据英国《简氏国防工业》2014年3月26日报道 日本国防部(MoD)于3月26日建立了赛博防御部队(CDU),发现并应对国防部和日本自卫队受到的赛博攻击(JSDF)。
国防部在一份声明中表示,该部队将负责监控国防部和自卫队的网络,并与其他部门和机构合作,加强日本应对赛博威胁的能力。部队将设在国防部机构下,包含90个曾参与过赛博相关活动的日本空军、陆军、海军自卫队人员。这是日本对提升解决国家级威胁的能力所做出的一部分努力。建立赛博防御部队的要求发布于2011年日本发布的国防白皮书,这一要求促进了日本与美国的赛博防御合作。
日本近年来一直受到几个主要的赛博攻击,赛博防御部队的成立将帮助日本有效的对抗政府和自卫队受到的攻击,虽然对关键国家基础设施(如国家主要的防务公司)的保护程度尚不明确。
日本自卫队 网络防卫队 成立 直属防卫相编辑本段回目录
日本自卫队提升网络战防御关键能力编辑本段回目录
尽管潜在的对手可能试图将Internet作为战争方式,攻击日本国家关键基础设施,但目前在分辨进攻性网络攻击是否属军事行动、是否是网络犯罪或者是网络涂鸦行为上还是非常困难的。即使有这些困难,“网络攻击行为识别能力”对于一个国家防御进攻性网络战并保护起关键基础设施来说是最基本的能力。虽然网络攻击识别能力的需求非常明晰,日本准备防御网络战的能力确非常有限。
本论文中,作者展示与日本为防御性网络战的做准备过程中相关的一些问题。然后,作者对日本自卫队反战网络识别能力坐了一些建议。这包括技术问题,包括自卫队作为防御军事网络攻击的主要角色的机构,包括自卫队C4系统司令部的人力能力增强,包括与其他组织一起执行网络防御演习等等问题。
目前,我们处在一个信息时代。现代社会高度依赖信息通信技术(ICT)来维持很多国家关键基础设施,比如电力网络,油料、煤气和水供应,运输和金融市场。当然,日本也不例外,而且是一个最依赖ICT技术的国家。虽然ICT提升了便利和效率,但它也产生了国家实力的关键弱点。虽然网络攻击识别能力的需求非常明晰,日本准备防御网络战的能力确非常有限。
在这种困难条件下,“网络攻击识别能力”仍然是国家有针对的防御进攻性网络战能力、保护其关键基础设施的基本前提,因为一个国家不可能在确认其是否是军事行动前,有效的应对这种“网络珍珠港”事件。在这个短文中,作者演示了网络攻击识别能力对于日本关键基础设施防护的重要性,包括日本网络战准备情况的一些问题。然后,我对日本自卫队发展网络识别能力提了几点建议。
网络战身份识别能力对保护日本国家利益攸关重要。二战以后,日本从灾难中恢复过来,并成功的发展为一个经济上得发达国家。1990年以来,政府组织和很多民间公司开始充分利用ICT技术,并不断推动ICT技术的发展。2000年,日本政府选择“E-JAPANA战略”,以此达成世界上最高级的ICT发达国家。使用宽带网络技术如ADSL、FTTH等接入Internet的用户数迅速增长,2009年超过了9千万。与ICT在日本的迅速增长相伴,Internet网络犯罪的数量也持续急剧增长。
在这种情况下,作为一种军事行动,日本的潜在对手可能利用Internet最为一种武器来攻击日本的关键基础设施。它们不仅可能会直接的攻击自卫队使用计算机的指挥系统,而且会攻击电力网,城市天然气分发系统,铁路控制系统,航空管制系统,甚至是东京的股票交易所。如果它们在突然的军事进攻前,在这些领域成功的实施网络攻击,其结果将是灾难性的,因为很难识别这种攻击是否是军事进攻行动的开始。
为了有效应对这种攻击性网络战,网络攻击识别能力对日本自卫队来说至为关键。在不能识别这种攻击是一种军事行动的情况下,日本自卫队只能采取防御措施,减少这些网络攻击的破坏影响。“武装攻击态势反应法”决定了日本对武装攻击条件下的反应基本本质,定义了基本的原则,明确了在遭受武装攻击条件下日本政府和和国民的职责。根据该法律,日本政府必须公正的判断武装攻击的态势或者武装攻击最可能来自的方向,认定组成这些判断的事实依据。为了评判自卫队军事反应,证实网络攻击的属性是否是武装攻击的前兆是最基本的问题。因此,日本自卫队应该发展网络战识别能力。
