引言
“百战百胜,非善之善也;不战而屈人之兵,善之善者也。故上兵伐谋。(孙子兵法)”,哲学家孙子先知先觉,早在2500多年前就精辟提出了上述观点。他着重强调了利用战略工具可以不费一枪一弹就能将对手打败。尽管那个时候他还不知道有网络战能力,但他是指那个时代具有的外交或经济手段来对付对手。孙子接着论述说在所有领域进行防御性准备的对手并不是真正准备实施正确的战斗。他尖锐地指出这种对手从长期来说有许多缺点可以利用。同样,孙子的观点适用于今天网络空间的挑战,可以帮助我们理解现代网络和系统中普遍存在的固有漏洞。显然,对手可以在网络空间被打败。最近对爱沙尼亚和格鲁吉亚的攻击就是先例。这种攻击可以先于或者阻止实际战场上的攻击。而且,未来的冲突中,在一两个领域做好准备的对手可能在其他关键地方留下漏洞。在网络空间做好xx准备的对手可能对其安全措施感到更加安全。事实上可能感到太安全了。准备对网络攻击进行防御只解决了当今网络安全专家面临的防御问题的一半。网络防御本质上必须是整体全面的,要解决先发制人的措施和传统的被动防御措施,如防火墙、反应性防御装置、杀毒程序和其他软件程序和硬件装置。
背景
自2003年美国发布《网络空间安全国家战略》后,潜在的网络灾难日益明显。文件突出强调了美国“经济和国家安全xx依赖信息技术以及信息基础设施。我们所依赖的信息技术设施的核心是英特网,原先设计这一系统是科学家之间共享非密的研究成果。”这一特点再怎么强调也不为过。这一争论的核心显然英特网的支撑技术,特别是传输控制协议/英特网协议(TCP/IP),是为了确保信息的传递,不是确保信息的安全、反拒认或其他安全概念。
英特网协议或者“IP”是一个无链接的“发射并忘却”的协议,将信息打包,不直接依赖主机之间建立链接。另一方面,传输控制协议或“TCP”是基于连接的标准协议,为通信主机间的IP层提供可靠性功能。换句话说,IP首先将信息从发送主机分割打包准备发送到接收主机中,然后,TCP将这些信息包交付到远程的计算机主机中。 TCP还确保接收的信息包以正确的次序重新组织。但是,对于信息包的完整性或者发送主机的IP地址的完整性几乎没有考虑,导致出现未来利用安全问题的潜在可能性,如IP spoofing或者TCP session(TCP会话)劫持。尽管黑客在实施破坏性的拒绝式服务攻击时利用IP spoofing技巧建立伪造的IP信息包掩盖他们的身份,但TCP session劫持能力可能为黑客提供更大的回报,他们利用这些技巧发现获取两台被xx计算机之间的TCP session,而目标计算机并不知道它们已经被劫持。
漏洞是显然的。TCPsession劫持、IP spoofing和同步占满(SYNflooding) 是三种有效攻击基于TCP/IP协议网络的事例。特别是TCP session劫持特别难以正确发现,因为发送地的媒体访问控制(MAC)地址变化后,相应的IP地址却不变。入侵检测系统之类的自动安全系统可能会注意到信息的MAC地址稍微有所变化,因为MAC地址变化只是TCP劫持的{wy}可能指示,就会提供漏报理解。类似对TCP标准的这些攻击事例非常普遍。TCP的原作者对通过网络获得的信息的担心要比确保信息的实际安全更多。但是,当人们开始考虑当时发送的内容是,这就对了。网络,特别是英特网,运行普遍使用的标准和协议。英特网协会是非盈利性机构,追求的是更新更好的英特网标准和政策。在这方面,英特网协会的工程师特别小组提供给公众的是相关的技术和工程设计文件,形成并提高了人们管理英特网的方法。这些产品包括{zj0}做法、各种信息文件和协议标准。此外,英特网工程师特别小组发起并支持出版电脑与通讯技术文件。它们概述了拟议的未来英特网本身的协议。
在第675号电脑与通讯技术文件中,TCP标准的作者描述了“TCP的功能和需要服务的程序或用户的接口。”在文章中,几乎很少注意到网络安全问题。670号文件的作者写于1973年,当时从一个主机成功地传输一个简单的信息就是一个了不起的成就,哪里会想到网络安全问题。30年前TCP的作者在这个文件中只有两次简单地提到了英特网挑战的特点。
