从西北工业大学被攻击说起,谈网络安全的最后一道防线—密码

news2024/12/28 16:55:00

一、背景
据央视2022年9月5日报道,我国西北工业大学(以下简称西工大)遭到美国国家情报局特定入侵办公室(代号TAO)非法入侵,目前已查明涉案人员13人,攻击次数一千余次,大量关键核心数据被窃取[1] [2]。

随后,有关部门进一步分析发现,TAO组织对我国关键信息基础设施核心设备进行长期渗透控制,以非法身份侵入我国运营商网络,构建非法远程访问通道。实施内网渗透并侵入关键数据服务器,非法访问一批中国境内敏感身份人员信息,窃取用户隐私数据传至美国国家情报局总部。TAO组织相关行为严重侵犯中国有关机构的技术秘密,严重危害中国关键信息基础设施安全, 严重侵犯个人信息安全[3] [4] [5]。

二、TAO组织攻击渗透流程剖析
在这里插入图片描述

图一、绘图出自《红莲安全实验室》研究人员Michael

TAO组织此次对我国发起的网络攻击,采取了集中火力寻找突破口、顺藤摸瓜感染更大范围和更深层次设施、逐步渗透、分步实施、步步为营、长期静默潜伏窃密的战略,展示了其强大的网络攻击能力。其具体的攻击步骤,按照攻击的时间顺序、因果关联,我们分四步分析。

1、集中火力寻找突破口,控制西工大网络
经过长期的精心准备,TAO组织使用“酸狐狸”平台对西工大内部主机和服务器实施中间人劫持攻击,部署“怒火喷射”远程控制武器,劫持多台关键服务器、核心网络设备、服务器及终端,窃取身份验证数据,最终达成了对西工大内部网络的隐蔽控制[6]。

2、搜集身份验证数据构建非法访问通道,渗透基础设施,窃取核心运维数据
TAO组织通过窃取的西工大技术人员远程业务管理的账号口令、操作记录以及系统日志等关键敏感数据,顺藤摸瓜,非法攻击上游的中国关键信息基础设施,构建了对运营商核心数据网络远程访问的非法通道,实现了对中国关键信息基础设施的渗透和控制。

3、控制关键信息基础设施的重要业务系统,窃取用户数据
TAO组织通过掌握的中国关键信息基础设施运营商的某厂商网络安全设备的账号口令,非法进入运营商内部网络,控制业务服务器,利用“魔法学校”等专门针对运营商设备的武器工具,查询了一批中国境内敏感身份人员信息,并加密后经多级跳板回传至美国国家情报局总部。

三、TAO组织攻击事件定性分析
中国西工大是工信部直属院校,是中国唯一以同时发展航空、航天、航海工程教育和科学研究为特色的全国重点大学,建有多个国家重点实验室,承担着我国航空、航天、海洋、国防等多项尖端科研任务。各大电信运营商负责建设我国通信关键信息基础设施,在各行各业中发挥着举足轻重的作用,其安全事关重大。很明显,这是一起由美国国家情报局组织的情节恶劣的网络攻击事件,目的是窃取我国尖端科研成果和核心机密数据并嫁祸于人,其行为给我国关键信息基础设施安全造成严重危害,威胁到我国网络安全和国防安全,影响我国发展和繁荣稳定。

这次事件给我们敲响了警钟,黑恶势力就在身边,网络安全与我们息息相关,没有网络安全就没有国家安全。同时提醒我们,网络安全不能受制于人,应从顶层设计开始,立足于自主设计,要广泛地普及网络安全意识,通过国家立法和技术手段来保护我们的关键信息基础设施安全,要对违反网络安全的行为实施制裁。

这次攻击使我们更加明白密码法和网络安全法的必要性,实行网络安全等级保护制度的必要性,对涉密信息系统进行分级保护的必要性,以及对关键信息基础设施进行保护的必要性。

三、密码筑牢维护国家网络空间信息安全的最后一道防线
我们应当坦然承认,当前境外敌对势力攻击能力十分强大,攻击手段多样,任何传统网络安全设备并非铁板一块、牢不可破。然而亡羊补牢犹未晚也,我们应该积极思考的是当传统网络安全遭到攻击和破坏时,有没有最后的一道防线来抵御?答案是确定的,这道防线就是现代密码技术。密码是网络安全的核心技术,是网络空间中网络信任的基石,是保护我们党、国家和人民根本利益的战略性资源,更是国之重器。这一点在中国共产党创建和发展的长期历史经验中已得到广泛的验证,经受了无数次考验。因此,承担防御任务,密码技术是合适的。

