网络安全领域军民融合能力流动方向与路径思考

时间: 2017年7月5日 作者:肖新光 来源:安天

一、 引子:思考传统领域的能力流动

1.1 军民融合——传统军力的前瞻性逐渐向民力释放

我们先思考一下,在传统领域中,军力和民力之间的能力流动。如今非常发达的移动通讯,实际上是从上世纪作为军事装备的一系列先进技术的小型化、持续民用化发展而来的。在当时,扮演着传统军工角色的厂商,像摩托罗拉通讯厂商,实际上在推动整个革命过程中起到了重要的作用。在这种传统领域的军力向民力流动的过程中,传统军事的研制,因要做好面向较强对手、面向未来战争的准备,将能承担民间不可承担的成本能力,往往在一些领域可以开创相应的技术先河,而这种技术一旦取得基础,就逐渐可以和民间的应用需求相结合,并推动产业的发展。

1.2 军民融合——传统的转换路径

与此相类似的是穿戴式计算领域。今天的与人工智能或者其他很多方式相结合的穿戴计算装备,是从上世纪60年代开始,由头盔瞄准等一系列技术发展推动起来的,之后随着整个民用化的可能性提升,以及相应需求的逐渐产生,渐进地产生了类似于谷歌眼镜的装备。

这是一种传统的能力路径,反映出技术发展的两个本质的驱动力是,国家的战略能力和人性需求,正像比尔•盖茨在《未来之路》中所讲的“先进技术通常被使用到两个领域,即军事与色情”。

1.3 信息系统特殊性——民力有效向军力回馈

在互联网模式出现之后,开始出现了一些新的现象,这种现象使得能力不再简单的从军事力量向民间力量流动,而是产生了民力向军力的有效回馈,这不仅仅是简简单单的技术力的流动,很大程度上其实是模式的破局。

以密码破解为例,传统的密码破解,除了算法分析和相应的资源之外,其实需要投入大量的计算资源,比如,大量GPU的并行计算;投入大量的存储资源,比如,承载一个更大体系的彩虹表;同时,在面临局部网络的破解作业中,可能还需要相应的抵近作业的能力。

很久之前,安天在一份关于隐私的技术报告中写过相关内容——在安卓4.0版本之后,谷歌全面开通了把用户的SSID和密码备份到谷歌云中的默认策略,而由于谷歌本身又提供相应的地图服务,Wi-Fi作为辅助定位设备,这就意味着在谷歌中已经存储了全球无线热点的用户名和相应的密码信息。之后再结合“谷歌街景车由于具有无线sniffer的行为,在多个国家被罚款”的情况,我们可以看到,其已经构成了一个监听全球无线网的事实能力(注意,我们所讲的是事实能力,而非事实)。在此过程中,由于“棱镜”的存在,将这种客观能力转化成了一种需要评价的威胁。

同时,需要看到,所有的密码并不是通过破解获取的,而是用户为了更方便的操作,在接受了这种以个人隐私置换免费服务的互联网模式之后,主动提交给厂商的,从而转化为影响大国平衡的能力。因此,这不仅仅是一种技术的流动,还是一种能力的变化。

1.4 新关注点——生活习惯即战斗力

传统军事领域的大量装备都是定制化的,是基于前瞻性的设计、高标号的原件进行的相应定制化设计。但在今天我们可以看到,美国狙击手使用的计算封片的软件实际上是运行在iPhone或者iTouch上的;之前iPhone7和三星某型号的手机被美军定性为标准的型号手机;在阿富汗或者其他一些实战的战场中,用来控制无人机和无人车的并不是专用设备,而是XBOX的游戏方向舵。从美军的思路上来看,这是把日常的用户操作习惯直接转化成战斗力,最小化地承担了培训成本。同时,现代民品在经历大规模的批量生产和严格的用户体验考验之后,其质量在一定程度上是可以和传统定制化军品相匹配的,甚至在软件系统上更为可靠和稳定。

