軍隊網絡的安全威脅及技術防護

0 引言

網絡是一把“雙刃劍”，在為人類社會提供各種便利的同時，也帶來了許多的社會風險。網絡安全已經成為一個關系到國家安危、軍隊秘密、人民生活、社會安定等諸多方面的重大現實問題。

《孫子兵法·形篇》：“昔之善戰者，先為不可勝，以待敵之可勝。”在網絡安全方面，軍隊只有先將己方的安全防線筑牢，才能全力以赴地對敵發起攻擊。軍隊網絡安全上的任何一個小小的疏漏都有可能導致全盤皆輸。

事實證明，網絡信息化水平越高，軍隊網絡安全問題也就越突出。在軍隊網絡安全體系的大環節下，某個小環節出現了問題或存有漏洞，都可能導致整個系統的癱瘓。未來的信息化作戰既需要銳利的“矛”，更需要堅固的“盾”。

1 軍隊網絡安全面臨的威脅

在新的歷史條件下，軍隊網絡安全面臨著巨大的威脅。

1.1 精確打擊的威脅

精確打擊，是在先期偵察和精確定位的基礎上，利用具有自動“尋的”功能的武器，對目標實施攻擊的行動。軍隊網絡作為物理和技術的“復合體”，需要數量眾多的物理實體來支撐。指揮機構層次越高，支撐網絡的物理實體的數量和體積也越大。例如，國家和軍隊首腦機關、軍隊駐地和地方政府，都是軍隊網絡信息通達的重要地點。這些地點的通信大樓外部，天線高聳，型式各異，征候十分明顯，極易被敵偵測和定位。

由此可見，遠距離精確打擊已成為對戰略目標實施摧毀的主要威脅。電子偵察技術、精確定位技術和精確制導技術大量運用，將使軍隊網絡信息的生存環境更加惡劣，“硬”摧毀的威險隨時會發生。

1.2 網絡環境的威脅

網絡環境對軍隊信息網絡安全所造成的威脅，與電腦硬件、操作系統及應用軟件因素緊密相關。

1.2.1 電腦硬件陷阱

我軍計算機所采用的芯片，相當部分依賴進口。這些芯片中，很有可能存在預先植入的病毒。

1.2.2 操作系統漏洞

操作系統是應用軟件的運行平臺。在軍隊網絡中，用戶必須通過相同的操作系統進行互訪，如果操作系統設有“陷阱和后門”，軍隊網絡就有可能被他人所控制。根據斯諾登的爆料，很多公司都可以十分方便地利用“陷阱和后門”技術，對用戶進行跟蹤，使用戶的一舉一動都處在其監控之下。

1.2.3 應用軟件缺陷

從應用軟件方面講，我軍“310”網內各級用戶終端基本上是專機專用，所使用的應用軟件是經過嚴格論證后，由我軍統一組織研制和開發的，安全性能相對可靠。而與軍隊網絡相連的其他網絡，如“寬帶綜合業務數字網”、“軍事訓練網”及其子網等，用戶終端及其網管系統在應用軟件選擇方面，尚沒有嚴格的規定，可能還存在一定的安全隱患。

1.3 信息攻擊的威脅

信息攻擊的目的是通過對網絡信息的竊取、篡改或刪除，使軍隊網絡信息泄露、業務中斷、服務禁止或全網癱瘓。軍隊網絡信息面臨著無時不在、無處不在、無孔不入的威脅，戰時與平時的區別在軍隊網絡安全防御中已經消失。

1.3.1 軍隊網絡程序攻擊

程序攻擊主要是指那些熟悉軍隊網絡、精通計算機編程的人員，抱著不同的目的，運用各種類型的程序，對計算機或軍隊網絡進行的攻擊。其中，最主要的攻擊方式就是計算機病毒攻擊。

