以俄格戰爭為例對俄羅斯網絡戰制勝方式的分析

彭柏麟，孔 光，舒海濤

(信息工程大學，河南 鄭州 450001)

0 引 言

俄羅斯對網絡戰的研究起步很早。20世紀90年代初，俄羅斯就設有專門的信息安全委員會，其職責是負責國家的網絡信息安全。2002年俄羅斯推出《俄羅斯聯邦信息安全學說》，首次把信息安全提升到國家戰略層面，是網絡戰的第一份實質性文件。俄羅斯軍事學術界對網絡戰的認識也日益豐富，以斯利普琴為代表的著名軍事分析家認為，網絡戰主要打擊以信息技術為基礎的重要設施，一旦這些設施內部的信息發生錯亂或被惡意篡改，將引起國家秩序的混亂。因此，這些基礎設施將成為敵方打擊的重點目標，“網絡攻擊實際上已成為一種變相的突擊手段，起到了與火力突襲相同的效果?！痹凇抖砹_斯—美國有關網絡安全的雙邊協定》中，對“網絡戰”所下的定義為：“網絡戰是由國家行為體授權，與政府行為相結合的，對網絡基礎設施實施的網絡攻擊，是戰爭活動的一種形式”。俄格戰爭是俄軍首次將網絡戰應用于實戰之中，檢驗了俄軍多年來網絡戰建設的成效，在戰爭中，網絡戰呈現出以下幾個特點值得我們分析和關注。

1 研發 “間諜”系統，開展網絡情報搜集

為有效地開展情報竊取任務，俄羅斯很早就進行了相關技術儲備。20世紀80年代，俄羅斯克格勃研究所受命研發SORM系統。SORM系統是俄聯邦安全局對互聯網信息進行監視的網絡監視系統，要求互聯網服務供應商必須強制安裝，其目的主要是用于國內電話、網絡電話、互聯網通信等信息的全面監控，發展至今已有3種型號：SORM-1安裝在模擬的電話線路上；SORM-2負責攔截互聯網流量，包括網絡語音(VOIP)業務；SORM-3可搜集來自所有傳播媒介的信息。因此，俄聯邦安全局可以利用SORM系統來獲取互聯網上的任何信息，若聯邦安全局的技術手段無法達到這樣的要求，內政部將來負責此項工作。

盡管格魯吉亞境內的互聯網數據不直接經過俄羅斯，但依靠互聯網通聯全球的13個連接中超出一半都貫穿俄羅斯領土，格魯吉亞境內網站的大多數網站流量依靠土耳其及阿塞拜疆互聯網服務供應商發送，其中許多互聯網服務供應商又經由俄羅斯傳輸數據。由于格魯吉亞的互聯網基礎設施缺少網絡交換點的內部連接，格魯吉亞用戶訪問網頁及存儲數據的請求，極有可能經過俄羅斯發送。俄羅斯政府可以運用網絡技術優勢來影響格魯吉亞大比例的網頁訪問和使用格魯吉亞的網絡空間，亦可監控其信息流動。格魯吉亞缺乏互聯網外部或內部使用的基礎設施控制權，導致既不能分散網絡流量，也不能切斷來自國外的互聯網連接，一旦遭到網絡攻擊，其防御機制無法切斷互聯網接入的網絡優勢，也無法保證數據的安全性。

俄格戰爭發動前，俄聯邦安全局與“網軍”就對格魯吉亞的網絡系統展開了一系列“推演”活動。2008年7月初，格魯吉亞政府網站被大量破壞，網頁被篡改為“win+love+in+Russia”的短語，政府網站及其它互聯網資產數據遭到破壞。7月中旬到8月，俄羅斯在俄格邊境線附近組織軍事演習，其中一項演習是構想格魯吉亞對阿布哈茲和南奧塞梯發起攻擊，俄軍方為此進行反擊以保護俄羅斯的利益。在演習中，俄軍方還擬制了一份關于格魯吉亞部隊確切構成及其優勢和劣勢的報告。以俄羅斯獲取的信息和行動來看，說明俄軍已經掌握了相當一部分格魯吉亞的網絡和兵力情報，這是戰爭爆發前卓越的網絡偵察和網絡空間情報準備的結果。