当今计算机和网络安全事实仍然相同。任何时候一个机构越增加安全措施,结果相应的网络和系统的速度和反应不可避免降低。21世纪网络防御专家面临的基本挑战就是合理平衡机构的网络安全需要与其用户在速度、使用和带宽方面的需求。
网络安全的严重性日渐明显——例如,当对机构网站服务器的计算机80端口发动攻击时,需要平衡安全与用户的需求。计算机利用端口数量作为周围设备或其他计算机之间的连接接口。80端口是网站服务默认数字。通过取消所有用户(包括合法用户)从服务器进入80端口就能能轻易制止这种攻击。不幸的是,80端口是全世界默认的网站服务端口。不用它就会大大减少该网站的合法用户,因为这些用户在合法使用时并不知道80端口不能用了。
这种交换在网络安全领域是普遍的。信息安全,通过延长网络防御是与其他重要资产的一种交换,如系统功能和性能(安全专家)需要能够在系统运行期间智能调整这种交换,提供{zj0}的防御。安全工程师和管理员如果不能正确地平衡安全需求与性能需求,从长远来看,定会失败。
网络漏洞
在商业世界,漏洞主要是因为设计和实施中出现错误所致,造成信息完整性、可获得性和保密性受损。错误通常在软件中,也存在于各个信息系统层,从协议规格到设计到物理硬件。网络漏洞还可能是恶意用户或自动恶意代码故意为之。重要系统或网络中单个漏洞可能会严重破坏一个机构的安全态势。
美国国防部对“漏洞”一词的定义是易受攻击性或“利用信息安全系统设计、程序、实施或内部控制中的弱点不经授权获得信息或进入信息系统。”这里的关键词是“弱点”。任何系统或网络中的弱点都是可防的。但是,系统或网络中的弱点表明解决方案是已知的,能够实施的。有许多系统和网络漏洞分析器,包括自动漏洞检测系统和TIGER系统。网络攻击向量是对某一或多个具体目标实施攻击的明确的路径。自动漏洞检测系统和TIGER系统利用模拟网络攻击分析网络的整个态势,常规失败概率很低。网络专家利用的其他类似工具有安全管理员网络集成工具(SAINT)和网络映射器(NMAP)——基于漏洞的评估工具,既快又可靠。由于NMAP携带方便、操作简单,黑客也常常使用。它有用于Linux, UniX 和微软Windows平台的多种版本,能轻松扫描包含成百上千个系统和服务器的巨型网络。SAINT 和NMAP能对网络的端口或服务系统进行扫描,显然也能被恶意和非恶意者利用。攻击特征和地址性质决定了新的攻击或攻击向量能躲过大多数漏洞评估工具。
例如,如果端口21——文件传输协议(FTP)的默认端口正在运行的话,对网络服务器进行快速漏洞检查能发现潜在的问题。传统的FTP程序不提供数据加密,用户认证级别很低,因此传输中相对容易窃取未加密数据。由于用户认证系统功能不强,黑客如果能诱骗系统认为他是FTP服务器的合法用户,就能进入系统,这就出现了另外一个问题。解决这些漏洞就是应用加密技术。Secure-shell (SSH) FTP或SFTP通过加密保证数据的完整性和保密性。SFTP利用SSH进行可靠的数据连接保证远程文档安全传输。该协议使用端口22,系统管理员不用传统的FTP服务器,因此不需要使用端口21.令人惊讶的是,当他们运行SFTP时,有几个管理员错误地忘记关掉FTP,这样为黑客留下可利用的后门。
漏洞评估工具是双向的。尽管它们提供管理员评估系统和网络状态非常需要的能力,但这些工具也为恶意黑客提供了扫描能力。任何端口扫面工具能远程刺探网络服务器,决定哪个端口是对外部开发的。黑客还能发现这些开发的端口是否可以利用。
网络威胁
网络威胁是指“利用数据通信路线试图未经授权进入控制系统装置和网络。”安全专家对已知的,更重要的是,可能的攻击向量进行类别风险评估以便更好地保护系统和网络。本文开篇引用的《孙子兵法》的话特别适用这一领域。网络安全专家只对已知紧急事态制定应对计划正招致灾难。不是所有的紧急事态都能真正解决的,因为每年都出现更新的攻击方法。
