2010年，以百度遭到域名劫持攻擊為標(biāo)志，所有中國(guó)的大型公司和網(wǎng)站都遭到了嚴(yán)重的安全威脅。其中，近乎百分之百的互聯(lián)網(wǎng)公司均遭到了滲透測(cè)試、漏洞掃描、內(nèi)網(wǎng)結(jié)構(gòu)分析等安全事件，其中被黑客成功獲取一定權(quán)限的公司，占總體比例的85%以上。

在傳統(tǒng)企業(yè)領(lǐng)域，高達(dá)90%的企業(yè)內(nèi)網(wǎng)（僅計(jì)算與互聯(lián)網(wǎng)連通的企業(yè)網(wǎng)絡(luò)）被成功侵入過(guò)至少一次。其中遇到惡意代碼（病毒和木馬等）侵入的比例占50%，黑客攻擊和滲透占43%，釣魚(yú)網(wǎng)站攻擊和其它形式安全事件占7%。

圖1 企業(yè)所受攻擊類(lèi)型

攻擊中國(guó)企業(yè)的IP地址，有80%來(lái)自國(guó)外，但由于黑客發(fā)動(dòng)對(duì)企業(yè)的攻擊時(shí)，通常都會(huì)用自己控制的“肉雞”（被黑客控制的服務(wù)器）來(lái)建立代理服務(wù)器，通過(guò)使用多個(gè)代理服務(wù)器來(lái)隱蔽自身的行蹤。在對(duì)中國(guó)企業(yè)發(fā)動(dòng)攻擊的國(guó)外IP中，相信有很大一部分是由國(guó)內(nèi)黑客控制的。

在所有受攻擊的企業(yè)和單位中，國(guó)家機(jī)關(guān)、涉密單位、科研院校、金融單位等涉及國(guó)家機(jī)密和資金安全的，遭到黑客攻擊的技術(shù)含量和攻擊頻率都遠(yuǎn)高于普通企業(yè)。有的涉密單位，甚至在一個(gè)月之內(nèi)就遭到多個(gè)不同組織的攻擊窺測(cè)，攻擊次數(shù)高達(dá)近千次；有的承擔(dān)軍隊(duì)研究任務(wù)的院校，其研究人員的個(gè)人電腦也成為攻擊的對(duì)象，攻擊者企圖通過(guò)對(duì)U盤(pán)、移動(dòng)硬盤(pán)、手機(jī)的攻擊，將其作為跳板，進(jìn)而攻擊涉密網(wǎng)絡(luò)，一旦成功則造成機(jī)密資料外泄。

國(guó)內(nèi)企業(yè)的惡性競(jìng)爭(zhēng)，已經(jīng)延伸到了黑客領(lǐng)域。在瑞星專(zhuān)家抽樣檢查的100家企業(yè)中，有近20%感染了非常復(fù)雜的木馬程序，這些木馬會(huì)定時(shí)把企業(yè)資料傳送給企業(yè)的競(jìng)爭(zhēng)者，使其在新產(chǎn)品發(fā)布、市場(chǎng)規(guī)劃、廣告發(fā)布等領(lǐng)域失去先機(jī)。

缺乏自主知識(shí)產(chǎn)權(quán)的軟硬件產(chǎn)品，成為威脅國(guó)內(nèi)企業(yè)安全最根本的軟肋。在瑞星服務(wù)過(guò)的高等級(jí)涉密企業(yè)中，有95%以上在關(guān)鍵業(yè)務(wù)、核心環(huán)節(jié)應(yīng)用了國(guó)外軟硬件產(chǎn)品，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、自動(dòng)控制設(shè)備等，這些設(shè)備有的只有國(guó)外派來(lái)的工程師才能管理，中方僅能進(jìn)行日常維護(hù)；有的外方不給源代碼和核心功能說(shuō)明，導(dǎo)致出現(xiàn)了安全漏洞之后，害怕影響正常業(yè)務(wù)運(yùn)行而聽(tīng)之任之等現(xiàn)象，這些都給國(guó)內(nèi)企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)。

國(guó)內(nèi)企業(yè)安全概況

根據(jù)相關(guān)資料，國(guó)內(nèi)約有正式注冊(cè)的企業(yè)4000萬(wàn)家，其中的3%為大中型企業(yè)，他們擁有較完備的信息化系統(tǒng)，通過(guò)網(wǎng)絡(luò)處理自己的業(yè)務(wù)和流程。目前，金融、零售、互聯(lián)網(wǎng)等產(chǎn)業(yè)的信息化程度較高，黑客攻擊的目標(biāo)也集中于這些范圍。

隨著中國(guó)經(jīng)濟(jì)的發(fā)展，許多國(guó)內(nèi)廠(chǎng)商開(kāi)始走向國(guó)際市場(chǎng)，其經(jīng)營(yíng)情況、商業(yè)情報(bào)對(duì)國(guó)外競(jìng)爭(zhēng)對(duì)手來(lái)說(shuō)，有著菲比尋常的意義。尤其在一些重要的領(lǐng)域，例如能源、有色金屬、精密機(jī)械制造等行業(yè)，一旦出現(xiàn)商業(yè)機(jī)密外泄，很容易給企業(yè)帶來(lái)毀滅性的損失，甚至威脅到國(guó)家利益。