海泰方圆作为一家拥有20年专业经验的密码企业,多年来在密码应用实践中受到广泛信赖及认可,在新基建、重要领域国产密码应用改造等全面发展的网信大时代,以密码全能力匹配业务全场景,护航数字中国,建设网络强国。多次承担、参与国家级、省部级科研课题,在密码标准编制、密码学术论文方面都有显著成果,参与国家各级课题43项,参编国家及行业标准48项。

让我们复盘此次TAO组织攻击的完整步骤,剖析涉及的每一个场景,从密码的角度出发去“华山论剑”,从攻防角度讨论如果采用合规的密码技术,究竟海泰方圆的密码全能力可以提供什么样的防护,最终达到什么样的防护效果。为行文方便,下文中把TAO组织实施的攻击称为“矛”,海泰方圆提供的密码防护称为“盾”。

第一回合:TAO组织入侵西工大阶段(矛一),对应密码防护盾一:海泰方圆身份认证系统。

TAO组织首先使用网络攻击武器入侵西工大的Telnet服务器并部署NOPEN木马黑客软件,窃取运维人员账号口令。在此阶段,海泰方圆提供的“盾”为采用基于国密的身份认证系统。如图二所示,此系统利用我国商用密码技术,为运维人员提供账号口令和硬件指纹UKey证书结合的双因素强身份认证手段,提供全面的证书签发机构(CA)管理、证书管理、日志管理。用新系统改造用户原有运维管理系统,最终全面提升系统入口访问的安全性。

TAO组织遇到的第一个“拦路虎”将是海泰方圆身份认证系统对运维账号的全面防护。因无法在海泰的硬件指纹UKey上留下指纹,身份认证系统的双因素认证流程将无法通过,获取运维账号操作失败,TAO组织只得悻悻而归。
在这里插入图片描述

图二、海泰方圆基于国密的身份认证系统(盾一)

第二回合:TAO组织窃取西工大数据阶段(矛二),对应密码防护盾二:海泰数据加解密系统。

TAO组织大肆窃取西工大的数据,包括操作记录,系统日志等关键敏感数据。此阶段对抗中,海泰方圆提供的“盾”是数据加解密系统。它是一套提供标准及定制化密码算法服务能力的密码服务系统,用此系统对西工大关键敏感数据做加密保护,提供机密性、真实性、完整性保护。

在这里插入图片描述

图三、海泰方圆数据加解密系统(盾二)

得益于此系统对用户数据的全面保护,TAO组织在此回合将遇到无法访问操作记录、系统日志等关键敏感数据的难题,即使TAO费了九牛二虎之力访问到加密后的数据,也会遇到无法解密的难题。此系统基于我国商用密码算法和先进的PKI体系,要暴力破解此密码,需要1.8x1056年[7],几乎是宇宙的尽头。TAO组织在第二回合完败。

第三回合:TAO组织渗透中国关键信息基础设施(矛三),对应密码防护盾三和盾四。

根据从西工大非法获取的运维账号口令,TAO组织在此阶段的攻击是通过国内外某两家公司生产的网络防火墙,进入运营商机房,释放“魔法学校”攻击武器,进行内网渗透。得手后,进一步控制短信网关等服务器,拿到中国境内敏感身份人员信息和其他隐私数据,为避免窃取的数据被其实施攻击使用的跳板机所在国家发现,TAO组织把这些数据加密后上传给美国国家情报局总部。

针对组织如此严密、攻击技术十分高超的攻击者,海泰方圆提供的防护组合重拳是两个超级盾:云密码应用服务解决方案和海泰隐私保护统一服务平台。

为什么海泰的组合重拳能够防住此波攻击呢?让我们先来了解他们。

海泰方圆云密码应用服务解决方案中灵活的密码服务虚拟化技术和强大的密码计算资源,满足了云平台及云上应用系统的机密性、完整性、真实性和不可抵赖性需求[8] [9]。
在这里插入图片描述

图四、海泰方圆云密码应用服务解决方案(盾三)

原始数据加密后变成了密文,谁也看不见。通常情况下,要使用数据,就得对密文解密获得原始数据再使用。在解密利用数据进行过程中,长期攻击者会尝试一切可能的攻击途径和攻击方法,这使得数据利用变得效率低下。针对此问题,海泰方圆组合重拳之二“数据隐私保护服务综合解决方案”派上用场。
在这里插入图片描述

图五、海泰方圆隐私保护统一服务平台(盾四)[10]

它基于海泰隐私保护统一服务平台,可为多种业务应用的不同场景和需求,提供高效、便捷、合规的数据隐私保护服务,使数据在隐私安全保护下传递信息价值,使合法用户得到无感化保护,实现隐私数据的“可用不可见”[11] [12]。