SANS技术学院院长史蒂芬马修详细列出了网络系统的主要威胁向量;来自外部的电话攻击;来自局域网的内部攻击;本地系统的内部攻击;恶意代码攻击。这些向量使得网络安全专家能根据该机构网络系统遭遇的最可能威胁,正确分析现有系统和它们的漏洞。但是漏洞分析中潜在的威胁分析只涉及已知的漏洞利用和攻击向量。必须从不同的来源和角度思考保护网络免受从未知晓的攻击。网络安全专家必须采取先发制人的网络防御反击这些新攻击。
目前的工具、标准和技巧
路由器、防火墙、入侵检测系统和类似mcafee Virusscan或symantec antiVirus这样的杀毒软件是当今网络战最常用的安全工具,特别是保护桌面电脑的安全。每种设备的能力和特点简要如下:
路由器是两个网络之间的网络数据包交换,提供对已知传输地点的过滤机制,带来潜在的网络安全问题。如果路由器的预设置是“拒绝全部”,必须实施进入控制名单进行可以接收的网络传输。另一方面,如果路由器的预设置是“全部允许”,那必须实施进入控制名单算出哪些传输是被拒绝的。
在纯粹意义上,前者太严格,效率低,而后者又太宽容,不安全。多数现代网络工程师利用后者范例,因为如Cisco系统公司这些主要的路由器制造商的产品具有先进的安全特性,增加了路由器保护英特网网络的能力,同时不会严重降低合法网络传输的速度。
防火墙与路由器密切配合过滤进出数据传输;防火墙还启动预定义规则集(ruleset)决定允许或丢弃哪一个进出的数据包。防火墙的内部程序与规则集对数据包进行核对后允许或拒绝通过。错误的或过期的规则集对防火墙用处不大。而且,一般防火墙不能发现不为所知的新攻击或者是规则集数据库中没有的攻击。防火墙可以是硬件或软件或者是软硬件的结合。防火墙设备的物理位置需靠近网关以确保对数据包进行适当的分析。今天的防火墙就像保安根据数据库的规则集来决定允许还是拒绝哪一个数据包通过。
入侵检测系统(IDS)对入侵网络或主机系统进行监视、报告和响应。多个传感器——网络上分布的多个小型计算机应用系统,负责向主要IDS服务器报告——是IDS方法的眼睛和耳朵。如果防火墙可以看作是大楼的保安,那么IDS就可以被看成是一组安全视频摄像机,对进入大楼的脚印进行扫描,同时观察大楼的各个关键位置。在这种情况下,这组“视频摄像机”能立即报警,对发生的事件进行主动响应。如同防火墙一样,IDS的力量在于其知识库。有缺陷的或过时的知识库给予管理员虚假的安全感,攻击可以悄然溜过。
杀毒程序是所讨论的{zh1}的安全系统。杀毒程序安装在桌面电脑和服务器的硬盘驱动器中。这些软件程序对硬盘驱动器、接受的电子邮件和其他基于系统的部件进行扫描和xx,确保没有恶意软件进入系统本身。与防火墙和IDS程序一样,{zx1}的杀毒程序才管用。黑客每天制造新病毒。强大的杀毒程序必须不断更新使得系统能够通过总所周知的数字签名识别{zx1}攻击。不幸的是,数字签名能够轻易更改,因此黑客经常公布他们的攻击代码给同伙,这样知名的病毒变种就能很快产生。
对于目前多数网络防御技术和方法,深入了解目前的攻击和攻击向量是非常必要的。这在可见的未来是不会改变的。未来所需的是根据基于异常的建模与仿真范例应用先发制人网络防御机制的补充战略。这就是说,安全管理员不是坐等攻击开始,而是建立新的创新程序进行积极主动的网络防御。
这些新程序需要“模仿研究,加快开发信息安全和可生存性技术。目前的程序造成了创新者和开发者永远在追赶对手。”该停止“拼命追赶的游戏了”,要在未来对手攻击美国网络基础设施之前开始积极主动地与网络敌人交战。
未来网络战
未来威胁。在2008联合作战环境文件中,美国联合xx司令部对我们可以预见的未来20多年网络领域的活动进行了描述:
在未来的2030年了解信息技术的关键是技术变革的步伐将以指数增长。因为大多数个人以线性方式来认识这些变化,他们对短期内技术取得的成就估计过高,而对长期内对科技进步的力量的估计严重不足。
