美國網絡空間攻擊與主動防御能力解析
——概述篇

◎安天研究院

我國是網絡大國，也是面臨網絡安全威脅最嚴重的國家之一。近年來，國內金融、能源、交通、教育等行業網絡成為戰略對手攻擊和滲透的主要目標，利用網絡攻擊造成的信息竊取和破壞事件呈現增長趨勢。剛剛勝利閉幕的黨的十九大上，總書記“堅持總體國家安全觀”、“加強國家安全能力建設”等要求為我國網絡空間安全發展指明了方向。為維護我國網絡空間主權，保障網絡空間安全，實現網絡強國的戰略目標，必須高度重視網絡安全工作。

隨著網絡空間重要性的日益提升，世界各國紛紛大力建設兼具防御和威懾能力的網絡空間安全體系，組建網絡部隊，以求在網絡空間的較量中獲得優勢。在這方面，美國走在了世界前列。從政府主導的“美國國家網絡安全綜合綱領”和“愛因斯坦計劃”等大規模網絡安全倡議和項目，到一系列相關法案、政策、指南，再到“斯諾登事件”、“影子經紀人”及維基解密曝光的網絡空間進攻體系，反映出美國在網絡空間中強大的、體系化的監聽、攻擊、威懾和防御能力。這種網絡空間優勢能力不僅來源于政府的高度重視、持續大量的資金投入和美國的網絡技術優勢，更離不開其借助產業優勢形成的深度軍民融合能力。

在戰略層面，2017年8月，特朗普總統將網絡司令部升級為美軍第十個作戰司令部，這一舉措說明美國在不斷調整其國家信息安全戰略，逐步將網絡安全上升到國家安全戰略的重要位置，標志著美軍的網絡戰向“成為一種主流戰術級軍事能力”邁出了關鍵一步。在能力建設層面，美國的國家安全局（NSA）、中央情報局（CIA）等情報機構，發展出了強大的網絡信息采集和網絡攻擊能力，結合其傳統的信號情報（SIGINT）和人工情報（HUMINT）能力，使美國能夠在網絡空間中繼續保持優勢；同時，通過國防承包商承擔的工程與項目，充分利用安全廠商的技術能力，結合商業安全產品，構建復合的網絡安全防御體系。在產業層面，美國一方面通過審查、限制等方式驅離國外安全企業，致使安天等已經走出國門或者正在進軍海外的中國安全企業受困于供應鏈審查，而不得不退回原點；另一方面，大力扶持以火眼（FireEye）為代表的一批本國安全企業，通過政府機構、政府承包商、國防承包商和大廠商（包括大的IT寡頭和產業集團）的集中商業部署，使其獲得迅速的規模成長并進一步轉化為技術優勢。同時，美國非常重視政府部門、軍隊與私人公司間的技術與業務合作，大量私人承包商參與到網絡空間相關項目中，斯諾登曾就職的博思艾倫（Booz Allen）就是其中之一。在技術層面，美國擁有全球領先的網絡空間技術能力，通過思科、IBM、微軟、谷歌、英特爾、高通、蘋果、甲骨文等“八大金剛”完整布局并實際把持了操作系統、核心芯片、數據庫等關鍵IT環節，并通過新興互聯網巨頭們形成了對全球數據的有效聚合。

知己知彼，百戰不殆。網絡空間安全事關國家安全，網絡空間戰場上的較量是持續不斷的高烈度無底線較量。維護國家網絡空間安全，建設有效的網絡安全防護體系，必須打破舊有以“物理隔離+好人假定+規定推演”構成的自我麻痹式的安全觀，以真實有效的敵情想定作為基礎和前提。包括內網已經被滲透、供應鏈被上游控制、運營商網絡的關鍵路由節點被控制、物流倉儲被滲透劫持、關鍵人員和周邊人員被從互聯網進行定位摸底、內部人員中有敵特人員派駐或被發展等。只有全面、深入地了解對手的能力，尤其是對手的進攻能力，才能在網絡空間安全建設中有的放矢，才能實現真正的“有效防護”。在本系列專題中，我們希望通過層次化地揭示美國在網絡空間信息獲取、進攻與防御能力，盡可能清晰地展現美國在網絡空間安全領域的能力體系，為我國網絡空間安全發展提供有益參考和借鑒。

