网络安全:输不起的互联网战争.pdf

网络安全:输不起的互联网战争.pdf
 

书籍描述

内容简介
《网络安全:输不起的互联网战争》内容简介:网络安全和网络战争的知识体系架构纷繁复杂,但布鲁金斯研究员P.W.辛格(P.W.Singer)和知名互联网专家艾伦·弗里德曼(Allan Friedman)却用简单通俗的文字将21世纪里关于互联网安全与战争方面的丰富的信息呈现给大家。这是一本关于互联网安全与战争知识的科普著作。本书生动、易读,包含了大量引人入胜的故事,围绕互联网安全的几个核心问题展开——互联网是怎样运行的,为什么它很重要,以及我们能做些什么。详细剖析了从“匿名者”黑客组织、震网病毒,到中国和美军的新式网络单元。通过这种方式,作者力图让读者能够了解互联网安全的核心问题和特征。

海报:

编辑推荐
“互联网+”丛书之一
国内首部关于互联网安全与战争的科普读物
中国互联网协会“互联网+”译丛,邬贺铨院士倾情作序
全球著名智库——美国布鲁金斯学会畅 销书作者最新力作
中国工程院邬贺铨院士、Google董事长施密特、美国海军上将斯塔夫里迪斯、《乔布斯传》作者艾萨克森、《国土安全》导演霍华德•戈登及互联网之父温特瑟夫等数十位大腕联袂力荐

媒体推荐
在数字时代,互联网安全问题不仅仅关乎科研人员,而与我们所有人都息息相关。无论是从事商业、政治、军队还是媒体工作——或者只是普通人——这都是一本必须阅读的书。
——埃里克·施密特(Eric Emerson Schmidt),谷歌董事长、首席执行官

《互联网安全与战争》,这是一本剖析互联网世界最通俗易懂的书。作者在提取互联网安全与战争相关领域关键事实与策略并提出明智建议的同时,向所有人公开了争论——这是一个非凡的成就。这是相关从业者和学者必须阅读的一本书。
——詹姆斯·斯塔夫里迪斯(James Stavridis),美国海军上将、前北约盟军最高司令

网络安全和网络战的知识体系架构如此纷繁复杂,但是本书作者却用简单通俗的文字把这些知识呈现给大家。这是一本关于网络安全和网络战知识的科普著作,不论你是工作在商业组织或政府,军事机构或媒体,甚至是普通公民,读本书都会有收获。
——邬贺铨 中国工程院院士

为了应对互联网安全问题,让我们了解并参与其中,这对所有人都很重要。这本书做到了这一点,并且引人入胜。本书以一种清晰、智慧的方式,完美展示了有关互联网战争的一切。
——沃尔特·艾萨克森(Walter Isaacson),《史蒂芬·乔布斯传》作者

如果只能阅读一本关于互联网安全的书,那么就请读这本吧。辛格和弗里德曼知道如何让最复杂的事情变得能够接受,甚至是有趣。同时让我们所有人对现今日渐依赖的互联网世界,了解更多,思考更深入。
——安妮-玛丽·斯劳特(Anne-Marie Slaughter),新美国基金会总裁

辛格和弗里德曼采用FAQ格式,以引人入胜的写作方法,通过大量轶事对互联网安全的各要素进行解释。从互联网结构的建立到最近的安全漏洞阴谋,本书对当前互联网安全形势及其未来,做出了易于理解和令人愉快的解读。
——乔纳森·吉特仁(Jonathan L. Zittrain),哈佛大学法律和计算机科学教授,《The Future of the Internet—And How to Stop It》作者

“辛格和弗里德曼做出了高质量的工作——记录互联网世界的现在和未来可能发生的风险状态。这是一本动人的书。”
——温特·瑟夫(Vint Cerf),互联网之父、总统自由勋章得主

我喜爱这本书,哈。在阅读这本既精彩又重要的书之前,我不知道在互联网安全与战争的神秘世界里,有多少事情是我所不了解的。辛格和弗里德曼将一个不可思议的复杂问题变得让人可以轻松理解,并告诉我们在这可怕的真相面前,人们是多么脆弱。
——霍华德·戈登(Howard Gordon),《24小时》执行制片人,《国土安全》编剧、导演

作者简介
P.W.辛格(P.W.Singer)美国布鲁金斯学会(Brookings Institution,美国著名智库之一,华盛顿学术界主流思想库之一,因其规模之大、历史之久、研究之深,被称为美国“最有影响力的思想库”之一)资深研究员、二十一世纪防御计划负责人。
艾伦•弗里德曼(Allan Friedman)美国布鲁金斯学会(Brookings Institution)治理研究部研究员、科技和创新研究中心主任。
中国信息通信研究院(原工信部电信研究院),拥有涵盖信息通信产业和信息化发展全链条、辐射综合政策领域的业务资源优势,是信息通信领域国家权威智库和国际知名研究机构。

目录
为什么要写这样一本关于网络安全和网络战争的书 ? // XI
为什么会出现网络安全知识的差距?为何这个问题如此重要? // XIV
怎么写这本书和希望达到什么效果? // XIX

第一部分 网络是如何运行的

万维网是什么?网络空间的定义 // 002
网络是如何产生的?互联网简史 // 005
互联网究竟是如何运行的? // 009
在互联网上,怎么知道你是不是一只狗?身份识别和认证 // 019
到底什么是“安全”? // 023
威胁是什么? // 026
网络钓鱼:什么是漏洞? // 029
我们在网络空间如何互相信任? // 036
焦点关注:在维基解密中发生了什么? // 041
什么是高级持续性威胁(APT)? // 046
我们如何抵御坏人?计算机防御的基础知识 // 051
最薄弱的环节是什么?人为因素 // 056

