美以“震网”行动浅析

□ 孙 强

2010年，美国和以色列为破坏伊朗核计划，运用“震网”病毒成功袭击了伊朗布什尔核电站的工业控制系统，致使其约1/5的离心机失灵甚至报废，极大地阻滞了伊朗核计划进程，此次代号“震网”的攻击行动，是历史上首次在没有爆发武装冲突、没有造成人员伤亡的情况下，通过虚拟空间对现实世界实施攻击破坏，并直接达成战略目的的军事行动，标志着网络空间作战正式进入实战化时代。

一、作战背景

（一）伊朗的核开发。伊朗于20世纪50年代着手研发核技术，到70年代，已拥有1个反应堆、6个核研究中心和5个铀处理设施。由于当时伊朗执政者是亲美的巴列维政权，美国和西方国家支持伊朗用于和平目的的核研究活动。1979年伊斯兰革命爆发后，伊朗与美国交恶，美国从此不再支持伊朗核计划，当时伊朗领袖霍梅尼也表示，核武器是“非人道”的，伊朗的核计划因此停顿下来。第一次海湾战争后，伊朗恢复了和平利用核能的计划，1991年与俄罗斯达成了恢复修建布什尔核电站的协议；1995年又与俄罗斯签署了为伊朗修建4座轻水核反应堆的合同；2002年9月，美国公布了其侦察卫星拍摄的有关照片，断言伊朗在纳坦兹市和阿拉克地区建造两个秘密核设施；2003年2月，伊朗证实已在伊朗中部成功开采出铀矿，开始发展核燃料的回收处理技术。

（二）国际社会的反应。从国际社会看，虽然伊朗一直强调其核计划是用于和平及能源开发，但是伊朗并非工业大国，对电能需求量不高，因此其核电站计划不能不让人怀疑是企图获得核武器。自2002年8月以来，国际社会与伊朗就核问题进行了多轮谈判。2003年12月，在国际原子能机构压力下，伊朗签署了《不扩散核武器条约》附加议定书，接受对核设施的检查。2004年11月，伊朗与EU-3①EU-3：即英、法、德三国。达成《巴黎协议》，自愿中止与铀浓缩有关的一切活动。但是，2005年8月伊朗重启铀转换设施，并加强了核技术研究。2006年1月，关于伊核问题的六国（P5+1）②P5+1：是指联合国安理会的五个常任理事国，加上德国。机制启动，要求伊朗停止铀浓缩活动，否则将采取惩罚性措施；伊朗对此反应消极。2006年12月，安理会通过1737号决议，决定对伊朗实施制裁。2007年3月，安理会又通过加大对伊朗进行制裁的1747号决议；期间，伊朗一面与国际原子能机构周旋，一面加快核计划步伐。在伊朗核计划加快进行的背景下，2010年6月9日，联合国安理会通过第1929号决议，决定对伊朗进行更为严厉的多边制裁。与此同时，美国和欧盟对伊朗实行了更为严厉的制裁。

（三）美国和以色列的态度。从国际制裁的效果上看，虽然一定程度地限制了伊朗从国际社会上获得核原材料的途径，但伊朗核开发仍然按部就班地实施。伊朗稳步走向拥核国家的残酷现实，对以色列来讲是一个巨大威胁，同时也是美国绝对不能接受的，因此美以两国决心共同采取行动，遏制伊朗核计划发展。美以两国清楚地认识到，在国际制裁没有取得理想效果的前提下，要想延迟或者中止伊朗核计划，必须采取军事行动对伊核设施进行破坏。但是，伊朗为防止发生类似于2007年以色列空袭叙利亚核反应堆的军事行动，早已将核设施分散在全国各地的山区和地势险要的地方，并由精锐部队进行保护，单纯实施军事打击行动，效果可能不会很理想。正当美以两国对伊核问题一筹莫展时，智囊机构提出了“使用网络武器阻滞伊朗铀浓缩进程，比普通军事打击破坏效果更好”的意见建议；对此，在慎重考虑和组织专家充分论证后，美国最高决策层认为网络攻击伊核的条件和时机已经成熟，于是定下了联合以色列通过“震网”病毒攻击伊核设施的决心。

