吳健　李大群　常立軍

近段時間，關(guān)于“俄羅斯實施切斷與互聯(lián)網(wǎng)連接的演習(xí)”的報道引起外界關(guān)注。據(jù)英國BBC報道，從3月19日至月底，俄羅斯展開戰(zhàn)略性質(zhì)的網(wǎng)絡(luò)安全演習(xí)，旨在“遭遇外國攻擊”時通過暫時“切斷”網(wǎng)絡(luò)連接并改用本國主權(quán)網(wǎng)絡(luò)Runet，以確保安全。此舉是俄羅斯落實《主權(quán)互聯(lián)網(wǎng)法》的一部分，法案賦予政府和互聯(lián)網(wǎng)運營商進行定期網(wǎng)絡(luò)演習(xí)的權(quán)力，目的是保證國家“數(shù)字邊疆”的安全。

“邏輯斷網(wǎng)”是關(guān)鍵

從技術(shù)上講，“斷網(wǎng)”有兩種方式：物理斷網(wǎng)與邏輯斷網(wǎng)。物理斷網(wǎng)是指通過切斷跨境光纜傳輸或阻斷互聯(lián)網(wǎng)交換點，從通信鏈路上徹底切斷目標(biāo)區(qū)域與國際互聯(lián)網(wǎng)的聯(lián)通。一般而言，物理斷網(wǎng)對網(wǎng)絡(luò)結(jié)構(gòu)簡單、規(guī)模較小的地區(qū)容易奏效。對大國而言，鑒于互聯(lián)網(wǎng)對等互聯(lián)的特點，對其實施物理斷網(wǎng)，需同時切斷大量跨境光纜，或攻擊多個地區(qū)由不同網(wǎng)絡(luò)運營商維護的互聯(lián)網(wǎng)交換點，實際操作非常困難。邏輯斷網(wǎng)系通過中斷互聯(lián)網(wǎng)尋址邏輯，導(dǎo)致目標(biāo)國家網(wǎng)絡(luò)連接中斷?，F(xiàn)有互聯(lián)網(wǎng)體系結(jié)構(gòu)之下，域名服務(wù)是互聯(lián)網(wǎng)實現(xiàn)尋址的事實標(biāo)準(zhǔn)，網(wǎng)址域名需由全球域名系統(tǒng)（DNS）的域名解析服務(wù)器翻譯成網(wǎng)絡(luò)地址，才能建立連接，實現(xiàn)訪問。如果控制了域名服務(wù)器，就可以利用這一邏輯尋址機制，停止對某國的域名解析服務(wù)，導(dǎo)致無法正常訪問國際互聯(lián)網(wǎng)資源，造成斷網(wǎng)。俄羅斯的“斷網(wǎng)”測試大體就是針對“邏輯斷網(wǎng)”展開的。

2018年5月9日，俄羅斯莫斯科，莫斯科紅場舉行勝利日大閱兵，紀(jì)念衛(wèi)國戰(zhàn)爭勝利73周年。

為了解決過度依賴DNS的問題，俄羅斯通信部2014年進行過演習(xí)，模擬“關(guān)閉”全球互聯(lián)網(wǎng)服務(wù)，并使用俄羅斯備份DNS支持國內(nèi)網(wǎng)絡(luò)運營。美國“ZD Net”網(wǎng)站介紹，2018年，俄羅斯的備份DNS進行過第二次測試，這一做法也會運用于今年的測試中。俄政府計劃在2020年控制全國95%以上的網(wǎng)絡(luò)流量。BBC稱，脫離互聯(lián)網(wǎng)測試要求網(wǎng)絡(luò)運營商更新網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將用戶數(shù)據(jù)導(dǎo)向政府控制的路由節(jié)點，過濾網(wǎng)絡(luò)流量，阻斷與國外計算機的信息交流。俄政府已同意向網(wǎng)絡(luò)運營商撥款，用于更新設(shè)備。目前各方正在商議適當(dāng)?shù)募夹g(shù)方案，以便在“讓俄羅斯脫離互聯(lián)網(wǎng)”的同時，最大限度地減少用戶和政府機構(gòu)的“停機時間”。

20億盧布被盜?

