0. 引言

美國《防務(wù)新聞》周刊網(wǎng)站2月16日發(fā)表題為"五角大樓就破壞性網(wǎng)絡(luò)攻擊發(fā)出警告"的報道稱，五角大樓的二號人物昨天在舊金山舉行的信息安全會議上警告說，對特定目標(biāo)開發(fā)"有毒惡意軟件"的程序員應(yīng)警惕軟件失控。人們普遍認(rèn)為，美國國防部副部長威廉·林恩的講話是向去年據(jù)稱對伊朗核電站離心機造成破壞的"震網(wǎng)"蠕蟲病毒的開發(fā)者發(fā)出的警告信息。

1. "震網(wǎng)"

"震網(wǎng)"（Stuxnet）是一種Windows平臺上的計算機蠕蟲病毒，2010年6月首次被白俄羅斯安全公司VirusBlokAda發(fā)現(xiàn)。"震網(wǎng)"同時利用了7個最新漏洞進(jìn)行攻擊，7個漏洞中，有5個針對Windows系統(tǒng)（其中4個是全新的零日漏洞），2個針對SIMATIC  WinCC系統(tǒng)。

"震網(wǎng)"的傳播途徑是首先感染外部主機；然后感染U盤，利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò)；在內(nèi)部網(wǎng)絡(luò)中，通過快捷方式解析漏洞、RPC遠(yuǎn)程執(zhí)行漏洞、打印機后臺程序服務(wù)漏洞等，實現(xiàn)聯(lián)網(wǎng)主機之間的傳播；通過偽裝RealTek 和JMicron兩大公司的數(shù)字簽名，順利繞過安全產(chǎn)品的檢測；最后抵達(dá)安裝了SIMATIC  WinCC軟件的主機，展開攻擊。"震網(wǎng)"病毒能控制關(guān)鍵過程并開啟一連串執(zhí)行程序，最終導(dǎo)致整個系統(tǒng)自我毀滅。

據(jù)賽門鐵克的研究表明，截至2010年8月6日，幾個受影響的主要國家中，受感染的電腦伊朗62,867臺、印尼13,336臺、印度6,552臺、美國2,913臺、澳大利亞2,436臺、英國1,038臺、馬來西亞1,013臺、巴基斯坦993臺。

賽門鐵克安全響應(yīng)中心高級主任凱文·霍根（Kevin Hogan）指出，在伊朗約60%的個人電腦被感染，這意味著其目標(biāo)是當(dāng)?shù)氐墓I(yè)基礎(chǔ)設(shè)施。#p#

2. "震網(wǎng)"特點

與以往的安全事件相比，"震網(wǎng)"攻擊呈現(xiàn)出以下特點：

（1） 攻擊目標(biāo)明確

通常情況下，蠕蟲的攻擊價值在于其傳播范圍的廣闊性和攻擊目標(biāo)的普遍性。"震網(wǎng)"的攻擊目標(biāo)既不是開放主機，也不是通用軟件，而是運行于Windows平臺，常被部署在與外界隔離的專用局域網(wǎng)中，被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業(yè)領(lǐng)域，特別是國家基礎(chǔ)設(shè)施工程的SIMATIC WinCC數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。

據(jù)賽門鐵克統(tǒng)計，2010年7月，伊朗感染"震網(wǎng)"病毒的主機占25%，到9月下旬，已達(dá)到60%。據(jù)稱"震網(wǎng)"專門定向破壞伊朗核電站離心機等要害目標(biāo)，具有明確的地域性和目的性。

專家稱，"震網(wǎng)"是一次精心謀劃的攻擊，具有精確制導(dǎo)的"網(wǎng)絡(luò)導(dǎo)彈"能力。

（2） 采用技術(shù)先進(jìn)