1.3.2 軍隊網絡黑客攻擊

黑客攻擊是一種主要的軍隊網絡信息攻擊方式。攻擊方通過蒙騙網絡服務器、開辟數據通道，獲得相關數據與資料，對計算機或軍隊網絡進行探測和破壞，最后消除入侵痕跡。黑客只要有一臺計算機、一臺調制解調器和一根連線，就可在地球上的任何一個角落里發動進攻。

1.3.3 軍隊網絡系統攻擊

系統攻擊主要是指利用計算機操作系統本身存在的缺陷對軍隊網絡進行攻擊。通常我們總是設法保護裝有信息的機器，實際上軍隊網絡安全的強度取決于網絡中最弱連接的強弱程度。攻擊者認識到了這一點，他們尋找軍隊網絡中未受保護的機器，諸如不常使用的打印機或傳真機，利用它們跳到具有敏感信息的機器。

1.3.4 軍隊網絡內部攻擊

內部攻擊是指工作人員出于好奇或無意造成對軍隊網絡的破壞，以及軍隊內部可能存在的不穩定分子或敵特分子，抱著不同目的對軍隊網絡實施的攻擊。

1.4 高能武器的威脅

隨著電子技術的發展，軍隊網絡內電子設備的制造工藝越來越精細，一個小小的芯片就可代替原來成千上萬個電子管的功能。現代電子集成技術在提高電子設備功能的同時，也給電子設備安全造成威脅。美國洛斯阿拉莫斯非常規武器國家試驗室，利用“麥克斯韋”定理中的“瞬變電磁場”理論，研制了一種新型武器，對電子芯片進行了成功的攻擊試驗。這種武器叫做“高能微波” HPM（High Power Microwave）武器。它是將強大的微波能量匯聚在很窄的波束內，以近似光速的強微波脈沖定向打擊目標的武器。具有速度快（光速）、針對性強（人或電子設備）、毀滅性大、打擊區域廣的特點，其輻射的頻率為1～30GHz，脈沖功率為1MW～100GW。與常規武器相比，該武器對目標不是進行“爆炸”式的摧毀，而是利用極強的電磁脈，通過設備對外開放的通道（天線）或與設備相連接的線纜，悄無聲息地耦合到目標設備內部毀傷電子器件。這種高能微波不僅能破壞電子設備，而且能穿過比波長更小的縫隙進入目標內部，象“雷電”一樣瞬間奪去人的性命。

1.5 隱蔽戰線的威脅

隱蔽戰線的威脅，是一種來自網絡信息傳播范圍和環境的威脅。這種威脅既可能來自己方，也可能來自敵方。但總的來說，隱蔽戰線的威脅是由“網絡信息傳播范圍”和“與網絡信息相關的人員”兩種因素構成的。造成這種威脅的內因是防奸保密工作的疏忽、外因是敵特分子的滲透。

2 軍隊網絡安全的技術防護

軍隊網絡安全的技術防護，不同于一般的傳統信息保密，它是一項龐大的系統工程，不僅涉及技術人員對產品的采購、使用、維護和保養，也需要各級首長機關制定嚴密的技術管理制度和措施做保障。因此，掌握網絡安全防護的基本技術和措施，將有助于部隊做好網絡安全防范，杜絕網絡泄密事件的發生。

2.1 防火墻技術

防火墻是一種將內部網和公共網，例如Internet網與軍隊310網分開的方法。通過它可以隔離風險區域（如公共網）與安全區域（如保密的各級局域網）的連接，但同時又不會妨礙用戶對風險區域的訪問。

2.1.1 防火墻的概念

防火墻是位于內部網絡與外部網絡之間、或兩個信任程度不同的網絡之間的軟件或硬件設備的組合，它對兩個網絡之間的通信進行控制，通過強制實施統一的安全策略，限制外界用戶對內部網絡的訪問及內部用戶訪問外部網絡的權限的系統，防止對重要信息資源的非法存取和訪問，以達到保護系統安全的目的。

