據(jù)Google說(shuō)前不久的網(wǎng)絡(luò)間諜攻擊可能來(lái)自中國(guó)。目前很多神秘的網(wǎng)絡(luò)活動(dòng)都可以追溯到中國(guó)境內(nèi)。有專(zhuān)家認(rèn)為Stuxnet（超級(jí)工廠蠕蟲(chóng)）蠕蟲(chóng)針對(duì)的是伊朗核設(shè)施。在維基解密公布了美國(guó)大量機(jī)密文件后，該網(wǎng)站也遭到了黑客攻擊。另外，別忘了多年前針對(duì)愛(ài)沙尼亞政府的大范圍網(wǎng)絡(luò)攻擊事件。

在處理網(wǎng)絡(luò)上的地緣政治問(wèn)題上，美國(guó)政府采取了軍事化策略和思想實(shí)現(xiàn)網(wǎng)絡(luò)安全。也就是建立所謂的“網(wǎng)絡(luò)司令部”，在美國(guó)國(guó)防部的監(jiān)管下應(yīng)對(duì)國(guó)家網(wǎng)絡(luò)安全事件。

但是安全咨詢(xún)公司Cigital 的首席技術(shù)官Gary McGraw 卻認(rèn)為，軍事上常說(shuō)的進(jìn)攻是最佳的防御，這一條并不總是對(duì)的，尤其是在網(wǎng)絡(luò)世界中。在最近的一篇文章《Cyber Warmongering and Influence Peddling》中，McGraw認(rèn)為互聯(lián)網(wǎng)上需要的是更多的安全軟件，而不是好戰(zhàn)分子。

記者針對(duì)美國(guó)政府采取軍事策略應(yīng)對(duì)網(wǎng)絡(luò)威脅的問(wèn)題，采訪了McGraw 。

美國(guó)政府將網(wǎng)絡(luò)戰(zhàn)爭(zhēng)狀態(tài)設(shè)定為戰(zhàn)備等級(jí)1（DEFCON 1）的做法存在什么問(wèn)題？

McGraw: 前不久我和Core Security Technologies 公司的創(chuàng)始人兼首席技術(shù)官I(mǎi)van Arce 合作寫(xiě)了一本書(shū)。他是阿根廷人。每次我們聊天，他總會(huì)問(wèn)我‘美國(guó)人怎么回事，怎么總是提到網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，為什么美國(guó)人對(duì)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)那么癡迷。’因?yàn)槠渌麌?guó)家的人好像并不怎么提及網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。我也去過(guò)很多國(guó)家，確實(shí)如他所說(shuō)，沒(méi)有這么多有關(guān)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的話題。所以我們就開(kāi)始討論為什么會(huì)有這種現(xiàn)象。最后我們總結(jié)出一個(gè)主要觀點(diǎn)，即美國(guó)把網(wǎng)絡(luò)戰(zhàn)爭(zhēng)、網(wǎng)絡(luò)間諜以及網(wǎng)絡(luò)犯罪等概念混淆了，政府并沒(méi)有試圖將這三者區(qū)別對(duì)待，并通過(guò)對(duì)話解決相應(yīng)問(wèn)題，而是不管網(wǎng)絡(luò)另一端的人所處的政治和經(jīng)濟(jì)環(huán)境，統(tǒng)統(tǒng)認(rèn)為是美國(guó)的敵人。

這樣做有何危險(xiǎn)？

這其中的危險(xiǎn)在于，如果我們將所有網(wǎng)絡(luò)安全問(wèn)題都?xì)w結(jié)為“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)”，那么美國(guó)國(guó)內(nèi)的民意傾向就會(huì)允許國(guó)防部來(lái)處理這些問(wèn)題。五月份美國(guó)國(guó)防部成立了網(wǎng)絡(luò)司令部。網(wǎng)絡(luò)司令部強(qiáng)調(diào)的就是打擊，它的目的就是通過(guò)實(shí)施閃電戰(zhàn)術(shù)，在對(duì)方還未對(duì)美國(guó)實(shí)施網(wǎng)絡(luò)攻擊前，首先通過(guò)網(wǎng)絡(luò)攻擊對(duì)敵人進(jìn)行致命打擊。我不認(rèn)為這是個(gè)明智的做法。比如一個(gè)封閉的玻璃房子，網(wǎng)絡(luò)司令部正在想辦法快速準(zhǔn)確的把石頭從屋里扔出去打別人。與之相反，我覺(jué)得我們應(yīng)當(dāng)習(xí)慣目前這種網(wǎng)絡(luò)攻擊，就好像習(xí)慣所有的系統(tǒng)都會(huì)存在漏洞一樣，我們要做的是努力消除這些漏洞。

