战略情报分析文章

3000字你都敢要？厉害！！给你个提纲吧 科学技术的发展特别是军事高技术的发展正在军事领域引发一场深刻的变革。从20世纪80年代以来发生的屡次局部战争，特别是20世纪末发生的科索沃战争中，人们可以看出：现代战争已在很大程度上表现为高技术的较量，谁拥有军事高技术，谁就能够在战争中占据更大的主动权；现代战争已进入高技术时代。一、 军事高技术的内涵与特点 随便写几点二、 当代军事高技术的发展与应用 （一）军用微电子技术 (二) 军用航天技术 (三) 军用新材料技术 (四) 遥感技术 (五) 定向能技术三、 正确认识和对待高技术武器与高技术战争 （一） 以发展的眼光看待战争 （二） 以务实的态度研究战法 （三） 以全面的观点加强战备具体的自己写吧

军事高技术对现代作战的影响高技术战争的以上特征，对军事上的影响，可以说是革命性的。它要求国家战略、国防经济、国防科技和军品生产、军事思想、战争样式和作战方式、军队建设和管理、战争准备、战略战术、后方保障等各个方面，都要进行深刻的改革。高技术战争的出现，迫使从事战争的人们重新看待一些传统的观念、理论和原则，重新衡量以前的战略、政策和一些具体做法。 （一）对国家安全战略的影响 在高技术战争条件下，从保卫国家的安全角度来说，仅仅考虑核威胁、核保护战略已远远不够了。航天战略（或宇宙战略）将成为国家战略的重要内容。一个国家的高技术水平是这个国家威慑力量中不可分割的一部分。国家的安全除了有赖于必要的常规武器、核武器外，更加有赖于高技术武器。 （二）对国防经济的影响 高技术的发展，对国防经济要求很高，国家要以相当的经费来支持高技术武器的发展。这是一个方面。另一方面，很多军事高技术与国家科技的发展密不可分，如用于外层空间的一些武器和设备，对开发宇宙资源和地球资源大有益处。开始，需要国家经济投资，但不久就可受益，反而促进国家经济的发展。高技术战争的基础是高技术，发展高技术仅仅用有限的国防经费是不够的，需要有国防经济整个系统来支撑。而且光有钱还不是唯一的条件，国防技术人才和国防技术设施要与高技术的发展相适应。为了发展高技术，需要动员整个国家的尖端技术力量，而不单纯是军事技术力量。经费和技术，是发展高技术的必不可少的物质基础。 （三）对战争样式和作战方式的影响 高技术武器用于战争，使战争的样式和作战方式有了很大发展。除了已经出现的用高技术手段进行的军事冲突和小型局部战争之外，还将有可能出现如外层空间的军事冲突和小型战争，以及星球大战和世界性高技术战争等等新的战争样式。这些新的战争样式，反映了现代复杂的国际关系，影响着战争的规模和结局。对于核武器，美苏等国正在从高技术中寻找防御的积极手段。现在已有不少人相信，运用高技术武器就可以有效地抗击核武器。因而，风靡一时的核威胁战略将受到挑战。高技术战争发动的方式和进行的方式与以往也有很大不同。远战可能多于近战，导弹战可能多于枪炮战，电子战可能充斥整个战场。作战双方利用智能武器和借助现代指挥工具进行的斗争将日益突出出来。 （四）对军队编制装备的影响 高技术战争将影响军队的组成、编制和装备。如将增加新的军种和兵种——天军、深海部队、机器人部队、飞行器分队等。军兵种的比例也将发生变化，天军、空军的比例将逐渐增大，陆军的比例将缩减。海军中深海潜艇的比例也将加大。军队人员的知识结构，必须要与高技术的装备水平相适应。军队的文化水平将大大提高，工程科技人员的比例将增大。军队人员要有高度的政治觉悟，高度的组织纪律性，坚强的体魄，娴熟的军事技能，能吃苦耐劳，克服困难，坚韧不拔，具有献身精神。军队有良好的训练水平和科学的管理水平。 （五）对作战行动的影响 作战空间增大。不光是同一作战单位的任务，正面、纵深大于以往作战，而且空中的支援和防护一般可分为超低空、低空、中空、高空，超高空以及高天（外层空间） 6 个层次。从几万米高空扩大到几百公里的外层空间。 由于远程火器增多，部队机动速度加快，作战部队的任务纵深大大地加大了。 作战行动的突然性增大。在谋略思维上能够跳出常规，在复杂的战争现象中，寻找出其不意攻其不备之点，在谋求突然性的优势中居主导地位。但是指挥决策的快速性和作战行动的快速性，无疑有助于突然性的达成。