大玩家入场，新格局渐成

大玩家入场，新格局渐成

当病毒在工业控制系统中蔓延，其攻击者想要获得什么？目标何在？答案很多，捉摸不定。总之，一个国家的核电站，水坝，国家电网都可以成为它的目标。

震网(Stuxnet)的发现

在2010年之后,网络安全专家杜跃进将互联网安全威胁分成4个阶段：2001～2004 年是“蠕虫阶段”( 以蠕虫为代表的 “损人不利己”式攻击为主)；2004～2007 年是 “网络犯罪阶段”( 开始大量出现趋利性的攻击)； 2007～2010 年是 “网络窃密阶段”( 开始大量出现互联网窃密行为)；2010 年之后进入了另外一个全新阶段，“当时我称之为网络战阶段。”从此开始，互联网安全格局进入一个全新的时代。杜跃进将之成为“大时代”。所谓的大有几层意思：一是“大玩家”的登场。二是“大事件”的发生。

对于大玩家时代的到来，震网(Stuxnet)是一个划时代的标志。2010年，一种名为“震网”（Stuxnet）的蠕虫病毒，侵入了伊朗工厂企业甚至进入西门子为核电站设计的工业控制软件，并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。当年伊朗政府宣布，大约3万个网络终端感染“震网”。

与以往的网络攻击最为不同的是，震网攻击的目标是工业控制系统，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，而它又是如此巧妙，震网病毒前前后后用了很多手段——利用0-day漏洞、隐藏摆渡、长期潜伏、定时爆发……

震网病毒让整个世界为之哗然。攻击中最基本的两个要素，它是谁？它要达到什么目标？在震网这里完全不知所踪。攻击者非常谨慎地实施了这次攻击。专家分析，病毒编写者需要对工业生产过程和工业基础设施十分了解。编写代码需要很多人工作几个月甚至几年，背后需要一个非常成熟的专业团队运作，拥有巨大的资源及财政支持。这一切的潜台词是：“震网”更像是出自浩大的“政府工程”而非黑客个人行为。

大玩家入场

震网让全球为之警醒。在过去，人们普遍认为工业控制系统是不可能进入病毒的。但现在，一切发生了变化，工业控制系统中的生态环境与现实网络越来越接近，由此，适合于网络的病毒同样可以在工业系统中安身立民。那么，攻击者还掌握着什么？什么时候会实施下一次攻击？这对世界各国的基础设施意味着什么？而整个领域的分析认为，震网是“大玩家”时代的开启。

“大玩家”入场意味着什么？意味着不同的动机，不同的目标 ，不同的资源 ，不同的能力 ，不同的方法 。

互联网安全专家、原国家网络信息安全技术研究所所长杜跃进分析认为，“大玩家”，代表的是国家力量，服务的是国家间的综合对抗和博弈，会综合考虑政治、外交、经济、社会、军事等各种因素。其网络安全攻击动机与过去的对手相比可能十分不同，因此他们可能选择不同的目标（对他们来说，对“有价值目标”的定义可能很不一样）、他们掌握不同的资源（用于实施网络攻击。尤其是拥有网络空间战略优势的国家）、他们可能采用不同的方法（包括利用产业优势的方法，甚至网络空间之外的方法）、具备不同的能力（整合多方面的顶级专家构建武器级的攻击能力）等。这一切会导致，“我们需要关注的保护对象发生了很大变化、我们过去的安全对抗经验开始过时、我们认为不可能的一些事情变成可能。”他进而认为，大玩家的时代将远远不同于传统的网络攻击，它将是一场国家资源和力量的对抗。

震网的发现导致世界各国对网络安全的进一步加强，从而引发了网络安全整体格局的变化。“有能力的国家都在效仿震网（Stuxnet）等一系列的新型智能攻击武器开展研究，并且努力做到青出于蓝、举一反三 。”杜跃进认为，在这场格局的改变中，世界各国在动用国家资源、依靠国家力量构建自己在网络空间中的威慑和防护能力 。而信息技术发达国家会绞尽脑汁尽量利用好其自身的优势资源，强化自身的不对称战略优势。其他国家会竭力突破自身限制，寻找自己的不对称威慑能力。

APT攻击的兴起

2013年，斯诺登的爆料让大玩家的猜测更加浮出水面。“棱镜门事件最直接的意义在于，过去我们很多关于网络安全的猜测，如今得到证实了。”杜跃进说。 当斯诺登爆料之后，人们恍然间明白一件事：许多大事件是有关联的，他们可能来自同一个攻击者，可能是一个威胁中的一部分。包括美国政府提出的网络空间战略、斯诺登事件以及震网从某种层面上说都是一回事。

2013年，斯诺登的爆料让大玩家更加浮出水面。“棱镜门事件最直接的意义在于，过去我们很多关于网络安全的猜测，如今得到证实了。”

这里有必要提一下美国的网络空间安全战略。在国际上，美国首先起步，从克林顿到小布什，再到奥巴马，在近20多年的发展过程中，美国已经率先形成相对完整的国家网络空间战略理论。分析美国三届总统任职期间发布的国家战略、国家安全战略、国防战略、军事战略、网络空间安全战略、网络空间军事战略、网络空间国际战略、国防部网络空间作战战略等所有与网络空间相关的文件，可以清楚地看出，美国将网络空间与海洋、空天三个领域并列为全球公共领域（global commons），通过在这三类网络空间中筹划战略发展、谋求绝对优势，保障国家安全战略意图输出途径。“当有必要时，美国将以‘对待其他任何形式的国家威胁’那样应对网络空间敌对行动”，这是美国在网络空间秉持的基本立场。

当病毒在工业控制系统中蔓延，攻击者想要获得什么？目标何在？答案很多，捉摸不定。总之，一个国家的核电站，水坝，国家电网都可以成为它的目标。

震网之后，针对工业控制系统的病毒Flame、Duqu相继被发现，安全专家肖新光在一片文章中指出“Flame、Duqu、Gauss和Stuxnet，它们既不是木马，也不是蠕虫。它们是APT（高级持续性威胁，Advanced Persistent Threat）。”

APT是什么？APT的本质是“非常有目标攻击”，换句话说，APT在选定目标上不是随机的。这个目标可能是一个特定的网络或系统、一份特定的文件、某个特定的机构或个人等。这是APT和其他威胁的最大区别。比如震网，就是一个非常定制化的病毒，“该病毒几乎是为伊朗量身打造。”

时代的变迁意味着思维的变化。相关人士指出，在木马时代的地下经济驱动中，各个国家均是地下经济体系和恶意代码的受害者。其基础规则也基于这一共同点搭建。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中，而攻击的对象也变成了他国政府和其他对立的政经体系。“这一切，意味着大玩家时代需要截然不同的网络安全思路。”杜跃进说。

（本文根据综合资料整理而成，整理：王左利）