第二部分 重要性

网络攻击的含义是什么?论术语和框架的重要性 // 060
充满悬疑色彩?攻击行为的归属问题 // 065
黑客主义 // 070
关注焦点:谁是匿名的? // 075
真实的“未来犯罪”:什么是网络犯罪? // 079
Shady RAT 和网络间谍:什么是网络间谍? // 087
我们有必要对网络恐怖活动感到恐慌吗? // 091
恐怖分子究竟是如何利用互联网的? // 094
网络反恐? // 098
安全危机还是人权问题?外交政策与互联网 // 102
聚焦:什么是 Tor ?这头“洋葱”好在哪? // 104
谁是爱国主义黑客? // 107
焦点:什么是震网病毒? // 110
震网病毒教会了我们什么?网络武器的道德问题 // 114
“网络战,0 和 1 如何产生战争效应?”定义网络战争黑客 // 116
“战争能以其他名义进行吗?”网络战争的合法性问题 // 118
网络战争的真面目,计算机网络战 // 122
聚焦:什么是美国的军事网络战? // 129
聚焦:中国如何看待网络战? // 133
网络战时代的威慑究竟是什么? // 137
为什么网络风险难以评估? // 140
在网络安全世界,弱者和强者到底谁更强势? // 142
进攻和防御谁更占优? // 143
一种新的军备竞赛:网络战扩散的危害 // 147

第三部分 我们能做些什么

不要上当:我们为什么不能建立一个全新的、更加安全的互联网? // 158
重新思考安全:什么是恢复能力,为什么它如此重要? // 161
问题重构(解决方案):源自公共医疗的启示 // 165
以史为鉴:关于网络安全,海盗能教会我们什么? // 169
保护互联网的全球治理:国际组织的职责何在?//173
嫁接法律:我们是否需要网络空间条约? // 177
了解互联网存在的局限性:为什么政府不能接管互联网? // 185
重新考虑政府的作用:我们如何才能更好协调应对网络安全问题? // 189
将网络安全作为公私问题来解决:我们如何更好地协作防御? // 196
演习的好处:我们如何才能为网络事件做好准备? // 203
建立网络安全激励机制:为什么我要做你想让我做的?//209
学会分享:我们如何更好地分享信息? // 215
要求披露:信息公开的作用是什么? // 221
“积极”承担责任:我们如何制定安全问责制? // 225
发掘 IT 人才:我们如何解决网民的问题? // 230
做自己的事:如何保护自己(和互联网)? // 235

