德国提升网络安全威胁等级

① 震网病毒的展望和思考

在传统工业与信息技术的融合不断加深、传统工业体系的安全核心从物理安全向信息安全转移的趋势和背景下，此次Stuxnet蠕虫攻击事件尤为值得我们进一步思考。
这是一次极为不同寻常的攻击，其具体体现是： 传统的恶意代码追求影响范围的广泛性，而这次攻击极富目的性； 传统的攻击大都利用通用软件的漏洞，而这次攻击则完全针对行业专用软件； 这次攻击使用了多个全新的零日漏洞进行全方位攻击，这是传统攻击难以企及的； 这次攻击通过恰当的漏洞顺利渗透到内部专用网络中，这也正是传统攻击的弱项； 从时间、技术、手段、目的、攻击行为等多方面来看，完全可以认为发起此次攻击的不是一般的攻击者或组织。
因此，这次攻击中所采用的多个新漏洞和传播手段，将在接下来很长一段时间内给新的攻击提供最直接的动力。而更大的影响是，事件中显露出来的攻击思路和攻击视野会带来长久的示范效应。它给攻击者、安全研究人员、企业管理者带来的更多是一种安全观念和安全意识上的冲击。一些传统的认识已经略显陈旧，谁能在这一次观念和意识赛跑中认识得更清、看得更远，谁就能在未来一段时间内保持优势。
至少有以下两种新的攻击趋势值得特别关注： 针对行业专用软件的漏洞挖掘和攻击，特别是上升到国家战略层面的关键行业和敏感行业。安天实验室在2013年年初发布的《多家企业网络入侵事件传言的同源木马样本分析报告》中就明确指出：“目前的漏洞分析挖掘的注意点已经不集中于主流厂商，而开始普遍扩散”。另一方面，这些攻击虽然针对软件，但并不一定是利用软件本身的缺陷，安全是一个全方位的问题，攻击可能来自于任何一个角度。 针对企业内部网络，特别是物理隔离的内部专用网络的攻击。这类网络具有较高的安全要求，也更具攻击价值。一般通过U盘等可移动存储设备渗入这类网络的方法是感染式病毒、欺骗、自动播放（Autorun.inf）等。本次出现的快捷方式文件解析漏洞，为此类攻击提供了一种更有效的方法。此外，这种内部网络也将因为本次事件而被攻击者关注和研究，不能排除出现新的攻击方式的可能。 基于上述认识，建议有关部门和企业以此次攻击事件为鉴，进一步加强信息网络和计算机设备的安全管理、制定完善的安全管理方案、形成合理的安全策略、提高安全意识，与安全厂商一同构建坚实的防线，抵御安全威胁。 一些专家认为，Stuxnet病毒是专门设计来攻击伊朗重要工业设施的，包括上个月竣工的布什尔核电站。它在入侵一台个人电脑后，会寻找广泛用于控制工业系统如工厂、发电站自动运行的一种西门子软件。它通过对软件重新编程实施攻击，给机器编一个新程序，或输入潜伏极大风险的指令。专家指出，病毒能控制关键过程并开启一连串执行程序，最终导致整个系统自我毁灭。
2008年，“震网”病毒攻击就开始奏效，伊朗核计划被显着拖延。根据电脑安全公司赛门铁克公司的一份详细报告，到2010年9月29日为止，“震网”病毒在世界范围内感染了10万台主机，其中有6万台位于伊朗，之后伊朗采取了行动，从而无法评估后来的数据。 伊朗半官方的通讯社报道称，这种代号为“震网”的“电脑蠕虫”病毒很可能是伊朗的敌人专门为破坏布什尔核电站而“量身定做”的。（2010年9月30日《中国青年报》）
根据科学和国际安全研究所的统计，位于纳坦兹的大约8000台离心机里有1000台已在2009年底和2010年初被换掉。国际原子能机构说，伊朗在2010年11月中旬暂停了纳坦兹的铀浓缩活动，因为离心机发生技术故障。
2013年3月，中国解放军报再次披露，美国曾利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备。
卡巴斯基的高级安防研究员戴维·爱姆说，Stuxnet与其它病毒的不同之处，就在于它瞄准的是现实世界。他们公司已经和微软联手，查找程序中的编码漏洞，防止新病毒找到它。