而后者，在高技术战争中是司空见惯的。 杀伤破坏程度空前残酷。既有大面积杀伤武器，又有精确制导的杀伤点状目标的武器。点面结合，破坏面积大，杀伤目标准，对人类带来的灾难超过以往。如果高能激光武器使用于战场，对其破坏杀伤力目前还没有找到抗御的方法。战场探测器材十分发达，凡是暴露的目标，一般都可侦知，凡是侦知的目标，一般都可摧毁。在这种情况下，如何保存战场上的有生力量是个十分重要的问题。如果进攻者不能在冲击前对防御一方进行十分有效的压制，那末防御者就有可能在瞬间将暴露的进攻军队予以毁伤，而将在此以前的损失和消耗捞回来。克劳塞维茨说防御是较强的作战形式，在高技术战争中这句名言将再次得到证实。 电磁频谱的斗争更加激烈。这方面的斗争不单单是象以往那样主要反映在干扰和反干扰方面，除了干扰反干扰的斗争外，还将反映在侦察反侦察、制导反制导、 C3I 系统与反 C3I 系统等方面。高技术战争中，雷达是双方很注目的目标。电子干扰对方制导系统也将日益重要。破坏对方的指挥控制系统更有积极意义。电子压制斗争是火力压制的前提，否则，很难保障火力压制的效果。所以电磁环境的优势往往伴随着胜利。 在高技术作战中，发现目标是第一位的。包括侦察卫星在内的众多的探测器对战场目标的发现并不难。由于作战双方采取的伪装、隐形、隐蔽、设置假情报、发射假信号等手段，发现的目标是鱼龙混杂，真假难辨的。如何在发现目标之后识别真假是个复杂的问题。 打击目标是继发现识别目标后的积极行动。打击一般指火力打击，主要是空中火力和地面火力打击，同时包括采取电子摧毁的打法，或将目标杀伤，或使目标摧毁，或将目标给予破坏。这是高技术战争中最积极的手段。能否大量地歼灭对方的有生力量，在任何战争中都是有决定意义的，高技术战争也不例外。 占领或保护目标一般是作战的目的，这是继火力打击以后的行动，往往是歼灭敌方有生力量的结果。就一般的进攻（或防御）作战行动来说，占领（或保护）目标是衡量完成作战任务的标志之一。有利的地形如制高点、战役战术要点，仍是兵家必争之地。 （六）对指挥的影响 由于卫星技术和其它遥感遥测技术广泛使用于军队指挥系统，获取战略情报和战场情报已不是十分困难的事；由于电子计算机成为军队指挥的重要工具，大大提高了对信息的储存、处理能力；而使用激光通信、光纤通信、传真通信和数据通信等手段，通信的可靠性和适时性提高了。自动化的指挥控制系统使军队指挥既快速又准确，尤其运用人工智能专家系统，可以提出决策建议和行动方案供指挥员选择参考，作出最佳抉择。以高技术为支撑的 C3I 系统，可供战略指挥（全国、全球、甚至外层空间）使用，也可供战役、战斗指挥使用，甚至单舰、单机、单车、单兵都可使用。这就要求指挥员和参谋人员必须既是军事专家，又是科学家和工程技术专家，熟悉自动化指挥程序和具有运用指挥设备的知识与能力。 （七）对后方保障的影响 高技术战争的极大消耗量对后勤保障提出了一个十分现实的问题：供应补给量与消耗量要成正比，要以极大的供应量来保障高技术战争的极大消耗量。假设消耗量为 N ，那末供应量应大于 N 。只有这样，才能保证战争的持续进行，如果供应量小于消耗量，那就要影响战争的进行，甚至发生粮尽弹绝的危险情况。做到及时大量的供应补给，要掌握四个环节：①预见和准备。对一场战争的可能消耗情况，预先要有足够的估计，并据以作充分的准备。如作好各类物资弹药油料等的预先储备等。②有充足而可靠的输送力量。根据战争的进展情况和各作战方向、作战地域的消耗情况，能够及时地组织输送力量，迅速地将所需物资送到。③现代化的多种输送、管理手段，包括两个方面，一是多种输送手段，如铁路、公路、飞机输送，或人力兽力输送。二是运用现代化的管理手段，掌握战场上消耗情况，控制输送力量，保障重点方向、重点物资的筹划和供应。④有应急措施和掌握预备力量。智者千虑，必有一失。问题是当出现“失着”时，有裕如的应急措施，手里有预备力量可供使用。 由于高技术战争使前方后方的界限更趋淡薄，为了组织后方的有效保障，必须注意组织对后方机构的有效防御，防止空中袭击、远程武器袭击及空降兵袭击、敌方迂回穿插部队的袭击等。因此，后方地域必须组织防空、防炮、防导弹以及对地面和对外层空间的防御。这样，才能可靠而有效地组织后方保障。

