1.4 網絡與信息安全新態勢

當前，全球網絡空間面臨的威脅進一步加劇，網絡空間安全問題愈加凸顯，主要表現在：國家與國家之間的網絡空間安全沖突不斷升級；針對政府部門的大規模網絡攻擊事件持續增多；軍隊頻繁遭受網絡攻擊；基礎設施領域持續遭受網絡攻擊；工控領域網絡威脅持續不斷[20]。

1.4.1 國家與國家之間的網絡空間安全沖突不斷升級

2016年，國家與國家之間的沖突行為持續升級。以美國為代表的西方發達國家控制網絡空間領域的意圖非常明顯，美俄之間的網絡沖突達到白熱化，美國逐步在網絡空間安全領域行使制約權，網絡空間的軍事化趨勢已不可避免。

（1）美國對俄羅斯間諜活動實施冷戰以來的最大報復

在美國2016年總統選舉期間，俄羅斯黑客入侵民主黨國家委員會網站，對美國政府和網絡系統進行了侵略性的騷擾。之后，美國政府發布了一份FBI與國土安全部對這些網絡攻擊的詳細評估，包括新近解密的入侵細節，如攻擊者使用的惡意軟件簽名列表和相關的IP地址。美國政府已經批準制裁俄羅斯兩大情報機構、4名軍事情報官員，并正在驅逐35名俄羅斯外交官。對俄羅斯兩大情報機構（軍情局和聯邦情報）的制裁，基于最初于2015年4月簽發的總統令13964。該令賦予美國總統還擊對美國關鍵基礎設施入侵、大規模的拒絕服務或是經濟入侵的權力，但沒有包括競選相關的系統。2016年新擴展的總統令，將其包含在內“對競選機構或進程，帶有干涉目的或產生干涉效果的，影響、改變或是導致信息的不準確。”

（2）美國對“伊斯蘭國”發動網絡戰

為了加快對抗“伊斯蘭國”的數字戰爭進程，美國網絡司令部的指揮官邁克爾·羅杰斯在2016年5月成立了由愛德華·卡登中將領導的部門，該部門肩負的職責是開發出由惡意軟件等網絡工具改造而成的數字化武器，旨在加快破壞和摧毀“伊斯蘭國”的網絡、計算機和手機。該部門被稱為聯合特遣部隊阿瑞斯（Joint Task Force Ares），目前正與主導“伊斯蘭國”對抗戰的美國中央司令部展開更加密切的協調與合作。

新近成立的聯合特遣部門執行的網絡攻擊或將破壞支付系統、識別并搞垮“伊斯蘭國”成員使用的通信平臺，或者搗毀“伊斯蘭國”的在線宣傳雜志《達比克》。

聯合特遣部門的任務并不包括識別可作為空襲打擊對象的個人。從本質上而言，“伊斯蘭國”并不像一個國家或政府那樣擁有易受攻擊的龐大機構或基礎設施，因此在網絡攻擊中要將之納為襲擊對象具有挑戰性。

針對“伊斯蘭國”的網絡戰爭讓美國國防部面臨著一些挑戰。如果實施破壞某處網絡的行動，情報部門就可能失去監視此處網絡通信的機會。因此，網絡安全官員在選擇攻擊對象、策劃攻擊行動時須與情報人員更深入地合作。

（3）美國網攻伊朗計劃曝光

2016年2月，美國制訂計劃，準備在外交途徑無法解決伊朗核問題時對伊朗核以及軍用和民用設施發動網絡攻擊。美國軍方和情報部門分別擬訂了打擊計劃，其中軍方行動的代號名為“宙斯一觸即發”，目的是使伊朗防空、通信系統和關鍵電網陷入癱瘓。根據美國五角大樓的說法，“宙斯一觸即發”行動預計耗資數千萬美元，將由數千名美國軍事人員參加，試圖在伊朗電腦網絡系統中植入電子設備。這套計劃的目的是，一旦伊朗核問題談判失敗，美國總統奧巴馬能夠有其他選擇而不必發動常規戰爭。

美國情報部門也制定了一個更為細化的秘密網絡打擊計劃，旨在使伊朗的福爾多鈾濃縮工廠陷入癱瘓。按照計劃，美國情報部門將植入蠕蟲病毒破壞核設施內的電腦網絡系統，以達到拖延甚至徹底破壞這一設施的鈾濃縮活動。

