網(wǎng)絡攻防視角下的國家間網(wǎng)絡沖突：一種動態(tài)分層分析框架*

宋道青 葛騰飛

(國防科技大學國際關系學院 南京 210039)

網(wǎng)絡攻擊與網(wǎng)絡防御是國家間網(wǎng)絡沖突的基本樣式。傳統(tǒng)的網(wǎng)絡攻防理論從技術特性出發(fā)得出了進攻占優(yōu)的觀點，攻防平衡論則從成本-收益的角度切入對傳統(tǒng)網(wǎng)絡攻防理論進行了部分修正。但現(xiàn)有的學術研究缺乏有效的分析框架，造成概念的混亂和解釋力的不足：網(wǎng)絡攻防平衡對信息系統(tǒng)攻防平衡與工業(yè)控制系統(tǒng)攻防平衡不加區(qū)分、頻發(fā)的通用網(wǎng)絡攻擊與高危害的專用定向網(wǎng)絡攻擊混用，網(wǎng)絡攻防技術失衡與網(wǎng)絡攻防現(xiàn)實大致平衡的矛盾現(xiàn)實得不到合理的解釋[1]。本文基于網(wǎng)絡攻防視角嘗試構建一種動態(tài)分層的國家間網(wǎng)絡沖突分析框架，對網(wǎng)絡攻防的沖突領域進行細分，研究網(wǎng)絡攻防平衡隨時間的演變規(guī)律，對網(wǎng)絡攻防理論的解讀和應用進行了新的嘗試，增強了理論的解釋力。

1 行為體與主要概念界定

由于實施以復雜信息系統(tǒng)為對象的網(wǎng)絡攻擊，甚至是針對關鍵基礎設施的網(wǎng)絡攻擊需要龐大的資金支持與深厚的技術儲備，黑客、犯罪組織等非國家行為體造成的網(wǎng)絡威脅遠不能與國家支持的網(wǎng)絡攻擊相提并論，因此本文研究的行為體為主權國家。

1.1網(wǎng)絡空間根據(jù)網(wǎng)絡的結構、功能與國家實踐，網(wǎng)絡空間主要分為以下兩個領域：第一個領域是構成并影響網(wǎng)絡通信服務質量、內(nèi)容和狀態(tài)的通用信息系統(tǒng)[2]；第二個領域是可以影響現(xiàn)實物理世界的專用控制系統(tǒng)，包括但不局限于發(fā)電站、油庫等基礎設施。兩個領域在范圍與功能上完全不同，根據(jù)美國國家標準技術局2020年3月發(fā)布的《信息系統(tǒng)、組織安全與隱私控制5.0》，通用信息系統(tǒng)是以信息存儲、處理和交互為目的，包括通用計算系統(tǒng)、工業(yè)和過程控制系統(tǒng)、信息物理系統(tǒng)、超級計算機、武器系統(tǒng)、通信系統(tǒng)、環(huán)境控制系統(tǒng)、嵌入式設備等多種系統(tǒng)的計算平臺，這些計算平臺依賴裝有多種通用的軟件、固件的電子計算機來實現(xiàn)多種核心任務和功能[3]。信息系統(tǒng)內(nèi)部發(fā)生的一系列變化只影響信息的正誤和傳輸，并不直接作用于現(xiàn)實物理世界，通信協(xié)議與設備零部件都是市場化、通用的標準化產(chǎn)品，在地理覆蓋范圍上更為廣闊，互聯(lián)網(wǎng)作為最大的廣域網(wǎng)，可以實現(xiàn)世界任何位置的互聯(lián)互通；同樣，根據(jù)美國國家標準技術局2015年5月發(fā)布的《工業(yè)控制系統(tǒng)安全指南2.0》，專用控制系統(tǒng)以對物質或能量進行操縱和運輸為目的，包括數(shù)據(jù)采集與監(jiān)視系統(tǒng)、分布式控制系統(tǒng)和可編程邏輯器件等多種類型，專用控制系統(tǒng)通過電力、機械、水力和氣動等裝置實現(xiàn)對現(xiàn)實物理世界物質和能量狀態(tài)的改變[4]，通信協(xié)議與設備零部件大都是專用、定制的產(chǎn)品。專用控制系統(tǒng)在地理覆蓋范圍上較小，主要用于企業(yè)內(nèi)部通信與生產(chǎn)活動的遠程控制，這類網(wǎng)絡更強調私密性和穩(wěn)定性。通用信息系統(tǒng)與專用控制系統(tǒng)區(qū)分的核心維度在于架構、功能與拓撲結構，而與系統(tǒng)是封閉還是開放無關，例如一些政府和企業(yè)私有或保密網(wǎng)絡雖然是封閉網(wǎng)絡，但是其功能仍是用于信息交互，所采用的架構、軟硬件、通信協(xié)議和拓撲結構等與互聯(lián)網(wǎng)并無本質區(qū)別，因此，這類網(wǎng)絡實質上仍屬于通用信息系統(tǒng)的研究范疇之內(nèi)；相反，民用企業(yè)的部分專用控制系統(tǒng)雖然部分接入了信息系統(tǒng)，乃至互聯(lián)網(wǎng)，但是控制模塊的架構、軟硬件和通信協(xié)議與通用信息系統(tǒng)有本質的區(qū)別，因此仍然屬于專用控制系統(tǒng)的研究范疇。

