為了提高我們自身以及民用網(wǎng)絡(luò)系統(tǒng)的韌存性，軍方應(yīng)與民間企業(yè)聯(lián)手，通過(guò)長(zhǎng)期合作，減少易被敵對(duì)網(wǎng)絡(luò)攻擊利用的漏洞。想排除所有漏洞固然不可能，但畢竟可以減少潛在對(duì)手攻擊的目標(biāo)選擇，從而有助于加強(qiáng)美國(guó)安全。我們有充分的理由相信，安全軟件和硬件研制所遇到的困難，在根源上主要是體制和文化上的障礙，而不是技術(shù)性障礙。我們的許多較陳舊的代碼庫(kù)是建立在過(guò)去的時(shí)代，當(dāng)時(shí)根本不可能想象到眼下出現(xiàn)的這些安全挑戰(zhàn)；傳統(tǒng)的軟件開(kāi)發(fā)慣例，更多著眼于控制成本和如期完成任務(wù)，而不是強(qiáng)調(diào)關(guān)注安全。起初，國(guó)防部雖然撥款資助方法研究，以證明開(kāi)始于1960年代的程序的正確性，但其之所為對(duì)美國(guó)防務(wù)部門或民營(yíng)界開(kāi)發(fā)自身系統(tǒng)的方式幾乎沒(méi)有影響，部分是因?yàn)檫@種研究需要幾十年時(shí)間才會(huì)出成果。研究人員原來(lái)希望開(kāi)發(fā)某種技術(shù)，能夠適用于用現(xiàn)有編程語(yǔ)言編寫的軟件，卻發(fā)現(xiàn)，要想證明用FORTRAN這類語(yǔ)言編寫的即使是最一般程序的正確性，也難如登天。事實(shí)表明，要想編制出能證明正確的軟件程序，將需要以另一種模式進(jìn)行編程和硬件工程。學(xué)術(shù)研究人員在1970年代著手開(kāi)發(fā)這種技術(shù)，幾十年來(lái)雖在理論和實(shí)施上緩慢演進(jìn)，卻仍未達(dá)到可實(shí)用的程度。并且，一直到最近之前，我們很少需要安全系統(tǒng)和安全軟件。雖然軍方為了某些應(yīng)用而尋求這些技術(shù)，但民間不情愿為看似完全多余的功能付出額外的成本。既然防務(wù)市場(chǎng)基本排外，既然成本控制問(wèn)題無(wú)所不在，廣大民營(yíng)界自然缺少熱情來(lái)生產(chǎn)價(jià)格可負(fù)擔(dān)的安全系統(tǒng)和軟件，或是開(kāi)發(fā)這種生產(chǎn)所需的人力資源和技術(shù)。幸運(yùn)的是，有充分理由相信這些障礙可以被克服。

由于意識(shí)到當(dāng)前的方法不能充分滿足美軍的未來(lái)需要，國(guó)防高級(jí)研究計(jì)劃局在2012啟動(dòng)了一個(gè)項(xiàng)目，旨在依據(jù)像定理證明這種形式化方法來(lái)開(kāi)拓性地創(chuàng)造硬件和軟件的安全結(jié)合。這個(gè)項(xiàng)目被稱為“高可靠性網(wǎng)絡(luò)軍事系統(tǒng)，”其目的是“開(kāi)創(chuàng)構(gòu)建高可靠性物理網(wǎng)絡(luò)系統(tǒng)的技術(shù)，高可靠性的定義是指功能上正確且能滿足合適的安全與安保性能。”作為示范，該局研發(fā)了一個(gè)遙控四軸無(wú)人飛行器，其安全程度如此之高，以至于組成“紅隊(duì)”的黑客耗費(fèi)了六周時(shí)間研究完整的源代碼之后，也未能找到任何漏洞。這個(gè)絕技顯示，充分安全的軟硬件不一定是白日夢(mèng)想，但是需要沿循另一個(gè)非常不同于常規(guī)的開(kāi)發(fā)過(guò)程。要想使這種技術(shù)得到普遍采用，即使僅出于防務(wù)目的，也將需要建立一整套全新的系統(tǒng)開(kāi)發(fā)文化，包括用截然不同的思維方式培訓(xùn)大批程序員和工程師。這個(gè)轉(zhuǎn)變過(guò)程將艱難而昂貴，但是可能是保護(hù)美國(guó)資產(chǎn)免遭日益復(fù)雜的網(wǎng)絡(luò)攻擊的唯一途徑。

