0. 引言

美國《防務新聞》周刊網站2月16日發表題為"五角大樓就破壞性網絡攻擊發出警告"的報道稱，五角大樓的二號人物昨天在舊金山舉行的信息安全會議上警告說，對特定目標開發"有毒惡意軟件"的程序員應警惕軟件失控。人們普遍認為，美國國防部副部長威廉·林恩的講話是向去年據稱對伊朗核電站離心機造成破壞的"震網"蠕蟲病毒的開發者發出的警告信息。

1. "震網"

"震網"（Stuxnet）是一種Windows平臺上的計算機蠕蟲病毒，2010年6月首次被白俄羅斯安全公司VirusBlokAda發現。"震網"同時利用了7個最新漏洞進行攻擊，7個漏洞中，有5個針對Windows系統（其中4個是全新的零日漏洞），2個針對SIMATIC  WinCC系統。

"震網"的傳播途徑是首先感染外部主機；然后感染U盤，利用快捷方式文件解析漏洞，傳播到內部網絡；在內部網絡中，通過快捷方式解析漏洞、RPC遠程執行漏洞、打印機后臺程序服務漏洞等，實現聯網主機之間的傳播；通過偽裝RealTek 和JMicron兩大公司的數字簽名，順利繞過安全產品的檢測；最后抵達安裝了SIMATIC  WinCC軟件的主機，展開攻擊。"震網"病毒能控制關鍵過程并開啟一連串執行程序，最終導致整個系統自我毀滅。

據賽門鐵克的研究表明，截至2010年8月6日，幾個受影響的主要國家中，受感染的電腦伊朗62,867臺、印尼13,336臺、印度6,552臺、美國2,913臺、澳大利亞2,436臺、英國1,038臺、馬來西亞1,013臺、巴基斯坦993臺。

賽門鐵克安全響應中心高級主任凱文·霍根（Kevin Hogan）指出，在伊朗約60%的個人電腦被感染，這意味著其目標是當地的工業基礎設施。#p#

2. "震網"特點

與以往的安全事件相比，"震網"攻擊呈現出以下特點：

（1） 攻擊目標明確

通常情況下，蠕蟲的攻擊價值在于其傳播范圍的廣闊性和攻擊目標的普遍性。"震網"的攻擊目標既不是開放主機，也不是通用軟件，而是運行于Windows平臺，常被部署在與外界隔離的專用局域網中，被廣泛用于鋼鐵、汽車、電力、運輸、水利、化工、石油等核心工業領域，特別是國家基礎設施工程的SIMATIC WinCC數據采集與監視控制系統。

據賽門鐵克統計，2010年7月，伊朗感染"震網"病毒的主機占25%，到9月下旬，已達到60%。據稱"震網"專門定向破壞伊朗核電站離心機等要害目標，具有明確的地域性和目的性。

專家稱，"震網"是一次精心謀劃的攻擊，具有精確制導的"網絡導彈"能力。

（2） 采用技術先進

"震網"病毒一下子利用了微軟操作系統的4個零日漏洞，使每一種漏洞發揮了其獨特的作用；"震網"運行后，釋放出兩個驅動文件偽裝RealTek和JMicron的數字簽名，以躲避殺毒軟件的查殺，使"震網"具有極強的隱身和破壞力。"震網"無需借助網絡連接進行傳播，只要電腦操作員將被病毒感染的U盤插入USB接口，病毒就會在神不知鬼不覺的情況下取得工業用電腦系統的控制權，代替核心生產控制電腦軟件對工廠其他電腦"發號施令"。

專家稱，一旦"震網"病毒軟件流入黑市出售，后果將不堪設想。#p#

3. "震網"行為分析

（1） "震網"攻擊目標的高端性顯示其攻擊為國家行為

一些專家認為，"震網"病毒是專門設計來攻擊伊朗重要工業設施的。卡巴斯基高級安防研究員戴維·愛姆說，"震網"與其它病毒的不同之處，在于它瞄準的是現實世界，"震網"被設計出來，純粹就是為了搞破壞的；德國網絡安全研究員拉爾夫·朗納堅信"震網"被設計出來，就是為了尋找基礎設施并破壞其關鍵部分，是一種百分之百直接面向現實世界中工業程序的網絡攻擊，絕非所謂的間諜病毒，而是純粹的破壞病毒，"震網"病毒的高端性，意味著只有一個"國家"才能把它開發出來。