針對通用信息系統(tǒng)的網(wǎng)絡攻擊一般不受物理空間的限制，而針對專用控制系統(tǒng)的網(wǎng)絡攻擊則大多需要將網(wǎng)絡武器通過社會工程學手段以物理方式向內(nèi)部網(wǎng)絡進行滲透。值得注意的是，專用控制系統(tǒng)與通用信息系統(tǒng)呈現(xiàn)出逐漸融合的趨勢，專用控制系統(tǒng)將逐步或局部接入以互聯(lián)網(wǎng)為核心的通用信息系統(tǒng)，通過互聯(lián)網(wǎng)實施遠程網(wǎng)絡攻擊并直接影響現(xiàn)實物理世界將成為可能，這類融合網(wǎng)絡攻擊將對國家安全造成極大的危害。

1.2國家間網(wǎng)絡沖突國家間網(wǎng)絡沖突根據(jù)沖突領域的不同而分為信息系統(tǒng)內(nèi)網(wǎng)絡沖突與跨域網(wǎng)絡沖突兩類。信息系統(tǒng)內(nèi)網(wǎng)絡沖突是指一國通過網(wǎng)絡技術手段，對另一國網(wǎng)絡通信內(nèi)容進行竊取和篡改，或對其通信服務能力進行干擾，甚至完全切斷正常通信和服務能力的沖突模式；而跨域網(wǎng)絡沖突是指一國除網(wǎng)絡技術手段外，輔之以必要的社會工程學手段，對他國關鍵基礎設施的專用控制系統(tǒng)進行物理滲透，從而干擾控制指令的傳達，甚至篡改控制指令以達到對物理世界的影響和破壞的沖突模式。簡單地說，國家間網(wǎng)絡沖突是擴展到網(wǎng)絡空間的國家間敵對活動[5]。

2 網(wǎng)絡攻防視角下國家間網(wǎng)絡沖突的前提假定

2.1前提假定1：雙邊網(wǎng)絡沖突與理性國家行為體假定盡管多國同時對同一國進行網(wǎng)絡攻擊的現(xiàn)象是可能存在的，但往往這些國家彼此之間缺乏協(xié)調與合作，因此，雙邊網(wǎng)絡沖突仍然是研究的基本單元和類別。其次，理性國家行為體假定是古典現(xiàn)實主義理論的核心假設之一，在本文中具體指參與網(wǎng)絡沖突的行為主體必須是主權國家或者有主權國家授權、支持的理性行為體。因此，本文研究的沖突類別為國家間雙邊網(wǎng)絡沖突。

雙邊網(wǎng)絡沖突與理性國家行為體假定的必要性主要體現(xiàn)在以下三點：第一，雙邊沖突假定限定了沖突的類別和范圍，保證了研究的針對性和可靠性，理性國家行為體假定使得沖突雙方都具有較高的網(wǎng)絡攻防水平，具有長時間內(nèi)持續(xù)開發(fā)、維護專用網(wǎng)絡武器的能力，只有雙方具備相近的網(wǎng)絡能力水平，網(wǎng)絡攻防平衡才有討論與研究的基礎；第二，雙邊沖突和理性國家行為體假定保證了主權國家會基于本國利益最大化作出正確的戰(zhàn)略判斷和政策選擇，有效管控危機，避免沖突升級，甚至陷入熱戰(zhàn)[6]；第三，雙邊沖突和理性國家行為體假定也保證了網(wǎng)絡沖突的政治屬性，網(wǎng)絡沖突作為政治活動的一種政策工具，仍然是政治活動的延續(xù)，網(wǎng)絡攻擊的實施必然存在政治訴求，這不僅很好地解釋了技術上的進攻優(yōu)勢與現(xiàn)實中網(wǎng)絡攻防大致平衡之間的矛盾，而且緩解了網(wǎng)絡歸因問題帶來的技術挑戰(zhàn)[7]。理性國家行為體假定將非國家行為體排除在外并不意味著非國家行為體不具備定向網(wǎng)絡攻擊的能力和水平，只是難以將這種高能力水平長時間維持。