尤其在最近幾年，中國(guó)企業(yè)開(kāi)始利用國(guó)家儲(chǔ)備的外匯進(jìn)行全球資源整合、購(gòu)買(mǎi)礦山和能源，在國(guó)外建立食品生產(chǎn)基地等，在進(jìn)行這些工作時(shí)，一旦被國(guó)外利益相關(guān)方掌握機(jī)密情報(bào)，則會(huì)付出巨大的經(jīng)濟(jì)代價(jià)。根據(jù)媒體報(bào)道，在國(guó)外公司與中國(guó)鋼鐵行業(yè)的鐵礦石價(jià)格談判中，由于機(jī)密資料外泄，給整個(gè)行業(yè)帶來(lái)了巨大的經(jīng)濟(jì)損失。

除了企業(yè)之外，政府、軍隊(duì)、教育科研等機(jī)關(guān)單位，也成為黑客攻擊的重要對(duì)象，尤其是一些涉密等級(jí)高、內(nèi)網(wǎng)中含有機(jī)密信息的單位，更容易遭到來(lái)自網(wǎng)絡(luò)的攻擊。根據(jù)瑞星的估算，僅僅在2010年，針對(duì)這些涉密網(wǎng)絡(luò)的攻擊就高達(dá)10萬(wàn)次以上，其中90%的攻擊IP地址來(lái)自國(guó)外，美國(guó)、日本、韓國(guó)是排行最前的三個(gè)攻擊來(lái)源地。

圖2 對(duì)涉密網(wǎng)絡(luò)發(fā)動(dòng)攻擊的IP來(lái)源 #p#

對(duì)于媒體和普通網(wǎng)民來(lái)講，可能對(duì)新浪、百度這樣擁有巨大用戶(hù)群的公眾型互聯(lián)網(wǎng)公司非常關(guān)注。但對(duì)于整個(gè)安全行業(yè)，這些公眾型公司并不擁有對(duì)網(wǎng)民至關(guān)重要的核心數(shù)據(jù)，所以即使受到攻擊，最多僅是在幾個(gè)小時(shí)內(nèi)，用戶(hù)無(wú)法正常訪(fǎng)問(wèn)自己喜歡的網(wǎng)站。

由于國(guó)內(nèi)企業(yè)的特殊情況，很多企業(yè)在遭到攻擊后不愿意及時(shí)公開(kāi)，而且不能及時(shí)彌補(bǔ)黑客攻擊所利用的漏洞、弱點(diǎn)，這往往會(huì)造成同一個(gè)公司的內(nèi)網(wǎng)被多次攻擊，用戶(hù)資料出現(xiàn)外泄等情況屢有發(fā)生。

根據(jù)公安部發(fā)布的消息，2010年前11個(gè)月，全國(guó)共破獲黑客案件180起，抓獲網(wǎng)絡(luò)黑客460余名，國(guó)內(nèi)安全形勢(shì)十分嚴(yán)峻。據(jù)媒體報(bào)道，大概在同時(shí)間段內(nèi)，江蘇警方破獲比較重要的黑客案件27起，抓獲“黑客”犯罪嫌疑人106人。

圖3 受攻擊企業(yè)地區(qū)分布

企業(yè)遭攻擊的七種常見(jiàn)類(lèi)型

互聯(lián)網(wǎng)的發(fā)展和普及，為企業(yè)的工作帶來(lái)極大便利，同時(shí)，也為黑客入侵和病毒傳播提供了契機(jī)。因此，需要對(duì)企業(yè)信息系統(tǒng)存在的安全缺陷、可能受到的黑客攻擊、容易被黑客利用的不安全行為等進(jìn)行深入了解和分析。

一般來(lái)說(shuō)，黑客攻擊企業(yè)的主要方法有DDOS攻擊、病毒植入、域名劫持等七大類(lèi)。

1.阻斷用戶(hù)訪(fǎng)問(wèn)

這種攻擊通常發(fā)生在大型網(wǎng)站和熱門(mén)網(wǎng)站。2010年初，百度遇到的就是典型的“阻斷用戶(hù)訪(fǎng)問(wèn)”型攻擊，黑客替換了百度的域名解析記錄，使用戶(hù)無(wú)法訪(fǎng)問(wèn)搜索服務(wù)器。此次攻擊持續(xù)時(shí)間長(zhǎng)達(dá)幾個(gè)小時(shí)，造成的損失無(wú)法估量。

