针对涉密网络的安全威胁呈现独特特点

　　在企业级用户当中，有一类用户对安全要求极其严苛，他们一旦出问题将会关系到国计民生，这就是国内的涉密单位。在用户分类中，瑞星把政府机关、军队、军工、与军事研究相关的科研院校、金融、基础公用设施单位等，列为涉密网络，为其提供最高等级的安全产品和安全服务。瑞星发布的《2010中国企业安全报告》中指出，基于政治目的涉密网络攻击呈现独特特点。

　　涉密网络安全威胁概况

　　目前，几乎所有的重要单位都实现了机密资料的无纸化储存，对内网用户实行了严格的身份与权限控制，大大提高了办公效率。与此同时，其中储存的重要资料和信息也被黑客窥测，存在外泄和不当应用的风险。

　　从实际经验来看，黑客和病毒手段已经成为获取情报、制造混乱的最佳工具。2010年9月，“超级工厂(Stuxnet)”病毒在全球引起轩然大波。这是全球第一个能真正破坏工业自动化系统的病毒，有美国媒体报道说，该病毒是由美国情报部门协助以色列制造的，在伊朗散播后造成极其严重的后果，遭病毒攻击的核电站有数千台离心机运行异常，使得伊朗核计划遭到挫败。

　　图 国内个人用户感染“超级工厂(Stuxnet)”病毒的趋势图

　　同时，在对一些重要企业的安全检查中，瑞星也曾经发现过存在类似安全问题，比如在自动化控制系统中存在有意留下的漏洞，内网中存在编写精巧的“特种木马”等，由于中方对很多软硬件设备不掌握自主知识产权，无法查看底层代码，导致遭攻击的风险在逐渐增加。

　　在针对涉密网络的攻击中，有大约10%比例的攻击从编程风格、操作精细程度、利用的漏洞质量等多方面观察，个人黑客无法做到如此水平，很可能是国外有组织有目的的情报收集和破坏活动。

　　涉密网络比较常见的攻击手法

　　与普通企业网络不同，涉密网络通常与互联网进行了物理隔绝，因此，针对涉密网络的攻击也有着自身的独特特点：

　　① 利用U盘等设备进行跳板攻击

　　以“超级工厂”病毒为例，它采用的就是跳板攻击的方法，病毒会感染个人电脑上使用的U盘，当带毒U盘被拿到内网中使用的时候，病毒随之进入内网。有美国媒体猜测说，该病毒是美国特工投放到在伊朗核电站工作的俄国专家电脑里的，从技术角度讲，这种猜测有一定道理。

　　② 利用未公开的0day漏洞

　　所有水平比较高的黑客攻击，几乎都利用了不为人所知的系统、应用软件和数据库漏洞，业内把这些漏洞称为“0day漏洞”。利用的未知漏洞越多，感染攻击能力越强，越难被阻止。以“超级工厂”病毒为例，其利用的7个漏洞中，只有1个是微软曾经公布并发布补丁的，其余的都属于“0day漏洞”。

　　值得一提的是，目前在互联网上存在着“0day漏洞”的灰色交易，有人专门挖掘各种漏洞，将其进行出售而获利。有的黑客组织就从地下市场购买这些漏洞，将其用于自己编写的木马中

　　③ 针对特定对象编写，普通杀毒软件很难查杀

　　本质上讲，杀毒软件仅是用来应对感染规模大、数量多的普通型病毒攻击，如果单独针对特殊的用户编写，严格控制感染人数，普通杀毒软件的效力就会大大下降。

　　2005年6月，以色列爆发了历史上最大的商业间谍案，涉案人包括以色列国家安全总局的前特工。他们编写木马植入受害人公司，窃取商业机密、市场计划等，他们的雇主包括一些最著名的公司。

　　在此案中，涉案人通过编写特殊的木马程序，仅植入少数的几家公司。由于这些木马运行并没有任何异常，而且有的木马在完成任务后会自行销毁，抹掉自己存在的痕迹，导致丢失商业秘密的受害者在竞争中处于劣势。

　　由于这些木马在植入前都会通过主流杀毒软件的扫描测试，普通杀毒软件无法扫描出异常;而且在当时，多数杀毒软件通常不具有“主动防御”功能，导致杀毒公司无法获取样本，无法将其加入病毒库，从而无法将其查杀。