英科 李大光

　　9月底，美国举行了一场为期3天的大规模网络攻击应对演习，旨在检验包括电力、水源和银行在内的重要部门遭遇大规模网络攻击时的跨部门协同应对能力。与2006年和2008年的“网络风暴Ⅰ”和“网络风暴Ⅱ”演习相比，这次的“网络风暴Ⅲ”演习又有一些新的特点。

　　“网络风暴Ⅲ”演习，是美军在今年5月21日宣布正式成立网络司令部后进行的首次跨部门演习，演习规模较前两次进一步增大。“网络风暴Ⅱ”演习有美国9个州、40家公司以及5个盟国参与，而参加“网络风暴Ⅲ”演习的数千名网络安全专家，则来自美国的11个州、60家私营企业，涉及金融、化学、通信、水力、防务、信息技术、核能、交通和水资源行业。除了美国国土安全部外，还有6个内阁级别的部门——国防部、商务部、能源部、司法部、财政部、运输部，以及白宫和情报与执法部门的代表参与其中。来自澳大利亚、英国、加拿大、法国、德国、匈牙利、日本、意大利、荷兰、新西兰、瑞典和瑞士等12个盟国的技术人员应邀加盟演习。这次演习模拟了“一些关键基础设施遭受大型网络攻击”的情景，比起前两次演习只涉及能源、运输、银行、通信等行业，涵盖面更广，多达1500起以上的模拟事件的想定也更复杂。

　　由于针对美国的网络攻击“可能从世界上任何地方发起”，并且这些攻击可能“针对或利用私营企业拥有的基础设施”，美国国土安全部一贯强调联邦、州和国际机构以及国内外私营企业参与演习非常必要。这次也不例外，美国国土安全部召集了来自联邦机构和国内外商业公司的数千名电脑安全专家，主要演练了应对敌方黑客对美国的能源、金融、商务、运输、通信、化学、防务、信息等“国家网络”展开“闪电攻击”的能力，以提高自身在遭遇网络敌人时的反应速度。由于美国总统奥巴马最近下令联邦政府开始制定“国家网络事故应对方案”，可以说这次演习就是为制定相关方案而进行的各部门首次“全面合练”，通过“实战操作”来发现问题、解决问题。

　　据报道，美国国土安全部网络演习计划主任布雷特·兰博介绍说，这次演习可说是“利用互联网攻击自身”，演习内容包括针对互联网身份认证系统和域名系统的攻防战。而美国《纽约时报》报道说，白宫、司法部、联邦调查局、国家安全局等部门官员最近数月共同草拟了一份关于加强互联网监控的提案，并将在明年递交国会审议。如果该提案顺利过关，美国政府将强制要求所有网络通信服务具备被监听或监视的技术条件，以便执法机构能够拦截并破解各类网上加密信息。不过，上述提案可能会给黑客提供“施展拳脚盗窃机密”的技术漏洞。比如，希腊调查人员早在2005年就发现，一些黑客利用执法部门合法部署的监听装置，成功窃听了包括希腊总理在内的多位政府官员的电话。有鉴于此，“网络风暴Ⅲ”演习非常注意网络身份认证的安全性，以及如何应对网络认证安全性遭破坏后可能出现的危机事件。美国国土安全部在一份声明中说：“演习的核心目的是检验承受力，检验现代生活的基本方面遭受损失后美国的应对能力。”

　　美军网络司令部司令基思·亚历山大上将最近在谈及网络攻击时说：“美国未来将遭受一次摧毁性攻击，这种可能性确实存在，我们应该做好准备。”这可以看做是“网络风暴Ⅲ”演习的出发点与落脚点，即：当“重大网络危机事件”发生时，美国政府机构、私营企业和国际伙伴能够具备“有效的事件反应能力”，并根据相关框架实施“有效的协调”。