（4）英特種部隊對IS發動電子戰

2016年5月，英國特種部隊對利比亞境內的“伊斯蘭國”組織（IS）恐怖分子發動了一場極具破壞性的電子戰攻擊。

這場尖端的“干擾打擊”令該組織位于蘇爾特的大本營周邊的通信網絡癱瘓。“黑色行動”是由英國皇家空軍的一架偵察機負責的。英國皇家空軍的無線電專家找到了敵方最經常使用的頻率，偵察機上的工作人員之后利用飛機上的高功率發報機在同一波段發出干擾，從而壓過敵方的對話。與此同時，在海外，英國政府通信總部的一個網絡戰小隊通過監控“伊斯蘭國”組織領導人在網絡上的對話，對干擾打擊的結果做出了評估。

1.4.2 針對政府部門的大規模網絡攻擊事件持續增多

2016年，全球網絡空間安全有組織的攻擊事件增多，幾乎天天都能聽到一些公司或政府實體遭受入侵或攻擊的報道。這些發生的網絡攻擊事件，都顯示了攻擊者所擁有的網絡攻擊能力，其攻擊范圍更廣，手段愈發復雜。下面是近一年來網絡空間安全領域發生的幾起具有代表性的重大攻擊事件。

（1）愛爾蘭政府網站因遭網絡攻擊而癱瘓

2016年1月22日上午11點，愛爾蘭衛生安全管理局（HSE）、中央統計局（Central Statistics Office）、司法部（Department of Justice）、法院服務部（Courts Service）和國防部（Department of Defence）等多個部門和機構的網站遭受到來自第三方的分布式拒絕服務（DDo S）攻擊。愛爾蘭政府網絡遭受不斷的網絡攻擊，對公民和公共服務造成大規模破壞。

（2）俄羅斯政府部門遭受惡意攻擊

俄羅斯聯邦安全局在2016年7月30日的一份聲明中說，俄羅斯約20個政府部門的電腦網絡被惡意植入了間諜軟件。這些中毒電腦均屬于國家重點要害部門，包括國家權力機關、科研單位、軍事部門及軍工企業等。聯邦安全局稱，這批間諜軟件是根據每一臺入侵電腦自身性能區別對待的，通過發送惡意植入病毒的電子郵件完成目標攻擊。病毒被植入后，惡意軟件就會自動加載，然后就能截獲網絡信息、實現監聽、進行屏幕截圖，還可以自動開通錄制功能、開啟移動設置以及捕捉按鍵信息。

（3）美國國家安全局遭到黑客攻擊

2016年8月，一個之前從未見過的組織宣布它擁有由美國國家安全局（NSA）精英黑客組織所開發的惡意軟件庫，隨后專業安全研究人員就開始展開工作，試圖確定該小組公布的代碼是否真由美國國家安全局所開發。在檢查完自稱“影子中間人”的黑客組織所發布的代碼中的痕跡后，研究人員推斷情況屬實，不過新的文檔似乎直接從源頭證實了代碼的出處。根據愛德華·斯諾登所提供的國家安全局的文件并對其攔截審查后，所公布代碼中的幾個要素與該機構所擁有的手冊和資料的詳細信息相一致。由于黑客工具從始至終都參與其中，因此該工具允許國家安全局執行攔截網絡流量的“中間人”攻擊。

（4）日本多個部門網站因遭到網絡攻擊而癱瘓

日本厚生勞動省和財務省等部門的網站1月31日出現癱瘓，無法閱覽，疑似受到了DDo S攻擊，日本財務省和眾議院的網站也出現了癱瘓。日本金融廳網站主頁1月31日深夜起陷入了難以瀏覽的狀況。該廳發現自稱是國際黑客組織“匿名者”的人物在網上發布了暗示網絡攻擊的聲明。

（5）韓國軍方情報中樞疑遭朝鮮黑客入侵

韓國國會國防委所屬的共同民主黨金振杓議員辦公室收到的國防部報告資料顯示，被推測為朝鮮方面的黑客攻擊了韓國國防情報網集結的位于京畿道龍仁的國防整合數據中心（DIDC）服務器。DIDC于2015年2月創立，是對軍隊各網頁和內部網等軍方所有IT服務進行整合與管理的地方，統管全國幾十個軍方電算所的情報系統，這意味著韓國軍方的情報“神經中樞”被敵軍侵入。據韓國國防部披露，共有3 200多臺電腦在此次黑客攻擊中感染惡意代碼，其中有2 500多臺外網電腦和700臺內網電腦。

