0. 引言

美國《防務(wù)新聞》周刊網(wǎng)站2月16日發(fā)表題為"五角大樓就破壞性網(wǎng)絡(luò)攻擊發(fā)出警告"的報(bào)道稱，五角大樓的二號(hào)人物昨天在舊金山舉行的信息安全會(huì)議上警告說，對(duì)特定目標(biāo)開發(fā)"有毒惡意軟件"的程序員應(yīng)警惕軟件失控。人們普遍認(rèn)為，美國國防部副部長威廉·林恩的講話是向去年據(jù)稱對(duì)伊朗核電站離心機(jī)造成破壞的"震網(wǎng)"蠕蟲病毒的開發(fā)者發(fā)出的警告信息。

1. "震網(wǎng)"

"震網(wǎng)"（Stuxnet）是一種Windows平臺(tái)上的計(jì)算機(jī)蠕蟲病毒，2010年6月首次被白俄羅斯安全公司VirusBlokAda發(fā)現(xiàn)。"震網(wǎng)"同時(shí)利用了7個(gè)最新漏洞進(jìn)行攻擊，7個(gè)漏洞中，有5個(gè)針對(duì)Windows系統(tǒng)（其中4個(gè)是全新的零日漏洞），2個(gè)針對(duì)SIMATIC  WinCC系統(tǒng)。

"震網(wǎng)"的傳播途徑是首先感染外部主機(jī)；然后感染U盤，利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò)；在內(nèi)部網(wǎng)絡(luò)中，通過快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、打印機(jī)后臺(tái)程序服務(wù)漏洞等，實(shí)現(xiàn)聯(lián)網(wǎng)主機(jī)之間的傳播；通過偽裝RealTek 和JMicron兩大公司的數(shù)字簽名，順利繞過安全產(chǎn)品的檢測；最后抵達(dá)安裝了SIMATIC  WinCC軟件的主機(jī)，展開攻擊。"震網(wǎng)"病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序，最終導(dǎo)致整個(gè)系統(tǒng)自我毀滅。

據(jù)賽門鐵克的研究表明，截至2010年8月6日，幾個(gè)受影響的主要國家中，受感染的電腦伊朗62,867臺(tái)、印尼13,336臺(tái)、印度6,552臺(tái)、美國2,913臺(tái)、澳大利亞2,436臺(tái)、英國1,038臺(tái)、馬來西亞1,013臺(tái)、巴基斯坦993臺(tái)。

賽門鐵克安全響應(yīng)中心高級(jí)主任凱文·霍根（Kevin Hogan）指出，在伊朗約60%的個(gè)人電腦被感染，這意味著其目標(biāo)是當(dāng)?shù)氐墓I(yè)基礎(chǔ)設(shè)施。#p#

2. "震網(wǎng)"特點(diǎn)

與以往的安全事件相比，"震網(wǎng)"攻擊呈現(xiàn)出以下特點(diǎn)：

（1） 攻擊目標(biāo)明確

通常情況下，蠕蟲的攻擊價(jià)值在于其傳播范圍的廣闊性和攻擊目標(biāo)的普遍性。"震網(wǎng)"的攻擊目標(biāo)既不是開放主機(jī)，也不是通用軟件，而是運(yùn)行于Windows平臺(tái)，常被部署在與外界隔離的專用局域網(wǎng)中，被廣泛用于鋼鐵、汽車、電力、運(yùn)輸、水利、化工、石油等核心工業(yè)領(lǐng)域，特別是國家基礎(chǔ)設(shè)施工程的SIMATIC WinCC數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。

據(jù)賽門鐵克統(tǒng)計(jì)，2010年7月，伊朗感染"震網(wǎng)"病毒的主機(jī)占25%，到9月下旬，已達(dá)到60%。據(jù)稱"震網(wǎng)"專門定向破壞伊朗核電站離心機(jī)等要害目標(biāo)，具有明確的地域性和目的性。

專家稱，"震網(wǎng)"是一次精心謀劃的攻擊，具有精確制導(dǎo)的"網(wǎng)絡(luò)導(dǎo)彈"能力。

（2） 采用技術(shù)先進(jìn)