结论

网络安全未来的发展方向 // 244
我们最后还需要知道什么?// 251

序言
为什么要写这样一本关于网络安全和网络战争的书?
“所有与网络相关的事物”。
故事发生的背景是在华盛顿的一间会议室里。说话的是美国国防部门的高级领导人。题目是他为什么认为网络安全和网络战争是如此重要。然而,他只是想要描述“网络这些事儿”,却无意说服我们写这本书。
我们两人都已30多岁,但还记得我们曾经用过的第一台计算机。Allan 5岁时,在他的家乡匹兹堡拥有了一台早期的苹果(APPLE)电脑。它的磁盘空间是如此有限,甚至不能将这本书装入内存。7岁的Peter在北卡罗莱纳州科学博物馆见到了展出的一台康懋达(Commodore)电脑。他参加了一个讲授如何“编程”的课程,学习一种全新的语言。这种语言唯 一目的好像就是打印一个简单的笑脸,但却是人类历史上最重要的发明之一。它连接一台线轴打印机,将这些笑脸打印在穿孔的打印纸带上。
30年后,电脑在我们生活中的核心地位几乎无法想象。事实上,我们被电脑包围,甚至不认为它们是“电脑”。我们被电脑时钟叫醒;洗澡水由计算机控制进行加热;喝电脑酿造的咖啡;吃电脑加热的燕麦饭;开由成百上千台电脑控制的车上班;然后在电脑上偷偷瞄一眼昨晚的运动成绩。工作时,我们把大部分的时间花在电脑上。然而,获知电脑无处不在暗示的最 好方式,就是在一天结束的时候。躺在床上,关上灯,数一数有多少小红灯在回头凝视你。
这些机器不只是无处不在,它们还互相连接。与墙上的插座相连或者连接打印机的电脑就像是独自站立的小孩。仅仅数年之前,互联网只是供一些大学的研究人员使用。第一封“电子邮件”在1971年被发送,现在每年有近40万亿封电子邮件被发送。第一个“网站”在1991年出现,到2013年,有超过30万亿个人网页。
此外,互联网不再仅仅是发送邮件或编译信息,现在还能处理各种事务,从连接发电厂到跟踪购买芭比娃娃。事实上,思科公司,帮助运行互联网的后端,截至2012年,共生产了87亿台连接到互联网的设备,相信到2020年,这个数字将升至400亿台,将汽车、冰箱、医疗设备,以及还没有想象或发明的东西全部连接。简而言之,从商业到通信,到关键基础设施,各个领域已成为一个全球化的网络。
但随着“所有与网络相关的事物”(all this cyber stuff)的发展,这个非常重要但非常短暂的计算机互联网时代已达到历史的顶点。正如网络领域正在超越物理领域,不仅快速而且经常出现不期望看到的后果。
正如我们将要探索的,“所有与网络相关的事物”之后的惊人数字证明了网络威胁的规模和范围:97%的财富500强企业已经被黑客攻击(剩余3%可能也已被攻击,只是不知道而已),以及一百多个国家政府都在摩拳擦掌准备在网上开战。作为一种选择,这些问题可以通过艰难的政治问题被概念化,这个“东西”已经产生:就像维基解密与美国国家安全局的监控,新的网络武器如Stuxnet(震网)病毒,从阿拉伯之春革命到你对个人隐私的关注,社交网络扮演着重要的角色。事实上,美国总统奥巴马宣布:“网络安全风险造成了21世纪最严重的经济和国家安全挑战”,并且类似观点已经多次被英国、中国等国家不断重申。
对于充满希望和承诺的信息时代,同时也是一个“网络焦虑症”时代。在一个未来将去往何方的调查中,《外交政策》杂志将网络领域形容为“最大的新兴的威胁”,而《波士顿环球报》则声称,未来已经在这里:一个“网络世界大战”正在进行,并最终将发展为“血腥的数字堑壕战”。
这些担忧已经带来了大量的网络安全业务,这是世界上增长最快的行业之一。它导致建立了各种新的政府机关和官僚机构(国土安全部的国家网络安全部门从建立时起,已经扩展了两到三倍)。同样的情况发生在世界各国的军队中,如美国网络司令部和中国的“信息保障基地(In formation Security Base)”,都是新建的军事单位,其任务是开展并赢得网络空间战争。
后来考虑到,与“网络事物”相关的方面令安全风险真实增大,但是我们如何看待和应对这些风险可能对于未来更为重要,而不仅仅是互联网。乔•奈(前哈佛肯尼迪政府学院院长)指出,如果用户开始对互联网的安全失去信心,他们会退出网络。
我们担忧的网络安全问题日益损害我们的隐私观念,网络监控和过滤变得更加普遍和被接受,无论是在工作中,还是在家里,或在政府层面。整个国家,也正在培养黑客,这会破坏我们的经济和人权利益。中国已经建设了网络“防火长城”,使其能够筛选从全球互联网连接收到的消息。如同耶鲁大学法学院的文章所说的那样,所有这些趋势“融合成一个完美的风暴,威胁到开放、协作、创新、有限的管理和自由思想交流等传统互联网的价值”。
这些问题将会产生的后果远远超出了互联网。正如一个题为“新时代网络军备竞赛”的报告描述的:“在未来,战争不仅仅是荷枪实弹的士兵或投掷炸弹的飞机。计算机程序通过点击鼠标就可以在半个地球之外释放核武器,破坏和摧毁关键行业基础设施、交通、通信和能源。这种攻击可能也被用于军事网络控制部队的运动、喷气式战斗机,指挥军舰和控制路径”。
这样无须付出代价的战争或诸如能即时战胜恐慌之类的舒适的愿景,完全依赖于你是网络攻击的哪一方。事实比我们将要在本书中探索的要复杂得多。这样的愿景不仅引发和推动对于预算的担忧,也可能导致网络空间本身的军事化。这些愿景给某些领域带来了巨大的威胁,传递大量的信息,创新和繁荣,国家之间的燃料紧张关系,甚至已经启动了一个新的全球军备竞赛。
总之,没有任何问题能像网络安全问题一样得到如此之快的重视。当然,也没有任何问题,像网络安全问题一样让人们知之甚少。
为什么会出现网络安全知识的差距?为何这个问题如此重要?