2.2基本假定2：網(wǎng)絡攻擊和防御能力衡量指標假定網(wǎng)絡攻擊和防御能力構建都涉及零日漏洞的積累和利用，即對軟件開發(fā)商及用戶未知的系統(tǒng)、軟件或協(xié)議漏洞進行挖掘和利用，因此對漏洞的發(fā)現(xiàn)和積累能力可以作為衡量網(wǎng)絡攻防能力的一個客觀指標[8]。即使是分布式拒絕訪問攻擊，雖然不需要入侵目標系統(tǒng)，但是僵尸網(wǎng)絡的構建也離不開對漏洞的利用。例如2010年攻擊伊朗納坦茲鈾濃縮基地的震網(wǎng)病毒利用了Windows操作系統(tǒng)的MS10-046漏洞、MS10-061漏洞和MS08-067等漏洞；2011年發(fā)現(xiàn)的盜竊信息木馬Duqu利用了隱蔽的組件漏洞，即win32k.sys的字體規(guī)范解析器組件。

在同等條件下，攻守雙方挖掘漏洞的過程是彼此獨立，互不干擾的，挖掘漏洞的多少與累積投入規(guī)模呈正相關關系，主權國家的投入規(guī)模是一個泛化的概念，人力成本、經(jīng)濟成本等都可以作為參考指標之一。如果漏洞數(shù)量有限，那進攻一方在前期將占據(jù)優(yōu)勢，因為進攻方發(fā)掘的漏洞尚未得到修復，可用的有效漏洞數(shù)量較多，但隨著時間的推移，防御方發(fā)現(xiàn)所有漏洞后，攻擊方因沒有可用有效漏洞而無計可施[9](如圖1所示，數(shù)據(jù)以漏洞總量為10為例，運用競爭成功函數(shù)計算而得)。

圖1 有效漏洞數(shù)量期望值隨攻防投入規(guī)模比變化曲線圖

但實際上，漏洞數(shù)量處于不斷增長的狀態(tài)中，漏洞增長來源于兩個大方面：硬件的更新?lián)Q代和系統(tǒng)功能拓展、升級。在漏洞增長得足夠快的情況下，足以延續(xù)和鞏固網(wǎng)絡進攻優(yōu)勢，甚至在某一產(chǎn)品的漏洞尚未完全發(fā)現(xiàn)并修復的情況下，該產(chǎn)品就可能已經(jīng)因落后而淘汰。產(chǎn)品過快的更新?lián)Q代也并不完全有利于攻擊者，攻擊者也面臨著挖掘的漏洞還未經(jīng)使用就已經(jīng)失去作用的困境，但總體而言，對于漏洞的挖掘效率和數(shù)量可以作為衡量攻防雙方能力水平的一個重要參考指標。

2.3基本假定3：進攻成功條件假定網(wǎng)絡攻防勝負判定標準與網(wǎng)絡攻擊的對象和目標緊密相關[10]，以信息系統(tǒng)為對象的低烈度網(wǎng)絡沖突根據(jù)攻擊發(fā)起國目標的不同分為兩種類型，即信息內(nèi)容型與信息服務型，信息內(nèi)容型的成功標準為順利對防御目標網(wǎng)絡實施隱蔽滲透，保持長時間穩(wěn)定的情報信息獲取能力[11]，如2012年在伊朗發(fā)現(xiàn)的焰火病毒，長期潛伏于目標系統(tǒng)獲取電子郵件或密碼等信息；信息服務型則需要對防御方提供信息服務的能力進行干擾，造成一段時長的信息服務能力降級乃至癱瘓，如2008年對格魯吉亞的網(wǎng)絡攻擊癱瘓了政府和媒體網(wǎng)站。由于信息服務型網(wǎng)絡沖突常作為輔助行動而存在，因此干擾或癱瘓對方網(wǎng)絡信息服務能力的時長受上一層級具體戰(zhàn)略目標影響。同樣，以現(xiàn)實物理世界基礎設施和工業(yè)控制系統(tǒng)為對象的跨域網(wǎng)絡沖突根據(jù)目標的不同也有兩種類型，即基礎設施服務型與基礎設施控制型，服務型的成功標準為對基礎設施的運行狀態(tài)進行干擾和破壞，例如2020年3月，鋼鐵制造商EVRAZ在北美分支機構的鋼鐵生產(chǎn)廠由于勒索軟件Ryuk的攻擊而生產(chǎn)中斷；而控制型的成功標準必須通過對工業(yè)控制系統(tǒng)服務器的入侵實現(xiàn)對物理設備控制權的奪取[12]，例如震網(wǎng)病毒修改系統(tǒng)參數(shù)并繞過監(jiān)管，嚴重影響了伊朗對納坦茲鈾濃縮試驗和生產(chǎn)的控制能力?？傮w而言，對基礎設施實施控制比實施干擾困難許多，成功實施控制必須入侵控制系統(tǒng)服務器，并在缺乏實時控制的條件下根據(jù)預設的指令自主工作，但成功實施干擾并不一定需要侵入服務器本身，例如拒絕訪問攻擊就是一個典型的例子。