"震網(wǎng)"病毒一下子利用了微軟操作系統(tǒng)的4個(gè)零日漏洞，使每一種漏洞發(fā)揮了其獨(dú)特的作用；"震網(wǎng)"運(yùn)行后，釋放出兩個(gè)驅(qū)動(dòng)文件偽裝RealTek和JMicron的數(shù)字簽名，以躲避殺毒軟件的查殺，使"震網(wǎng)"具有極強(qiáng)的隱身和破壞力。"震網(wǎng)"無需借助網(wǎng)絡(luò)連接進(jìn)行傳播，只要電腦操作員將被病毒感染的U盤插入U(xiǎn)SB接口，病毒就會(huì)在神不知鬼不覺的情況下取得工業(yè)用電腦系統(tǒng)的控制權(quán)，代替核心生產(chǎn)控制電腦軟件對(duì)工廠其他電腦"發(fā)號(hào)施令"。

專家稱，一旦"震網(wǎng)"病毒軟件流入黑市出售，后果將不堪設(shè)想。#p#

3. "震網(wǎng)"行為分析

（1） "震網(wǎng)"攻擊目標(biāo)的高端性顯示其攻擊為國家行為

一些專家認(rèn)為，"震網(wǎng)"病毒是專門設(shè)計(jì)來攻擊伊朗重要工業(yè)設(shè)施的。卡巴斯基高級(jí)安防研究員戴維·愛姆說，"震網(wǎng)"與其它病毒的不同之處，在于它瞄準(zhǔn)的是現(xiàn)實(shí)世界，"震網(wǎng)"被設(shè)計(jì)出來，純粹就是為了搞破壞的；德國網(wǎng)絡(luò)安全研究員拉爾夫·朗納堅(jiān)信"震網(wǎng)"被設(shè)計(jì)出來，就是為了尋找基礎(chǔ)設(shè)施并破壞其關(guān)鍵部分，是一種百分之百直接面向現(xiàn)實(shí)世界中工業(yè)程序的網(wǎng)絡(luò)攻擊，絕非所謂的間諜病毒，而是純粹的破壞病毒，"震網(wǎng)"病毒的高端性，意味著只有一個(gè)"國家"才能把它開發(fā)出來。

（2） "震網(wǎng)"病毒的影響正向全球蔓延

專家稱，"震網(wǎng)"病毒的目標(biāo)是伊朗，但是也在世界各地的很多電腦系統(tǒng)中被發(fā)現(xiàn)。

今年2月，五角大樓二號(hào)人物在舊金山舉行的一次信息安全會(huì)議上警告說，對(duì)特定目標(biāo)開發(fā)"有毒惡意軟件"的程序員應(yīng)警惕軟件失控。他說："開發(fā)者可能因疏忽而失去對(duì)一種破壞性工具的控制并使其蔓延出去。我們必須嚴(yán)肅對(duì)待偶然的泄露情況，以防錯(cuò)誤插進(jìn)電腦的小優(yōu)盤等對(duì)全球經(jīng)濟(jì)造成災(zāi)難性影響。"林恩還說，威脅程度分為很多級(jí)，"破壞"是最嚴(yán)重的一級(jí)；最可怕的情況是恐怖組織在黑市上從黑客那里購買到惡意軟件；幾十名穿著人字拖鞋、喝著'紅牛'飲料的程序員能夠造成很多破壞。

（3） "震網(wǎng)"病毒僅是工業(yè)間諜木馬的冰山一角

"震網(wǎng)"病毒是第一例公開曝光的工業(yè)間諜木馬，類似的工業(yè)間諜和商業(yè)間諜木馬其實(shí)并不在少數(shù)。明槍易躲，暗箭難防，已經(jīng)在光天化日下曝光的"震網(wǎng)"病毒并不可怕，真正應(yīng)該警惕的是大量隱蔽潛伏的間諜木馬，包括各個(gè)企事業(yè)單位，都應(yīng)該特別重視內(nèi)網(wǎng)的信息安全。一些國內(nèi)網(wǎng)民最常用的軟件中存在嚴(yán)重的安全漏洞，并且可能已經(jīng)被黑客利用，而這些軟件自身又不具備檢測和修復(fù)漏洞的能力，如果在企事業(yè)內(nèi)網(wǎng)中任由員工電腦使用安全性薄弱的軟件，很可能造成信息泄露的嚴(yán)重后果。

（4）  "震網(wǎng)"病毒可能影響我國眾多企業(yè)

據(jù)某國內(nèi)知名安全軟件公司技術(shù)部門分析，"震網(wǎng)"病毒專門針對(duì)西門子公司的WinCC監(jiān)控與數(shù)據(jù)采集系統(tǒng)進(jìn)行攻擊，由于該系統(tǒng)在我國的多個(gè)重要行業(yè)應(yīng)用廣泛，被用來進(jìn)行鋼鐵、電力、能源、化工等重要行業(yè)的人機(jī)交互與監(jiān)控，一旦攻擊成功，則可能造成這些企業(yè)系統(tǒng)運(yùn)行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴(yán)重事故。