"震網(wǎng)"病毒一下子利用了微軟操作系統(tǒng)的4個零日漏洞，使每一種漏洞發(fā)揮了其獨特的作用；"震網(wǎng)"運行后，釋放出兩個驅(qū)動文件偽裝RealTek和JMicron的數(shù)字簽名，以躲避殺毒軟件的查殺，使"震網(wǎng)"具有極強的隱身和破壞力。"震網(wǎng)"無需借助網(wǎng)絡(luò)連接進(jìn)行傳播，只要電腦操作員將被病毒感染的U盤插入USB接口，病毒就會在神不知鬼不覺的情況下取得工業(yè)用電腦系統(tǒng)的控制權(quán)，代替核心生產(chǎn)控制電腦軟件對工廠其他電腦"發(fā)號施令"。

專家稱，一旦"震網(wǎng)"病毒軟件流入黑市出售，后果將不堪設(shè)想。#p#

3. "震網(wǎng)"行為分析

（1） "震網(wǎng)"攻擊目標(biāo)的高端性顯示其攻擊為國家行為

一些專家認(rèn)為，"震網(wǎng)"病毒是專門設(shè)計來攻擊伊朗重要工業(yè)設(shè)施的。卡巴斯基高級安防研究員戴維·愛姆說，"震網(wǎng)"與其它病毒的不同之處，在于它瞄準(zhǔn)的是現(xiàn)實世界，"震網(wǎng)"被設(shè)計出來，純粹就是為了搞破壞的；德國網(wǎng)絡(luò)安全研究員拉爾夫·朗納堅信"震網(wǎng)"被設(shè)計出來，就是為了尋找基礎(chǔ)設(shè)施并破壞其關(guān)鍵部分，是一種百分之百直接面向現(xiàn)實世界中工業(yè)程序的網(wǎng)絡(luò)攻擊，絕非所謂的間諜病毒，而是純粹的破壞病毒，"震網(wǎng)"病毒的高端性，意味著只有一個"國家"才能把它開發(fā)出來。

（2） "震網(wǎng)"病毒的影響正向全球蔓延

專家稱，"震網(wǎng)"病毒的目標(biāo)是伊朗，但是也在世界各地的很多電腦系統(tǒng)中被發(fā)現(xiàn)。

今年2月，五角大樓二號人物在舊金山舉行的一次信息安全會議上警告說，對特定目標(biāo)開發(fā)"有毒惡意軟件"的程序員應(yīng)警惕軟件失控。他說："開發(fā)者可能因疏忽而失去對一種破壞性工具的控制并使其蔓延出去。我們必須嚴(yán)肅對待偶然的泄露情況，以防錯誤插進(jìn)電腦的小優(yōu)盤等對全球經(jīng)濟造成災(zāi)難性影響。"林恩還說，威脅程度分為很多級，"破壞"是最嚴(yán)重的一級；最可怕的情況是恐怖組織在黑市上從黑客那里購買到惡意軟件；幾十名穿著人字拖鞋、喝著'紅牛'飲料的程序員能夠造成很多破壞。

（3） "震網(wǎng)"病毒僅是工業(yè)間諜木馬的冰山一角

"震網(wǎng)"病毒是第一例公開曝光的工業(yè)間諜木馬，類似的工業(yè)間諜和商業(yè)間諜木馬其實并不在少數(shù)。明槍易躲，暗箭難防，已經(jīng)在光天化日下曝光的"震網(wǎng)"病毒并不可怕，真正應(yīng)該警惕的是大量隱蔽潛伏的間諜木馬，包括各個企事業(yè)單位，都應(yīng)該特別重視內(nèi)網(wǎng)的信息安全。一些國內(nèi)網(wǎng)民最常用的軟件中存在嚴(yán)重的安全漏洞，并且可能已經(jīng)被黑客利用，而這些軟件自身又不具備檢測和修復(fù)漏洞的能力，如果在企事業(yè)內(nèi)網(wǎng)中任由員工電腦使用安全性薄弱的軟件，很可能造成信息泄露的嚴(yán)重后果。

（4）  "震網(wǎng)"病毒可能影響我國眾多企業(yè)

