“没有网络安全就没有国家安全，没有信息化就没有现代化”。网络安全问题随着技术发展变得越来越突出，已经成为事关国家政治安全、关乎经济发展、影响社会稳定、决定战争胜负的重要问题。在网络空间中将漏洞作为新型武器进行的战争，将对全域造成威胁，隐蔽性更强、变化性更多、摧毁性更大、破坏性更广。世界各国纷纷组建“网军”，明的暗的一起上，进行攻防演练，开展网络靶场试验，强化风险防控，控制关键产品和技术出口，目的就只有一个，就是打赢这场网络空间战争。

　　一、新技术发展加剧网络安全风险

　　“网络安全和信息化对一个国家很多领域都是牵一发而动全身的”、“网络安全和信息化是一体之两翼、驱动之双轮”。我们必须充分认清技术发展与安全的辩证关系。

　　2019版《美国国防部军事术语词典》指出，网络空间（cyberspace）是指由相互依赖的信息基础设施（包括互联网、通信网、计算机系统以及嵌入式处理器和控制器）和驻留数据组成的全球信息环境。【我们观察到，无论是网络空间、还是大数据、人工智能等，这些新的技术概念，基本上是美国最早提出，并被全世界所接受，充分印证了美国在技术上前瞻性和自信，也时刻体现了美国的不断超越意识、挑战意识和风险意识】网络空间这一概念拓展了原有对网络和信息系统的认识，丰富了全域信息环境下安全的内涵。

　　当前，已经进入到一个新技术创新发展的爆发阶段，技术迭代周期不断缩短，多种技术不断融合、跨域发展，给经济、军事带来巨大技术进步的同时，也带来前所未有突出的风险。

　　随着云计算、大数据、工业互联网、物联网、人工智能等新兴技术领域快速发展，安全风险随着应用扩展而与日俱增，既有认为意识方面原因，也有技术发展方面的原因，漏洞攻击正逐步由传统信息系统扩展到网络空间全域。

　　国外安全机构也预测指出，“互联设备的流通日益增加，安全漏洞暴露只是时间问题。基于人工智能的攻击将更加狡猾，模仿特定用户的行为，甚至会有意愚弄熟练的安全人员。这可能包括设计复杂的定制网络钓鱼活动的能力，甚至将成功愚弄最有威胁意识的人”。

　　为此，世界各国纷纷出台战略性文件，规划并积极开展网络空间安全防御。欧洲发布《工业4.0与工业控制系统（ICS）行业的网络空间安全》报告，指导工业互联网完全防护；美国国防部发布《国防部云战略》提出主动应对网络挑战的战略目标，指出要保持抵御环境变化的“常青”能力，成立“国家人工智能安全委员会”，对人工智能安全进行战略谋划。

　　【我们认为，面对新技术不断涌现发展，最好的安全防范就是要确保核心技术可控。美国之所以有这种自信和风险意识，主要原因就是它是互联网发源地，也是众多高端技术掌控最多的国家，门儿清！相比我国，从操作系统、到高端芯片，再到工业软件，很多核心技术都还不掌控，底数不清，这种情况下，新技术应用越多、新产业发展越快，存在的风险就越大，往往容易积重难返。】

　　二、漏洞无处不在，避无可避

　　2006年,美国国家标准与技术研究所(NIST)给出漏洞的定义是:存在于信息系统、系统安全过程、内部控制或实现中的、可被威胁源攻击或触发的弱点。任何系统都做不到无懈可击，总会存在漏洞，只是能否发现的问题。

　　360公司周鸿祎则指出：漏洞无处不在、不可避免！每1000行代码就会有4-6个漏洞。像Windows这样的操作系统，至少5000万行源程序，其可能存在的漏洞数量可想而知。我国国家信息安全漏洞库（CNNVD）2018年公布的漏洞数量为14866个，2017年为12443个，年增长率约为19.6%。从这些数据我们不难看出网络安全漏洞数量正以较快速度增长，与此同时，网络安全漏洞的类型也日趋多样化。

　　上述提到的漏洞主要是网络、信息系统中发现的漏洞，而赛博物理系统、物联网、作战指挥控制系统、武器系统等方面，由于特定的使用场景限制，使得这些方面的漏洞的数量更加难以统计。

