微课视频1-2
伊朗核设施瘫痪事件
【案例1-2】
2010年6月,震网(Stuxnet)攻击首次被发现,这是已知的第一个以关键工业基础设施为目标的蠕虫,其感染并破坏了伊朗纳坦兹核设施,并最终使伊朗布什尔核电站推迟启动。斯诺登证实,是美国国家安全局和以色列合作研制了震网(Stuxnet)蠕虫病毒。
震网病毒让世人惊讶的两点,一是传播和渗透非常精巧。如图1-4所示,攻击者首先使得目标用户使用的某些主机感染病毒,这些用户一旦在这些主机上使用U盘,U盘即被感染。
U盘被带入安全隔离的内部局域网上使用,U盘上的病毒会利用一系列的系统漏洞,或是U盘在内网中不同主机上的使用,实现内网主机间的传播;病毒会尝试与控制台(Command &Control,C&C)服务器通信,将受感染系统的IP地址、主机名以及基本配置信息上报给其C&C服务器,以此获取关于目标系统的更多信息;病毒通过U盘传播感染严格隔离工业网中安装有西门子控制程序的工作站后展开攻击。
图1-4 震网病毒攻击工业控制系统流程
震网病毒另一个让人惊讶的是攻击目标精准,即针对德国西门子公司的SIMATIC Step7和WinCC系统。这是一款数据采集与监视控制(Supervisory Control And Data Acquisition,SCADA)系统,被伊朗广泛使用于国防基础工业设施中。该系统程序可以控制和修改运行在可编程逻辑控制器(Programmable Logic Controller,PLC)上的代码,而PLC控制着设备的运行状态,如机器转速等。当病毒到达装有WinCC系统用于控制离心机的主机后,首先记录离心机正常运转时的数据,如某个阀门的状态或操作温度,然后将这个数据不断地发送到监控设备上,以使工作人员认为离心机工作正常。与此同时,病毒控制离心机使其运转速度失控,直至瘫痪或报废。而核设施工作人员在一定时间内会被监控设备上显示的虚假数据所蒙骗,误认为离心机仍在正常工作,等到他们察觉到异常时为时已晚,很多离心机已经遭到不可挽回的损坏。
2014年,美国自由撰稿人金·泽特(Kim Zetter)出版了 Countdown to Zero Day : Stuxnet and the Launch of the World's First Digital Weapon (《零日攻击:震网病毒全揭秘》)。该书是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物,也为人们揭开了零日漏洞攻击的神秘面纱。
2016年,美国导演亚历克斯·吉布尼(Alex Gibney)执导的纪录片 Zero Days (《零日》)讲述了震网病毒攻击伊朗核设施的故事,揭露了网络武器的巨大危险性。
【案例1-2思考】
● 震网病毒这类“精确制导的网络导弹”,与传统的网络攻击相比较有哪些新的特点?
● 面对网络空间不断出现的安全问题,我们应当建立怎样的安全防护体系?
● 建立网络空间信息安全防护体系应当确立哪些原则?
【案例1-1和案例1-2分析】
案例 1-1中的棱镜计划,堪称是一场震惊全球的网络空间安全的核冲击波,该计划对全球各国网络空间安全与发展的影响异常深远。斯诺登所揭露的棱镜计划使网络空间这一全新领域的发展与安全问题成为世界性的焦点论题。棱镜计划也要求我们重新思考我国未来的网络空间安全和发展的问题。
为此,我们需要从棱镜计划的本质—大规模网络监控入手,进一步分析目前的网络空间安全威胁,在不断发展的网络空间的全新范式下思考我国信息安全对策。
案例 1-2中,在传统工业与信息技术融合不断加深、传统工业体系的安全核心从物理安全向信息安全转移的趋势和背景下,伊朗核设施遭受震网病毒攻击事件尤为值得我们思考。这是一次极不寻常的攻击,具体体现在以下几点。
● 传统的网络攻击追求影响范围的广泛性,而这一攻击具有极其明确的目的,是为了攻击特定工业控制系统及特定的设备。
● 传统的攻击大都利用通用软件的漏洞,而这一攻击则完全针对行业专用软件,使用了多个全新的0 day漏洞(新发现的漏洞,尚无补丁和防范对策)进行全方位攻击。
● 这一攻击能够精巧地渗透到内部专用网络中,从时间、技术、手段、目的、攻击行为等多方面来看,完全可以认为发起这一攻击的不是一般的攻击者或组织。
这一攻击事件绝不是偶然发生的,也不是个案。在中国国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD)中,已经收录了2000余条对我国影响广泛的工业控制系统软件安全漏洞的信息。可以相信,针对我国众多工业控制系统一定还有更多未被发现的漏洞和潜在的破坏者。
因此,这一攻击事件给我们带来的更多是一种安全观念和安全意识上的冲击。安全威胁和网络攻击无处不在,建立科学、系统的安全防护体系成为必然。
接下来,本章围绕信息为什么会有安全问题、信息面临哪些安全问题以及如何应对信息安全问题三大问题展开介绍。