瑞星專家揭秘網(wǎng)絡(luò)戰(zhàn)

之前媒體報道出來網(wǎng)絡(luò)戰(zhàn)事件，僅是全球網(wǎng)絡(luò)暗戰(zhàn)中的冰山一角，更大量的黑客攻擊、病毒入侵被淹沒在海量信息里，不為人知。

“網(wǎng)絡(luò)戰(zhàn)”的概念起源于何處已不可考，但這個從“電子戰(zhàn)”進化擴展而來的概念卻在最近幾年間大行其道。2010年，“超級工廠（Stuxnet）”病毒的出現(xiàn)，更是給網(wǎng)絡(luò)戰(zhàn)的現(xiàn)實實施添加了精彩的注腳。借助于該病毒，美國和以色列對伊朗的核設(shè)施發(fā)動了致命打擊，使得伊朗不得不推遲自己的核計劃。

“超級工廠”病毒的背后

2010年9月28日，瑞星發(fā)布警告，肆虐全球的Stuxnet病毒進入中國，并將其命名為“超級工廠”。瑞星公司在隨后對國內(nèi)企業(yè)的安全檢查中，發(fā)現(xiàn)有近千家企業(yè)的局域網(wǎng)遭到了該病毒的侵襲，其中不乏鋼鐵、電力、能源等敏感行業(yè)的內(nèi)部網(wǎng)絡(luò)。

瑞星技術(shù)專家對其的解析表明，該病毒使用了7個漏洞進行攻擊，其中4個是從未被公開過的0day漏洞。同時，病毒會判別CPU版本和自動控制軟件版本，只針對特定網(wǎng)絡(luò)發(fā)動攻擊。此外，病毒還使用了兩個正規(guī)商業(yè)公司的數(shù)字簽名，以逃避殺毒軟件的攻擊，并且病毒會連接遠程網(wǎng)站，接受黑客的攻擊命令。

圖1：超級工廠病毒感染途徑示意圖

隨著事態(tài)的發(fā)展，伊朗公開承認遭到了“超級工廠”病毒的侵襲，但未公開受影響的程度。根據(jù)外電報道，在此次病毒攻擊中，有至少20%用于提煉核燃料的離心機遭到破壞。由于這些離心機在電腦操控下工作，病毒通過改變電腦參數(shù)，使得受感染離心機提煉的核燃料質(zhì)量不合格，從而推遲了伊朗核計劃的進程。

2011年1月15日，《紐約時報》報道稱，“超級工廠病毒”是美國和以色列情報官員在以色列絕密的迪莫納核設(shè)施內(nèi)聯(lián)合研發(fā)的。病毒在迪莫納進行了兩年的研發(fā)，隨后被植入伊朗的核項目。這一行動被外界認為是世界上“最成功”的網(wǎng)絡(luò)攻擊。

各國及地區(qū)的專業(yè)網(wǎng)絡(luò)戰(zhàn)部隊

正是看到了網(wǎng)絡(luò)戰(zhàn)“效果大、花費少”的優(yōu)點，世界各國均建立了專業(yè)化的網(wǎng)絡(luò)戰(zhàn)部隊。以美國為例，早在1995年10月，美軍就在南卡來羅納州的空軍基地著手組建了世界上第一支網(wǎng)絡(luò)戰(zhàn)部隊——第9航空隊609信息戰(zhàn)中隊。

2011年10月1日，美國網(wǎng)軍全面運行，當(dāng)年預(yù)算約為32億美元。美國軍方把“網(wǎng)軍”列為陸、海、空、天之后的第五大戰(zhàn)略軍種，且美國網(wǎng)軍的直接領(lǐng)導(dǎo)者也將是一位四星上將，這些都充分說明了作為超級大國，美國已經(jīng)把網(wǎng)絡(luò)戰(zhàn)當(dāng)成了未來戰(zhàn)爭的主要爭奪領(lǐng)域。

早在2009年，日本防衛(wèi)省就決定新建專門應(yīng)對電腦攻擊的“電腦空間防衛(wèi)隊”。隨后為了增強日本自衛(wèi)隊C4系統(tǒng)司令部的防御性網(wǎng)絡(luò)戰(zhàn)能力，日本防衛(wèi)省決定于2011年在自衛(wèi)隊C4系統(tǒng)司令部下屬單位組建網(wǎng)絡(luò)空間防御分隊，招募專業(yè)技術(shù)人員，并把屬下成員送去專業(yè)機構(gòu)培訓(xùn)，加強應(yīng)對網(wǎng)絡(luò)攻擊的能力。

