提起国家计算机病毒应急处理中心这个名称，可能很多读者都会有所耳闻，因为由其发布的“每周病毒预报”总是会出现在各大媒体的显著位置或央视的黄金时间段。随着全球信息技术的迅猛发展，计算机信息网络已应用于社会各个行业，渗透到人们的生活之中。与此同时，网络犯罪亦相伴而生,特别是通过发布、传播计算机病毒而进行的网络犯罪，更是让计算机用户防不胜防,甚至严重威胁到国家安全。国家计算机病毒应急处理中心正是在这种情况下于2001年成立的。那么，一份“每周病毒预报”是如何出炉的？如今我国计算机病毒发展态势如何？中心是如何应对计算机病毒疫情、确保网络安全的呢？网络警察是如何通过计算机病毒代码留下的蛛丝马迹侦破网络犯罪案件的呢？带着一系列问题，记者走进了位于天津经济技术开发区的国家计算机病毒应急处理中心。

　　建我国唯一国家级病毒样本库

　　设我国唯一防毒产品检测机构

　　国家计算机病毒处理中心是经公安部推荐，由原国信办于2001年批复建立，由天津市公安局具体承建的，主要职责是充分调动国内防病毒力量，快速发现和处置计算机病毒疫情与网络攻击事件，保卫我国计算机网络与重要信息系统的安全。其下设的计算机病毒防治产品检验实验室是公安部授权的我国唯一的计算机病毒防治产品和移动安全产品检测机构，负责国内外所有防病毒产品和移动安全产品在我国上市发布前的检测工作，与此同时，他们还承担着全国计算机病毒、木马与黑客攻击案件的鉴定工作，具有协助各地公安系统破获网络犯罪案件的职责。可以说，这里的工作人员都是“身兼数职”。

　　在病毒处理中心副主任陈建民的带领下，记者参观了中心的办公大楼。在一扇紧闭的小门前，陈主任停下来对记者说：“这里是我们的核心机房，别看外观不起眼，但是设备非常先进，这里有中国最大最权威的国家级计算机病毒样本库，属于国家战略资源；另外我们研发的几大核心监测系统和我们用来采集恶意代码样本的蜜罐系统也都在这里，可以说这里是我们中心的心脏。”

　　在国家计算机病毒应急处理中心应急指挥调度室，记者看到一面巨大的LED屏幕，屏幕上显示了一张世界地图，全球的主要城市在这上面都有显示。记者发现，屏幕上不停有红色十叉图标在世界各地跳动。陈建民解释说，“这是我们监测到的当前全球网络安全状况，这是实时显示的，出现红色十叉说明这个地方的用户正在遭受攻击或病毒感染，也可能已经被加载了恶意代码，即被‘挂马’。通过这个监测系统，我们可以实时监控全球各地的病毒传播和网站‘挂马’情况。当然我们也有专门收集样本的系统，我们业界称为‘蜜罐’，即我们故意设置一些存有漏洞的服务器，引诱黑客来攻击，在遭受攻击的同时，我们可以收集攻击方的信息，采集病毒样本，并对这些采集来的信息进行技术分析。此外，中心与各大防病毒厂商合作，他们会定期上报最新采集到的病毒样本。以上这些都为我们通过央视、新华社等媒体对外发布预警信息提供了真实可靠的数据支撑。”

　　记者问，防病毒厂商的样本又是如何采集的呢？他们是不是也利用“蜜罐”呢？

　　陈建民说，目前所有防病毒厂商都非常重视样本的采集，也都建有自己的“蜜罐”。公司实力越强，“蜜罐”分布越广泛，数量也越多。防病毒厂商还有一个巨大的资源就是他们的用户，目前防病毒厂商纷纷推出云查杀技术，如果你在安装产品时同意加入云平台，并同意上报可疑文件，那么你就已经成为防病毒厂商天然的 “蜜罐”。可以这样讲，在目前来看，防病毒市场的竞争，很大一部分是在竞争用户数量，用户数量大，收集病毒样本就会多，病毒库容量大、更新快，防毒效果就会提高，市场占有率就会更大。目前，一些网络服务提供商纷纷研发防病毒产品，由于他们有着庞大的用户群，如今也成为我们的重要合作伙伴，及时监测、上报病毒传播情况，比如腾讯、中国移动等。