　　美国国防部有130万现役军人、74.2万文职人员和82.6万国民警卫队和预备役部队，管辖3000多万英亩土地的5000多个不同地点的几十万栋独立建筑，运营着世界上最大和最复杂的网络之一，2019年国防部信息技术预算超过464亿美元，大约一万个操作系统、数千个数据中心、数万台服务器、数百万台计算机和信息技术设备以及数十万台商用移动设备。对比我国，截至2019年6月，我国网民规模达8.54亿，智能手机数量达3.54亿，用户量世界第一；2018年，移动支付规模全球第一，达277.4万亿元，数字经济规模超过30万亿元。在这种庞大复杂的网络环境和庞大的应用中，漏洞威胁愈发多发且会产生更加严重的影响。

　　2018年，美国政府问责局(GAO)首次对美军武器系统进行审计，发布《武器系统安全报告》，称大多数武器系统存在安全漏洞，攻击者可以控制这些武器系统，甚至破坏其功能，主要原因是长期忽视武器系统安全的问题。以F-35战机为例。F-35机载软件系统代码量超过 800 万行，2018年有报道称其存在着重大漏洞，一旦被黑客攻克，就可以直接操控导弹发射。

【我们认为，面对防不胜防的漏洞，主要还是要从管理入手，形成技管结合的立体防御体系，规避风险，这样当威胁真正来临时才能做到损失最小。目前，通过ISO27000安全管理体系、等保、CMMI、供应链管理等一定程度提升了我国各行业的安全管理水平，但很多流于形式，走过场，当面对有组织大规模攻击时，将会漏洞百出，不堪一击。】

　　三、漏洞成新型网络武器装备

　　漏洞存在的不可避免，以及其具有的物理空间伤害性，使漏洞成为新型网络武器装备。

　　据媒体报道，零日漏洞（0day漏洞）是代码中的漏洞或瑕疵，可以让攻击者访问或控制系统。很多国家大量储备零日漏洞，用于网络间谍活动或作为复杂网络武器的一部分。

　　正如震网（Stuxnet）闻名，是因为它是第一种网络武器。利用漏洞武器进行攻击政府、社会服务、基础设施的案例层出不穷。据《华盛顿邮报》报道，在揭露俄罗斯插手2016年美国总统选举之前，奥巴马总统授权在俄罗斯基础设施中种植网络武器。该报告称:“植入装置由美国国家安全局开发，目的是在面对俄罗斯侵略时，作为报复性网络攻击的一部分，无论是对电网的攻击还是对未来总统竞选的干涉，都可以远程触发”。

　　美国网络战司令部积极发掘储备关键漏洞，截至2019年9月3日至9月18日，来自世界各地的81名黑客参加美国国防部第8次bug奖励计划，提交了31个有效漏洞，9个被视为“高严重性”，1个被视为“严重”，其余21个被视为“中/低严重性”。国防部提供了33，750美元奖励，最高单“赏金”为5000美元。黑客代理挑战发起于2016年，从那以后，政府系统中已经发现并解决了10000多个漏洞，包括黑客攻击五角大楼、黑客攻击陆军、黑客攻击空军、黑客攻击空军2.0、黑客攻击国防旅行系统、黑客攻击空军3.0和黑客攻击海军陆战队。

　　然而，世界上都有哪些国家拥有这些漏洞攻击武器，没有人能够给出准确答案，当涉及到传统武器，如核导弹时，有措施跟踪它们的发射来源，或者测量一个国家储存了多少浓缩铀，但对于网络武器来说，很难给出确切数量和描述。尽管《关于常规武器和两用物品及技术出口控制的瓦森纳安排》规定了某些“入侵”软件工具（“间谍软件”）的出口限制，但仍有不少国家，放宽网络武器的出口限制，更加导致这些网络武器难以被管理和控制。

　　此外像合法的软件市场一样，网络犯罪现在本身就是一个巨大的经济市场，通过非法黑客计划、恶意软件等赚钱，本质上说，这是“现实世界”犯罪向网络空间的延伸，而漏洞武器就像“黑市”上买卖的枪支一样，随着这类群体变得越来越大、越来越组织化、越来越专业化，网络漏洞武器的买卖更加便捷、频繁，导致的网络犯罪不断呈现高发态势。

　　【我们认为，美国的做法充分体现了政府对民间机构的信任和依赖，双方都从密切的合作中受益，既规避风险又储备弹药，关键还是小投入大产出、多份产出，这得益于市场经济的国情决定了美国政府与市场主体的平等性，相比我国，这方面，则需要进一步借鉴学习完善。】

　　四、有组织漏洞攻击威力巨大

　　APT攻击（高级持续性威胁）采取精确的信息收集、使用各种复杂的网络基础设施、应用程序漏洞对对目标进行的精准打击，是网络空间领域最高级别的安全对抗。

　　一方面，攻击者变得更大胆，更商业化，更难觅踪。黑客将会变得更有组织、更商业化，组织更加严密，训练有素、装备精良，形成一个庞大的组织体系，甚至有他们自己的呼叫中心，这一点已经在欺诈性约会网站上得以证实。他们往往寻找那些对网络犯罪不够重视的国家，从而逃脱制裁；