美国联合xx司令部进一步阐述说联合xx司令部“维持一个更长期的观点,避免对未来战争排除性的观点。任何真正的敌人将会进行调整对准我们的弱点。因此,本研究的意义不能按顺序排列。只有真正的先发制人的网络空间自我防御,加上传统的反应性体制,才能打败这些新的威胁。
在目前网络作战中,新出现的几个混杂的主题会持续10多年。如果美国网络防御态势实质仍然是静态的反应性的,这些主题将持续发生。
{dy}主题实际上包含了一个安全推论,所谓的“ 闪亮对象综合症 ”(SOS)。SOS的{zj0}描述是毫无理由的冲动性购买{zx1}时尚。
军中或商界的高级主管们为了追逐{zx1}的计算机不惜浪费大量时间和资源。所谓的SOS安全推论就是冲动地购买{zx1}发明的电子产品,而不考虑它内在的风险。黑莓手机现象就是安全推论的xxx例证。现在大多数主管在使用黑莓之类的设备,这种情形在过去几年剧增。这些设备刚出世时,几乎没有考虑适当的安全和保密问题。黑莓本身功能太强大,使用太方便了,即使黑莓发送的数据没有进行加密。但是,不久许多机构发现这些无线装置存在的内在安全隐患,开始强迫采用加密和其他安全措施。
第二个主题是网络犯罪不断蔓延。利用网络罪犯的动因,许多违法者非常成功。事实上,计算机和网络安全专家认为未来网络犯罪“将日益有组织化,利益驱动化。”金钱继续流动,驱动黑客开发新的更加保密的窃取企业和xx秘密的方法。毕竟,电子窃取新的战斗机计划要比自己开发成本低的多。
第三个主题是对基础设施领域网络控制系统的威胁。在国家基础设施顾问委员会关于物理和网络技术及其相关挑战报告中,工作小组断定“尽管网络攻击导致基础设施故障的事例还不为公众所知,但发生这些事件的潜在性和后果可能是灾难性的。”这一潜在威胁的主要原因来自于公司运行控制系统的设施对付巨大的网络威胁能力有限。尽管多数公司能现场对付新手黑客和低级的始作俑者,但只有控制系统公司能对付来自“有组织犯罪、流氓公司、 恐怖组织和民族国家”的网络威胁。这些黑客不仅有充足的资源,而且在攻击控制系统的网络基础设施时更积极,更坚定。美国国土安全部的控制系统安全计划通过全球协调行动,“减少了对重要基础设施控制系统实施网络攻击的成功率和严重性”,解决了许多问题。
未来我们遭遇的第四个主题是攻击本身的多形态性质。“多态性”是指一个物体改变外表或者是性质的能力。例如,一个多形态的计算机病毒每次被复制感染新文档时都会改变代码。这使得新版病毒偷偷地躲过IDS和杀毒检测器,因为其数字签名是新的,不为检测器的数据引擎所知。多形态病毒和其他恶意软件因为其攻击隐蔽,成功率高,使用频率会继续增加。
支持多形态威胁将继续导致僵尸网络(botnets)的建立和扩大使用。作为恶意手段使用时,僵尸网络(botnets)是在一系列遭劫持的计算机上秘密形成的,也被称为“zombie”(僵尸)计算机,它根据黑客的意愿秘密发挥一系列功能。黑客经常利用僵尸网络(botnets)对各个目标系统发动分布式拒绝服务攻击(DDOS)。僵尸网络(botnets)能为分布式计算机提供一个理想的立足点,为多形态攻击提供攻击平台。网络安全专家利用“honeypots”(蜜罐,是一种诱骗攻击者的计算机)这样的软件装置诱骗黑客进入一个不能造成损坏的安全区,他的一举一动都得到控制和监视。Symantec公司在2007年下半年的英特网威胁报告中指出当时至少有500万台计算机是感染了“僵尸”。黑客喜欢用僵尸计算机作为攻击平台,因为这些感染的计算机能有效运行许多恶意功能,繁殖和利用容易,成本低廉。该公司还说这些僵尸计算机“采取分散指挥与控制模式,不容易让它无法发挥功能,更重要的是它可以用来获得巨大的经济利益。”