爱姆说，通常的大部分病毒像个大口径短枪到处开火，而Stuxnet像个狙击手，只瞄准特定的系统。一旦它们发现了编码缺陷，就好比找到了房子上的天窗，然后用一把羊头镐撬开一个更大的洞。Stuxnet被设计出来，纯粹就是为了搞破坏。
德国网络安全研究员拉尔夫·朗纳（Ralph Langner）已经破解了Stuxnet的编码，并将之公布于众。他坚信Stuxnet被设计出来，就是为了寻找基础设施并破坏其关键部分。他说，这是一种百分之百直接面向现实世界中工业程序的网络攻击。它绝非所谓的间谍病毒，而是纯粹的破坏病毒。
朗纳说，Stuxnet病毒的高端性，意味着只有一个“国家”才能把它开发出来。根据我们所掌握的计算机法医方面证据，它的意图很明显，就是执行破坏性攻击，毁掉大量的内部信息。这并非某个坐在父母家里的地下室里的骇客能干得出来的，这种攻击的来源指向的是一个国家。Stuxnet很可能已经攻击了它的目标，只不过我们还没有接到消息而已。
近日，某国内知名安全公司监测到一个席卷全球工业界的病毒已经入侵我国，这种名为Stuxnet的蠕虫病毒已经造成伊朗核电站推迟发电，目前国内已有近 500万网民、及多个行业的领军企业遭此病毒攻击。某国内知名安全软件公司反病毒专家警告说，我们许多大型重要企业在安全制度上存在缺失，可能促进Stuxnet病毒在企业中的大规模传播。
某国内知名安全软件公司专家表示，这是世界上首个专门针对工业控制系统编写的破坏性病毒，它同时利用包括MS10-046、MS10-061、MS08-067等 7个最新漏洞进行攻击。这7个漏洞中，有5个是针对windows系统，2个是针对西门子SIMATIC WinCC系统。另外在关于微软的5个漏洞中，目前有两个本地提权漏洞仍未修复。 该病毒通过伪装RealTek 与JMicron两大公司的数字签名，从而顺利绕过安全产品的检测。从编写手法上看，该病毒还有很大的改进余地，将来很可能出现同样原理的复杂病毒。
据某国内知名安全软件公司技术部门分析，Stuxnet病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控，一旦攻击成功，则可能造成使用这些企业运行异常，甚至造成商业资料失窃、停工停产等严重事故。
该病毒主要通过U盘和局域网进行传播，由于安装SIMATIC WinCC系统的电脑一般会与互联网物理隔绝，因此黑客特意强化了病毒的U盘传播能力。如果企业没有针对U盘等可移动设备进行严格管理，导致有人在局域网内使用了带毒U盘，则整个网络都会被感染。
Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”。截至目前，Stuxnet病毒已经感染了全球超过 45000个网络，伊朗、印尼、美国、台湾等多地均不能幸免，其中，以伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。
据悉，早在今年7月，某国内知名安全软件公司就监测到了Stuxnet的出现，一直进行跟踪并积极研发出了解决方案，某国内知名安全软件公司安全专家提醒广大政府及企业级用户：一定要严格限制U盘在密级网络中的应用，如果必须使用的，则应该建立使用登记和责任追究制度。另外，某国内知名安全软件公司杀毒软件网络版也针对此病毒，提供了完善的U盘病毒预防、网络内安全管理、恶性病毒扫描.
作为安全厂商，安天呼吁各兄弟厂商一起共建良好的行业环境，不断促进安全技术的良性发展。同时，安天也期盼公众和用户能够对信息安全给予更多的关注。安天坚信保障公众和社会的安全是一家安全厂商义不容辞的使命，但在现阶段仅靠厂商的力量尚不足以解决目前的所有问题。只有各方齐心协力，才能迎来一个更加美好的世界。

