银行不断遭劫,发电站及水利系统无法正常运转,市政厅陷入瘫痪,大中小学已不能正常开课,图书馆和咖啡厅也遭遇攻击而陷入停顿……这是网络战疯狂袭击之下,美国小镇Alphaville呈现的骇人场景。
幸好,Alphaville在美国地图上并非真实存在。它是美国密西根州政府倡导的、耗时一年多时间建立的 “密西根网络靶场”(Michigan Cyber Range,以下简称MCR)的重要组成部分。每天在这里上演的网络战实战演习为美国地方机构和个人提供应急技能,以应对现实世界中日益猖獗的网络安全威胁。
对于网络战风险和危害的担忧已经不再局限于美国国家和军队层面。随着网络空间的攻击越发蔓延,美国地方政府加入了主动应战的行列,积极调动地方和民间力量打响了一场防御保卫战。但不同于国家级的网络靶场,州政府刻意挑选非营利组织接手该项目的经营权,有意回避国家力量的介入,同时避免过度商业化。
这恰恰是美国国防部长卡特眼下面临的棘手问题。上周,卡特刻意选择加州的斯坦福大学对外宣布了新网络战略,旨在强调新战略对商业技术部门的依赖,尤其是推动国防部与硅谷关系的强烈意愿。但这种尝试在过去15年时间里均未结出丰硕果实,卡特凭一己之力能否重整旗鼓,尚难定论。
不过,在卡特吹响网络空间军事化的号角之前,网络空间防御战似乎已悄然在美国社会打响。至少,在美国国家安全架构之外, “密西根网络靶场”提供了一例鲜活的地方样本。
网络战的“真正重心”
同MCR项目一起诞生于2012年的虚拟小镇Alphaville专门模拟针对政府、学校和企业等社会机构及其设施的网络攻击。如同射击场一般,“网络靶场”提供“荷枪实弹”的网络战演习,参与人员的网络安全技能将接受不同情境的考验。通过这样的模拟实战培训和指导,计算机网络专业人员将在侦测、防止和应对现实世界中网络攻击方面更加得心应手,有的放矢。
参与者实战应对的是一伙“有生命、有思想、懂变通的敌手”,专门经营MCR的非营利组织“优点网络”(Merit Network)主管研究的副总裁William J. Adams不久前告诉澎湃新闻说。
在这名退役陆军上校兼军校副教授看来,现实世界里针对政府、学校和企业的网络攻击日益老到和危险,使得MCR的实战训练越发有价值。
“Alphaville这个空间几乎适用于所有人,”Adams说。主要受益的领域包括:基础设施防御、(州内)国土安全、刑事司法和执法、学术和教育项目,尤其是中小型企业。
事实上,赢得私营部门的支持正好契合美国国家网络战略的诉求。除了卡特上周对外公布的新战略外,早在2011年五角大楼发布的新网络战略中(俗称“网络3.0版”),“与私营部门建立起伙伴关系”是五大支柱之一,也是最为紧迫的任务之一。
在网络安全问题上,美国私人企业通常向国土安全部看齐,但最新版的网络战略力图进一步打破这种“军民两分”传统。具体而言,即五角大楼将接过对美国国家网络安全战略实践的主导指挥棒,民用关键基础设施未来将有军事力量大规模的涌入。
在2011年版的网络战略中,五角大楼对这种趋势已经有所预言。2010年时任美国副国防部长Lynn在《外交事务》杂志就网络战略发表重要文章阐述道:“一旦民用基础设施——军事冲突中可能直接成为攻击目标,或被劫持用作和美国政府讨价还价的筹码——不安全,制定的再完美的捍卫军事网络的计划将没什么作用。”他写道。
Lynn所言非虚,据公开资料显示,美国80%的关键基础设施都是私营部门经营和拥有。美国东西方研究所高级研究员Franz-Stefan Gady直接说,私营部门是任何网络冲突真正的重心。他近日告诉澎湃新闻说,相较于中国,美国私营部门在支持网络战实战操作方面非常有经验,譬如在培养未来网络战士方面。
此外,美国技术研究机构和高校在高精尖专业领域,尤其是支持网络战方面,同样有着无可匹敌的优势。Gady说,在微观层面,中国网络专家和西方同行在一个水平线上,但美国在对军队后备人员的训练方面则具有强大优势。
密西根州便是美国教育和科研的重镇之一。作为MCR网络靶场项目的组成部分,密西根州多所大学及陆军国民警卫基地里设立了“集线器中心”。“‘优点网络’和学校、学院以及大学密切合作,改善密西根劳动力的网络安全防御能力,”该机构负责公共关系的副总裁Elwood告诉澎湃新闻说。
只要将一台笔记本接入任何一个集线器的接口,学生们或者信息专业人士便可以进入虚拟的Alphaville小镇和黑客过招。而公司和政府团队则通过虚拟私人网络(vpn)相互连接。
这些黑客在现实中实际上都是“优点网络”的雇员或是来自本地高校的志愿者。据Adams介绍,志愿者们都是从产学研及州和地方政府中筛选而来,“我们会从最适合的人中进行挑选,”他说。
有意淡化国家色彩
事实上,在美国联邦政府层面,“网络靶场”早已不是新鲜事物。
