安全的痛

　　安全，全世界都在谈论安全问题。战争、饥荒、经济、生化、环境、医疗、食品，几乎世界上每分每秒都有安全事件发生，甚至有些可能牵涉到某些阴谋。安全问题范围很大，我们将这些安全问题范围缩小一点，本期就仅仅限于讨论计算机领域的网络安全问题。

　　若干年前，我们谈论的计算机安全问题通常仅局限在PC机病毒传播，如今随着网络、云计算的发展，传统计算机安全问题已经演化成为网络安全问题。在高手眼中，网络安全漏洞几乎随处可见，这些漏洞轻则造成系统崩溃，重则造成资金损失、信息外泄，甚至造成国家经济利益和安全损失。曾几何时，每当一个晓得网络安全事件爆发时，都会引发巨大反响，成为大众街头巷尾的谈资。如今，即便这些网络安全事件引发巨大损失，大众对此却已经漠然麻木。但自从斯诺登爆料以来，街头巷尾，大家都开始谈论那些安全事件，不过那些也仅仅是寻常百姓的谈资，真正的资深人士却对此三缄其口，至多仅限于就某些小规模事件进行浅显的分析，给出一个相对简单的解决方案。

　　由于互联网的普及，个人终端设备的安全事件已经进化到互联网、云计算安全，但与互联网相关的事件仍然与个人终端有着密不可分的联系，比如说微信、携程、阿里、网易等互联网企业的宕机事件，这些应用已经与我们的生活密不可分，而围绕着这些应用所发生的安全事件最终还是需要通过个人终端设备呈现出来。因此我们可以感受到互联网对我们生活起到的巨大作用。

　　尽管这些安全事件的起因各不相同，但仍然为我们敲响了警钟：互联网是一个潘多拉盒子，充满了希望，也充满了危机。网络世界不是现实世界，看得到，摸得着，暗潮汹涌，防不胜防，但我们不应该因噎废食，相反，我们更应该积极应对，建立好相关安全标准和机制。这样才能进步发展，而非原地踏步甚至封闭倒退。当然，我们也需要正确面对现实，安全是相对的，没有绝对的安全。

　　这些网络安全事件屡次将人们击昏，深深地伤害了每一个无辜者。可能很多人都了解一些计算机网络安全事件，但我们还是要先梳理一下近两年的网络安全事件，温故知新一下。请参看近两年的计算机网络事件列表。

　　2014年网络安全事件中，接近60%会造成信息泄露，而其他几个事件对企业、国家机构等部门也会造成较大危害，比如造成系统崩溃、破坏数据、终断网络、窃取重要信息等。这些安全事件不仅仅针对某一国家、组织、企业或者个人，而是全球性的。此外，还有一些安全事件由于其爆发规模较小，没有引起足够的轰动，所以在此就不做过多赘述。

　　虽然2014年我们总结的网络安全事件并不是很多，但是这些事件已经比较具有典型代表性。它们足以带给人们极大的震撼和冲击，但事情并没有结束。2015年我们迎来了更多的网络安全事件。它们与2014年的网络安全事件又有哪些异同点呢？接下来，再让我们点评一下2015年上半年的一部分比较重要和有影响的全球网络安全事件。

　　关注智能移动设备安全

　　近两年，网络安全事件频发，带来的损失也是巨大的，网络安全被提到了前所未有的高度。尽管这些年保护安全的相关技术取得很大进步，但如前文所说，安全只是相对的，不可能100%保证安全。

　　尤其是在移动设备增多的情况下，目前安卓系统移动设备安全事件是重灾区。近日，以色列某安全机构发布全球近10亿部安卓手机用户被黑客通过彩信漏洞侵入，黑客可通过该漏洞盗取用户密码，遥控摄像头等。阿里安全研究实验室也于近日发现一个名为“WiFi杀手”的安卓系统漏洞。利用该漏洞，黑客可对开启了WiFi的安卓手机远程攻击，窃取手机内的照片、通讯录等重要信息，影响市面上大部分安卓设备。这两个漏洞已于近期被修复。但随着手机应用增多，针对手机的安全事件绝不会减少，只会日益增多。

　　攻击模式发生变化

　　除了移动设备安全事件外，我们能够从上述众多网络安全事件中看到很多APT、DDoS等网络攻击模式的变化。我们以近日再次爆发的DDoS攻击事件为例简单介绍一下，提醒大家关注。

　　Akamai最新的《2015年第一季度互联网发展状况安全报告》显示，与2014年同期相比，2015年第一季度，分布式拒绝服务(DDoS)攻击数量翻倍，攻击力度较小但持续时间更长。

