• 網絡空間攻擊態勢發生三大深刻變化：由少數黑客的肆意妄為轉變為國家力量有組織的集體行動，由以單一簡單目標為主轉變為以關鍵基礎設施和復雜系統機構目標的規模行動，由網絡空間內獨立行動轉變為陸海空天網聯合行動。
• 網絡空間攻擊威脅可以歸納為五大類型：網絡空間單點攻擊、系統攻擊、體系攻擊、聯合攻擊和總體攻擊，在目標、手段、特征、威脅程度等維度均有所不同。

本文通過對網絡攻擊案例的梳理，歸納整理當前面臨的五大網絡空間攻擊威脅，并提出相關應對策略，以期在未來的網絡空間攻防對抗中獲得主動。此次發布為文章的上半部分，主要分析五大網絡空間攻擊威脅。

一、五大網絡空間攻擊威脅概述

網絡空間攻擊態勢發生了深刻的變化。現在網絡攻擊不僅僅是黑客肆意妄為的個人行為，越來越多的國家級力量參與到網絡攻擊行動中，網絡空間業已成為大國間政治角力的新戰場。

通過對網絡攻擊案例進行分析梳理，可以將網絡空間攻擊威脅歸納為五大類型——網絡空間單點攻擊、系統攻擊、體系攻擊、聯合攻擊和總體攻擊。(如圖1所示)五大網絡攻擊威脅在攻擊目標、攻擊手段、攻擊特征、威脅程度等維度均有所不同。

圖1 網絡空間五大攻擊威脅

（一）網絡空間單點攻擊

網絡空間單點攻擊是一種對抗烈度較低的攻擊形態。攻擊目標聚焦單一目標或簡單系統，攻擊人員由個人或小團隊組成，攻擊裝備主要由漏洞裝備和控守裝備構成，攻擊成果往往體現為獲取重要信息或數據。

1. 主要特點

• 人員數量較少：一般由個人或小規模團隊組成。
• 目標規模較小：一般針對個人賬號(郵箱賬號、論壇賬號)、主機終端(windows終端、Linux終端、MAC終端)移動終端(Android、iPhone)、應用服務器(web服務器、郵件服務器)、網絡設備(路由器、防火墻、安防設備)等有限目標實施攻擊。
• 裝備性能一般：一般使用公開漏洞或開源滲透工具作為主要實施作戰。
• 攻擊協同不多：攻擊人員一般全程參與攻擊全過程，較少配合。
• 支撐資源有限：一般通過虛擬專用網、郵箱、DNS等資源開展行動。
• 作戰目標單一：以獲取網絡目標情報信息為主要目的。

2. 對抗態勢

網絡空間單點攻擊過程中，攻擊方主要有少數人員組成，使用突破工具和控制工具通過多種攻擊手法向特定具體目標實施攻擊，具體行動包括目標探測、漏洞攻擊、遠程控制、安防繞過等。

防御方則由系統廠商、設備廠商、應用廠商對目標資產進行自我安全防護，以及安全廠商進行外部安全防護，具體行動有修補漏洞、安全加固、病毒查殺等。

攻防雙方對抗的焦點聚焦于具體目標的突破與反突破、控制與反控制。具體對抗態勢如圖2所示。

圖2 網絡空間單點攻擊對抗態勢

3. 典型案例

網絡空間單點攻擊由于實施條件要求不高、攻擊流程相對簡單，是絕大多數APT組織常用的攻擊樣式。攻擊人員常通過社會工程學或已知遠程漏洞攻擊等方式獲取目標控制權，達到獲取敏感信息的目的。

(1) RSA SecurID竊取攻擊

EMC公司下屬的RSA公司遭到入侵，黑客通過釣魚郵件攻擊方式獲取公司部分技術內容及客戶資料被竊取。

攻擊流程：

• 攻擊者給RSA的母公司EMC的4名員工發送了2組惡意郵件，郵件附件為”2011 Recruitment Plan.xls“的文件。
• 其中一位員工將其從垃圾郵件中取出來閱讀，被當時的Adobe Flash的0day漏洞(CVE-2011-0609)命中。
• 該員工電腦被植入木馬，開始從僵尸網絡(BotNet)的C&C服務器下載指令執行。
• 首批受害的使用者并非高地位的人，緊接著IT與非IT服務器管理員相繼被黑。
• RSA發現開發用服務器遭入侵，攻擊者立即撤回并將所有資料加密以FTP的方式傳送回遠程主機，完成入侵。

