千里之堤,溃于蚁穴。
【导读】自上世纪90年代,美国提出网络战概念以来,它便凭借其在网络空间的绝对优势,马不停歇地开启军事布局,以期实现其在第五空间领域的绝对主导权,拿下新型战争下的军事竞争制高点。从构建网军部队,到出台网络空间作战政策,再到发动一次次大型网络攻击,美国用无所不用其极的实际行动,证实着它在此方面的决心,倘若称它为第二,那则无人能居第一。如此雄心勃勃、来势汹汹,其国防部应该是全球最高级别安防体系下的政府部门了吧?然而,就在近日,这个被称作“美国军队的神经中枢”的美国国防部却遭到其问责局(GAO)的强烈问责,这波儿内部“开撕”的操作,究竟缘何?
美国国防部(United States Department of Defense),简称DOD,是美国国家军事最核心部门,主要负责统合国防与陆海空军。因其总部大楼位于五角大楼,故常用五角大楼代指美国国防部。伴随网络空间作战计划的实施,美国国防部不仅成功构建起全球最强的网军作战部队——美国网络司令部,更是在提高网络安全能力和网络安全基础建设上,也持续制定着一系列措施与计划。
- 2011年7月,美国国防部发布首份《网络空间行动战略》,以加强美军及重要基础设施的网络安全保护。
- 2015年10月,美国国防部发布网络安全学科计划,声称采用高强度身份验证、设备强化、减少攻击面、规范网络安全防御服务供应商四管齐下的方式实现网络安全水平提升。
- 2017年4月,美国国防部投资7700万美元建立新的网络安全计划,希望在一星期之内修复遭黑客攻击的电网设施。
- 2018年3月,美国国防部投资100亿美元开启一项联合企业防御计划,即“JEDI云项目”,旨在提高国防部的杀伤力,为军队提供最好战备的资源。
- 2018年9月,美国国防部重磅公布了《2018国防部网络战略》摘要,提出建立更具杀伤力的力量、网络空间竞争及威慑、强化联盟和合作伙伴关系、改革国防部、以及培养人才等五条具体战略方针。
- 2019年7月,美国国防部发布《数字现代化战略》,旨在快速推动国防部数字环境的现代化,应对大国竞争。
政策计划的出台是窥知行动的一面镜子。仅从上述系列内容上,也足见美国国防部近年来针对国家安全的战略布局从未间断,高资本投入更是下足了功夫。然而,这些所谓的“安全计划”最终落地结果究竟如何?
内部“开撕”?美国国会谴责国防部 “剑指”网络安全计划“三宗罪”
近期,美国政府问责局(GAO)高调谴责美国国防部尚未实施基本的网络安全措施,五角大楼面临着越来越大的网络安全风险。在GAO发布的标题为“国防部需要采取果断措施来改善网络环境”报告中,剑指美国国防部在国家网络安全领域的“三宗罪”。
第一宗:推进计划严重滞后
《国防部网络安全文化与合规计划》(DC3I)举措中,本应在2016财年完成11项任务,包括网络教育,培训和与其他练习的整合。耗费四年时间,仍有7项任务未完成。
第二宗:执行工作疏忽大意
《网络安全纪律实施计划》(CDIP)中,本应消除国防部网络的可预防漏洞,但调查发现仍有17个并未消除。
第三宗:培训完成率低到可见
在《网络意识培训》方面,也未完全实施。尤其在培训完成率方面,陆军未提供完成训练的用户数量,海军、空军、海军陆战队和欧洲司令部等6个部门未收集未完成训练的信息;被评估的16个机构中有8个因不清楚未完成培训人员数量被撤销了网络访问权限。
此问责一出,简直让人怀疑:这真的是标榜拥有世界上最安全网络系统的美国国防部吗?其凭借“王牌军团”——网军司令部在它国面前耀武扬威,不断挑起全球网络空间争霸之战;然而,在其“老家后院”却在最关键的网络安全问题上犯下如此低级的错误!
然而,更匪夷所思的是,这已经不是美国国防部第一次出现类似问题,简直可以用“惯犯”加以蔽之。
全球高级别安防体系下的国防部门 频现安全危机,恐成军事“纸老虎”
付出与回报多数情况下成正比。如上述网络安全保护措施没有有效实施落地,从基层到高层大家均不清楚自身在国防部实施的网络安全保护措施中的付出情况与程度。那势必有为此忽视来“买单”的那一天。事实也果不其然。
其一,国防数据信息恐泄露
就在近期,在新冠疫情大肆横扫美国之时,为保证远程办公信息安全,美联邦调查局(FBI)对Zoom的隐私和安全问题发出警告。然而,以美国国防部为代表政府机构并未加强警觉,依旧继续使用这一视频会议软件,国防数据泄露的事情似乎随时可能发生在明天。
见微知著,美国国防部的这一行为暴露了其对待安全威胁的一贯态度。美国对其五角大楼的网络安全似乎永远是那么的自信,像极了它们的总统对待疫情的态度一样,一旦出现问题,谁又会为这种盲目自信负责呢?
其二,战备武器安全岌岌可危
早在2018年10月,美国政府问责局的一份报告中,五角大楼的一名黑客对F-35隐形战斗机进行了弱点测试,能够在短短9秒内破解高级飞机的计算机密码 ; 四个月后,GAO指出这个巨大的安全漏洞仍未得到解决。
这种糟糕的情况还发生在导弹防御系统的设施上。在连接到美国弹道导弹防御系统的服务器站点,监察员“发现一个未上锁的服务器机架,而这台机架上就贴有标志,要求服务器机架门必须始终保持锁定状态。”
重视程度上远远不够,保护武器系统的网络和软件的系统方面进展严重迟缓。面对如此低级的安全问题,一名小小的黑客动动手指就足以掀起一场美国武器安全的轩然大波!
其三,大国网络实战威胁步步紧逼
如果说上面两起案例只是安全威胁并没有造成实质伤害,那么下面这起五角大楼遭黑客攻击则是实打实的“买单”。
2015年7月25日,黑客组织通过“鱼叉式网路钓鱼”技术,入侵五角大楼参谋长联席会议雇员所使用的非保密邮件系统,窃取大量资料。然而,就在黑客攻击发生11天后,该网络系统仍被重新投入使用。近4000名军人和文职人员受到影响。(事后经据调查,美国国防部将此次国家级黑客攻击行为指向俄罗斯。)
这里必须强调的是,美国国防部可是斥资17亿美金打造了几乎是世界顶级防火墙,竟然没有第一时间发现并拦截黑客的入侵?是俄罗斯国家级黑客过于强大?还是美国国防部网络安全早已是“溃于蚁穴”?
今天,我们从美国问责局问责美国防部事件说起,用一桩桩实打实的内容与案例,见证到美国五角大楼在网络安全能力和网络安全基础建设上存在的重大问题,以及由此带来的一系列重大风险问题。
如此雄心勃勃欲在网络空间争霸,然而制定的网络安全计划实施落地却如此一般:人员的网络安全意识淡薄,人为的网络安全防御能力较弱,以及网络安全基础建设又较差,那么即使其拥有全球最强网军司令部,估计在真正网络战面前也容易“后院起火”。
尤其是在现代战争中,武器落后、战术落后,那是技不如人,完善武器与战术一定有翻盘机会。然而,如果是思想上的意识淡薄、行动上的不作为,那才是致命风险,部署计划并落地实施才是体系对抗的重要核心。
此时,不禁想问一句,如此的美国国防部能撑多久呢?