能造成“阻斷用戶(hù)訪(fǎng)問(wèn)”效果的攻擊手段，除了“域名劫持”之外，更普遍的手段是DDOS攻擊（Distributed Denial of Service,分布式拒絕服務(wù)攻擊）。黑客控制位于全球的成千上萬(wàn)臺(tái)機(jī)器，同時(shí)向攻擊目標(biāo)發(fā)起連接請(qǐng)求，這些請(qǐng)求在瞬間超過(guò)了服務(wù)器能夠處理的極限，導(dǎo)致其它用戶(hù)無(wú)法訪(fǎng)問(wèn)這些網(wǎng)站。

DDOS攻擊技術(shù)含量比較低，即使技術(shù)不高的人只要花錢(qián)購(gòu)買(mǎi)肉雞，從網(wǎng)上下載工具就可以進(jìn)行，因此在所有針對(duì)企業(yè)的攻擊中，此類(lèi)攻擊占據(jù)了很大的比例。而且這一類(lèi)攻擊普通網(wǎng)民可以感受到，很容易被媒體報(bào)道，通常會(huì)引起業(yè)界的關(guān)注。

最新案例：2011年3月，韓國(guó)40個(gè)主要網(wǎng)站遭到分布式拒絕服務(wù)（DDOS）攻擊，涉及總統(tǒng)府青瓦臺(tái)、外交通商部、國(guó)家情報(bào)院等，以及著名搜索引擎NAVER等企業(yè)。

[[20371]]

（韓國(guó)警察廳官員介紹黑客攻擊政府網(wǎng)站的情況）

2.在網(wǎng)站植入病毒和木馬

攻擊企業(yè)網(wǎng)站，并在服務(wù)器上植入惡意代碼，是另一種應(yīng)用廣泛的黑客攻擊形式。根據(jù)瑞星“云安全”系統(tǒng)提供的結(jié)果，2010年，國(guó)內(nèi)有250120個(gè)網(wǎng)站被植入了病毒或者木馬（以域名計(jì)算）。教育科研網(wǎng)站、網(wǎng)游相關(guān)網(wǎng)站和政府網(wǎng)站，是最容易被攻擊植入木馬的三個(gè)領(lǐng)域，分別占總體數(shù)量的27%、17%和13%。

圖4 被植入木馬病毒的網(wǎng)站類(lèi)型 #p#

3.將域名劫持到惡意網(wǎng)站

“域名劫持”也是企業(yè)用戶(hù)經(jīng)常遇到的一種攻擊方式，通常表現(xiàn)為“網(wǎng)民輸入一個(gè)網(wǎng)站的網(wǎng)址，打開(kāi)的卻是另一個(gè)網(wǎng)站”。這種現(xiàn)象可以分為以下多種情況：

①黑客通過(guò)病毒修改了用戶(hù)客戶(hù)端電腦的HOST列表，使一個(gè)正確的域名對(duì)應(yīng)了錯(cuò)誤的IP地址。

②用戶(hù)所在的局域網(wǎng)，比如小區(qū)寬帶、校園網(wǎng)、公司局域網(wǎng)等被ARP病毒感染，病毒劫持了局域網(wǎng)內(nèi)的HTTP請(qǐng)求。

③網(wǎng)站所在的服務(wù)器機(jī)房遇到了ARP攻擊。

④黑客通過(guò)技術(shù)手段，篡改了域名注冊(cè)商管理的服務(wù)器。

前三種情況僅影響部分用戶(hù)，第四種情況影響的是所有網(wǎng)民，所以危害最大。

4.內(nèi)部賬號(hào)和密碼外泄

由于網(wǎng)絡(luò)管理員通常管理多個(gè)密碼，有的管理員會(huì)把密碼記在紙上，貼在辦公室里；或者使用自己的生日、電話(huà)號(hào)碼等常見(jiàn)數(shù)字；或者有的管理員會(huì)使用密碼管理工具，保存在自己的個(gè)人PC上，這些行為都很容易被黑客攻擊并竊取，取得密碼后會(huì)進(jìn)行下一步的操作。

5.內(nèi)網(wǎng)關(guān)鍵信息外泄

黑客在對(duì)一個(gè)企業(yè)進(jìn)行攻擊前，通常會(huì)對(duì)其進(jìn)行長(zhǎng)時(shí)間的觀(guān)察和探測(cè)，例如：企業(yè)內(nèi)網(wǎng)使用了哪些軟硬件產(chǎn)品、版本型號(hào)、各自存在的漏洞；人員布置方面的信息，如多久對(duì)服務(wù)器進(jìn)行一次例行檢查、具體的安全管理規(guī)范是怎樣的。

有的黑客甚至?xí)P(guān)注“一旦發(fā)生安全事故，網(wǎng)絡(luò)管理員的的責(zé)任追究”等具體細(xì)節(jié)。因?yàn)橛械钠髽I(yè)規(guī)定了嚴(yán)苛的安全管理制度，管理員一旦發(fā)現(xiàn)安全事故，會(huì)傾向于掩蓋，而不是追查，這樣就給黑客的進(jìn)一步入侵帶來(lái)方便。