美國基礎信息產業、網絡安全產業、風險投資機構與政府機構關系圖。

美國具備網絡空間進攻性職能的國家安全機構

美國國防部（DoD）是美國作戰部門的最高領導機關，2006-2008年間，總統就曾允許DoD舉行大規模網絡作戰演習，發起網絡攻擊，奪取對方指揮控制權。作為DoD的重要組成部分，NSA專門負責收集和分析國內外的信號情報，為美國提供決策優勢。NSA下屬的特定入侵行動辦公室（TAO）是NSA的一個重要職能部門，負責針對特定目標收集情報、潛入外國計算機和電信系統、破解密碼、竊取數據等，NSA稱這些行動為計算機網絡利用（CNE），TAO對目標造成直接影響的其它行動，例如癱瘓服務、破壞文件等，則被稱為計算機網絡攻擊（CNA）。NSA擁有完善的音頻、視頻、郵件等信號情報的收集、處理機制，并且針對CNE、CNA和網絡防御（CND）等多種任務建立了穩定、完備的基礎設施。

CIA是美國唯一一個獨立的情報機構，也是美國最重要的情報機構之一。CIA的傳統任務包括人工情報、全源情報分析和秘密任務。2015年，CIA進行了重大重組，增設了數字創新處（DDI），專門負責為傳統的人工情報開發數字裝備和手段，使得CIA能夠更好地為國家決策者的戰略評估提供情報支撐。

多樣的監聽手段獲取全球信息

美國通過在產業、技術上的優勢，逐步實現了對全球網絡空間的全面布局并具備了事實上的控制能力。斯諾登事件相關文件表明，美國具有多種情報收集方式，包括為NSA提供數據的30多個國家的合作伙伴、在全球范圍內的計算機上植入惡意軟件以及與大型IT企業合作等。

2004年，美國政府啟動“星風”（STELLARWIND）計劃，進行大規模的情報搜集、監聽，后因法律等問題，將“星風”拆分為“棱鏡”、“主干道”、“碼頭”、“核子”等項目，由NSA接管。谷歌、微軟、臉譜、雅虎等IT企業均與“棱鏡”項目有關聯。“拱形計劃”（CamberDADA）是在斯諾登披露的一份絕密文件中提到的，NSA對俄羅斯網絡安全廠商卡巴斯基進行監聽，通過監聽樣本上報渠道，從中分析安全廠商是否已發現、掌握其網絡攻擊武器。該計劃后續目標包括安天等22家全球重點網絡安全廠商。

全平臺、全功能的網絡攻擊裝備體系

在“全面拒止威懾”的積極防御思想引導下，NSA、CIA極為重視網絡攻擊裝備的研發。“震網”、“毒曲”、“火焰”、“方程式”等事件均被認為與美國有關。

從斯諾登和“影子經紀人”泄露的資料看，NSA具有強大的網絡攻擊裝備和豐富化的漏洞儲備，今年5月席卷全球的“魔窟”（WannaCry）勒索軟件事件就是由NSA的裝備庫泄露直接導致。

今年3月起，維基解密陸續曝光了包含大量CIA網絡攻擊裝備資料的“7號保險庫”（Vault 7），功能涵蓋了突破物理隔離、信息竊取、持久化能力、隱蔽信息傳輸、邊信道傳輸、直接漏洞利用等眾多方面，同時體現了強大的多平臺能力。其中，部分裝備被安全廠商與以往發生的40多起網絡安全事件關聯。

實現網絡強國的戰略目標離不開深度的網信軍民融合，正是因為對手的強大，我國的網信軍民融合才肩負著更重要的使命。以多領域民間領先技術和優秀產品為軍隊提供支撐，以軍隊的資源、體系和能力優勢支持民間抵御來自國家行為體和非國家行為體的威脅，各盡其能，共同構建我國軍民融合的網絡空間安全能力體系。

在本專題后續的內容中，我們將對美國的大型監聽項目、攻擊支持體系、大型主動防御工程以及攻擊裝備進行歸納和展示，對其建設背景、功能、場景和防護要點進行介紹，幫助讀者深入了解對手的威脅技術、攻擊場景和應對手段，敬請關注。