據(jù)某國內(nèi)知名安全軟件公司技術(shù)部門分析，"震網(wǎng)"病毒專門針對西門子公司的WinCC監(jiān)控與數(shù)據(jù)采集系統(tǒng)進(jìn)行攻擊，由于該系統(tǒng)在我國的多個重要行業(yè)應(yīng)用廣泛，被用來進(jìn)行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互與監(jiān)控，一旦攻擊成功，則可能造成這些企業(yè)系統(tǒng)運行異常，甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴(yán)重事故。

（5）  "震網(wǎng)"是一種能夠改變戰(zhàn)局的蠕蟲病毒

"震網(wǎng)"病毒的出現(xiàn)和傳播，威脅的不僅僅是自動化系統(tǒng)的安全，他使自動化系統(tǒng)的安全性上升到了國家安全的高度。

美國國防部副部長威廉·林恩在接受英國《金融時報》專訪時說，美國國防部將網(wǎng)絡(luò)空間視為繼陸地、海洋、空中和太空之后的第五維戰(zhàn)場，從網(wǎng)絡(luò)間諜到信息網(wǎng)絡(luò)攻擊和病毒（如可導(dǎo)致物理破壞的"超級工廠病毒"(震網(wǎng))）的威脅越來越嚴(yán)重。他認(rèn)為，美國削減國防預(yù)算總額時機不對，因為國家仍處于戰(zhàn)爭狀態(tài)。

"震網(wǎng)"，一種能改變戰(zhàn)局的蠕蟲病毒，它將開啟一個虛幻網(wǎng)絡(luò)戰(zhàn)的新時代，同時也向人們警示確保網(wǎng)絡(luò)安全的重要性和建立網(wǎng)絡(luò)安全秩序的緊迫性。#p#

4. 啟示

"震網(wǎng)"病毒攻擊事件警示我們：

（1） 物理隔離的專用局域網(wǎng)并非牢不可破

"震網(wǎng)"病毒攻擊的目標(biāo)都是未受到良好防護的"內(nèi)部"系統(tǒng)，這些系統(tǒng)通常被認(rèn)為其區(qū)域防護已經(jīng)足夠，而網(wǎng)絡(luò)的安全性取決于其最弱的環(huán)節(jié)。

"震網(wǎng)"病毒通過U盤傳播，自動識別攻擊對象，具有極強的隱身和破壞能力，可以自動取得自動化系統(tǒng)的控制權(quán)限，從而竊取保密信息、破壞甚至控制系統(tǒng)的運行等。完全突破了物理隔離對專用局域網(wǎng)的保護。

"震網(wǎng)"病毒的出現(xiàn)將使內(nèi)部網(wǎng)絡(luò)受到攻擊者的關(guān)注和研究，隨之將可能引發(fā)出現(xiàn)更多新的攻擊方式，值得我們注意。

（2） 采用專用軟件的工業(yè)控制系統(tǒng)同樣能被攻破

"震網(wǎng)"病毒攻擊與以往的蠕蟲病毒攻擊截然不同，其最終目標(biāo)既不是開放的主機，也不是通用軟件，而是專用的工業(yè)控制軟件，做到了尋常病毒所不能做到的攻擊。"震網(wǎng)"病毒突破了工業(yè)專用局域網(wǎng)的物理限制，在全球至少光顧了4.5萬個工業(yè)控制系統(tǒng)，使工業(yè)系統(tǒng)安全面臨嚴(yán)峻的挑戰(zhàn)。

（3） 數(shù)字簽名的安全性問題亟待解決

"震網(wǎng)"病毒盜用正規(guī)軟件的數(shù)字簽名，偽造驅(qū)動程序，提高自身的隱藏能力，躲避殺毒軟件的查殺，從而順利繞過安全產(chǎn)品的檢測，通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制，開展其有目的的破壞性攻擊。

"震網(wǎng)"事件，給攻擊者、信息安全人員、企業(yè)管理者等帶來了一種信息安全觀念和意識上的沖擊，使我們對網(wǎng)絡(luò)安全又有了新的認(rèn)識，他提醒我們信息安全是一個全方位的問題，各種攻擊可能來自于任何一個角度，攻擊中所采用的漏洞和傳播手段可能會不斷翻新，攻擊思路和攻擊視野可能會越來越廣泛，信息安全工作任重而道遠(yuǎn)。