二、作战准备

（一）美军征求解决方案，私营公司提出技术原型。2006年，美国国家安全局和中央情报局等情报界通过媒体向社会征集网络攻击的创新思路。不久，国际互联网上出现带有指挥控制中心的“蠕虫”病毒，成为此次定向网络攻击的基础技术原型。研究人员发现，由德国西门子公司提供的主流工业控制软件开发环境①这是国际上主流工业控制系统开发系统，包括WinCC、Step7两部分。存在重大漏洞，受注入式病毒感染后，可能使离心机因超负荷运转而导致机芯过热，从而足以摧毁离心机运转能力且无法修复。随即，时任美国总统的小布什批准了代号为“奥运会”的项目。几家脱胎于传统军火公司的小型私营公司集成这些新思路，提出带有指挥控制中心功能的网络空间进攻武器设计方案，完成了相关武器的原型开发。

（二）情报界综合筹划，总统定下战略决心。美国情报界于2008年就提出利用新型定向网络空间进攻武器打击伊朗核设施的设想。但由于担心实施网络打击会招致国际社会的非议，以及确实尚未发展出实用化网络武器，于是乔治·W·布什总统发布总统令，规定非战争状态下网络攻击的决定权在总统。因此，对伊朗核设施实施网络攻击的行动一直没有展开。但是到了2009年1月，布什在与当选总统奥巴马的私人会谈中要求其继续“奥运会”计划，奥巴马对此照单全收，下令继续对伊朗核设施展开网络攻击，并指示：行动必须在可控状态下进行，避免伤及自身；同时行动必须隐秘进行，避免因暴露引发不必要的国际争端。

（三）技术演示验证，确认可行性。“震网”病毒的研发任务完成后，美军又在国家网络靶场虚拟环境、因特网真实环境上进行多次试探性实验，明确了作战的关键是找到伊朗核工业控制软件的开发者。为此，美国情报界求助以色列情报部门，双方合力组建作战团队，将技侦与情侦相结合，综合运用网络技术与社会工程，以线上攻击与线下专家辅助决策相配合。为了确保病毒达到预想的攻击效果，以色列在迪莫纳中心使用与伊朗相同的离心机对病毒进行了测试。②在2003年利比亚宣布放弃核计划后，美国和以色列因此获得了利比亚的离心机。

（四）深度伪装潜伏，实现瞒天过海。伊朗高度重视核设施的安全，为防止遭到网络攻击，将核设施内部的计算机与互联网实施了物理隔离。因此，使用传统的网络病毒攻击方式很难达到破坏目的。为此，美军病毒研发团队很早就将“震网”病毒经过伪装后放到了互联网上。虽然著名网络安全公司赛门铁克（Symantec）早在2009年初就已经发现了该病毒，但是由于其伪装性能好，没有发现攻击目标时，不会露出真面目，结果仅仅被当作一般蠕虫病毒看待，使得各国逐渐对其失去警觉性。因此，在袭击伊朗核设施之前，该病毒已经大规模地感染了伊朗国内联接互联网的计算机。至此，“震网”行动一切准备就绪。

三、作战经过

“震网”行动具体实施过程分为两个阶段①参见温柏华：《“震网”行动中美军攻击性网络作战与网络威慑》，载《外国军事学术》，2013（4）。。

第一阶段：美国主导阶段（2009年上半年—2009年8月）

美国网络空间作战人员在前期情报搜集的基础上，突破伊朗政府部门高级用户的计算机终端，掌握了伊朗核工业控制软件的技术来源。经综合分析后认为，伊朗核工业控制软件的开发者是俄罗斯技术专家。据此，从2009年上半年开始，由美国主导，在丹麦设置指挥控制中心，展开“震网”第一阶段攻击。为了避免网络攻击的大范围扩散，逃避各类杀毒软件的“追杀”，美国非常谨慎小心，攻击速度缓慢。截止到2009年8月，美国虽然对伊朗核设施的情况有了进一步的了解，但尚未实施有效的网络攻击。