1.4.3 軍隊頻繁遭受網絡攻擊

在網絡空間安全領域，2016年軍隊成為網絡空間安全的重災區，成為黑客攻擊重點目標的同時，一些軍隊也可以利用網絡空間武器攻擊他國網絡系統。

（1）美海軍利用潛艇攻擊他國網絡系統

2016年8月，美國政府被發現曾利用潛艇切斷了俄羅斯海岸的水下通信電纜、錄下前蘇聯軍隊之間傳遞的消息。如今，美國一些潛艇則安裝了先進的天線，它們可以用于攔截、操控他人的通信流量，特別是對于微弱或未加密的網絡。而在2015年解密了斯諾登曝光文件的Adam Weinstein和William Arkin指出，美國首屈一指的黑客潛艇——USSAnnapolis被發現跟美國極為廣泛的網絡監控相關。

斯諾登曝光的其中一份幻燈片顯示，美海軍展開的數次所謂的“計算機網絡開發”其中許多都是潛艇攻擊的后果。不過比起海軍的下一個目標，上面的都只能算是小兒科。美海軍的新一個目標就把潛艇變成水下無人機的母艦，這樣即便是在離海岸比較近的地方也能操控潛艇，或對離潛艇比較遠的地方也能展開網絡干擾或網絡攻擊。

（2）韓空軍官網遭黑客攻擊

2016年5月，韓國空軍官網主頁遭受黑客攻擊，已經連續13天無法正常使用。韓國軍方已經對惡意代碼進行了分析。

韓國軍方透露，空軍主頁主要為現役軍人使用，黑客欲通過惡意代碼使軍人電腦成為“僵尸電腦”，此后可傳播惡意代碼。由于韓國軍方核心網絡國防網直接與作戰指揮等相連接，因此黑客可能是為進入國防網而攻擊空軍主頁。

（3）烏克蘭軍隊操縱榴彈炮的APP被種木馬

2016年12月，與俄羅斯支持的叛軍作戰的烏克蘭軍方，其士兵的安卓手機被埋藏著木馬的APP入侵，而這個APP正是軍隊指揮官鼓勵士兵在戰場中使用安裝的。

俄羅斯軍方情報部門或是烏克蘭叛軍，可通過這個APP跟蹤烏克蘭炮兵部隊的部署，將其暴露在反攻打擊的目標之下。網絡安全公司 CrowdStrike 公布了由“Fancy Bear”黑客小組實施的這一入侵行為，而“Fancy Bear”正是2016年入侵美國民主黨國家委員會的黑客小組，其幕后支持者被業內安全專家認為是俄羅斯政府。同時CrowdStrike公司認為“Fancy Bear”與俄羅斯軍方情報機構有關聯，并在東烏克蘭和俄羅斯邊境緊密與俄羅斯軍方合作。

1.4.4 基礎設施領域持續遭受網絡攻擊

2016年，針對能源、醫療、銀行金融系統和供應鏈等關鍵基礎設施的網絡攻擊甚為活躍，攻擊的復雜性與頻度持續升高。關鍵信息基礎設施面臨較大風險隱患，網絡安全防護能力弱，難以應對高精度的網絡攻擊。一旦受到攻擊，可能產生重大網絡安全事件，甚至引發交通中斷、金融紊亂、電力癱瘓，嚴重威脅經濟社會乃至國家安全。

（1）銀行系統遭受網絡連續攻擊

2016年6月，黑客入侵了俄羅斯央行，并從該行的代理商行竊取了20億盧布（約合3 100萬美元）；12月，俄羅斯國有銀行VTB銀行（俄羅斯外貿銀行）證實稱，其網站已經受到網絡攻擊侵擾。這也是最近曝光的最新攻擊活動。

2016年11月，俄羅斯5家主流大型銀行遭遇長達兩天的DDo S攻擊。來自30個國家或地區、2.4萬臺計算機構成的僵尸網絡持續不間斷發動強大的DDo S攻擊。

卡巴斯基實驗室提供的分析表明，超過50%的僵尸網絡位于以色列、中國臺灣、印度和美國。每波攻擊持續至少1個小時，最長的不間斷持續超過12個小時，攻擊的強度達到每秒發送66萬次請求。卡巴斯基實驗室還指出，有些銀行反復遭受攻擊。