(2) 針對馬拉維(Malawi)國民銀行的網絡攻擊

在這一系列攻擊事件中，有四家馬拉維國民銀行的地方分行，成為攻擊者的重要目標，其中大南部區(southend)官方客服郵箱已經被攻擊者盜用。攻擊者利用事先從國民銀行部分地區分行盜取的官方郵箱口令，向其他分行工作人員發送帶有惡意文檔附件的郵件，作為附件的惡意文檔利用CVE-2014-6352漏洞發起攻擊。此漏洞可以繞過“沙蟲”漏洞(SandWorm)補丁MS14-060的安全保護。漏洞利用成功后，樣本會執行名為“Target.scr”的可執行程序，該程序由攻擊者基于開源代碼修改編譯生成，攻擊者在重寫了main函數代碼，程序運行時并不會調用開源代碼原有的功能函數，而是內存展開執行內嵌的DarkComet遠控木馬，進而向目標系統發起攻擊。

圖3 單點攻擊流程圖

通過以上案例可以看到，攻擊主要利用漏洞和遠程控制等主要攻擊武器，針對終端、WEB服務器等攻擊面，掌控目標控制權后實施獲取相關情報。

（二）網絡空間系統攻擊

網絡空間系統攻擊是針對大型機構或組織的復雜網絡開展的對抗烈度較高的攻擊形態，其攻擊成果體現在針對大型機構復雜網絡系統進行長期隱蔽控制、獲取重要情報和致癱核心業務等。

1. 主要特點

• 攻擊力量協同更加頻繁：參與攻擊人員分工更加細致，除了滲透人員、情報分析人員、漏洞分析工具研發人員之外，還有行業機構專家參與其中，實施攻擊前往往需要在模擬環境下進行演練。
• 目標環境更加復雜多樣：大型機構一般采用跨網跨域網絡環境，包含互聯網、DMZ、辦公內網、核心業務網等多種場景，在這些這些場景下網絡資產類型、網絡防護機制、網絡組網方式都不盡相同，如圖所示。
• 攻擊裝備品類全性能高：往往利用0Day漏洞利用工具突破大型機構的內部網絡和核心系統資產，此外進入內網通過后橫向移動和持久化工具完成后續操作。

圖4 一般大型機構跨網跨域復雜場景示意圖

2. 對抗態勢

網絡空間系統攻擊過程中，攻擊方人員具有一定規模且分工協作，除了滲透人員還有漏洞挖掘、數據分析和行業專家人員。攻擊裝備方面往往儲備了一批0Day漏洞工具和設備持久化后門等高等級工具。對攻擊目標方面注重攻擊面情況、社工情況以及內部未公開情況的收集。

防御方則除系統廠商、設備廠商、應用廠商外還有工控廠商;安全廠商除了傳統安全廠商外，還有威脅分析廠商和安全審計廠商等。此外，還有一些重點機構和政府力量進行專門防護。

攻防雙方對抗的焦點聚焦于復雜系統的整體控制權。具體對抗態勢如圖5所示。

圖5 網絡空間系統攻擊對抗態勢

3. 典型案例

美軍長期通過網絡空間系統攻擊實現其網絡作戰目標，美方在開展網絡攻擊遵循作戰原則，非常注重規模效益、強調攻擊效率、突出作戰效果，在攻擊目標選取上重點針對“電信運營商、關鍵基礎設施、骨干網絡設備、網絡管理人員、應用服務器(郵件服務器、域名服務器、WEB服務器等)”等目標，在初次網絡突破環節更多采用“中間人攻擊、供應鏈攻擊、網絡設備攻擊、擺渡攻擊、網管人員攻擊”等方式，在網絡目標控制攻擊環節常用“零日漏洞、控制平臺、持久化后門、內網橫向拓展”等手段。在安全隱蔽的前提下，實現對各種網絡目標的規模化突破和持久隱蔽控制。

