基于漏洞管理推動網絡軍控實踐的思考
摘 要:
網絡空間戰略穩定性至少包括危機穩定性和軍備競賽穩定性。其中,危機穩定性可通過限制可能被誤解的網絡行動、為對方了解自己的網絡行動提供便利等建立信任措施予以實現。與之相比,軍備競賽穩定性能夠從根本上削弱網絡戰風險,更能決定網絡空間的長遠穩定。但由于網絡空間的特殊屬性,其軍備競賽較為隱秘,因此傳統的軍控理論及實踐難以直接應用到網絡空間。考慮到各國針對網絡漏洞已經形成普遍的管控共識、成熟的通報機制, 且漏洞作為軍備資源的自殺傷效應已經得到展現,未來可基于漏洞管理逐步構建具有網絡空間特色的軍控理論及實踐體系。
00 引 言
軍備本身不是目的,它只是保衛國家安全的一種方法;同樣地,軍備控制是達成同一目標的另一種方法。網絡武器和網絡攻擊的出現, 刺激產生了新的軍備競賽。長期以來,學者將網絡武器與核武器進行類比,但在擴散性方面, 網絡武器展現出更嚴重的安全威脅。目前,世界公認的擁核國家有 9 個。早在 2013 年,聯合國裁軍研究所的調查顯示,已有 47 個國家組建了網絡戰部隊,組建非軍方網絡安全機構的國家達到了 67 個。越來越多的國家卷入網絡軍備競賽,導致網絡武器泛濫。2021 年 3 月,英國政府發布聲明稱,在面臨“可能產生與生化物武器相當影響的新興技術攻擊”時,英國將保留使用核武器的權力。媒體援引英國政府內部人士說法,網絡攻擊屬于可能觸發英國核打擊的“新興技術”。4 月,伊朗納坦茲地下核設施發生爆炸。據以色列媒體稱,以色列摩薩德對伊朗納坦茲核設施進行的網絡攻擊導致核設施斷電。這標志著網絡虛擬空間與現實空間的戰爭壁壘被徹底擊穿,網絡軍控已迫在眉睫。
01 已有網絡軍控實踐面臨挑戰
網絡空間戰略穩定性至少包括危機穩定性和軍備競賽穩定性。其中,危機穩定性可通過限制可能被誤解的網絡行動、為對方了解自己的網絡行動提供便利等建立信任措施予以實現。與之相比,軍備競賽穩定性能夠從根本上削弱網絡戰風險,更能決定網絡空間的長遠穩定。國際網絡軍控始于20 世紀90 年代,最初稱為“信息戰軍備控制”,俄羅斯是初期相關倡議的主要發起者。在 2009 年奧巴馬就任美國總統之前, 美對國際網絡軍控始終持消極態度,直接阻礙了其發展。在多邊領域,美國于 2009 年 10 月首次做出決定不再反對聯合國大會“探討以可能方式強化全球層面信息安全”的決議。2010 年7 月,美、俄、中等 15 個國家的網絡安全專家與外交官員,向聯合國秘書長遞交一系列建議, 呼吁各國展開更有效合作,就“制定信息與通信技術應用準則、國家在武裝沖突中使用信息與通信技術的影響及其應對措施”等進行探討。這些建議雖無強制約束力,卻是世界主要國家首次就網絡沖突問題達成共識,具有明顯的標志性意義 。國際網絡軍控被提上議事日程已有10 余年時間,受到重視的程度不斷提升。但是, 網絡空間有諸多與傳統領域截然不同的新特點, 直接阻礙了針對網絡武器的國際軍控進程,導致至今尚未達成任何重要條約。其面臨的挑戰主要包括以下幾個方面。
1.1 網絡攻擊模糊的破壞能力削弱軍控共識