“很少有东西如此重要,被谈论时越来越含糊和难于理解……我坐在华盛顿的非常小规模的小组会议室中……无法(与我的同事一起)决定行动方针,因为我们缺乏一个对任何可能做出决定的长期法律和政策含义的清晰画面”。
这就是迈克尔•海登,中情局前任局长,所描述的网络安全知识差距,及所显现出的危险。这种脱节的主要部分是由那些早期使用计算机的经历所导致的,或者说太多的领导人缺乏相关经历。今天的青年是“数字原住民”,他们生长在一个电脑一直存在并被视为一种自然特征的世界里,但世界仍然主要由老一辈的“数字移民”所领导,对他们来说,电脑和所有互联网时代呈现出的问题,仍然是不自然的并常常令人困惑。
换一种说法,很少有超过50岁的人通过了自己的大学培训,使用了计算机。即使是很可能确实使用过计算机的少数人,这些计算机也没有连接到网上。我们绝大部分的高层领导人,在他们的二十世纪六七十年代,甚至有可能不熟悉电脑,直到进入自己的职业生涯,许多人至今仍然缺乏相关经验。直到2001年,美国联邦调查局局长在他的办公室里仍然没有计算机,而美国国防部长需要他的助手把电子邮件打印出来给他,然后让助手键入他用笔写下的回复。这听起来奇怪,但这是为了保护国家免受网络威胁。整整十年后,美国国土安全局长在2012年的会议上告诉我们:“别笑,但是我就是完全不使用电子邮件”。这不是对安全的恐惧,她只是不相信邮件是有用的。在2013年,法官埃琳娜•卡根透露美国最高法院的9位法官中有8人也是这样,而这些人将最终决定着什么是合法还是不合法的。
这不仅仅是一个年龄的问题。如果是,我们只需要等到这些老人死去,所有问题就迎刃而解了。因为人年轻并不意味着就自动具有了对关键问题的理解。网络安全是最技术化倾向的领域之一。任何有关0和1的数字世界的事情都只是计算机科学家和IT人员的问题。当他们说话的时候,我们大多数人也只是保持沉默,点点头,像作家马克鲍登所说的那样“呆滞无神”。这是“每当话题转移到计算机工作时,严重混乱和不感兴趣的无误表现”。当只能叫某些东西为“材料”时,面部便呆滞无神。同样,那些有技术倾向的人,在政策的外交逻辑和商业世界之间过于频繁地左右转动他们的眼睛,嘲笑做生意的“老办法”,而不了解技术与人之间的相互影响。
其结果是,网络安全落入无人管理之地。该领域正变得至关重要,与您的隐私息息相关,也关乎世界政治的未来。但它只是“IT人群”所熟知的领域。它与公共和私营部门所关注的每个主要领域都相关,但只有年轻人和电脑一族才乐于从事。另一方面,能够理解其运行的技术界往往只能通过特定的镜头看世界,而无法体会到更广阔的画面或者非技术的方面。关键的问题是这样会产生误解,却往往不能争论。
危害是多种多样的,因此推动了本书的写作。我们每个人,无论我们在生活中是什么角色,都必须针对网络安全做出决策,而这决定将远远超出计算机世界的未来。但通常我们做出决策时,没有合适的工具。那些决定了什么是可能或适当的基本术语和基本概念常常被遗漏,或者更糟糕地被曲解。过去的神话和对未来的炒作往往交织在一起,模糊了究竟发生了什么和我们现在真正所处的位置。有些威胁被夸大和反应过度,而另一些却被忽略。
这种差距有着广泛的影响。一位美国将军向我们描述了为何“理解网络现在已经是一个指挥者责任”,因为它会影响现代战争中几乎每一个部分。然而另一位将军尖锐地指出,“在网络空间的世界中,理论和政策十分缺乏”。他所担心的,正是我们后续要探索的,不只是军事上在“网络运算”方面需要做得更好,在民事上也并没有提供任何的协作和指导。现在某些情况像第一次世界大战前一样,当时欧洲的武装力量计划利用新的技术,如铁路。问题是,领导人和他们身后的公众并不理解技术及其影响,因此做出了无知的决策,在不经意间使自己的国家卷入了战争。其他的则可与早年的冷战时期画等号。他们所推动的核武器和政治态势,并没有得到很好的理解,甚至更糟糕,在很大程度上留给了专家去决定。其结果是,我们现在作为斯特兰奇医生一笑置之的观点,实际上曾被重视,而这差点让地球变成放射性残骸。
国际关系已经被这种理解和认识上的脱节所伤害。虽然我们都是美国人,在本书的许多例子和内容中也反映了这一背景,但“网络问题”不仅是美国的问题。从中国、阿布扎比到英国和法国的官员和专家处,我们都被告知存在同样的情况。这只是全球差距的一个例子,澳大利亚官方指定的网络安全“独裁者”,甚至从来没有听说过的Tor和它的未来:一种这个领域的关键技术(不用担心,你——希望她——在第二部分将学到,关于Tor的知识是每个人都需要知道的)。
这是令人担忧的,不只是因为这些政府官员的“天真”,而且是因为它实际上已经开始对全球秩序产生危险的影响。例如,有可能是关系到全球稳定的美国和中国两个大国之间的未来关系。然而,随着双方高层决策者和普通公众很难理解网络领域的影响,网络安全的问题对美国与中国的关系上的影响日益严重。事实上,中国军事科学院发表的一份报告,其基调有效地将猜疑、炒作、无知和紧张一起组合形成了一个危险的混合体。“中后期,互联网的龙卷风已席卷全球……大规模冲击和震撼全球……面对这样的互联网战争,每个国家和军队都不能是被动的,应对打网络战做好准备”。
这样的言语——同样出现在美国——没有解释清楚酝酿中的关于全球网络的焦虑,还揭示了这个问题基本知识的混乱和误导是如何帮助驾驭恐惧的。虽然双方,像我们随后探讨的那样,同时活跃在网络攻击和网络防御中。这个问题非常的新奇并且难以证明。美国和中国政府的高级领导人与我们谈论,是如何发现网络安全要远远比他们国家之间那些比较传统的问题更具挑战性。虽然他们可能在诸如贸易、人权和区域领土争端问题上不能达成一致,但他们至少明白这些问题。而不是像对网络那样严重缺乏认识,甚至无法知道自己的国家是正在干什么,更何况对方。例如,参与了与中国关于网络问题谈判的美国高级官员问我们什么是“ISP”(不要烦恼,如果你还不知道,尽快了解!)。如果回到冷战时期,这一问题将类似于不知道什么是洲际弹道导弹,却在核问题上与苏联谈判。