(1) 奧林匹克(Olympic Game)行動

針對伊朗核設施的“奧運會”(Olympic Game)行動，最終通過“震網”(Stuxnet) 蠕蟲，成功入侵并破壞伊朗核設施，嚴重遲滯了伊朗核計劃，成為首個利用惡意代碼對實體設施造成重大不可逆損壞的事件。

圖6 震網病毒攻擊示意圖

NSA針對伊朗核設施關鍵基礎設施目標采取多種手段綜合運用進行攻擊。

• 核設施目標信息收集，通過各種情報收集方式收集核設施設備型號、系統版本及網絡結構等信息。
• 擺渡方式實施突破植入，通過人力方式將感染U盤帶入內部網絡，借助USB擺渡+基于漏洞的橫向移動。染毒U盤利用快捷方式文件解析漏洞，傳播到內部網絡。
• 內網橫向拓展攻擊，在內網中，通過快捷方式解析漏洞、RPC遠程執行漏洞、印機后臺程序服務漏洞，實現聯網主機之間的傳播;最后抵達安裝了WinCC軟件的主機，展開攻擊。
• 工控系統致癱攻擊，在內網環境中橫向拓展過程中，掃描查找安裝有Siemens Step7、WinCC/PCS 7 SCADA控制軟件的主機并進行感染。通過修改管理西門子PLC參數工具載荷導致核設施轉速不正常從而損毀。

(2) 金色極光(AURORAGOLD)行動

NSA在針對全球手機監聽的“金色極光”(AURORAGOLD)行動，通過收集關于全球移動通訊運營商內部系統的信息，以找到其漏洞，供隨后的黑客攻擊使用，該計劃為美國 2011年對利比亞進行軍事干預提供了利方重要人物的通信信息。

圖7 金色極光行動計劃報告

NSA針對運營商目標通常從內部員工作為突破口進行迂回攻擊。根據曝光資料顯示，美方曾對巴基斯坦國家電信公司(簡稱NTC)、黎巴嫩運營商(OGERO ISP)等運營商進行網絡攻擊。

• 內部員工目標信息收集，通過棱鏡計劃和關鍵得分計劃等項目，使用被動定位方式識別到了NTC的員工，評估當前識別出其與NTCVIP部門的聯系。由SIGDEV針對已知的被Selector(NSA精確識別系統)標記出來的目標，去定位其他有聯系的目標。至此成功使用被動方式定位識別到了NTC VIP部門專門運營維護Green Exchange的員工。
• 內部員工中間人攻擊，通過與R&T一起使用SECONDDATE 和QUANTUM項目，成功將4個新式CNE accesses植入到Green Exchange中。
• 核心骨干網絡內網攻擊，通過研制的CNE訪問攻擊載荷，成功控制VIP 部門和一個用于收集Green Exchange的基礎線路。該部分是用來維護Green Exchange(綠區交換機，位于安全區域)。Green Exchange房間放置著ZXJ-10(程控交換機，用于電話網絡)。這幾臺程控交換機是巴基斯坦 Green Line 通信網絡的骨干(這個網絡專門為巴基斯坦高級官員和軍事領導提供服務)，至此實現掌控核心骨干網的網絡攻擊目標。

（三）網絡空間體系攻擊

網絡空間體系攻擊是通過體系化建設提升網絡攻擊能力且對抗烈度很高的攻擊形態，網絡攻防體系不局限于某一類特定目標，而是面向整個網絡空間保持持續性網絡攻擊能力，是一個國家網絡空間綜合能力的集中體現。