2014年初烏克蘭危機爆發(fā)后，美俄從經(jīng)濟到軍事發(fā)生全面對峙，2018年9月美國進一步發(fā)布《國家網(wǎng)絡(luò)戰(zhàn)略》，重點關(guān)注“俄羅斯等造成戰(zhàn)略威脅的國家”，強調(diào)從軍事、經(jīng)濟和科技等領(lǐng)域?qū)Χ韺嵤┤轿痪W(wǎng)絡(luò)安全博弈，要求政府采取更具攻擊性的姿態(tài)，充分運用國家權(quán)力工具，從網(wǎng)絡(luò)抗衡戰(zhàn)略對手。俄羅斯實施“斷網(wǎng)”測試可謂未雨綢繆，就是為最壞的情況做好應(yīng)變。

眾所周知，美國發(fā)明了互聯(lián)網(wǎng)，1969年，美國國防部高級研究計劃署為未來戰(zhàn)爭建立了世界上第一個分組交換試驗網(wǎng)ARPA NET。1989年9月，美國政府資助建立互聯(lián)網(wǎng)域名與地址管理機構(gòu)，美國商務(wù)部授權(quán)其管理互聯(lián)網(wǎng)根服務(wù)器。目前，支撐互聯(lián)網(wǎng)運轉(zhuǎn)的域名系統(tǒng)（DNS）的根服務(wù)器共有13個，唯一的主根服務(wù)器設(shè)在美國，12個副根服務(wù)器中也有9個在美國。美國一直利用互聯(lián)網(wǎng)發(fā)源地優(yōu)勢，掌控互聯(lián)網(wǎng)主動脈與核心技術(shù)，完全有能力切斷一國與國際互聯(lián)網(wǎng)的連接。

2003年伊拉克戰(zhàn)爭期間，美國停止對伊拉克的域名解析，讓伊拉克從互聯(lián)網(wǎng)消失。2004年4月，美國封凍“.ly”（利比亞國家頂級域名），導(dǎo)致利比亞在互聯(lián)網(wǎng)上消失三天。2013年曝光的“棱鏡門事件”更給俄羅斯敲響警鐘，美國國家安全局發(fā)起“棱鏡計劃”，利用谷歌、臉譜、蘋果、微軟等美國互聯(lián)網(wǎng)企業(yè)廣泛參與，旨在獲取網(wǎng)絡(luò)空間信息，其本質(zhì)是大規(guī)模的網(wǎng)絡(luò)監(jiān)聽。

“棱鏡門事件”曝光后，引發(fā)世界對全球網(wǎng)絡(luò)治理的關(guān)注。據(jù)俄羅斯聯(lián)邦安全局發(fā)布的信息，2016年俄境內(nèi)機構(gòu)遭受約7000萬次網(wǎng)絡(luò)攻擊，其中大部分攻擊來自國外，遭攻擊的有俄羅斯鐵路運輸公司、俄羅斯天然氣工業(yè)股份公司等大型關(guān)鍵性目標(biāo)及國家要害部門。2016年7月30日，俄聯(lián)邦安全局表示，約20個政府部門的電腦網(wǎng)絡(luò)被惡意植入間諜軟件。2016年9月，俄本土運營的即時通信服務(wù)提供商QIP.ru遭到大規(guī)模攻擊，3300萬用戶的密碼被黑客盜取。2016年11月，俄羅斯五家主流大型銀行遭遇長達兩天的攻擊，來自30個國家的2.4萬臺計算機構(gòu)成的僵尸網(wǎng)絡(luò)持續(xù)攻擊，攻擊強度達到每秒66萬次請求。2016年12月，俄羅斯央行稱，該行代理賬戶遭黑客襲擊，被盜走20億盧布（約合3100萬美元）。