瑞星建議，為了保證企業(yè)內(nèi)部的關(guān)鍵信息安全，應(yīng)該制定切合實(shí)際的安全制度，并保證認(rèn)真執(zhí)行，這樣才能最大限度保證關(guān)鍵信息不會(huì)外泄。

6.商業(yè)機(jī)密外泄

隨著市場(chǎng)競(jìng)爭(zhēng)的激烈，有的企業(yè)會(huì)雇傭黑客獲取競(jìng)爭(zhēng)對(duì)手的情報(bào)，從而在市場(chǎng)競(jìng)爭(zhēng)中占據(jù)先機(jī)。2010年3月，澳大利亞三大鐵礦石生產(chǎn)商的公司網(wǎng)站遭到來(lái)源不明的網(wǎng)絡(luò)黑客的攻擊。媒體報(bào)道猜測(cè)，這些攻擊可能與鐵礦石價(jià)格大幅上漲有關(guān)。

在國(guó)內(nèi)，此類(lèi)帶有商業(yè)目的的黑客攻擊，近年來(lái)出現(xiàn)飛速上升的趨勢(shì)。2006年，黑客葛某開(kāi)始利用木馬程序侵入馮某開(kāi)的視頻轉(zhuǎn)換軟件公司的電腦，期間馮某多次查殺了葛某研究出的木馬程序，葛某想到自己花費(fèi)大量精力研究出的程序竟被查殺，便想伺機(jī)報(bào)復(fù)。

2010年1月份，葛某向馮某發(fā)了一封攜帶其所做木馬病毒的郵件，成功將木馬遠(yuǎn)程控制程序植入馮某的電腦，并對(duì)馮某電腦中的系統(tǒng)信息進(jìn)行篡改，造成經(jīng)濟(jì)損失達(dá)8萬(wàn)余元人民幣。同時(shí)，葛某通過(guò)遠(yuǎn)程控制程序陸續(xù)從馮某電腦中竊取其公司的核心軟件源代碼，后多次匿名向馮某發(fā)送敲詐郵件索要200萬(wàn)美元，并威脅將馮某的核心技術(shù)公布給其同行業(yè)競(jìng)爭(zhēng)者。11月，馮某報(bào)案，葛某被捕。

像這種竊取商業(yè)機(jī)密，敲詐錢(qián)財(cái)，或出售給競(jìng)爭(zhēng)對(duì)手獲利的行為，如果黑客“低調(diào)”處理的話(huà)，受害人很難及時(shí)發(fā)現(xiàn)。2010年底，瑞星應(yīng)邀對(duì)100家企業(yè)內(nèi)網(wǎng)進(jìn)行安全檢查，發(fā)現(xiàn)20%有過(guò)被入侵的痕跡，其中有的甚至在關(guān)鍵服務(wù)器被植入了木馬程序，黑客可以對(duì)其進(jìn)行遠(yuǎn)程操控。而這些中招的企業(yè)，此前盡管發(fā)現(xiàn)過(guò)一些蛛絲馬跡，但并沒(méi)有加以重視。

7.關(guān)鍵業(yè)務(wù)受影響

隨著網(wǎng)絡(luò)應(yīng)用與內(nèi)網(wǎng)數(shù)據(jù)庫(kù)的對(duì)接，有些互聯(lián)網(wǎng)公司的核心服務(wù)器會(huì)暴露于互聯(lián)網(wǎng)外網(wǎng)，對(duì)于這些服務(wù)器的保護(hù)，應(yīng)該是從事相應(yīng)業(yè)務(wù)公司的重點(diǎn)。例如，有些學(xué)校的畢業(yè)證查詢(xún)系統(tǒng)被黑客攻擊，黑客可以修改畢業(yè)生記錄，進(jìn)而收取錢(qián)財(cái)。

案例一：

2010年6月，北方民族大學(xué)教務(wù)處網(wǎng)絡(luò)管理人員發(fā)現(xiàn)，有人利用網(wǎng)絡(luò)侵入該校教務(wù)管理系統(tǒng)所在的服務(wù)器，私自篡改學(xué)生成績(jī)。經(jīng)過(guò)與之前打印出來(lái)的學(xué)生成績(jī)統(tǒng)計(jì)表對(duì)比,發(fā)現(xiàn)其中34名學(xué)生的成績(jī)由先前的不及格被篡改為及格。該校教務(wù)處立即向銀川市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)報(bào)案。

警方調(diào)查發(fā)現(xiàn)，犯罪嫌疑人通過(guò)實(shí)施跨國(guó)遠(yuǎn)程操作、發(fā)展下線(xiàn)代理來(lái)實(shí)施犯罪行為，追查難度很大，經(jīng)過(guò)警方辦案人員在全國(guó)多個(gè)省、市、自治區(qū)開(kāi)展偵查、取證工作之后，7月24日，銀川警方一舉抓獲李春江等全部犯罪團(tuán)伙成員。

據(jù)了解，李春江在掌握破解高校教務(wù)系統(tǒng)漏洞的黑客技術(shù)后，先后向國(guó)內(nèi)50多所高校上傳木馬程序，幫助近百名學(xué)生篡改近200門(mén)課程成績(jī)，從中牟利10萬(wàn)余元。

