沒有網(wǎng)絡安全，就沒有國家安全。

西北工業(yè)大學遭受美國國家安全局（NSA）網(wǎng)絡攻擊事件又有了新進展。

9月13日，國家計算機病毒應急中心發(fā)布《美國NSA網(wǎng)絡武器“飲茶”分析報告》，名為“飲茶”的嗅探竊密類網(wǎng)絡武器是導致大量敏感數(shù)據(jù)遭竊的最直接“罪魁禍首”之一。

相關網(wǎng)絡安全專家介紹，TAO使用“飲茶”作為嗅探竊密工具，將其植入西北工業(yè)大學內(nèi)部網(wǎng)絡服務器，竊取了SSH等遠程管理和遠程文件傳輸服務的登錄密碼。

由此獲得內(nèi)網(wǎng)中其他服務器的訪問權限，實現(xiàn)內(nèi)網(wǎng)橫向移動，并向其他高價值服務器投送其他嗅探竊密類、持久化控制類和隱蔽消痕類網(wǎng)絡武器，造成大規(guī)模、持續(xù)性敏感數(shù)據(jù)失竊。

“飲茶”：用戶背后的“偷窺者”

有關數(shù)據(jù)顯示，近10多年來，網(wǎng)絡攻擊已經(jīng)從以前的個體性黑客發(fā)展成為有規(guī)模有組織的網(wǎng)軍，實施攻擊的領域也越來越大，從上網(wǎng)計算機、信息網(wǎng)絡，擴展到軍用、民用等各種關鍵信息基礎設施。

數(shù)字時代，“一切可編程”意味著軟件里的漏洞無處不在。“萬物均能互聯(lián)”打通物理世界與虛擬世界的界限，也令網(wǎng)絡攻擊可以輕易侵入現(xiàn)實世界。

西北工業(yè)大學遭受美國國家安全局（NSA）網(wǎng)絡攻擊事件的披露，可以看出網(wǎng)絡安全形勢越發(fā)嚴峻。經(jīng)技術分析與研判，“飲茶”不僅能夠竊取所在服務器上的多種遠程管理和遠程文件傳輸服務的賬號密碼，并且具有很強的隱蔽性和環(huán)境適應性。

上文中的網(wǎng)絡安全專家稱，“飲茶”被植入目標服務器和網(wǎng)絡設備后，會將自身偽裝成正常的后臺服務進程，并且采用模塊化方式，分階段投送惡意負載，具有很強的隱蔽性，發(fā)現(xiàn)難度很大。

“飲茶”可以在服務器上隱蔽運行，實時監(jiān)視用戶在操作系統(tǒng)控制臺終端程序上的輸入，并從中截取各類用戶名密碼，如同站在用戶背后的“偷窺者”。

網(wǎng)絡安全專家介紹：“一旦這些用戶名密碼被TAO獲取，就可以被用于進行下一階段的攻擊，即使用這些用戶名密碼訪問其他服務器和網(wǎng)絡設備，進而竊取服務器上的文件或投送其他網(wǎng)絡武器。”

技術分析表明，“飲茶”可以與NSA其他網(wǎng)絡武器有效進行集成和聯(lián)動，實現(xiàn)“無縫對接”。

今年2月份，北京奇安盤古實驗室公開披露了隸屬于美國國家安全局（NSA）黑客組織——“方程式”專屬的頂級武器“電幕行動”（Bvp47）的技術分析，其被用于奇安盤古命名為“電幕行動”的攻擊活動中。

在TAO此次對西北工業(yè)大學實施網(wǎng)絡攻擊的事件中，“飲茶”嗅探竊密工具與Bvp47木馬程序其他組件配合實施聯(lián)合攻擊。

根據(jù)介紹， Bvp47木馬具有極高的技術復雜度、架構靈活性以及超高強度的分析取證對抗特性，與“飲茶”組件配合用于窺視并控制受害組織信息網(wǎng)絡，秘密竊取重要數(shù)據(jù)。

其中，“飲茶”嗅探木馬秘密潛伏在受害機構的信息系統(tǒng)中，專門負責偵聽、記錄、回送“戰(zhàn)果”——受害者使用的賬號和密碼，不論其是在內(nèi)網(wǎng)還是外網(wǎng)中。

網(wǎng)絡攻擊行為或給
現(xiàn)實世界帶來巨大傷害

隨著調(diào)查的逐步深入，技術團隊還在西北工業(yè)大學之外的其他機構網(wǎng)絡中發(fā)現(xiàn)了“飲茶”的攻擊痕跡，很可能是TAO利用“飲茶”對中國發(fā)動大規(guī)模的網(wǎng)絡攻擊活動。

值得注意的是，在美國對他國實施的多次網(wǎng)絡攻擊活動中，反復出現(xiàn)美國IT產(chǎn)業(yè)巨頭的身影。

例如在“棱鏡”計劃中，美國情報部門掌握高級管理員權限，能夠隨時進入微軟、雅虎、谷歌、蘋果等公司的服務器中，長期秘密進行數(shù)據(jù)挖掘。

在“影子經(jīng)紀人”公布的“方程式”組織所使用的黑客工具中，也多次出現(xiàn)了微軟、思科甚至中國部分互聯(lián)網(wǎng)服務商旗下產(chǎn)品的“零日漏洞”（0Day）或者后門。