1.5 精确目标模拟——从“乌干达人质事件”到电脑游戏《战地四》

在之前著名的“以色列特种兵营救乌干达人质事件”中,以色列在沙漠中搭建了相关机场的1:1模型,基本上还是要付出传统的建设成本和相应的测绘成本。之前被我国封禁的游戏《战地四》中已经精细地模拟了上海的部分街区场景,包括东方明珠电视塔、百货大楼和地铁车站的内部建筑细节。如果单价大概在一万元人民币左右的、基于虚拟现实技术的体感式装备和前面所提及的游戏中的模拟场景相结合,就可以基于卫星地图、街景、室内定位、VR结合,实现超低成本的实景模拟演练能力,从而辅助特种兵突袭。

1.6 GTA5——大场景模拟到城域级战场成型

另外一个被我国禁止的游戏《GTA5》(侠盗猎车手)实际上已经实现了从大场景模拟,到城域级战场模拟,再到地域级战场模拟的升级。游戏主人公可以在一个超过100平方公里的地图中进行多种载具的驾驶,完成包括爆炸、潜入、监听、狙击在内等相应的任务,可以进入多所内部结构复杂的建筑,而全部场景都可以通过无缝连接完成。

广泛被当前西方大型战争游戏所使用的最新版寒霜引擎,可以实现“一切皆可炸毁”的效果,如果和谷歌地图、街景等进行相应的结合,不仅可以辅助特种作战行动,也可以在大规模的战争沙盘推演中达到精细的模拟毁伤和推演构造的效果。

从中可以看到,西方游戏公司所具备的商业技术能力,是一种可循环的、持续发展的能力,已经领先于全球其他大国的军事能力,而且其差距有进一步扩大的趋势。

随着网络空间计算、存储、处理能力的增强,对于现实空间的仿真效果,可以达到非常逼近的程度。在我们设计“赛博超脑”这一网络靶场时,就面临着如何使其更逼近一个实体攻防过程的问题。相应的检验标准是原载荷打靶,比如,在“乌克兰停电事件”中,我们详细地剖析了整个攻击作业链,但如果能够把相应攻击作业链中的原载荷投放于靶场模拟目标,并完成靶场作业,则说明靶场比较好地仿真了整个大规模关键基础设施。在网络空间具备着非常强的模拟传统空间靶场作业能力的同时,网络靶场自身也会有突飞猛进的发展。

二、 网络领域大国平衡的新支点

2.1 网络安全企业如何影响大国平衡

下图是分析APT1报告对于全球大国战略平衡的影响,从中可以看到,这不简单的是一篇安全厂商所发布的报告,其所引发的是整个中国在全球网络空间中争夺道德制高点方面的颓势,以及整个中国产业体系在美国和其所支撑的朋友圈中的产业回撤,这种产业回撤追杀到了澳大利亚和韩国。在这个过程中,利用炒作,以FireEye为代表的美国网络安全厂商在这一轮的产业推手中持续兴起。一方面,美国获得了大国博弈在网络安全领域中的道德制高点;另一方面,收获了产业果实,并使我方吞下了相应的产业苦果。可以说这既起到了四两拨千斤的效果,也影响到了大国平衡,这在传统领域中是非常难以达成的。

图 1 APT1报告对于全球大国战略平衡的影响

2.2 非国家因素影响大国平衡

如果把过去美国安全厂商所发布的一些典型报告进行叠加,会发现其中涉及到了世界上的多个其他国家,参与发布报告的厂商包括被FireEye收购的Mandiant、最为活跃的FireEye、传统安全厂商Symantec、Trend Micro等。从中可以看到,由于网络空间本身是一个复合域,导致了民间的产业力量、非传统的国家力量对大国平衡具有高度的参与能力。在传统的对抗式博弈中,无论是传统的国家队,还是民间队,更多只是作为装备体系的供应商,而非直接的博弈方;而在网络空间领域,我们可以看到像FireEye这种厂商,不仅在美国本土的网络防御中起到非常活跃的作用,在菲律宾、印度、日本等都可以看到,其已经成为整个美国国家能力前出的一部分。