② 网络安全分为几个级别

网络安全分为四个级别，详情如下：

1、系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。

2、网络的安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

3、信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上大云自由传翰的信息失控。

4、信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。

(2)德国提升网络安全威胁等级扩展阅读

网络安全的影响因素：

自然灾害、意外事故；计算机犯罪； 人为行为，比如使用不当，安全意识差等；黑客” 行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务计算机病毒、非法连接等；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等。

网络协议中的缺陷，例如TCP/IP协议的安全问题等等。网络安全威胁主要包括两类：渗入威胁和植入威胁。渗入威胁主要有：假冒、旁路控制、授权侵犯。

③ 德国为什么会出现全国断网现象

欧洲最大的电信运营商德国电信(Germany Telecom)于当地时间11月27日17: 00遭遇严重网络攻击，导致其90万台路由器无法接入互联网，影响相关电话和电视服务长达数小时。事故发生后，德国电信技术人员修复了网络连接问题，但第二天早上8点左右网络再次被切断。作为全球第五大电信运营商，德国电信已将其足迹遍布50多个国家，为2亿多客户提供与未来工作和生活相关的各种产品和服务。断网给公众带来了巨大损失。

自今年9月底大规模DDoS攻击Mirai未来组合源代码泄露以来，网络黑客对此进行了大量深入分析。对于最新的Mirai未来组合变体，安全行业将通过调查和评估制定解决方案。从此事可以看出，黑客们已经猖狂到一定程度了。

④ 德国通过《信息技术安全法》修订草案，信息技术安全为何引起国家重视

德国通过信息技术安全法修订草案，信息技术安全对于国家而言是非常重要的。这是因为目前每个国家都在强调大数据。数据对于每一个国家的国民虽然可能微不足道，但是对整个国家的整体战略而言有着至关重要的意义。这是因为对于目前的现状，人们不再着眼于过去的数据来估计相关的情况，而是利用大数据的方式预测未来出现的情况。因此，数据对一个国家，对其他国家的预测或者全球经济发展的预测都有着至关重要的现象。

在大数据时代，数据就成为了每个国家与别国进行博弈和较量的手段。如果一个国家的数据看容易被他国所窃取，那么该国在各种方面都可能会遭到其他国家的制衡。

⑤ 美国大型广电集团遭攻击背后，网络勒索正演变为全球性安全风险

近年来，勒索软件攻击成为全球范围内增长速度最快的网络安全威胁之一，其攻击对象既包括各类企业与组织，也包含个体网络用户，且二者的数量都在迅速增加。阿里云安全勒索9月月度报告显示，据不完全统计2021年光上半年就至少发生了1200多起勒索软件攻击事件，接近2020年已知公布的事件数量。

另一方面，勒索攻击正在APT（高级可持续威胁）化，在众多勒索软件攻击事件中，有将近70%的勒索团伙采用双重勒索策略，以数据封锁威胁受害者支付巨额赎金，勒索攻击已成为当前不容忽视的网络安全挑战。

本次遭受攻击的Sinclair集团，旗下业务包括185家电视台，涵盖21个区域 体育 网络品牌，在美国家庭电视频道市场占比近40%，2020年收入达59亿美元。值得注意的是，这已经是今年其第二次遭受网络攻击，今年7月，Sinclair就曾因计算机系统遭到入侵要求其电视台更改所有的密码。

所谓勒索软件，主要是指利用系统漏洞获取相应权限，获取计算机控制权并对关键数据或文件进行加密，并由此向用户索取赎金的网络攻击方式。这些攻击往往通过带有恶意链接的电子邮件、不安全的软件下载以及组织内的文件共享平台等渠道传播，以较为隐蔽的方式感染设备，在完成对文件的加密后，受害者通常会收到一封要求使用比特币等虚拟货币支付赎金的提示或邮件，如果不在期限内支付，文件可能会被永久封锁。

举例而言，其可能通过动态计算的方式，随机读取当前时刻设备CPU的温度等动态数据作为构成解锁密码的某一字段，这种缺乏解码样本的加密手段在大部分情况下是不可逆的，因而从技术角度破解难度较高。