案例二：

2011年農(nóng)歷大年初二，“潛伏”某游戲網(wǎng)站長(zhǎng)達(dá)兩年多，利用網(wǎng)絡(luò)漏洞修改消費(fèi)點(diǎn)數(shù)牟利400余萬(wàn)元的四川綿陽(yáng)籍人宋延熙，在從國(guó)外回老家舉行婚禮前一天，被江蘇省南京市公安局玄武分局抓獲歸案。據(jù)了解，宋延熙現(xiàn)供職于新加坡某大學(xué)，此前曾在中科院擔(dān)任研究員，具有博士學(xué)歷背景。

據(jù)宋延熙供述，從2008年開(kāi)始，他運(yùn)用自己的計(jì)算機(jī)知識(shí)，侵入杭州某游戲網(wǎng)站后臺(tái)，尋找到后臺(tái)漏洞并修改“虛擬銀行”數(shù)據(jù)，將產(chǎn)生的虛擬貨幣轉(zhuǎn)至其朋友的支付寶中，進(jìn)而向玩家出售，從中獲利400余萬(wàn)元。#p#

涉密網(wǎng)絡(luò)的安全威脅

在企業(yè)級(jí)用戶(hù)當(dāng)中，有一類(lèi)用戶(hù)對(duì)安全要求極其嚴(yán)苛，他們一旦出問(wèn)題將會(huì)關(guān)系到國(guó)計(jì)民生，這就是國(guó)內(nèi)的涉密單位。在用戶(hù)分類(lèi)中，瑞星把政府機(jī)關(guān)、軍隊(duì)、軍工、與軍事研究相關(guān)的科研院校、金融、基礎(chǔ)公用設(shè)施單位等，列為涉密網(wǎng)絡(luò)，為其提供最高等級(jí)的安全產(chǎn)品和安全服務(wù)。

目前，在京部委級(jí)別以上的單位中，有70多家使用瑞星的產(chǎn)品，其中包括國(guó)務(wù)院、中組部、中聯(lián)部、國(guó)稅總局、北京市政府等重量級(jí)單位。瑞星在關(guān)系到國(guó)計(jì)民生的重要行業(yè)中實(shí)現(xiàn)了全覆蓋，例如金盾工程、金審工程、中國(guó)海關(guān)等。

根據(jù)中央國(guó)家機(jī)關(guān)政府采購(gòu)中心發(fā)布的消息，2007年—2010年中央國(guó)家機(jī)關(guān)各部門(mén)及其下屬各級(jí)行政事業(yè)單位通過(guò)協(xié)議供貨采購(gòu)的通用軟件中，防病毒軟件占通用軟件采購(gòu)總金額的5.10%，其中國(guó)產(chǎn)瑞星防病毒軟件的采購(gòu)量最大，占比57.41%。

（注：本章列舉的涉密網(wǎng)絡(luò)安全問(wèn)題，均不涉及具體案例，僅為相關(guān)網(wǎng)絡(luò)管理員參考之用）

1.涉密網(wǎng)絡(luò)安全威脅概況

目前，幾乎所有的重要單位都實(shí)現(xiàn)了機(jī)密資料的無(wú)紙化儲(chǔ)存，對(duì)內(nèi)網(wǎng)用戶(hù)實(shí)行了嚴(yán)格的身份與權(quán)限控制，大大提高了辦公效率。與此同時(shí)，其中儲(chǔ)存的重要資料和信息也被黑客窺測(cè)，存在外泄和不當(dāng)應(yīng)用的風(fēng)險(xiǎn)。

從實(shí)際經(jīng)驗(yàn)來(lái)看，黑客和病毒手段已經(jīng)成為獲取情報(bào)、制造混亂的最佳工具。2010年9月，“超級(jí)工廠(chǎng)（Stuxnet）”病毒在全球引起軒然大波。這是全球第一個(gè)能真正破壞工業(yè)自動(dòng)化系統(tǒng)的病毒，有美國(guó)媒體報(bào)道說(shuō)，該病毒是由美國(guó)情報(bào)部門(mén)協(xié)助以色列制造的，在伊朗散播后造成極其嚴(yán)重的后果，遭病毒攻擊的核電站有數(shù)千臺(tái)離心機(jī)運(yùn)行異常，使得伊朗核計(jì)劃遭到挫敗。

圖5 國(guó)內(nèi)個(gè)人用戶(hù)感染“超級(jí)工廠(chǎng)（Stuxnet）”病毒的趨勢(shì)圖（關(guān)于企業(yè)的數(shù)據(jù)涉及機(jī)密不能公布）