　　作为“蜜罐”一分子的记者有些担心，问道：软件公司会不会为了获得更多病毒样本，而在软件中留下较大漏洞，从而影响用户信息安全呢？

　　陈建民告诉记者：我们的主管部门早就注意到这一点，所有防病毒产品的质量是需要经过检测的，合格后才可以上市。计算机病毒防治产品检验实验室的工作正是为了保证这些产品的安全性。而且，按照公安部的统一要求，信息安全企业送检时，都签订了安全承诺书，声明其产品不具有违反法律法规规定、侵害公民、法人和其他组织合法权益的功能，并郑重承诺按照国家有关规定和标准要求生产、销售产品，保证送检产品功能与实际销售产品功能一致，提交的材料真实、有效。如有虚假或违反法律规定等行为，将承担由此造成的一切后果及相关法律责任。

　　在产品检验实验室，记者看到工程师们正在电脑上，对新送检的样品进行逐段代码的运行。检验部部长曹鹏介绍说：拿到一款防病毒产品，工程师会从病毒样本库中抽取对应的计算机病毒，按照一般用户操作过程，使用产品对病毒进行查杀，从而检测产品的病毒检测率及清除率，此外还要关注防毒产品的误报率，即将正常代码误判为病毒代码。此后，需要按照国家标准对软件各段代码进行分检，主要是看其中是否有恶意代码，对产品自身安全性进行评估。当产品各项指标都合格后，还要对其研发人员、所属公司的信息进行备案。最后合格产品才可以上市。这些产品不仅包括收费产品，也包括供用户免费使用的产品。

　　曹鹏告诉记者：近几年，计算机病毒防治产品的种类增长很快，形态也发生很大变化。2007年有25家企业送检40多个产品，而2011年则有40家企业送检100多个产品。随着移动互联网用户增多，移动防病毒网关、移动终端防毒软件的产品都发展很快。随着基于IPv6协议的国家下一代互联网工程的启动，实验室也开始进行IPv6下一代互联网信息安全产品的专项测试工作。

　　模拟攻击寻找网络漏洞

　　阻击黑客先要超越黑客

　　工程师马勇的工作，可以用“伪黑客”三个字来概括。他的工作内容是对国内几百家重点政府网站和重要信息系统网站进行安全检查，并对其中出现漏洞或已经遭到攻击的网站提出整改方案。那么他用什么手段进行检查呢？答案是黑客的手段，搜集资料、用漏洞扫描仪或人工方式寻找网站漏洞、进入管理后台、修改网站内容。如果他顺利完成这些，有时会恶作剧似的修改网站内容，如加个标点或填个空格，那么这也是该网站有严重安全漏洞的铁证。马勇说，我的工作与黑客的行为很相似，但是我的目的是找到安全隐患从而去加固，而黑客的目的是利用安全隐患为自己谋利。我的行动要比黑客更快，要及早发现，及时整改，才能达到预防的目的。

　　此外，中心还要对几十家重点网站进行实时安全监控。安全检测系统会随时将网站出现的问题通过手机短信发送给工程师。可以说，马勇和同事是“五加二、白加黑”的工作制，一旦出现重大问题，他们必须在第一时间分析原因并会商解决方案。很多次，重大活动网站在上线前一天，他们才接到进行安全检测的任务，马勇和同事必须连夜工作，提交分析报告，并连夜制定整改方案。达沃斯论坛网站的一个漏洞，就是在这样的情况下被发现的。近些年，随着社会对网络安全的重视程度提高，网站安全度在不断提升。2008年到2010年，马勇所在小组对天津400多家政府和重点企事业网站进行抽查，结果80%的抽查网站有高危漏洞，如今高危网站已经下降到20%左右。

　　记者很奇怪，是什么因素造成国家重点网站也会出现如此多的安全隐患呢？马勇告诉记者，如今建设网站非常方便，有各种网站编辑器，网上还有很多开源的源代码供使用者下载。然而这些源代码可能本身就存在漏洞，加上使用者众多，也会吸引众多黑客对其进行研究，这就导致其漏洞不断增多。我们强调网站正式上线前，都应先进行安全测试，但是目前来看，这一要求并不是100%可以执行。此外，一些网站在建立时投入很大，但是随后的维护、升级难以跟上，也造成了安全隐患。另有一些政府部门或重点企业将网站交给网络服务公司托管，这些公司有的自身技术就存在漏洞，有的由于网站漏洞数量太多，管理不及时，导致网站被黑客植入后门，在此后的管理中，漏洞被弥补了，但是后门没有被发现，于是造成了更大的安全事故。近些年，一些国内重要网站屡次出现被黑客持续攻击的情况，这些黑客不达目的不罢休，长时间、迂回性地对网络进行攻击。比如黑客会侧面搜集管理员、使用者的信息，通过u盘、管理员个人电脑、邮箱等手段，想方设法将病毒植入系统，或者获取管理员身份信息、密码，从而达到控制网站的目的。这也加大了安全保障的难度。