我先给你提供一份大纲，你看下这份合适不合适你，不行我再给你弄份别的大纲您看下。摘 要受全球金融危机日益恶化的影响，中国钢铁行业已经历了价格暴跌、产量大减，钢厂库存大增1个多月的深度调整。预计中国钢铁业将会面临一到两年的萧条时期。钢铁行业最终走出下行通道，还将在世界经济基本面转好之后，中国钢铁企业也将面临一个兼并重组，乃至破产的高峰,通过运用波特五力模型分析现在有行业环境，选择相应的行业发展战略。论文以当前国际金融危机为背景，通过探讨用波特五力模型的模块理论，推测未来几年我国钢铁行业发展趋势。论文预计分五部分来分析推测选择面对国际金融危机下的我国钢铁行业发展战略。论文第一章是绪论，主要介绍论文研究的背景、意义和在经济危机这背景下论文的研究思路和方法。第二章是理论基础，主要介绍我国钢铁行业概况和企业战略管理分析理论。第三章是分析我国钢铁行业的外部环境，分别从宏观环境和微观竞争环境入手。第四章是基于现状选择适合我国钢铁行业的发展战略，论文提出了如下发展战略：①行业的纵向一体化发展战略选择；②行业横向一体化发展战略选择；③行业内研发与技术创新的发展战略选择。关键字：金融危机； 钢铁行业； 波特五力模型； 竞争环境； 发展战略 目 录1.绪论 研究的背景和意义 研究思路和方法 22.理论基础 我国钢铁行业概况 我国钢铁行业现状 我国钢铁行业发展状况 企业战略分析理论 企业战略管理概念 企业战略组成 企业战略分析 波特五力模型 83.我国钢铁行业外部环境分析 我国钢铁行业宏观环境分析 政治——法律环境 经济发展环境 技术发展环境 社会，文化与自然环境 我国钢铁行业微观竞争环境分析 上游供应产业对钢铁行业的威胁 购买商对钢铁企业的威胁 潜在进入的可能 替代的可能 行业内部竞争情况分析 国际金融危机影响下的我国钢铁行业的机会和威胁分析 224.基于现状选择适合我国钢铁行业发展的战略 面对国际竞争我国钢铁行业的优劣势分析 基于SWOT的我国钢铁行业发展战略分析 245.结论 26参考文献 27致 谢 29

Lockheed Martin 公司的《Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains》 [1] ，除了大家耳闻能详的杀链模型，更多在介绍如何利用杀链进行安全分析和情报能力建设。这部分内容之前介绍不多，于是根据自己的理解形成一则读书笔记在此分享。

文章发表于2011年，时值 APT 兴起。文中认为，传统“以漏洞为中心”的防御机制失效。同时传统的事件响应方法也并不适用，原因在于传统方法有两个错误的前提假设：响应只会发生在失陷之后（对应杀链模型，需要在入侵前期进行响应），且失陷由可修补的缺陷导致（对应APT中采用0-day）。因此，针对 APT 入侵的事件响应，需要在分析方法、流程以及技术上的演进。甚而希望基于对威胁的理解，能预计到并能缓解未来的入侵风险。

在此背景下，三位作者提出了以杀链为分析框架，并进一步阐述如何分析攻击对手，如何生成和应用情报，如何进行动态检测、防御和响应，建立“情报驱动的网络防御（Intelligence-driven Computer Network Defense 或 Intelligence Driven Defense）”。

所谓情报驱动防御，文中认为是一种以威胁为中心的风险管理战略，核心是针对对手的分析，包括了解对方的能力、目标、原则以及局限性，帮助防守方获得弹性的安全态势（resilient security posture），并有效指导安全投资的优先级（比如针对某个战役识别到的风险采取措施，或者高度聚焦于某个攻击对手或技术的安全措施）。情报驱动防御必然是一个持续、迭代的过程，通过分析、协同发现指标，利用“指标”去检测新的攻击活动，在调查过程又获得更丰富的指标。所谓弹性，是指从完整杀链看待入侵的检测、防御和响应，可以通过前面某个阶段的已知指标遏制链条后续的未知攻击；针对攻击方技战术重复性的特点，只要防守方能识别到、并快于对手利用这一特点，必然会增加对手的攻击成本。