　　报告显示，在2015年第一季度观察到的DDoS攻击量达到了历史新高，较2014年第一季度同比增加了一倍多，比上一季度环比增加35%以上，但攻击特点也发生了变化。去年的攻击一般为高带宽与短时长攻击，但在2015年第一季度，典型的DDoS攻击不足10Gbps，且持续时间超过24小时。

　　此外，一季度内共发生了8次大规模攻击，每次均超过100Gbps。虽然与2014年第四季度相比，本季度的大规模攻击减少了1次，但此类大型攻击在一年前还比较罕见。2015年第一季度观测到的最大型DDoS攻击峰值为170Gbps。

　　DDoS攻击的途径也发生了改变。本季度，简单服务发现协议(Simple Service Discovery Protocol，SSDP)攻击占所有攻击途径的20%以上，而此类攻击在2014年第一或第二季度完全未被观察到。在数百万台家庭与办公室设备中(包括路由器、媒体服务器、网络摄像机、智能电视与打印机)，SSDP默认设置为开启，因此这些设备可在网络中相互发现，建立通信与协作。如果不加以防护或配置错误，这些基于家庭的联网设备将被攻击用作反射器。

　　2015年第一季度，游戏行业遭受的DDoS攻击再次高于其他任何行业。自2014年第二季度以来，游戏一直是最易遭受攻击的行业，一直占DDoS攻击的35%。软件与技术行业是2015年第一季度内第二最易遭受攻击的行业，占攻击总量的25%。

　　相比2014年第一季度，今年第一季度DDoS攻击总数增加116.5%，应用层(第7层)DDoS攻击量增加59.83%。此外，基础架构层(第3和第4层)DDoS攻击量增加124.69%。而平均攻击时长也增加了42.8%，从17.38小时上升为24.82小时。

　　监测结果显示，目前有7种常见的网络应用攻击途径。借助上述7种途径的网络应用攻击数量高达1.7885亿次。这些途径包括SQLi攻击(SQL注入)、LFI攻击(本地文件包含)、RFI攻击(远程文件包含)、PHPi攻击(PHP注入)、CMDi攻击(命令注入)、JAVAi攻击(OGNL Java注入)以及MFU攻击(恶意文件上传)。

　　2015年第一季度，经由本地文件包含途径(LFI)发起的攻击占网络应用攻击总数的66%以上。三月份针对两家大型零售商的大规模攻击使情况更加恶化，其攻击主要瞄准WordPress RevSlider插件。

　　SQLi攻击(SQL注入)也相当普遍，占网络应用攻击的29%以上。大部分SQLi攻击与旅游和酒店业相关。其他5种攻击途径共占攻击总量的剩余5%。

　　因此，零售业是遭受网络应用攻击的重灾区，媒体与娱乐业、酒店与旅游业则紧随其后。

　　宕机事件频发

　　在众多网络安全事件中，宕机事件除了自身设备不稳定外，也可能因为受到网络攻击。宕机事件国内外均有发生，不知你是否还记得去年的微信服务器停止运作事件？当时微信还发了这样半调侃式的通告：“程序猿正在玩命恢复中”。而近期国内的宕机事件不断，阿里、支付宝、携程的宕机事件相信已经给大家留下了极为深刻的印象。

　　宕机到底是谁的过错？针对这一问题，通常我们首先想到的就是硬件稳定性不够，其次就是网络攻击。企业可以采用软硬件结合的方式，提高服务器可用性；还可以通过冗余，提高服务器性能。此外，企业还可以通过灾备系统备份、恢复重要信息。

　　对于这最后也是最重要的灾备系统，我们要给予重点关注。企业要根据自身条件选择一款适合的灾备系统，这样才能有效避免“数据末日”的到来。

　　无论宕机的起因是什么，宕机都给我们造成了巨大的损失，希望大家予以重视。

　　“互联网+”机遇与危险并存

　　“互联网+”的理念已经传遍全球，各行各业都离不开互联网，尤其是金融和工业生产领域，控制系统也因此容易受到攻击。新型攻击、新型病毒还在不断出现，攻击目标不仅仅是个人或者企业。以往的攻击范围和攻击时间都很有限，如今的攻击呈现出有组织的大规模、持续性网络攻击，针对政府部门，以及国防、金融、能源、航天、运输等重要行业的企业和机构，实施大规模、持续性的网络攻击行动，轻则敏感数据被窃取，造成经济损失，重则带来不可估量的影响，比如厂房仓库爆炸、交通工具碰撞坠毁、瘫痪或摧毁重要目标。

