1信息安全保密形势我重点讲三点。一是核心技术安全隐患,这是老问题;二是新技术安全隐患,这是新问题!三是上网,是一个大问题。一、核心技术安全隐患长期存在案例:“震网”蠕虫病毒因为入侵、破坏伊朗核设施而威名远扬。2009年上半年,伊朗官方承认,纳坦兹(Natanz)的铀浓缩设施出现了重大核安全事故。整个过程犹如一部科幻电影:由于被病毒感染,监控人员看到的是正常无异的画面,而实际上核设施里的离心机在失控的情况下不断加速而最终损毁。攻击的难度是可想而知的,因为电站的网络是与外网(互联网)物理隔离的。内网的计算机大量的使用了微软的OS,控制铀浓缩的离心机的是西门子Wincc系统。这是Stuxnet蠕虫的最终攻击目标。WinCC主要用于工业控制系统的数据采集与监控,部署在专用的内部局域网中。问题:计算机病毒有什么特性?传播性、隐蔽性、感染性、潜伏性、可激发性和破坏性。病毒于2010年6月被白俄罗斯的一家网络安全公司首次被检测出来,研究表明,这是第一个专门定向攻击基础(能源)设施的“蠕虫”病毒,美以黑客编制了震网病毒。设计非常复杂、巧妙、精细。病毒编制者除了对黑客技术、网络编程非常精通以外,还必须对Windows、西门子Wincc系统非常精通。首先,病毒是事先设计好的,投放到安装微软OS的上网计算机,通过互联网传播、感染也安装微软OS的上网计算机,精妙的病毒设计欺骗了很多几乎所有的杀毒软件,隐蔽性极强,也不搞任何破坏。然后感染U盘,“摆渡”传播到内部网络;关于摆渡木马的原理,我们在后面会详细分析。下面具体讲讲,在内网中是怎么传播的。利用3个0day漏洞,在安装了微软OS的主机之间的传播。什么是0Day漏洞?微软在修复Windows漏洞前会将漏洞报告NSA,NSA可以利用提前获得的漏洞信息进行间谍活动,你进不去的门,NSA可以直接进去!甚至都不需要进入登录界面。这是微软为NSA开的一种“后门”,即方便之门、隐蔽之门,可以绕过系统安全控制而直接获得系统控制2权的“门”。换句话说,如果你用的微软OS,又连上Internet,你设了密码没有用,你对于微软和NSA来说,就等同于“裸奔”!可以说,没有微软报告给NSA0day漏洞的便利,是不可能设计出这么利害的病毒的,最后,抵达安装了WinCC软件的主机,展开攻击,要能入侵WinCC,也必须深知它的漏洞;它首先读取离心机的正常转速,正常地向监控室报告数据,其实离心机越转越快,转速早都不正常了,直至离心机损坏。我认为,还有关键一环,就是谁第一个违规使用U盘在物理隔离的网络间交替使用导致了灾难性的事故?也许这会成一个永远的秘密。给我们什么启示?物理隔离的网络就安全吗?不见得吧!下一个像“网震”一样利害的病毒何时出现?我们不得而知。除此之外,芯片可能预留了后门,也可能预先植入了病毒,等等。反正以美帝的实力,想做什么手脚他们基本上就能做到,在他们拥有核心技术的背景下。我们能做什么?买,也不放心呀!只有用自己的产品了。二、新技术安全隐患更加突出老问题们没有得到有效解决,新问题又来了,大数据等新兴技术应用日趋深入,信息安全问题将更加突出。近两年,IT领域最热门的话题就是“大数据”了。大数据的时代已经来临!那么,大数据到底是什么?能做些什么?大数据,或称巨量资料,海量数据,就像我们的“大学成绩”、“看病记录”、“上网记录”、“聊天记录”、“手机记录”等等,不是几千几万条记录,而是动辄上百万、千万、上亿、几十亿条记录分析,美国国家安全局(NSA)一天内在全球收集的手机定位记录达50亿条;数据类型繁多:网页、网络日志、视频、图片、地理位置信息等等;再就是不用随机分析法(抽样调查),而采用所有数据进行分析处理。再就是“快速”,秒级速度,不超过1-2秒就出分析结果。最后,就是要“有价值的信息(情报)”,找出各种信息之间的关联,以便预测、决策,这是大数据应用的目的。比如“啤酒和尿布”之间的关联,“成就和读书”之间的关联。“大数据”能干很多过去想都不敢想的事,商业广告、战略决策甚至反腐等等。