研究网络空间安全攻防战

　　近期，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布了《国家网络空间安全战略》，将网络安全提升到战略层面。
　　美国当地时间1月11日，美国候任总统特朗普在发布会上首度承认俄罗斯黑客干预美国大选，并表示自己上任后不会再让类似的事故发生。特朗普还表示，将就网络安全组建一个由企业家组成的团队，由前纽约市长鲁迪朱利亚尼负责，定期召开企业家会议，向特朗普介绍网络安全问题和解决方案。
　　经过半个多世纪的发展，以互联网为代表的计算机网络已经成为真正全球意义的信息共享与交互平台，深刻地改变了人类社会政治、经济、军事、日常工作和生活的各个方面。随着信息技术的持续变革推进，计算机网络已不再局限于传统的机与机的互联，而是不断趋向于物与物的互联、人与人的互联，成为融合互联网、社会网络、移动互联网、物联网、工控网等在内的泛在网络。
　　1网络空间成为第五大主权领域空间
　　危害网络空间安全的国际重大事件屡屡发生：2010年，伊朗核电站的工业控制计算机系统受到震网病毒攻击，导致核电站推迟发电;2013年，美国棱镜计划被曝光，表明自2007年起美国国家安全局即开始实施绝密的电子监听计划，通过直接进入美国网际网络公司的中心服务器挖掘数据、收集情报，涉及海量的个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。种种安全事件的发生，凸显了网络空间仍然面临着从物理安全、系统安全、网络安全到数据安全等各个层面的挑战。
　　鉴于传统的网络概念无法涵盖其泛在性及战略意义，美国在2001年发布的《保护信息系统的国家计划》中首次提出了网络空间的表述，并在后续签署的国家安全54号总统令和国土安全23号总统令中对其进行了定义：网络空间是连接各种信息技术基础设施的网络，包括互联网、各种电信网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器。
　　在国内，沈昌祥院士指出网络空间已经成为继陆、海、空、天之后的第5大主权领域空间，也是国际战略在军事领域的演进。方滨兴院士则提出：网络空间是所有由可对外交换信息的电磁设备作为载体，通过与人互动而形成的虚拟空间，包括互联网、通信网、广电网、物联网、社交网络、计算系统、通信系统、控制系统等。虽然定义有所区别，但是研究人员普遍认可网络空间是一种包含互联网、通信网、物联网、工控网等信息基础设施，并由人机物相互作用而形成的动态虚拟空间。
　　由于网络虚拟空间与物理世界呈现出不断融合、相互渗透的趋势，网络空间的安全性不仅关系到人们的日常工作生活，更对国家安全和国家发展具有重要的战略意义。
　　虽然网络空间安全已经得到普遍重视，但近年来一些新的焦点问题相继显露，例如伪基站导致的诈骗事件频频发生，暴露了通信领域对物理接入安全的忽视;云计算、大数据相关的新概念、新应用的不断出现，使个人数据隐私泄露问题日益凸显;计算和存储能力日益强大的移动智能终端承载了人们大量工作、生活相关的应用和数据，急需切实可用的安全防护机制;而互联网上匿名通信技术的滥用更是对网络监管、网络犯罪取证提出了严峻的挑战。
　　2 一个高水平黑客可使基础设施瘫痪
　　由于互联网的特殊性，其安全威胁也区别于传统安全，网络可实现不对称性攻击。在传统领域，不对称性攻击几乎不可能，但在网络世界，一个高水平的黑客就可以中断一个国家重要的信息网络，使重要基础设施瘫痪。同时，越是高度依赖网络的国家，网络的漏洞就会越多，造成的损失就会越大。
　　在实施网络攻击之后，敌人可能在系统中安装错误数据，造成关键时刻早期预警及其他涉及国家安全的系统失灵;金融或医疗信息可能会被更改，铁路或航空控制系统可能被中断;生产或运输计算机设备过程中可能会有恶意代码被植入，造成不可估量的损失。