俄軍反應(yīng)最快

作為對威脅最敏感的部門，俄國防部與軍工綜合體在網(wǎng)絡(luò)安全領(lǐng)域行動最早，力度也最大。早在2016年，俄國防部發(fā)起組建專用軍事互聯(lián)網(wǎng)，官方名稱為“數(shù)據(jù)傳輸閉環(huán)”，所有入網(wǎng)終端都不能使用未經(jīng)許可的U盤和外接硬盤，與全球互聯(lián)網(wǎng)相隔斷，官兵可在網(wǎng)內(nèi)享受電子郵箱服務(wù)，傳輸包括標(biāo)有“要件”字樣的秘密信息。該網(wǎng)的基礎(chǔ)設(shè)施部分是向俄電信股份公司租借的，某些地方則利用國防部自有的與國際互聯(lián)網(wǎng)隔斷的基礎(chǔ)設(shè)施。每支部隊都配備服務(wù)器，負責(zé)對信息加密，打包后再對外傳輸。存放服務(wù)器的地方嚴禁無關(guān)人員進入。

這套軍事互聯(lián)網(wǎng)使用名為“移動武裝力量”的操作系統(tǒng)，可通過微機瀏覽網(wǎng)站，微機全部通過總參第八局的技術(shù)鑒定，未經(jīng)許可的U盤、打印機、掃描儀等外部設(shè)備無法連接到微機上，同時，在商店里購買的U盤每次試圖連接微機的行為都會受到專用軟件監(jiān)控并被固定下來。該網(wǎng)設(shè)有電子郵件部門，只允許用戶在內(nèi)部交換信件，軍人的所有文件流通（報告、申請、名單、帶照片的工作總結(jié)等）都通過該部門進行。

俄互聯(lián)網(wǎng)技術(shù)和基礎(chǔ)設(shè)施發(fā)展促進基金會主席德米特里·布爾科夫指出，相比俄軍的“數(shù)據(jù)傳輸閉環(huán)”，“美軍的做法卻存在諸多漏洞，他們總是從一個協(xié)議轉(zhuǎn)向另一個協(xié)議。另外，陸?？哲娪胁煌木W(wǎng)，各個網(wǎng)絡(luò)與互聯(lián)網(wǎng)的接口太多，由此產(chǎn)生最主要的危險，即未經(jīng)許可的訪問難以防堵，而且各種承包商均可接入這些網(wǎng)絡(luò)，曝光‘棱鏡計劃的愛德華·斯諾登只是美國國安局外包公司的一個雇員，卻有權(quán)訪問國安局核心網(wǎng)，由此獲得數(shù)據(jù)并對外公開，這在俄軍網(wǎng)絡(luò)里是不可能發(fā)生的?！?/p>

德國的海底光纜。

除了“數(shù)據(jù)傳輸閉環(huán)”，俄軍還建立起安全可靠的視頻通信系統(tǒng)。赴敘利亞作戰(zhàn)的俄空降兵率先啟用與西方SKYPE類似的純國產(chǎn)視頻即時通信軟件，它由俄羅斯無線電電子領(lǐng)域的領(lǐng)軍企業(yè)——沃羅涅日“星座”康采恩開發(fā)，采用特殊的Astro-Linux操作系統(tǒng)，只能經(jīng)軍用衛(wèi)星和無線電中繼站工作，不僅能遂行戰(zhàn)斗任務(wù)，日常也能召開有遠隔幾千公里的用戶參加的遠程視頻會議。軟件存放在營長以上軍官保管的辦公筆記本電腦和平板電腦里，必要時連長、排長和班長也可使用，用戶可根據(jù)所在地點的實際情況，選擇更加合理的接入方式。

由于空降兵用的視頻即時通信軟件并不是網(wǎng)上影院，而是部隊指揮手段，因此它只能在封閉的通信信道工作，不允許使用民用通信網(wǎng)。該款軟件從2012年起在“仙女座-D”自動化指揮系統(tǒng)里測試，2015年9月俄南部軍區(qū)“高加索-2016”戰(zhàn)略演習(xí)中得到檢驗。

