为了提高我们自身以及民用网络系统的韧存性，军方应与民间企业联手，通过长期合作，减少易被敌对网络攻击利用的漏洞。想排除所有漏洞固然不可能，但毕竟可以减少潜在对手攻击的目标选择，从而有助于加强美国安全。我们有充分的理由相信，安全软件和硬件研制所遇到的困难，在根源上主要是体制和文化上的障碍，而不是技术性障碍。我们的许多较陈旧的代码库是建立在过去的时代，当时根本不可能想象到眼下出现的这些安全挑战；传统的软件开发惯例，更多着眼于控制成本和如期完成任务，而不是强调关注安全。起初，国防部虽然拨款资助方法研究，以证明开始于1960年代的程序的正确性，但其之所为对美国防务部门或民营界开发自身系统的方式几乎没有影响，部分是因为这种研究需要几十年时间才会出成果。研究人员原来希望开发某种技术，能够适用于用现有编程语言编写的软件，却发现，要想证明用FORTRAN这类语言编写的即使是最一般程序的正确性，也难如登天。事实表明，要想编制出能证明正确的软件程序，将需要以另一种模式进行编程和硬件工程。学术研究人员在1970年代着手开发这种技术，几十年来虽在理论和实施上缓慢演进，却仍未达到可实用的程度。并且，一直到最近之前，我们很少需要安全系统和安全软件。虽然军方为了某些应用而寻求这些技术，但民间不情愿为看似完全多余的功能付出额外的成本。既然防务市场基本排外，既然成本控制问题无所不在，广大民营界自然缺少热情来生产价格可负担的安全系统和软件，或是开发这种生产所需的人力资源和技术。幸运的是，有充分理由相信这些障碍可以被克服。

由于意识到当前的方法不能充分满足美军的未来需要，国防高级研究计划局在2012启动了一个项目，旨在依据像定理证明这种形式化方法来开拓性地创造硬件和软件的安全结合。这个项目被称为“高可靠性网络军事系统，”其目的是“开创构建高可靠性物理网络系统的技术，高可靠性的定义是指功能上正确且能满足合适的安全与安保性能。”作为示范，该局研发了一个遥控四轴无人飞行器，其安全程度如此之高，以至于组成“红队”的黑客耗费了六周时间研究完整的源代码之后，也未能找到任何漏洞。这个绝技显示，充分安全的软硬件不一定是白日梦想，但是需要沿循另一个非常不同于常规的开发过程。要想使这种技术得到普遍采用，即使仅出于防务目的，也将需要建立一整套全新的系统开发文化，包括用截然不同的思维方式培训大批程序员和工程师。这个转变过程将艰难而昂贵，但是可能是保护美国资产免遭日益复杂的网络攻击的唯一途径。

民营界现在也越来越注重运用正规方法减少网络漏洞风险。技术产业面临着针对商业利益的网络攻击所引发的严峻经济赔偿责任，投入了越来越多的资源，从质量上改善软件工程技术，从而大大减少了这种漏洞的发生率。比如，莫兹拉基金会（Mozilla Foundation）就积极开发出了Rust，这个系统编程语言的目的是把程序员从经常给软件带来严重安全漏洞的人工记忆管理中解脱出来。另一种有前途的方法是使用像 Haskell这种功能性编程语言，其特点在于迫使软件按照严格的数学形式编写，而保障建立起确保正确行为的非常规程序。这类功能性编程虽然与大多数程序员熟悉的命令式编程非常不同，但吸引了安全研究人员越来越多的关注，因为它编排的软件可望大幅度减少安全漏洞数量国土安全部正在进行一些项目，旨在鼓励更加安全的软件开发做法，而国防部——凭借其广泛的购买力——可以帮助加速这些技术的开发和采用，并更换漏洞频现的陈旧代码。

硬件的弱点和漏洞常常是由类似的遗留问题和工程疏忽所导致，其之弥补有时更具挑战性。美国的民用网络基础设施，是在目前这类司空见惯的安全威胁出现之前，从最原始的设计技术上逐步发展起来的。几十年之后的今天，基础网络中遗留下来的陈旧技术，成为敌人注目和利用的各种漏洞，美国的许多系统可能因此被攻陷。要过渡到本质上更安全的技术，其过程不仅漫长而且具有高度扰乱性，可能需要从根本上重新构建互联网的技术基础概念，但从长远看，也许是保护美国利益的必要之举。因此，国防部应该资助这些努力，开发出本质上更加安全的网络硬件供自己使用，并且鼓励民营界做出类似的努力，不仅保护支持军事行动的民用系统，从根本上说，也是保护整个美国。

为了阻止潜在对手轻易进入关键性系统，美国可以布设假情报和噪音迷雾，来掩蔽有关已知或可疑漏洞的准确信息。对那些特别被关注的系统，如军事指挥控制系统和民用电网，不妨制造大量模仿其网空印迹的诱饵阵，虽说不见得总是有效，但亦无坏处。这些伪装系统，如果设计巧妙，可以做到非常逼真，足可迷惑潜在网络攻击者，使他们以为已经潜入了目标——同时为这些对手灌输精心准备的假信息，或者诱骗他们远离真实漏洞，或者纵容他们犯错而暴露自己的身份和意图。黑客面对众多诱饵阵，就不得不费力辨别真假，从而大大增加他们为发动复杂网络攻击所必需执行的技术侦察的难度。美国还可以通过采取技术措施，提高“真实”攻击表面的变化速率，是以加强此策略的效果。若用这种方式隐蔽所有系统，耗资将过于庞大，也会排挤掉合法的网络流量；但是，防务界可与民营界建立伙伴关系，共同建造必要的技术基础，因为民营界也有昂贵资产需要保护。

最后，鉴于潜在对手越来越多地使用信息技术，美国应该发展网空进攻能力，来配合其他领域的军事行动，并找到和弥补美国的漏洞。在未来的冲突中，我方如果能够利用敌人的网络漏洞来破坏其设施，就可以在战胜敌人的同时有效减少生命和财产损失。进一步，如果不具备与潜在对手相当的最先进网空进攻能力，那么挑战我们自己系统的红队也就无法将自身质量提升到可接受的水平。虽然美国应发展网攻能力，但不可以威慑为核心目的来发展。因为网络空间的特定性质，对危机的升级控制构成一些无法逾越的障碍。如果没有可靠的模型来评估不同国家的网空进攻能力和互相之间的相对实力，如果无法预测网络攻击的效果，那么威慑稳定的概念在网空就没有意义。

作者：爱德华·盖斯特博士 / 斯坦福大学国际安全与合作中心麦克阿瑟基金核安全研究员（Edward Geist, PhD,MacArthur Nuclear Security Fellow）来源：《空天力量杂志》2016年夏季刊

转载请注明：北纬40° » 如何构建网络时代的威慑稳定？