　　工作这些年，马勇总结出黑客在攻击政府部门时的几类犯罪目的，一小部分出于泄愤，另一部分是基于政府网站的可信度较大这个原因，黑客在网站上添加指向钓鱼网站的跳转脚本，从而获利，再有一部分是出于政治目的。

　　一些重大活动的网站，由于媒体关注度高，社会影响力大，非常容易成为黑客的攻击目标。国家计算机病毒应急处理中心在这类网站的安全监管上下了很多功夫，在活动举办期间，还会派工作人员在活动现场提供技术支持。工程师李冬告诉记者，天津历届达沃斯论坛、2008年北京奥林匹克运动会、2010年上海世博会、2012年发展中国家科学院院士大会等大型活动中心都进行了现场安全检测和技术支持。

　　马勇告诉记者，黑客网络犯罪最近几年呈现出一些新的发展态势，比如以往黑客的技术水平通常较高，编写计算机病毒程序、攻击网站，很大一部分是为了炫耀自己的技术，而如今黑客的趋利性更明显，大多数是为获得经济利益。目前顶尖黑客多是自己编写程序，中等水平的则是自己编写一部分，再套用一部分已有程序，而目前人数最多、危害最大的则是有“脚本小子”之称的底层黑客，他们奉行拿来主义，将已有（多是购买而来的）病毒进行大量传播，从中牟取巨额利益。这些人对网络进行攻击时，多使用国外的代理服务器，在国家之间难以协同办案的情况下，很难追查出作案人的信息而难以破案。所以，提高国家的信息安全防御技术、完善管理体系，把工作做在前面，才是阻击黑客最有效的办法。

　　为了使我国信息安全领域在国际上占有一席之地，中心也始终紧盯国际顶尖技术，因此中心选取业界的技术顶尖者作为境外培训机构，如俄罗斯卡巴斯基实验室、菲律宾趋势科技全球支持中心、印度McAfee全球研发中心，他们都在专业领域代表着世界最高水平。由于趋势科技拥有全球最先进的安全事件应急处理技术，中心就曾连续7年派员到菲律宾趋势科技全球支持中心培训。为了避免纸上谈兵，快速提高实战能力，每次境外培训，中心都要求外方必须提供模拟实验环境，培训课程全部在机房进行，特别强调实际动手能力。同时要求所有参训人员务必携带笔记本电脑，以便晚上在房间继续熟悉各种分析工具的使用，如2006年年底中心赴趋势科技培训恶意代码追踪技术，2007年就将熊猫烧香病毒制作者定位在湖北。

　　程序代码中寻破案线索

　　公众需警惕病毒隐形化

　　提到“熊猫烧香”，可能大部分读者都会心有余悸，2006年，那次病毒疫情让很多用户的计算机都成为了满屏熊猫。参与破获这起案件的工程师张鑫向记者透露了那场“熊猫战役”的细节。

　　中心在2006年11月份通过对互联网监测发现“熊猫烧香”病毒及其变种后，通过“计算机病毒与网络攻击监测预警系统”对该病毒进行跟踪监视，收集“熊猫烧香”病毒及其变种的样本。并通过对病毒样本的分析，发现病毒制作者在病毒代码中留有“武汉男生感染下载者”和“whboy”等重要线索。此外，利用已掌握的情况联合腾讯公司在网上深入挖掘线索，发现病毒制作者的多个QQ号、所参加的QQ群和嫌疑人经常上网的IP地址涉及武汉杭州等地，以及病毒制作者在QQ群中贩卖病毒的相关证据。

　　在案件侦破过程中，张鑫和同事们对后期仙桃公安局网监大队获取的部分病毒源码与病毒中心先期掌握的病毒样本进行详细分析、对比，发现该段代码与病毒中心掌握的网上传播的“熊猫烧香”病毒极其相似，为后来确定犯罪嫌疑人提供了重要依据。抓获犯罪嫌疑人后，病毒中心技术人员通过对犯罪嫌疑人电脑中提取的数据进行分析，发现多个类似“熊猫烧香”病毒源代码文件。中心又按照法律程序对从犯罪嫌疑人电脑中提取的源代码程序与收集到的在网上流传的“熊猫烧香”病毒及其变种的多个样本从感染方式、反汇编对比以及病毒程序源代码对比等多个方面进行技术鉴定，证明有极高相似性，从而确定嫌疑人电脑中提取的程序源代码确为“熊猫烧香”病毒源代码文件，证明犯罪嫌疑人确为该病毒制作者。