3 網(wǎng)絡攻防視角下動態(tài)分層網(wǎng)絡沖突的內(nèi)在邏輯

為全面分析國家間雙邊網(wǎng)絡沖突的全貌，本文在3個基本假定的基礎上對網(wǎng)絡攻防視角下的動態(tài)分層網(wǎng)絡沖突分析框架進行了建構(如圖2所示)。依據(jù)沖突領域將國家間雙邊網(wǎng)絡沖突分為兩大類：信息系統(tǒng)內(nèi)網(wǎng)絡沖突和跨域網(wǎng)絡沖突，分別對應大量且頻發(fā)的網(wǎng)絡攻擊現(xiàn)實與有限的網(wǎng)絡空間失序混亂。兩大類沖突類型依據(jù)沖突目標又可以細分四類：基礎設施控制型、基礎設施服務型、信息服務型和信息內(nèi)容型。這4種類型的網(wǎng)絡沖突在生命周期、專用性、技術門檻、經(jīng)濟成本以及造成的影響等方面都有較大的差異，這些變量的相對強弱可以從圖2右側曲線高低直觀的看出來。清晰的領域界定有助于避免不同類型網(wǎng)絡威脅的泛化和混淆，也有助于防止對網(wǎng)絡攻擊門檻與成本的低估，從而對網(wǎng)絡攻防平衡建立清晰和全面的認識[13]，針對不同類型的網(wǎng)絡沖突采取針對性的安全措施。

圖2 網(wǎng)絡攻防視角下的動態(tài)分層網(wǎng)絡沖突邏輯圖

3.1網(wǎng)絡沖突類別差異的邏輯內(nèi)核：信息系統(tǒng)與工業(yè)控制系統(tǒng)的區(qū)別信息系統(tǒng)內(nèi)網(wǎng)絡沖突與跨域網(wǎng)絡沖突在成本、影響與發(fā)展變化規(guī)律上產(chǎn)生差異的邏輯內(nèi)核在于信息系統(tǒng)與工業(yè)控制系統(tǒng)之間的顯著區(qū)別。

第一，拓撲結構差異決定主要沖突類型。信息系統(tǒng)，尤其是互聯(lián)網(wǎng)的拓撲結構是去中心化的，而工業(yè)控制系統(tǒng)為了統(tǒng)籌兼顧，其拓撲結構往往是以核心控制系統(tǒng)為中心，存在明顯的等級結構[4]，且這些等級結構需要根據(jù)實際生產(chǎn)進行定制，不同行業(yè)，甚至相同行業(yè)之間都不盡相同。這種差異對于網(wǎng)絡安全的影響是深遠的，去中心化的結構意味著無差異化，所有連接點都可能成為攻擊點，而等級化的拓撲結構在犧牲部分信息自由交互能力的代價下贏得了更高程度的安全，越高等級的節(jié)點越靠近網(wǎng)絡的中心，因此也更安全。拓撲結構的差異意味著通用信息系統(tǒng)更容易受非定向、無差別攻擊的影響，因此信息系統(tǒng)內(nèi)網(wǎng)絡沖突的核心類型為信息服務型網(wǎng)絡沖突，而專用控制系統(tǒng)更容易受定向、蓄意網(wǎng)絡攻擊的影響，基礎設施控制權的爭奪仍將是國家間網(wǎng)絡沖突的焦點。

第二，自動化程度與控制復雜程度影響網(wǎng)絡攻防平衡。信息系統(tǒng)設計初衷是為了信息的自由交互，因此通信協(xié)議與控制邏輯都是通用的，且控制和通信可以實現(xiàn)完全自動化，不需要人工干涉；而工業(yè)控制系統(tǒng)在設計之初就更注重于單向控制而非雙向交互，且直接作用于物理世界，因此人機交互過程也更為復雜，信息控制專家需要和物理領域專家有著良好的協(xié)作才能實現(xiàn)工業(yè)控制系統(tǒng)對物理世界的影響，現(xiàn)有技術水平仍然無法實現(xiàn)完全的自動化，部分環(huán)節(jié)仍離不開人工的干預[14]。信息系統(tǒng)的通用性與自動化為遠程網(wǎng)絡攻擊打開了方便之門，通用與自動化網(wǎng)絡攻擊武器的出現(xiàn)降低了技術和成本門檻；而半自動化在犧牲便利特性的同時，人工調整干預的節(jié)點中斷了網(wǎng)絡攻擊指令的傳播路徑，從系統(tǒng)維護的復雜性和對跨學科專業(yè)知識的要求中不難發(fā)現(xiàn)工業(yè)控制系統(tǒng)技術壁壘對自身網(wǎng)絡安全起到的積極保護作用。通用性與自動化大幅度降低了發(fā)動網(wǎng)絡攻擊的經(jīng)濟和技術門檻，造成網(wǎng)絡進攻在通用信息系統(tǒng)內(nèi)的非對稱優(yōu)勢，通用、模塊化且頻發(fā)的無差別網(wǎng)絡攻擊成為現(xiàn)實；專用性與半自動化將控制系統(tǒng)網(wǎng)絡沖突限制在了較高的經(jīng)濟成本和技術門檻之上，防御仍在在專用控制系統(tǒng)占據(jù)優(yōu)勢。