　　网络空间面临着从物理安全、系统安全、网络安全到数据安全等各个层面严峻的安全挑战。方滨兴院士提出了网络空间安全的4层次模型，包括设备安全、系统安全、数据安全以及应用安全。
　　物理安全主要是指针对各类硬件的恶意攻击和防御技术，以及硬件设备在网络空间中的安全接入技术。在恶意攻击和防御方面的主要有侧信道攻击、硬件木马检测方法和硬件信任基准等，因此，在设备接入安全方面主要是基于设备指纹的身份认证、信道及设备指纹的测量与特征提取等。此外，物理安全还包括容灾技术、可信硬件、电子防护技术、干扰屏蔽技术等。
　　系统安全主要是指包括系统软件安全、应用软件安全、体系结构安全等方面内容，并渗透到云计算、移动互联网、物联网、工控系统、嵌入式系统、智能计算等多个应用领域，具体包括系统安全体系结构设计、系统脆弱性分析、软件的安全性分析，智能终端的用户认证技术、恶意软件识别，云计算环境下虚拟化安全分析和取证等重要研究方向。同时，智能制造与工业4.0战略提出后，互联网与工业控制系统的融合已成为当前的主流趋势，而其中工控系统的安全问题也日益凸显。
　　网络安全是指保证连接网络实体的中间网络自身的安全，涉及各类无线通信网络、计算机网络、物联网、工控网等网络的安全协议、网络对抗攻防、安全管理、取证与追踪等方面的理论和技术。随着智能终端技术的发展和移动互联网的普及，移动与无线网络安全接入显得尤为重要。
　　数据安全则是指保证数据的机密性、完整性、不可否认性、匿名性等。
　　然而，网络空间安全是一个庞大的网络，其安全基础理论与方法既包括数论、博弈论、信息论、控制论、可计算性理论等共性基础理论，也包括以密码学和访问控制为代表的安全领域特有的方法和技术手段。
　　实际上，概括来说，当前黑客攻击网络的两个主要方面，一个是在信息传输过程中进行窃密，另一方面就是攻击服务器本身，导致其瘫痪或者窃取数据。在网络空间中的攻防战也多体现在这两个方面。
　　3量子密码能保证绝对安全?
　　密码技术是保障网络空间安全的基本手段。多年来，国内外研究人员不断研究推动密码技术的发展。尤其是物联网、云计算、大数据等新型网络形态和服务的兴起，数据安全共享与隐私保护之间的冲突渐增，再加上量子计算对现有计算能力的革新，使基于大整数分解和离散对数的密码体制将不能保证安全性，密码技术迎来了新的挑战。为了应对这些挑战，抗量子密码、全同态加密、可搜索加密、轻量级加密等新兴技术相继被提出。
　　量子计算机的诞生及其量子位数的提升证明了量子计算机原理的正确性和可行性。得益于量子计算机的高速计算能力，科研人员已经研究出能够有效解决离散对数和因子分解的量子算法，这就意味着许多经典加密算法已经无法保证信息的安全有效。
　　为了应对量子计算给现行密码体制带来的挑战，学者们提出了抗量子密码的概念。目前，抗量子密码主要包括量子密码、基于数学问题构建的经典抗量子密码等。
　　量子密码是以量子态为符号实现的密码，其基本思路是利用光子传送密钥信息。相较于传统的密码技术，以海森堡测不准和量子不可克隆原理为基础的量子密码体制在理论上具有无条件安全性，即当运输光子的线路遭到窃听时，会破坏原通信线路之间的相互关系，导致通信中断。
　　我国在量子密码领域也取得了诸多研究成果。2005年，潘建伟研究组发表了关于13公里自由空间纠缠光子分发的研究成果，验证了在地球与外层空间之间分发纠缠光子的可行性。为了克服不完美光源带来的安全漏洞，提高量子密钥分发的安全距离，他们还提出并实现了诱骗态通信技术。到2009年，中国科学技术大学与清华大学的联合小组成功实现了16公里的自由空间量子态隐形传输，证实了自由空间远距离量子隐形传输的可行性。
　　此外，面向云计算领域的高效加密技术、面向物联网应用的轻量级加密技术等也相继发展起来。
　　4云计算下的数据安全