除開軍隊，軍工綜合體也展開“內(nèi)網(wǎng)建設(shè)運動”。根據(jù)俄總統(tǒng)2015年4月頒布的第722號總統(tǒng)令及聯(lián)邦政府第1455號決定，俄聯(lián)合儀表制造公司和軍事電信股份公司已為俄軍工企業(yè)組建名為“可靠通信系統(tǒng)”的專用秘密網(wǎng)，提供包括多媒體通信在內(nèi)的信息交換服務(wù)。“可靠通信系統(tǒng)”的技術(shù)參數(shù)由俄工業(yè)貿(mào)易部制定，通信信道可提供不低于10兆比特/秒的速率。網(wǎng)絡(luò)只允許接用專用微機，使用Astro-Linux和“移動武裝力量”等操作系統(tǒng)。

“可靠通信系統(tǒng)”與國際互聯(lián)網(wǎng)實行隔斷，條件允許時會與俄軍的“數(shù)據(jù)傳輸閉環(huán)”相連，未經(jīng)許可的移動載體無法接入，否則將被記錄下來予以追查。軍工企業(yè)可通過“可靠通信系統(tǒng)”交換各種信息，比如命令、產(chǎn)品設(shè)計圖紙和試驗視頻文件等。此外，還為軍工企業(yè)專門研發(fā)了自動化試驗系統(tǒng)，在對產(chǎn)品進行測試檢驗時只要連接傳感器，就會收集和傳輸諸如編內(nèi)系統(tǒng)工作信息、耐振性、耐熱性等遙測數(shù)據(jù)，參與設(shè)計的所有部門都能實時接收。

耐人尋味的是，“可靠通信系統(tǒng)”借鑒了俄聯(lián)合飛機制造集團公司（OAK）內(nèi)網(wǎng)建設(shè)經(jīng)驗。該公司內(nèi)網(wǎng)曾為研制圖-160M2戰(zhàn)略轟炸機開設(shè)“虛擬設(shè)計局”，分布在全國約40個各種平臺（航空設(shè)計局、工廠、協(xié)作企業(yè)）里的設(shè)計師崗位均被連起來，設(shè)計人員可在里面交流設(shè)計和工程數(shù)據(jù)。由于合作企業(yè)遍布全國各地，因此統(tǒng)一的設(shè)計數(shù)據(jù)交流工作實際上全天候進行。某分析公司總經(jīng)理丹尼斯·庫斯科夫認為，俄軍工企業(yè)擁有的資源和預(yù)算都很充足，最重要的是要保證總通信樞紐運行安全，絕不能讓外部系統(tǒng)隨便侵入，這正是組建“可靠通信系統(tǒng)”專用網(wǎng)的初衷。俄技術(shù)集團公司還專門組建網(wǎng)絡(luò)威脅對抗中心，集團信息安全負責(zé)人亞歷山大·葉夫捷耶夫透露，只要發(fā)現(xiàn)可疑跡象，就能有效切斷黑客侵入，并立即將罪犯所在坐標(biāo)報告給聯(lián)邦安全局。

中國不會掉隊

見賢思齊，了解俄羅斯的網(wǎng)絡(luò)安全措施后，中國如何思考自己的特殊空間安全呢？從1994年接入國際互聯(lián)網(wǎng)以來，中國越來越深地依賴互聯(lián)網(wǎng)，《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2018年12月，中國網(wǎng)民規(guī)模達8.29億，位居世界第一。在享受互聯(lián)網(wǎng)帶來的種種便利時，我們也要清醒認識所面臨的網(wǎng)絡(luò)安全現(xiàn)實。其實，中國與包括俄羅斯在內(nèi)的許多國家面臨相似的網(wǎng)絡(luò)安全威脅，有些方面甚至有過之而無不及，我們必須高度警醒，有所防范。