2.3 曝光即威慑与吓阻战术

为了对抗这种曝光式的吓阻方式,需要“以彼之道,还之彼身”的相应操作,而大国之间的操作取决于相互之间“伤害”的能力。自2014年10月起,安天陆续发布了一系列针对美、印、越等各方的报告,来披露各方对我方所进行的相应攻击。

2.4 APT博弈中的民间要素

在围绕APT概念的要素博弈中,以美国为例,除了国土安全部这种统筹机构,FBI、CIA这种情报机关,以及US-CERT这种政府背景的安全组织外,还活跃着大量的独立安全厂商,以及西方所调度的看不见手的相关媒体,其有效地支撑了美国的一系列组合动作,包括阻断、止损、反控、曝光、惩戒、报复、欺骗等。因此在网络安全博弈中,民间力量起到了非常微妙和关键性的作用。

2.5 APT背后的旋转门

APT一词的创造者是美国空军信息站中心业务组主指挥官Greg。Greg本身的任职经历是从军队到相应的政府机构再到咨询机构、创业公司,一直到今天成为摩根大通的总经理,这个典型的轨迹就是一个旋转门。实际上,从美方的视角来看,这种旋转门既是军民之间的人才流动,同时也是一种利益输送和相应的流动,这就构成了美国国家能力和产业体系发展的重要动力。

2.6 信息军工复合体

当年艾森豪威尔提醒美国人民要警惕军工复合体,这种军工复合体在美国整个政治生态和国家能力中,所扮演的是国家队的角色,这与我国的十一大军工集团是非常契合的。

从当前来看,在信息能力和军工能力方面呈现出几个倾向,一方面,传统的军工复合体正在强化信息攻防能力,比如,我们今天经常使用的著名的关于攻击链的模型是洛克希德•马丁公司提出的;爱国者导弹的出品商雷神公司兼并了著名的Web安全厂商Websence。从中可以看出传统的军工复合体正在强化信息侧的攻防能力,从而更有效地承担起美国国家安全体系中的业务安全、数据安全和情报安全工作。另一方面,以谷歌为代表的信息复合体正在向信息军工复合体成长,典型的大狗载具很明显是一种战场载具,如果和谷歌的街景地图能力、人工智能方向相结合,将成为美国未来无人战争的一个阻力。

2.7 网络安全企业正在向网络装备供应商成长

同时也可以看到,美国的部分网络安全企业正在全速向网络装备供应商成长。从2013年开始,根据美国国防预算法案932.b,美国五角大楼要求与美国国防系统连接的军工集团和厂商要叠加为FireEye等厂商量身定做的动态检测能力。事实上,这赋予了这些厂商军火装备供应商的位置,当然这种装备是防御装备。此外,2016年,FireEye首家通过了网络安全领域的反恐认证。

2.8 国家背景网络攻击中的商业军火

安天在2015年5月27日发布了一篇分析报告 ,主要披露了中南半岛某国借助美方所生产的商用攻击平台Cobalt Strike对我方部委进行相关的APT攻击。Cobalt Strike的始作俑者曾是美军Red Team的成员,也就是美军在网络空间中的外军模拟部队成员。其所领导研发的Cobalt Strike实际上已经超出了传统的进行漏洞扫描测试的测试平台的特点,具备不落地的载荷,即无文件载体的内存载荷打入能力,可进行加密的远程控制回联,而且基本上覆盖了大部分的操作系统场景和文件载体系统。因此,这不是一枚靶弹,不是一枚教练弹,而是真实的具有战斗部的导弹。

2.9 以商用攻击平台+恶意代码为核心的军火扩散影响地区平衡

在具备这种商业军火的情况下,包括商用的攻击平台、商用的恶意代码、商用的漏洞买卖,传统的基于大量成本投入才能支撑高水准行动能力的局面有所改变,类似越南、印度等国家不需要进行大量成本投入,就可以形成高级的行动能力,这影响到了相应的地区平衡。

