如前所述,网络安全是指计算机网络信息系统的硬件、软件以及系统中的数据受到保护,不因偶然的或者恶意攻击等原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。随着信息化的迅猛发展,计算机网络在国民经济和社会生活的各个方面运用越来越广泛,计算机网络所面临的安全威胁和挑战也日益突出。
一、近年来几起典型的网络安全案例
(一)俄罗斯黑客攻击格鲁吉亚政府网站。2008年8月8日北京奥运会开幕当天,俄罗斯与格鲁吉亚因南奥塞梯主权归属问题爆发武装冲突,伴随武装冲突而发生的俄罗斯黑客对格鲁吉亚展开的“网络战”也吸引了全世界的关注。早在7月20日,多家格鲁吉亚政府网站就遭到俄罗斯黑客的“分布式拒绝服务攻击”(DDOS),格鲁吉亚总统萨卡什维利的网页因遭攻击瘫痪24小时。8月8日,俄罗斯黑客对格鲁吉亚的攻击扩展到整个政府计算机信息系统,总统办公室、议会和中央银行等政府机构及通信、交通产业等基础产业的网络遭到集中攻击陷入瘫痪,总统萨卡什维利个人主页被黑客篡改,其照片被替换成二战独裁者希特勒的图像。网络攻击导致格鲁吉亚政府和新闻媒体网站几乎全部瘫痪,无法利用网络发布有关战争的信息,舆论宣传缺位。格鲁吉亚政府甚至不得不向波兰总统莱赫?卡钦斯基“求救”, 通过卡钦斯基的个人网站发布格鲁吉亚外交部的新闻稿。这场网络攻击使俄罗斯不仅取得了军事胜利,而且赢得了舆论战、心理战。
(二)“震网蠕虫”网络攻击事件。2010年7月,德国专家监测发现了一种专门针对西门子公司SIMATIC工业控制系统所使用的微软 WinCC操作程序的4个漏洞进行网络攻击的Stuxnet蠕虫(也称震网蠕虫),这是第一个直接破坏现实世界中工业基础设施的恶意代码。据网络安全机构赛门铁克公司的统计,全球约45000个网络被该蠕虫感染,其中60%的受害主机位于伊朗境内,伊朗政府已经确认其境内的布什尔核电站遭到攻击。2011年2月27日,伊朗突然宣布将暂时卸载布什尔核电站核反应堆所装载的核燃料。有分析认为,伊朗做出这一决定的原因是核电站控制系统遭受震网蠕虫攻击后,核反应堆性能受到严重影响,而美国和以色列则是这一网络攻击的幕后主使。除伊朗外,印度尼西亚、印度和美国等多国均遭受震网蠕虫攻击的影响。据国内安全机构监测,中国境内也有近500万网民及多个行业的领军企业遭震网蠕虫攻击,类似的网络攻击可能会成为未来电子战的一种新手段。由于我国许多大型重要企业在网络安全管理制度上存在缺失,对此尤其要给予高度警惕和重视。
(三)多家境内网站数据库遭黑客攻击导致用户数据泄露。2011年12月21日,有黑客在互联网上公布了国内最大的综合性IT门户网站中国软件开发联盟(CSDN)的用户数据库,其中包括600余万个注册邮箱账号和与之对应的明文密码,引发互联网业界一片哗然。而这一事件仅仅是一系列网络泄密事件的开始,随后网上又曝出人人网、开心网、天涯等知名网站的用户数据资料也被放到网上公开下载的消息。除CSDN外,天涯社区、多玩网等网站均已承认用户数据库被黑客攻破,部分用户密码被泄漏,据估计涉及用户数超过千万。据国家互联网应急中心发布的《2011年我国网络安全态势综述》报告披露的数据,在这一系列事件中被公开的疑似泄露数据库26个,涉及用户账号、密码等信息2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。国家互联网应急中心调查研判发现,引发用户信息泄露的主要原因是部分网站安全防范意识不够,一些网站的用户信息(其中甚至包括CSDN这样的专业网站)仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。