比如分析你的上网购买偏好,以便准确的投放广告,比如,我小孩上高一,很意外的接到一个德语培训班的电话,其实也不意外,问他,原来他近日浏览了一些3德国大学网站,只是出于一般的好奇,电话号码才刚刚换过了,再深究,才知道在QQ留了手机号,QQ是把用户信息与很多所谓的合作伙伴共享了,比如优酷网,不是一两个用户信息共享,而是数以亿计的用户数据共享。我一个大学同学在C市公安局大数据中心,其中一个职能就是信用卡监控,有大额交易就重点监控,这是反洗钱和反腐败用的功能。大数据想达成的终极目标:成为你肚子里的蛔虫,并且试图喂出你最想要的东西,提升流量,提升点击率,提升购买率,提升再购买率。大数据是把双刃剑,大数据应用必然会催生出一些新的安全问题。要是大数据被像恐怖分子操纵,就非常危险了!这就是我们必须要面临的第二个形势。(一)典型案例:NSA利用大数据干些什么勾当?奥巴马,大数据总统。上台的之前,竞选时信誓旦旦要“change”(改变)的他,承诺要让政府的监控项目更透明,但是真正上台后才发现对“监控”这个工具爱不释手。为什么奥巴马的态度要变呢?“棱镜”项目太神秘,斯诺登揭示了一些情况。大家知道谷歌吧,百度也很类似,我们把谷歌赶出了中国市场,因为它不合作。其数据中心内都保存着大量来自互联网的各种资讯——网页、图像、视频、地图、论文等等。同时,其分析系统能够处理无数用户的Web搜索请求,不管它来自智能手机还是PC。大多数用户对于谷歌在“大数据”方面的处理并不在意,不过如果我们把“谷歌”这个名字替换为“NSA”,那么事情在很多人眼中就会变得完全不同。事实上NSA的PRISM程序以及对手机运营商通话元数据的收集与谷歌公司的处理方式并无不同:获取大量数据、从中找到信息之间的联系;整个过程无需手动操作,而且由专业分析人士从中提取“例外”情况。二者之间的本质区别只在于,如果国家安全局发现了异常事态,那么根据有关法律规定,联邦调查局的特工人员将有权进一步监控甚至敲开我们的大门。比如调取你的聊天记录或者电子邮件,等等。ApacheAccumulo项目是棱镜项目的核心,它可以根据某个IP地址范围找到特定的关键词或者电子邮件信息;它还能够以某个目标电话号码为基础分析出其它号码与之关联的程度。经过甄别后,它会将有价值的电子邮件或者电话号码传出另一套数据库,以供NSA工作人员慢慢加以分析。4换句话说,Accumulo为NSA带来与谷歌同样的电子邮件与网络搜索分析能力——互联网上的任意操作、通话过程中的全部内容,一切都在其掌控之中。就像是一群不知疲倦的小蚂蚁、日夜帮助NSA进行数据处理工作。Accumulo尤其擅长于分析庞大的数据从而生成众多的图表用于发现和强化这些数据间的连接(关联)。NSA数据图谱的规模,系统可以管理数月甚至数年的信息,同时在处理数据请求上非常迅速。(二)关于电话记录分析。不用说美国,很多功能我们都已实现。通过电话记录可以进行行踪分析,分析你的职业,分析的交往圈,等等已经很成熟。比如,人脉圈的分析,可通过电话的时长、频度以及下飞机打的头三个电话来分析关系的亲疏远近。再比如,分析一下下午下班时间前后手机记录,还没有下班,手机行踪记录显示都分散了,说明你这个单位管理太松散。几乎所有的工作,都可以用程序来进行海量数据的自动筛选,不是分析一两个人、一两个单位,而是分析一个城市、省、国家的所有相关数据。总之,一切尽在掌握中,我们每天产生的各种数据都被收集了,我们泄密的风险越来越大。在大数据时代,我们没有秘密,我们无处可藏。民用都可以做到,专门的情报部门呢?现在的问题在于,是否有能力保证这种大数据分析能力不会被滥用,不管是美国,还是中国。我们该怎么办?我们不用手机、不上网,行吗?那你就是那个“来自星星的你”哟!我们少打电话行吗?领导打电话来了,就按掉?电话经常关机,首长、同事找你,总找不着,行吗?我们能做的还就是要遵守规定,不要用非保密手机谈论保密事宜。