馬明杰，孫奉剛，翟立東，杜躍進,2,3

（1.中國科學院信息工程研究所 北京 100093；2.國家網絡信息安全技術研究所 北京 100029；3.國家計算機網絡應急技術處理協(xié)調中心 北京 100029）

1 網絡安全新威脅下的安全事件

信息化高速發(fā)展的同時也給個人、企業(yè)以及國家?guī)砹诵畔踩L險。近年來，頻發(fā)的安全事件越來越引起人們對信息安全的重視。為能更好地認清網絡安全新威脅，先看幾個典型的網絡安全事件。

極光行動（Operation Aurora）是一個典型的國家級信息安全對抗的案例。2010年，Google的一名雇員因點擊了一條惡意鏈接，導致Google網絡被滲透數(shù)月、各種系統(tǒng)的數(shù)據(jù)被竊取。在該事件中，遭受攻擊的除了Google外，還有 20多家公司，其中包括 Adobe Systems、Juniper Networks、Rackspace、雅虎、賽門鐵克、諾斯洛普·格魯門和陶氏化工等。賽門鐵克分析此次行動攻擊目標包括機構組織和制造業(yè)供應鏈，最主要目標是國防承包商。極光行動利用0day漏洞，通過釣魚郵件和網站漏洞傳播惡意程序。具體攻擊流程如圖1所示。

圖1 極光行動攻擊過程

2010年9月，“震網”蠕蟲病毒攻擊了伊朗的工業(yè)基礎設施，病毒滲透進微軟“視窗”操作系統(tǒng)，對其進行重新編程，從而造成系統(tǒng)破壞。該病毒結構非常復雜，其傳播方式如圖2所示。

2011年9月22日，Lurid攻擊被TrendMicro的研究人員公布。這是一起針對前獨聯(lián)體國家、印度、越南和中國等國家的重要部門，例如政府部門、外交部門、航天部門，還有科研機構的APT（advanced persistent threat，高級可持續(xù)威脅）事件。攻擊者主要利用了被壓縮成.rar文件的帶有惡意代碼的屏幕保護程序以及CVE-2009-4324和 CVE-2010-2883這兩個已知的Adobe Reader漏洞。用戶一旦打開惡意屏幕保護程序或閱讀惡意PDF文件，其電腦就會被植入木馬。木馬程序會為了在受害電腦中保持存在而采取不同的方法。木馬程序與C&C服務器進行通信，通常將收集的信息通過HTTP post上傳給C&C服務器。攻擊者借助C&C服務器對木馬下達各種指令，不斷收集受害企業(yè)、部門的敏感信息。

上述的安全事件發(fā)生時，被害企業(yè)或者國家很長時間都沒有察覺到其受到攻擊。很多病毒在其潛伏工作幾年后才被發(fā)現(xiàn)，給受害企業(yè)或國家造成了很大的損失。

2 淺析網絡安全事件

分析這幾個典型網絡安全事件的背景、攻擊手段、影響等因素，不難看出，現(xiàn)在所處的網絡空間安全環(huán)境是國際對抗環(huán)境，新威脅呈現(xiàn)APT的特征，即持續(xù)、高級、隱蔽等。分析每個安全事件，抽離其共性可發(fā)現(xiàn)，安全事件主要包括3方面要素：主體、方法和客體。

主體，是指主動發(fā)起攻擊的人、企業(yè)或國家，是攻擊的源頭?，F(xiàn)如今網絡空間存在4類不同動機的攻擊者：一是隨意選擇攻擊目標，可能造成嚴重危害的“白開心”者；二是主要以經濟利益為目的的“淘黑金”者；三是通過互聯(lián)網竊取各類信息的 “純小偷”；四是從國家博弈角度選擇目標，具備國家意志，包含政治動機的“大玩家”?！按笸婕摇钡牡菆觯窃斐山裉炀W絡安全演變成國家間安全對抗新形勢的主要原因。

圖2 “震網”病毒傳播方式

客體，是指攻擊目標。在國際對抗環(huán)境下，主體選擇的目標一般具有高價值或高信息量，如重要信息系統(tǒng)、金融產業(yè)、能源系統(tǒng)、政府和涉密信息系統(tǒng)、軍事、高科技企業(yè)、工業(yè)控制系統(tǒng)等。這些目標一旦被攻擊就會產生不可估量的損失甚至能引起世界級的恐慌。