在構建安全的網絡環境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關注。通常購買網絡安全設備時，總是把防火墻放在首位。

2.1.2 防火墻的目的和功能

一般的防火墻都可以達到以下目的：一是可以限制他人進入內部網絡，過濾掉不安全的服務和非法用戶；二是防止入侵者接近你的防御設施；三是限定用戶訪問特殊站點；四是為監視局域網安全提供方便。

防火墻作為內部網與外部網之間的一個保護層，使內部網與外部網之間所有的信息流都必須通過防火墻，并通過監測、限制、更改所有流進流出防火墻的數據流，達到保護內部網絡免受非法入侵。防火墻的功能主要有四個方面：網絡安全的屏障；強化網絡安全的策略；對網絡存取和訪問進行監控審計；防止內部信息的外泄。

2.2 電磁防護技術

任何電子信息系統設備工作時，其主機以及外部設備及各種電源線、信號線、地線都會產生電磁波。而電磁波輻射導致信息泄漏，從而危及軍隊的安全。普通計算機在進行數據傳輸、數據處理過程中泄露出的電磁波，可在1000米以內被接收和復原，若采用尖端接收和解碼技術，則截獲的最大距離將會更遠。

為了盡量減少電磁泄露的危險，必須采取完全防護措施。

2.2.1 干擾技術

干擾技術是一種主動式信息泄露防護技術，是指把干擾器發射出來的電磁波和計算機輻射出來的電磁波混合在一起，以掩蓋原泄露信息的內容和特征等，使竊密者即使截獲這一混合信號也無法提取其中的信息。目前，常用的計算機電磁輻射干擾器大致可以分為兩種：白噪聲干擾器和計算機視頻輻射相關干擾器。

2.2.2 屏蔽技術

屏蔽室是一個導電的金屬材料制成的大型六面體，能夠抑制和阻擋電磁波在空中傳播。它具有兩種基本功能：（1）阻止外部電磁干擾進入屏蔽室。（2）使屏蔽室內的電磁能量不外泄。屏蔽技術是防止計算機信息泄露的重要手段，使用不同結構和材料制造的屏蔽室，一般可以使電磁波衰減60～140dB。

2.2.3 低輻射技術

低輻射技術，是指在設計和生產計算機設備時，就對可能產生電磁輻射的元器件、集成電路、連接線、顯示器等采取防輻射措施，從而達到減少計算機信息泄露的最終目的。目前廣泛采用的低輻射技術有：屏蔽，布線與元器件選擇，紅、黑設備隔離、濾波，I/O接口和連接，低輻射測試技術。

2.3 信息數據安全防護技術

2.3.1 軟件加密

目前Internet上各種加密軟件種類繁多，但是，就算密鑰比較長，并加入了@、%、*等特殊符號，解密也僅僅是一個時間長短的問題。所以，單獨使用軟件加密是不行的。

2.3.2 硬件加密

信息主要存儲在硬盤、光盤、軟盤、U盤等硬件介質里，而一但將信息存儲進硬件介質里，就很難將其擦除，普通的刪除以及格式化，甚至摔、壓、進水等手段造成的物理損壞，數據修復專家還可以將數據恢復部分甚至全部。除非將硬件完全熔毀，否則安全隱患還是存在的。

2.4 防計算機病毒技術

2.4.1 硬件防病毒技術

我軍的網絡通常可分為內網和外網，辦公電腦是在內部網里面工作，自動化站與外網用戶相互交換信息。硬件防病毒主要是在內部網和外網之間安裝防毒墻，防毒墻相當于軍隊的門戶，將所有從外網到內網的信息數據流通過防毒墻進行掃描，從而保證從外網到內網的信息不帶病毒。據統計，現在98%的病毒主要是通過 Internet，或通過電子郵件方式傳播，因此建立高效的防毒墻就顯得非常重要。防毒墻技術目前是前沿技術，具有信息透明、帶寬占用率低；即插即用，啟動迅速，便于備份；自備硬件資源，不依賴網絡系統資源、硬件資源和操作系統等顯著優點；只需要合理配置好防毒墻，在客戶端的用戶不需要對防毒墻進行任何操作，極大簡化了用戶的操作，特別適合于軍隊辦公計算機使用。