应用海泰方圆以上两个防护超级“盾”之后,客户的数据可以做到在完全无感的加密环境下实现密文计算,安全地完成任务。实现诸如身份证号码提取、电话号码提取、短信身份验证等等传统的业务,无需对数据泄露等问题有任何担心。

我们再来分析TAO组织此回合攻击中将面临的挑战。TAO组织将会发现,沼泽密布,举步维艰。TAO组织会惊讶于进入短信网关等服务器保存的原始数据竟然是密文!这些密文外表看起来似乎是身份证号码,实际却是一种密文的“伪身份证”。更为神奇的是,这些像“伪身份证”的数据,竟然还能被运营商内部的其他服务器正常使用, TAO组织伪造几个这样的身份证,尝试混入正常的密文数据队列,旋即这些伪造的脏数据被新系统精准识别并“吐”了出来。TAO组织一无所获,只得望洋兴叹。

五、参考文献

  1. 《中国信息安全》期刊2018年第12期

  2. 《人民网》2022-9-27期特别报道

  3. 《环球时报》2022-9-22期

  4. 《央视新闻》2022-9-27新闻直播间

  5. 《北京日报》2022-09-13报道

  6. 《圣小博》公众号2022-9-30期

  7. 《计算机安全》2009.12《高级加密标准AES的过程分析及其破解思考》

  8. 《海泰方圆数据加解密系统白皮书》

  9. 《海泰方圆基于国密的身份认证系统白皮书》

  10. 《海泰方圆云密码服务平台白皮书》

  11. 《海泰方圆云密码应用服务解决方案白皮书》

  12. 《海泰方圆数据隐私保护服务综合解决方案白皮书》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/73730.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

保姆级微信双开教程

不知道大家是不是和我一样,两个微信账号,一个用于工作,一个用于私人。 一般来说,日常生活中使用的登录微信的设备也就3种,PC、Android、IOS。这三种设备中,Android经过各种厂商对OS的优化后,基本…

动态规划入门-01背包问题

动态规划入门-01背包问题 问题描述 假设你有个最大载重量为300kg300kg300kg的背包,有4个物品。它们的重量分别为123kg,88kg,93kg,100kg123kg,88kg,93kg,100kg123kg,88kg,93kg,100kg,价值分别为$$10,$19,$8,$20$。 请问背包内最大可以放入多少价值的物品…

第二证券|ChatGPT被“玩坏”,美图大涨45%,AIGC赛道风口来了?

AIGC(人工智能主动生成内容)近期被ChatGPT带火了! 近来明星人工智能公司OpenAI发布了全新的谈天机器人模型ChatGPT。该模型能够主动生成代码以及绘画、答复一系列问题、承认自己的错误、质疑不正确的假设,乃至回绝不合理的要求&a…

Caspase-1活性分析:艾美捷FAM-FLICA试剂盒解决方案

艾美捷FAM-FLICA Caspase-1 (YVAD) Assay Kit FAM-FLICA Caspase-1 活性分析试剂盒检测方案: 1、凋亡诱导: 在开始实验之前,确定可重复的方法用于通过触发胱天蛋白酶活性获得阳性对照。此过程随每个细胞系而显著变化。例如,细胞…

JUC并发编程第九篇,原子操作类分类解析,LongAdder为什么这么快原理分析?

JUC并发编程第九篇,原子操作类分类解析,LongAdder为什么这么快原理分析?一、基本类型原子类二、数组类型原子类三、引用类型原子类四、对象的属性修改原子类五、原子操作增强类六、原理分析,LongAdder 为什么这么快?位…

JS获取音频的总时长,解决Audio元素duration为NaN || Infinity 问题

当我们在加载一个线上mp3地址或者获取audio的duration的时候,会发现有拿到duration是Infinity的情况,这时如果我们动态的展示录音时间时候就会有问题。首先明确一下这是chrome浏览器自己的存在的一个bug,因为我们拿到的录音数据流没有定义长度…

商务与经济统计 | 推断统计

一.概率 事件 若干样本点的集合 事件的概率 等于事件中所有的样本点概率之和 条件概率 贝叶斯定理 二.离散型概率分布 随机变量 是一次试验的结果的数值性描述 离散型随机变量 指的是有穷个数值或一系列无穷的数值的随机变量 连续型随机变量 代表某一区间或多个区间…

通配符的应用

我们使用通配符描述切入点,主要的目的就是简化之前的配置,具体都有哪些通配符可以使用? *:单个独立的任意符号,可以独立出现,也可以作为前缀或者后缀的匹配符出现 execution(public * com.itheima.*.UserService.find…

webpack基础配置教程

文章目录1.初识Webpack2.开启项目3.处理js和json文件webpack小试牛刀webpack打包js/json文件webpack默认不能处理css4.webpack配置文件1.初识Webpack 什么是webpack? Webpack是一个模块打包器(意思同构建工具,所谓构建︰将程序员写完的【源代码】&#…