是金錢(qián)利益驅(qū)使政府采取這樣的手段或政策嗎？這么想可能有些玩世不恭。

實(shí)際上很多人都是這么認(rèn)為的。美國(guó)的軍工行業(yè)非常復(fù)雜，他們當(dāng)然與商業(yè)安全行業(yè)有著緊密的聯(lián)系。這并不令人驚訝，也不是什么壞事。問(wèn)題在于商業(yè)安全行業(yè)現(xiàn)在才開(kāi)始理解安全工程以及軟件安全的重要性。前幾年的終點(diǎn)都放在如何防止壞人進(jìn)入防火墻，而現(xiàn)在則是如何在外圍建立一個(gè)牢固不破的防御。這種策略轉(zhuǎn)變是正確的。在面對(duì)網(wǎng)絡(luò)犯罪，網(wǎng)絡(luò)間諜，以及網(wǎng)絡(luò)戰(zhàn)爭(zhēng)時(shí)，如果我們想同時(shí)解決這三個(gè)問(wèn)題，那唯一的方法就是建立更強(qiáng)大的更堅(jiān)固的安全系統(tǒng)。

您提到網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜活動(dòng)比網(wǎng)絡(luò)戰(zhàn)爭(zhēng)更重要，為什么是這樣呢？

因?yàn)榫W(wǎng)絡(luò)上最多的就是網(wǎng)絡(luò)罪犯，其次是網(wǎng)絡(luò)間諜，而網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的出現(xiàn)幾率很小。而這一切產(chǎn)生的根源都是一樣的，即依靠系統(tǒng)的安全防護(hù)性能而定。我們有能力解決這三個(gè)問(wèn)題。其中最重要的問(wèn)題是網(wǎng)絡(luò)犯罪，因?yàn)槟壳皝?lái)看，解決這個(gè)問(wèn)題所投入的資金最大。不妨讓我們換個(gè)角度來(lái)看問(wèn)題：最近很多人都在說(shuō)維基解密的事情，最近一次維基解密所公布的機(jī)密文件對(duì)于美國(guó)的外交政策有很大的沖擊。

問(wèn)題在于，就算我們擁有發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)并通過(guò)閃電戰(zhàn)獲勝的能力，對(duì)于像維基解密這樣的問(wèn)題該如何解決呢？答案很明顯，我們沒(méi)能力解決。再比如，對(duì)于源自中國(guó)的代號(hào)極光（Aurora）的針對(duì)Google等企業(yè)盜取知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)間諜行為，就算我們有網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的能力，又能怎樣呢？

而解決網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜這兩大問(wèn)題的方法是什么呢？答案就是加強(qiáng)防御。除了加強(qiáng)軟件的安全性以外，人的因素也非常重要。想一下為什么一個(gè)一等兵能夠進(jìn)入機(jī)密的軍用SIPRNET網(wǎng)絡(luò)？如果我們能夠嚴(yán)格實(shí)行安全審查制度，只能允許那些真正需要訪問(wèn)機(jī)密文件的人接入機(jī)密網(wǎng)絡(luò)，那可能就不會(huì)出現(xiàn)維基解密這個(gè)網(wǎng)站了。

“網(wǎng)絡(luò)（cyber）”這個(gè)詞聽(tīng)上去有些恐怖，其實(shí)我們所說(shuō)的還是以互聯(lián)網(wǎng)（Internet）為主吧？這兩者有差別么？

