2008北京奥运互联网平静的背后

      2008北京奥运会结束后,党和政府各级部门召开了多种不同层次的表彰大会,表彰为奥运做出贡献的人们,许多关于奥运安全保卫方面的精彩故事也被人们津津乐道。而在奥运安保的另一个战场–互联网安全保卫方面,却很少有消息披露,一切看起来是那么平静。奥运会期间,我国网络安全部门以及专家们做了什么?互联网到底发生了什么?近日,第29届奥运会组委会技术部特聘的信息网络安全专家,北京网络行业协会信息安全应急响应与处置中心主任王江民首次向媒体批露了奥运会网络安全保卫中鲜为人知的内幕。

      追杀"磁碟机"!奥运网络安保首场攻坚战

      王江民介绍,2008年1月22日江民科技首家成立了奥运会网络安全保卫小组,王江民任总指挥。3月4日,江民科技奥运网络安保小组发现,早在去年就被截获的"磁碟机"开始频繁变种,最多的一天之内竟然出现三个变种!这种病毒会配合和激发具有网络攻击的ARP病毒,增强病毒的网络攻击性,会造成大面积的网络瘫痪,后果十分严重。江民奥运网络安保小组副组长、公安部奥运信息安保应急响应指挥部特聘专家何公道立即安排反病毒组成员紧急采取措施,连夜升级了反病毒软件,并配合北京市网络行业协会,发布了病毒警报,公布了病毒求助热线。然而,由于"磁碟机"采用了新的技术,疯狂破坏杀毒软件,许多自我保护能力不够强壮的杀毒软件纷纷被破坏失效,病毒疫情开始逐步扩大。

      虽然江民早在3月6日就采取了措施,并向上级主管部门进行了汇报,然而,到了3月14日,"磁碟机"的疫情仍然在局部爆发,上千家企业局域网、数万台电脑被病毒感染,被感染的电脑分布在政府、企事业等众多单位和部门,网络严重堵塞、甚至陷入瘫痪,病毒造成的危害及损失十倍于"熊猫烧香"。如果此事发生在奥运期间,那该多么可怕!

      疫情就是命令!王江民当即拍板,虽然江民科技杀毒软件独有坚强的"金钟罩"自我保护技术,能抵抗病毒的破坏,但不能等其它杀毒软件都加强自身保护技术再来抵卸"磁碟机"了!我们应立即发布"磁碟机"病毒专杀软件,在互联网上免费提供给所有电脑用户下载;奥运网络安保小组成员24小时轮班监控"磁碟机",一发现有新的变种出现,立即升级专杀软件;搜集病毒作者留下的所有蛛丝马迹,随时向公安部门报告;向全国发布"磁碟机"病毒追杀令,号召所有的电脑用户合力围剿"磁碟机"。一张抓捕"磁碟机"的大网已经向病毒作者和传播者的头上罩去!

      "磁碟机"病毒作者并不想轻易善罢甘休。3月14日江民奥运安保小组的专家刚刚发布"磁碟机"专杀工具第一版,晚上,"磁碟机"病毒作者就升级了病毒。病毒先是在自己身上加密了一层伪装的"壳",让杀毒软件无法识别,再尝试关闭杀毒软件进程,并通过计算机系统深层的"钩子"程序修改SSDT表,让杀毒软件监控失效。可惜病毒的这些伎俩对付一般的杀毒软件还可以,在江民杀毒软件面前毫无用武之地。病毒的这层"壳"在江民杀毒软件"虚拟机脱壳"技术之下原形毕露,而且江民杀毒软件早已经不用修改SSDT表的方式保护自身进程了,江民杀毒软件独有的"金钟罩"自我保护已经深入到系统内核的第三层,即内核中的内核,一般病毒根本无法进入这个层级,就连最专业的进程分析工具也只是在内核中的第二层,也终止不了江民杀毒软件进程。