　　这些攻击者或者组织追求的目标大致分为两类：一是出于政治目的，二是受经济利益驱使。不论出于什么目的，他们的行为已经不能与当年的那些单纯炫技的技术“黑客”相提并论了。面对他们，我们决不能掉以轻心，因此各国政府已经把网络安全提升到战略层面，制定了众多相关法律、法规。国家级别的网络安全政策也多次被提及。美国2014年《防务评估报告》首次明确网络部队的建设目标，俄罗斯、以色列、日本等都在扩大网络部队规模。各国都在加强网络武器和新型网络对抗技术研发和网络战演习。虽然各国都开始重视网络安全，但是由于攻击方式更为多样，网络安全事件出现得更加频繁，2015年这种有组织的大规模网络攻击事件也将更为普遍。

　　立足网络 强化管理

　　全球互联网用户30亿，我国互联网用户高达近7亿。就如同我国积极推进亚洲基础设施投资银行建立一样，中国在经济领域需要更多元化的金融体系来满足其经济发展。在中国快速发展的网络领域面前，中国同样也需要更多的网络资源。网络资源配置争端将会更频繁地出现。各国都会制定网络规则，但最终会通过一系列探讨，各网络资源应用大国会共同制定出一套详尽的网络资源使用规则。

　　2014年—2015年，国内外信息安全企业加快并购整合拆分进程，针对网络安全威胁不断加强技术研发，推出一系列更加智能的信息安全设备和服务。同时，面对愈演愈烈的网络攻击和网络犯罪，政府、金融、能源等重要行业的信息安全需求大幅增长，这将带动市场的快速发展。预计，2015年信息安全产业将会有飞速发展。

　　2015年，我国网络安全法治建设进程也将显著加快。安全领域相关人士建议，可加快修订原有法律，在刑法修订中增加关于网络恐怖主义的相关规定，修订互联网信息服务管理办法，加强针对新网络应用建立有效的信息内容管控手段。

　　令人欣慰的是，在围绕关键信息基础设施保护、跨境数据流动、信息技术产品和服务供应链安全等一系列重大问题上，全国人大和相关单位开展更深入的研究，《网络安全法》制定取得阶段性成果。诸如此类的安全领域规范建立将有助于我国网络安全法制化管理，降低管理难度。

　　记者手记 意识也很重要

　　除了软件安全防护外，一些安全厂商还为用户提供了新的硬件防护产品，比如近期启明星辰推出的新UTM产品和IBM的灾备系统。通过这些软硬件的融合防护解决方案，用户就如同穿上了一身铠甲，从头到脚有了全面防护。但即便如此，如果员工或者这些安全设备的管理人员的安全意识淡漠，仍然有可能造成重大安全事故，因此还是需要加强人员的安全意识，持续进行安全培训。这样才可能保障业务不间断，信息不外泄。

　　随着“互联网+”对经济社会作用的日益加深，网络信息服务已经成为信息社会的基础性服务。围绕着这一基础性服务，信息安全正逐步为个人、企业、国家机构所重视。前文所列网络安全事件也已经表明很多安全事件会上升到国家安全层面上。因此，从2014年到2015年，我们不仅看到了个人对信息安全重视程度的提高，更看到了国家加强信息安全的一系列举措，这对于提升信息安全观念，促进企事业单位加强IT安全建设，起到了重大作用。

