伊斯蘭國家、風俗習慣相通并保有良好經貿關系的有利條件，將核工業離心機控制軟件的開發交給不知內情、并具有綜合集成能力的馬來西亞某軟件公司。但該公司又將具體的軟件外包給了印度軟件公司，由印度軟件公司具體編寫全部或部分代碼。

2009年8月，以色列通過實施受控的、相對大范圍內的病毒傳播，最后確定伊朗核工業離心機控制軟件的印度軟件公司，并向其釋放了攻擊負載。因為使用了印度軟件公司開發的、夾帶攻擊負載的控制軟件，伊朗納坦茲濃縮鈾離心機群至少有1000臺被徹底破壞，不得不暫停濃縮鈾進程，伊朗軍用級核能力研發計劃大大延緩。

以色列在確認作戰目的達成后，通過各個控制中心向病毒下達自毀指令。但部分物理隔離網絡用戶中的病毒，因為種種原因與控制中心失去聯絡的病毒，沒能及時收到指令，滯留在相關用戶的終端。“震網”系列病毒在設計之初就設定2012年6月24日為作戰終止日期，但在此日期之前，相關滯留病毒樣本陸續被賽門鐵克、卡巴斯基等安全軟件公司截獲，導致行動暴露。

“震網”行動的整個過程在美國總統奧巴馬的授意與關注下進行。在以色列越俎代庖過程中，美國情報人員認為整個攻擊行動已經不受美國控制，可能會導致行動暴露、攻擊失敗，曾向總統建議停止行動，但奧巴馬總統決心繼續作戰，直至達成戰略目標。

四、幾點啟示

（一）筑牢網絡空間“新邊疆”思想觀念。隨著網絡空間的發展，國家邊疆由有形拓展到無形，網絡空間成為主權國家的“新邊疆”，國家間的一些對抗行動已經在網絡空間展開。此次“震網”行動，病毒通過網絡傳播，使伊朗核設施中的重要控制設備受到破壞，顯示出關鍵基礎設施已經成為網絡攻擊的重要目標。由于伊朗方面對網絡安全防護的重視不夠，采取手段過于單一，導致網絡空間被輕易突破，付出了高昂代價。“震網”病毒僅僅一段代碼就癱瘓了1000多臺離心機，使整個世界受到震動，如果利用網絡攻擊癱瘓關系國計民生的國家信息基礎設施和關鍵業務網絡，其后果完全可能超越傳統戰爭。這使美國等西方先進信息技術國家，包括我國周邊的一些國家和地區，增強了發展進攻性網絡空間作戰能力的決心，陸續加緊組建網絡空間作戰部隊，開發網絡空間作戰武器裝備，重視網絡空間安全防護，進行網絡空間作戰準備。

面對網絡空間的無聲廝殺和嚴峻形勢，我們必須積極應對網絡空間威脅，守衛網絡邊疆、鞏固網絡國防，樹立網絡空間“新邊疆”的思想觀念，圍繞維護網絡空間安全和網絡空間控制權，加強網絡空間軍事斗爭準備，將網絡邊疆提高到與有形邊疆同等重要的地位，并將網絡國防作為國防建設的新成分和關鍵內容統籌考慮。

（二）發揮技術突破對戰法創新的引領作用。技術優勢是美以運用“震網”病毒對伊核設施進行成功打擊最為關鍵的因素，而結合技術特點創造性地運用全新的戰法再次證明，科學技術每一次成功地應用，都促進了戰法的創新發展。此次“震網”行動中，病毒首先采用漏洞利用技術，有效控制和操縱網絡設備，實現對作戰目標的層層滲透、全面拓展；在傳播過程中，使用擴散計數、嵌入限速代碼等技術實現病毒的受控擴散和安全隱蔽，并采用證書仿冒等技術規避防護軟件，實現深度潛伏，同時有針對性地竊取情報信息；然后利用存儲介質擺渡技術，實現對物理隔離專用網絡的入侵和侵害；最后鎖定目標關鍵節點，實施“點穴”攻擊，達成目的。相比之下，伊朗由于技術落后，為防止遭到網絡攻擊，僅采取將內部計算機與互聯網物理隔離等措施予以應對。因此，這場技術與戰法水平相去甚遠的非對稱網絡戰早已注定了伊朗的失敗。