这些事情不仅是将领、外交官的问题,也是所有公民的问题。对这一主题普遍缺乏了解,正在成为一个像民主一样的问题。正如我们所写的,美国国会正在考虑50个网络安全法案,但这一问题最终会如何影响到选民被视为过于复杂,进而影响到那些能够决定这一问题的当选代表。这是从2002年到本书写作,经过了十多年,所有批准的法案没有实质性的网络安全内容的的原因之一。
技术的发展是如此之快,毫不奇怪大多数选民和他们选出的领导人很少考虑网络安全,但是他们应该这样做。这一领域的范围从您银行账户和在线身份的安全到哪些政府中的哪些人能够访问您的个人隐私及甚至何时何地你的国家交战等更广泛的问题。我们都是这个领域的用户,并都被它影响,但我们不会有任何正式的公开对话。“我们没有一个很好的,有建设性的辩论”,正如美国国防大学的一位教授所说的那样。“相反,我们要么放任其他人指出的问题不管,或由少数人在密室中做出重要的政策”。甚至更严重,因为大多数今天在密室中的人从来没有进过互联网聊天室。
怎么写这本书和希望达到什么效果?
因为存在这些问题,用一本书的时间和价值试图去解决一些基本问题:每个人都应该了解网络安全和似乎是理想化的网络战争。而所有属于牛津系列的书都采用的“问答”格式,似乎比较适合本书。
当我们开始着手研究和撰写书时,采用这种问答格式安排我们的方法论。如果锁定在问答格式,最 好先确定问题的正确设定。
我们试图收集本领域所有关键的问题,这些问题不仅是从事政治或技术工作的人的问题,也远远超出了我们的互动和采访。这组问题得到了以前“文献综述”的有力支持。在以前(有互联网之前),这意味着去图书馆,并从杜威十进制系统的书架中取书。现在,特别在这样的话题,来源范围从“图书扩展”到“在线期刊”再到“微博”。我们也从在布鲁金斯的一系列讲习班、研讨会和在华盛顿我们所工作的智库中获得巨大帮助。聚集了重要的公共和私营部门的专家,探讨从网络威慑的有效性到僵尸网络可以做什么(所有问题都将在本书的后续章节中阐述)等问题。我们还举行了一系列会议,并与美国的重要官员和专家进行会谈。这些人上至参谋长联席会议主席等最高级别的美国军官和国家安全局的局长等,下至低级别的系统管理员,从民选州长、内阁部长和首席执行官,到小企业主和十几岁的黑客。我们的范围是全球性的,因此会议也包括来自中国的领导和专家(外交部长和解放军将军),也有来自英国、加拿大、德国、法国、澳大利亚、爱沙尼亚、阿联酋和新加坡的。最后,虽然这是一个虚拟的世界,我们也参观了关键设施和各种网络安全中心,地点从华盛顿特区、硅谷到巴黎、阿布扎比。
在这个旅程的过程中,我们注意到:问题(以及来自他们的问题)一般归结为三类。第一类问题是关于基本轮廓和网络空间及网络安全动态,属于“它是怎样运行的?”的问题。这些问题的思考给出了网络世界的基本构建模块。第二类问题是关于网络安全超出网络空间之外的的更广泛的影响,属于“为什么这很重要?”的问题。第三类问题是可能的答案,属于“我们能做什么?”的问题。以下各节将遵循这个基本结构。
本书是先提出问题,然后回答问题。而问题是多种多样的,通过这本书,你会发现在回答这些问题的过程中将浮现出一些主题:
知识对我们去神秘化这个领域是至关重要的,如果我们想要有效地使它变得安全。
网络安全是那些“邪恶”的充满了复杂性和取舍的问题之一。这大部分不是因为技术,而是因为人。机器背后的人天生隐藏在任何问题或所需的解决方案的内部。
如果你想知道为什么某些事情是或不是发生在网络空间,要看动机、成本及问题后面的矛盾。事实上,在网络领域某人宣称一个简单的“银弹”解决方案,或是无知或是没有那么好。
这不是一个政府可以或应该知道所有答案的领域。网络安全取决于我们所有人。
这就是说,政府的角色是至关重要的,特别是美国和中国。其原因不仅在于这两个国家很强大和很有影响力,而且是他们经常有不同的网络安全愿景的相互作用,对互联网和世界政治两者的未来是至关重要的。
最后,互联网是靠我们形成的。这意味着严肃的“东西”在起作用的同时,网络空间也是乐趣所在,往往是异想天开的领域,像跳舞婴儿和玩键盘的猫。因此,就一定要捕捉那些奇思妙想。
换句说法,我们的目标是直接研究与“网络”相关的问题。这是一本由两位研究人员,以严谨的治学方针,由备受尊敬的大学出版社出版的书。但我们的目的不仅是写一本给学者用的书。世界上最 好的研究成果如果没有到那些需要它的人手中,就毫无价值。事实上,有关网络安全的学术论文的数量以20%的年复合增长率已经增加了不止10年。然而,没人会说更广阔世界更加公开。
相反,我们接受了“每个人都需要知道”这一系列的核心理念。“大家并不需要知道震网病毒软件编程的秘密或互联网服务提供商保险制度的法律动态。但由于大家都更多地参与并依赖于网络安全,我们都需要有一定的基本认识。对网络安全的无知不是好事情。网络问题差不多影响到了每个人:政治家角力从网络犯罪到网络自由的一切;将军在保护国家免受新形式攻击的同时,规划新的网络战;企业高管抵御曾经难以想象的威胁以保护公司并指望着赚钱;律师和伦理学家建立了对与错的新框架。最重要的是,网络安全问题影响到我们每个人。从我们作为网络和现实世界的公民的权利和责任,到如何保护自己和家庭免受新类型的危险,都是我们面临的新问题。
因此,这不仅是给专家们用的书,更是一本旨在解密这一领域,提升专业知识的总体水平,然后推进讨论。
我们希望你找到有用的路,最 好是愉快的,就像“网络东西”的世界本身。