虽然对这种需求非常明确,但目前日本应对网络战的准备非常有限。首先,支援国家关键基础设施的信息系统防御职责依赖于每个组织。主要的通信公司都组建网络作战(操控,operate)中心,控制并监视自己的网络.Internet服务提供商也组织安全作战(操控,operate)中心,以探测并保护网络攻击和计算机病毒,防护自己的关键服务器。虽然这些ICT公司拥有训练有素的作战中心,但其他的国家关键服务组织和公司一般都不会组织这种类型的职能部门,比如说,民用电力公司可能仅仅是设置一个控制中心,管理电力的分发,但他们没有探测网络攻击的组织和职能。
第二,虽然网络攻击反应组织之间的关系已经变得比以前更有能力,这些组织却没有识别网络战攻击的职责。日本计算机应急反应分队协调中心(JPCERT/CC)是具有高等级网络事件反应能力的核心组织。它的行动包括应急事件反应和分析,安全预警,与世界上其他CSIRT协作,与生产商协调,教育和训练,研究与分析。JPCERT/CC与主要的ICT公司的网络与安全中心合作,构建Internet 扫描数据获取系统(ISDAS ),该系统部署有广泛分布的传感器系统,能观测各种扫描行为、蠕虫感染情况、探测感知脆弱系统。虽然JPCERT/CC有能力也能够与其他公司互联互通,但他不是一个政府组织,而是一个独立的管理研究机构,没有责任应对网络战。
JPCERT/CC的目标:
1、提供计算机安全应急反应。
2、协调国内和国际CSIRT和相关组织。
3、培育新的CSIRT的组建和CSIRT组织之间的协作。
4、收集、分发关于计算机安全事件的技术信息,漏洞与安全修复信息,其他的安全信息,包括发布警告和预警。
5、提供对计算机安全应急事件的研究和分析。
6、执行针对安全相关的技术研究,并
7、通过教育和训练,增强对信息安全、技术知识的感知与理解。
简短历史
1992年,作为日本IP领域工程与计划组的安全特遣分队,由志愿者开始有关行动。
1996.10,以日本计算机应急反应中心的名义,成立组织。
1997.6,加入APSIRC(Asia Pacific Security Incident Response Coordination)工作组。
1998.8,加入FIRST,JPCERT/CC是来自日本的首个被承认的该组织成员。
2002.2,在日本东京组织APSIRC论坛。
2003.2,协助建立APCERT,并被指定为该组织秘书处。
(1)漏洞处理
漏洞处理是为了减少可能事件的可能性而公布准确漏洞信息的过程。JPCERT/CC向生产商提供探测到的漏洞,向他们请求补丁和解决方法。他与国际CSIRT和其他组织一道,管理着咨询目录,并发布计划,目的是能够同时发布漏洞信息。JPCERT/CC通过JVN---一个漏洞警告PERTAL站点----发布有关信息。
(2)应急处理
作为一个CSIRT,他与国内和国家CSIRT一起协调工作,接收应急报告,如有必要提供支援。比如,如果接收到国外某网站被探测到是钓鱼网站的通知,他将与该国的CSIRT合作,要求他们关闭该站点。有关事件和应对措施的信息共享互换,以期最小化破坏并防止未来的死灰复燃。
(3)安全早期预警服务
JPCERT/CC通过漏洞处理,已经采集和分析国内和国际上各种类型的安全事件,ISDAS(Internet Scan Data Acquisition System),应急处理并公布安全警告。应对措施也会提供给国内关键基础设施组织,包括电力与煤气公司,航空和铁路公司。JPCERT/CC已经为这些组织组建一个内部CSIRT提供了支援,同时实施网络安全演习,确保这些组织正确的执行应急反应。
(4)国际CSIRT组建支援
JPCERT/CC已经为在亚太地区组建国家CSIRT提供了专家和技术支援。而且,他提供了周期性的应急反应训练,加强国家CSIRT的合作,能更好的为应急事件做好准备。
(5)人工分析
JPCERT/CC还对诸如僵尸网络这样的网络攻击作人工分析,并执行相应的对策技术研究。
第三,民用公司的信息系统保护的政府责任当局能力非常弱。政府已经多次立法,确立很多安全标准,比如信息安全管理系统(ISMS ),信息安全保护集成标准 。然而,目前没有全面的法律“规范一个公司必须满足的安全等级标准”。
最后,日本自卫队的网络战能力也非常有限。2008年,防卫省组建了自卫队C4系统司令部 ,该司令部直接向联合参谋办公室的参谋长负责 。而且,自卫队所有三军都有系统保护分队或者中队。然而,这些中队或者分队的职责是保护那些日本自卫队以外的、支持国家的关键基础设施的信息系统。
总之,虽然对网络攻击识别能力的需求非常明确,但日本准备应对网络战的能力非常有限。而且,防卫省和自卫队还没有达成共识,去构建全面的战略性网络战防御能力,用以覆盖国家关键基础设施,和自卫队的军事指挥系统。