下面先简要介绍杀链在整个情报驱动防御模型中的作用，然后重点介绍情报驱动的安全分析以及情报能力的建设。

作者认为，在APT 场景下需要对入侵有一个全新的理解，也即入侵是攻击者分阶段的进展而不局限于单次事件。于是他们将美国军方的 Kill Chain 概念（F2T2EA模型）应用到信息安全领域，用七个阶段结构化整个入侵过程：踩点 （Reconnaissance）、组装（Weaponization）、投送（Delivery）、攻击（Exploitation）、植入（Installation）、控制（C2）、收割（Actions on Objectives）。对应入侵每一阶段，防守方通过对入侵信息的了解，分析提炼出描述入侵信息的指标（Indicator）形成情报，并映射为相应的行动步骤（courses of action，CoA ），起到检测、缓解以及响应的作用。

除了阶段性的解构，杀链模型有如下两个重要价值，在动态攻防对抗中，使防守方可能具备优势。

关于情报驱动的安全分析，文中介绍了两类重要的方法：入侵重构（Intrusion Reconstruction ）和战役分析（Campaign Analysis ）。

杀链分析用于指导分析师完整地理解入侵过程。在这种新的分析模型下，分析师需要尽可能多地发现每阶段的属性，而不局限于单点信息。文中介绍了两种入侵重构的分析场景例子。一种是检测到入侵后期的活动，分析师需要完成针对之前所有阶段的分析。第二种检测发生在入侵前期，则需要对后续阶段做分析。

第一种情况，如下图所示，在C2控制阶段检测到某次入侵。分析师必须认为攻击者在之前所有阶段都已成功，并需要对此进行还原分析。举例来说，如不能复现入侵的投送阶段，那么就不可能在同一对手下次入侵的投送阶段采取有效的行动。而攻击方考虑经济性，一定会重用工具和架构，防守方在杀链中应用这类情报，将迫使对手在后续入侵中进行调整。

第二种情况，则是指针对失败入侵的分析也同样重要。文中提出了一种叫合成分析（Synthesis）的方法，如下图所示。防守方需要对已检测和防御到的入侵活动、尽可能全面地收集和分析数据，合成出未来入侵中可能绕过当前有效防御机制、在后续阶段采用的技战术。文中举例说明，基于已知指标，阻断掉了一次定向恶意邮件。通过杀链分析，发现在后续阶段会用到新的exploit或者后门。防守方针对该分析结果，比攻击方更快采取措施，则可继续保持战术优势。

文章第四节有一个实际案例分析，针对第一次入侵，应用情报防御了一个已知 0-day。通过每一次入侵的完整分析，获得更多指标。最后针对第三次入侵，通过投送阶段的已知指标（downstream IP地址：）遏制住了本次入侵后续阶段的未知0-day攻击。

上面入侵重构主要基于杀链的完整分析，而基于多次入侵的横向关联分析则可以识别彼此共性和重叠指标。上升到战略级别，防守方可以识别或定义战役（Campaigns ），将多年的活动与特定的持续威胁联系起来。通过战役分析，可以确定入侵者的模式与行为、技战术以及过程（TTP），旨在检测他们是“如何”操纵的、而不仅仅是他们做了“什么”。对于防守方的价值在于，基于逐个战役评估自身的安全能力，并基于单个战役的风险评估，制定战略行动路线弥补差距。战役分析的另一核心目标在于理解对手的攻击意图和目标，从而可能高度聚焦于针对某个攻击对手或技术的安全措施。

文中抽象出了两种战役分析方法。下图中左边的两次入侵，在杀链各阶段具有高度相关性，通过里面共性指标（白色）可以确认它们同属一个战役。右边的三次入侵，则具有不同程度的关联性。其中相对稳定、保持一致性的白色拐点指标，可被识别为关键指标，也即很大程度在同一战役的后续入侵中会被重复使用到的指标。这于防守方而言是可利用的有利条件。

源： [5]

介绍了这篇文章中核心的情报驱动分析方法，势必会提出对情报能力的要求。情报能力建设本身是一个比较大的话题，下面仅介绍文中作者提出的理论。

文中定义指标（Indicator）为“情报”的基本要素，用于客观描述入侵的信息，具体分为三类：

如前所述，情报驱动防御必然是一个持续、迭代过程，分析师通过分析、协同发现指标，将其应用到工具中做进一步完善，再将这些指标用于检测新的入侵活动。在针对这项活动的调查过程中，分析师通常又会获得更多的指标，而这些指标将受到同一套活动和指标状态的约束。这一行动周期和相应的指标状态形成了下图所示的指标生命周期。

源： [6]

关于指标的有效性，需要考虑如下几种可能：

综上，这篇文章最主要阐述了三个主题：

最后想说，其实这篇文章不但是威胁情报领域的经典，也更深地阐述了弹性防御这种较主动防御更高阶的防御方式。