后记
为什么要写这样一本关于网络安全和网络战争的书?
“所有与网络相关的事物”。
故事发生的背景是在华盛顿的一间会议室里。说话的是美国国防部门的高级领导人。题目是他为什么认为网络安全和网络战争是如此重要。然而,他只是想要描述“网络这些事儿”,却无意说服我们写这本书。
我们两人都已30多岁,但还记得我们曾经用过的第一台计算机。Allan 5岁时,在他的家乡匹兹堡拥有了一台早期的苹果(APPLE)电脑。它的磁盘空间是如此有限,甚至不能将这本书装入内存。7岁的Peter在北卡罗莱纳州科学博物馆见到了展出的一台康懋达(Commodore)电脑。他参加了一个讲授如何“编程”的课程,学习一种全新的语言。这种语言唯一目的好像就是打印一个简单的笑脸,但却是人类历史上最重要的发明之一。它连接一台线轴打印机,将这些笑脸打印在穿孔的打印纸带上。
30年后,电脑在我们生活中的核心地位几乎无法想象。事实上,我们被电脑包围,甚至不认为它们是“电脑”。我们被电脑时钟叫醒;洗澡水由计算机控制进行加热;喝电脑酿造的咖啡;吃电脑加热的燕麦饭;开由成百上千台电脑控制的车上班;然后在电脑上偷偷瞄一眼昨晚的运动成绩。工作时,我们把大部分的时间花在电脑上。然而,获知电脑无处不在暗示的最好方式,就是在一天结束的时候。躺在床上,关上灯,数一数有多少小红灯在回头凝视你。
这些机器不只是无处不在,它们还互相连接。与墙上的插座相连或者连接打印机的电脑就像是独自站立的小孩。仅仅数年之前,互联网只是供一些大学的研究人员使用。第一封“电子邮件”在1971年被发送,现在每年有近40万亿封电子邮件被发送。第一个“网站”在1991年出现,到2013年,有超过30万亿个人网页。
此外,互联网不再仅仅是发送邮件或编译信息,现在还能处理各种事务,从连接发电厂到跟踪购买芭比娃娃。事实上,思科公司,帮助运行互联网的后端,截至2012年,共生产了87亿台连接到互联网的设备,相信到2020年,这个数字将升至400亿台,将汽车、冰箱、医疗设备,以及还没有想象或发明的东西全部连接。简而言之,从商业到通信,到关键基础设施,各个领域已成为一个全球化的网络。
但随着“所有与网络相关的事物”(all this cyber stuff)的发展,这个非常重要但非常短暂的计算机互联网时代已达到历史的顶点。正如网络领域正在超越物理领域,不仅快速而且经常出现不期望看到的后果。
正如我们将要探索的,“所有与网络相关的事物”之后的惊人数字证明了网络威胁的规模和范围:97%的财富500强企业已经被黑客攻击(剩余3%可能也已被攻击,只是不知道而已),以及一百多个国家政府都在摩拳擦掌准备在网上开战。作为一种选择,这些问题可以通过艰难的政治问题被概念化,这个“东西”已经产生:就像维基解密与美国国家安全局的监控,新的网络武器如Stuxnet(震网)病毒,从阿拉伯之春革命到你对个人隐私的关注,社交网络扮演着重要的角色。事实上,美国总统奥巴马宣布:“网络安全风险造成了21世纪最严重的经济和国家安全挑战”,并且类似观点已经多次被英国、中国等国家不断重申。
对于充满希望和承诺的信息时代,同时也是一个“网络焦虑症”时代。在一个未来将去往何方的调查中,《外交政策》杂志将网络领域形容为“最大的新兴的威胁”,而《波士顿环球报》则声称,未来已经在这里:一个“网络世界大战”正在进行,并最终将发展为“血腥的数字堑壕战”。
这些担忧已经带来了大量的网络安全业务,这是世界上增长最快的行业之一。它导致建立了各种新的政府机关和官僚机构(国土安全部的国家网络安全部门从建立时起,已经扩展了两到三倍)。同样的情况发生在世界各国的军队中,如美国网络司令部和中国的“信息保障基地(In formation Security Base)”,都是新建的军事单位,其任务是开展并赢得网络空间战争。
后来考虑到,与“网络事物”相关的方面令安全风险真实增大,但是我们如何看待和应对这些风险可能对于未来更为重要,而不仅仅是互联网。乔·奈(前哈佛肯尼迪政府学院院长)指出,如果用户开始对互联网的安全失去信心,他们会退出网络。
我们担忧的网络安全问题日益损害我们的隐私观念,网络监控和过滤变得更加普遍和被接受,无论是在工作中,还是在家里,或在政府层面。整个国家,也正在培养黑客,这会破坏我们的经济和人权利益。中国已经建设了网络“防火长城”,使其能够筛选从全球互联网连接收到的消息。如同耶鲁大学法学院的文章所说的那样,所有这些趋势“融合成一个完美的风暴,威胁到开放、协作、创新、有限的管理和自由思想交流等传统互联网的价值”。
这些问题将会产生的后果远远超出了互联网。正如一个题为“新时代网络军备竞赛”的报告描述的:“在未来,战争不仅仅是荷枪实弹的士兵或投掷炸弹的飞机。计算机程序通过点击鼠标就可以在半个地球之外释放核武器,破坏和摧毁关键行业基础设施、交通、通信和能源。这种攻击可能也被用于军事网络控制部队的运动、喷气式战斗机,指挥军舰和控制路径”。
这样无须付出代价的战争或诸如能即时战胜恐慌之类的舒适的愿景,完全依赖于你是网络攻击的哪一方。事实比我们将要在本书中探索的要复杂得多。这样的愿景不仅引发和推动对于预算的担忧,也可能导致网络空间本身的军事化。这些愿景给某些领域带来了巨大的威胁,传递大量的信息,创新和繁荣,国家之间的燃料紧张关系,甚至已经启动了一个新的全球军备竞赛。
总之,没有任何问题能像网络安全问题一样得到如此之快的重视。当然,也没有任何问题,像网络安全问题一样让人们知之甚少。
为什么会出现网络安全知识的差距?为何这个问题如此重要?
“很少有东西如此重要,被谈论时越来越含糊和难于理解……我坐在华盛顿的非常小规模的小组会议室中……无法(与我的同事一起)决定行动方针,因为我们缺乏一个对任何可能做出决定的长期法律和政策含义的清晰画面”。