（2） "震網"病毒的影響正向全球蔓延

專家稱，"震網"病毒的目標是伊朗，但是也在世界各地的很多電腦系統中被發現。

今年2月，五角大樓二號人物在舊金山舉行的一次信息安全會議上警告說，對特定目標開發"有毒惡意軟件"的程序員應警惕軟件失控。他說："開發者可能因疏忽而失去對一種破壞性工具的控制并使其蔓延出去。我們必須嚴肅對待偶然的泄露情況，以防錯誤插進電腦的小優盤等對全球經濟造成災難性影響。"林恩還說，威脅程度分為很多級，"破壞"是最嚴重的一級；最可怕的情況是恐怖組織在黑市上從黑客那里購買到惡意軟件；幾十名穿著人字拖鞋、喝著'紅牛'飲料的程序員能夠造成很多破壞。

（3） "震網"病毒僅是工業間諜木馬的冰山一角

"震網"病毒是第一例公開曝光的工業間諜木馬，類似的工業間諜和商業間諜木馬其實并不在少數。明槍易躲，暗箭難防，已經在光天化日下曝光的"震網"病毒并不可怕，真正應該警惕的是大量隱蔽潛伏的間諜木馬，包括各個企事業單位，都應該特別重視內網的信息安全。一些國內網民最常用的軟件中存在嚴重的安全漏洞，并且可能已經被黑客利用，而這些軟件自身又不具備檢測和修復漏洞的能力，如果在企事業內網中任由員工電腦使用安全性薄弱的軟件，很可能造成信息泄露的嚴重后果。

（4）  "震網"病毒可能影響我國眾多企業

據某國內知名安全軟件公司技術部門分析，"震網"病毒專門針對西門子公司的WinCC監控與數據采集系統進行攻擊，由于該系統在我國的多個重要行業應用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控，一旦攻擊成功，則可能造成這些企業系統運行異常，甚至造成商業資料失竊、停工停產等嚴重事故。

（5）  "震網"是一種能夠改變戰局的蠕蟲病毒

"震網"病毒的出現和傳播，威脅的不僅僅是自動化系統的安全，他使自動化系統的安全性上升到了國家安全的高度。

美國國防部副部長威廉·林恩在接受英國《金融時報》專訪時說，美國國防部將網絡空間視為繼陸地、海洋、空中和太空之后的第五維戰場，從網絡間諜到信息網絡攻擊和病毒（如可導致物理破壞的"超級工廠病毒"(震網)）的威脅越來越嚴重。他認為，美國削減國防預算總額時機不對，因為國家仍處于戰爭狀態。

"震網"，一種能改變戰局的蠕蟲病毒，它將開啟一個虛幻網絡戰的新時代，同時也向人們警示確保網絡安全的重要性和建立網絡安全秩序的緊迫性。#p#

4. 啟示

"震網"病毒攻擊事件警示我們：

（1） 物理隔離的專用局域網并非牢不可破

"震網"病毒攻擊的目標都是未受到良好防護的"內部"系統，這些系統通常被認為其區域防護已經足夠，而網絡的安全性取決于其最弱的環節。

"震網"病毒通過U盤傳播，自動識別攻擊對象，具有極強的隱身和破壞能力，可以自動取得自動化系統的控制權限，從而竊取保密信息、破壞甚至控制系統的運行等。完全突破了物理隔離對專用局域網的保護。