方法，是指發(fā)動攻擊事件所采取的手段。手段主要利用了客體的脆弱性，包括技術脆弱性和運營管理脆弱性兩方面。技術脆弱性反映的是系統(tǒng)存在的后門程序或漏洞，包括系統(tǒng)網絡結構、系統(tǒng)軟件、數(shù)據(jù)庫軟件、應用中間件和應用系統(tǒng)幾個方面。系統(tǒng)的技術漏洞還包括異常行為，異常行為是安全威脅的一個方面。狹義的異常行為包括病毒、木馬、蠕蟲和僵尸網絡等；廣義的異常行為包括異常操作、異常地址、異常時間和異常群體等。必須找到相應的手段來發(fā)現(xiàn)這些異常行為，才能避免安全威脅的發(fā)生。運行管理脆弱性主要是由于組織結構管理或人員配置上的不合理安排造成的安全隱患。網絡的運行管理存在的隱患，例如身份盜用、責任分配不清晰、疏于防范、安全人員安全意識薄弱等都可能給攻擊者以可乘之機。

進一步分析國家間安全事件過程，可概括為5個階段，分別為定、接、攻、潛、行，如圖3所示。

圖3 新威脅下的安全事件過程

具體分析如下。

（1）定

即選定目標。攻擊者首先選定要攻擊的目標，即客體。國家間信息對抗一般從國家博弈的角度出發(fā)，包含有政治動機、經濟動機等因素。

（2）接

即接近目標。攻擊者會采取直接或者間接的方法接近目標。直接的方法為直接接近目標；若攻擊的目標防御較嚴密，不易從正面攻擊，攻擊者則會采用間接的方法，采用曲線方式接近目標，例如選擇合適的跳板，通過跳板接近目標且跳板有可能不只一個，有可能有多個。

（3）攻

即攻陷目標。該目標可以包括階段目標以及最終目標，階段目標即跳板。攻陷目標的方法可能包含了社會工程學、0day漏洞等。比如利用目標虛榮等缺點，發(fā)送一些中獎、免費贈送商品的郵件或者網址，或者發(fā)送帶有惡意鏈接的電子郵件或者虛假的Web站點詐騙；或者通過一定的手段給目標制造網絡或計算機的問題等，騙取用戶的信任；利用常用軟件的安全漏洞；利用后門程序等。有的攻擊只采用了其中一種手段就可以達到目的，有的為達到目的采用了幾種手段的組合。

（4）潛

即潛伏隱蔽。攻擊者為確保能在外部網絡的環(huán)境中對主要系統(tǒng)進行持續(xù)控制，常在目標的網絡環(huán)境中安裝新的后門程序或者在多臺計算機上安裝不同的惡意軟件，有的攻擊者采用建立不涉及后門程序的網絡訪問方法，例如使用有效PKI或VPN證書，允許入侵者偽裝成一個合法用戶進入企業(yè)網絡和內部資源等，這樣即使網絡安全人員發(fā)現(xiàn)并刪除他們的惡意軟件，也能使他們保持存在。在某些情況下，APT攻擊者可以繞過身份驗證以保持對受害網絡和它的資源的訪問。潛伏的周期不定，有的可能幾年或者幾十年才會進入下一階段，有的可能不經歷潛伏階段直接進入下一階段。

（5）行

即行動。行動不僅僅包括竊密還包括破壞，若國家級安全對抗中行動的目的為破壞，一般會給受害者造成巨大的損失，比較著名的例子就是“震網”攻擊，“震網”病毒可能感染并破壞了伊朗的核設施，并最終導致伊朗的布什爾核電站推遲啟動。但一般的APT旨在竊取機密。APT攻擊者一旦發(fā)現(xiàn)感興趣的文件，就會將其打包成歸檔文件并傳送。

行動后攻擊程序的動態(tài)也不一樣。例如行動后有的攻擊程序繼續(xù)隱蔽自己，只要沒被發(fā)現(xiàn)便會伺機再行動；有的攻擊程序行動后會自毀以保證其他攻擊程序的正常運行。有的攻擊程序在隱蔽自己的同時會不斷地行動直到被發(fā)現(xiàn)。

3 我國面臨的網絡安全挑戰(zhàn)