　　链接

　　2014年网络安全事件

　　事件1 1月21日，中国互联网DNS大劫难，约85%的用户遭遇了DNS故障。

　　事件2 2月，比特币交易站Mt.Gox受攻击破产，损失估计达到4.67亿美元。

　　事件3 3月，携程漏洞事件，泄露用户银行卡信息

　　事件4 4月，黑客可利用“心脏出血”漏洞获取用户信息。

　　事件5 4月，某快递公司1400万信息泄露。

　　事件6 5月，eBay数据的大泄露。

　　事件7 9月，Shellshock漏洞可造成数据损失、网络关闭。

　　事件8 9月，500万谷歌账户信息被泄露。

　　事件9 10月，飓风熊猫本地提权工具可影响所有Windows系统。

　　事件10 11月，赛门铁克揭秘间谍工具regin。

　　事件11 12月，索尼影业公司被黑客攻击。

　　事件12 12月，12306用户数据泄露含身份证及密码信息。

　　事件13 12月美国两家航空公司遭黑客攻击，部分常飞旅客里程数失效。

　　2015年网络安全事件

　　事件1 1月6日，全球第二大比特币交易网站Bitstamp疑遭攻击暂停服务。

　　事件2 黑客提供iCloud攻击工具，苹果火速修复漏洞。

　　事件3 1月7日，德国总理发言人表示德国政府网站遭黑客入侵。

　　事件4 1月8日，抢票APP火车票达人曝漏洞泄露300万密码。

　　事件5 1月9日，微软安全研究人员发现新型银行木马Emotet盗取德国网民网银证书。

　　事件6 1月9日，攻击索尼的朝鲜黑客故意留下线索。

　　事件7 1月11日，法国多家网站被黑客攻击现“我不是查理”字样。

　　事件8 1月12日，黑客入侵瑞士银行索要1万欧元未果，称将公布客户数据。

　　事件9 1月12日，美近9000联邦机构设施面临网络攻击风险。

　　事件10 1月12日，谷歌曝光Win8.1漏洞。

　　事件11 1月13日，“伊斯兰国”黑客窃得美国中央指挥部Twitter账户。

　　事件12 1月14日，美军中央司令部推特被黑。

　　事件13 1月15日，法国网络遭攻击，近19000个网站瘫痪。

　　事件14 1月17日，中美海军开战消息系黑客作祟。

　　事件15 1月26日，苹果表态：愿意接受中方网络安全审查。

　　事件16 1月26日，俄罗斯约会网站泄露2000万用户数据。

　　事件17 1月26日，马航官网被黑，黑客组织蜥蜴队宣称对此事负责。

　　事件18 1月27日，Google(谷歌)今日公布数个苹果“零日”漏洞。

　　事件19 1月27日，Facebook宕机事件。

　　事件20 1月28日，谷歌被揭曾向FBI提交维基解密员工资料。

　　事件21 Linux Glibc幽灵漏洞允许黑客6程获取系统权限。

　　事件22 1月28日，韩国一名女大学生为了解入伍前男友消息入侵军方网站。

　　事件23 1月29日，斯诺登爆料加拿大情报机构每天跟踪数百万上传下载。

　　事件24 1月29日，研究人员发现某手机助手软件本地提权与WiFi6程管理的认证机制可被绕过。

　　事件25 1月30日，《华尔街日报》报道称，美国缉毒局多年监控数百万本国司机。

　　事件26 2月11日，十大知名连锁酒店泄露大量房客开房信息。

　　事件27 2月27日，研究发现海康威视监控设备存严重漏洞，部门设备被境外IP控制。

　　事件28 3月11日，苹果App Store、iTunes Store、Mac App Store，以及iBooks Store服务宕机11小时。

　　事件29 3月27日，研究发现某运营商“通信助理”系统未经授权，即可查看运营商的各种行为。

　　事件30 3月30日，研究发现某汽车厂商云服务存在漏洞，黑客可以编写程序获取任意车主的信息和控制密码。

　　事件31 4月22日，超30省市曝安全管理漏洞，数千万社保用户敏感信息或遭泄露。

　　事件32 5月1日，世界贸易组织/EXPO，匿名者攻击了WTO的子域名，泄露近2000个员工数据，当天2015米兰EXPO官方售票网站的服务器也宕机。

　　事件33 5月3日，红牛（马来西亚）官方网站被涂鸦。

　　事件34 5月7日，MadAdsMedia被黑客入侵，所有的访客均被重定向到Adobe Flash网站。每天至少有12500个用户受到影响，其中日本、美国、澳大利亚地区最为严重。

　　事件35 5月9日，香港中银、东亚银行，两大银行网站遭到DDoS攻击，黑客勒索比特薄，若不交赎金将进一步瘫痪网站。

　　事件36 5月11日，黑客劫持了星巴克顾客的信用卡信息，窃取其中的钱财。

　　事件37 5月11日，网易骨干网络遭受攻击，导致网易旗下部分服务器无法正常使用。

　　事件38 5月13日，APT28攻击了TD Bank、美国银行、UAE Bank、非洲联合银行。

　　事件39 5月19日，维基百科无法访问。

　　事件40 5月21日，CareFirst BlueCross BlueShield（联邦医疗保险服务商）华盛顿D.C.地区的用户数据被黑客窃取，包括用户名、生日、邮件地址、用户ID。

　　事件41 5月26日，印度音乐网站Gaana被Mark Man攻击，数据库遭泄露。

　　事件42 5月27日，支付宝因杭州市萧山区某地光缆被挖断，导致部分地区的支付宝服务中断数小时。

　　事件43 5月28日，管理日本公共养老金的系统被黑客攻击，约125万用户信息遭泄露。

　　事件44 5月28日，携程和艺龙先后宕机。

　　事件45 6月21日，阿里云香港节点出现权限宕机，业务中断超过12小时，部分用户数据损毁。

　　事件46 6月29日，俄罗斯鞑靼斯坦共和国阿尔法银行？

　　事件47 7月8日，美国纽交所宕机暂停交易超过3小时。

　　事件48 7月3日，爱奇艺服务器宕机。

　　本报记者 赵明