民營(yíng)界現(xiàn)在也越來(lái)越注重運(yùn)用正規(guī)方法減少網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)。技術(shù)產(chǎn)業(yè)面臨著針對(duì)商業(yè)利益的網(wǎng)絡(luò)攻擊所引發(fā)的嚴(yán)峻經(jīng)濟(jì)賠償責(zé)任，投入了越來(lái)越多的資源，從質(zhì)量上改善軟件工程技術(shù)，從而大大減少了這種漏洞的發(fā)生率。比如，莫茲拉基金會(huì)（Mozilla Foundation）就積極開(kāi)發(fā)出了Rust，這個(gè)系統(tǒng)編程語(yǔ)言的目的是把程序員從經(jīng)常給軟件帶來(lái)嚴(yán)重安全漏洞的人工記憶管理中解脫出來(lái)。另一種有前途的方法是使用像 Haskell這種功能性編程語(yǔ)言，其特點(diǎn)在于迫使軟件按照嚴(yán)格的數(shù)學(xué)形式編寫，而保障建立起確保正確行為的非常規(guī)程序。這類功能性編程雖然與大多數(shù)程序員熟悉的命令式編程非常不同，但吸引了安全研究人員越來(lái)越多的關(guān)注，因?yàn)樗幣诺能浖赏蠓葴p少安全漏洞數(shù)量國(guó)土安全部正在進(jìn)行一些項(xiàng)目，旨在鼓勵(lì)更加安全的軟件開(kāi)發(fā)做法，而國(guó)防部——憑借其廣泛的購(gòu)買力——可以幫助加速這些技術(shù)的開(kāi)發(fā)和采用，并更換漏洞頻現(xiàn)的陳舊代碼。

硬件的弱點(diǎn)和漏洞常常是由類似的遺留問(wèn)題和工程疏忽所導(dǎo)致，其之彌補(bǔ)有時(shí)更具挑戰(zhàn)性。美國(guó)的民用網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是在目前這類司空見(jiàn)慣的安全威脅出現(xiàn)之前，從最原始的設(shè)計(jì)技術(shù)上逐步發(fā)展起來(lái)的。幾十年之后的今天，基礎(chǔ)網(wǎng)絡(luò)中遺留下來(lái)的陳舊技術(shù)，成為敵人注目和利用的各種漏洞，美國(guó)的許多系統(tǒng)可能因此被攻陷。要過(guò)渡到本質(zhì)上更安全的技術(shù)，其過(guò)程不僅漫長(zhǎng)而且具有高度擾亂性，可能需要從根本上重新構(gòu)建互聯(lián)網(wǎng)的技術(shù)基礎(chǔ)概念，但從長(zhǎng)遠(yuǎn)看，也許是保護(hù)美國(guó)利益的必要之舉。因此，國(guó)防部應(yīng)該資助這些努力，開(kāi)發(fā)出本質(zhì)上更加安全的網(wǎng)絡(luò)硬件供自己使用，并且鼓勵(lì)民營(yíng)界做出類似的努力，不僅保護(hù)支持軍事行動(dòng)的民用系統(tǒng)，從根本上說(shuō)，也是保護(hù)整個(gè)美國(guó)。