2.10 复合民间行为体

2.10.1 “素人”式攻击

同时,我们也要警惕复合民间行为体的“素人”式攻击。从安天关于“乌克兰停电事件”的报告 中可以看到,相关攻击方在几乎没有使用任何0day漏洞的情况下,仅仅依靠恶意代码的组合作业,就达成了乌克兰大面积停电的效果。2017年6月27日发生了主要针对乌克兰的“必加”(Petya)病毒攻击事件,6月28日,安天在凌晨五时所发布的报告 中,特别提出了“这种攻击如果作为破坏载荷使用,其实可以达成和‘乌克兰停电事件’、‘索尼事件’同样的导致大规模系统停止响应的效果,因此,不能得出这次事件是以勒索为目的的结论”。这个猜测也被后续卡巴斯基等厂商发布的报告所证实。

对于“美国大选遭遇攻击事件”,如果根据美方目前所公布的报告进行判断,从技术手段上来看,这并非一次高水平的攻击,当然也许是更高水平的攻击伪装成不够高水平的攻击。但正如力的要素是方向、大小和作用点,同样大小的力施加于不同的作用点上,可能会带来不同的效果。一般性的网络攻击如果用于环境预制或者情报获取,往往只能达成战术效果,但是这种看似并不是最顶级的网络攻击行为获取了美国大选中相关政党的活动信息,并进行单边爆料,却达到了动摇美方之前认为根本不存在政权安全风险的观点的效果(美方之前一直认为其所面临是高度的国家安全风险,但是不面临政权安全风险),这就可以动摇美国的基本盘。

2.10.2 国家背景组织和国际黑产的交互

当前,还有很多难以识别的复合行为体,比如,在针对WannaCry(魔窟)蠕虫的响应过程中,尽管很多方提供了关于相应来源的猜测,但最后并没有达成有效的实证,而安天在这方面取得了相应的进展。从中可以看到,我们很难用一个非常传统的视角去解读相应的事件,很多内容经过实际分析后被证实只是猜测,比如,有人认为“魔窟”蠕虫并不是以经济为目的的,因为攻击者锁死了相应的比特币地址,但实际上这个结论是错误的,因为其在之后会为每一个新用户分配一个新的比特币地址,而后续的这个地址是难以监控的。同时,从“魔窟”蠕虫的一些相应行为和特点来看,又可以非常明确地与此前的攻击建立关系,那么是否存在国家背景的网络组织,在与国际黑产间产生耦合度之后,在相应的攻击中,可能会承载非常复杂的多方攻击意图和相应行为?

2.11 我国同时面临国家行为体和复合民间行为体的攻击

因此对于我方而言,我们既面临着国家行为体的安全威胁,其实也面临着复合民间行为体的综合压力。很大程度上,我们要更加警惕这种非常不受控的“乌克兰式”的攻击样板。

三、 信息战武器、战场与战争规律的思考

我希望就信息战中的武器、战场与战争规律分享一些不成熟的思考。

3.1 战略引导行动 基础决定水平 投入支撑能力

在网络空间的作业能力中,毫无疑问,商业军火在一定程度上打破了高成本投入才能有高行动能力的局面,但总体来看,相应的网络行动能力,其实是一个战略引导行动,基础决定水平,投入支撑能力的过程。

3.2 网络装备也呈现传统装备能力和断代特点

不同国家具有不同的研发能力,通过不同的装备支撑不同的意图,这使得网络装备也呈现出类似在航空领域中一代机、二代机、三代机、四代机的特点。

3.3 网络装备也是一个冰山体系

尽管安天发布了大量的分析报告,我们称之为弹头分析报告,但其主要是针对恶意代码和把恶意代码打上来的相关漏洞的分析,我们应该深入地认识到,网络装备其实是一个冰山体系。对于整个体系化建设而言,如果以美方的能力为例,其核心能力体系其实是在后端,我们所看到的非常精妙的恶意代码和相应的间谍设备是在一系列综合工程体系的支撑下运行的。类似“棱镜”等系统应该是更值得我们关注的,也是美方付出更大成本的支点