二、8类常见的网络安全威胁形式
(一)病毒。狭义的病毒概念,是指附着于程序或文件中的一段计算机代码,它可在计算机之间传播,它一边传播一边感染新的计算机系统。病毒的特点就是能够自我复制,但它同时必需寄生在某个程序上,自己不能够单独“存活”。计算机病毒的危害有轻重之分,轻者仅产生一些干扰,重者彻底摧毁设备。病毒是一种相对较弱的安全威胁,从发展趋势来看,目前主流的计算机病毒种类越来越少,而且越来越容易对付。有安全专家预测,计算机病毒最终可能会消失,而被蠕虫、木马等其他种类的攻击工具所代替。主要原因在于,目前黑客的发展有一个明显的趋势,就是攻击目标越来越明确,即要获取特定目标的特定信息(银行信用卡账号、秘密文件,等),并通过这些特定的信息获取经济利益。而病毒本身更多是一种没有特定目标、盲目传播、损人不利己的攻击工具,显然不会给黑客带来多少利益。
(二)蠕虫。与病毒相似,蠕虫可以从一台计算机复制到另一台计算机,但是它有三个独特的特点:第一,一旦用户的系统感染蠕虫,无需用户操作,不必借助其他程序或文件,蠕虫即可独自传播。第二,最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个因特网的速度减慢。第三,蠕虫感染和传播具有很强的隐蔽性。蠕虫是一种危害极大的攻击手段,当一种新的蠕虫爆发时,它们传播的速度非常快,会大量消耗系统内存或网络带宽,从而可能导致计算机崩溃,是国家关键信息基础设施(海关、银行、民航、铁路、能源等)面临的最主要威胁之一。最为典型的蠕虫案例是2001年爆发的“红色代码”。
(三)木马。木马的英文Trojan来源于希腊传说中的特洛伊木马,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。木马是指可以安放在计算机系统中,以窃取、监视和破坏计算机信息为目的的恶意程序。木马的特点有:第一,木马不像病毒和蠕虫一样主动发起感染和攻击,并不寄生在其他文件中。第二,木马不会传播和寄生,并等待特定条件或寻找漏洞而爆发。第三,木马从不主动破坏数据,除非收到控制程序的破坏指令。木马不会像病毒一样自我繁殖。基于以上特点,木马的最主要威胁在于,它就像秘密潜伏的间谍武器,窃取个人隐私、个人身份数据、商业秘密、国家秘密等数据,其危害超过了病毒和蠕虫。计算机系统感染木马的主要途径,一是由于打开陌生的网页链接导致电脑被不知不觉植入木马,二是打开来路不明的电子邮件等应用程序,三是由于U盘交叉使用,四是通过蠕虫传播。2007年10月,我国发现了境外间谍机关实施的一次大规模网络窃密行动,实施这起网络窃密活动的境外间谍就是通过利用黑客技术,控制了多个服务器,又通过这些服务器将木马植入其感兴趣的电脑,然后实施网络窃密等破坏活动。据统计,2007年中国大陆地区共发现被木马控制的IP数99万个,实施控制活动的计算机主机有相当一部分来自境外。