20 世紀 40 年代核武器在日本廣島和長崎的使用,已經向世界展示了核武器的破壞力。核武器的先進性以及毀滅性,促使各國共同制定規則和約束戰爭行為。但是在網絡安全領域, 網絡武器的殺傷力有些模糊不定。部分學者認為,網絡武器具備堪比核武器的破壞潛力,但這種毀滅性的打擊還沒出現,普遍的網絡軍控共識也就難以形成。同時,網絡軍控的基本概念界定不清。為監管武器發展與使用,國際網絡軍控必須明確什么是網絡武器、什么樣的網絡攻擊屬于戰爭行為,但相關概念的界定存在諸多爭議。更為危險的是,部分國家相信,可以使用網絡武器產生局部化、暫時性、可逆轉而且有限的破壞效應,并借此實現網絡空間的軍事優勢地位,導致的結果就是網絡攻擊的泛在化。
1.2 網絡武器研發及使用主體超越國家范疇
核武器的原料稀缺度和工藝復雜度,保障了限制核武器擴散的實效。但在網絡空間,網絡攻防技術研發已經高度產業化,武器化的網絡工具正以驚人的速度擴散。火眼公司 2020 年4 月發布漏洞管理報告,總結了過去 7 年全球零日漏洞的利用情況,指出零日漏洞的使用正在變得越來越商品化,大量國家支持的行為體從私營公司購買零日漏洞,開展攻擊活動,預測未來此類活動數量還會持續增加。網絡空間行為主體多元,行動目的多樣,很難確定一國政府在其中的角色,對于源自該國的網絡攻擊難以判定是有意為之、刻意默許還是監察不力, 也就無法基于傳統軍控條約對其追責。此外,網絡設備軍民共用特點突出,軍隊往往與民間混用網絡設施、通信節點和軟硬件,界定國家發動的網絡軍事行動尤其困難。從近年看,地緣沖突出現時,網絡攻擊數量同步抬升已成必然規律。其中,固然有沖突國家將現實矛盾延伸到網絡空間的原因,但是大量民眾、網絡犯罪組織乃至網絡恐怖勢力在國家網絡沖突掩護下的趁亂入局也不容忽視。多樣化的行為主體, 帶來不可控的網絡攻擊泛濫及網絡武器擴散, 能夠將局部的地緣沖突迅速擴大為全球范圍的網絡安全威脅。
1.3 網絡軍控缺少供監督核查的具體標的
軍備控制要行之有效,除形成條約外,還要保證其可核查性。《核不擴散條約》《化學武器公約》《生物武器公約》對大規模殺傷性武器及其原料的存在進行了一些嚴格的限制。縱觀傳統的軍備控制條約,其規范的對象都是看得見摸得著的武器,確保能夠通過核查實現監督程序。但在網絡空間,網絡武器是能夠輕易存貯、復制、刪除的代碼,其研發、使用、擴散極為隱秘,幾乎沒有國家對其網絡武器信息進行主動披露。如果針對網絡武器設計軍控規則,軍控的核查監督將面臨巨大障礙。即使是在網絡武器已被使用的情況下,雖然網絡溯源技術層出不窮,但由于各類反制技術頻繁出現,攻擊源頭、攻擊動因和攻擊路徑仍難以查明。目前在網絡入侵中廣泛使用的僵尸網絡,不僅可以隱匿黑客的電腦 IP 地址,而且可以將該地址映射到其他電腦上,實施核查監督將面臨重重障礙。
02 基于漏洞管理的網絡軍控條件趨于成熟
2010 年曝光的“震網”病毒,具有不同于普通黑客攻擊、針對工業基礎設施的物理破壞能力,其能力生成的關鍵在于對多個零日漏洞的綜合運用。長期以來,個別國家借網絡偵察名義對其網絡攻擊行為進行辯護,雖然網絡偵察與網絡攻擊不易區分,但兩者工作原理都高度依賴對系統漏洞的挖掘和利用。相較于隱秘的網絡武器,漏洞是更加公開的存在,卻是打造高破壞性網絡武器的關鍵。因此,漏洞管理或將孕育網絡軍控的雛形。
2.1 各國公認漏洞管理是網絡安全的關鍵
軍控協議的達成需要基于廣泛的國家共識。目前,各國已普遍認識到漏洞武器化正對國家安全、經濟發展和隱私保護帶來嚴峻挑戰。即使是長期對全球網絡軍控持消極態度的美國,也一直將漏洞管理作為網絡安全戰略的重要內容, 持續投入力量建立開放靈活的漏洞收集、發布等機制。特朗普當選后,美國政府更是將漏洞管理作為網絡安全政策的優先項。2018 年 11 月, 美國白宮網站發布報告《美國聯邦政府漏洞公平裁決政策和程序》,將“漏洞公平裁決程序” 由“秘密”轉為“公開”,主要規制對象是“新發現且未公開”的漏洞,以平衡“情報收集”“調查事項”和“信息安全保障”三方面的影響 。