同時(shí)，在對(duì)一些重要企業(yè)的安全檢查中，瑞星也曾經(jīng)發(fā)現(xiàn)過(guò)存在類(lèi)似安全問(wèn)題，比如在自動(dòng)化控制系統(tǒng)中存在有意留下的漏洞，內(nèi)網(wǎng)中存在編寫(xiě)精巧的“特種木馬”等，由于中方對(duì)很多軟硬件設(shè)備不掌握自主知識(shí)產(chǎn)權(quán)，無(wú)法查看底層代碼，導(dǎo)致遭攻擊的風(fēng)險(xiǎn)在逐漸增加。

在針對(duì)涉密網(wǎng)絡(luò)的攻擊中，有大約10%比例的攻擊從編程風(fēng)格、操作精細(xì)程度、利用的漏洞質(zhì)量等多方面觀(guān)察，個(gè)人黑客無(wú)法做到如此水平，很可能是國(guó)外有組織有目的的情報(bào)收集和破壞活動(dòng)。

2.涉密網(wǎng)絡(luò)比較常見(jiàn)的攻擊手法

與普通企業(yè)網(wǎng)絡(luò)不同，涉密網(wǎng)絡(luò)通常與互聯(lián)網(wǎng)進(jìn)行了物理隔絕，因此，針對(duì)涉密網(wǎng)絡(luò)的攻擊也有著自身的獨(dú)特特點(diǎn)：

1.利用U盤(pán)等設(shè)備進(jìn)行跳板攻擊

以“超級(jí)工廠(chǎng)”病毒為例，它采用的就是跳板攻擊的方法，病毒會(huì)感染個(gè)人電腦上使用的U盤(pán)，當(dāng)帶毒U盤(pán)被拿到內(nèi)網(wǎng)中使用的時(shí)候，病毒隨之進(jìn)入內(nèi)網(wǎng)。有美國(guó)媒體猜測(cè)說(shuō)，該病毒是美國(guó)特工投放到在伊朗核電站工作的俄國(guó)專(zhuān)家電腦里的，從技術(shù)角度講，這種猜測(cè)有一定道理。

2.利用未公開(kāi)的0day漏洞

所有水平比較高的黑客攻擊，幾乎都利用了不為人所知的系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)庫(kù)漏洞，業(yè)內(nèi)把這些漏洞稱(chēng)為“0day漏洞”。利用的未知漏洞越多，感染攻擊能力越強(qiáng)，越難被阻止。以“超級(jí)工廠(chǎng)”病毒為例，其利用的7個(gè)漏洞中，只有1個(gè)是微軟曾經(jīng)公布并發(fā)布補(bǔ)丁的，其余的都屬于“0day漏洞”。

值得一提的是，目前在互聯(lián)網(wǎng)上存在著“0day漏洞”的灰色交易，有人專(zhuān)門(mén)挖掘各種漏洞，將其進(jìn)行出售而獲利。有的黑客組織就從地下市場(chǎng)購(gòu)買(mǎi)這些漏洞，將其用于自己編寫(xiě)的木馬中

3.針對(duì)特定對(duì)象編寫(xiě)，普通殺毒軟件很難查殺

本質(zhì)上講，殺毒軟件僅是用來(lái)應(yīng)對(duì)感染規(guī)模大、數(shù)量多的普通型病毒攻擊，如果單獨(dú)針對(duì)特殊的用戶(hù)編寫(xiě)，嚴(yán)格控制感染人數(shù)，普通殺毒軟件的效力就會(huì)大大下降。

2005年6月，以色列爆發(fā)了歷史上最大的商業(yè)間諜案，涉案人包括以色列國(guó)家安全總局的前特工。他們編寫(xiě)木馬植入受害人公司，竊取商業(yè)機(jī)密、市場(chǎng)計(jì)劃等，他們的雇主包括一些最著名的公司。

在此案中，涉案人通過(guò)編寫(xiě)特殊的木馬程序，僅植入少數(shù)的幾家公司。由于這些木馬運(yùn)行并沒(méi)有任何異常，而且有的木馬在完成任務(wù)后會(huì)自行銷(xiāo)毀，抹掉自己存在的痕跡，導(dǎo)致丟失商業(yè)秘密的受害者在競(jìng)爭(zhēng)中處于劣勢(shì)。

由于這些木馬在植入前都會(huì)通過(guò)主流殺毒軟件的掃描測(cè)試，普通殺毒軟件無(wú)法掃描出異常；而且在當(dāng)時(shí)，多數(shù)殺毒軟件通常不具有“主動(dòng)防御”功能，導(dǎo)致殺毒公司無(wú)法獲取樣本，無(wú)法將其加入病毒庫(kù)，從而無(wú)法將其查殺。#p#

企業(yè)應(yīng)采取的防護(hù)措施

對(duì)于企業(yè)信息安全的保護(hù)，應(yīng)當(dāng)從企業(yè)自身建設(shè)和安全產(chǎn)品兩方面共同著力。一方面，信息安全不再是分散的、技術(shù)上的簡(jiǎn)單概念，還應(yīng)該與企業(yè)管理、基礎(chǔ)建設(shè)、應(yīng)急處理等宏觀(guān)設(shè)計(jì)統(tǒng)一起來(lái)；另一方面，安全廠(chǎng)商需要進(jìn)一步思考在如何將自身各項(xiàng)產(chǎn)品線(xiàn)進(jìn)行長(zhǎng)期規(guī)劃、有機(jī)結(jié)合，從而針對(duì)不同行業(yè)、不同規(guī)模、不同安全級(jí)別的企事業(yè)及政府單位，量身定制完整的安全解決方案。

