近些年來,網絡技術蓬勃發展,新的網絡威脅層出不窮,其中高技術持續性網絡威肋(簡稱APT),逐漸成為重要領域信息安全的主要威脅之一。APT攻擊由受經濟利益或國家利益驅動的黑客發起,綜合運用高技術網絡攻擊手段,突破網絡安全防線,以獲取極具價值的情報信息。APT網絡攻擊具有很強的針對性、持續性、多變性以及隱蔽性,其攻擊往往帶有國家意志,因而與一般個人的黑客行為有很大區別。傳統軍隊網絡安全防護體系,采取的防護手段主要有:軍、民網絡物理隔離、加裝防火墻、安裝入侵檢測系統以及制定嚴格的網絡運行管理制度等,這些都能在一定程度上提升軍用計算機網絡安全,但APT攻擊的攻擊途徑、方式、內容都會依其攻擊目標量身定制,防火墻、病毒庫以及其他己知網絡安全防護手段,對防御這種高級持續性攻擊完全可能失效。
高技術持續性網絡威肋包含三個方面的含義:高技術(Advanced)、持續性(Persistent)、威脅性(Threat)。其中高技術指的是各種先進的攻擊手段,既包括病毒、SQL注入等常見技術手段,也包括更為高級的攻擊方法,例如:利用尚未公開的零日漏洞、快速針對目標系統編寫透碼、使用難以被安全防護系統識別的新型程序語言等。持續性則指的是,黑客對系統攻擊并不是為了獲取短期利益,通常會為了入侵目標系統進行長期不斷地監控,并逐步實施攻擊步驟,一般具有很強的隱蔽性和存活能力。威脅性體現在由經驗豐富的黑客或特別組織發起,受雇于第三方,具有充足的經費支持,因此攻擊的成功率較高,對受害者而言危險系數更大,威脅程度更高。
以“火焰”網絡攻擊事件為例,目前的分析結果顯示,它偽造微軟安全證書、使用了五種不同的加密算法、三種不同的壓縮計劃和至少五種不同的文件格式,甚至卡巴斯基表示分析“火焰”需要十年的時間。同樣讓人印象深刻的還有“震網”病毒,它在隱蔽了2至5年后才被人們發現,滯后了這么多年,在這期間傳統的安全防護體系對其幾乎毫無作為。
與傳統黑客對信息系統的攻擊是為了獲取短期收益和回報不同,實施攻擊具有很強的持續性。為了能夠收集到感興趣的情報,攻擊者能夠進行長時間、多手段的入侵和滲透,一旦入侵成功便繼續在目標計算機內潛伏起來,以被控計算機為跳板去入侵目標對象所處的整個網絡,并伺機收集、回傳情報。由于目標系統中新的漏洞可能不斷被攻擊者發掘,而傳統網絡安全防護體系對漏洞修補又存在滯后,使得對抗攻擊往往處于被動地位。
網絡攻擊的以上特點表明,它能夠采取一切可能的手段,進入軍隊計算機網絡,并對核心軍事機密進行竊取。最容易被利用的因素包括違規連接軍隊計算機網絡的手機、移動存儲設備等電子產品,甚至可能利用內部人員來繞過物理隔離屏障。
目前,Windows操作系統、Oracle數據庫以及各種廣泛使用的辦公軟件,絕大部分為外國公司產品。據統計,Windows操作系統的源程序代碼超過5000萬行,而通常作為大型軟件每4000行代碼就可能存在一個漏洞,可以想象,其中可能被攻擊者利用的安全漏洞是何種量級。目前,隨著信息化技術的廣泛運用,各類辦公、訓練信息的錄入、存儲、傳輸、查詢等均依賴于機網絡支持,由應用軟件的成功運行來實現。然而,各類應用軟件普遍缺少必要的安全設計,例如缺乏軟件使用權限控制,應用管理系統缺少“結構完整性約束”、“引用完整性約束”等數據保護措施,網絡傳輸缺少數字認證和數據加密處理,致使APT攻擊者可以對軟件和數據進行拷貝、修改和破壞,對傳輸途中的涉密信息進行偵測、截獲。軍用軟件存在安全隱患的核心原因是缺乏安全性設計,這一方面是由于編程人員技術水平較低,對軟件安全設計缺乏認識導致,另一方面是由于缺少總體軟件安全設計規范,設計人員在編寫軟件時缺少參照與標準。
我軍信息化建設起步較晚,缺乏許多核心技術,計算機CPU、主板、交換機、路由器等硬件大多依賴進口。這些進口設備都極易存在安全隱患,例如嵌入式病毒、隱形通道和可恢復密鑰的密碼等,在現有技術條件下幾乎無法檢測。并且每臺計算機的軟、硬件環境各不相同,難以對數量眾多的計算機進行針對性的漏洞修補。攻擊者利用硬件上的后門,能夠輕易避開傳統安全防護屏障,對計算機安全造成巨大危害。
即便是軍隊自建網絡中,許多并沒有考慮到網絡安全防護,以致許多自建網絡并不符合安全防護要求。攻擊者在進行攻擊時,通常會選擇網絡中相對薄弱的環節,并以此為跳板,對其真正感興趣的目標進行攻擊。因此即使部分單位網絡安全防護較為嚴密,由于整個網絡環境中存在安全防護的短板,其自身也可能遭到借助跳板入侵的攻擊。此外,攻擊者可能在非軍事管理區的網絡沿線對網絡線路進行監聽,并截獲涉密信息,直接威脅我軍軍事信息安全。部分安全防范意識較強的單位,將涉密信息都集中在不連接任何網絡的涉密計算機上處理,這樣看似萬無一失,然而在實際工作中,涉密計算機總還是會需要安裝一些應用軟件,需要拷貝一些工作資料,但即使是使用光盤作為傳輸媒介,由于缺乏統一的安全規范,缺乏專門的網絡安全技術部門對光盤內容進行審查,APT攻擊者就仍然可以利用這一媒介作為跳板潛伏進入涉密計算機,并伺機竊取情報。最新的攻擊手段甚至可以利用預先在計算機電源中加裝的間諜模塊,通過電網發送木馬病毒,傳輸涉密信息,因此僅僅采取物理隔離無法完全消除網絡安全隱患。
目前,隨著軍隊信息網建設面向全軍普及開展,網絡運行管理機制亟需完善和強化。部分官兵由于網絡安全防護意識薄弱,許多不經意間的違規上網行為都可能被APT攻擊者利用。例如部分官兵為了工作方便使用連接軍隊信息網的辦公電腦處理、傳輸帶有一定密級的軍事信息,雖然目前全軍推廣了水印系統,但APT攻擊的針對性很強,破解水印系統對于經驗豐富的APT攻擊者來說并不是難事;部分安全防范意識較強的單位,將涉密信息都集中在不連接任何網絡的涉密計算機上處理,這樣看似萬無一失,然而在實際工作中,涉密計算機總還是會需要安裝一些應用軟件,需要拷貝一些工作資料,但即使是使用光盤作為傳輸媒介,由于缺乏統一的安全規范,缺乏專門的網絡安全技術部門對光盤內容進行審查,APT攻擊者就仍然可以利用這一媒介作為跳板潛伏進入涉密計算機,并伺機竊取情報。最新的攻擊手段甚至可以利用預先在計算機電源中加裝的間諜模塊,通過電網發送木馬病毒,傳輸涉密信息,因此僅僅采取物理隔離無法完全消除網絡安全隱患,在APT威脅下的軍隊計算機網絡的運行管理制度仍需完善。
| 