1. 主要特點

• 投入巨大：體系建設需要投入大量人力、物力和財力，同時還要具有相當強的技術儲備，以美國為例，其在網絡空間體系建設方面投入了數百億美元，才建立起相對完整的體系。
• 體系龐大：以美國為例，無論是攻擊體系還是防御體系均由眾多項目組成;其中最大的支撐架構稱為“湍流”(TURBULENCE)，由多個系統組成，包括主動情報采集系統 TUMULT、被動情報采集系統 TURMOIL、任務邏輯控制系統 TURBINE、進攻性網空行動系統“量 子”(QUANTUM)、主動防御系統 TUTELAGE(我們在之前介紹過，是帶有積極防御的 CND主要實現)、密碼服務 LONGHAUL、數據倉庫 PRESSUREWAVE、網絡流量分析系統 TRAFFICTHIEF 和信號情報分析系統CLUSTER WEALTH-2 等。這些系統各司其職，共同支撐信息收集、情報分析、積極防御、決策控制、網絡作業等網空行動的攻擊性行動環節，共同構成了美國強大的網絡空間進攻性能力支撐體系。
• 目標多樣：無論是個體目標還是關鍵基礎設施目標，無論是單一場景還是復雜場景，均能體系中找到對應能力支撐。

2. 對抗態勢

網絡空間系統攻擊過程中，攻擊方和防守方是體系與體系的對抗，除了配備大量攻防工具裝備系統之外，還有各種支撐保障系統建設，此外投入力量方面需要各個環節企業和國家各部門共同參與。具體對抗態勢如圖所示，攻防雙方對抗的焦點聚焦于整個網絡空間的的整體控制權。

圖8 網絡空間體系攻擊對抗態勢

3. 典型案例

美方網絡空間中形成強大的體系化的監聽、攻擊和主動防御能力。長期以來，特別重視建設積極主動的網絡空間安全架構，重點在網絡空間安全主動防御體系、網絡空間攻擊支撐體系、網絡空間攻擊裝備體系三大體系上進行技術與裝備的變革和發展。

(1) 網絡主動防御體系

美軍的網絡空間安全主動防御體系借助商用技術和能力，將網絡空間的威脅預警、入侵防御和安全響應能力相結合，創建跨領域的網絡空間態勢感知系統，為聯邦政府網絡基礎設施提供安全保障。

由于密級不同，美國的“態勢感知體系”的防護范圍劃分為兩部分：聯邦政府網絡以及軍事網絡，所以自然地，“態勢感知體系”也分為兩個子系統：Einstein系統以及TUTELAGE 系統，并分別交由國土安全部的國家網絡通信整合中心以及國家安全局(也即網絡戰司令部)的威脅作戰中心進行運行、管理，為了保證兩個領域的態勢感知能力更加高效，美國國家標準化技術研究院開發了威脅情報交換標準(如STIX、TAXII等)，保證了兩個領域敏感數據交換的高效、實時。

圖9 TUTELAGE項目架構圖

(2) 網絡攻擊支撐體系

美國國防部認為，計算機網絡對抗(Computer Network Operations, CNO)即實質操縱計算機和網絡，針對計算機或其他網絡本身或他們它們之上的信息、信息系統，實施攻擊和防御以及兩者所需的支撐行動。按照網空行動目的，可以將 CNO 劃分為計算機網絡防御(Computer Network Defense, CND)、計算機網絡刺探(Computer Network Exploitation, CNE)和計算機網絡攻擊(Computer Network Attack, CNA)，分別對應網空積極防御、網空情報行動和網空軍事行動。

斯諾登曝光的2009年8 月的絕密文件中也提到了TURBULENCE項目。文件中解釋了將主動與被動方法結合起來以達到從目標網絡中滲出數據的過程。TURBULENCE 項目包含傳感器(Sensors)、基礎設施(Infrastructure)及分析(Analysis)三個模塊。

圖10 湍流項目架構圖

(3) 網絡攻擊裝備體系

美國自2008年以來實施了多次進攻性網空行動，并且具備相當大的破壞能力，這種進攻性能力不僅來自于完善的后端支撐體系，更來自于強大的網空攻擊裝備體系。美國的網絡攻擊裝備體系以全平臺、全功能為發展目標，并具有模塊化特點，使得其能夠適應于各種網絡環境下的行動作業要求。