第二阶段：以色列主导的攻击阶段（2009年8月—2010年6月）

鉴于伊朗核进程持续取得进展，以色列决心独自展开行动。以色列派出大量情报人员专门针对开发工业控制软件的高技术公司展开情报搜集活动，进一步摸清了伊朗核工业控制软件的开发过程。以色列情报人员获悉，伊朗凭借与马来西亚同是伊斯兰国家、风俗习惯相通并保有良好经贸关系的有利条件，将核工业离心机控制软件的开发交给不知内情、并具有综合集成能力的马来西亚某软件公司。但该公司又将具体的软件外包给了印度软件公司，由印度软件公司具体编写全部或部分代码。

2009年8月，以色列通过实施受控的、相对大范围内的病毒传播，最后确定伊朗核工业离心机控制软件的印度软件公司，并向其释放了攻击负载。因为使用了印度软件公司开发的、夹带攻击负载的控制软件，伊朗纳坦兹浓缩铀离心机群至少有1000台被彻底破坏，不得不暂停浓缩铀进程，伊朗军用级核能力研发计划大大延缓。

以色列在确认作战目的达成后，通过各个控制中心向病毒下达自毁指令。但部分物理隔离网络用户中的病毒，因为种种原因与控制中心失去联络的病毒，没能及时收到指令，滞留在相关用户的终端。“震网”系列病毒在设计之初就设定2012年6月24日为作战终止日期，但在此日期之前，相关滞留病毒样本陆续被赛门铁克、卡巴斯基等安全软件公司截获，导致行动暴露。

“震网”行动的整个过程在美国总统奥巴马的授意与关注下进行。在以色列越俎代庖过程中，美国情报人员认为整个攻击行动已经不受美国控制，可能会导致行动暴露、攻击失败，曾向总统建议停止行动，但奥巴马总统决心继续作战，直至达成战略目标。

四、几点启示

（一）筑牢网络空间“新边疆”思想观念。随着网络空间的发展，国家边疆由有形拓展到无形，网络空间成为主权国家的“新边疆”，国家间的一些对抗行动已经在网络空间展开。此次“震网”行动，病毒通过网络传播，使伊朗核设施中的重要控制设备受到破坏，显示出关键基础设施已经成为网络攻击的重要目标。由于伊朗方面对网络安全防护的重视不够，采取手段过于单一，导致网络空间被轻易突破，付出了高昂代价。“震网”病毒仅仅一段代码就瘫痪了1000多台离心机，使整个世界受到震动，如果利用网络攻击瘫痪关系国计民生的国家信息基础设施和关键业务网络，其后果完全可能超越传统战争。这使美国等西方先进信息技术国家，包括我国周边的一些国家和地区，增强了发展进攻性网络空间作战能力的决心，陆续加紧组建网络空间作战部队，开发网络空间作战武器装备，重视网络空间安全防护，进行网络空间作战准备。

面对网络空间的无声厮杀和严峻形势，我们必须积极应对网络空间威胁，守卫网络边疆、巩固网络国防，树立网络空间“新边疆”的思想观念，围绕维护网络空间安全和网络空间控制权，加强网络空间军事斗争准备，将网络边疆提高到与有形边疆同等重要的地位，并将网络国防作为国防建设的新成分和关键内容统筹考虑。