2.4.2 軟件防病毒技術

軟件防病毒技術就是采用程序代碼自動識別病毒特征并消除病毒的軟件技術。目前國內外防病毒軟件品種繁多，主要分為單機版和網絡版，單機版與網絡版區別很大，這主要表現在兩個方面：安全和管理。單機版實現的安全級別明顯低于網絡版，網絡版產品在系統控制中心升級以后，各個節點的版本則會自動與其保持一致。

2.5 入侵檢測技術

入侵檢測是通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊跡象的一種安全技術。入侵檢測的目標是通過檢查操作系統的審計數據或網絡數據包信息來檢測系統中違背安全策略或危及系統安全的行為及活動，從而保護信息系統的資源不受拒絕服務攻擊，防止系統數據的泄露、篡改和破壞。

2.5.1 入侵檢測系統

入侵檢測系統（IDS）是一個能夠對網絡或計算機系統的活動進行實時監測的系統，它能夠發現并報告網絡或系統中存在的可疑跡象，為網絡安全管理員及時采取對策提供有價值的信息。

2.5.2 入侵檢測系統的作用和功能

入侵檢測系統會監視整個網絡環境中的數據流量，并且總是與一種預定式的可疑行為模式來進行對照，入侵檢測系統的存在價值就是能夠察覺黑客的入侵行為并且進行記錄和處理。入侵檢測系統現在已經成為重要的安全組件，它有效地補充和完善了其他安全技術和手段。

2.5.3 入侵檢測常用的技術

網絡入侵的檢測實際上也是一種信息識別與檢測技術。網絡入侵活動的實際體現就是數據包，它作為信息輸入到檢測系統之中，檢測系統對其進行分析和處理之后得到的就是網絡入侵的判斷。因此，傳統的信息識別技術也可以用到入侵檢測中來。

2.5.4 拒絕服務攻擊技術

采用模式匹配的方法，發現入侵攻擊行為后，要有效地進行反攻擊，就是進行拒絕服務攻擊技術。

（1）Land攻擊

檢測方法：判斷網絡數據包的源地址和目標地址是否相內同。反攻擊方法：適當配置防火墻設備或過濾路由器的過濾規則就可以防止這種攻擊行為，并對這種攻擊進行審計。

（2）TCP SYN攻擊

檢測方法：檢查單位時間內收到的SYN連接是否超過系統設定的值。反攻擊方法：當接收到大量的SYN數據包時，通知防火墻阻斷連接請求或丟棄這些數據包，并進行系統審計。

（3）Ping Of Death攻擊

檢測方法：判斷數據包的大小是否大于65535個字節。反攻擊方法：使用新的補丁程序，當收到大于65535個字節的數據包時，丟棄該數據包，并進行系統審計。

（4）WinNuke攻擊

檢測方法：判斷數據包目標端口是否為139、138、137等，并判斷URG位是否為“1”。反攻擊方法：適當配置防火墻設備或過濾路由器就可以防止這種攻擊手段，并對這種攻擊進行審計。

（5）Teardrop攻擊

檢測方法：對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。反攻擊方法：添加系統補丁程序，丟棄收到的病態分片數據包并對這種攻擊進行審計。

（6）端口掃描預探測攻擊

TCP/UDP端口掃描是一種預探測攻擊。檢測方法：統計外界對系統端口的連接請求，特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。反攻擊方法：當收到多個TCP/UDP數據包對異常端口的連接請求時，通知防火墻阻斷連接請求，并對攻擊者的IP地址和MAC地址進行審計。