文│ 中國金融認證中心 隆峰 謝宗曉
在當前形勢下,國家之間的間諜戰已經不侷限於現場偵查、情報刺探、滲透破壞等活動,資訊科技賦予了間諜戰更多的選擇空間。間諜竊密的範圍,從原來主要的軍事與政治情報領域,擴充套件到現在的經濟、科技、醫療衛生、生物基因、能源等各多個方面。各國安全防護鏈條逐步延伸,各種可預見和不可預見的風險明顯增多,非傳統安全日益凸顯。網路空間和主權的爭奪正在成為政府、安全部門新的虛擬戰場,傳統的間諜活動也逐步被網際網路情報蒐集、破壞所取代,需要採取新的策略、手段和方法,面對新的安全形勢。
一、網路間諜活動的特徵
2013 年的“稜鏡門”事件讓國家網路間諜機構再一次浮出水面,展現在普羅大眾面前。近年來,網路間諜活動愈演愈烈,並逐步被大眾認識。
1.隱蔽性是網路間諜活動的基本特徵
網路間諜活動具有隱蔽性特點。一是主體隱蔽,發起組織會盡量隱藏身份,因這種行為本身也是非法的,可能造成外交被動,需要進行身份偽裝和借殼。二是技術隱蔽,網路間諜會盡量使用未公佈的漏洞、自研製工具。例如,稜鏡門事件披露,美國情報人員使用了專門開發的工具集,在發起網路攻擊時,會進行攻擊源隱藏,採用多層跳板、跳轉多國實施攻擊,攻擊完成後也會抹除痕跡。三是過程隱蔽,除了常規性的網路攻擊之外,情報機構也可以透過買通與變節物件國人員進行竊取或者攻擊,或藉助本國內網際網路企業等開展跨國商務活動時,在物件國網路或者系統內植入木馬、後門,在當地竊取重要資料後將其傳送回國。
2.網路間諜活動的最終目的是危害與破壞
國家層級的網路間諜行為具有高度的組織性、預謀性和針對性,軍事和政府機關的專門情報機構可能作為發起和主導機構,採取直接方式竊取情報,透過策反、收買專業駭客或者內部人員獲取情報,或進行公開渠道的常態化情報蒐集,都是具有高度組織性、系統性、持續性的特徵。網路間諜活動的最終目的是危害與破壞,哪怕前期僅僅只是蒐集敏感情報,也是為了給己方的軍事、科技、經濟等建立優勢,最終危害物件國的經濟安全、軍事安全、政治安全、社會安全等。
3.利用技術優勢瓦解對方的防禦系統
新興技術和情報理念的應用,會帶來攻擊、滲透技術的變革以及網路間諜與反間諜技術的不斷升級和換代。就像武器的發展一樣,網路攻擊與防守的技術也面臨更新替代的問題,面臨“裝備一代、研製一代、預研一代”的難題 , 因此,在網路間諜活動防守上也需要思維、理念的革新。同時,情報活動早已擴大到軍事、政治、經濟等傳統領域之外,使用的網路間諜武器和工具也不斷推陳出新,例如使用量子解密、大資料捕獲分析、人工智慧社工等方式進行網路攻擊。
國家層級的網路間諜行為會動用國家力量培養的專業網軍。網軍掌握數量龐大的“零日”(0-day)漏洞,可以製作專業的攻擊滲透工具,並定期進行專業訓練。例如,美國的情報機構與英國的情報機構合作,花費巨資研製網路清除器(NetEraser)軟體,可用於監聽全球範圍的電子郵件。同時,情報機構也會利用社會技術力量擴大技術能力,例如,聯合專業軍工複合體、安全服務商、網路科技公司、跨國硬體商,在網路裝置、移動終端、應用軟體上安裝先進和不易發現的後門程式,進行監聽和竊密行動。網路間諜的滲透、破壞活動,在技術層面,無所不用其極,善於利用技術優勢瓦解對方的防禦系統。
二、網路間諜活動的形式
根據目前觀察到的情況,網路間諜活動主要採取以下幾種方式。
1.盜取和篡改敏感資訊或情報
網路間諜人員最主要的工作就是獲取重要情報,重要敏感資訊或資料,一般需要使用涉密網路、專用網路、網際網路進行傳輸。網路間諜活動主體會窮盡各種方法和途徑進行攻擊和滲透,以便獲得極具價值的重要資訊情報。