　　云计算技术已被广泛地应用于各个领域，包括城市管理、电子政务、园区服务、医疗卫生、教育、金融等。云计算平台利用虚拟化技术共享计算资源，改变了原来的计算模式，提高了资源的利用率、灵活性和可用性，但由于相同硬件资源承载了更多的计算任务，其虚拟化技术自身的安全问题影响更为突出。
　　云计算环境下针对虚拟机的攻击，可分内部攻击和外部攻击两类。攻击者可以通过虚拟机攻击虚拟机监控器，或者通过虚拟机管理工具攻击虚拟机监控器，从而实现对同一宿主机上的其他虚拟机的攻击。由于上述攻击是利用虚拟机内部漏洞发起，可归为内部攻击。
　　此外，攻击者还可以通过在宿主机安装Rootkit(一种特殊类型的恶意软件)软件，从而控制虚拟机监控器实现对整个虚拟机环境的攻击。由于此类攻击是利用宿主机的漏洞从虚拟机外部发起，称为外部攻击。
　　虚拟化的目标之一，就是通过建立隔离机制来保证虚拟机的安全，而内部攻击是破坏虚拟机的隔离性，从而窃取同一物理主机中其他虚拟机用户的隐私和机密数据。现有内部攻击方面主要围绕攻击的三个步骤展开，即虚拟机环境检测、虚拟机监控器识别以及破坏虚拟机的隔离性。
　　虚拟机监控器保证了虚拟机之间的隔离性，但它本身也存在漏洞。当确定了虚拟机监控器的类型之后，攻击者可以通过该监控器的漏洞或者错误配置对虚拟机系统发起攻击。
　　云计算环境下虚拟机针对上述攻击，现有的防御技术主要包括虚拟机安全监控、虚拟机隔离性保护和虚拟机监控器安全防护三个方面，通过虚拟机监控，发现对虚拟机系统的恶意攻击;通过虚拟机隔离保护，防止对虚拟机隔离性的攻击和破坏;利用虚拟机监控器安全技术，抵御来自虚拟机监控器的攻击。
　　为实现虚拟机安全监控，研究者们分别针对内、外部攻击，提出了多种检测方法，其中比较典型的有虚拟机自省技术和Rootkit检测技术。
　　虚拟机自省技术是指通过虚拟机监控器访问虚拟机内存空间，这样就可以在外部检测虚拟机中的数据，并分析虚拟机的内容，发现内部攻击。根据分析结果，可报告虚拟机异常或自动进行响应。
　　由于外部攻击主要通过Rootkit实现。因此，Rootkit检测对于发现外部攻击至关重要。研究者针对Linux内核研究并实现了一种检测系统，只有用户确认的代码才可以在内核中执行，可防御Rootkit等恶意代码的注入攻击。此外，也有研究者提出通过处理器硬件探测代码执行，并依据可执行的二进制代码规范来识别代码，同时验证代码是否被修改，从而达到检测隐藏Rootkit的目的。
　　虚拟机隔离性保护是指基于虚拟机监控器提供的安全模块，使用强制接入控制技术在虚拟机间建立隔离。因此，虚拟机隔离性保护的本质是通过多租户访问控制技术实现虚拟机的隔离。
　　2016年网络空间大事记
　　2月
　　孟加拉国中央银行在美国纽约联邦储备银行开设的账户2月初遭黑客攻击，失窃8100万美元。据相关执法部门调查，赃款几经分批中转，最终流入菲律宾两家赌场和一名赌团中介商的账户，随后很可能变成一堆筹码，就此消失无踪。
　　4月
　　德国Gundremmingen核电站的计算机系统在常规安全检测中发现了恶意程序。核电站的操作员为防不测，关闭了发电厂。Gundremmingen核电站官方发布的新闻稿称，此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。据说该恶意程序仅感染了计算机的IT系统，而没有涉及到与核燃料交互的ICS/SCADA设备。
　　6月
　　一个包含约220万条恐怖分子与高风险个人及实体记录的数据库被泄露在互联网上。银行、政府及情报机构使用该数据库进行全球范围的风险扫描，数据库信息包括了恐怖分子嫌疑人。虽然欧洲隐私法所强烈限制了访问该数据库的行为，但是仍未知第三方在网上曝光了该数据库的老版本数据。
　　8月