網(wǎng)絡(luò)戰(zhàn)的形式及新應(yīng)用

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展和成熟，“網(wǎng)絡(luò)戰(zhàn)”也開始顯現(xiàn)出了巨大的威力。如果在10年前說起“網(wǎng)絡(luò)戰(zhàn)”，人們想起來的是“中美黑客大戰(zhàn)”，中國“紅客”把美國網(wǎng)站黑掉，在網(wǎng)站首頁貼上五星紅旗就是勝利。

十年后的今天，黑客們能做到的事情已經(jīng)不僅僅是攻擊網(wǎng)站、涂寫標(biāo)語了，無論是情報收集、網(wǎng)絡(luò)心理戰(zhàn)、攻擊核心網(wǎng)絡(luò)、擾亂金融秩序，還是讓飛機相撞、高鐵脫軌，都已經(jīng)進入了網(wǎng)絡(luò)黑客可以影響的范疇。

第一，網(wǎng)絡(luò)心理戰(zhàn)

《孫子兵法》上說，“不戰(zhàn)而屈人之兵，善之善者也。”國家與國家之間的競爭，心理層面的競爭至關(guān)重要。近年來崛起的社交網(wǎng)絡(luò)（SNS），以其對信息傳播的巨大影響，在網(wǎng)絡(luò)心理戰(zhàn)中顯示了巨大的作用。

2011年8月4日，英國倫敦托特納姆區(qū)的一名男子被警察擊斃，在隨后的十多天里，當(dāng)?shù)啬贻p人借助Twitter為聯(lián)系工具，在街頭展開了搶劫商店、焚燒輪胎、打砸汽車等一系列的暴力活動。英國媒體報道稱，由于Twitter網(wǎng)站、黑莓手機等現(xiàn)代工具在年輕人中得到廣泛應(yīng)用，人們擁有了前所未有的召集能力，從而可以在警察到來之前把商店的東西搶劫一空。

即使在我國，一些網(wǎng)絡(luò)謠言也顯示了強大的傳播力。2011年3月，日本地震之后，由于有謠言說日本的核污染破壞了海水，使得海里出產(chǎn)的鹽都將帶有放射性不能食用，導(dǎo)致我國大部分地區(qū)出現(xiàn)搶鹽風(fēng)波，包括北京、上海、廣州等大城市超市的鹽都被搶購一空，有的鹽甚至賣到原價的十幾倍、幾十倍，借助現(xiàn)代網(wǎng)絡(luò)手段，謠言的破壞力之大、傳播速度之快都是前所未有的。

第二，情報收集

說到情報收集，人們往往會想起來間諜、潛伏和槍戰(zhàn)，但實際上，現(xiàn)代情報工作更多的是利用強大的收集能力，對于各種公開信息進行收集整理，從中得出有價值的數(shù)據(jù)和結(jié)論。有美國情報官員表示，目前美國情報機構(gòu)獲取的有效情報中，從互聯(lián)網(wǎng)公開信息中獲得的占據(jù)了80%以上的比例。

例如美國情報機構(gòu)對解放軍的某型潛艇十分感興趣，但對其是否已經(jīng)投產(chǎn)一直搞不清楚。直到2004年，有關(guān)該潛艇的照片出現(xiàn)在中國某軍事網(wǎng)站的論壇上，讓美國情報機構(gòu)“得來全不費功夫”。據(jù)一位國內(nèi)軍事網(wǎng)站的負責(zé)人介紹，每日訪問該網(wǎng)站的IP地址有30%來自海外，其中大部分就是來自美國。

第三，對民用設(shè)施的攻擊

隨著工業(yè)自動化控制技術(shù)的增強，許多關(guān)系到國計民生的設(shè)施，比如高速鐵路、民航系統(tǒng)、電網(wǎng)、能源系統(tǒng)等都開始被計算機控制，并可以進行遠程維護。而這在提高工作效率的同時，也給黑客攻擊提供了舞臺。

911恐怖襲擊之后，美軍在清剿“基地”組織時，在廢棄的訓(xùn)練營地發(fā)現(xiàn)了大量圖紙、資料以及電腦光盤。其中部分資料顯示，恐怖分子早就開始收集遠程控制的資料和技術(shù)信息。據(jù)統(tǒng)計，全美有54065座水電站、水壩、水庫、水處理中心存在安全隱患，可被黑客進行遠程攻擊。FBI專家表示，一旦水庫被恐怖分子通過遠程電腦控制，可能會通過“改變發(fā)電機的轉(zhuǎn)速讓電機報廢”、“修改計算機命令，讓水壩不當(dāng)維護造成潰壩”等情況。

事實上，超級工廠病毒針對西門子自動控制系統(tǒng)的攻擊，就是這種攻擊思路的應(yīng)用。無論高鐵還是電網(wǎng)，一旦被破壞，其造成的影響甚至超過小規(guī)模的戰(zhàn)斗，想像一下，如果黑客攻擊的目標(biāo)是核電站的自動控制系統(tǒng)，讓核電站過熱引發(fā)核泄漏事故，就可以造成切爾諾貝利核電站、日本核電站泄漏那樣的嚴(yán)重影響。