第三，風險來源指導網(wǎng)絡沖突防御方向。信息系統(tǒng)的拓撲結構、通用性和自動化使得其風險來源更多是代碼本身的漏洞和配置上存在的缺陷，因而外部威脅是信息系統(tǒng)的主要風險來源；而對于工業(yè)控制系統(tǒng)而言，有限的互聯(lián)網(wǎng)接入、專用性和需要人工干預意味著內(nèi)部人員的素質和可靠性將具有更重要的地位和價值。風險來源的不同，防御手段和措施也將不同，信息系統(tǒng)更加注重技術手段防護，而工業(yè)控制系統(tǒng)更加注重內(nèi)部人員的安全意識和忠誠度。

3.2跨域網(wǎng)絡沖突的可能性跨域網(wǎng)絡沖突的復雜與困難并不意味著能夠給物理世界帶來破壞的網(wǎng)絡攻擊無法實現(xiàn)，美國的極光測試證明了通過網(wǎng)絡攻擊摧毀發(fā)電機的現(xiàn)實可能性，針對伊朗納坦茲鈾濃縮廠的震網(wǎng)攻擊更是表明即使與互聯(lián)網(wǎng)進行完全的物理隔離，也無法給工業(yè)控制系統(tǒng)提供完全的安全保證。但與此同時，也無需對工業(yè)基礎設施安全的前景過于悲觀，這兩次跨域網(wǎng)絡攻擊具有一定的特殊性，在證明跨域網(wǎng)絡攻擊現(xiàn)實可能性的同時，更昭示了實施此類攻擊的技術門檻極高[15]。極光測試是美國能源部在愛達荷實驗室進行的測試，是自己對自己的進攻，對發(fā)電機的型號、構造與物理原理都十分熟悉，愛達荷實驗室也可以為代碼調試提供近乎真實的測試環(huán)境[16]，而現(xiàn)實中針對基礎設施的攻擊則缺乏這些積極的外部環(huán)境和條件，更不用提完全與互聯(lián)網(wǎng)物理隔離的核設施了。核技術本身就被嚴格控制，掌握核技術的國家在全球范圍內(nèi)都屈指可數(shù)，實施針對核設施的網(wǎng)絡攻擊并控制核設施運行在沒有核技術專家的參與下是不可能完成的任務。

因此，對跨域網(wǎng)絡攻擊保持必要和有限度的警惕是有必要的，維護基礎設施安全的持續(xù)努力也存在重要意義和價值，尤其是在關鍵基礎設施正在加速向信息化與智能化邁進，工業(yè)控制系統(tǒng)與信息系統(tǒng)的融合將更為緊密的時代背景下，保持關鍵基礎設施一定的獨有特性與拓撲結構的模糊性是相當有必要的。此外，加強人員安全意識培養(yǎng)和內(nèi)部安全管理在基礎設施安全中的突出地位必須得到更高程度的重視，以澳大利亞馬盧奇污水泄露事故為代表的一系列工業(yè)控制系統(tǒng)安全事件都源自內(nèi)部攻擊、內(nèi)部威脅和內(nèi)部人員，防范內(nèi)部安全，增強內(nèi)部人員基本安全防護意識和能力在防范跨域網(wǎng)絡攻擊中扮演著極端重要的角色。雖然對關鍵基礎設施實施網(wǎng)絡攻擊并干擾其正常運行的確可以實現(xiàn)，但控制基礎設施的運行對非國家行為體而言仍是難以完成的，有鑒于此，對于基礎設施的防護仍必須得到重視，尤其是來自供應鏈和內(nèi)部的安全風險。

4 動態(tài)分層分析框架下的國家間雙邊網(wǎng)絡沖突

通過網(wǎng)絡攻擊和防御能力衡量指標假定及定性分析，不難判斷出國家間網(wǎng)絡攻防態(tài)勢的時間依賴性；工業(yè)控制系統(tǒng)在拓撲結構、通信協(xié)議等與通用信息系統(tǒng)的巨大差異決定了跨域網(wǎng)絡沖突的防御優(yōu)勢；信息系統(tǒng)在享受通用性與標準化帶來高速發(fā)展紅利的同時也帶來了巨大的脆弱性。本節(jié)將在上文的基礎上，將網(wǎng)絡攻防視角下國家間動態(tài)分層網(wǎng)絡沖突的分析框架應用于網(wǎng)絡攻防平衡的演變趨勢分析、跨域網(wǎng)絡沖突防御優(yōu)勢分析、通用性與脆弱性悖論分析中來檢驗分析框架的可靠性和準確性。