在國際網絡安全對抗新形勢下，在新威脅不斷出現(xiàn)的情況下，我國信息安全保障體系尚不能完美地抵御所有攻擊。我國管理體系還有待完善，管理部門職能定位有待細化；信息安全專業(yè)人才缺乏，復合型人才缺乏更甚，人員安全意識薄弱；國家網絡基礎設施主要依靠進口，自主創(chuàng)新能力有限，防范手段單一等現(xiàn)狀，都使國家易遭受技術遏制與威脅。綜上所述，我國存在的網絡安全問題可以總結為3方面要素：管理、技術、人員。

（1）管理方面

管理方面的問題主要體現(xiàn)在以下兩個方面。

·機制體制方面。國家信息化高速發(fā)展，我國信息安全在政策立法、規(guī)章制度制定方面明顯落后，顯得力不從心?，F(xiàn)如今攻擊事件頻繁發(fā)生，采用的攻擊手段花樣繁多，現(xiàn)有法律還不能完全概括所有信息安全問題，導致一些安全事件無法定性量刑。

·組織結構方面。國家在設置組織機構上主要存在責任不明確、缺乏權威的立法機構等問題。責任不明確不僅會浪費人才而且容易出現(xiàn)爭權或相互推卸責任的現(xiàn)象。缺乏權威的立法機構會導致立法緩慢。

（2）技術方面

技術方面存在的問題主要表現(xiàn)在以下3個方面。

·威脅分析能力不足。威脅分析評估能夠在事件發(fā)生前保障整個信息網絡安全，是非常重要的預見性工作，可以很大程度上減少安全事件的發(fā)生。只有了解、分析、評估可能面臨的威脅和被保護資源的價值，才能確定信息系統(tǒng)的安全保護等級，才能有效合理地配置有關技術、管理、人員等資源去實施科學合理的保護。我國在這方面還有待完善。

·面對復雜威脅，應急響應能力不足。應急響應能力主要針對已經發(fā)生的網絡安全事件，重視效率與速度。國家級應急預案以及應急機制與其他信息安全技術先進國家相比還有待改善與提高。

·核心技術能力不足。國家針對信息安全的研究起步較晚，軟硬件技術基礎較為薄弱，采用的網絡硬件設備和操作防護軟件大多源于國外。在信息技術的軟硬件領域均缺乏核心技術，關鍵性技術大多依賴于外國引進，對整體信息安全構成了重大威脅。

（3）人員方面

人員方面存在的問題主要表現(xiàn)在以下兩方面。

·復合型人才奇缺。目前國家在培養(yǎng)人才方面，雖然已經取得了一定成績，給各行各業(yè)輸送了大量的專業(yè)型人才，但是復合型人才的輸送比較少，造成部分單位雖然想保障單位信息安全，但是無從下手的局面。

·人員信息安全意識薄弱。由于安全宣傳、教育或培訓不到位或本身信息安全意識薄弱等原因，信息安全人員難以滿足安全管理的要求。人員安全意識因素往往是最容易出現(xiàn)問題但又最容易被忽視的環(huán)節(jié)。

4 未來網絡發(fā)展對策建議

針對國家新形勢下存在的問題和所面臨的威脅和挑戰(zhàn)，國家應該從宏觀層面完善政策法規(guī)建設、協(xié)調組織結構、大力培養(yǎng)安全人才、強化國家級核心能力研究與建設。

（1）進一步加強和完善法規(guī)建設

完善的法律法規(guī)是保障信息化高速健康發(fā)展的重要前提。國家政府部門應參考國際先進國家的法律法規(guī)，結合我國實際，加強和完善具有中國特色的法規(guī)建設。

（2）成立國家網絡安全風險和威脅分析工作組，提升威脅分析能力

通過對威脅的分析，可得到國家網絡情況的整體威脅分析量表，對所有系統(tǒng)面臨的威脅進行一個綜合的評判，依此進行下一步的工作。該量表可以從攻擊難度和造成的破壞性兩個方面加以考慮，進而將系統(tǒng)分為以下4類：

·破壞性大且攻擊難度??；

·破壞性大且攻擊難度大；

·破壞性小且攻擊難度?。?/p>

·破壞性小且攻擊難度大。

這4類系統(tǒng)需要受到的關注依次遞減。

（3）成立信息安全人才培訓中心

建立過程可分前提準備、中期試點、后期完善3個階段。培訓中心的職責不僅包括分領域地針對不同層次的從業(yè)人員進行培訓，還包括對他們的能力進行評估。這種評估，與學校中的考試不同，更多的是對培訓者具體行業(yè)的從業(yè)能力進行打分。