1.企業(yè)安全防護(hù)措施建議

除了使用質(zhì)量良好的軟硬件系統(tǒng)之外，有些共通的防護(hù)措施和思路，值得所有企業(yè)參考和借鑒：

1.安全風(fēng)險(xiǎn)評(píng)估

企業(yè)應(yīng)對(duì)自己的信息資產(chǎn)作安全風(fēng)險(xiǎn)評(píng)估，了解自身所面臨的安全威脅，主要來(lái)自外部，還是來(lái)自企業(yè)內(nèi)部？對(duì)企業(yè)威脅最大的攻擊方式，是竊取資料，是用戶(hù)無(wú)法訪(fǎng)問(wèn)自己的網(wǎng)站，還是用戶(hù)容易訪(fǎng)問(wèn)到被仿冒的網(wǎng)站？

2.針對(duì)急迫的問(wèn)題迅速擬定執(zhí)行解決方案

進(jìn)行了風(fēng)險(xiǎn)評(píng)估之后，應(yīng)該在短時(shí)間內(nèi)針對(duì)急迫的問(wèn)題迅速擬定執(zhí)行解決方案，由公司整體組織和進(jìn)行。由于有些安全風(fēng)險(xiǎn)無(wú)法在內(nèi)部自行消除，所以需要求助于外部力量。比如：有的公司名字和品牌在搜索引擎上搜索，排在前列的都是仿冒的釣魚(yú)網(wǎng)站，這時(shí)候就需要公司的市場(chǎng)部門(mén)去與相關(guān)公司溝通，針對(duì)用戶(hù)發(fā)布安全警示等等。

3.根據(jù)不同行業(yè)特性規(guī)劃安全風(fēng)險(xiǎn)對(duì)策

安全風(fēng)險(xiǎn)對(duì)策應(yīng)根據(jù)不同行業(yè)的特性來(lái)規(guī)劃，例如：網(wǎng)游企業(yè)面臨的危險(xiǎn)，主要是DDOS攻擊和用戶(hù)資料失竊；搜索引擎行業(yè)面臨搜索質(zhì)量因?yàn)椴《静倏v惡化，有的廣告主會(huì)發(fā)布帶毒網(wǎng)頁(yè)等等。這些都需要建立嚴(yán)格的審核機(jī)制和應(yīng)對(duì)流程。

4.建立嚴(yán)格的權(quán)限管理體系和資料審核機(jī)制

很多企業(yè)的安全風(fēng)險(xiǎn)因素來(lái)自?xún)?nèi)部，離職員工的惡意入侵，低權(quán)限員工試圖獲取超越權(quán)限的資料等等，這些都需要內(nèi)部建立嚴(yán)格的權(quán)限管理體系和資料審核機(jī)制，單純依靠安全軟硬件無(wú)法徹底消除類(lèi)似風(fēng)險(xiǎn)。

目前，包括瑞星在內(nèi)的安全廠(chǎng)商都會(huì)提供專(zhuān)業(yè)的安全風(fēng)險(xiǎn)評(píng)估、協(xié)助制定安全流程和規(guī)則等服務(wù)，如用戶(hù)遇到自己無(wú)法解決的安全問(wèn)題時(shí)，可向?qū)I(yè)廠(chǎng)商求助。

2.針對(duì)涉密網(wǎng)絡(luò)的系列安全解決方案

針對(duì)涉密性網(wǎng)絡(luò)，瑞星產(chǎn)品做出了很多改進(jìn)，在保證產(chǎn)品方便使用的同時(shí)，也加強(qiáng)了對(duì)病毒和黑客攻擊的防御能力。

1.針對(duì)U盤(pán)等移動(dòng)設(shè)備的防護(hù)

瑞星殺毒軟件網(wǎng)絡(luò)版有強(qiáng)大的U盤(pán)防御功能，可以利用智能主動(dòng)防御技術(shù)，阻止病毒在U盤(pán)、移動(dòng)硬盤(pán)等移動(dòng)介質(zhì)上建立惡意文件，從而阻斷黑客利用U盤(pán)進(jìn)行的跳板式攻擊。

2.共享瑞星“云安全”成果

瑞星擁有亞洲最大的云安全數(shù)據(jù)中心，每年可以處理10億量級(jí)的新增病毒樣本。通過(guò)遍及全國(guó)的“云安全”探針，可以捕獲在國(guó)內(nèi)互聯(lián)網(wǎng)上活躍的惡性病毒、木馬等惡意代碼。瑞星企業(yè)用戶(hù)通過(guò)共享“云安全”系統(tǒng)帶來(lái)的成果，可以在最短時(shí)間內(nèi)擁有狙擊惡意病毒的能力。