通過物流鏈劫持、運營商劫持、源代碼污染等實現戰場預制;通過大規模信息采集形成終端、設備、軟件、用戶身份的信息庫，繪制網絡地形、尋找關鍵目標;通過移動介質擺渡攻擊、物流鏈劫持、近場作業等方式突破物理隔離防線;在內網橫向移動，建立持久化據點，投遞載荷;通過擺渡攻擊、開辟側信道、隱信道等方式實現遠程控制，最終實現目標。

漏洞利用網絡攻擊裝備。NSA 具有大量的零日漏洞(從未公開披露的漏洞)儲備。2017年4 月14 日，影子經紀人組織曝光了一批NSA 的網空攻擊裝備與相關漏洞的資料。其中的Fuzzbunch 是針對Windows 操作系統的漏洞利用平臺，能夠向目標主機植入有效載荷，在植入的過程中可直接內存執行，不需要生成實體文件。平臺中還包含數個針對特定類型目標，并且可以直接使用的漏洞，包括“永恒之藍”(EternalBlue)、“永恒浪漫”(Eternalromance)等。

圖11 量子計劃中攻擊裝備

• 突破物理隔離網絡攻擊裝備。為了配合美方軍事力量抵近展開秘密行動，也需要能夠突破物理隔離并滲透進入對手內網的作業能力，NSA 也開發了一系列著重于突破物理隔離防護機制的工具和技術，“水腹蛇-1”(COTTONMOUTH-1)是其中最具代表性的一個。

圖12 水蝮蛇攻擊裝備

• 命令與控制網絡攻擊裝備。在通常的網絡入侵行動中，攻擊者需要和已經進入目標網絡/系統的惡意代碼進行通信，發送指令并獲取數據，因此需要使用用于命令與控制的工具，盡可能地以安全、隱蔽的方式實現攻擊者與植入惡意代碼之間的通信。以NSA、CIA為代表的美方情報部門開發了一系列具有命令與控制能力的攻擊平臺和武器裝備，功能原子化、目標全覆蓋，典型代表為DanderSpritz平臺，該平臺通過正向、反向、激活包三種方式與受害者建立連接，同時，通過分析發現，DS 平臺在通訊過程中嚴格加密，使得安全分析人員即使捕獲了載荷樣本也很難破解通信內容。

圖13 DanderSpritz平臺攻擊裝備

• 利用無線信號通信網絡攻擊裝備。美國國家安全局(NSA)網絡攻擊裝備的傳播、通信、控制除了依賴于目標原有的網絡或常規的移動介質之外，還有一類不依賴目標網絡，而是利用無線信號實現信息傳遞，進而繞過多數網絡安全防護手段，實現信息竊取或內網滲透的網絡攻擊裝備。

NSA 可用于對離線室內活動(如高密級會議、研討等)進行信號采集的“憤怒的鄰居”(Angry Neighbor) 裝備， 能夠主動收集視頻、音頻、無線信號，并轉換為特定波段的射頻信號，通過隱蔽通信通道回傳;

NSA 利用物理隔離網絡中Wi-Fi信號(物理隔離網絡中常常因為管理不到位而存在違規私接的Wi-Fi 網絡)的漏洞進行重定向并入侵的“床頭柜”(NIGHTSTAND)裝備;

圖14 離線信號采集裝備

• 持久化控制網絡攻擊裝備。美國一直秉承“持久化一切可以持久化的節點”的理念，將其作為一種重要的戰略資源儲備，為長期的信息竊取和日后可能的網絡戰做準備。

NSA 的相關裝備主要由特定入侵行動辦公室(TAO)下屬的先進網絡技術組(ANT) 開發。比較有代表性的裝備包括針對Juniper 不同系列防火墻的工具集“ 蛋奶酥槽”(SOUFFLETROUGH) 和“ 給水槽”(FEEDTROUGH)、針對思科Cisco 系列防火墻的“ 噴射犁”(JETPLOW)、針對華為路由器的“水源”(HEADWATER)、針對Dell 服務器的“神明彈跳”(DEITYBOUNCE)、針對桌面和筆記本電腦的“盛怒的僧侶”(IRATEMONK)等。

