网络空间应用若干问题

网络空间应用若干问题国防科技大学电子科学与工程学院张权主要内容网络空间对物理空间的影响关于自主可控关于漏洞关于取证溯源关于新型网络空间安全技术结束语网络空间应用若干问题网络空间对物理空间的影响网络空间是虚拟的，但是对物理空间的影响并不虚幻上世纪九十年代，世界头号黑客凯文米特尼克因为攻击北美防空指挥系统、AT&T、FBI等的系统被逮捕，成为首个因虚拟世界的犯罪活动受现实世界法律制裁的人网络空间的攻击行动对国家的政治、经济、军事、文化的破坏甚至比物理空间的战争行动更严重。2008年俄罗斯黑客攻击格鲁吉亚网络，严重影响格鲁吉亚政治、经济、军事活动网络空间应用若干问题网络空间对物理空间的影响网络空间非军事应用（ApplicationofCyberspace）网络银行、在线交易、智能制造的普及，全球经济活动网络化，网络空间成为推动21世纪世界经济持续发展的发动机马云成为中国新首富，充分体现网络空间的价值潜力网络空间应用若干问题网络空间对物理空间的影响网络空间的军事应用（ExploitationofCyberspace）随着类似震网、舒特、棱镜计划等先进网络攻击手段的涌现，网络空间军事应用已经成为国与国之间对抗行动的常态网络空间军事应用的特点：以网络空间为媒介，以网络空间目标为作战对象特定的目标——震网病毒以伊朗核设施为目标明确的意图——舒特攻击以突破敌方防空能力为攻击目的攻击工具和手段由国家组织研发并运用，直接体现国家意志网络空间应用若干问题网络空间对物理空间的影响网络空间的军事应用（ExploitationofCyberspace）传统的网络攻击手段，如截获邮件、散播病毒、篡改网页、盗取帐号、控制肉鸡等如果由国家组织运用并体现国家意志，则同样构成网络空间军事应用网络空间军事应用的类型：网络间谍网络监听和监控面向“战争准备”的网络攻击行动：收集系统漏洞、预置“后门”等直接破坏敌方网络空间目标的攻击行动网络空间应用若干问题网络空间对物理空间的影响网络空间的军事应用（ExploitationofCyberspace）网络空间从根本上改变了战争形态，具体表现：武器装备信息化指挥决策网络化作战应用智能化本身成为新的作战域2009年，美军成立网络空间司令部，标志着网络攻击作战力量成为国家武装力量的组成部分随着从个人意志逐步向国家默许、国家授意甚至直接的国家意志转化，传统的网络行动便转化为网络空间的军事应用网络空间应用若干问题关于自主可控什么是自主可控：全面掌握产品核心技术，依靠自身研发设计，实现信息系统从硬件、软件的规划、生产、部署、升级、维护的全程可控。全程可控是目的：成本可控、风险可控—从根本上杜绝后门、国家IT发展进程可控核心技术自主是途径：技术受制于人将在经济、政治、文化等多方面付出高昂，甚至惨痛代价网络空间应用若干问题关于自主可控国外在网络空间产品自主可控方面的实践美国政府大量采用COTS（商业非现货，相当于定制）IT产品，军方敏感网络采用专用设备日本自卫队，办公电脑和内部电脑自制专用德国外交部和联邦国防军，不使用美国公司的操作系统伊朗计划开发“清真网络”以及新操作系统，取代主流的网络产品和Windows操作系统网络空间应用若干问题关于自主可控我国自主可控目前面临的直接问题IT产业综合基础相对薄弱网络空间对象规模和类型极其庞杂需要综合考虑效率和安全的折衷需要考虑近期投资保护与长远发展的折衷自主可控是一项大工程：不仅需要国家在政策、资金方面的支持，还需要IT厂商和用户、IT从业人员和普通消费者齐心协力，在知识产权保护、技术创新、质量控制、产品生态链维护、市场培育等诸多方面长期努力。我们有没有信心和能力？网络空间应用若干问题关于自主可控自主与可控的关系自主等价于可控？