3.獨(dú)有智能主動(dòng)防御功能

由于很多惡意代碼、病毒和木馬是專(zhuān)門(mén)針對(duì)某個(gè)企業(yè)編寫(xiě)，利用病毒庫(kù)特征碼查殺的方式很難阻止和清除。無(wú)論是2005年的以色列商業(yè)木馬間諜案，還是2010年的“超級(jí)工廠(chǎng)”病毒事件，都驗(yàn)證了這一點(diǎn)。

瑞星采用了獨(dú)有的智能主動(dòng)防御技術(shù)，它把病毒和木馬常見(jiàn)的行為特征建立數(shù)據(jù)庫(kù)，通過(guò)機(jī)器自動(dòng)辨別這些行為特征，從而擁有了主動(dòng)攔截和查殺惡性病毒的能力。實(shí)驗(yàn)室試驗(yàn)表明，利用微軟0day漏洞的病毒，在瑞星加入針對(duì)性的行為特征后，無(wú)論怎么變形，被查殺的概率也高達(dá)99%以上。即使像“超級(jí)工廠(chǎng)”那樣的病毒，也無(wú)法逃過(guò)瑞星主動(dòng)防御的攔截和查殺。

4.強(qiáng)大的“反掛馬”能力

現(xiàn)在很多木馬都會(huì)通過(guò)掛馬網(wǎng)站傳播，針對(duì)這類(lèi)病毒，瑞星專(zhuān)門(mén)開(kāi)發(fā)了“反掛馬”功能，并應(yīng)用到產(chǎn)品之中。該功能通過(guò)智能辨別掛馬網(wǎng)站進(jìn)行攻擊的行為特征，可以主動(dòng)攔截掛馬網(wǎng)站對(duì)用戶(hù)電腦的攻擊。由于很多黑客是先滲入在敏感單位工作的員工個(gè)人電腦，進(jìn)而通過(guò)個(gè)人電腦跳轉(zhuǎn)來(lái)攻擊敏感網(wǎng)絡(luò)。瑞星“反掛馬”功能會(huì)在員工個(gè)人電腦上建立第一道防線(xiàn)，阻止黑客的攻擊。

5.中國(guó)人自己的殺毒軟件，具備完整知識(shí)產(chǎn)權(quán)

目前，瑞星是國(guó)內(nèi)技術(shù)水平最高、產(chǎn)品線(xiàn)最長(zhǎng)，可提供全套安全解決方案的專(zhuān)業(yè)安全廠(chǎng)商，瑞星最重要的優(yōu)勢(shì)之一，就是旗下所有產(chǎn)品都擁有完全自主的知識(shí)產(chǎn)權(quán)，并且可以與微軟、思科、IBM等主流廠(chǎng)商的軟硬件系統(tǒng)完美兼容。

在實(shí)際操作中，很多企業(yè)所在的領(lǐng)域，只有國(guó)外廠(chǎng)商提供應(yīng)用軟硬件系統(tǒng)，這些產(chǎn)品的知識(shí)產(chǎn)權(quán)并不會(huì)向中方開(kāi)放，存在安全問(wèn)題、漏洞的風(fēng)險(xiǎn)很大。而瑞星產(chǎn)品中的入侵檢測(cè)、智能主動(dòng)防御等，可以在一定程度上提高這些廠(chǎng)商應(yīng)對(duì)安全風(fēng)險(xiǎn)的能力。

總結(jié)

瑞星專(zhuān)家指出，2010年，百度被黑和“超級(jí)工廠(chǎng)”病毒的出現(xiàn)，已經(jīng)預(yù)示著企業(yè)安全進(jìn)入到了一個(gè)全新的階段，以前傳統(tǒng)的企業(yè)安全防護(hù)體系面臨嚴(yán)峻挑戰(zhàn)。未知代碼、釣魚(yú)式仿冒攻擊和社會(huì)工程攻擊等，已經(jīng)成為威脅企業(yè)安全的重要因素。

同時(shí)，新型終端在企業(yè)網(wǎng)絡(luò)中的應(yīng)用也在加劇這個(gè)趨勢(shì)。2010年，iPad、智能手機(jī)等移動(dòng)終端在企業(yè)網(wǎng)絡(luò)中得到廣泛應(yīng)用，這些設(shè)備存儲(chǔ)量小，通常會(huì)采用“云計(jì)算”的方式來(lái)處理企業(yè)相關(guān)事務(wù)。而且在這些設(shè)備上，通常會(huì)有3G連接和WiFi連接兩種方式，如果在隔絕互聯(lián)網(wǎng)的企業(yè)內(nèi)網(wǎng)中使用，就可能成為黑客攻擊的跳板。

因此，在可以預(yù)見(jiàn)的時(shí)間段內(nèi)，安全廠(chǎng)商必須付出更多的努力，才能遏制企業(yè)安全防護(hù)脆弱的尷尬局面。