美國正在利用其在網(wǎng)絡信息系統(tǒng)軟硬件領域的技術主導地位，在美國IT產(chǎn)業(yè)巨頭的全面配合下，利用多種尖端網(wǎng)絡武器，在全球范圍發(fā)動無差別的網(wǎng)絡攻擊，持續(xù)竊取世界各地互聯(lián)網(wǎng)設備的賬號密碼，以備后續(xù)隨時‘合法’登錄受害者信息系統(tǒng)，實施更大規(guī)模的竊密甚至破壞活動，其網(wǎng)絡霸權行徑顯露無疑。

因此，網(wǎng)絡安全專家建議用戶對關鍵服務器尤其是網(wǎng)絡運維服務器進行加固，定期更改服務器和網(wǎng)絡設備的管理員口令，并加強對內(nèi)網(wǎng)網(wǎng)絡流量的審計，及時發(fā)現(xiàn)異常的遠程訪問請求。

同時，在信息化建設過程中，建議選用國產(chǎn)化產(chǎn)品和“零信任”安全解決方案。（“零信任”是新一代的網(wǎng)絡安全防護理念，默認不信任企業(yè)網(wǎng)絡內(nèi)外的任何人、設備和系統(tǒng)。）

實際上，無論是數(shù)據(jù)竊取還是系統(tǒng)毀滅癱瘓，網(wǎng)絡攻擊行為都會給網(wǎng)絡空間甚至現(xiàn)實世界造成巨大破壞，尤其是針對重要關鍵信息基礎設施的攻擊行為。

網(wǎng)絡安全保障對策建議

為了更好對我國網(wǎng)絡安全進行保障，需要打造國家級網(wǎng)絡安全漏洞綜合運籌能力，加強漏洞管控統(tǒng)籌協(xié)調(diào)，提升漏洞資源共享共治水平。

一是強化制度要求。依據(jù)中央在網(wǎng)信領域的總體部署和《網(wǎng)絡安全法》的基本要求，結合我國國情加強網(wǎng)絡安全漏洞管控制度建設。

通過網(wǎng)絡安全審查等手段方式，加強網(wǎng)絡安全漏洞處置與應急響應、風險評估與態(tài)勢感知體系和能力的建設，提高關鍵信息基礎設施和重要信息系統(tǒng)的安全保障要求。

二是加強統(tǒng)籌協(xié)調(diào)。進一步發(fā)揮 CNNVD 等國家級漏洞庫的信息聚合和服務作用，推動實施多方聯(lián)動的漏洞資源評估共享機制，提升對網(wǎng)絡安全漏洞的管控服務能力和共享共治水平，發(fā)揮漏洞資源應用效益的最大化，降低由于漏洞引發(fā)的基礎性風險。

三是助力網(wǎng)絡安全保障。打造以“漏洞”為核心的網(wǎng)絡安全漏洞綜合運籌及安全保障支撐能力。通過平臺建設、機制建設及資源匯聚共享，加大漏洞檢測、漏洞防護、漏洞消控等工具研發(fā)，實現(xiàn)服務國家網(wǎng)絡安全保障的現(xiàn)實需求。

此外還需積極推進 ICT 供應鏈安全治理，完善符合我國情的開源生態(tài)。

一是在法律法規(guī)及標準規(guī)范方面，相關部門應根據(jù)我國 ICT 供應鏈的現(xiàn)狀有針對性地制定供應鏈安全治理相關規(guī)定，同時配套制定形成體系化的 ICT 供應鏈安全標準，從法律法規(guī)、標準體系等方面形成系統(tǒng)化的治理措施，為開展 ICT 供應鏈安全治理提供依據(jù)。

二是在風險管控方面，監(jiān)管部門應盡快指導建立關鍵基礎設施的 ICT 供應鏈臺賬，理清家底，查擺問題，預判風險。同時，ICT 供應鏈的供給側(cè)、需求方均需加強供應鏈安全管控，尤其是涉及關鍵技術設施運營的供需方，需開展 ICT 供應鏈安全審查、評估和威脅監(jiān)測，提升供應鏈韌性。

三是在技術層面，通過技術手段開展 ICT 供應鏈安全檢測，對軟件成分、來源及安全漏洞進行準備分析和定位，針對 ICT 產(chǎn)品構建形成物料清單和構成圖譜，為關鍵 ICT 產(chǎn)品進行“精準畫像”，一方面提前預判風險，另一方面在威脅來臨時能夠快速處置。建立國家級供應鏈安全檢測及風險分析平臺，提升 ICT 供應鏈安全檢測的廣度和深度，及時對供應鏈安全風險進行預警。

網(wǎng)絡空間很大程度是物理空間的映射，網(wǎng)絡活動輕易跨越國境的特性使之成為持續(xù)性斗爭的先導。沒有網(wǎng)絡安全就沒有國家安全，只有發(fā)展我們在科技領域的非對稱競爭優(yōu)勢，才能建立起屬于中國的、獨立自主的網(wǎng)絡防護和對抗能力。