3.4 恶意代码水平成为评价APT攻击者能力的标尺

当前,我们对其具有分析能力的恶意代码在一定程度上成为了评价APT攻击的能力标尺。之前,我们曾讲过一个观点——我们称类似美方的攻击为A2PT,即高级的APT。从投放方式、0day储备、载荷质量、抗分析特性、模块化、指令体系、多平台、持久化等角度出发,可以看到不同作业方具有鲜明的能力层次的差异。

3.5 资源储备

下图为安天在2017年5月22日发布的《安天关于系统化应对NSA网络军火装备的操作手册》 中对4月14日泄露的NSA网络军火装备与漏洞利用程序梳理的一个关系图,而这个关系图所反映的只是美方能力储备中很小的一部分。从图中可以看出,美方的整个能力储备是非常系统的,这部分工具显然是美方用于远程打点和突破物理隔离之后进行横向移动的。同时我们预计,后续将更多的看到针对浏览器漏洞利用的能力储备集合。正如传统美军最大化地使用弹药基数一样,美方也会最大化地进行相应的资源储备,而在关键性的作业中,也会最大化地使用相应的漏洞装备。

图 2 2017年4月14日泄露的NSA网络军火装备的漏洞利用关系图

3.6 模块化与复合作业

需要注意的一点是,我们不能从非常传统的“网络进入、网络传出”的角度来理解美方的作业。从美方的体系来看,其中大量起到中间桥梁作用的,无论是投放器,还是支撑传播的,实际上是其电磁空间设备。对于美方而言,并没有绝对的网络作业和非网络作业的概念,而是在由人力、电磁、装备等构成的武器系统中选择攻击组合。

3.7 网络威胁符合传统威胁的基本规律

同时,我们也认为网络空间的威胁是符合传统威胁的基本规律的,我们反对刻意地把网络空间夸大成一个差异性的空间、异化其规律,而漠视其与基础规律的相同性。对APT而言,其同样符合我们传统对于威胁的认知。正如我们所知,“威胁是能力和意图的乘积”,在APT中,“A”所代表的高级性毫无疑问就是APT攻击的能力,而“P”所代表的持续性正是攻击意图的体现,因此, “A”、“P”、“T”的本质关系是“A×P=T”。

3.8 传统手段和网络手段的攻击效费比对

在整个网络空间中,之所以会形成我们如今必然重视的威胁,其中的标志性事件一定包括“震网”事件。“震网”事件说明网络空间中的攻击具备与传统攻击作业的等效性。如果把“震网”事件与在1977~1981年间所发生的美以联合轰炸伊拉克核反应堆的巴比伦行动从时间周期、人员投入、作业准备、训练成本、消耗毁伤效果和效费比等方面进行对比,可以验证美国陆军参谋长高级顾问曾指出的——“网络武器可以有许多适应环境的属性。从生命周期成本的角度来看,它们比其他武器系统更优越。”

3.9 攻击关键基础设施的成本不断下降

如果再把“震网”事件和“乌克兰停电事件”以及最近发生的“必加(Petya)”事件进行对比,可以看到,这种达成实际物理空间效果的攻击关键基础设施的成本是在不断下降的。

3.10 信息战的规律与特殊性——从CNE到CNA

我们需要认知到信息战的规律和特殊性。与传统战争从宣战之日起,人员、载具、军火越过边境线和实际控制线进入到对方场景中不同,网络战争是“先埋后打”的,网络战争中攻击方具有塑造整个战场的无与伦比的先天优势,在信息战争中,“打”的主动性取决于“埋”的主动性。西方的研究者把网络攻击划分成CNE(Cyber Network Exploitation)和CNA(Cyber Network Attack)两种类型,即网络情报利用和网络攻击,毫无疑问,CNE是CNA的基础,没有对对方环境的大规模预制,没有对对方整个基础环境的持续渗透,就不可能在信息战争中占据主动,这与传统战争中储备核武器就可以形成威慑是完全不同的。