Sentinel服务熔断功能

Sentinel服务熔断功能 sentinel整合ribbonopenFeignfallback 1、环境搭建&#xff08;新建模块&#xff09; 1.1、启动nacos和sentinel 1.2、新建服务提供者cloudalibaba-provider-payment9003/9004模块 1、引入pom.xml文件 <?xml version"1.0" encoding&quo…

21.前端笔记-CSS-字体图标

1、字体图标产生 使用场景&#xff1a;用于显示网页中通用的小图标iconfont 为什么不用精灵图&#xff1a; &#xff08;1&#xff09;图片文件还是比较大的 &#xff08;2&#xff09;图片本身放大或缩小会失真 &#xff08;3&#xff09;一旦图片制作完毕想要更换&#xf…

ThingsBoard 3.1.1版本在window本地运行之设备直连(二)

目录 前言 1、Thingsboard 框架 2、MQTT设置 1.MQTT概念 2.MQTT在TB里担任的角色 3.MQTT配置 3、结果 前言 ThingsBoard是一个物联网管理平台&#xff0c;这个平台可以让其他企业入驻进来&#xff0c;这些入驻的企业或者个人就是租户&#xff08;tenant&#xff09;&#…

入门系列 - Git工作流程

Git工作流程 Git的工作流程一般如下&#xff1a; 克隆 Git 资源作为工作目录。在克隆的资源上添加或修改文件。如果其他人修改了&#xff0c;你可以更新资源。在提交前查看修改。提交修改。在修改完成后&#xff0c;如果发现错误&#xff0c;可以撤回提交并再次修改并提交。 …

【C++】vector

vector与string许多功能相似&#xff0c;有了string的基础学起来很轻松 文章目录一、vector的介绍二、vector的使用1、vector定义&#xff08;构造&#xff09;类2、vector与string相似的接口3、vector迭代器失效问题三、vector的模拟实现一、vector的介绍 vector文档&#xf…

第十四届蓝桥杯集训——JavaC组第七篇——逻辑运算符

第十四届蓝桥杯集训——JavaC组第七篇——逻辑运算符 目录 第十四届蓝桥杯集训——JavaC组第七篇——逻辑运算符 逻辑运算符 逻辑与 逻辑或 非 逻辑运算法优先级 练习题&#xff1a; 逻辑运算符 &&逻辑与‖逻辑或!逻辑非逻辑运算与位运算不同&#xff0c;逻辑运…

脚本语言Bash简明教程【1】

Bash(GNU Bourne-Again Shell)is a Unix shell and script language written by Brian Fox for the GNU Project as a free software replacement for the Bourne shell. First released in 1989, it has been used as the default login shell for most Linux distributions…

React - Context 使用(共享对于一个组件树而言是 “全局” 的数据)

React - Context 使用&#xff08;共享对于一个组件树而言是 “全局” 的数据&#xff09;一. Context 概念理解二. Context 使用三. Context 组件传值实例Context官网&#xff1a; https://zh-hans.reactjs.org/docs/context.html 一. Context 概念理解 Context 提供了一个无…

Redis缓存雪崩、击穿、穿透、双写一致性、并发竞争、热点key重建优化、BigKey的优化 等解决方案

一. 缓存雪崩 1. 含义 同一时刻&#xff0c;大量的缓存同时过期失效。 2. 产生原因和后果 (1). 原因&#xff1a;由于开发人员经验不足或失误&#xff0c;大量热点缓存设置了统一的过期时间。 (2). 产生后果&#xff1a;恰逢秒杀高峰&#xff0c;缓存过期&#xff0c;瞬间海…

核心竞争力决定未来,中国社会科学院与美国杜兰大学金融管理硕士项目为你助力

随着社会发展的日新月异&#xff0c;知识更新迭代更是以秒来计算&#xff0c;我们不得不为自身有限的技能和认知而焦虑。面对新的机遇最好的应对方法就是要有学习能力&#xff0c;永远学习&#xff0c;终身学习&#xff0c;这是别人永远都抢不走的竞争力。身在金融领域的你&…

关于flex布局和九宫格布局的实现

1.父容器常见属性 display&#xff1a;flex (项目在主轴上的排列方式) justify-content&#xff1a;flex-start / flex-end / center / space-around / space-between &#xff08;项目在交叉轴上的排列方式&#xff09; align-items: flex-start / flex-end / center / ba…