这就是迈克尔·海登,中情局前任局长,所描述的网络安全知识差距,及所显现出的危险。这种脱节的主要部分是由那些早期使用计算机的经历所导致的,或者说太多的领导人缺乏相关经历。今天的青年是“数字原住民”,他们生长在一个电脑一直存在并被视为一种自然特征的世界里,但世界仍然主要由老一辈的“数字移民”所领导,对他们来说,电脑和所有互联网时代呈现出的问题,仍然是不自然的并常常令人困惑。
换一种说法,很少有超过50岁的人通过了自己的大学培训,使用了计算机。即使是很可能确实使用过计算机的少数人,这些计算机也没有连接到网上。我们绝大部分的高层领导人,在他们的二十世纪六七十年代,甚至有可能不熟悉电脑,直到进入自己的职业生涯,许多人至今仍然缺乏相关经验。直到2001年,美国联邦调查局局长在他的办公室里仍然没有计算机,而美国国防部长需要他的助手把电子邮件打印出来给他,然后让助手键入他用笔写下的回复。这听起来奇怪,但这是为了保护国家免受网络威胁。整整十年后,美国国土安全局长在2012年的会议上告诉我们:“别笑,但是我就是完全不使用电子邮件”。这不是对安全的恐惧,她只是不相信邮件是有用的。在2013年,法官埃琳娜·卡根透露美国最高法院的9位法官中有8人也是这样,而这些人将最终决定着什么是合法还是不合法的。
这不仅仅是一个年龄的问题。如果是,我们只需要等到这些老人死去,所有问题就迎刃而解了。因为人年轻并不意味着就自动具有了对关键问题的理解。网络安全是最技术化倾向的领域之一。任何有关0和1的数字世界的事情都只是计算机科学家和IT人员的问题。当他们说话的时候,我们大多数人也只是保持沉默,点点头,像作家马克鲍登所说的那样“呆滞无神”。这是“每当话题转移到计算机工作时,严重混乱和不感兴趣的无误表现”。当只能叫某些东西为“材料”时,面部便呆滞无神。同样,那些有技术倾向的人,在政策的外交逻辑和商业世界之间过于频繁地左右转动他们的眼睛,嘲笑做生意的“老办法”,而不了解技术与人之间的相互影响。
其结果是,网络安全落入无人管理之地。该领域正变得至关重要,与您的隐私息息相关,也关乎世界政治的未来。但它只是“IT人群”所熟知的领域。它与公共和私营部门所关注的每个主要领域都相关,但只有年轻人和电脑一族才乐于从事。另一方面,能够理解其运行的技术界往往只能通过特定的镜头看世界,而无法体会到更广阔的画面或者非技术的方面。关键的问题是这样会产生误解,却往往不能争论。
危害是多种多样的,因此推动了本书的写作。我们每个人,无论我们在生活中是什么角色,都必须针对网络安全做出决策,而这决定将远远超出计算机世界的未来。但通常我们做出决策时,没有合适的工具。那些决定了什么是可能或适当的基本术语和基本概念常常被遗漏,或者更糟糕地被曲解。过去的神话和对未来的炒作往往交织在一起,模糊了究竟发生了什么和我们现在真正所处的位置。有些威胁被夸大和反应过度,而另一些却被忽略。
这种差距有着广泛的影响。一位美国将军向我们描述了为何“理解网络现在已经是一个指挥者责任”,因为它会影响现代战争中几乎每一个部分。然而另一位将军尖锐地指出,“在网络空间的世界中,理论和政策十分缺乏”。他所担心的,正是我们后续要探索的,不只是军事上在“网络运算”方面需要做得更好,在民事上也并没有提供任何的协作和指导。现在某些情况像第一次世界大战前一样,当时欧洲的武装力量计划利用新的技术,如铁路。问题是,领导人和他们身后的公众并不理解技术及其影响,因此做出了无知的决策,在不经意间使自己的国家卷入了战争。其他的则可与早年的冷战时期画等号。他们所推动的核武器和政治态势,并没有得到很好的理解,甚至更糟糕,在很大程度上留给了专家去决定。其结果是,我们现在作为斯特兰奇医生一笑置之的观点,实际上曾被重视,而这差点让地球变成放射性残骸。
国际关系已经被这种理解和认识上的脱节所伤害。虽然我们都是美国人,在本书的许多例子和内容中也反映了这一背景,但“网络问题”不仅是美国的问题。从中国、阿布扎比到英国和法国的官员和专家处,我们都被告知存在同样的情况。这只是全球差距的一个例子,澳大利亚官方指定的网络安全“独裁者”,甚至从来没有听说过的Tor和它的未来:一种这个领域的关键技术(不用担心,你——希望她——在第二部分将学到,关于Tor的知识是每个人都需要知道的)。
这是令人担忧的,不只是因为这些政府官员的“天真”,而且是因为它实际上已经开始对全球秩序产生危险的影响。例如,有可能是关系到全球稳定的美国和中国两个大国之间的未来关系。然而,随着双方高层决策者和普通公众很难理解网络领域的影响,网络安全的问题对美国与中国的关系上的影响日益严重。事实上,中国军事科学院发表的一份报告,其基调有效地将猜疑、炒作、无知和紧张一起组合形成了一个危险的混合体。“中后期,互联网的龙卷风已席卷全球……大规模冲击和震撼全球……面对这样的互联网战争,每个国家和军队都不能是被动的,应对打网络战做好准备”。
这样的言语——同样出现在美国——没有解释清楚酝酿中的关于全球网络的焦虑,还揭示了这个问题基本知识的混乱和误导是如何帮助驾驭恐惧的。虽然双方,像我们随后探讨的那样,同时活跃在网络攻击和网络防御中。这个问题非常的新奇并且难以证明。美国和中国政府的高级领导人与我们谈论,是如何发现网络安全要远远比他们国家之间那些比较传统的问题更具挑战性。虽然他们可能在诸如贸易、人权和区域领土争端问题上不能达成一致,但他们至少明白这些问题。而不是像对网络那样严重缺乏认识,甚至无法知道自己的国家是正在干什么,更何况对方。例如,参与了与中国关于网络问题谈判的美国高级官员问我们什么是“ISP”(不要烦恼,如果你还不知道,尽快了解!)。如果回到冷战时期,这一问题将类似于不知道什么是洲际弹道导弹,却在核问题上与苏联谈判。