自2006年開始，美國開始舉行“網(wǎng)絡(luò)風(fēng)暴”系列演習(xí)，重點鍛煉跨政府、軍隊、企業(yè)之間的安全協(xié)作能力。北約自2012年開始舉行“鎖定盾牌”網(wǎng)絡(luò)防御演習(xí)，已經(jīng)成功舉辦了多次，規(guī)模也在不斷擴大。思科、BYTELIFE、CLARIFIED NETWORKS等世界級信息基礎(chǔ)設(shè)施公司提供技術(shù)支持。國家規(guī)模的演練已經(jīng)成為檢驗網(wǎng)絡(luò)強國建設(shè)的重器，同時也是維護網(wǎng)絡(luò)空間安全的綢繆之舉。近幾年，中國也組織了“護網(wǎng)·2018”網(wǎng)絡(luò)攻防演練、貴陽大數(shù)據(jù)與網(wǎng)絡(luò)安全攻防演練等，但還未組織過國家規(guī)模的演練。適當(dāng)情況下，也可以啟動類似演練，通過演練檢驗和提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力，培養(yǎng)和提升網(wǎng)絡(luò)安全人才實戰(zhàn)能力，有效強化網(wǎng)絡(luò)安全風(fēng)險意識。

2017年3月1日，中國《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》發(fā)布，其中明確提出：“網(wǎng)絡(luò)空間國防力量建設(shè)是中國國防和軍隊現(xiàn)代化建設(shè)的重要內(nèi)容，遵循一貫的積極防御軍事戰(zhàn)略方針。中國將發(fā)揮軍隊在維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益中的重要作用，加快網(wǎng)絡(luò)空間力量建設(shè)，提高網(wǎng)絡(luò)空間態(tài)勢感知、網(wǎng)絡(luò)防御、支援國家網(wǎng)絡(luò)空間行動和參與國際合作的能力，遏控網(wǎng)絡(luò)空間重大危機，保障國家網(wǎng)絡(luò)安全，維護國家安全和社會穩(wěn)定。”

網(wǎng)絡(luò)國防力量是新時代的大國重器，面對美俄網(wǎng)絡(luò)空間軍事角力加劇的態(tài)勢，中國網(wǎng)絡(luò)國防力量建設(shè)必須加速。2017年12月26日，網(wǎng)絡(luò)空間安全軍民融合創(chuàng)新中心正式成立，這既是落實軍民融合戰(zhàn)略的需要，也是應(yīng)對全球網(wǎng)絡(luò)安全嚴峻形式的實際舉措。

中國雖是網(wǎng)絡(luò)大國，但還不是網(wǎng)絡(luò)強國，一個重要原因就是還沒實現(xiàn)信息技術(shù)安全可控。中國重點領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)的元器件、芯片產(chǎn)品、通信協(xié)議、操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備較多依賴國外，應(yīng)用于黨政軍部門以及關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的主機、服務(wù)器等設(shè)備的國產(chǎn)化率很低。中國也一直在做這方面的研究和努力，2015年，中國牽頭發(fā)起“雪人計劃”，力爭在下一代互聯(lián)網(wǎng)IPv6方面尋求突破和超越?！把┤擞媱潯币延?016年在美國、日本、印度、俄羅斯、德國、法國等全球16個國家完成25臺IPv6根服務(wù)器架設(shè)，其中中國國內(nèi)部署4臺，1臺主根，3臺輔根服務(wù)器。中國教育和科研計算機網(wǎng)（CERNET）先后在兩代網(wǎng)過渡技術(shù)，基于真實的源地址認證等方面，都獲得國際首創(chuàng)性的成果，獲得了多項國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)RFC。國內(nèi)一些企業(yè)也積極參與下一代互聯(lián)網(wǎng)研究，華為公司積極參與IETF組織的IPv6、安全等多個技術(shù)領(lǐng)域的研究工作，參與制定了多個領(lǐng)域的RFC標(biāo)準(zhǔn)。當(dāng)然，還需要更多的科研機構(gòu)和企業(yè)參與到下一代互聯(lián)網(wǎng)的研究中來。