显然不是观点1：自主是手段，可控是目的观点2：自主不一定可控，不自主肯定不可控自主可控与安全的关系存在类似的观点这里的安全是指什么？系统安全、产业安全、信息安全？如果我们接受“手段-目的”这种表述，那么为了达到目的，是不是还有其它手段？网络空间应用若干问题关于漏洞漏洞：信息系统硬件、软件、协议等的设计与实现过程中，以及系统安全策略上存在的功能性或安全性的缺陷和不足。漏洞的特点：潜在但普遍存在：以软件为例，统计显示每200行有效代码就会引入1个漏洞。条件可触发：在特定状态和条件下可触发漏洞使系统进入非预期状态可检测性：分类良好的漏洞类型，都具备一定的特征，可据此检测网络空间应用若干问题关于漏洞漏洞研究包括：漏洞的控制、发掘和利用从网络空间安全应用的角度看：对于自主可控的产品和技术，实现更严格的质量控制，防患于未然；对于非自主可控的产品和技术，及早发现漏洞和后门从网络空间军事应用的角度看：漏洞是一种战略资源，网络空间军事应用的敲门砖（震网、火焰等使用多种未公开漏洞）网络空间应用若干问题2013棱镜门事件揭露，多年来，美一直利用各种网络空间漏洞攻击我国。2012“火焰”病毒利用数字签名漏洞成功伪装，悄无声息烧遍中东大地。2010对伊朗核电站造成致命打击的“震网”病毒利用了4个未公开的漏洞。2008俄罗斯黑客利用网络漏洞，瘫痪格鲁吉亚金融、交通等基础设施网络。关于漏洞漏洞作为一种战略资源，具有显著的军事应用价值2007以色列利用防空系统漏洞，借助“舒特”系统，空袭叙利亚。网络空间应用若干问题关于漏洞上世纪九十年代以来，美以高校、工业界和军方为主要研发力量，通过挖掘、购买收集未公开漏洞，甚至在主要IT产品中植入后门。2013年棱镜门揭示，美NSA是漏洞购买大户，多次从黑市、安全公司购买安全漏洞，为一个最新Java漏洞不惜花费数万美元网络空间应用若干问题关于漏洞因为漏洞是可检测的，所以漏洞的发掘已经成为网络空间核心能力之一，受到广泛重视“网络空间安全防御面临的诸多问题，漏洞可引发的严重后果，漏洞检测问题至关重要”--美《网络空间国家战略》网络空间应用若干问题关于漏洞因为漏洞是可检测的，所以漏洞的发掘已经成为网络空间核心能力之一，受到广泛重视“积极跟踪、研究和掌握国际信息安全领域的先进理论、前沿技术和发展动态，抓紧开展对信息技术产品漏洞、后门的发现研究”--《2006-2020国家信息化发展战略》网络空间应用若干问题关于漏洞软件漏洞发掘方法：网络空间应用若干问题关于漏洞软件漏洞发掘方法：网络空间应用若干问题关于漏洞安全协议安全性验证和漏洞发掘存在问题更多…网络空间应用若干问题安全派漏洞派我的安全性经过了手工证明你有漏洞！我的证明过程有可靠性保证你有漏洞！我的安全性还经过计算自动证明你有漏洞！能不说有漏洞么？你的证明假设有问题！……关于漏洞漏洞与安全的关系：自主不能避免漏洞，但使漏洞的风险可控掌握漏洞发掘能力，在自主的情况下全面提高质量掌握漏洞发掘能力，在非完全自主的情况下控制漏洞的风险漏洞是网络空间军事应用的战略资源漏洞发掘能力是积累漏洞资源的前提网络空间应用若干问题关于取证溯源网络空间的攻击行为通常采用两种手段来隐藏自己的真实地址：伪造原地址和间接攻击。精确定位攻击源在实时阻断或隔离攻击、追究相关责任、提供法律举证、威慑攻击者等方面具有非常积极的意义。网络空间应用若干问题关于取证溯源针对两种隐藏真实地址的方法，攻击溯源方法包括：IP源追踪技术——目的是识别发送数据包的真实的IP地址，该类技术在网络层执行，需要从路由器和网关上采集信息。跨越“跳板”的追踪技术——目的是识别通过“跳板”隐藏身份的真正攻击源。网络空间应用若干问题关于取证溯源IP源追踪技术依赖于对全网络的控制，不依赖或较少依赖网络控制能力的方法目前基本上处于试验研究阶段！至今尚没有一种方法在internet上广泛使用。跨越跳板的追踪在技术上更加复杂！目前只对通过telnet或Rlogin的交互入侵能够追踪，而对经过多个跳板或反射器的DDoS攻击基本上不具备准确定位能力。网络空间应用若干问题关于取证溯源我们在取证和溯源方面与发达国家存在差距，别人能精确定位到我们，但是我们的技术手段非常有限