"震網(wǎng)"事件提醒我們應(yīng)當(dāng)做好以下安全防范工作：

（1） 加強內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全防范

有關(guān)部門和企業(yè)應(yīng)加強主機，尤其是內(nèi)網(wǎng)主機的安全防范，不能僅僅憑借內(nèi)網(wǎng)隔離，而疏于防范；加強企業(yè)內(nèi)網(wǎng)安全建設(shè)，建立完善的安全管理制度和策略，通過"深度防御"實現(xiàn)有效的安全防護；重視網(wǎng)絡(luò)服務(wù)的安全性，及時更新操作系統(tǒng)補丁，關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)，不啟用弱口令和默認(rèn)口令，安裝安全防護軟件；加強移動存儲設(shè)備安全管理，關(guān)閉計算機的自動播放功能，使用可移動設(shè)備前先進(jìn)行病毒掃描，為移動設(shè)備建立病毒免疫，使用硬件式U盤病毒查殺工具。

（2） 提高專用工業(yè)控制軟件安全意識

目前，工業(yè)以太網(wǎng)和現(xiàn)場總線標(biāo)準(zhǔn)均為公開標(biāo)準(zhǔn)，熟悉工控系統(tǒng)的程序員開發(fā)有針對性的惡意攻擊代碼并不存在很高的技術(shù)門檻，針對行業(yè)專用軟件的漏洞挖掘和攻擊，可能上升到國家戰(zhàn)略層面的關(guān)鍵行業(yè)和敏感行業(yè)，因此，必須對工業(yè)控制網(wǎng)絡(luò)的信息安全薄弱環(huán)節(jié)進(jìn)行信息安全防護加固。我們應(yīng)盡快提高專用工業(yè)控制軟件安全意識，對企業(yè)中的核心計算機，隨時跟蹤所用軟件的信息安全問題，及時更新或加固存在漏洞的軟件，保證軟件應(yīng)用的安全、可靠性。

加強技術(shù)創(chuàng)新，堅持自主研發(fā)、自主創(chuàng)新的道路，使國產(chǎn)軟件滿足我國本土需要的同時，具有更高的安全性和可靠性，以從容應(yīng)對大型系統(tǒng)、復(fù)雜系統(tǒng)及特殊領(lǐng)域自動化系統(tǒng)面臨的安全性考驗。

（3） 強化電子簽名數(shù)字證書應(yīng)用安全管理

"震網(wǎng)"事件同時也暴露出我國電子簽名數(shù)字證書應(yīng)用中存在的安全問題，需要相關(guān)部門盡快提出應(yīng)對措施。

在我國應(yīng)盡快建立電子簽名證書策略管理體系，以電子簽名證書策略體系為核心，逐步建立起我國的數(shù)字證書分類、分級管理制度、策略和技術(shù)方法；在證書策略體系的基礎(chǔ)上，建立相應(yīng)的電子簽名證書驗證和認(rèn)證中心（CA）服務(wù)質(zhì)量評估平臺，管理和技術(shù)措施雙管齊下，有效地引導(dǎo)和管理電子認(rèn)證中心（CA）的服務(wù)，保證電子簽名數(shù)字證書的安全應(yīng)用，從而保證電子簽名數(shù)字證書相關(guān)方使用數(shù)字證書的合法權(quán)益。

最后，作為采取信息安全措施的重要手段，國家有關(guān)部門應(yīng)盡快開展針對工業(yè)控制系統(tǒng)的信息安全檢查、整改工作，提高工業(yè)控制系統(tǒng)信息安全防范意識，加強對工業(yè)控制系統(tǒng)的信息安全管理，保證我國重要工業(yè)控制系統(tǒng)運行的安全可靠。

作者簡介：

嚴(yán)霄鳳（1964－），通信專業(yè)碩士，中國賽迪實驗室信息安全測試部副總經(jīng)理，主要從事信息安全相關(guān)標(biāo)準(zhǔn)、規(guī)范和測評方法的研究，長期從事信息系統(tǒng)測試和信息安全測評工作。