為了阻止?jié)撛趯?duì)手輕易進(jìn)入關(guān)鍵性系統(tǒng)，美國(guó)可以布設(shè)假情報(bào)和噪音迷霧，來(lái)掩蔽有關(guān)已知或可疑漏洞的準(zhǔn)確信息。對(duì)那些特別被關(guān)注的系統(tǒng)，如軍事指揮控制系統(tǒng)和民用電網(wǎng)，不妨制造大量模仿其網(wǎng)空印跡的誘餌陣，雖說(shuō)不見(jiàn)得總是有效，但亦無(wú)壞處。這些偽裝系統(tǒng)，如果設(shè)計(jì)巧妙，可以做到非常逼真，足可迷惑潛在網(wǎng)絡(luò)攻擊者，使他們以為已經(jīng)潛入了目標(biāo)——同時(shí)為這些對(duì)手灌輸精心準(zhǔn)備的假信息，或者誘騙他們遠(yuǎn)離真實(shí)漏洞，或者縱容他們犯錯(cuò)而暴露自己的身份和意圖。黑客面對(duì)眾多誘餌陣，就不得不費(fèi)力辨別真假，從而大大增加他們?yōu)榘l(fā)動(dòng)復(fù)雜網(wǎng)絡(luò)攻擊所必需執(zhí)行的技術(shù)偵察的難度。美國(guó)還可以通過(guò)采取技術(shù)措施，提高“真實(shí)”攻擊表面的變化速率，是以加強(qiáng)此策略的效果。若用這種方式隱蔽所有系統(tǒng)，耗資將過(guò)于龐大，也會(huì)排擠掉合法的網(wǎng)絡(luò)流量；但是，防務(wù)界可與民營(yíng)界建立伙伴關(guān)系，共同建造必要的技術(shù)基礎(chǔ)，因?yàn)槊駹I(yíng)界也有昂貴資產(chǎn)需要保護(hù)。

最后，鑒于潛在對(duì)手越來(lái)越多地使用信息技術(shù)，美國(guó)應(yīng)該發(fā)展網(wǎng)空進(jìn)攻能力，來(lái)配合其他領(lǐng)域的軍事行動(dòng)，并找到和彌補(bǔ)美國(guó)的漏洞。在未來(lái)的沖突中，我方如果能夠利用敵人的網(wǎng)絡(luò)漏洞來(lái)破壞其設(shè)施，就可以在戰(zhàn)勝敵人的同時(shí)有效減少生命和財(cái)產(chǎn)損失。進(jìn)一步，如果不具備與潛在對(duì)手相當(dāng)?shù)淖钕冗M(jìn)網(wǎng)空進(jìn)攻能力，那么挑戰(zhàn)我們自己系統(tǒng)的紅隊(duì)也就無(wú)法將自身質(zhì)量提升到可接受的水平。雖然美國(guó)應(yīng)發(fā)展網(wǎng)攻能力，但不可以威懾為核心目的來(lái)發(fā)展。因?yàn)榫W(wǎng)絡(luò)空間的特定性質(zhì)，對(duì)危機(jī)的升級(jí)控制構(gòu)成一些無(wú)法逾越的障礙。如果沒(méi)有可靠的模型來(lái)評(píng)估不同國(guó)家的網(wǎng)空進(jìn)攻能力和互相之間的相對(duì)實(shí)力，如果無(wú)法預(yù)測(cè)網(wǎng)絡(luò)攻擊的效果，那么威懾穩(wěn)定的概念在網(wǎng)空就沒(méi)有意義。

作者：愛(ài)德華·蓋斯特博士 / 斯坦福大學(xué)國(guó)際安全與合作中心麥克阿瑟基金核安全研究員（Edward Geist, PhD,MacArthur Nuclear Security Fellow）來(lái)源：《空天力量雜志》2016年夏季刊

轉(zhuǎn)載請(qǐng)注明：北緯40° » 如何構(gòu)建網(wǎng)絡(luò)時(shí)代的威懾穩(wěn)定？