“棱镜计划”之网络战争威胁

      美国国家安全局在小布什时期得到美国政府授权于2007年起开始对美国境内外实施绝密的棱镜计划。PRISM监控的类型有10类：信息电邮，即时消息，视频，照片，存储数据，语音聊天，文件传输，视频会议，登录时间，社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。在美国中情局前雇员爱德华・斯诺登爆料给英国《卫报》和美国《华盛顿邮报》时，奥巴马已将该计划发扬广大，PRISM触角延伸至全球各个重要国家，其中就包含中国。

      据爱德华・斯诺登透露协助该计划实施的有思科、Facebook、谷歌、微软、苹果、雅虎等IT巨头。美国军方及NSA等部门利用上述企业提供的网络数据、漏洞、后门对其他国家进行机密资料盗取和网络攻击。最典型的一次攻击是2010年美国利用网络病毒Stuxnet，攻击伊朗布什尔核工厂计算机系统，该病毒利用Microsoft MS10-046漏洞造成伊朗近千台离心机瘫痪，直接导致布什尔核电站推迟发电计划。

      在中国IT市场上微软、思科、雅虎、苹果等企业占据大量市场份额。例如：思科至90年代进入中国市场，已逐步扩展到国家各个关键行业。思科几乎参与了中国所有大型网络项目的建设，政府、军队、海关、邮政、金融骨干网等。然而思科网络设备的操作系统中预留的GDB模式，NSA等部门可随时对其植入木马病毒。

      在看我们所使用的个人操作系统几乎80%都是Microsoft的产品。根据PRISM计划，微软在公开漏洞补丁之前，会将漏洞报告提交给NSA。在NSA利用该漏洞之后微软才对补丁进行升级。NSA利用漏洞做了什么事，普通大众无法知晓，甚至被美国认为的敌对国家更不知情。这样的安全隐患对敌对国家具有相当大的攻击力度，威力不比核武差。

      试想，NSA或CIA通过恶意程序绕过前端安全设备的防御，控制了我们主干网络的路由交换设备，并利用路由交换设备为跳板对内网核心服务器和主机的操作系统漏洞进行渗透攻击，当内网主机和服务器被植入恶意木马后，将成为傀儡。当发生网络战争时，这些主机和服务器以及路由交换设备将成为美军战士，美军不仅可以利用傀儡主机和服务器发起攻击，甚至可直接将主干路由交换设备瘫痪。

      我们可以大胆的猜测，在近几次中美网络对抗交锋中，我们都落败于美国。究其原因，不是我们黑客技术落后，而是美国有先天的技术支撑。美国可以利用埋伏在中国各个关键节点网络设备以及各种产品漏洞对我们进行有效打击。

      但美国若想对我们进行大规模网络攻击，就得先设伏兵，占取先机。虽然，我们在各大网络节点都部署了成熟的安全产品，但未知漏洞与后门的主动权不在我们手里，NSA和CIA可以利用PRISM轻易的对我们目前的网络进行渗透。难道我们就没有相应对策了？非也。任何远程控制和木马传输都必须与被控制主机建立连接，产生相应的网络流量。远程控制和木马传输都具有一定的特征。我们可以通过对特征网络流量的进行分析，检测通讯流量中是否包含可疑的会话连接。

      但是，远程控制、漏洞攻击、木马传输这些都不是持续性的，其可通过心跳技术、反弹技术或者间歇性远程控制。NSA等部门会在不定时间和空间对所控制主机进行连接，以及对目标物进行攻击渗透。在主干链路对大量的IP会话进行实时解码分析，这也不太现实。若想发现这些间歇性的恶意流量，我们可以对通讯流量进行备份存储，对通讯流量的网络应用分类鉴别，筛选网络流量中存在的恶意通讯，解码可疑会话。

      当我们通过历史流量分析后，对发现的可疑远程IP和端口，就可在安全设备和三层设备上对添加策略阻断，并对感染主机进行隔离查杀。以此防止隐藏威胁，在网络战中造成损失。来自CSNA网络分析论坛