4.1理想狀態(tài)下網(wǎng)絡攻防平衡時間穩(wěn)定性分析根據(jù)理性國家行為體假定，主權國家為了網(wǎng)絡空間安全，無論是出于進攻還是防御的目的，必然會基于國家利益，在國家總體安全的總體框架下投入資源挖掘零日漏洞以維護國家網(wǎng)絡安全，各國儲存的零日漏洞數(shù)量隨著時間而逐漸增加，從時間的維度來看信息系統(tǒng)安全與網(wǎng)絡攻防狀態(tài)，結合網(wǎng)絡攻擊和防御能力衡量指標假定及定性分析不難推理出這樣的結論：信息系統(tǒng)領域內(nèi)的網(wǎng)絡進攻優(yōu)勢并非一成不變，而是處于快速的動態(tài)變化之中，本文援引雙邊網(wǎng)絡事件與爭端數(shù)據(jù)庫整理的2000-2016年間266次國家間雙邊網(wǎng)絡沖突事件統(tǒng)計結果[17]，并逐年匯總沖突總量進行分析(如圖3所示)。

通過圖像可以清晰地看出國家間雙邊網(wǎng)絡沖突年度統(tǒng)計量并非隨著時間單調變化，而是呈現(xiàn)周期性的上、下波動，存在2000-2004年、2004-2010年、2010-2012年和2012-2016年四個明顯的波動周期，在每個周期內(nèi)，沖突數(shù)量都表現(xiàn)出先增加后減少的規(guī)律，根據(jù)https://www.cvedetails.com統(tǒng)計的年度漏洞量數(shù)據(jù)(如表1所示)，發(fā)現(xiàn)國家間雙邊網(wǎng)絡沖突量與年度漏洞總量呈現(xiàn)高度的相關性，相關系數(shù)高達0.7229，且在0.005的統(tǒng)計水平上顯著。因此，本文認為信息系統(tǒng)內(nèi)的網(wǎng)絡攻防平衡具有較強的時間依賴性，并隨時間動態(tài)地周期性變化，變化速度遠遠超過傳統(tǒng)攻防理論討論的近代軍事科技的發(fā)展速度。

圖3 2000-2016年國家間雙邊網(wǎng)絡沖突事件逐年匯總折線統(tǒng)計圖

表1 歷年漏洞數(shù)據(jù)匯總

4.2跨域網(wǎng)絡防御優(yōu)勢分析長久以來，學術界一直未能將信息系統(tǒng)網(wǎng)絡安全與基礎設施網(wǎng)絡安全區(qū)分開來，雖然針對關鍵基礎設施的網(wǎng)絡攻擊可能造成的影響會遠遠超過對信息系統(tǒng)攻擊造成的影響，但無論是從網(wǎng)絡武器的研發(fā)成本還是技術門檻來看，跨域網(wǎng)絡攻擊都要遠遠超過信息系統(tǒng)內(nèi)網(wǎng)絡攻擊。美國早在2005年就開始對工業(yè)控制系統(tǒng)安全進行了獨立和專門的研究，開始發(fā)布工業(yè)控制系統(tǒng)安全指南。通過對現(xiàn)有公開記錄的國內(nèi)外涉及物理世界基礎設施的網(wǎng)絡安全事件進行統(tǒng)計和梳理，這類網(wǎng)絡攻擊的對象主要集中在能源和關鍵制造業(yè)，例如電力系統(tǒng)、水利系統(tǒng)和運輸系統(tǒng)等，且針對這些工業(yè)控制系統(tǒng)的攻擊絕大部分只能造成服務的短暫中止，奪取控制權限并造成物理損傷的案例屈指可數(shù)(震網(wǎng)攻擊與極光測試)，但能源部門暫停服務造成的附帶損傷將越來越嚴重，危害程度不容忽視。在有記錄可尋的工業(yè)控制系統(tǒng)網(wǎng)絡安全事故中，來自內(nèi)部的攻擊事件和內(nèi)部操作失誤導致的安全事件占了相當大的比例，來自外部的攻擊卻很少。因此，無論從頻率還是風險來源來看，目前工業(yè)控制系統(tǒng)網(wǎng)絡安全威脅要遠遠低于信息系統(tǒng)安全風險。換言之，網(wǎng)內(nèi)以信息系統(tǒng)為目標的低烈度沖突進攻優(yōu)勢在突破網(wǎng)絡邊界后迅速消退。同樣援引雙邊網(wǎng)絡事件與爭端數(shù)據(jù)庫整理的2000-2016年間266次國家間雙邊網(wǎng)絡沖突事件統(tǒng)計結果，結合3條前提假定，數(shù)據(jù)庫符合條件的樣本量為190個，其中信息系統(tǒng)內(nèi)網(wǎng)絡沖突177個，占樣本總量的93.16%，進攻成功樣本數(shù)為156，占比88.14%，失敗樣本數(shù)為21，占比11.56%；跨域網(wǎng)絡沖突13個，占樣本總量的6.84%，其中進攻成功樣本數(shù)為12，占比92.3%，進攻失敗樣本數(shù)為1，占比7.3%。信息系統(tǒng)內(nèi)網(wǎng)絡沖突占據(jù)了國家間網(wǎng)絡沖突形式的絕大部分，是國家間在網(wǎng)絡空間互動與沖突的基本形態(tài)，從普遍性上初步印證了信息系統(tǒng)進攻優(yōu)勢的存在。雖然在信息系統(tǒng)網(wǎng)絡沖突進攻成功率略低于跨域網(wǎng)絡沖突，但是不容忽視的現(xiàn)象是，在信息系統(tǒng)內(nèi)包含大量弱國對強國進攻并成功的案例，而在跨域網(wǎng)絡沖突中，成功的無一例外都是強國對弱國的進攻?？缬蚓W(wǎng)絡沖突結果與網(wǎng)絡實力的強相關性也再次確認了控制系統(tǒng)防御優(yōu)勢大于信息系統(tǒng)。