2.監聽、蒐集資訊並加以分析利用
使用大資料、人工智慧方式分析可公開的文獻、資料、網際網路流量等資訊,是來源可靠、成本低廉的蒐集情報方式,而且透過這些方式可以得到安全特徵、總體趨勢、影響因素、技術隱患等眾多價值資訊。網路間諜也透過非公開渠道來源獲得資訊,例如透過購買地下黑產、社工庫等資料,或者透過本國的跨國網際網路公司、網路裝置商、汽車商等非法採集、監聽方式獲得資訊。
3.攻擊和破壞重要系統、網路、關鍵基礎設施
政府、軍工、航天等敏感行業成為被網路攻擊的重點物件,電網、核設施、水務等工業控制系統等基礎設施被網路間諜攻擊的事件也屢見不鮮,由於關鍵資訊基礎設施存在硬體老化、系統版本過低、使用者認證不嚴、操作人員安全意識不足、系統易被攻擊等多種防禦弱點,甚至很多工業控制裝置都是國外廠商生產,本身帶有後門或有隱藏許可權,一旦被成功控制,將嚴重影響社會秩序和民生安全。考慮其對國家安全、民生安全的重要性,關鍵資訊基礎設施等層面的安全漏洞已經成為網路間諜重點研究的物件,例如伊朗核設施、委內瑞拉電力系統等事件已然成為被成功攻破、獲得巨大戰果的典型案例。
4.煽動輿論以製造對立並激化社會矛盾
西方國家媒體和網路間諜組織透過宣傳所謂的自由、民主、人權等價值觀,操縱輿論或進行道德綁架,或引發民眾對立,或擾亂政治局勢、網路環境。例如,西方媒體和網路間諜在新冠肺炎疫情問題上抹黑中國,針對各種社會熱點事件的歪曲、誇大,散佈謠言和虛假資訊,挑起爭端對立,製造社會矛盾,破壞黨和政府公信力和聲譽,從而達到影響社會穩定、破壞民族團結、延滯社會發展的目的。
三、網路間諜活動的防控策略
網路間諜從多種途徑竊取國家機密,對系統和網路進行攻擊和破壞,對軍事和民生基礎設施造成威脅,汙名化國家和政府的信用和形象,汙染網路生態環境,損害國家凝聚力和向心力,對國家安全造成重大安全隱患,是網路主權空間的毒瘤,應全面加以整治,加強防控。
1.加強重點行業領域安全威懾、防護和反制建設
網路間諜主要的活動是攻擊和破壞政府、軍工以及各重要命脈行業的網路和系統,竊取重要資料和情報資訊,因此,首要任務是要針對網路攻擊進行防護。各重要行業領域應按照等級保護、關鍵資訊基礎設施、資料安全保護等相關法律法規要求,加強資訊系統、重要網路、基礎設施、網際網路絡空間的安全建設、整改,執行日常安全測評與監督檢查,進行動態化的紅藍對抗和攻防演練,建立行業內部情報共享和預警機制,國家相關監管單位也應加強網路安全領域的聯防聯控,包括在截獲網路攻擊之後進行阻斷、警示、威脅、反制等。
2.加強對關鍵資訊基礎設施的重點保護
國家安全部於 2021 年 4 月釋出的《反間諜安全防範工作規定》規定:“關鍵資訊基礎設施運營者應採取反間諜技術安全措施,防範、制止境外網路攻擊、網路入侵、網路竊密等行為,保障網路和資訊核心技術、關鍵基礎設施和重要領域資訊系統及資料的安全”。該規定要求圍繞以關鍵資訊基礎設施為重心,加強對涉及民生安全與基礎工業安全的系統和網路的重點防護,為工業控制系統提供專門保護,解決物聯網系統和嵌入式裝置的網路安全威脅,最大限度降低基礎設施層面面臨的風險。關鍵資訊基礎設施的防護方向也從防止軍事破壞延伸到防止網路間諜的網路攻擊破壞領域,應加強對關鍵資訊基礎設定的安全基線配置、強訪問認證和控制、自主可控改造。
3.強化資料全生命管理安全、加強資料出境管理