美国MANDIANT发布报告，指出我军某部的黑客团体APT1对多个国家的141个组织长期解密，并给出该组织的3个技术人员相关信息：UglyGorilla（汪东）、DOTA、SuperHard（梅强）。Mandiant，总部位于Alexandria,现被FireEye收购MANDIANT相关报告报告中指出的我军某部所在地2013年2月网络空间应用若干问题关于取证溯源我们在取证和溯源方面与发达国家存在差距，别人能精确定位到我们，但是我们的技术手段非常有限2013年2月

FBI发布通缉令，通缉我5名军官，指控其针对美国进行网络攻击2014年3月网络空间应用若干问题关于取证溯源美方在此次取证溯源中的方法：单位的确定大量攻击源IP地址位于上海浦东新区（确定攻击源大致位置）核心控制服务器数量>1000（确定为组织行为）恶意代码中大量发现拼音型英文（rouji=肉鸡）（确定中国人所为）发现电信与该单位的光纤安装合同从学术期刊发现该单位进行计算机安全和网络对抗研究从招生信息上发现该单位招聘英语和网络安全专业人才网络空间应用若干问题关于取证溯源美方在此次取证溯源中的方法：UglyGorilla（丑陋的大猩猩，汪东）的确定发现恶意代码中包含“v1.0NoDoubttoHackyou,WritedbyUglyGorilla”（发现UglyGorilla）发现UglyGorilla在国内的源代码下载网站（）上传一款恶意邮件工具（mailbomb_1.08.zip），其注册用户中文名显示为汪东（将UgluGorilla与汪东相关联）发现UglyGorilla注册了用于恶意代码控制的域名，IP地址位于上海浦东新区（将汪东与上海可能的某黑客组织关联）网络空间应用若干问题关于取证溯源我们在溯源方面的一个小案例通过分析盗QQ软件原理，认为应该是脚本小子所为，其通过木马记录敲口令过程，再发送至某个邮箱在自己中毒主机上安装嗅探器，嗅探SMTP协议数据包打开QQ软件，随意输入账号和口令从嗅探得到的SMTP数据包中，得到接收QQ账号信息的邮箱用户名控制收QQ账号信息的邮箱利用搜索引擎搜索该邮箱账户，在若干论坛找到相关信息（不同的用户名）网络空间应用若干问题关于取证溯源我们在溯源方面的一个小案例在Chinaren搜索相关用户，根据其个人行为（如喜欢黑客软件），进行数据关联分析，获取真名根据破解得到的邮箱口令，猜测破解其相关账户口令破解得到其校友录、常用邮箱、淘宝等账户口令进入校友录，得到其照片、具体住址、联系电话、同学关系等根据其照片进行图片搜索，获取到更多的个人信息打电话警告教育其本人网络空间应用若干问题关于取证溯源取证溯源能力薄弱的原因：主观上，对取证溯源能力不够重视，行动的隐蔽和反侦查能力不强客观上，美方掌握网络空间的核心资源取证溯源能力薄弱的后果：直接后果，对方是知己知彼，我们既不知己、又不知彼间接后果，外交和政治上陷入被动网络空间应用若干问题关于取证溯源因此大力发展取证溯源能力需求紧迫：攻击方面：掌握取证溯源技术，提高网络空间军事应用行动的隐蔽性安全方面：做到知己知彼，掌握证据，占据外交主动加快取证溯源能力发展的核心技术：网络空间实时态势感知基于大数据的网络空间信息挖掘和分析网络空间动态地图网络空间应用若干问题关于新型网络空间安全技术改变游戏规则，相当于网络空间的反导系统：弹性捷变网络架构