(四)僵尸网络。僵尸网络是指采用特殊手段,将大量计算机主机感染僵尸程序,从而在控制者和被感染主机之间所形成的一个可以“一对多”控制的网络,然后再以传销的形式通过被感染主机去感染控制新的更多主机并最终组成一个“指挥网”,然后秘密控制大量用户计算机实施网络攻击等行为。僵尸网络的特点和危害在于:首先,这是一个可控制的网络,被控制的计算机内的所有信息,譬如国家机密、银行账户密码等等都可被黑客随意“取用”,控制者可以向这些计算机发送任何指令,从事任何操作。其次,它可以“一对多”地执行相同的恶意行为,在执行恶意行为的时候,充当一个攻击平台的角色,与通常意义的木马有所不同。第三,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往毫不知情。正是这种“一对多”的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,因此僵尸网络是目前互联网上黑客最青睐的作案工具。一旦各类网络犯罪团伙、恐怖组织或者敌对集团掌握了大规模的僵尸网络,就可以用来攻击电力、民航、海关等网络的核心节点,就很有可能导致整个网络瘫痪,此外,僵尸网络也是黑客用来进行网络窃密活动的得力工具。
(五)网页篡改。网页篡改就是把别人的网站黑了,替换成自己的页面。这类攻击活动目标往往针对政府网站或知名网站,其目的主要有三:一是宣示自己的政治主张或其他诉求,以达到泄愤的目的;二是表明自身实力,有挑战或炫耀的成份在内;第三就是攻击者并不宣扬,只是在网站中悄悄埋下木马,再利用访问者本身的问题,进一步进入到访问者的主机中,可以用来曲折进入一定范围内的攻击目标,伺机进行窃密等活动,这种模式更难发现。2008年4月,国内多个城市出现了“抵制家乐福”活动,4月17日下午,家乐福中国主页(www.carrefour.com.cn/)被黑客篡改后出现“抵制家乐福”的口号,这是一起典型的网页篡改案例。网页篡改有时会在不同国家之间引起外交纠纷;近年来,我国一些地方政府和政府部门的网站被恶意篡改,有的甚至在网也上被添加了暴力血腥色情等内容,严重损害了政府形象;此外,通过网页篡改植入窃密木马,可以利用社会公众和相关部门对某个知名网站的信任心理,更好地实施窃密活动,这种途径更为隐蔽。
(六)网络钓鱼。网络钓鱼(phishing)又称网页仿冒,是指以伪造网页等方式仿冒现有的合法网页,蒙骗用户提供个人资料、财务账号和口令等,从而达到窃取用户身份信息和财物等行为。网络钓鱼是目前国际上增长最快的安全事件之一。目前我国多家网上银行也开始逐渐受到此类活动的攻击,一些黑客在网上伪造知名银行的仿冒网页,这些假网页仿真率很高,普通人如果不是通过正规途径访问,很难辨别真伪。一旦顾客把这些假网页误认为真网页,在网页上输入银行账号、密码等信息,这些信息就会被黑客所窃取,从而给客户带来很大的经济损失,
(七)拒绝服务攻击。拒绝服务攻击是指攻击者使用短时间大流量访问等办法让目标网站停止提供服务,阻止正常用户的访问。是黑客常用的攻击手段之一。这类攻击活动的目标通常是比较大的站点,如商业公司、搜索引擎和政府网站等。2007年5 月,国内发生了一起利用拒绝服务攻击进行敲诈勒索的案例,当时国内著名的网络游戏商北京联众公司的13 台服务器分别遭受到大流量的分布式拒绝服务攻击(DDoS 攻击),其攻击最高流量达到瞬时700M/s,致使服务器全部瘫痪,网络游戏被迫停止服务,经初步估算经济损失为3460万,最终4 名犯罪嫌疑人被抓获。2008年4月19日,为了抗议CNN新闻网络对中国西藏的报道歪曲事实,国内黑客呼吁全国网民集体点击一个网页,该网页的作用就是每3秒打开一次CNN的页面,等于向CNN服务器发送大量的垃圾数据,从而达到让CNN崩溃。攻击致使CNN网站亚洲某些地区的用户无法访问或者访问速度缓慢。