圖15 針對華為防火墻持久化后門攻擊裝備

（四）網絡空間聯合攻擊

網絡空間聯合攻擊是指網絡空間攻擊行動對陸海空天等軍種提供各種作戰支持，這一階段進行網絡對抗作為軍事對抗的組成部分，一定程度上可以體現一個國家的綜合軍事實力。

1. 主要特點

• 軍種聯合協同：海陸空天網多軍種聯合作戰，網絡攻擊作為軍事作戰行動的一部分，能夠為其他軍種提供行動配合、情報支持、輿論引導等作用。
• 突出軍事效益：網絡攻擊目標往往是軍事指揮系統或者能夠對軍事行動造成影響的各種目標。
• 攻擊樣式多樣：網絡聯合作戰主要開展對目標的致癱、拒絕、擾亂、欺騙等軟殺傷和硬損毀網絡攻擊。

2. 對抗態勢

網絡空間聯合攻擊過程中，攻擊方和防守方一般處于軍事對抗階段，網絡攻擊往往軍事指揮機構統一指揮，和其他軍種行動密切協同配合，因此聯合攻擊呈現出很強的軍事對抗特征。具體對抗態勢如圖所示，攻防雙方對抗的焦點聚焦于整個軍事對抗的的控制權。

圖16 網絡空間聯合攻擊對抗態勢

3. 典型案例

美國、俄羅斯是最早在軍事作戰行動應用網絡攻擊的國家，網絡攻擊取得了一系列令人印象深刻戰果，當前網絡作戰已然成為一種新型軍事作戰樣式。

(1) 海灣戰爭開啟網絡作戰先河

1991年海灣戰爭中，美國最早將網絡攻擊引入軍事戰爭，中央情報局通過特工對伊拉克從法國購買的防空系統注入病毒芯片，最終導致伊拉克指揮中心失靈。

第一次海灣戰爭期間，伊拉克從法國購得一批網絡打印機，美國特工得知此事，將一塊固化病毒程序的芯片與某打印機中的芯片調了包，并且在空襲發起前，以遙控手段激活了病毒，使得伊拉克防空指揮中心主計算機系統癱瘓，最后伊軍只有挨打的份。

(2) “舒特”網電攻擊顯威力

2007年，為將敘利亞核計劃扼殺于萌芽之中，以色列空軍第69戰斗機中隊的18架F-16戰機，悄無聲息地突破敘利亞在敘以邊境部署的先進俄制“道爾”-M1防空系統，對敘以邊境以西約100千米、大馬士革東北部約400千米的一處核設施實施精確轟炸，并從原路安全返回。

據披露，美軍“舒特”攻擊系統通過遠程無線電入侵，癱瘓雷達、無線電通信系統，使敘防空系統處于失效狀態。作為針對組網武器平臺及網絡化信息系統的新型網電攻擊系統，“舒特”代表著軍事技術和作戰方式的發展趨勢，勢必將帶來全新戰爭景觀。

(3) “震網”網絡物理戰先驅

2010年8月，伊朗在俄羅斯幫助下建成布什爾核電站，但這座計劃于當年10月正式發電運轉的核電站，卻多次推遲運行。一年后，據媒體揭秘，是因為遭到來源不明的計算機網絡病毒攻擊，超過3萬臺電腦“中招”，位于納坦斯的千臺離心機報廢，剛封頂的布什爾核電站不得不取出核燃料并延期啟動，伊朗核發展計劃則被迫擱置。這種后來被冠名為“震網”的病毒，開創了通過網絡控制并摧毀實體的先河。

(4) 俄格沖突中網絡戰作用突顯

2008年8月俄羅斯對格魯吉亞發動的網絡攻擊是第一次與主要常規軍事行動同時發生的大規模網絡攻擊。這些網絡攻擊削弱了格魯吉亞人與外界溝通的能力，在信息和心理上對媒體、政府以及公眾產生了重大影響。