4.3通用性與脆弱性悖論分析[18]供應鏈多樣化、拓撲架構模糊化將有利于網(wǎng)絡防御，網(wǎng)絡軟硬件、網(wǎng)絡拓撲結構的標準化與龐大用戶基數(shù)將瓦解模糊性帶來的防御優(yōu)勢，這一基本結論系統(tǒng)而全面的指出了技術門檻與經(jīng)濟成本降低的根本原因，也解釋了跨域網(wǎng)絡沖突防御優(yōu)勢的來源。傳統(tǒng)信息系統(tǒng)與工業(yè)控制系統(tǒng)的發(fā)展方向是不同的，通用性、兼容性、普適性與經(jīng)濟性是傳統(tǒng)信息系統(tǒng)發(fā)展的首要方向，帶來的必然結果就是規(guī)范統(tǒng)一的信息設備架構、傳輸協(xié)議與文件格式。通用性與標準化帶來的副產(chǎn)品之一就是龐大的規(guī)模效應。通用性的硬件和軟件在適用范圍上更為廣泛，因而研發(fā)成本攤派到單位軟硬件上就會大幅降低。

而企業(yè)在開發(fā)控制系統(tǒng)時必須向供應商進行深度的定制，不同設備的控制與驅動程序都必須和各自的供應商共同調試。工業(yè)控制系統(tǒng)對穩(wěn)定性的要求極高，因此在控制系統(tǒng)、通信系統(tǒng)以及現(xiàn)場設備之間的銜接至關重要，時間延遲也必須控制在一定范圍內(nèi)，所以地理分布也必然會影響系統(tǒng)的總體拓撲結構設計。總而言之，高度的定制化與通用模版的缺失雖然給基礎設施與工業(yè)控制系統(tǒng)的建設與維護帶來了麻煩，增加了成本，但同時也給控制系統(tǒng)帶來了模糊性的防御優(yōu)勢。從防護角度來看，由于工業(yè)控制系統(tǒng)依據(jù)企業(yè)自身情況而進行定制，因而也不存在針對某一行業(yè)的通用攻擊手段，針對基礎設施的網(wǎng)絡攻擊幾乎都是定制、定向的專門攻擊，這就大大提高了發(fā)動網(wǎng)絡攻擊的技術門檻。根據(jù)國家信息安全漏洞庫的統(tǒng)計數(shù)據(jù)，截至2020年11月，谷歌開源的手機操作系統(tǒng)Android，可在多個品牌和多種硬件型號上運行，共有1 697條漏洞記錄，而蘋果公司的手機封閉式操作系統(tǒng)Iphone_OS只能在自家的產(chǎn)品上運行，硬件也都統(tǒng)一型號，只有717條漏洞記錄，不到Android的一半[19]。