2 建立靈活隱匿的“黑客網軍”，實施網絡入侵

俄羅斯組建以“聯邦政府-黑客組織”為核心的“網軍”，最具代表性的是政府所領導的3個“黑客”組織——APT28(“奇幻熊)、APT29(“舒適熊”)、TURLA(“蝰蛇”)。APT28歸屬俄聯邦總參軍事情報局(GRU)領導，APT29和TURLA歸屬俄聯邦安全局(FSB)及國外情報局(SVR)雙重領導。根據職責劃分，俄羅斯聯邦總參軍事情報局(GRU)第6指揮部的主要職責是在全世界積極地進行網絡偵察和接收信號情報工作，它擁有俄羅斯最先進的技術。俄聯邦安全局(FSB)第16中心主要是信號和網絡情報機構，第18中心主要負責國外事務。國外情報局(SVR)在技術上雖不及其他特種部門，但正在積極地發展網絡能力。俄聯邦保護局(FSO)負責監督國家政府和軍事通信，監管網絡犯罪，確保通過這些渠道運輸的數據安全。俄羅斯 “黑客”組織架構如圖1所示。

圖1 俄羅斯“黑客”組織架構圖[5]

FireEye公司(美國網絡安全商)撰寫了關于APT28的特別文章《APT 28：進入俄羅斯網絡間諜活動的窗口？》(《APT28:a window into Russia’s cyber espionage operations?》)。文章認為APT28 組織主要目標方向分為三大塊：一是高加索地區(特別是格魯吉亞)；二是東歐政府和軍隊；三是北大西洋公約組織和歐安組織。他們慣用的手段則是使用魚叉式網絡釣魚電子郵件來誘使受害者受騙，通過破壞其賬戶為自己的目標和利益提供線索。APT28組織專門針對格魯吉亞內政部和國防部發起了不同程度的破壞，試圖從中獲取軍事及政治敏感信息。

為奪取網絡空間優勢，“黑客”采用分布式拒絕服務(DDOS)、SQL注入及跨站腳本(XSS)的手段侵入格魯吉亞的政府網站、電視節目、新聞報刊、金融系統等以信息技術為基礎的重要設施，甚至格魯吉亞總統米哈伊爾·薩卡什維利的網站徹底癱瘓24 h，網頁被惡意篡改，據統計共有54個新聞、政府和金融網站被污損或被拒絕，平均拒絕服務時間為2 h 15 min，持續時間最長為6 h。

分布式拒絕服務(DDOS)服務是利用全球受感染的計算機，通過切斷新的合法訪問者而有效關閉網絡。攻擊原理是一種基于DOS的特殊形式的拒絕服務攻擊，是一種分布式、協同式的大規模攻擊方式。單一的DOS攻擊是采用一對一方式的，它利用網絡協議和操作系統的一些缺陷，用欺騙和偽裝的策略來實施網絡攻擊，使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統的資源，導致網絡超負荷運行以至癱瘓。與DOS攻擊由單臺主機發起攻擊相比，DDOS是憑借數百乃至數千臺被入侵后安裝了攻擊軟件的主機同時發起的集體行為。俄格戰爭中，DDOS不論在攻擊范圍和力度方面都很精確，從來沒有超過11個目標，相同網站在戰爭中受到持續的攻擊。大多數網絡攻擊都是根據格魯吉亞的目標定制。據悉，在戰爭爆發前，俄羅斯至少花了2年以上的時間來準備破壞特定網站。如圖2所示，俄羅斯利用全球62個國家受感染的計算機、3 237個IP地址作為其網絡攻擊的工具。

圖2 受感染計算機地域分布圖[7]

圖2中，PR為波多黎各、IR為伊朗、KR為韓國、BY為白俄羅斯、ES為西班牙、TR為土耳其、AU為澳大利亞、FR為法國、IN為印度、MX為墨西哥、BR為巴西、PL為波蘭、JP為日本、RU為俄羅斯、RS為塞爾維亞、CA為加拿大、PE為秘魯、ID為印度尼西亞、GB為英國、DE為德國、RO為羅馬尼亞、SE為瑞典、UA為烏克蘭、US為美國、IL為以色列、DZ為阿爾及利亞、Others為其它(36個國家)。