      第二天,病毒作者一看一计不成,又施一计。这次,病毒不单加了一层更怪的生僻壳,而且还试图突破杀毒软件的主动防御技术。病毒对杀毒软件实施了监控,当病毒监控到杀毒软件主动防御弹出警报,提示用户发现可疑操作,是"允许"还是"禁止"这个程序的时候,病毒竟然发出指令,模拟人工操作鼠标点击"允许"。江民反病毒专家一看,马上在杀毒软件引擎里加了一组"对抗代码",禁止病毒模拟人工操作鼠标,而且把弹出窗口的文字隐藏,让病毒无法监控到报警动作,这样一来,病毒的第二计又以失败告终。

      就这样你来我往,这场猎人与狐狸的斗争一直交替持续到3月19日,江民安保小组的专家经过多次研究反复实验,研究出了一组"变幻广谱特征代码",他们坚信"磁碟机"再变,也无法突破这组代码。果然,从3月19日晚上10点后,"磁碟机"再也没有出现过新的变种。

      从奥运安保小组成立到6月份,江民奥运安保小组共截获并处理新病毒20万余种,为净化奥运网络空间,避免奥运期间病毒大规模爆发打下了坚实的基础。

      与国应中心联手 织就捉"马"天网

      正如公安部张新枫副部长在奥运会、残奥会结束后表彰大会中所讲,互联网四通八达,如何才能守护好网络安全,这是比地面的安保更为复杂的问题。要确保奥运期间网络安全,必须把事前的安全预防工作做的严丝密缝,不给病毒传播留下任何机会。奥运进入倒计时的前三个月,所有网络安保单位开始紧张起来,一场攻坚战开始打响。

      王江民介绍,当时公安部出台了一系列强有力的措施,比如所有网站经营者或所有者自查网站,杜绝网站被挂马和传播病毒,一旦发现立即拨掉服务器网线,整个奥运期间不得再接入互联网;要求集中抓捕一批病毒作者和传播者,震慑试图在奥运期间以身试法的黑客和网络犯罪分子。

      而江民奥运网络安保小组接到的重要任务是:与公安部以及国家计算机病毒应急中心共同研发一套网络安全软件,要求该软件能从数以亿万计的网站里,筛选出被挂病毒木马的网页,每日汇总上报给公安和主管机关;在从技术上分析病毒代码的同时,重点关注病毒作者和传播者留下的线索,汇总提交给公安部门,由公安部门根据实际情况对病毒作者实施法律手段,达到从根源上切断病毒源头的目的。

      在我国拥有三亿多网民的互联网海洋里侦测出带毒的网页,那该是多么巨大的工作量啊!而且,这些网页每日都在更新,今天侦测是正常的网页,很有可能明天就被挂上木马病毒。困难难不倒江民奥运安保小组的专家们,他们想出了一个个好办法,首先,开发了一套新的"云安全"广义网络技术,再利用江民公司20多年来积累的其他相关安全技术优势,进行昼夜攻坚战,在公安部以及国家计算机病毒应急中心的共同努力下终于研发出了互联网恶意挂马网页监控系统,立即投入24小时不间断地运行中。

      首先,对奥运相关网站、政府、行政事业单位网站进行重点侦测;再对Alexa排名2万名以内的网站进行针对性的侦测,因为这些网站访问量巨大,网页一旦被挂上木马,很有可能引起大规模的病毒疫情。

      这套系统投入后,到奥运结束,安保小组共向上级主管机关上报恶意网址6千多个,其中包括假冒"2008北京奥运"等网站,公安部以及国家计算机病毒应急中心等主管部门联合对一些安全问题严重的网站进行了封网等处理,有力保障了奥运期间的网络安全。

      黑客和病毒攻击实战模拟演练

      尽管之前已经做了无数遍的演练,奥组委网络安全指挥部还是不放心,为了做到万无一失,在奥运开幕前,指挥部召集各大奥运技术保障单位进行模拟黑客和病毒攻防演练,邀请中科院院士、公安部技术专家等网络安保专家现场观摹指导。

      北京顺义某会议中心,由江民奥运网络应急安保小组一班网络安全专家准时到达演习会场。主席台上,奥运网络安全保障专家严阵以待,观摹黑客和病毒攻防演习。"报告,病毒攻击演示准备完毕,请指示",演习指挥员发出指令,"开始演习",于是,一行行指令从安保小组成员的指间敲出,所有人都在紧张地工作着,电脑屏幕上图像在不断地发生变化,监测数据流量曲线呈波浪式起伏,终于,这条曲线开始变得平缓起来,最后形成了一条直线。演习现场变得安静下来。攻防小组组长汇报,"报告,病毒攻击被成功阻击,目前网络流量正常,网络运行正常"。成功了!所有观摹成员一起鼓掌,庆贺这场没有硝烟的战争的胜利。