5 結 語

在信息系統(tǒng)領域內(nèi)的網(wǎng)絡進攻優(yōu)勢主要來源于軟、硬件與通信協(xié)議的通用性和標準化，而工業(yè)控制系統(tǒng)內(nèi)的網(wǎng)絡防御優(yōu)勢則是依靠有限的互聯(lián)網(wǎng)接入與內(nèi)部拓撲結構、通信協(xié)議和軟、硬件的專用性來支撐。但與此同時，信息技術的持續(xù)進步、工業(yè)控制系統(tǒng)向信息系統(tǒng)的轉向與新興科技的發(fā)展都在時刻改變，并將最終重塑網(wǎng)絡空間攻防態(tài)勢。在網(wǎng)絡攻防視角下審視國家間網(wǎng)絡沖突，以動態(tài)分層的分析框架來指導網(wǎng)絡安全實踐時，既要對兩個領域的不同現(xiàn)實特點進行有區(qū)別性和針對性的考慮，也要注意到二者正在發(fā)生的融合趨勢?，F(xiàn)階段，由于大部分工業(yè)控制網(wǎng)絡仍處于部分或完全的互聯(lián)網(wǎng)物理隔離狀態(tài)下，跨域網(wǎng)絡沖突仍處于較為初級的階段，網(wǎng)絡攻擊武器必須通過物理途徑進行滲透，且即使成功滲透之后也難以繼續(xù)保持對攻擊活動的有效控制。但隨著信息技術的不斷發(fā)展，化工廠、生物制藥廠、造紙業(yè)、食品業(yè)與釀酒業(yè)等企業(yè)生產(chǎn)逐漸從半自動化向全自動化和智能化轉變，與此同時，眾多影響國計民生的基礎設施也都將能夠實現(xiàn)通過公用互聯(lián)網(wǎng)來完成狀態(tài)監(jiān)測、操控和運營，例如供水系統(tǒng)、供電系統(tǒng)、污水處理系統(tǒng)、石油和天然氣傳輸系統(tǒng)、公共交通調度系統(tǒng)、鐵路調度系統(tǒng)和航空管制系統(tǒng)等，與信息系統(tǒng)融合后的工業(yè)控制系統(tǒng)將面臨更嚴峻的網(wǎng)絡威脅，對關鍵基礎設施的遠程網(wǎng)絡滲透、攻擊、干擾和持續(xù)控制有可能成為現(xiàn)實。

因此在向信息化和智能化轉變的同時要提前防范，既要重視建立安全、自主和可控產(chǎn)業(yè)鏈，保持內(nèi)部網(wǎng)絡拓撲結構模糊性和部分關鍵控制設備的專有通信協(xié)議等措施的重要價值，也要關注新興技術革命對網(wǎng)絡攻防態(tài)勢的顛覆性影響，無論具體的科學突破以哪種形式展現(xiàn)，信息技術的發(fā)展都是以算力、算法、數(shù)據(jù)和通信為基礎的。首先是算力發(fā)面，量子計算與量子計算機的發(fā)展將使算力得到革命性的提升，但目前的量子計算機研究仍處于起步階段，只能在特定領域發(fā)揮作用，例如在密碼分析、信息搜索與化學模擬方面的表現(xiàn)大大優(yōu)于傳統(tǒng)計算機[20]。其次是算法，近年來，人工智能已經(jīng)在多項領域實現(xiàn)了突破，如圖片、語音識別領域和無人駕駛領域等，在同等算力的條件下，通過人工智能等算法將使得運算效率得到極大的提高[21]。第三，算力與算法需要龐大的數(shù)據(jù)樣本提供訓練，物聯(lián)網(wǎng)與大數(shù)據(jù)提供了海量的基礎數(shù)據(jù)與分析工具，大數(shù)據(jù)并不僅僅是數(shù)據(jù)量的幾何增長，更是通過對海量數(shù)據(jù)的分析進行信息提取的能力。最后是通信，高速穩(wěn)定的通信能力為云技術的實現(xiàn)提供了基礎，5G技術提供了高吞吐量與低延時的通信能力，計算、存儲模塊與顯示模塊的物理分離可以通過強有力的通信能力而得到實現(xiàn)。因此，人工智能、量子計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、5G和云技術作為當代信息技術在算力、算法、數(shù)據(jù)與通信方面的全新技術革命表現(xiàn)形式，將徹底改變現(xiàn)有的網(wǎng)絡空間生態(tài)，掌握這些新興技術的國家將在網(wǎng)絡空間掌握巨大的優(yōu)勢，非國家行為體在網(wǎng)絡空間的非對稱優(yōu)勢將最終喪失。美國國防部在2018年12月發(fā)布了《云技術戰(zhàn)略》，蘭德公司在2020年發(fā)布《在人工智能與機器學習領域保持先進》的戰(zhàn)略報告，同年，美國國家量子協(xié)調辦公室發(fā)布《美國量子網(wǎng)絡的戰(zhàn)略視角》，在5G技術的發(fā)展上更是大力推行高通標準，遏制華為在領域內(nèi)的影響，從美國的國家實踐中不難看出這些核心領域對于未來網(wǎng)絡安全的重要意義和價值。