2.2 全球及國家層面漏洞披露平臺日益成熟
必要的信息獲取是軍控措施可持續的基礎。目前,漏洞披露已經具備成熟的國際化平臺, 如面向全球黑客的 CVE、ExploitDB 等漏洞披露平臺。此外,中、美、俄、英多國都建立了國家級的漏洞披露平臺。以中國國家信息安全漏洞共享平臺為例,通過集合國家政府部門、重要信息系統用戶、運營商、主要安全廠商、軟件廠商、科研機構、公共互聯網用戶等多類型力量,共同建立了軟件安全漏洞統一收集驗證、預警發布及應急處理體系。雖然各類平臺的信息時效及透明度參差不齊,但仍提供了漏洞信息共享共用的必要支撐,未來可基于此拓展形成必要的網絡軍控信息平臺。而且,從漏洞管理的政策和實踐看,各主要國家在漏洞發現、報送、評估等程序上基本具有一致性。
2.3 漏洞的自殺傷效應初步顯現
軍備與安全的作用并不總是正單調關系 。研究、儲存、部署或者使用過多的火力強大的武器會出現自殺傷效應,這種武器作用的逆序是促使多數國家停止擴大軍備、轉而實施軍控的內在動因。在互聯網時代,漏洞被視為國家級戰略資源,一個國家對漏洞的儲量甚至被視為網絡空間戰力的重要標準。長期以來,國家行為體具有隱藏新發現漏洞的傾向,導致漏洞的披露和修補被延遲,為網絡犯罪或網絡恐怖活動發現并利用這些漏洞提供了更長的時間窗口,從而觸發漏洞的自殺傷效應。目前,美國在漏洞領域占據領先地位,2013 年斯諾登事件揭露美國政府利用其掌握的漏洞資源在全球網絡空間從事情報搜集。2014 年爆發“心臟滴血” 漏洞攻擊,媒體報道美國國家安全局兩年前已知曉該漏洞,并且定期利用該漏洞獲取重要情報 。2016 年,美國國家安全局“永恒之藍” 等網絡工具被竊取,隨后全球爆發基于該工具的網絡勒索病毒,美國亦未能幸免,導致美國囤積漏洞的行為備受質疑。由此可見,雖然漏洞自殺傷效應的全面顯現仍需較長時間,但其影響已初步顯現。
03 構建基于漏洞管理的網絡軍控理論框架
由于網絡空間的特殊屬性,其軍備競賽較為隱秘,傳統的軍控理論及實踐難以直接應用到網絡空間。構建基于漏洞的網絡軍控體系, 需要大量的理論創新和實踐探索。作為這一理論框架的基礎,需要對三個基本問題進行澄清。
3.1 確定監督核查的具體標的
漏洞管理涉及國家政府部門、重要信息系統用戶、運營商、主要安全廠商等多類主體。因此,基于漏洞的網絡軍控,不能涵蓋各類漏洞, 由此導致國家行為與非國家行為、軍事行為與商業行為、重大安全行為與普通安全行為混淆。網絡軍控應針對可能導致關鍵基礎設施受損等重大網絡安全威脅的漏洞,如通用漏洞評分系統判定的分值高于 7 的漏洞。2021 年初披露的Treck 公司軟件存在的漏洞 CVE-2020-25066、CVE-2020-27337,遠程攻擊者可利用這些漏洞 實施DoS 攻擊,對數百萬物聯網設備造成影響。這類漏洞對于網絡武器的價值,類似核生化原料對核武器、生化武器的價值,必須成為未來網絡軍控的重點。在 2015 年《瓦森納協定》的新出口限制禁令中,美國將軟件漏洞視為潛在的武器進行限制和監管,規定在未經特別許可的情況下,禁止在美國、英國、加拿大、澳大利亞和新西蘭等國之外銷售零日漏洞技術及相關產品 。由于新出口限制禁令的目的是保持對漏洞的壟斷和利用優勢,因此該禁令并沒有推動全球范圍的網絡軍控,但是其將軟件漏洞視為軍控標的做法具有開創性。