“震網”行動啟示我們，技術的發展是戰法創新的物質基礎，戰法創新是技術發展的必然結果。隨著信息技術不斷發展，在加強對軍事技術前沿的認知和探索的同時，必須積極開展戰法創新，充分發揮技術突破對戰法創新的引領作用。

（三）著力打造信息領域的“安全傘”。“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。”信息領域的安全已經逐漸成為保證國家安全的重要基礎領域。“震網”行動作為一種典型的戰略信息攻擊，不僅開創了軍事網絡防務的新時代，而且將深刻改變國際網絡安全環境。“震網”行動已經成為過去，但讓人更為擔心的是其可能具有但并沒有付諸實施的破壞力，還極有可能存在破壞力更強的，但還沒有進行實戰運用的病毒武器。“震網”攻擊目標絕非僅局限于伊朗核設施那么簡單，該病毒只對伊朗核設施的離心機進行了破壞，并沒有“傷及無辜”，這種情況只是因其設計者嚴格限定了其攻擊對象，其攻擊能力可能更強。可以預見，“震網”病毒只要稍加改動就可以具備攻擊其它工業乃至信息基礎設施的能力，如國家的交通、能源、金融、電力、化工等基礎設施甚至軍事信息系統都有可能成為其破壞的目標。

“震網”行動警示我們，網絡攻擊已成為人類當前和將來面臨的最嚴峻的非傳統安全威脅之一。面對網絡信息領域日益復雜的安全形勢，應盡快制定網絡空間國家安全戰略，構建網絡空間安全體制、機制和機構，大力研發自主可控的關鍵技術和裝備，形成一定規模的網絡空間國家防御力量體系。

（四）抓緊搶占未來作戰戰略制高點。“震網”行動是首個通過虛擬空間對現實世界造成破壞的行動，標志著網絡空間作戰進入實戰化時代。這次作戰行動悄無聲息，攻擊時不費一兵一卒、一槍一彈，卻起到了與精確軍事打擊同樣的作戰效果；同時，“震網”行動顛覆了傳統作戰觀念，展現出網絡空間作戰在和平時期國家戰略博弈中的重要地位，昭示著網絡空間作戰已經成為和平時期國家和軍隊實現戰略意圖的有效手段。毋庸置疑，網絡信息技術的迅猛發展正深刻地改變著戰爭形態，制網權已如同制海權、制空權、制天權一樣，成為時刻關乎國家主權與安全，并且日趨成為兵家必爭的戰略制高點。

當前，面對世界主要國家軍隊圍繞爭奪網絡空間發展權、主導權和控制權，搶占網絡空間戰略制高點的角逐。人民解放軍必須著眼網絡空間作戰的新特點、新規律，深入探索破壞敵作戰體系結構、削弱敵整體作戰能力的方法路子，不斷創新打擊敵網絡關鍵節點、切斷其主要數據鏈的“擊節破網、毀點斷鏈”新型網絡戰法。深入探索網絡空間、外層空間、海洋空間等新型作戰領域的特點規律，統籌新質作戰力量建設，完善指揮體制機制，優化力量結構，不斷拓展網絡、太空、海洋領域的新邊疆，使之成為中國力量延伸和利益獲取的新取向。

[1]樊高月、趙力昌：《不流血的戰爭——網絡攻防經典之戰》，北京，解放軍出版社，2014。

[2]張笑容：《第五空間戰略——大國間的網絡博弈》，北京，機械工業出版社，2014。

[3]溫柏華：《“震網”行動中美軍攻擊性網絡作戰與網絡威懾》，載《外國軍事學術》，2013（4）。