（5）  "震網(wǎng)"是一種能夠改變戰(zhàn)局的蠕蟲病毒

"震網(wǎng)"病毒的出現(xiàn)和傳播，威脅的不僅僅是自動(dòng)化系統(tǒng)的安全，他使自動(dòng)化系統(tǒng)的安全性上升到了國家安全的高度。

美國國防部副部長威廉·林恩在接受英國《金融時(shí)報(bào)》專訪時(shí)說，美國國防部將網(wǎng)絡(luò)空間視為繼陸地、海洋、空中和太空之后的第五維戰(zhàn)場，從網(wǎng)絡(luò)間諜到信息網(wǎng)絡(luò)攻擊和病毒（如可導(dǎo)致物理破壞的"超級(jí)工廠病毒"(震網(wǎng))）的威脅越來越嚴(yán)重。他認(rèn)為，美國削減國防預(yù)算總額時(shí)機(jī)不對(duì)，因?yàn)閲胰蕴幱趹?zhàn)爭狀態(tài)。

"震網(wǎng)"，一種能改變戰(zhàn)局的蠕蟲病毒，它將開啟一個(gè)虛幻網(wǎng)絡(luò)戰(zhàn)的新時(shí)代，同時(shí)也向人們警示確保網(wǎng)絡(luò)安全的重要性和建立網(wǎng)絡(luò)安全秩序的緊迫性。#p#

4. 啟示

"震網(wǎng)"病毒攻擊事件警示我們：

（1） 物理隔離的專用局域網(wǎng)并非牢不可破

"震網(wǎng)"病毒攻擊的目標(biāo)都是未受到良好防護(hù)的"內(nèi)部"系統(tǒng)，這些系統(tǒng)通常被認(rèn)為其區(qū)域防護(hù)已經(jīng)足夠，而網(wǎng)絡(luò)的安全性取決于其最弱的環(huán)節(jié)。

"震網(wǎng)"病毒通過U盤傳播，自動(dòng)識(shí)別攻擊對(duì)象，具有極強(qiáng)的隱身和破壞能力，可以自動(dòng)取得自動(dòng)化系統(tǒng)的控制權(quán)限，從而竊取保密信息、破壞甚至控制系統(tǒng)的運(yùn)行等。完全突破了物理隔離對(duì)專用局域網(wǎng)的保護(hù)。

"震網(wǎng)"病毒的出現(xiàn)將使內(nèi)部網(wǎng)絡(luò)受到攻擊者的關(guān)注和研究，隨之將可能引發(fā)出現(xiàn)更多新的攻擊方式，值得我們注意。

（2） 采用專用軟件的工業(yè)控制系統(tǒng)同樣能被攻破

"震網(wǎng)"病毒攻擊與以往的蠕蟲病毒攻擊截然不同，其最終目標(biāo)既不是開放的主機(jī)，也不是通用軟件，而是專用的工業(yè)控制軟件，做到了尋常病毒所不能做到的攻擊。"震網(wǎng)"病毒突破了工業(yè)專用局域網(wǎng)的物理限制，在全球至少光顧了4.5萬個(gè)工業(yè)控制系統(tǒng)，使工業(yè)系統(tǒng)安全面臨嚴(yán)峻的挑戰(zhàn)。

（3） 數(shù)字簽名的安全性問題亟待解決

"震網(wǎng)"病毒盜用正規(guī)軟件的數(shù)字簽名，偽造驅(qū)動(dòng)程序，提高自身的隱藏能力，躲避殺毒軟件的查殺，從而順利繞過安全產(chǎn)品的檢測，通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，開展其有目的的破壞性攻擊。

"震網(wǎng)"事件，給攻擊者、信息安全人員、企業(yè)管理者等帶來了一種信息安全觀念和意識(shí)上的沖擊，使我們對(duì)網(wǎng)絡(luò)安全又有了新的認(rèn)識(shí)，他提醒我們信息安全是一個(gè)全方位的問題，各種攻擊可能來自于任何一個(gè)角度，攻擊中所采用的漏洞和傳播手段可能會(huì)不斷翻新，攻擊思路和攻擊視野可能會(huì)越來越廣泛，信息安全工作任重而道遠(yuǎn)。