"震網"病毒的出現將使內部網絡受到攻擊者的關注和研究，隨之將可能引發出現更多新的攻擊方式，值得我們注意。

（2） 采用專用軟件的工業控制系統同樣能被攻破

"震網"病毒攻擊與以往的蠕蟲病毒攻擊截然不同，其最終目標既不是開放的主機，也不是通用軟件，而是專用的工業控制軟件，做到了尋常病毒所不能做到的攻擊。"震網"病毒突破了工業專用局域網的物理限制，在全球至少光顧了4.5萬個工業控制系統，使工業系統安全面臨嚴峻的挑戰。

（3） 數字簽名的安全性問題亟待解決

"震網"病毒盜用正規軟件的數字簽名，偽造驅動程序，提高自身的隱藏能力，躲避殺毒軟件的查殺，從而順利繞過安全產品的檢測，通過一套完整的入侵和傳播流程，突破工業專用局域網的物理限制，開展其有目的的破壞性攻擊。

"震網"事件，給攻擊者、信息安全人員、企業管理者等帶來了一種信息安全觀念和意識上的沖擊，使我們對網絡安全又有了新的認識，他提醒我們信息安全是一個全方位的問題，各種攻擊可能來自于任何一個角度，攻擊中所采用的漏洞和傳播手段可能會不斷翻新，攻擊思路和攻擊視野可能會越來越廣泛，信息安全工作任重而道遠。

"震網"事件提醒我們應當做好以下安全防范工作：

（1） 加強內部網絡系統的安全防范

有關部門和企業應加強主機，尤其是內網主機的安全防范，不能僅僅憑借內網隔離，而疏于防范；加強企業內網安全建設，建立完善的安全管理制度和策略，通過"深度防御"實現有效的安全防護；重視網絡服務的安全性，及時更新操作系統補丁，關閉不必要的網絡服務，不啟用弱口令和默認口令，安裝安全防護軟件；加強移動存儲設備安全管理，關閉計算機的自動播放功能，使用可移動設備前先進行病毒掃描，為移動設備建立病毒免疫，使用硬件式U盤病毒查殺工具。

（2） 提高專用工業控制軟件安全意識

目前，工業以太網和現場總線標準均為公開標準，熟悉工控系統的程序員開發有針對性的惡意攻擊代碼并不存在很高的技術門檻，針對行業專用軟件的漏洞挖掘和攻擊，可能上升到國家戰略層面的關鍵行業和敏感行業，因此，必須對工業控制網絡的信息安全薄弱環節進行信息安全防護加固。我們應盡快提高專用工業控制軟件安全意識，對企業中的核心計算機，隨時跟蹤所用軟件的信息安全問題，及時更新或加固存在漏洞的軟件，保證軟件應用的安全、可靠性。

加強技術創新，堅持自主研發、自主創新的道路，使國產軟件滿足我國本土需要的同時，具有更高的安全性和可靠性，以從容應對大型系統、復雜系統及特殊領域自動化系統面臨的安全性考驗。

（3） 強化電子簽名數字證書應用安全管理

"震網"事件同時也暴露出我國電子簽名數字證書應用中存在的安全問題，需要相關部門盡快提出應對措施。

在我國應盡快建立電子簽名證書策略管理體系，以電子簽名證書策略體系為核心，逐步建立起我國的數字證書分類、分級管理制度、策略和技術方法；在證書策略體系的基礎上，建立相應的電子簽名證書驗證和認證中心（CA）服務質量評估平臺，管理和技術措施雙管齊下，有效地引導和管理電子認證中心（CA）的服務，保證電子簽名數字證書的安全應用，從而保證電子簽名數字證書相關方使用數字證書的合法權益。

最后，作為采取信息安全措施的重要手段，國家有關部門應盡快開展針對工業控制系統的信息安全檢查、整改工作，提高工業控制系統信息安全防范意識，加強對工業控制系統的信息安全管理，保證我國重要工業控制系統運行的安全可靠。

作者簡介：

嚴霄鳳（1964－），通信專業碩士，中國賽迪實驗室信息安全測試部副總經理，主要從事信息安全相關標準、規范和測評方法的研究，長期從事信息系統測試和信息安全測評工作。