基于民用关键信息基础设施网络作战

网络作战的变迁

• 电子对抗分3个方面：电子对抗侦察、电子干扰和电子防御。

• 电子对抗按电子设备的类型可分为雷达对抗、无线电通信对抗、导航对抗、制导对抗、光电对抗和水声对抗等；

• 按配置部位又可分为外层空间对抗、空中对抗、地面（包括海面）对抗和水下对抗。

• 机载电子对抗系统是现代电子对抗的主要手段。随着弹道导弹和卫星的发展，外层空间是一个新的战场，电子对抗在未来的现代化战争中，将对战略攻防起到重要作用。

• 信息战是为夺取和保持制信息权而进行的斗争，亦指战场上敌对双方为争取信息的获取权、控制权和使用权，通过利用、破坏敌方和保护己方的信息系统而展开的一系列作战活动。

• 信息战这个概念最早出现在20世纪八十年代中期，沈伟光首先发现并在《信息战》论提出的。

• 1991年的海湾战争由美国等多国部队在战场上进行了首次实践。国外1992年美国国防部颁发的《国防部指令》提到了信息战。信息战不只是一些能力，它要与网络空间结合以发挥威力。

• 20世纪90年代初，美国国防部成立了一个计算机病毒的研究组织，研制具有大规模破坏作用的恶性计算机病毒，作为计算机网络战的辅助手段。1999年的科索沃战争中，美军首次实施了计算机网络战，利用网络战手段打击了南斯拉夫联盟共和国的网络信息指挥控制系统，使南联盟的信息资源与作战效能受到重创，对达成空袭目的起到了重要作用。

• 由于网络战的巨大威力和在未来战争中的地位愈加显著，世界发达国家纷纷开始组建网络战力量，美军成立了网络司令部。

• 网络战以计算机和计算机网络为主要目标，以计算机和计算机网络通信技术为基本手段。主要包括网络对抗侦察、网络攻击和网络防御。

• 未来作战，网络空间将成为重要的战争空间，网络战力量成为军队的重要作战力量，网络领域斗争可能成为重要的战争诱因，网络武器的技术等级和系列化程度将更高。

• 网络空间作战可以理解为涉及“使用网络空间能力，主要目的是在网络空间内或通过网络空间实现目标”的作战。网络作战：（1）使用网络能力，如计算机、软件工具或网络；（2）主要目的是在网络空间内或通过网络空间实现目标或效果。——美国国防部战争法手册

• 网络作战从初期的战术目标转向了战略目标，传统的网络作战（如：早期的电子战、90年代兴起的信息战，然后到现在的网络战）作为作战部队的重要辅助手段，通常由作战部队直接策划与指挥；即使到了现在，具体运用于实际作战环境的指挥依旧由作战指挥实施指挥活动。

• 随着信息化/数字化的社会依赖性越来越高，网络作战开始向战略层转换。网络作战不在是简单的实际作战的一种手段，而是成为整个战略策划的一个基点成为一个完整的作战体系中重要的一环。

• 由国家最高层及国家军事力量的最高层构建共同的战略方向并将网络作战融入战略规划。

从西工大事件分析传统网络作战

俄乌战争下的网络作战

美国国防部网络战略

a.该战略定义了五个网络空间目标：

1)确保联合部队能够在有争议的网络空间环境中完成任务；

2)通过开展增强美国军事优势的网络空间行动来加强联合部队；

3)保护美国关键基础设施免受恶意网络活动的侵害，这些活动单独或作为活动的一部分可能导致重大网络事件

4)保护国防部信息和系统免受恶意网络活动的侵害，包括国防部关于非国防部所有网络的信息；

5)扩大国防部与跨机构、行业和国际合作伙伴的网络合作。

b.该战略定义了五种战略方法：

1)打造更具杀伤力的联合部队

2)网络空间的竞争和威慑

3)加强联盟，吸引新的伙伴关系

4)改革部门

5)培养人才 

定义国家关键信息基础设施

《中华人民共和国网络安全法》第 31 条定义关键信息基础设施为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益” 。

是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行 业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。——《关键信息基础设施保护条例》第二条