第四，對軍用網(wǎng)絡(luò)的直接攻擊

理論上，所有的軍用網(wǎng)絡(luò)均需要進行物理隔離，黑客無法通過互聯(lián)網(wǎng)進行遠程攻擊，但是某些新的技術(shù)或者流程上的漏洞，可能給貌似堅固的防線帶來破壞。據(jù)美中經(jīng)濟與安全評估委員會報告稱，2008年10月，美國航天局的Terra AM-1地球觀測衛(wèi)星被黑客攻擊，長約10分鐘，據(jù)稱黑客取得了控制衛(wèi)星的所有口令。

美國航天局的內(nèi)部報告表示，遭攻擊的衛(wèi)星使用了位于挪威的一家商用衛(wèi)星站，該站“定期會通過互聯(lián)網(wǎng)進行數(shù)據(jù)交換和文件傳輸”，黑客是通過互聯(lián)網(wǎng)途徑侵入衛(wèi)星地面站的。

從實戰(zhàn)出發(fā)應(yīng)對網(wǎng)絡(luò)攻擊

綜上所述，盡管“網(wǎng)絡(luò)戰(zhàn)”已被媒體炒的沸沸揚揚，但其基本運作模式仍然是人們熟知的病毒感染、黑客侵襲，只不過網(wǎng)軍旗下的黑客有了明確的目的，計劃更加精密，可以動用更多的資源。

針對涉密網(wǎng)絡(luò)，其實只要采取一些簡單的防范措施，就可以大大提升抗攻擊能力：

第一，針對網(wǎng)絡(luò)情報戰(zhàn)的防范，應(yīng)制訂內(nèi)部數(shù)據(jù)的規(guī)范流程，按照權(quán)重和等級進行分類，只要關(guān)注了“人”這個最活躍的因素，就能在很大程度上降低機密數(shù)據(jù)外泄的風(fēng)險。同時，涉密單位應(yīng)對員工進行盡職培訓(xùn)，讓每個人都有基本的安全意識。

第二，除了殺毒軟件、防黑客攻擊軟件之外，針對內(nèi)網(wǎng)用戶的行為管理，也是防范網(wǎng)絡(luò)攻擊、提高抗攻擊能力的切實途徑。例如在涉密網(wǎng)絡(luò)范圍內(nèi)，安裝手機干擾器，可以防止內(nèi)網(wǎng)用戶通過手機3G上網(wǎng)，避免成為黑客攻擊的弱點和目標(biāo)。

第三，涉密網(wǎng)絡(luò)應(yīng)進行嚴(yán)格物理隔離，在物理隔離的內(nèi)網(wǎng)中，凡是可能產(chǎn)生數(shù)據(jù)交換的行為，都應(yīng)從流程上絕對禁止。例如：不允許從外部攜帶U盤和移動硬盤進入內(nèi)網(wǎng)中使用；不允許將手機或移動終端帶入內(nèi)網(wǎng)中等。此前美國衛(wèi)星地面站遭攻擊，就是因為其地面站因為需要遠程維護，因此產(chǎn)生了“定期與互聯(lián)網(wǎng)交換數(shù)據(jù)”的行為，從而被黑客攻入。

第四，嚴(yán)格管制特殊人員的SNS行為，例如軍人、警察、特殊部門的公務(wù)人員等，使用SNS網(wǎng)站應(yīng)嚴(yán)格遵守規(guī)范，不允許隨意拍攝工作環(huán)境照片，不允許在個人日志提及任何工作內(nèi)容，不允許使用私人郵箱傳遞公文等。

第五，應(yīng)嚴(yán)格使用完全具備自主知識產(chǎn)權(quán)的軟硬件產(chǎn)品，任何軟件行為必須可控、可追溯，不允許在內(nèi)網(wǎng)中使用私人購買的硬件產(chǎn)品，不允許在內(nèi)網(wǎng)中使用從互聯(lián)網(wǎng)上任意下載的軟件等，因為在這些軟硬件中，很可能帶有后門或惡意程序。目前的路由器、打印機等產(chǎn)品均具備一定的數(shù)據(jù)處理性能，如果含有惡意軟件，則會成為黑客攻擊的突破口。

總體來看，從防范和安全的角度來講，預(yù)防“國外網(wǎng)軍”的侵襲，首要的就是對涉密網(wǎng)絡(luò)建立嚴(yán)格的操作流程和安全制度，培養(yǎng)自己的安全人才儲備，一切從實戰(zhàn)出發(fā)，才能更好的應(yīng)對網(wǎng)絡(luò)攻擊和黑客侵襲。