美國國家安全局在小布什時期得到美國政府授權於2007年起開始對美國境內外實施絕密的棱鏡計劃。PRISM監控的類型有10類:信息電郵,即時消息,視頻,照片,存儲數據,語音聊天,文件傳輸,視頻會議,登錄時間,社交網絡資料的細節,其中包括兩個祕密監視項目,一是監視、監聽民衆電話的通話記錄,二是監視民衆的網絡活動。在美國中情局前僱員愛德華·斯諾登爆料給英國《衛報》和美國《華盛頓郵報》時,奧巴馬已將該計劃發揚廣大,PRISM觸角延伸至全球各個重要國家,其中就包含中國。
據愛德華·斯諾登透露協助該計劃實施的有思科、Facebook、谷歌、微軟、蘋果、雅虎等IT巨頭。美國軍方及NSA等部門利用上述企業提供的網絡數據、漏洞、後門對其他國家進行機密資料盜取和網絡***。最典型的一次***是2010年美國利用網絡病毒Stuxnet,***伊朗布什爾核工廠計算機系統,該病毒利用Microsoft MS10-046漏洞造成伊朗近千臺離心機癱瘓,直接導致布什爾核電站推遲發電計劃。
在中國IT市場上微軟、思科、雅虎、蘋果等企業佔據大量市場份額。例如:思科至90年代進入中國市場,已逐步擴展到國家各個關鍵行業。思科幾乎參與了中國所有大型網絡項目的建設,政府、軍隊、海關、郵政、金融骨幹網等。然而思科網絡設備的操作系統中預留的GDB模式,NSA等部門可隨時對其植入***病毒。
在看我們所使用的個人操作系統幾乎80%都是Microsoft的產品。根據PRISM計劃,微軟在公開漏洞補丁之前,會將漏洞報告提交給NSA。在NSA利用該漏洞之後微軟纔對補丁進行升級。NSA利用漏洞做了什麼事,普通大衆無法知曉,甚至被美國認爲的敵對國家更不知情。這樣的安全隱患對敵對國傢俱有相當大的***力度,威力不比核武差。
試想,NSA或CIA通過惡意程序繞過前端安全設備的防禦,控制了我們主幹網絡的路由交換設備,並利用路由交換設備爲跳板對內網核心服務器和主機的操作系統漏洞進行******,當內網主機和服務器被植入惡意***後,將成爲傀儡。當發生網絡戰爭時,這些主機和服務器以及路由交換設備將成爲美軍戰士,美軍不僅可以利用傀儡主機和服務器發起***,甚至可直接將主幹路由交換設備癱瘓。
我們可以大膽的猜測,在近幾次中美網絡對抗交鋒中,我們都落敗於美國。究其原因,不是我們***技術落後,而是美國有先天的技術支撐。美國可以利用埋伏在中國各個關鍵節點網絡設備以及各種產品漏洞對我們進行有效打擊。
但美國若想對我們進行大規模網絡***,就得先設伏兵,佔取先機。雖然,我們在各大網絡節點都部署了成熟的安全產品,但未知漏洞與後門的主動權不在我們手裏,NSA和CIA可以利用PRISM輕易的對我們目前的網絡進行***。難道我們就沒有相應對策了?非也。任何遠程控制和***傳輸都必須與被控制主機建立連接,產生相應的網絡流量。遠程控制和***傳輸都具有一定的特徵。我們可以通過對特徵網絡流量的進行分析,檢測通訊流量中是否包含可疑的會話連接。
但是,遠程控制、漏洞***、***傳輸這些都不是持續性的,其可通過心跳技術、反彈技術或者間歇性遠程控制。NSA等部門會在不定時間和空間對所控制主機進行連接,以及對目標物進行******。在主幹鏈路對大量的IP會話進行實時解碼分析,這也不太現實。若想發現這些間歇性的惡意流量,我們可以對通訊流量進行備份存儲,對通訊流量的網絡應用分類鑑別,篩選網絡流量中存在的惡意通訊,解碼可疑會話。
當我們通過歷史流量分析後,對發現的可疑遠程IP和端口,就可在安全設備和三層設備上對添加策略阻斷,並對感染主機進行隔離查殺。以此防止隱藏威脅,在網絡戰中造成損失。來自CSNA網絡分析論壇