“国家网络靶场”(NCR)作为美国小布什政府2009年签署的“国家网络安全综合计划”的重要组成部分早在2008年便宣布开始研发,是近50多年以来美国国会向国防高级研究计划局(DARPA)直接下达的唯一项目,该项目已于2012年交付给国防部。国家级靶场的建设目标是,模拟真实的网络攻防作战环境,针对敌对电子攻击和网络攻击等进行试验,以实现网络战能力的重大变革,掌握网络空间的主动权。值得一提的是,DARPA为“国家网络靶场”打造了国家级的设施,横贯美国整个东西部。
不过,“国家网络靶场”设施都是保密的,主要供机密级的军事人员使用。同样面临网络攻击的地方政府和企业并不能使用这些设施。于是,“密西根网络靶场”的诞生极大地满足了这些诉求。
“优点网络”副总裁Elwood及Adams均拒绝就“国家网络靶场”置评,并特别强调了MCR的防御及教学性质,避免使用“网络战”及“进攻”字眼。与此同时,受访的二人均不愿就“密西根网络靶场”和美国“国家网络靶场”进行比较。
但美国《连线杂志》网络博客“危险室”在2010年曾披露称,“国家网络靶场”的一大问题在于研发时间表拖得过长——6-8年的周期——导致许多联邦政府机构失去了耐性,尤其是国防部,后者开始打造自己的“射击场“。譬如,据最新的公开资料显示,美国海军陆战队在去年11月测试了海军研究办公室研制的模拟实战场景的“战术网络靶场”,包括了网络、通信、传感器、无人系统和增强现实技术。
“‘优点’与NCR没有合作……此外,‘优点’也与NCR没有联盟关系,我们没有和NCR协作。”Elwood反复强调MCR没有国家色彩。
事实上,从项目筹备和推广阶段,美国联邦政府的关注和肯定从来不曾缺乏,尽管这种协作更多是在幕后进行。譬如,在MCR的建造过程中,由密西根州州长Rick Snyder领衔的项目团队在华盛顿就与来自美国国家质量与技术中心(NIST)、国土安全部、能源部及其他部门的代表举行了系列会谈,并得到了鼓励和支持。
在正式上马后,据美国威斯康星州当地媒体《哨兵报》报道称,在2014年底一场网络战实战演习中,来自美国西点军校的学生们对Alphaville小镇发动了网络攻击,驻扎密西根的陆军国民警卫队实施了网络防御。
国家信誉下降时的救命稻草
即便从密西根州政府的角度出发,“网络靶场”项目最终也有意减少了“向上”(与联邦政府)的关联性,而选择“向下”——尤其是科教和商业界——谋求广泛支持。
在做出发展“密西根网络靶场”项目的决定后,密西根州通过该州的经济和发展公司向州内商业界发出了一份征求建议书,以选出运营这一靶场的机构。最后,“优点网络”中选。这是一家成立于1966年的非营利、会员制组织,一直致力于为密西根州公立大学之间设计和建造计算机网络。
站在地方政府的立场,拒绝过度商业化的原因之一在于,网络安全作为新兴产业所潜藏的巨大商业利润不能成为进一步助长网络攻击和网络军备竞赛的诱因。但在鼓励网络安全经济发展和防止“唯利是图”之间的界限如何拿捏?对于澎湃新闻记者的多次置评要求,密西根州州长办公室一直未予回复。
密西根州政府努力避免陷入的另一大困境是,联邦政府网络战略的制约因素之一——私营企业的独立性及捍卫商业信息的正当性。这种反作用力在国家信誉受到严重质疑时会进一步加剧。复旦大学国际政治系副教授沈逸之前在一场网络安全会议上表示,如何整合产业并让他们愿意交出公司信息是制约奥巴马政府网络战略成型的三股力量之一,另外两股力量是自由主义理念和联邦政府部门之间的竞争。
无疑,斯诺登泄密事件进一步加剧了私营部门和国家机构之间的隔阂。奥地利国际事务研究所网络安全专家Alexander Klimburg在美国《国家利益》杂志1月刊上撰文称,斯诺登泄密事件及中情局虐囚报道,已经使得私营部门对于政府的“良好意愿”陷入短缺状态,而紧随其后发生的“索尼”遭黑客攻击事件则成为这种“良好意愿”丧失殆尽的临界点,包括许多世界顶级的网络安全专家也越发不信任美国政府在防御未来网络战方面的能力。“信誉彻底缺失成为最致命的缺陷。”他写道,“这意味着美国在面临下一次——或许是更加危险的——网络攻击时可能将更为狼狈。”
在“索尼”事件发生之后,奥巴马政府一度被传出向私营部门及行业寻求问题的解决方案,民间的智慧和创意在关键时刻成为国家安全可以挖掘的宝藏。
对于“密西根网络靶场”的生存秘诀——如何模拟和建构网络战发生的空间和环境,及设计网络战的规模和水平,以确保受训者在现实世界里能够打赢眼下和未来的网络战,负责人们均巧妙地一带而过,“‘优点’提供全方位的项目,譬如我们有一种爬-走-跑方法,和其他靶场的演练非常不同。”项目副总裁Elwood告诉记者说,没有详述。
“密西根网络靶场”还寻求与邻近的威斯康星州及其他网络靶场项目结成伙伴关系。最近,“优点网络”正在筹划为威斯康星州建三个“网络志愿消防队”,以应对大规模网络攻击,并协助警方调查攻击事件。威斯康星技术协会主席Tom Still告诉澎湃新闻,除了地理位置上接近外,威斯康星大学和密西根大学有着非常密切的联系,“这两所大学在美国都是顶级的研究型大学,在科研上的投入共计约为24亿美元。”他说,他主持的协会为威斯康星州政府提供技术咨询。
