對網絡安全防護工作有何啟示

上述幾種新型物理隔離網絡竊密技術，展示了攻擊者的高超技巧，在令人大開眼界的同時，也給我們帶來很多啟示。

 

啟示一：再次證明網絡安全是相對的不是絕對的

網絡竊密與反竊密技術始終在動態中發展、在博弈中消長。上述幾種新型物理隔離網絡竊密技術的出現再次證明，任何網絡安全技術、措施和手段帶來的安全性都是相對的，因此，沒有絕對安全的網絡。物理隔離是絕大多數重要內部網絡所采取的“標配”安全措施，以往很多人認為，物理隔離網絡完全“隔離”了從外部入侵的風險，具有非常高的安全系數。其實，“震網”病毒成功攻擊伊朗核電站事件和上述已經公開披露的新型物理隔離網絡竊密技術，已經徹底打破一些人認為的“物理隔離絕對安全”的幻想。因此，面對網絡竊密技術的快速發展，應樹立動態的、發展的、相對的網絡安全觀，不能故步自封形成思維定勢，始終保持清醒的頭腦，才能最大限度地避免由于對新技術認識不到位和防范不足而導致的網絡安全事件。

 

啟示二：高度警惕跨網竊密威脅物理隔離網絡安全

通過剖析上述跨網竊密技術表明，采取新機理的新型竊密方法具有很強的隱蔽性，能在神不知鬼不覺中獲取物理隔離網絡的重要信息，流量監控、入侵檢測、防火墻等傳統安全技術、手段和措施，因為針對的攻擊機理不同，已經難以應對此類新型威脅。這些公開披露的技術雖仍停留在實驗階段，但作為國家級間諜使用工具、投入巨資秘密研發的類似跨網竊密技術，很可能已經實用化并投入實際運用。2013年，美國國家安全局工作人員就曾公開披露過正在研究類似USBee這樣的高端攻擊工具，時至今日可能早已掌握這種新型技術。據媒體報道，近兩年來，朝鮮彈道導彈試驗屢次離奇地發射失敗，極可能是美軍實施“主動抑制發射”網絡攻擊行動所致。美軍可能運用跨網滲透技術對朝鮮導彈發射網絡和電子伺服系統實施攻擊，通過隱蔽信道發出錯誤的控制指令或目標數據，令導彈發射后立即爆炸或改變攻擊方向等。上述物理隔離網絡竊密技術，雖然存在著技術成熟度低、限制條件多、傳輸速度慢等不足，但一旦經過改進、發展并實用化后，將對網絡安全構成重大威脅，必須高度重視并采取多種措施積極應對。

 

啟示三：采取針對性的措施可以有效防御跨網滲透

上述物理隔離網絡竊密技術在理論上是完全可行的，也得到了實驗驗證，但在實際運行操作中，仍然有諸多限制條件，只要有針對性地采取相應措施，就可以大幅減少此類技術的威脅。例如，一些重要內部網絡由于管理不嚴，雖然實施了物理隔離，但并沒有實現完全的信息隔離，仍存在著使用移動存儲設備由外網向內網單向傳遞軟件、數據的現象。如果嚴格實行完全的信息隔離，攻擊者無法在目標計算機上感染惡意軟件并操縱其發出攜帶涉密信息的模擬信號，就構不成跨網竊密的現實條件。此外，在計算機中使用水冷系統替代風扇散熱，可完全防范利用風扇噪聲竊密技術；給計算機換上非機械結構的固態硬盤，利用硬盤噪音竊密方法就會完全失效；在物理隔離設備附近使用信號干擾器或禁止使用手機等，可有效防止攻擊者接收來自物理隔離設備發出的泄密信號等。

 

啟示四：必須加強監控物理隔離網絡無人值守終端

上述物理隔離網絡竊密技術，通常需要在較近的距離才能實現模擬信號的穩定收發，而一些重要核心網絡的計算機終端通常處于安保措施比較嚴格的封閉場所內，提升了接觸式攻擊的成本和難度，只要內部人員管控到位，遭受跨網攻擊的風險就相對較小。然而，對于一些關鍵基礎設施特別是電網等工業控制網絡，因其特定的工作任務，其終端需要廣泛分布并覆蓋到用戶所在的各個區域，可謂點多面廣，而且多數采用無人值守方式，形成了一個個網絡“安全孤島”，極易成為跨網滲透的攻擊入口。2015年12月烏克蘭電網受到攻擊而大面積停電事件，就充分證明了無人值守終端存在的重大安全隱患。加強無人值守終端的安保措施，避免攻擊者與其近距離接觸，是增強物理隔離網絡安全水平不可忽視的重要方面。