　　另一方面，这种组织也上升为国家化，带有政治目的，由国家及军方专门成立、背后进行指挥控制，实施专门的网络攻击。

360公司研究指出，美国APT组织，如方程式和索伦之眼最为著名，其后台据信为NSA（美国国家安全局）；俄罗斯APT28背后是军事情报机构（GRU），专门收集国防和地缘政治相关的情报；APT38 是一个由朝鲜政权支持的金融组织，负责对金融机构进行破坏性攻击，以及实施网络抢劫。这些组织带有明确的政治目的，强烈的战略意图，强大的资金保障，已成为秘密的网络军队，威胁世界各国的安全。

　　【我们认为，应对有组织的攻击，同样也要有组织。美国这方面也有经验，既有平台网络靶场的红蓝对抗，又积极参加攻防训练演习，同时还专门编制教材指南，强化人才培养，这方面，我国在民间的网络对抗比赛方面刚刚起步不久，既要热热闹闹，又要真刀真枪，见实效，千万不能雷声大雨点小，同时，政府部门也应积极引导，及时固化成果，形成指导教材，供各行业使用，提升整体效能。】

　　五、体系对抗才是致胜之道

　　在有国力支持的网络攻击面前，传统网络安全工具根本就是螳臂当车。只有构建一体化战略体系和能力，才能在大国博弈中占据先机。

　　《全球军力报告2019》指出：无论采取何种战略，武装部队在制定计划时，都需要考虑网络。网络将成为对手的目标，网络干扰、网络欺骗将成为常规手法。需要习惯在信息对抗环境下作战，一对手会试图突破战争底线来实现战略意图，在和平时期发动的攻击可能不亚于战争时期。因此，更有弹性的武器和网络可以帮助部队在恶化的电磁环境中作战，进行更有效训练。

　　世界各国已经进入于网络战军备竞赛早期阶段，纷纷制定网络战战略，增加支出并开始储存漏洞攻击武器。拥有网络武器储备的国家可能意味着网络冲突会更快升级，而且这些项目往往是秘密开发的，几乎没有监督和问责。美国采取一些列举措，来提高其网络作战能力，2018年年底，其网络作战部队人数增加到近6200人，所有133支队伍全面投入作战准备。美国国防部利用民间安全平台HackerOne，发现超过13万个漏洞，向50万黑客奖励超过6700万美元的漏洞奖金，有效提升了美军的漏洞发掘能力。与此同时，欧洲、俄罗斯等也积极推进网军建设，大力开展漏洞挖掘，开展军备竞赛，网络战一触即发。

　　我国不少产业行业抗风险能力极低，一旦断供、不给上游数据、停止服务，将会带了巨大风险，甚至灭顶之灾。这种情况下，我们能做的，就是要统筹“党政军民学，东西南北中”各方作用，集中资源办网络空间大事，是我国举国体制的优势。

　　在国家积极开展漏洞信息共享平台建设的同时，国内各大互联网公司、安全公司也纷纷贡献力量，就像美国的HackerOne一样，近日360公司推出的“360BugCloud开源漏洞响应平台”也发挥了重要的漏洞信息共享作用。一是聚焦开源通用型高危漏洞，二是大额奖金的激励机制，三是公平公正的自主议价模式，四是面向全球的大协作方式，非常具有借鉴价值。应对未来网络安全威胁，我们也要集中各方优势力量、优势资源，坚持国家主导、市场运作原则，调动各方积极性，才能打赢这场网络战争。

　　民用安全技术领先于军方，要确保我国新时代网络空间安全，实施军民融合国家战略是必由之路。例如360公司正在推进的“安全大脑”计划，汇集了230亿恶意样本、22万亿安全日志、80亿域名信息、2EB以上安全大数据，拥有超3800人安全专家团队、17支攻防专家团队、12个安全研究中心，类似这些民用技术力量，可以作为优势补充，纳入国家网络空间安全防御体系统筹考虑。【我们认为，国家主导是打赢这场网络空间战争的关键，只有站在国家层面，才能做好统筹，才能协调调动资源，才能集中最强优势，同时也只有站在国家层面才能更好的进行顶层设计、体系性设计，才能更好的排兵布阵，形成组织优势。同时，要积极调动民营技术力量，走军民协同式创新发展道路，加紧突破核心技术，加强人才培养建设，强化网络对抗训练，这样才能在大国竞争对抗中处于不败之地。】