这些事情不仅是将领、外交官的问题,也是所有公民的问题。对这一主题普遍缺乏了解,正在成为一个像民主一样的问题。正如我们所写的,美国国会正在考虑50个网络安全法案,但这一问题最终会如何影响到选民被视为过于复杂,进而影响到那些能够决定这一问题的当选代表。这是从2002年到本书写作,经过了十多年,所有批准的法案没有实质性的网络安全内容的的原因之一。
技术的发展是如此之快,毫不奇怪大多数选民和他们选出的领导人很少考虑网络安全,但是他们应该这样做。这一领域的范围从您银行账户和在线身份的安全到哪些政府中的哪些人能够访问您的个人隐私及甚至何时何地你的国家交战等更广泛的问题。我们都是这个领域的用户,并都被它影响,但我们不会有任何正式的公开对话。“我们没有一个很好的,有建设性的辩论”,正如美国国防大学的一位教授所说的那样。“相反,我们要么放任其他人指出的问题不管,或由少数人在密室中做出重要的政策”。甚至更严重,因为大多数今天在密室中的人从来没有进过互联网聊天室。
怎么写这本书和希望达到什么效果?
因为存在这些问题,用一本书的时间和价值试图去解决一些基本问题:每个人都应该了解网络安全和似乎是理想化的网络战争。而所有属于牛津系列的书都采用的“问答”格式,似乎比较适合本书。
当我们开始着手研究和撰写书时,采用这种问答格式安排我们的方法论。如果锁定在问答格式,最好先确定问题的正确设定。
我们试图收集本领域所有关键的问题,这些问题不仅是从事政治或技术工作的人的问题,也远远超出了我们的互动和采访。这组问题得到了以前“文献综述”的有力支持。在以前(有互联网之前),这意味着去图书馆,并从杜威十进制系统的书架中取书。现在,特别在这样的话题,来源范围从“图书扩展”到“在线期刊”再到“微博”。我们也从在布鲁金斯的一系列讲习班、研讨会和在华盛顿我们所工作的智库中获得巨大帮助。聚集了重要的公共和私营部门的专家,探讨从网络威慑的有效性到僵尸网络可以做什么(所有问题都将在本书的后续章节中阐述)等问题。我们还举行了一系列会议,并与美国的重要官员和专家进行会谈。这些人上至参谋长联席会议主席等最高级别的美国军官和国家安全局的局长等,下至低级别的系统管理员,从民选州长、内阁部长和首席执行官,到小企业主和十几岁的黑客。我们的范围是全球性的,因此会议也包括来自中国的领导和专家(外交部长和解放军将军),也有来自英国、加拿大、德国、法国、澳大利亚、爱沙尼亚、阿联酋和新加坡的。最后,虽然这是一个虚拟的世界,我们也参观了关键设施和各种网络安全中心,地点从华盛顿特区、硅谷到巴黎、阿布扎比。
在这个旅程的过程中,我们注意到:问题(以及来自他们的问题)一般归结为三类。第一类问题是关于基本轮廓和网络空间及网络安全动态,属于“它是怎样运行的?”的问题。这些问题的思考给出了网络世界的基本构建模块。第二类问题是关于网络安全超出网络空间之外的的更广泛的影响,属于“为什么这很重要?”的问题。第三类问题是可能的答案,属于“我们能做什么?”的问题。以下各节将遵循这个基本结构。
本书是先提出问题,然后回答问题。而问题是多种多样的,通过这本书,你会发现在回答这些问题的过程中将浮现出一些主题:
知识对我们去神秘化这个领域是至关重要的,如果我们想要有效地使它变得安全。
网络安全是那些“邪恶”的充满了复杂性和取舍的问题之一。这大部分不是因为技术,而是因为人。机器背后的人天生隐藏在任何问题或所需的解决方案的内部。
如果你想知道为什么某些事情是或不是发生在网络空间,要看动机、成本及问题后面的矛盾。事实上,在网络领域某人宣称一个简单的“银弹”解决方案,或是无知或是没有那么好。
这不是一个政府可以或应该知道所有答案的领域。网络安全取决于我们所有人。
这就是说,政府的角色是至关重要的,特别是美国和中国。其原因不仅在于这两个国家很强大和很有影响力,而且是他们经常有不同的网络安全愿景的相互作用,对互联网和世界政治两者的未来是至关重要的。
最后,互联网是靠我们形成的。这意味着严肃的“东西”在起作用的同时,网络空间也是乐趣所在,往往是异想天开的领域,像跳舞婴儿和玩键盘的猫。因此,就一定要捕捉那些奇思妙想。
换句说法,我们的目标是直接研究与“网络”相关的问题。这是一本由两位研究人员,以严谨的治学方针,由备受尊敬的大学出版社出版的书。但我们的目的不仅是写一本给学者用的书。世界上最好的研究成果如果没有到那些需要它的人手中,就毫无价值。事实上,有关网络安全的学术论文的数量以20%的年复合增长率已经增加了不止10年。然而,没人会说更广阔世界更加公开。
相反,我们接受了“每个人都需要知道”这一系列的核心理念。“大家并不需要知道震网病毒软件编程的秘密或互联网服务提供商保险制度的法律动态。但由于大家都更多地参与并依赖于网络安全,我们都需要有一定的基本认识。对网络安全的无知不是好事情。网络问题差不多影响到了每个人:政治家角力从网络犯罪到网络自由的一切;将军在保护国家免受新形式攻击的同时,规划新的网络战;企业高管抵御曾经难以想象的威胁以保护公司并指望着赚钱;律师和伦理学家建立了对与错的新框架。最重要的是,网络安全问题影响到我们每个人。从我们作为网络和现实世界的公民的权利和责任,到如何保护自己和家庭免受新类型的危险,都是我们面临的新问题。
因此,这不仅是给专家们用的书,更是一本旨在解密这一领域,提升专业知识的总体水平,然后推进讨论。
我们希望你找到有用的路,最好是愉快的,就像“网络东西”的世界本身。

文摘
版权页:

购买书籍

当当网购书 京东购书 卓越购书

PDF电子书下载地址

相关书籍

搜索更多