（二）发挥技术突破对战法创新的引领作用。技术优势是美以运用“震网”病毒对伊核设施进行成功打击最为关键的因素，而结合技术特点创造性地运用全新的战法再次证明，科学技术每一次成功地应用，都促进了战法的创新发展。此次“震网”行动中，病毒首先采用漏洞利用技术，有效控制和操纵网络设备，实现对作战目标的层层渗透、全面拓展；在传播过程中，使用扩散计数、嵌入限速代码等技术实现病毒的受控扩散和安全隐蔽，并采用证书仿冒等技术规避防护软件，实现深度潜伏，同时有针对性地窃取情报信息；然后利用存储介质摆渡技术，实现对物理隔离专用网络的入侵和侵害；最后锁定目标关键节点，实施“点穴”攻击，达成目的。相比之下，伊朗由于技术落后，为防止遭到网络攻击，仅采取将内部计算机与互联网物理隔离等措施予以应对。因此，这场技术与战法水平相去甚远的非对称网络战早已注定了伊朗的失败。

“震网”行动启示我们，技术的发展是战法创新的物质基础，战法创新是技术发展的必然结果。随着信息技术不断发展，在加强对军事技术前沿的认知和探索的同时，必须积极开展战法创新，充分发挥技术突破对战法创新的引领作用。

（三）着力打造信息领域的“安全伞”。“没有网络安全就没有国家安全，没有信息化就没有现代化。”信息领域的安全已经逐渐成为保证国家安全的重要基础领域。“震网”行动作为一种典型的战略信息攻击，不仅开创了军事网络防务的新时代，而且将深刻改变国际网络安全环境。“震网”行动已经成为过去，但让人更为担心的是其可能具有但并没有付诸实施的破坏力，还极有可能存在破坏力更强的，但还没有进行实战运用的病毒武器。“震网”攻击目标绝非仅局限于伊朗核设施那么简单，该病毒只对伊朗核设施的离心机进行了破坏，并没有“伤及无辜”，这种情况只是因其设计者严格限定了其攻击对象，其攻击能力可能更强。可以预见，“震网”病毒只要稍加改动就可以具备攻击其它工业乃至信息基础设施的能力，如国家的交通、能源、金融、电力、化工等基础设施甚至军事信息系统都有可能成为其破坏的目标。

“震网”行动警示我们，网络攻击已成为人类当前和将来面临的最严峻的非传统安全威胁之一。面对网络信息领域日益复杂的安全形势，应尽快制定网络空间国家安全战略，构建网络空间安全体制、机制和机构，大力研发自主可控的关键技术和装备，形成一定规模的网络空间国家防御力量体系。

（四）抓紧抢占未来作战战略制高点。“震网”行动是首个通过虚拟空间对现实世界造成破坏的行动，标志着网络空间作战进入实战化时代。这次作战行动悄无声息，攻击时不费一兵一卒、一枪一弹，却起到了与精确军事打击同样的作战效果；同时，“震网”行动颠覆了传统作战观念，展现出网络空间作战在和平时期国家战略博弈中的重要地位，昭示着网络空间作战已经成为和平时期国家和军队实现战略意图的有效手段。毋庸置疑，网络信息技术的迅猛发展正深刻地改变着战争形态，制网权已如同制海权、制空权、制天权一样，成为时刻关乎国家主权与安全，并且日趋成为兵家必争的战略制高点。

当前，面对世界主要国家军队围绕争夺网络空间发展权、主导权和控制权，抢占网络空间战略制高点的角逐。人民解放军必须着眼网络空间作战的新特点、新规律，深入探索破坏敌作战体系结构、削弱敌整体作战能力的方法路子，不断创新打击敌网络关键节点、切断其主要数据链的“击节破网、毁点断链”新型网络战法。深入探索网络空间、外层空间、海洋空间等新型作战领域的特点规律，统筹新质作战力量建设，完善指挥体制机制，优化力量结构，不断拓展网络、太空、海洋领域的新边疆，使之成为中国力量延伸和利益获取的新取向。

[1]樊高月、赵力昌：《不流血的战争——网络攻防经典之战》，北京，解放军出版社，2014。

[2]张笑容：《第五空间战略——大国间的网络博弈》，北京，机械工业出版社，2014。

[3]温柏华：《“震网”行动中美军攻击性网络作战与网络威慑》，载《外国军事学术》，2013（4）。