是的，美國(guó)一直在強(qiáng)調(diào)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，而不是互聯(lián)網(wǎng)戰(zhàn)爭(zhēng)。問(wèn)題在于傳說(shuō)中的網(wǎng)絡(luò)安全的問(wèn)題要比它的實(shí)際情況更加神秘，恐怖和夸張。這使得政策制定者，企業(yè)CEO以及公眾難以認(rèn)清真相，比如2007年愛(ài)沙尼亞的DDoS攻擊。而我們都知道的超級(jí)工廠蠕蟲(chóng)，就只針對(duì)工業(yè)網(wǎng)絡(luò)環(huán)境。

超級(jí)工廠蠕蟲(chóng)是真實(shí)存在的，這算是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)嗎？

它可以算是一種網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的武器，我們稱(chēng)之為網(wǎng)絡(luò)武器。我認(rèn)為這算是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)行為了。根據(jù)我的標(biāo)準(zhǔn)，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的攻擊行為需要有實(shí)體破壞力，也就是說(shuō)，被攻擊一方有物理?yè)p壞。 Stuxnet的攻擊代碼可以入侵伊朗核電站的濃縮鈾離心機(jī)控制設(shè)備和離心機(jī)設(shè)備本身，并造成機(jī)械故障。如果你關(guān)注過(guò)當(dāng)時(shí)伊朗核電站的發(fā)電量，就會(huì)發(fā)現(xiàn)被攻擊后出現(xiàn)的發(fā)電量巨大落差。伊朗總統(tǒng)Ahmadinejad也承認(rèn)伊朗核電站的離心設(shè)備遭到網(wǎng)絡(luò)攻擊。

那么針對(duì)愛(ài)沙尼亞的那次攻擊為什么不算網(wǎng)絡(luò)戰(zhàn)爭(zhēng)？

實(shí)體破壞性是一個(gè)要素，另一個(gè)要素是，戰(zhàn)爭(zhēng)是全國(guó)性的。愛(ài)沙尼亞那次遭受的攻擊并不符合這一點(diǎn)。而且國(guó)家也沒(méi)有收到真正的沖擊。雖然該國(guó)的網(wǎng)絡(luò)掛了，但是說(shuō)實(shí)話，誰(shuí)又在意呢？如果把相同規(guī)模的攻擊拿來(lái)攻擊Google或者Amazon，可能根本都不會(huì)引起任何異常狀況。我覺(jué)得發(fā)動(dòng)這次攻擊的位于俄羅斯的某個(gè)黑客，只是一次個(gè)人行為，并不算是發(fā)動(dòng)了一場(chǎng)戰(zhàn)爭(zhēng)。其實(shí)，據(jù)我在華盛頓的朋友透露，類(lèi)似愛(ài)沙尼亞這樣的攻擊事件還在不斷地上演著。

您是怎么看待網(wǎng)絡(luò)戰(zhàn)爭(zhēng)和美國(guó)的策略呢？

今年我大部分時(shí)間都是在華盛頓工作。我去過(guò)白宮，也去過(guò)五角大樓，與政府的智囊團(tuán)一起討論過(guò)。現(xiàn)在政府中談?wù)撎嘤嘘P(guān)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的問(wèn)題了，這讓我有些擔(dān)心。我們要做的應(yīng)該是節(jié)制網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，網(wǎng)絡(luò)間諜以及網(wǎng)絡(luò)犯罪的發(fā)生，將重點(diǎn)放在建立更好的安全系統(tǒng)上，走出玻璃房子，而不是像Hayden將軍（CIA局長(zhǎng)）提議的那樣建立新的網(wǎng)絡(luò)快速反應(yīng)部隊(duì)。政策制定者們對(duì)于我們所熟悉的網(wǎng)絡(luò)安全概念的理解，可謂是一塌糊涂。

