信息安全保密形势教育讲义

信息安全保密形势

我重点讲三点。一是核心技术安全隐患，这是老问题；二是新技术安全隐患，这是新问题！三是上网，是一个大问题。

一、核心技术安全隐患长期存在

案例：“震网”蠕虫病毒因为入侵、破坏伊朗核设施而威名远扬。

2009年上半年，伊朗官方承认，纳坦兹(Natanz)的铀浓缩设施出现了重大核安全事故。整个过程犹如一部科幻电影：由于被病毒感染，监控人员看到的是正常无异的画面，而实际上核设施里的离心机在失控的情况下不断加速而最终损毁。

攻击的难度是可想而知的，因为电站的网络是与外网（互联网）物理隔离的。内网的计算机大量的使用了微软的OS，控制铀浓缩的离心机的是西门子Wincc 系统。这是Stuxnet蠕虫的最终攻击目标。WinCC主要用于工业控制系统的数据采集与监控，部署在专用的内部局域网中。

问题：计算机病毒有什么特性？传播性、隐蔽性、感染性、潜伏性、可激发性和破坏性。

病毒于2010年6月被白俄罗斯的一家网络安全公司首次被检测出来，研究表明，这是第一个专门定向攻击基础（能源）设施的“蠕虫”病毒，美以黑客编制了震网病毒。设计非常复杂、巧妙、精细。病毒编制者除了对黑客技术、网络编程非常精通以外，还必须对Windows、西门子Wincc系统非常精通。

首先，病毒是事先设计好的，投放到安装微软OS的上网计算机，通过互联网传播、感染也安装微软OS的上网计算机，精妙的病毒设计欺骗了很多几乎所有的杀毒软件，隐蔽性极强，也不搞任何破坏。

然后感染U盘，“摆渡”传播到内部网络；关于摆渡木马的原理，我们在后面会详细分析。

下面具体讲讲，在内网中是怎么传播的。利用3个0day漏洞，在安装了微软OS的主机之间的传播。什么是0Day漏洞？微软在修复Windows漏洞前会将漏洞报告NSA，NSA可以利用提前获得的漏洞信息进行间谍活动，你进不去的门，NSA可以直接进去！甚至都不需要进入登录界面。这是微软为NSA开的一种“后门”，即方便之门、隐蔽之门，可以绕过系统安全控制而直接获得系统控制

权的“门”。换句话说，如果你用的微软OS，又连上Internet，你设了密码没有用，你对于微软和NSA来说，就等同于“裸奔”！可以说，没有微软报告给NSA 0day 漏洞的便利，是不可能设计出这么利害的病毒的，

最后，抵达安装了WinCC软件的主机，展开攻击，要能入侵WinCC，也必须深知它的漏洞；它首先读取离心机的正常转速，正常地向监控室报告数据，其实离心机越转越快，转速早都不正常了，直至离心机损坏。

我认为，还有关键一环，就是谁第一个违规使用U盘在物理隔离的网络间交替使用导致了灾难性的事故？也许这会成一个永远的秘密。

给我们什么启示？物理隔离的网络就安全吗？不见得吧！下一个像“网震”一样利害的病毒何时出现？我们不得而知。除此之外，芯片可能预留了后门，也可能预先植入了病毒，等等。反正以美帝的实力，想做什么手脚他们基本上就能做到，在他们拥有核心技术的背景下。

我们能做什么？买，也不放心呀！只有用自己的产品了。

二、新技术安全隐患更加突出

老问题们没有得到有效解决，新问题又来了，大数据等新兴技术应用日趋深入，信息安全问题将更加突出。

近两年，IT领域最热门的话题就是“大数据”了。大数据的时代已经来临！

那么，大数据到底是什么？能做些什么？大数据，或称巨量资料，海量数据，就像我们的“大学成绩”、“看病记录”、“上网记录”、“聊天记录”、“手机记录”等等，不是几千几万条记录，而是动辄上百万、千万、上亿、几十亿条记录分析，美国国家安全局(NSA)一天内在全球收集的手机定位记录达50亿条；数据类型繁多：网页、网络日志、视频、图片、地理位置信息等等；再就是不用随机分析法（抽样调查），而采用所有数据进行分析处理。再就是“快速”，秒级速度，不超过1-2秒就出分析结果。最后，就是要“有价值的信息（情报）”，找出各种信息之间的关联，以便预测、决策，这是大数据应用的目的。比如“啤酒和尿布”之间的关联，“成就和读书”之间的关联。

“大数据”能干很多过去想都不敢想的事，商业广告、战略决策甚至反腐等等。比如分析你的上网购买偏好，以便准确的投放广告，比如，我小孩上高一，很意外的接到一个德语培训班的电话，其实也不意外，问他，原来他近日浏览了一些

德国大学网站，只是出于一般的好奇，电话号码才刚刚换过了，再深究，才知道在QQ留了手机号，QQ是把用户信息与很多所谓的合作伙伴共享了，比如优酷网，不是一两个用户信息共享，而是数以亿计的用户数据共享。我一个大学同学在C市公安局大数据中心，其中一个职能就是信用卡监控，有大额交易就重点监控，这是反洗钱和反腐败用的功能。大数据想达成的终极目标：成为你肚子里的蛔虫，并且试图喂出你最想要的东西，提升流量，提升点击率，提升购买率，提升再购买率。

大数据是把双刃剑，大数据应用必然会催生出一些新的安全问题。要是大数据被像恐怖分子操纵，就非常危险了！这就是我们必须要面临的第二个形势。

(一)典型案例：NSA利用大数据干些什么勾当？

奥巴马，大数据总统。上台的之前，竞选时信誓旦旦要“change”（改变）的他，承诺要让政府的监控项目更透明，但是真正上台后才发现对“监控”这个工具爱不释手。为什么奥巴马的态度要变呢？

“棱镜”项目太神秘，斯诺登揭示了一些情况。大家知道谷歌吧，百度也很类似，我们把谷歌赶出了中国市场，因为它不合作。其数据中心内都保存着大量来自互联网的各种资讯——网页、图像、视频、地图、论文等等。同时，其分析系统能够处理无数用户的Web搜索请求，不管它来自智能手机还是PC。

大多数用户对于谷歌在“大数据”方面的处理并不在意，不过如果我们把“谷歌”这个名字替换为“NSA”，那么事情在很多人眼中就会变得完全不同。

事实上NSA的PRISM程序以及对手机运营商通话元数据的收集与谷歌公司的处理方式并无不同：获取大量数据、从中找到信息之间的联系；整个过程无需手动操作，而且由专业分析人士从中提取“例外”情况。二者之间的本质区别只在于，如果国家安全局发现了异常事态，那么根据有关法律规定，联邦调查局的特工人员将有权进一步监控甚至敲开我们的大门。比如调取你的聊天记录或者电子邮件，等等。

Apache Accumulo项目是棱镜项目的核心，它可以根据某个IP地址范围找到特定的关键词或者电子邮件信息；它还能够以某个目标电话号码为基础分析出其它号码与之关联的程度。经过甄别后，它会将有价值的电子邮件或者电话号码传出另一套数据库，以供NSA工作人员慢慢加以分析。