“黑客”成功地實現了網絡遮斷，且在攻擊目標的選擇上具有鮮明的針對性，旨在逐一潰敗格方網絡體系。首先攻擊的是格魯吉亞政府及媒體網站，以此阻礙格魯吉亞人及其官員正確判斷實時情況和延緩所有的國際反應，達到傳播混亂的目的。其次，隨著事態的發展，受到攻擊的是格魯吉亞的教育以及研究機構，格魯吉亞計算機應急響應小組臨危受命，必須優先為教育網絡協會范圍內的高等教育機構提供網絡安全防護，這極大分散了計算機應急響應小組有限的精力，牽制和壓制了格魯吉亞國內最好的網絡防御力量，從而極大程度上降低了格方戰場態勢感知能力。再者格魯吉亞的金融系統受到攻擊，銀行被迫關閉業務，導致資金無法正常流通，切斷了戰爭保障能力。

盡管格魯吉亞采取過網絡防護，但受制于技術水平能力，并沒有成功。諸如，格魯吉亞試圖通過根據互聯網協議地址篩選出網絡攻擊，然而，俄羅斯前期的情報準備和本身的技術優勢可以輕易破解這類戰術，他們利用國外服務器發起攻擊，以此掩蓋自己真實的互聯網協議地址，進而創造虛假地址來逃過格魯吉亞的網絡篩選。

3 網絡空間作戰與常規軍事打擊深度融合

網絡空間是相互依存、相互連接的電子網絡和電磁頻譜，信息在空間內產生、存儲、修改、交換和利用。目前，大部分研究更多關注的是網絡間諜和其潛能，但將網絡力量融入常規軍事行動的還較少，這恰好也是至關重要的一部分。網絡空間軍事行動的目的應該與軍事打擊的目標是一致或者是配合的，以此達成網絡空間優勢，包括奪取制網權。在網絡空間作戰中，首要任務應是破壞敵人的網絡攻擊和監視能力，其次是壓制對方的網絡防御能力。網絡攻擊應集中在戰術數據鏈上，這是網絡空間信息的集結點，也是網絡作戰的重點領域。網絡攻擊將迫使敵人做出錯誤決策，從而為己方贏得優勢。

戰術數據鏈是數據通信技術在軍事方面的應用，其鏈路包含一整套信息設施，包括使用的設備、信息及協議和信息標準等，以無線信道傳達作戰數據的鏈路就叫戰術數據鏈。從俄羅斯網絡攻擊的方式方法、目標以及效能來看，這場戰爭中的網絡攻擊集結和預先準備都是配合軍事行動展開，網絡攻擊在確定攻擊目標方面也非常復雜，格魯吉亞遭受的網絡攻擊數量、目標網站以及復雜程度在戰前都有所增加，其目的都是在破壞傳輸數據的無線信道。盡管俄羅斯極力掩蓋網絡行動配合政府利益，但有種種跡象可指明這種協同。一是第一次網絡攻擊與俄軍首次空中轟炸幾乎同時發生,且在第一次發動空中轟炸前，格政府和新聞網站就被DDOS攻擊癱瘓，這無疑將促使信息需求量增加。隨著信息通信的需求劇增，加之網絡信道混亂，使手機和固定電話的通信能力達到瓶頸，這種戰術和作戰援助與軍方目的密切吻合，網絡攻擊的主要目的是伴隨軍隊作戰，為軍隊創造戰役和戰術層面的優勢。二是“黑客”原行動方案是破壞格魯吉亞首都第比利斯的電力及通信系統，但最終更改預先計劃轉而攻擊新聞機構及高里的官方網站，究其原因,是因為這是俄軍方的首個目標，其目的是破壞格魯吉亞的指揮、控制、通信、計算機與情報監視與偵察(CISR)系統，這種對指控系統的破壞起到了關鍵作用，癱瘓了格魯吉亞戰術數據鏈的信息運載能力。三是從網絡入侵的操作方式中也可以發現軍事參與網絡攻擊的痕跡，網絡攻擊者不僅專門針對格魯吉亞互聯網的主要通信線路，還破壞了格魯吉亞的黑客論壇，以防止報復，這種先發制人的戰術行為與軍事行動如出一撤，其重點是首先消除潛在威脅，阻礙格魯吉亞更強的網絡專家協調網絡能力。四是在奪取了網絡優勢后，俄軍的進攻緊隨其后，體現了“閃電戰”的軍事概念，以勢如破竹之勢迅速瓦解格軍防御，快速出兵的目的是為了能及時反擊所有威脅，并奪取戰場控制權。俄羅斯網絡攻擊始終伴隨軍事行動,具體情況如表1所示。