（4）強化國家級核心能力研究與建設

鼓勵走自主創(chuàng)新道路，增強國家核心能力，并以之帶動人才培養(yǎng)、研究實驗、產業(yè)發(fā)展、服務水平，全面提高國家網絡安全水平建設和防護水平。

（5）建立網絡信息安全應急演練機制

為提高國家應急處置能力，形成科學有效、反應迅速的應急工作機制，保障重要信息系統(tǒng)的穩(wěn)定運行，需成立國家網絡安全應急演練工作組，制定網絡安全的規(guī)章制度；組織安全排查，及時消除網絡安全隱患；組織制定并實施關系國計民生單位的網絡安全事故應急預案；總負責國家應急指揮工作，及時、準確地報告網絡安全事故。

（6）建立主要安全產品和信息系統(tǒng)抗攻擊的演練測試環(huán)境，組織社會力量檢驗國家網絡安全能力

例如針對微軟公司的Windows XP系統(tǒng)停服現(xiàn)狀，為了解Windows XP用戶安全情況，可將Windows XP系統(tǒng)環(huán)境作為演練測試環(huán)境的一部分，通過組織相關安全競賽，組織參賽者挑戰(zhàn)Windows XP平臺上的安全產品，通過實踐來檢驗國家具體網絡安全能力以及網絡安全人員的水平，為未來的網絡安全技術決策提供基礎。

5 結束語

互聯(lián)網不斷發(fā)展，網絡安全新威脅層出不窮，其手段也在不斷更新變化，這對完美有效地保障個人、企業(yè)、國家的信息安全提出了嚴峻的考驗。在國家對抗的新形勢下，具有影響力的安全事件一般涉及的是對國家有高價值、高數(shù)據(jù)量、對國家發(fā)展有著重要影響的企業(yè)、部門，一般出于政治、經濟等目的，采用高科技手段、社會工程學或者0day漏洞等進行攻擊，一旦攻擊成功，后果將不堪設想。因此要切實有效地保障國家信息安全，需要深刻認知我國網絡安全存在的問題，發(fā)展適合我國信息安全發(fā)展的技術且找尋合適的對策。

1 王柏松.中國新安全觀及其安全戰(zhàn)略選擇研究.東北師范大學博士學位論文，2013

2 Baize E.Developing secure products in the age of advanced persistent threats.IEEE Security&Privacy,2012,10(3):88～92

3 Virvilis N,Gritzalis D,Apostolopoulos T.Trusted computing vs advanced persistent threats:can a defender win this game.Proceedings of 2013 IEEE 10th International Conference on Ubiquitous Intelligence and Computing,Autonomic and Trusted Computing(UIC/ATC),Vietri Sul Mare,2013:396～403

4 Li F,Lai A,Ddl D.Evidence of advanced persistent threat:a case study of malware for political espionage.Proceedings of the 6th International Conference on Malicious and Unwanted Software(MALWARE),Fajardo,2011:102～109

5 Mustafa T.Malicious data leak prevention and purposeful evasion attacks:an approach to advanced persistent threat(APT)management.Proceedings of 2013 Saudi International Electronics,Communications and Photonics Conference (SIECPC),Riyadh,2013:1～5

6 Symantec Security Response.The Elderwood Project(Infographic).http://www.symantec.com/connect/blogs/elderwood-project-info graphic

7 杜躍進.國際對抗環(huán)境下的網絡安全防護能力建設.信息網絡安全，2013(3):86～88

8 杜躍進.陌生的危機：我國的網絡安全形勢.中國金融電腦，2014(1):32～35

9 Symantec Security Response.The Elderwood Project(Infographic).http://www.symantec.com/connect/blogs/elderwood-projectinfographic，2014

10 吳正龍．“震網”的警示．解放日報，2011-02-10

11啟明星辰.八大典型APT攻擊過程詳解.http://netsecurity.51cto.com/art/201308/408470_7.htm，2013

12安天實驗室，安全研究與應急處理中心.對Stuxnet蠕蟲攻擊工業(yè)控制系統(tǒng)事件的綜合報告，2010

13 讓我們一起來案例分析 第五期 （極光行動）.http://bbs.51cto.com/thread-1062449-1.html，2014