美国网络空间作战下的国家关键信息基础设施保护战略

国防部必须做好防御非国防部拥有的国防关键基础设施（DCI）和国防工业基地（DIB）网络和系统的准备。

维护DCI防御能力的主要目标是确保基础设施的持续功能和能力，以在有争议的网络环境中支持国防部的目标。

与DIB实体合作的重点是保护国防部敏感信息，这些信息的丢失，无论是单独还是整体，都可能导致联合部队军事优势的削弱。

作为DIB的部门特定机构（SSA）以及DIB和DCI的业务合作伙伴，国防部将：

制定和执行网络安全、恢复力和报告标准；

在事件发生之前、期间和之后，应要求和授权，准备提供直接援助，包括在非国防部网络上。——美国国防部《国防部网络战略》

网络作战场景假设

2030年6月，位于亚热带气候的A国X市突然发生大面积传染疾病，为了有效控制疾病，有关部门对市区进行风险控制处理，要求居民居家不得随意外出，并由政府提供日常生活用品和物资。一夜之间，城市常用的各种社交媒体和论坛出现大量负面新闻和视频，很多发布者都是互联网大V，甚至有些政府所属的网站、平台遭到恶意篡改，加剧了城市居民的恐慌；紧接着城市供电系统出现异常，不规律的城市电力过载和中断、低压问题频频发生，电力异常导致居民住宅用电受到干扰和影响，家用电器也因为频繁发生跳闸、断电发生损害，尤其是冰箱、空调和电视设备。而这类设备的损坏加剧了居家生活的困难，在高温下，居民日常生活受到极度的影响，休息以及大量食物的损坏使得居民在不良传闻的诱导下产生了对抗情绪；同时电力问题也直接影响到了生活用水、天然气等其他问题的产生。

针对国家关键信息基础设施攻击案例

在现代战争中，随着对信息化的依赖，不仅仅是在作战中，更多的是在民生和基础能力建设中，使得战争的手段更加丰富和不可预测；网络战随着供应链的依赖和延伸，蝴蝶效应变得更加明显，依赖性越高，这种效应也就越突出，因此，战争本身考虑的不仅仅是攻防双方的战力和国力而是全球化的一种影响。

网络作战手段规划与设计

图：网络空间内部、内部和外部的作战

国家网格

国家网格的定义是为建立针对本国利益（领土、政治、经济、国民）产生危机的影响程度定义；

目标网格

目标网格是针对敌方与我方IT/OT应用领域的设定；战争是基于攻防两端的活动，因此目标网格的设定既是攻击对象同样是防御对象；

能力网格：

能力网格是针对攻击者与防御者能力的分类和定义，通过长期的情报能力的分析，获取具备攻防能力成员的水平和技能，分类能力网格，能力网格对应目标网络的攻防关系，然后作用于国家网格实施能力水平。

网络作战实施

网络作战的主体手段和利用

常用手段

长期潜入常用的手段：

（1）供应链攻击：可以使用产品预设、软件污染、人员攻击、服务商攻击等手段；

（2）社会工程学：利用管理缺陷、人的弱点为前期的潜伏创造机会；

（3）利用已知的漏洞和暴露的接口（软件接口、管理接口、网络通信接口以及业务连通性）；

（4）标注可接入的通道（物理通道，利用离场设备；逻辑通道，未标注的通信链路或者违规使用的无线链路）；

（5）特种木马；

（6）伪装账号和僵尸账号；

由于长期潜伏的目的本身是为了后期的攻击做出进一步的准备，因此潜伏前后都不会对系统产生破坏或者数据操作的行为，更多的是通过模拟日常的业务流行为隐蔽自己；

中期战略

更多会发生在互联网平台，由于前期产生大量的账号，甚至可能已经获取某些平台的管理权限；本阶段开始培养用户及拥护者，并且不断发布有利于整个政治需求的言论；而对于特定的作战目标和意图利用前期的潜伏有针对性的收集信息进行情报分析为短期战略提供支撑；

本阶段会大量使用僵尸网和爬虫来收集及获取数据，为了掩盖自己的意图，伪造第三国IP地址实施形式化攻击，利用网络攻击行为来模糊化实际网络作战的战略意图，并可以制造国家之间的民族情绪。

实际上我们经常所说的APT 攻击在网络作战中定义为中期作战手段。而这类APT更加关注于政治意图具有国家背景的行为。

短期战略

具体的战术手段，本阶段结合具体的环境利用已经具备的工具、权限实施具体的行动。这里面有一些假想会受到广泛的质疑：

（1）为什么不是针对通信的瘫痪式攻击？很容易解释，网络攻击需要提供通信渠道建立攻击途径，就和攻击者为什么不炸毁攻击路线的桥梁和道路一样，没有了空中力量，当道路和桥梁没有了，请问攻击部队如何前进？对于通信的瘫痪需要在特定条件下，比如：瘫痪军事通信、瘫痪应急通信、劫持政府通信以便自己发布虚假宣传；因此构成瘫痪的条件是是否有利于攻击者的行为。

（2）为什么是无规律的区域性中断而不是全局中断？攻击还是事故？这是在建立应急响应工作过程中的一个难题，如何判定产生故障的因素来自于外部还是内部；来自于人为还是物理或者设备设施的故障，然后才能基于预案实施处置。大面积中断从产生故障的节点而言要比随机性的中断更容易判断，而且一旦有效处置，后续攻击将变得异常复杂；但是随机多区域不停的产生多元化故障一方面是为了导致应急人员产生误判；另一方面使应急人员疲于奔命式的救援导致人身体的疲惫从而延长处置时间和判断力；第三、当产生误判时，使其能够保持原有的防护能力而不至于产生防护升级以及溯源产生的攻击者的暴露。

（3）为什么会选择电力系统？因为“电能”是构成整个人类生活最基本的元素，而信息化/数字化所依赖的基础就是“电能”。

民用关键信息基础设施对抗概要

原文始发于微信公众号（河南等级保护测评）：基于民用关键信息基础设施网络作战