在非戰爭狀態下,網路間諜活動的主要內容是竊取情報資訊。為防止敏感資料被竊取,內部資料要進行分類分級和標識,必要時使用強制訪問控制,網路邊界要嚴格加強安全防護,資料傳輸、儲存要加密,資料出域、出網、出境要審批,資料流轉要有審計和監控。資料的防護鏈條應當覆蓋全生命週期,在內容覆蓋上也應與時俱進,將更多敏感資訊納入保護範圍,如資料智慧演算法、疫情應急、生物基因資訊、地理測繪等。以“滴滴出行”事件為警示和教訓,應謹防國內外科技公司在軍事和敏感區域附近採集出行資料、活動軌跡、人員關係資料等蒐集或者洩露軍事、政治性輔助情報的可能性。
4.加強國外廠商安全審查,推進國產化與自主可控
大量國外的網路裝置、系統軟體、工業控制系統、手機裝置、車聯網系統、應用軟體等都被發現存在後門或非法蒐集上傳資料等情況,國際根域名伺服器等大量 IT 基礎設施資源都掌握在歐美國家手中,西方國家也擁有系統底層原始碼。如果西方國家利用其壟斷地位優勢開展網路間諜活動或者進行肆意破壞簡直易如反掌,在涉及國家安全、民生基礎設施的關鍵領域,必須加強晶片、電子元器件、作業系統、資料庫、工業軟體、基礎應用、終端控制裝置等的國外服務商的安全審查、認證與准入,同步推進國產化和自主可控,才能在國家層面的網路安全和情報對抗中進退自如。
5.開展新型網路間諜活動預研應對和反制
隨著雲計算、大資料、物聯網、移動網際網路、人工智慧等新技術的發展,網路間諜活動一直在動態發展和變化。部分國家已經使用大資料、人工智慧等技術進行軍事、機要人員性格畫像和特徵分析。人工智慧機器人將來也能用於進行自動化的誘導欺騙、社工攻擊,撒網式獲取敏感資訊,甚至可以透過真假難辨的語音模擬,越過聲紋為主的生物特徵方式的認證,冒充上級領導、同事等索要敏感資料。如何應對此種技術條件下的網路間諜活動,研發先進技術手段對其進行防範、破解、反制,也是將來需要面臨的重大難題。
6.深化全民網路安全與反間諜教育
積極深入宣傳《網路安全法》《反間諜法》《資料安全法》等涉及國家安全的法律。切實增強網路安全意識教育、保密安全教育,突出場景植入式案例教育,組織特色鮮明、生動形象的基層宣傳活動,補足人員安全意識不足的短板。同時,反間諜也需要走群眾化路線,安全系統和人工智慧並不能解決所有問題,需要廣大人民群眾的“火眼金睛”,去掃除妖魔鬼怪,讓謠言散佈者、帶節奏者、“網路公知”、話題製造者等網路間諜行為無處遁形。
7.加強網路輿情監控,提升治理能力
由於歷史原因,西方媒體長期佔據輿論宣傳高地,掌控話語權,利用長期的關於民主、自由、人權的宣教,利用熱點事件放大矛盾,製造分化和對立,打擊人民群眾對道路、理論、制度、文化的自信。公開報道的事件證明,不少受西方政府資助的幕後基金參與其中。國家應加強對網路空間的輿情治理與引導,包括在法規上設定紅線,明確網路運營者的安全責任和適度管控,加強輿情大資料的監控分析,出現熱點事件時及時降溫和正向引導,組織形式多樣、活潑生動的正能量、正面典型的宣傳報道,弘揚英雄主義、愛國主義,監控與查處惡意控評團隊、非法網軍水軍,切斷海外非法資金資助鏈條。
在針對網路間諜活動透過公開網路渠道蒐集情報資訊方面,應加強對公共網路空間的敏感資訊控制、審查與應急響應能力,對公眾大資料出境、非法利用、共享轉讓要進行嚴格管控和審批,對在網路論壇、聊天室、即時通訊組群、短影片網站等涉及軍事、航天、經濟、科技等敏感話題討論和疑似洩密行為,應能透過敏感資訊監控與情報分析等系統、平臺,快速核查可疑行為,及時響應處置。
(本文刊登於《中國資訊保安》雜誌2021年第10期)