3.2 界定戰爭企圖的漏洞行為
對戰爭企圖的預判是觸發軍控行為的重要依據。軍控行為大體包括兩種途徑:一是對軍備的量進行控制,包括數量和質量的控制;二是對軍備的使用進行控制。即使是對同一軍控領域,不同國家的側重點也常常存在差異。如在核軍控方面,部分國家強調不使用核武器, 其他國家則通過研發戰術核武器方式降低使用門檻,同時強調核武器不擴散。無論其側重點如何,究其本質始終是對戰爭應對的“端口前 置”,對蘊含戰爭企圖的征兆性行為進行扼阻。網絡空間是基于“比特流”的數字化空間,網 絡空間戰場無聲無息、沒有硝煙,數據以接近“光 速”流動,戰場形勢瞬息萬變,偵攻行動轉換迅速,網絡空間作戰是以接近“光速”進行的 “秒殺”作戰。因此,網絡空間的戰爭意圖判定, 必須充分“前移”,定位在網絡武器的研發階段, 即漏洞的武器化階段。任何試圖對漏洞進行武器化的行為,無論其行為主體,無論其是否針對具體目標,都應視為網絡戰爭企圖。這是觸發網絡軍控的最低標準,也是防范網絡戰爭的 最高準則。
3.3 制定網絡軍控的發展路線
對軍備的量進行控制包括透明、不擴散、限制、凍結、裁減、禁止,其控制強度逐步增強。對軍備使用的控制措施包括不使用、負面安全保證、限制使用、限制部署、降低戒備、建立信任措施等,其控制強度逐步減弱。歷史上,化學裁軍的線路是分兩步,先對化學武器的使用進行控制,再對化學武器的量進行控制。美、蘇(俄羅斯)之間核裁軍的線路則是兼顧對核武器的使用和數量進行限制。考慮到網絡武器的特殊性,必須采取與化學武器、核武器不同的軍控路線。當前,國家及非國家行為體對網絡武器的使用已經趨于常態,短時間內難以遏制,而漏洞的武器化正是引發并維持這一現狀的重要驅動。因此,網絡軍控應首先從控制數量開始,通過限制網絡武器的產生及擴散, 對網絡武器濫用這一勢頭釜底抽薪,進而逐步實現對網絡武器使用的限制。生化、核、網絡領域的軍控路線對比如圖 1 所示。
圖 1 生化、核、網絡領域的軍控路線對比
04 結 語
有學者認為,網絡安全議題方面的挑戰, 可以說是大于核方面的[9]。網絡軍控的體系建立, 將比核軍控面臨更多挑戰,構建網絡軍控特色理論、突破當前網絡軍控困境只是邁出第一步。
未來,必須用好傳統軍控公約、組織架構等現有存量,同時立足網絡空間的特點和規律,積極拓展網絡軍控增量。經過多年實踐,聯合國已建立完整的軍控審議、談判與監督機制,應繼續推動聯合國主導、各國平等參與的網絡軍控規則制定,推動國際網絡軍控加速邁入正軌。鑒于網絡空間行為主體多元,應將非政府組織、行業代表性機構等納入,打造多層次的網絡安全與軍備控制力量結構。此外,各國應更加理性看待網絡軍備擴張的逆序。由于網絡空間的無國界,網絡戰無論由誰挑起,最終都沒有勝利者。在網絡空間國際立法嚴重滯后的現狀下, 為避免網絡空間陷入“一切人反對一切人”的霍布斯式戰爭狀態 ,即使當前沒有條件立刻實現多邊條約式的網絡軍控,也應考慮以更加主動公開的姿態加強嚴重漏洞的預警性信息發布,克制將漏洞武器化的傾向,治理國內濫用漏洞的網絡黑產,實行自我克制式的單邊網絡軍控。
引用本文:趙子鵬. 基于漏洞管理推動網絡軍控實踐的思考[J]. 信息安全與通信保密,2021(8):24-30.