然而,我们能够识别一个网络攻击属于军事行动吗?识别网络攻击的属性是非常困难的,这一点是非常明确的。为了避免被网络警察甄别出来身份,几乎所有的黑客都模拟他人或者盗用他们的计算机,以此来“委托”、掩盖入侵者身份。DDOS(分布式拒绝访问攻击),这种最为流行的、也是最为简单的方法,来饱和攻击目标服务器,也是利用被攻陷的计算机来发动的。被劫持的计算机的所有者对他们正在攻击目标计算机一无所知。因此,虽然网络警察能够确定DDOS的攻击源,明确这些攻击计算机,但很难确定DDOS攻击的真正攻击者。
然而,为了在自卫队构建防御性网络战能力,网络攻击识别能力非常关键。如果日本自卫队无法或者这种网络攻击识别技术,他将不可能实施有效的防御行动,应对这种战略性网络攻击作战。因此,这种技术对于网络战的攻击方和防御方来说都非常重要。
虽然目前识别网络战攻击源非常困难,在不远的未来这也不是不可能。“IP追踪 ”就是其中的一个关键技术。当将一个追踪系统引入到Internet上以后,ISP因特奈特提供商操控员就能够确定隐在ISP中的特定数据包的路径,在安全事件发生时,能够跟踪到攻击者的ISP,在网络拥挤的情况下,识别属ISP的瓶颈在哪里。从2009年四月到七月,大规模的演示实验已经得到实施。15个主要的ISP和三个研究中心,参与了这个实验。使用实时的Internet环境,他们成功的追踪到了网络攻击源,这些攻击源被不同的IP地址模拟,并路径了15个不同的ISP提供商。这是世界上第一个成功的此类实验---在真正的英特网上追踪路径不同ISP的网络攻击。虽然这里存在一些技术和法律挑战,但在不久的未来,识别网络攻击源还是有可能的。这种技术非常像1935年雷达技术的诞生。早在1935年以前,探测入侵战斗机是不能的。然而,英国成功的发展并利用了雷达技术,并将其集成到指挥中心和飞行联队,来防御整个国家。未来,IP追踪技术就可能成为网络空间的雷达。
日本自卫队构建网络攻击识别职能的第一步就是指定日本自卫队作为日本网络战防御的主要成员。就像前述所提到的,在引入日本自卫队介入网络战防御职能方面,不仅日本政府,就是防卫省也没有达成共识。日本被诸如韩国和俄罗斯这样的潜在网络战威胁者包围。特别是,在日本和韩国之间存在的历史争端,激起狭隘的民族主义,导致网络空间的冲突。目前,没有证据证明网络攻击与军事组织的行动相关。但这些国家和民族可能利用民族主义作为信息战的一种方式,间接的导致军事冲突。因此,日本政府必须认识到,这些潜在的威胁可能成为一种军事威胁,必须将日本自卫队引入到网络战防御的职责中来。
第二步是在自卫队C4系统司令部内部组件网络空间防御作战中心。这个作战中心必须集成网络空间的态势感知,不仅在自卫队这个封闭的网络和指挥系统中,而且也必须要将民用主要的通信网络、主要的ISP和关键基础设施的信息系统纳入进来。然而,就日本自卫队有限的经费预算来说,还不可能创建仅仅用于军事目的的传感器网络。因此,日本自卫队应该从其他的组织获得网络空间态势感知。政府和非政府组织,比如说国家信息安全中心(NISC )、JPCERT/CC,@police(日本国家警察局的网络力量)、主要ICT的网络安全作战中心,包括一些安全软件生产商,已经在Internet上构建了他们自己的传感器网络。特别是,NISC和JPERT/CC在从这些组织中集成信息方面承担重要角色。自卫队C4系统司令部需要在这些关键组织之间构建紧密的联系,以获得态势感知。
日本国家警察局的网络力量
目前,日本人的日常生活和社会正在被逐渐增长的新型高技术犯罪和网络恐怖主义威胁。这里所讲的网络力量,属于日本国家警察局反网络恐怖主义的一个项目。
网络力量的产生:
“网络力量”在这里实际上是指分布于全日本的技术性计算机安全分队,目的是要支援犯罪调查,定位于未来的网络恐怖主义和类似的犯罪行为。
网络力量中心作为分布于全日本的网络力量分队的指挥中心。该中心全天候监测Internet安全,采集和分析相关的信息。它配置有广泛的R&D(研究与开发)设备,部署了训练有素的人员,并有良好的训练。
日本国家警察局早就承诺维持计算机和网络安全。传统的方法是将该项业务置于高技术防御预防部。1999年,一个全新的项目付诸实施用来协助解决高技术犯罪---高技术犯罪技术处在信息与通讯局组建,并设有国家警察局数字法医中心,作为该处的核心技术中心,并将其作为在国家范围内领导各县府警察局的技术中心。此外,每个县府警察局都被要求指定专门调查高技术犯罪的人员,并加快不同县府警察局之间的协调协作。