{zh1}一个主题引起美国xx的轰动,就是军事网络战的持续性和公开性。俄罗斯对爱沙尼亚和格鲁吉亚发动的网络战说明了这一新兴主题。对格鲁吉亚实施的DDOS网络攻击显示它与使用常规火炮攻击迫使敌人投降有惊人的相似之处,使得常规攻击成功更可能成功。现在,21世纪的“网络炮弹”提供了在攻击之前震惊对手的新方法。据说,俄罗斯在入侵格鲁吉亚数周前就开始使用网络大炮,在占领格鲁吉亚部分地区期间继续实施网络作战行动支持实施其战略和战役目标。除了实施DDOS攻击外,据报道,俄罗斯还利用诸如路由器劫持和数据窃取等多种网络攻击实现在格鲁吉亚的网络战目标。
过去的网络攻击实施上不为公众所见。现在,英特网本身的独特性使得损害格鲁吉亚总统网站这样的事件成为头版新闻。5个新兴的主题将继续存在;这些新威胁只有通过先发制人的网络防御才能被打败。
先发制人的网络防御。在国家网络空间安全战略执行概要中,布什政府指出网络领域的隐私和公民自由需要得到更好地保护。概要还指出“由于对于协同的智能的攻击没有任何网络安全计划是不能渗透的,因此,信息系统在遭受攻击时必须还能运行,并且具备能迅速xx恢复的弹性。”这一战略表明美国开始从1990年xx始的静态的传统的安全机制向动态的安全机制转变。布什政府认识到没有任何网络防御计划能满足所有的需求。但是,美国的网络防御计划必须是动态的、多形态的——基于良好的理论,但灵活而且适应性强。
在2006年四年防务评估报告中,美国国防部称“将维持威慑态势让潜在对手信服他们攻击美国的目标不会得逞,他们对美国领土、人民和重要基础设施(包括通过网络空间)或者xx的攻击可能遭遇压倒性的响应。”尽管国防部许多官员仍然质疑先发制人和反应性的防御战略的法律问题,但本文的建议关注的是发展更加主动的网络防御态势的技术问题而不是法律问题。
真正的先发制人的网络防御需要关注在上述5个新兴主题。目前的网络防御态势还不能解决这些主题。应该更好地解决漏洞(SOS 推论),同时动机因素必须全部根除。有价值的网络目标(控制系统主题)必须加固应对更新的攻击(多态攻击主题)。
{zh1},这4个主题将以{zh1}一个主题为终结:持续的军事网络战状态。先发制人的网络防御标准和机制能使网络安全专家打败或至少对抗这些主题。任何先发制人的防御态势必须预见未来攻击。此外,网络安全专家需要能够防止或响应任何网络攻击或者对他们内部计算机系统任何部分发动攻击的工具和技术。国防部必须扩大网络训练和教育提高网络安全专家和管理者的知识库。还必须继续对各级军事领导人进行训练教育他们网络安全的重要性以及他们该做些什么才能更好地帮助网络专家正确地确保他们的网络和系统的安全,防止攻击。
如布雷德利伍德在《战略网络防御中xx的先发制人之策》所指出的,我们必须“像下国际象棋那样,及时思考攻击战略和防御性对策,同时还要超前几步想出下一步xxx的行动,不管这一步是否在系统设计、作业甚至研究中。”目前的网络防御战略几乎xx依赖反应和防御。美国政府必须对我们的网络周边阵地采取先发制人的防御,同时预测下一场网络攻击的类型、时间和地点。这样我们才能以正确的方式及时对攻击成功进行响应,而不是试图不断地追赶对手。要实现这些目标,我们必须采用类似容断网络协议(DTN)这样的先进技术建立健全的网络系统建模与仿真范例。
支持技术
2005年完成的《先发制人网络防御建模与仿真范例》论文集主要探讨了基于异常反应的网络防御检测器的建模与仿真范例。这些文章被收入国际计算机协会和电力和电子工程师研究所出版物中。这些出版物继续了几位科学家的网络建模工作——最着名的是马修马奥尼博士,他还利用程序接口中的数据采集概念发现异常的网络传输,取得极大成功。
我们建立的网络模型包括马奥尼建立的模型,显示了网络防御范例xx不同的一面。研究重点是网络模式应该是什么样子的;因此,任何零时差(zero-day)——或者以前从未见过——的病毒或攻击不可能通过而不被发现。建模和仿真研究还利用基于决策树的数据采集技巧以及自举数据概念提供更好的模型。自举测试数据,需要将每千个数据包中的随机数据去除,使模型不断重新生效。自举数据计算机密集度很高的程序,但需要建立更好的模式应对零时差攻击。