　　分析近年来的黑客网络犯罪案件，张鑫坦言，虽然近几年没有出现如同“熊猫烧香”那样全民皆知的黑客网络案件，但是网络安全问题依然不容乐观。

　　首先，从百姓日常生活来看，我国境内网站，特别是各级政府部门网站（gov.cn）频繁被境外黑客入侵，平均每月有将近2000个左右。境外存在大量的假冒我国银行网站实施网上钓鱼诈骗，使我国网民蒙受了巨大的经济损失。根据国家互联网应急中心（CNCERT）监测，全世界被控的僵尸网络有71%位于我国，我国每周新增被控计算机数量超过30万台。我国今年第一季度恶意样本感染量为305420866台计算机，环比上升了119%。

　　“熊猫烧香”的制作者李俊一开始将病毒制作得显而易见，很大程度是出于显示自己技术的意愿。而近两年，网络犯罪更多是追求经济利益，各类网络金融机构、网络游戏、网络交易平台等都成为了黑客的主要目标。侵财型犯罪将主要利用计算机、网络和黑客技术等手段实施。目前这类案件已由利用计算机盗窃发展到了网上诈骗、网上敲诈勒索、利用网络非法传销，等等。同时，盗窃、诈骗等传统犯罪被犯罪分子移植到计算机网络后，高科技也给这类犯罪带来了更大的欺骗性和隐蔽性。隐蔽性包括两方面：一方面任何恶意代码都希望在被感染的计算机中隐藏起来不被发现，因为只有在不被发现的情况下，才能长期实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验。另一方面，大多数计算机网络犯罪都是行为人经过周密安排，犯罪分子只需要向计算机输入相应的指令，篡改某些程序，其作案时间短且对计算机网络硬件和信息载体不会造成任何损坏，作案不留痕迹，一般人很难觉察到发生在计算机软件上的变化。

　　其次，从国家安全方面来看，危害国家安全的案件持续上升。随着计算机信息网络应用不断普及，国家、集体、个人的事务都逐渐运行到信息网络上，针对国家、集体或个人的黑客犯罪将表现为入侵重要信息系统、盗取国家机密信息等。国家之间的战争或仇视，也将主要表现为摧毁对方的重要计算机信息系统，危害性极大。2010年出现的“震网”病毒，是专门针对工业控制系统发动攻击的恶意软件，能够攻击石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施，被称为“网络导弹”。这种病毒可以说是为全世界敲响了警钟，计算机病毒不仅会影响互联网系统，随着工业电脑控制的应用、物联网技术的普及，计算机病毒也将深入社会生活的各个层面，我们乘坐的电梯、驾驶的汽车也可能受到计算机病毒的影响。随着信息和秘密越来越集中于计算机，利用网络窃取或泄露国家政治、经济、军事、科技等机密将成为间谍活动的主要手段，网上秘密争夺战也将愈演愈烈。

　　此外，在计算机实行全国或跨国联网的情况下，犯罪嫌疑人可在任一时间、任一地区、甚至任一国度作案。李俊利用国内的服务器进行病毒销售，留下了犯罪记录，从而使公安人员得以追查。如今很多网络犯罪嫌疑人经常使用国外服务器，公安部门如要进行追踪，需跨国取证，这非常困难，成本也极高。网络犯罪的高智能性和隐蔽性以及防范技术的落后，带来了案件侦破任务的艰巨性、犯罪的成功率相对较高、大量的网络犯罪未被发现、犯罪分子逍遥法外等问题更多。由于风险极低，犯罪分子就敢于利用计算机信息系统安全性的缺陷实施犯罪行为，这一犯罪人群也在向着低龄化、低文化程度化发展。


　　张鑫告诉记者：“我接触过的很多青少年网络犯罪嫌疑人，有很多孩子并不把自己的行为看作是犯罪，有的还认为是进行一种‘智力游戏’。他们觉得自己侵入他人计算机、网络系统并没有造成经济损失就不是犯罪。”所以，防御计算机病毒，不仅要加强专业人才培养、提高技术力量，更重要的是加强法制教育、增强相关人员的法制观念。通过法律、法规的宣传和普及，让相关人员了解什么行为该做或不该做，从而清洁网上环境，规范网上行为,增强广大网民的法律意识，让他们自觉守法。同时要发展良好的网络教育文化。尤其要加强对青少年伦理道德教育，必须进行人格养成教育，使青少年自觉地遵守作为一个公民必须具备的道德准则。这就要求教育体制适应网络时代的需要，增加新的教学内容，树立与时代合拍的价值观和人生观

(责任编辑：aqxh)