(八)域名攻击和域名劫持。域名就是用来表示一个单位,机构或个人在互联网上有一个确定的名称或位置的。几乎所有的互联网应用都离不开域名,因此域名的安全问题会影响到几乎所有的网络应用。目前美国一直保持着对全球互联网域名及根服务器的控制。全球互联网域名解析系统中,处于最顶端的是13台域名根服务器,均由与美国商务部存在密切联系的ICANN组织统一管理。其中1个为主根服务器,放置在美国弗吉尼亚州的杜勒斯,其余12个为辅根服务器,有9个放置在美国,欧洲有2个,分别位于英国和瑞典,亚洲有1个,位于日本。通过对域名体系的攻击,可以做到很容易就瘫痪全球或者整个国家的网络(破坏域名服务系统的可用性)。此外,黑客还可以通过修改域名服务器数据的方式,把任意网站的访问流量“劫持”到别的地方,进行仿冒或使之不可用(破坏域名数据的准确性)。2010年1月12日,国内著名的搜索引擎服务商百度公司遭到黑客攻击,用户在电脑浏览器输入百度网址后,会发现自己的访问被引向了一个名叫“伊朗网军”的网页上。经事后查明,事件的原因是由于百度在美国的域名注册服务商register.com公司出现管理疏忽,导致其域名解析数据库中百度的域名解析数据遭到篡改,所有对该域名的访问请求都被指向到服务器位于荷兰的“伊朗网军”网页上。
三、面对花样繁多的网络攻击,个人用户能做什么?
网络安全威胁的不断增长,病毒、蠕虫、木马轮番上阵,使得个人上网计算机随时处于风险之中。维护网络安全需要政府、行业和普通用户的共同努力,在这一过程中,普通用户至少可以通过以下几个方面的努力来维护自己使用互联网的安全:
第一,思想重视。目前并不存在一个百分之百安全的网络防护方式。然而在了解病毒、蠕虫和木马等攻击手段的原理后,用户的安全防护意识哪怕增强1%,就可能减少99%的危险,因为绝大多数的攻击都是利用很不应该出现的安全失误发起的。因此,首先要认识到攻击者的狡猾和强大,不要轻视他们的实力,更不能存在侥幸心理。比如把带有敏感信息的U盘连接到上网计算机,哪怕只有几秒钟的时间,也可能使其中的涉密文件失窃。
第二,加强防护。目前每个月都会涌现出成千上万种新的病毒等恶意程序,对上网计算机的安全构成直接威胁。因此在技术方面要做到:及时下载操作系统的系统更新和补丁;提高系统安全防护等级设置;使用更新的浏览器;购买正版知名杀毒软件并及时更新,有条件的安装防火墙;使用网上银行消费或转账时,尽量采取银行提供的硬件加密卡等方式。
第三,慎重下载。下载信息或程序时,要从可信的网站下载,不要从不了解的网站下载;不要随意打开邮件、MSN、QQ发来的附件,不要随意点击其中的网页链接;即便是熟人发来的邮件或者消息,如果觉得可疑,都要先确认再打开;尽量避免使用电驴、BT等P2P软件。
第四,慎用U盘。目前U盘成为数据交换的一个重要途径,而专门针对U盘的木马和其它恶意程序也层出不穷,很多人都会在交叉使用U盘的过程中感染病毒或木马。在打开U盘时,最好不要直接点击U盘,而是应该关闭U盘的“自动运行”功能,用windows操作系统中的资源管理器打开U盘内容。
第五,保护隐私。不要在网络中透露自己的隐私信息和重要数据,比如信用卡号码、账户密码等。不要使用公共聊天工具来谈论工作或用连接互联网的公共邮件系统传递私密信息,这些公共通信工具无法保证数据的传递安全,有可能被窃取;此外,用户口令、密码不能太简单,最好是超过8位、大小写字母和数字的组合。
第六,及时恢复。用户永远不可能成为安全专家,为了最大限度避免损失,对重要数据一定要做好备份,置于不同的媒介和地点妥善保管。此外,用户要了解一些咨询和服务的渠道,包括一些可信任的安全网站等,遇到数据丢失等突发问题的时候能够得到这些专业机构的帮助。