開戰后，俄羅斯對格魯吉亞的網絡攻擊迅即全面展開，使得包括媒體、通信和交通運輸系統在內的格魯吉亞官方網站全部癱瘓，直接影響到了格魯吉亞的戰爭動員與支援能力。

被稱為“美國網絡后果單元(US Cyber Consequence Unit)”的私人非營利性組織的一位安全專家將俄羅斯對格魯吉亞的網絡攻擊分為兩個階段。

在第一階段中，俄羅斯黑客發起的攻擊類型主要是分布式拒絕服務(DDoS)攻擊。俄羅斯的攻擊組織利用僵尸網絡針對格魯吉亞政府和媒體網站采取攻擊行動。

第二階段的網絡作戰力求對更多目標進行破壞，其破壞目標名單上包括金融機構、教育機構、西方媒體以及格魯吉亞黑客網站。對這些服務器的攻擊不僅包括 DDoS 攻擊，還包括篡改服務器的網站。此外，一些俄羅斯黑客利用格魯吉亞政治人物公開可用的電子郵件地址，發起垃圾郵件攻擊。

（五）網絡空間總體攻擊

網絡空間總體攻擊是針對政治、軍事、外交、經濟、心理、文化等領域實施全維攻擊，這一階段國家間進入全面對抗階段，可以體現一個國家綜合實力。

1. 主要特點

• 戰略驅動：網絡攻擊行動與各個國家戰略目標相銜接，可以作為實現國家戰略意圖的一種新型手段。
• 全維對抗：和軍事戰、政治戰、外交戰、經濟戰、心理戰、媒體戰、文化戰等多種斗爭形態配合，在全方位對抗中發揮突出作用。

2. 對抗態勢

網絡空間總體攻擊過程中，攻擊方和防守方一般為國家實體，網絡攻擊目標覆蓋各個行業，攻擊結果不僅僅是具體的，往往會產生外溢效應。具體對抗態勢如圖所示，攻防雙方對抗的焦點聚焦于取得國家斗爭主動權。

圖17 網絡空間總體攻擊對抗態勢

3. 典型案例

(1) “郵件門”事件影響美大選走勢

在網絡黑客涉影響選舉的系列事件中，“郵件門”最為輿論關注。在民主黨內提名大會召開前夕，全球著名的泄密網站維基揭秘公開了美國民主黨高層內部絕密的19252封郵件、8034個附件以及29段音頻文件等，大量郵件顯示希拉里勾結民主黨高層、內定黨內候選人以及參與“洗錢”和操控媒體等多項丑聞。美國聯邦調查局宣布對“郵件門”的調查，引發輿論嘩然，特朗普支持率迅速拉近與希拉里的差距。在距離大選不到一天的11月7日，美國聯邦調查局宣布維持7月份調查結論。在整個選舉過程中，兩位總統候選人借機互揭黑幕。美國政府和主流媒體認為俄羅斯是近期美國總統大選遭黑客攻擊的“幕后黑手”，黑客攻擊引發的郵件泄密等是為幫助有親俄政治傾向的特朗普當上總統。

(2) 委內瑞拉大規模停電事件

2019年，委內瑞拉發生全國范圍的大規模停電，首都加拉加斯以及其他大部分地區陷入黑暗中，全國18個州電力供應中斷，僅有5個州幸免，此次突發的電力系統崩潰沒有任何預兆。停電給委內瑞拉帶來了重大損失，全國交通癱瘓，地鐵系統關閉，醫院手術中斷，所有通訊線路中斷，航班無法正常起降。委內瑞拉官方為代表的觀點，認為本次事故是由于委內瑞拉最大的古里水電站受到反對派和美國網絡攻擊導致機組停機所致。

美國多次與哥倫比亞和委反對派合作，從國際互聯網上對委內瑞拉使用類似的網絡病毒武器，導致該國發電設施和供電設施停轉。

接下篇《五大網絡空間攻擊威脅及應對策略(下)》