表1 軍事行動與網絡攻擊簡圖[9]

4 網絡攻擊作為信息心理戰的工具

俄格戰爭的另一特點是，俄軍成功地把網絡攻擊作為信息心理戰的承載工具，而要明白信息心理戰，就首先要弄清楚“信息戰”和“心理戰”的概念。

俄羅斯國防部網站《軍事百科詞典》對“信息戰”的定義：信息戰是國家間公開而尖銳的沖突，對抗形式主要包括采取手段對信息環境施加有害影響，摧毀或破壞信息和電視傳播系統的正常運轉、信息資源的完好性，擅自獲取信息入口，以及對軍隊人員和平民施加大規模信息心理影響。

《軍事百科詞典》對“心理戰”下的定義：心理戰存在于和平和戰爭時期，是雙方在信息心理方面的行為。心理戰包括一整套完整的措施和方法，用于影響個人和特定人群在某些問題上的行為和主觀態度，使對方決策朝著利于己方利益發展。在武裝部隊中，心理戰是使用這些措施破壞敵軍的心理防御，保護己方部隊人員免受心理影響。

從上述定義可以看出，俄軍認為通過對信息環境施加有害影響，可以達成對軍隊人員和平民施加大規模心理影響。從這個角度出發，俄格戰爭中網絡攻擊產生了大量有害信息傳播，網絡戰是達成心理影響的載體，亦是實施心理戰的手段之一，可以從下面幾個方面進行分析。

一是篡改境內網頁。俄軍篡改了格總統網站首頁信息，取而代之的是經過精心挑選后，格總統薩卡什維利和希特勒肖像拼接圖，暗指格總統發動戰爭是一種殘暴、種族主義的行為，使格政府在出兵上處于道義被動，從一定程度上增加了國內人民反戰情緒以及對格政府的不滿。

二是斬斷溝通渠道。網絡攻擊使格魯吉亞政府脫離了最有效的戰略溝通手段，在此過程中政府無法與本國群眾和外部世界進行溝通，人民無法通過網絡及時獲取信息，網絡的中斷從心理上造成了國內群眾的恐慌，破壞了人民士氣和對政府的信心。

三是操縱媒體報道。媒體信息是社會政治體系的組成部分，表達了社會各階層和個人的利益，社會就是媒體系統。媒體不僅進行新聞報道，而且通過報道還宣傳某些思想、觀點、教義、政治綱領，從而參與社會管理。俄軍正是利用自身媒體效應在互聯網上和報道中大肆渲染俄軍出兵的正當性與合理性，諸如俄羅斯許多媒體文章將格魯吉亞政府，特別是薩卡什維利描述成一個好戰、非理性以及侵略性強的人，把俄羅斯塑造成分離主義地區人民的保護者和人道主義的支持者，俄羅斯的行動被認為是“人道主義干預”，目的是制止平民的流血和死亡。通過這種方式不僅向俄羅斯人民傳遞一種“正義”的信息，力求贏得民心，更是讓全球其他國家形成一種俄出兵合情合理的認知，使事件走向朝著符合俄羅斯利益的方向發展。