正因如此，大部分企业在遭到攻击时不得不选择缴纳赎金以恢复数据。据网络安全服务提供商ThycoticCentrify最新发布的调查报告显示，83%的勒索软件受害者认为在受到攻击后支付赎金是唯一的选择，且有一半受访者表示，其公司因勒索软件造成了收入损失和名誉损失，42%的受访者承认他们因攻击而失去了客户。

但屈从于勒索者不仅可能并不能解锁文件，反而会给企业带来额外的风险。美国联邦调查局就曾多次强调，其并不支持企业向勒索软件付款，这种行为不仅容易引发攻击者的二次勒索，也面临资助犯罪活动的潜在指控。

去年10月，美国财政部外国资产控制办公室 (OFAC) 发布了一份咨询报告，指出向勒索软件支付赎金的用户面临违反法规的风险，并可能遭到起诉或制裁。此外，为受害者提供勒索软件付款方式或渠道的公司还面临违反金融犯罪执法网络（FinCEN）法规，并未履行相关监管义务的风险。

而在我国，根据《网络安全法》第二十一条规定：“网络产品、服务的提供者……发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”；第二十五条规定：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

上海申伦律师事务所律师夏海龙表示，受勒索软件攻击而被要挟付款的对象也是受害者，目前我国尚未有法律法规明确要求禁止支付赎金。但企业在面临勒索软件威胁时有义务向有关部门进行报告，并未及时提交安全漏洞或选择隐瞒涉嫌违法。

但另一方面，一般情况下勒索病毒不会对设备文件内容进行窃取，因而遭到攻击的企业通常可以免于数据泄露的指控，其主要需解决的是业务数据丢失情况下的用户赔偿问题。曲子龙指出，当前主要的勒索软件通常只是利用漏洞获取系统权限，从而进行数据封锁，而窃取数据则意味着其需要在设备上运行分析软件读取数据内容，这对只需要提供解锁密码就能获取巨额赎金的攻击者来说是得不偿失的。此外，数据在传输过程中还可能增加自身被追踪暴露的风险，因而大部分情况下勒索者都不会主动窃取封锁文件的内容。

ThycoticCentrify的报告显示，自从新冠肺炎疫情在全球蔓延以来，勒索攻击的案件数量和勒索金额都在迅速提升。而攻击频率上升的重要原因是Window系统MSHTML引擎漏洞等重大漏洞被披露以及勒索病毒的新变种不断出现，其大规模流行给各国网络的正常运行带来极大的安全隐患。今年5月7日，美国输油管道公司Colonial Pipeline遭受勒索软件攻击，导致其东海岸液体燃料被迫停止运营。

近日，美国、法国、德国、日本等30余个国家代表承诺将共同打击软件勒索行为，并加强金融系统使其免于遭受攻击的风险。美国金融犯罪执法网络局(FinCEN)在最新一份报告中表示，其追踪了2021年上半年价值52亿美元的比特币交易，这些交易很可能与勒索软件支付有关，且勒索者开始要求以更难追踪的虚拟货币，例如门罗币来支付赎金。

而此前中国境内遭受的大规模勒索软件攻击，较为着名的是2017年的“永恒之蓝”事件。事件的起因是黑客团体“影子经纪人”(Shadow Brokers)泄露了一份包含了多个Windows远程漏洞利用工具的文档，致使美国、英国、俄罗斯、中国等多国企业、政府机构和高校遭受勒索病毒袭击，多地电力系统、通讯系统、能源企业等基础设施受到波及。

今年8月29日，中国国家互联网应急中心（CNCERT）发布《勒索软件防范指南》，旨在勒索软件攻击愈发频繁的当下为企业和用户提供防范指引。《指南》提出，企业在防范时应注意做好资产梳理与分级分类管理，备份重要数据和系统，定期评估安全风险等工作。

“对于企业和个人用户而言，防范勒索病毒和防范常规病毒的方式基本是一致的，主要还是做好对来源不明邮件和问题网站的防范，以及对数据的常态化备份。”曲子龙指出，加强网络系统内的权限管理，采用网络分段、身份验证等方式进行访问权限精细化控制，也是有效遏制勒索病毒的进一步扩散的关键措施。

更多内容请下载21 财经 APP