上网也一样,不要到处留下你的痕迹,看看新闻、查查资料就可以了,其他事情少干。三、上网易泄密,敌人太厉害说了老问题、新问题,再来说说一个大问题——“上网”。2013年,在信息安全领域,发生了很多大事。大家都知道,影响最大的就是,“棱镜门”,奥巴马非常恼火,披露的文件触目惊心,震惊了全世界。除此之外,大家知不知道还有一件大事?张长河事件52013年2月,《彭博商业周刊》全面报道了一位外国网络安全专家经过多年的跟踪搜索,揭开了一位疑似中国军方黑客身份的全过程。这位黑客是郑州解放军信息工程大学信息工程学院网络安全教师张长河,并附上了张长河家庭照。《彭博商业周刊》是美国著名的商业性杂志。戴尔公司负责网络安全工作的斯图尔特(JoeStewart)。DellSecureWorksCounterThreatUnit™ThreatIntelligence高级主管。2010年谷歌和英特尔受到黑客攻击后,斯图尔特开始关注中国黑客。2011年3月斯图尔特发现一个恶意软件同他平时接触到的来自已知的俄罗斯和东欧网络盗窃者的软件有所不同。因此他开始调查和这些可疑代码相关的指令。他注意到从2004年以来以TawnyaGrilth或EricCharles名字注册的数十个域名都列出同样的Hotmail帐号,而且都列出加利福尼亚的同一个城市。好几个帐号所在城市名字错误地拼写成SinDigoo(SanDiego圣地亚哥)。黑客不慎露马脚了。TawnyaGrilth注册的一个动态域名使用了dellpc.us.这样的域名。该网址同DELL过于相似。他向ICANN(互联网名称与数字地址分配机构)进行投诉,说黑客使用Dell字样,侵犯了他所在公司的商标权。机缘巧合!Grilth从未对此回应,心里有鬼。Grilth从未对此回应,而ICANN同意斯图尔特的说法,将上述域名的控制权交给了斯图尔特。So...功夫不负有心人。经过3个月的跟踪监视,斯图尔特逐渐找到了被黑客控制的电脑。到2012年1月,他找到了分布在世界各地的受黑客攻击的电脑。许多电脑属于越南、文莱和缅甸等国的不同政府部门,数家石油公司、一家报纸、一个核安全机构以及一个国家在中国的大使馆。然后斯图尔特根据TawnyaGrilth及其注册的电邮jeno_1980@hotmail.com进行更广泛的搜索,他又获得了新发现。一个地址当中出现了xxgchappy的标记,他从新的电邮又找到更多的联系。接着斯图尔特发现了更为非同寻常的线索:一个做实体商务活动的域名,该域名收费,为客户提供在Twitter和Facebook社交网站点击“like”(点赞)的业务。他发现登记为Tawnya的账号在黑客论坛BlackHatWorld(讨论网络营销话题的网站)上面宣传一个网站以及一个支付帐户。该帐户收费并且把钱转到一个谷歌帐户,帐户的所有者姓“张”。黑客把自己真实生活暴露到如此程度令斯图尔特出乎意料。2012年2月斯图尔特将其发现写成报告在旧金山年度网络安全界的会议上发表。他的报告立即引起另外一名调查者的兴趣,促使他努力发现TawnyaGrilth背后隐藏的真人。这位33岁的调查者网名为“虚拟侦探”(Cybersleuth)。随着调查的深入,化名TawnyaGrilth的黑客更多的信息被发现。在汽车论坛、中国黑客网站,一张显示一名男子和女子的合影被找到。6通过中国技术公司的网络黄页,找到了公司的电话和联系人姓名,即在郑州的张先生。该目录还给出3个QQ帐号,其中一个帐号使用了带xxgchappy标记的几个电邮,账号中把张先生的职业列为“教育”工作。再用百度搜索这些电邮地址。他发现该电邮还在“开心网”(实名制)上注册,张号对应郑州的“张长河”。同样的QQ号还起名xCar出现在一个汽车论坛上。在一张摄于2009年的照片中,张先生立于海滩,面对太阳,背对大海,同一个女子挽手。图片说明中说该女子是他的妻子。“虚拟侦探”在3月的个人博客上公开了他的发现。他说他已经揭开了鬼影的真面目,希望有关政府、调