3.11 对手的脆弱性发现和脆弱性预制覆盖一切环节

从美方的作业思路来看,其对于脆弱性的发现和脆弱性的预制是覆盖一切环节的,前美国陆军参谋长高级顾问曾指出“网络武器具有无与伦比的多功能性,可以在多个时点发起攻击,包括针对早期开发过程”。在我们幻想通过国产自闭合的供应链来解决网络安全问题之前,美方就早已认识到各国自主的工业过程和信息过程是在其远程作业和环境预制场景之内的。这时,如果我们没有相应的措施,只是认为这种自主先天具备可控属性,就必然会带来一个更不可控的系统。

在我们将目光仅仅关注于所谓的特种木马之时,美方已经多次进行了劫持传统僵尸网络和恶意代码用于情报作业的相关研究和实际行动。也就是说,在攻击时,原则上会选择成本更低、隐蔽性更强的通路,而不必然使用己方的高级装备。

3.12 塑造战场:基础供应链的穿透

如果对“震网”事件发生之前所进行的连锁行动进行梳理,就会发现,美方在此前已经击穿了整个伊朗的自主工业体系。一套自主的工业体系本身都可以被用来进行长期的攻击渗透和环境预制,从而获取未来战争的主动权,更何况信息系统?

3.13 国防供应链的网络安全要素分析

因此,未来的战争将从传统的军事网络延展到整个国防供应链中。对手试图进行相应的情报分析、借鉴模仿、弱化干扰、专项反制等,而我方将通过对对手攻击的捕获防御,达成感知对手的作业意图、限制对手获得信息、切断对手的意志能力,以及实现情报反用的效果。

3.14 从两个案例说起

从之前的美方作业方式来看,比如,在我方援越抗美期间,美方通过“长子行动”派特种人员替换掉我方援越的弹药和枪械,导致越方降低对我方所供应武器安全性的信任度,从而挑拨中越之间的矛盾;美方在F-16战机出口中通过相关的后门预制达成对以色列飞行员视角的获取,实现美方对以色列飞行员的“所见即所得”。在未来网络空间的对抗中,对于国防供应链的预制,一方面可以影响到战争的进程;另一方面可以影响一个国家军报产品的质量。

四、 防御——布防、支撑与全域融合

4.1 防御是战略能力的基本盘

首先,我们认为防御是战略能力的基本盘,虽然当前有很多声音都在强调“进攻是最好的防守”,毫无疑问这是一个正确的观点,但是不能将其庸俗化。进攻是最好的防守,但并不意味着要放弃防守,因为防御能够提升对手的攻击成本、制约对手的能力展开、干扰对手的攻击决策、削弱对手的攻击效果。在世界各大国大面积进行信息化的情况下,在这种信息化本身就是一个漫长的攻击正面的情况下,已经形成了非常强的相互毁伤的能力,在攻击能力上,具有的已经不是本质性的差异。相关之间的博弈主动权渐进地转化为了防御能力,转化为了对对手攻击的削弱程度。

当前,由于我们过多地强调了“操作系统不是自己的,CPU不是自己的,所以没有办法防御,也没有办法打仗”,这实际上导致了防御上的虚无主义。我们认为这种庸俗化的“进攻是最好的防守”的观点,是基于我们一定防不住的假设而言的,而根据上述对于美方作业的介绍,可以明显地看到,美方在作业过程中,也是需要“撬门压锁”的,既然是要“撬门压锁”,那就不是完全不可防御、不可追溯的。因此,要避免防御上的虚无主义,避免神化对手,避免寻找“永动机”和“银弹”。