安装异常检测器的网络防御系统能立即注意到任何非法的传输并报告给更大规模的防御系统。一个真正的牢固的安全原型系统应用基于异常的检测器和基于签名的检测器,因为这两种检测器都不是万无一失的。但是,两种系统一起串行正确使用会大幅度提高网络的安全态势。
容断网络协议(DTN)。DTN是另一个能大幅改变网络防御的创新方法。DTN是一组旨在代替传统TCP/IP协议的协议。DTN网络利用灵活的节点处理方法替代传统的IP域名命名规则,能提高分布式环境的可靠性。DTN架构是按照数据中心模式而不是网络中心模式运行的。
DTN解决了传统IP网络几乎不可能xx安全的重大问题。此外,IP网络用于军事/战术中的移动和ad hoc网络中性能很差。DTN利用独特的新的命名规则在网络中寻找数据包(data bundles)而不是数据包文件(packets)。如果网络不稳时,数据在静止时被保护并沿着网络路径存储到目的地。最近,国家航空航天局(NASA)的喷射推进实验室(JPL)在测试卫星绕地球轨道飞行时就利用DTN软件从卫星向NASA地面站发送许多图片。DTN技术对太空通信非常重要,因为“当太空飞行器在太空飞行时或者当发生太阳风暴和长时间的通信延迟时故障就会发生。” 从火星上发送或接受数据发生延迟时间是光速3-20分钟。试验很成功。NASA认为:“如果不能发现路径,数据包就不会丢弃。相反,每个网络节点可以保管信息直到与另一个节点安全连接上。”
DTN还是国防高级研究计划局的一个迅猛增长的项目。该局的科学家2009年用DTN网络开展工作。在弗吉尼亚AP Hill堡的成功试验为太空特别是军事行动中的战术领域的延迟网络环境提供了可靠的强大的网络计划。
建议
国防部面临网络防御挑战已经持续多年。继续依赖反应性防御的态势无法增强美国长期的网络防御。为确保网络空间形成先发制人的防御态势,美国政府应当实施以下建议。
{dy}:国会必须颁布与戈德华特一尼科尔斯法案法案类似的相关网络立法。这一立法应当优化政府的网络防御结构,同时增加xx与政府非军事机构之间的网络合作和信息共享。xx和政府机构中的各种计算机应急反应小组要直接向国土安全部的高级反应小组报告。
情报机构还必须对入侵进行及时的合成、分析,最重要的是向政府机构报告。信息共享的扩大需要严格控制,保证安全。立法将为本文中讨论的先发制人网络防御措施的实施奠定牢固基础。
第二、xx需要开发坚固的先发制人网络安全模拟与仿真架构。传统的对已知网络攻击的反应方法已经过时。通过正确的基础网络传输模型,采取新的更加积极的措施了解当前网络和系统架构将对我们网络防御态势大为有益。
第三、我们必须开始将自身从传统的TCP/IP架构中脱离出来。TCP/IP是10年前设计的,将数据从一个点传输到下一个点,根本没有考虑安全问题。已经证明TCP/IP 是成功的协议包,但该丢掉这一标准了。这是一个巨大的工程,需要多年才能完成。DTN这样的先进技术为我们如何利用软件和硬件工具积极提高网络安全的同时维持健全的能力水平和整个系统的处理能力提供了一个窗口。
第四、我们必须扩大网络训练和教育。各军种实施各种网络训练以满足需求。如果不是全部的话,多数网络训练和教育的指向是反应性防御态势。需要对系统、网络管理和工程的上层进行先发制人的教育。这些先发制人的网络防御专家需要教育以及在正确时间实施正确的网络防御活动的工具。
{zh1}、网络空间先发制人自我防御的教育、研究、人力配置和运行需要时间和金钱。这些活动必须有充足的资金保证才能阻止未来的灾难。
结论
持续的网络战正步步逼近。这种持续的环境促使网络安全专家继续改进网络防御工具,开发新方法与新兴的网络威胁作战。现有的工具本质上多为反应性的,迫使指导规则和机制也必须是反应性的。然而,国防部必须开发反应性和先发制人的工具和标准确保全球信息栅格免遭来自国内外的攻击。类似异常检测网络模型以及建立ad hoc网络、容断网络协议架构这样先发制人的工具无疑将增强国防部和美国联盟伙伴的网络安全。