      通过多次这样的攻防实战演习,充分展示了江民反病毒专家们的技术实力,实战演习也得到了与会专家的肯定,专家们一致认为,江民奥运网络安保小组是一支技术过硬的网络安全应急队伍,关键时候拉得出、打得响,是奥运网络安全重要的技术保障力量。

      挫败藏独"病毒战"阴谋

      8月8日,举世瞩目的2008北京奥运会开幕了。江民奥运网络安全保卫小组的成员依旧分三班,24小时值守机房,监控各套监测系统运行情况。

      8月18日,江民奥运网络安保小组副组长,公安部第29届奥运会网络安全指挥部技术保障专家何公道象往常一样,在江民全球病毒监控系统截获的上万个可疑文件中埋头分析着。细心的他发现,有几个WORD和PPT文档很是可疑,他想打开看看这些文档是什么内容,可是双击文档图标后, WORD界面在眼前一闪,就什么也看不见了!何公道凭十多年的反病毒经验感觉,这些文档里面肯定有文章。

      何公道将这些文档放入编译器生成二进制的源代码,果然,在WORD文件里发现有可执行的代码,双击文档其实也就是在运行这些可执行文件。再细看一下,何公道惊出了一身冷汗!病毒指向的竟然是境外的藏独网站,而同时在这些文档里还发现了大量的藏独反动图片、策划藏独活动的地点、联系人、联系方式等等。假如,病毒作者将这些文档通过蠕虫病毒的方式自动发送,假如他们将这些文档伪装成正常文档放在网站供人下载……何公道不敢再想,马上提取了病毒代码,立即升级了江民杀毒软件病毒库,并向国家主管部门进行了上报。由于处理的迅速及时,这些资料和病毒再也没有在网上出现过。

      从表面上看,整个奥运会期间,互联网安全方面很平静,"表面上没有大风大浪,也没有大的暗流涌动",公安部十一局黄小苏副处长形容整个奥运会期间的网络安全。而这样的情景,其实也正是大家最想得到和看到的。但是,为了实现这个目标,网络安保的英雄们在后台付出了多少的心血,"我们的目标是让英雄将来无用武之地",国家计算机病毒应急与处理中心副主任张健曾经这样说。

      王江民介绍,其实,奥运期间还是很紧张的。光江民奥运网络安保小组分析有攻击性的病毒就不知道有多少了,除了即时升级病毒库和免费发放专杀工具,广域监测,及时应急出动排障,我们还负责把这些病毒的传播源(病毒指向的网页和服务器地址)找到,然后提交给国家公安部门,由公安部门对这些病毒源头全面封堵,情节严重的病毒作者可能就被抓了。这次打击制作和传播计算机病毒的力度和范围前所未有,对病毒作者的震慑作用十分巨大。
这次奥运会网络安全能够比较平静,也正是安保部门和各大技术支持单位未雨绸缪,将大量的预防工作做在前面的结果。

      奥运结束后,许多媒体记者想采访王江民奥运期间有哪些惊险的故事,王江民说。奥运网络安保工作是由在奥组委、公安部、北京市信息安全指挥部等统一领导下,由不同部门、不同行业上百家单位通力协作的结果,不是哪一个人、哪一家单位能做得了的。尽管奥运结束后,奥组委、公安部、北京市信息安全指挥部、北京市信息办、国家计算机病毒应急处理中心等多个政府领导部门给江民科技颁发了多个荣誉证书,但我们并不认为自己做出了多大的贡献,我们只做了我们应该做的,功劳属于所有参加了此次奥运网络安保工作的人们!是他们不计酬劳、无怨无悔的工作和付出,才造就了2008北京奥运期间网络安全的大好局面,在网络上践行了党和国家对全世界人民做出的举办"平安奥运"的庄重承诺!