我所擔(dān)心的是政府根本不在互聯(lián)網(wǎng)安全防護(hù)上給予任何經(jīng)費(fèi)。對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)，沒(méi)有什么分而治之的說(shuō)法。也就是說(shuō)，我們不能只為軍隊(duì)網(wǎng)絡(luò)或者SIPRNET 進(jìn)行防護(hù)，而對(duì)互聯(lián)網(wǎng)放任不管，因?yàn)榫懦傻娘L(fēng)險(xiǎn)都來(lái)自互聯(lián)網(wǎng)。在美國(guó)，超過(guò)九成網(wǎng)絡(luò)架構(gòu)是由企業(yè)或民間團(tuán)體控制的，政府管轄的網(wǎng)絡(luò)架構(gòu)大約只有一成。只保護(hù)政府所控制的網(wǎng)絡(luò)，而不保護(hù)其它部分，顯然是沒(méi)有道理的。這是我擔(dān)心的問(wèn)題之一。

另一個(gè)問(wèn)題是美國(guó)習(xí)慣利用空軍的空中優(yōu)勢(shì)，在第一時(shí)間打擊并破壞掉敵人的進(jìn)攻力量。由此而形成的所謂“禁飛區(qū)”對(duì)于防御來(lái)說(shuō)非常有效。不幸的是，在網(wǎng)絡(luò)空間上這么做是無(wú)效的，因?yàn)榫W(wǎng)絡(luò)是個(gè)完全不同的物理環(huán)境，軍隊(duì)不可能對(duì)敵對(duì)勢(shì)力進(jìn)行包圍或者奪取制空權(quán)。在網(wǎng)絡(luò)上，“物體”運(yùn)行的速度遠(yuǎn)比現(xiàn)實(shí)世界的物體運(yùn)行的速度快，因此現(xiàn)實(shí)中的軍事專(zhuān)家在面對(duì)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)時(shí)，基本上沒(méi)有時(shí)間制定戰(zhàn)略戰(zhàn)術(shù)，也沒(méi)時(shí)間分析和布置防御措施。

您在文章中寫(xiě)道“最終有人會(huì)因?yàn)楹鲆暟踩珕?wèn)題而付出代價(jià)，有人會(huì)因?yàn)橹匾暟踩珕?wèn)題而得到好處。” 您是認(rèn)為軟件開(kāi)發(fā)商該承擔(dān)軟件安全的責(zé)任嗎？

我不知道答案是什么。但是我覺(jué)得人們需要將討論的重點(diǎn)轉(zhuǎn)移到如何激勵(lì)生產(chǎn)商開(kāi)發(fā)更安全的軟件系統(tǒng)，以及討論不安全的系統(tǒng)會(huì)給我們帶來(lái)什么風(fēng)險(xiǎn)。等我們都開(kāi)始討論這些問(wèn)題的時(shí)候，政策制定者們就會(huì)轉(zhuǎn)到正確的道路上來(lái)。我們并不是提供什么明確的方案，比如誰(shuí)該承擔(dān)責(zé)任。我們只是試著將討論的話題從戰(zhàn)爭(zhēng)轉(zhuǎn)向安全工程。

您對(duì)此還有什么觀點(diǎn)嗎？

我確實(shí)認(rèn)為我們正面臨風(fēng)險(xiǎn)，而且我也認(rèn)為網(wǎng)絡(luò)戰(zhàn)爭(zhēng)確實(shí)是我們需要解決的問(wèn)題。盡管如此，我們也應(yīng)該理性的進(jìn)行對(duì)話。太多的某某威脅論并不能幫助我們解決問(wèn)題。如果我們?cè)谡邔用孢M(jìn)行錯(cuò)誤的討論，就會(huì)給政策制定者們?cè)斐衫_，使得他們無(wú)法制定出理性的政策。

【編輯推薦】

1. 2011 RSA專(zhuān)家組商議網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的定義
2. DDoS攻擊：網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的尖頭兵
3. 為何網(wǎng)絡(luò)攻擊符合這4條件，就可稱(chēng)之為網(wǎng)絡(luò)戰(zhàn)爭(zhēng)？
4. 網(wǎng)絡(luò)戰(zhàn)爭(zhēng)一旦爆發(fā) 企業(yè)應(yīng)該如何應(yīng)對(duì)？