四是散播謠言。作戰中，俄空軍轟炸了格軍第4步兵旅的第42輕步兵營，并打擊格軍縱隊，爆炸造成格軍20多名士兵喪生和數十人受傷，該營人員在經歷襲擊后被迫放棄裝備和死者，并極速撤走兵力。俄政府此時攻心奪氣乘勝追擊，利用網絡迅速散播有關“第42營之死”的恐慌謠言，導致格軍士氣急劇下降。

5 幾點啟示

俄格戰爭網絡戰表明，當下的網絡力量是勝利的關鍵，但是它不能獨自贏得戰爭。因此，深入分析如何更好地使用網絡力量是當下之急，未來戰爭想要贏得網絡戰就必須獲取足夠的網絡優勢。

5.1 正確篩選作戰目標，獲取持續的網絡優勢

任何戰爭的首要任務都是篩選攻擊目標，網絡攻擊自然也不例外。不同的是常規戰爭所篩選的目標一般是軍事基地、武器庫、兵力集結地等，網絡空間作戰所篩選的目標是敵人的一些看不見摸不著的“軟實力”。在軍事行動發起前，敵人的網絡入侵、偵察能力、防護能力都應成為己方偵察和摧毀的首要目標，一旦戰爭爆發，敵人這些系統應處于壓制或摧毀狀態。其次，攻擊敵人必要的基礎設施(必須挽救的設施)，如格魯吉亞的教育和研究機構、銀行、媒體等，這種網絡攻擊是具有價值的，它可以分散敵人有限的防護能力。再者，攻擊敵人網絡毀損修復所需的必需數據，以有效避免遭到報復?？傊?，所有的軍事行動都應該致力于壓制、轉移并破壞敵人的網絡力量，以獲取持續的網絡優勢。

5.2 攻擊“戰術數據鏈”，瓦解敵人信息運輸能力

戰術數據鏈是所有數據的整合中心，也是網絡攻擊的重要目標。數據鏈上的每個節點(飛機、艦船、地面防空系統)都具有一定程度的數據融合能力，攻擊戰術數據鏈將會破壞敵人的武器系統，也可以對每個戰術單位的能力造成嚴重的影響，降低戰場態勢感知能力。因此，采取網絡攻擊來癱瘓敵人的戰術數據鏈是必要的手段，掐斷這些鏈路將會延長敵人的決策周期，己方將會獲得更多的戰術優勢，將有更多的時間做到“早發現、早鎖定、早摧毀”。

5.3 網絡戰與心理戰相結合，不戰而屈人之兵

第二次車臣戰爭中，俄軍首次運用了心理戰，收到了較好的戰場效果。俄格戰爭上，俄軍汲取以往實戰經驗，充分利用網絡攻擊來達成心理影響，給格魯吉亞政局、士兵和人民造成了心理壓力。從俄軍運用心理戰的情況，關注到以下幾點:一是鞏固網絡攻防能力。尖端的網絡技術是達成網絡攻防的必要條件，除研發新型的網絡“武器”外，也應研發更加有效的網絡阻斷機制，才可在遭受網絡攻擊時，立即切斷互聯網接口，以此來保護人民心理。二是加強輿論宣傳。世界輿論走向超過80%都是被西方媒體所控制，如何“去偽存真，去粗取精”是必須思考的問題，在宣傳內容上，應重點宣傳我國思想和民族精神，拓展文化延伸，力爭在輿論導向上占有一席之地。三是創建心理戰部隊。心理戰作為信息戰重要的一環，組建專門的部隊是非常有必要的，心理戰相對于傳統作戰樣式具有花費代價小、滲透能力強、震懾威力大等優點，合理利用心理戰，可以達到事半功倍的效果。

俄格戰爭中，俄軍綜合利用各種手段奪取網絡優勢，最終目的都是為軍事行動掃清障礙，其戰績是導致格魯吉亞信息系統亂作一團。這場網絡戰表明，未來戰爭早已不是單純地使用槍支彈藥作戰，戰爭形態與方式日新月異。通過對俄軍網絡戰實戰所呈現出的特點進行分析，有助于更好地管窺俄軍軍事行動的全貌，并提示我們，作為常規軍事力量的倍增器，網絡戰是未來戰場上的必然趨勢。