如果从军事力量上进行对比,从NMD到萨德,可以发现,有效的防御实际上构成了一种战略威慑能力,这个规律是适用于网络空间的。

对于军事组织而言,攻防的基础设施是一体的,是由架构安全、被动防御、积极防御、情报和进攻五个层次构成的。

4.2 缺少“敌情想定”是当前的重大问题

当前,基于“物理隔离+好人假定+规定推演”构成了我们的防御想定,但这已经构成了最大的自我安全麻痹。因此,习总书记在4.19讲话中,也明确地指出了“物理隔离防线可被跨网入侵”。

一个军事指挥系统必然是一个重点目标和高烈度对抗的场景,需要立足于内网已经被渗透,供应链被上游控制、运营商网络的关键路由节点被控制、物流仓储被渗透劫持、关键人员和周边人员被从互联网进行定位摸底、内部人员中有敌特人员派驻或被发展等。总体来看,我们要立足于网络空间对抗是战时的高烈度对抗、平时的持续性对抗、平战皆为无底线对抗和高成本对抗的思路来理解我们当前攻防两侧的需求。

4.3 界定未来战场的时间和空间

在未来网络空间的战场中,不再是简单地围绕着传统指挥网络或IT网络而展开的,从对手的攻击目标来看,一定会延展到相关的民用领域,包括工控领域、云、智能设备等。这些都会成为对手在平时持久化、进行信息获取的目标和在战时打击的目标,同时也是我方系统化的防御目标。对手既会不断增强传统的攻击手段,包括节点攻防、信道监听和数据获取的单点能力;也会进一步强化其高阶攻击手段,包括开源环境的污染、向研发环境的渗透、向供应链的预制和大数据干扰。总体上来看,未来的信息战场是围绕着对供应链的控制和数据价值的争夺而展开的,将是一个全时域的攻防过程。

4.4 通过滑动标尺模型理解攻击、防御与叠加创新

在此攻防体系中,应确立一个整体系统的安全观念,避免寻找“一招鲜吃遍天”的安全“永动机”和“银弹”。当前,安天、360企业安全等能力型安全厂商共同在推动滑动标尺模型——从架构安全来形成强身健体的自身安全能力,落实总书记“安全与发展同步进行”的三同步要求;通过传统的被动防御手段收窄攻击者的作业能力和作业边界,之后在其上叠加积极防御和威胁情报,从而形成一个稳固的防御基本盘。从部队的角度来看,在具有稳固的防御基本盘,建立起对国家关键基础设施和整个体系的防御和感知能力的基础上,才能够有效支撑自身的国家使命。

4.5 体系化防御对决体系化进攻

总体上来看,我们是以体系化的防御对决体系化的进攻。在网络攻击中形成了隐藏、导入、业务加载、回联、持久化、获利、退出整个攻击链的情况下,我们需要通过体系化的防御来达成相应的层次纵深、网络纵深、业务纵深、模块纵深、防护手段“纵深”、攻击阶段“纵深”和时间“纵深”。

4.6 网络空间防御从营门到国门

从军队的角度来看,我们认为人民军队也会逐渐从营门走出到国门,从原来的军网防御到达国土防御。可以看到,以信息安全保障局(IAD)和国防信息系统局(DISA)为代表的美国网络空间的相关部门也同样经历过从营门到国门的过程。

4.7 以战略目标和工程体系引领整体产业能力成长

由于只有军队才能用装备的效费比去看待攻防两端的技术和产品,因此当前也只有人民军队才能改变中国网络安全产业的困局,并可以成为破局的最大获益者。

在网络空间中招募民间黑客、采集漏洞只是一种表象的浅层次的能力流动,我们要看到的是,美国的网络安全企业并不代表着美国网络空间的顶级能力,其顶级能力是美国大的工程体系。利用我国集中力量办大事的优势和特点,就可以建立由部队为主导的对接大国使命的支撑工程体系,从而全面拉动国家能力和产业体系的发展。

五、 结束语——不负重托 携手前行

安天是习总书记视察的唯一一家网络安全企业,我们以“成长为国家企业”为使命。军民融合是当前的大势所趋,我们希望不负重托,与部队携手前行。

我向在座的专家、首长致敬,我相信,军民团结如一人,试看天下谁能敌!