　　继斯诺登泄密风波之后，美国国家安全局(NSA)再次敲响内部威胁警钟。NSA承包商哈罗德马丁于8月27日因窃取国安局数据被捕，马丁与曾揭露美国政府大规模监听行动的斯诺登受雇于同一家公司，马丁还被怀疑掌握了NSA的源代码。调查人员在马丁家中和车内搜出美国政府高度机密文件的复印文本和数字文档。
　　9月
　　雅虎突然宣称其至少5亿条用户信息被黑客盗取，其中包括用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。并建议所有雅虎用户及时更改密码。此次雅虎信息泄露事件被称为史上最大规模互联网信息泄露事件，也让正在出售核心业务的雅虎再受重创。
　　10月
　　恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDoS攻击，从而导致许多网站在美国东海岸地区宕机，如GitHub、Twitter、PayPal等，用户无法通过域名访问
　　这些站点。
　　11月
　　旧金山的Municipal地铁的电脑票价系统遭到黑客攻击，黑客索要100比特币作为赎金。尽管黑客已经开设好比特币钱包等待旧金山地铁的支付，但旧金山地铁并未向黑客支付任何费用，
　　在所有地铁购票机器工作失常后，旧金山地铁干脆开放地铁，允许乘客免费乘坐。
　　12月
　　俄罗斯中央银行官员瑟乔夫证实，该行电脑系统遭到了黑客入侵，犯罪分子从银行的代理账户中窃走了20亿卢布(约合3100万美元)的资金。瑟乔夫透露，黑客是通过伪造一名用户的证书进入这些账户的。紧接着，俄罗斯第二大银行VTB再遭黑客攻击，幸运的是，银行方面的防御体系成功击退了指向其业务系统的DDoS攻击，未造成资金损失。
　　相关
　　脆弱的服务器
　　用来管理全世界互联网的是分布于全球的13台根逻辑域名服务器，1个为主根服务器，放置在美国。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。
　　在面临黑客攻击时，这13台服务器并不是固若金汤。1997年7月，这些域名服务器之间自动传递了一份新的关于因特网地址分配的总清单，然而这份清单实际上是空白的。这一失误导致了因特网上最严重的局部服务中断，数天之内网页无法访问，电子邮件也无法发送。
　　2002年的10月21日下午，这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。超过常规数量30至40倍的数据猛烈地向这些服务器袭来，导致其中的9台不能正常运行。如果攻击的时间再延长一些，攻击再稍微复杂一点，或者再多一台服务器瘫痪，全球互联网将会有相当一部分网页浏览以及邮件服务会彻底中断。
　　2014年1月21日下午，全球大量互联网域名的DNS解析出现问题。中国DNS域名解析系统出现了大范围的访问故障，事故波及全国，有近三分之二的网站不同程度地出现访问故障，百度、新浪等网站也受到了影响。
　　再回过头来看一下建立在这些根服务器上的其他国家的互联网以及其它网络设备是多么的脆弱。2010年6月，震网病毒首次被发现，被称为有史以来最复杂的网络攻击。2012年，《纽约时报》曝料称，震网病毒起源于2006年前后由美国总统小布什启动的奥运会计划。2008年，奥巴马上任后下令加速该计划。震网是第一个专门定向攻击真实世界中基础(能源)设施的蠕虫病毒，比如核电站、水坝、国家电网等。这种病毒可以破坏世界各国的化工、发电和电力传输企业所使用的核心生产控制电脑软件，并且代替其对工厂其它电脑发号施令。
　　在对伊朗的攻击中，震网既能使伊朗的离心机运行失控，还能掩盖发生故障的情况，以 正常运转记录回传给管理部门，造成决策的误判。在2011年的一波攻击中，伊朗纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。