后来,网络恐怖主义将对社会产生重要影响,为了这个原因,预防和防止网络恐怖主义蔓延变得非常关键。国家警察局被委托应对这种网络恐怖主义、组建监测监测系统、做好应急反应准备。这种准备一部分就是网络力量(一种移动式的技术分队)。
网络系统探测是该网络力量的核心系统。他允许网络力量去监测安装于全国范围内警察设施的众多因特奈特接入点,并全天候、全时间在线。
分析这个系统采集到的信息对于迅速的发现因特奈特攻击新方法非常有帮助,能够促进与相关业务局的信息共享。该系统也具有许多特征,能够通过Internet采集并分析公开可用的信息。
正确的反应高技术犯罪和网络恐怖主义,需要有效利用最新的技术成果,需要不断维持和提升技术能力。这包括维持和提升我们建立起来的最新技术,包括主动的采用新技术。未来完成该任务,他们以无可逾越的规模构建了研究和开发系统,能够与民事领域无缝连接的工作。
这个系统允许他们研究和开发基本的、必备的网络安全技术,应对各种潜在的攻击方法,以安全的方式将其移出Internet。他们的研发分成3个主题:漏洞评估,预防与保护,日志完整性。
在真正的网络恐怖主义攻击事件发生时,迅速的对受感染计算机进行反应非常必要,这可以防止破坏的蔓延并保护证据。所以需要具有在线行动资源的协助。在线行动资源包括计算机、分析设备和为了应对这些事件而配置的专业的车辆。
计算机和分析设备包括能支持当前和可以预见的未来的所有计算机系统的操作系统。专业车辆装备有车载发电机。
第三步是增强自卫队C4系统司令部的防御性网络战能力。防卫省已决定将于2011年在自卫队C4系统司令部下属单位组建网络空间防御分队 。由于有限的人员数量,所有分队的成员必须努力掌握新技术。维持并增强ICT能力是执行防御性网络战的关键。《网络空间战略战》的作者,Grey Rattray,也指出,防御性战略信息战的努力,和参与进攻性战略信息战一样,需要一大批人力投入,拥有高级技术技能。虽然所有军种都建有与信息技术相关的技术学校,,但对于这些学校来说,让他们跟上新技术的发展还是比较困难的。因此,分队的成员应该被临时的派送到ICT公司,JPCERT/CC,或者安全软件生厂商,学习网络空间的最新知识。这个项目不仅在增强成员能力上非常有效,而且对提升与民用专家之间的关系来说也非常重要。更多情况下,分队的成员不仅必须增强网络能力,还需要强化现实军事作战的知识和经验。完全的关注“IT”的人员可能在网络攻击和传统军事攻击之间关系上失去洞察力。
第四步是执行全面的网络防御演习。就防御性网络战来说,防卫省必须在这些演习中负起责任来。目前,虽然我们尚没有与民用公司一起训练,内部事务与通信部(MIC )已经组织了“通信领域网络攻击反应演习”。首相、内阁和三个主要的ICT公司---NTT、KDDI、IIJ----参与了这个演习。演习的目的是协同应对预想的DDOS攻击。然而,防卫省和自卫队并没有参与这些演习,因为MIC仅仅关注与针对日本的网络犯罪,没有考虑到网络战的问题。因此,防卫省将来应该首先提倡执行全面的网络战防御演习。识别军事网络攻击将成为自卫队C4系统司令部的最重要任务。基于这个原因,在演习中,自卫队C4系统司令部应该将关注点放在判断网络攻击是否是军事网络攻击这个问题上。如果C4系统司令部成功的确定是军事网络攻击,他们必须以证据来证明他们防御行动的正确性。为了识别并获取军事网络攻击的证据,在防卫省和其他组织之间的协同就显得非常关键了。网络战分与演习不仅对日本自卫队能力来说非常重要,对相关组织之间的关系也非常重要。
总结起来看,日本政府,特别是防卫省,必须认清准备战略网络战防御的必要性,必须认清在日本自卫队构建防御性网络战能力的必要性。为了执行针对军事网络攻击的全面反应行动,识别能力是最关键的技术。更重要的是,作为一个军事作战,自卫队、其他防卫省以外的组织之间的协作非常关键;准备防御系性网络战有四步:指定自卫队作为防御军事网络攻击的关键角色,构建往空间防御作战中心,增强自卫队C4系统司令部的人事能力,与其他组织一起执行网络防御演习。
这些准备工作对于防御针对日本的网络战来说至为关键。
作者:Black, Mark L and Griffith, Paul E
编译:知远/严美