"震網(wǎng)"事件提醒我們應(yīng)當(dāng)做好以下安全防范工作：

（1） 加強(qiáng)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防范

有關(guān)部門和企業(yè)應(yīng)加強(qiáng)主機(jī)，尤其是內(nèi)網(wǎng)主機(jī)的安全防范，不能僅僅憑借內(nèi)網(wǎng)隔離，而疏于防范；加強(qiáng)企業(yè)內(nèi)網(wǎng)安全建設(shè)，建立完善的安全管理制度和策略，通過"深度防御"實(shí)現(xiàn)有效的安全防護(hù)；重視網(wǎng)絡(luò)服務(wù)的安全性，及時(shí)更新操作系統(tǒng)補(bǔ)丁，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)，不啟用弱口令和默認(rèn)口令，安裝安全防護(hù)軟件；加強(qiáng)移動(dòng)存儲(chǔ)設(shè)備安全管理，關(guān)閉計(jì)算機(jī)的自動(dòng)播放功能，使用可移動(dòng)設(shè)備前先進(jìn)行病毒掃描，為移動(dòng)設(shè)備建立病毒免疫，使用硬件式U盤病毒查殺工具。

（2） 提高專用工業(yè)控制軟件安全意識(shí)

目前，工業(yè)以太網(wǎng)和現(xiàn)場總線標(biāo)準(zhǔn)均為公開標(biāo)準(zhǔn)，熟悉工控系統(tǒng)的程序員開發(fā)有針對(duì)性的惡意攻擊代碼并不存在很高的技術(shù)門檻，針對(duì)行業(yè)專用軟件的漏洞挖掘和攻擊，可能上升到國家戰(zhàn)略層面的關(guān)鍵行業(yè)和敏感行業(yè)，因此，必須對(duì)工業(yè)控制網(wǎng)絡(luò)的信息安全薄弱環(huán)節(jié)進(jìn)行信息安全防護(hù)加固。我們應(yīng)盡快提高專用工業(yè)控制軟件安全意識(shí)，對(duì)企業(yè)中的核心計(jì)算機(jī)，隨時(shí)跟蹤所用軟件的信息安全問題，及時(shí)更新或加固存在漏洞的軟件，保證軟件應(yīng)用的安全、可靠性。

加強(qiáng)技術(shù)創(chuàng)新，堅(jiān)持自主研發(fā)、自主創(chuàng)新的道路，使國產(chǎn)軟件滿足我國本土需要的同時(shí)，具有更高的安全性和可靠性，以從容應(yīng)對(duì)大型系統(tǒng)、復(fù)雜系統(tǒng)及特殊領(lǐng)域自動(dòng)化系統(tǒng)面臨的安全性考驗(yàn)。

（3） 強(qiáng)化電子簽名數(shù)字證書應(yīng)用安全管理

"震網(wǎng)"事件同時(shí)也暴露出我國電子簽名數(shù)字證書應(yīng)用中存在的安全問題，需要相關(guān)部門盡快提出應(yīng)對(duì)措施。

在我國應(yīng)盡快建立電子簽名證書策略管理體系，以電子簽名證書策略體系為核心，逐步建立起我國的數(shù)字證書分類、分級(jí)管理制度、策略和技術(shù)方法；在證書策略體系的基礎(chǔ)上，建立相應(yīng)的電子簽名證書驗(yàn)證和認(rèn)證中心（CA）服務(wù)質(zhì)量評(píng)估平臺(tái)，管理和技術(shù)措施雙管齊下，有效地引導(dǎo)和管理電子認(rèn)證中心（CA）的服務(wù)，保證電子簽名數(shù)字證書的安全應(yīng)用，從而保證電子簽名數(shù)字證書相關(guān)方使用數(shù)字證書的合法權(quán)益。

最后，作為采取信息安全措施的重要手段，國家有關(guān)部門應(yīng)盡快開展針對(duì)工業(yè)控制系統(tǒng)的信息安全檢查、整改工作，提高工業(yè)控制系統(tǒng)信息安全防范意識(shí)，加強(qiáng)對(duì)工業(yè)控制系統(tǒng)的信息安全管理，保證我國重要工業(yè)控制系統(tǒng)運(yùn)行的安全可靠。

作者簡介：

嚴(yán)霄鳳（1964－），通信專業(yè)碩士，中國賽迪實(shí)驗(yàn)室信息安全測試部副總經(jīng)理，主要從事信息安全相關(guān)標(biāo)準(zhǔn)、規(guī)范和測評(píng)方法的研究，長期從事信息系統(tǒng)測試和信息安全測評(píng)工作。