（2）電信領域遭受持續攻擊

2016年10月，新加坡電信運營商星和宣布，該公司遭受蓄意網絡攻擊，造成其部分家庭寬帶用戶在10月22日和24日斷網。星和公司表示，已經分析了斷網事故的網絡日志，發現其域名服務器（DNS）遭到了蓄意攻擊，有可能是惡意的DDo S攻擊。DDo S攻擊利用來自多個系統的海量信息“淹沒”服務器來攻擊網站，讓其無法回應用戶的正當訪問。

2016年11月，德國電信遭遇了一次大范圍的網絡故障，受影響用戶達90萬，也是繼2016年10月的美國網絡大規模癱瘓事件后的又一大規模DDo S攻擊。

自德國電信遭到攻擊后，英國赫爾地區的寬帶用戶，又被網絡攻擊切斷了網絡連接。赫爾地區的電信運營商表示，黑客針對自己部署特定型號的路由器發動了網絡攻擊，攻擊持續了一段時間，導致大量用戶無法訪問互聯網。問題出現在了合勤科技的AMG1302-T10B路由器上，這款路由器被黑客發現了漏洞。

（3）互聯網領域遭受大規模攻擊

2016年10月，在美國提供動態DNS服務的Dyn DNS遭到了大規模DDo S攻擊，攻擊主要影響其位于美國東區的服務。此次攻擊導致許多使用Dyn DNS服務的網站遭遇訪問問題，其中包括Git Hub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、Sound Cloud、Spotify和Shopify。攻擊導致這些網站一度癱瘓，Twitter甚至出現了近24小時零訪問的局面。

攻擊者在實戰場地上向我們演示了新的攻擊武器，對于網絡安全從業者而言，這毫無疑問是個壞消息。在可預見的未來，還會有更多的新型DDo S攻擊手段被開發出來，2017年這個領域的攻防還會繼續對抗下去。

1.4.5 工控領域網絡威脅持續不斷

工控領域逐漸成為網絡攻擊的重點，全年工業控制網絡設備漏洞數量仍居高位，工控安全事件逐年增加。

（1）烏克蘭電力供應網絡系統遭到黑客攻擊

2015年12月，烏克蘭電力公司的網絡系統遭到黑客攻擊，導致西部地區大規模停電。烏克蘭官員指出，這是由俄羅斯黑客發起的攻擊。同時，為了讓電力公司的維修部門無法正常工作，黑客利用惡意軟件定時打電話，讓維修人員一直保持忙碌。俄羅斯方面則拒絕承認，認為烏克蘭官員只是希望借此引起國際媒體的注意。

烏克蘭的國家安全局（SBU）表示，俄羅斯的特工在烏克蘭的國家電網中植入了惡意軟件，導致發電站意外關閉。現在，烏克蘭國家安全局聲稱他們已經在其電力網絡中發現了這個惡意軟件，并成功地將其從電網中移除了。烏克蘭地區的多家電力公司同樣也遭受到了拒絕服務攻擊，這使得各大電力公司的呼叫支持中心不堪重負。

這些針對烏克蘭的網絡攻擊也暴露出了美國電力系統的設計缺陷。例如Energetic Bear和Dragonfly等安全威脅，外界廣泛認為這些攻擊事件是由俄羅斯政府在背后進行操作的。

（2）德國核電系統遭受嚴重網絡攻擊

2016年4月，德國Gundremmingen核電站的計算機系統，在常規安全檢測中發現了惡意程序。此惡意程序是在核電站負責燃料裝卸系統的Block B IT網絡中發現的。

據說該惡意程序僅感染了計算機的IT系統，而沒有涉及與核燃料交互的ICS/SCADA設備。核電站表示，此設施的角色是裝載和卸下核電站Block B的核燃料，隨后將舊燃料轉至存儲池。

該IT系統并未連接至互聯網，所以應該是有人通過USB驅動設備意外將惡意程序帶進來的，可能是從家中或者核電站內的計算機中。他們并沒有公布該惡意程序的名字，只是說并不嚴重，并將整個事故分級為“N”（表示Normal）。

（3）中東國家遭到定向網絡入侵

2016年8月，卡巴斯基實驗室揭露了針對工控行業的“食尸鬼”網絡攻擊活動，攻擊通過偽裝阿聯酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其他國家的工控組織發起了定向網絡入侵。攻擊使用鍵盤記錄程序Haw Key收集受害系統相關信息。“食尸鬼”攻擊行動使用了商業現成的惡意軟件，雖然沒有創新，但是其結合了社會工程學中人的因素，針對目標機構特定人員進行了成功的定向入侵滲透。