2008年1月22日,距离2008北京奥运会还有180天。这天,一辆轿车从北京市政府大院开出来,径直向中关村江民科技公司开去。来到中关村5A级的写字楼——数码大厦门前停了下来。车上走下来一个人,坚毅的脸上充满了自信与从容,他就是北京江民科技董事长王江民,第29届奥运会组委会技术部特聘的信息网络安全专家,北京网络行业协会信息安全应急响应与处置中心主任。他刚刚在北京市信息安全应急总指挥部开了一个重要会议。此行,王江民刚刚接受了一项重要任务,为奥运会成功举办在互联网络上做好前期的病毒预警监测、应急事故排除和技术支持等工作。光荣的使命和荣誉,也意味着承担着巨大的责任和义务,他和他的公司责无旁贷。
走进公司,王江民与公司总裁陶新宇,立即召集公司所有部门经理、反病毒专家、研发工程师、技术支持工程师开会。江民科技技术研发骨干都到齐了。会后,一个以董事长王江民为总指挥,总裁陶新宇为组长,副总经理、国际知名反病毒专家、公安部奥运信息安保应急响应指挥部特聘专家何公道、严绍文为副组长,由江民科技近百位研发、技术服务人员组成的江民科技奥运信息网络安保应急响应小组开始正式运转。
王江民宣布,江民科技2008北京奥运网络安全保卫应急响应小组今天正式成立,从今天起,江民公司要进入奥运网络安保紧急状态,全力协助国家公安机关、政府信息主管部门做好奥运网络安保的各项措施,在技术上,加大对各种计算机病毒、挂马网页、系统漏洞、网络安全的监控,紧急免费推出专杀安全软件,即时进行反病毒软件的紧急升级。充分强化并发挥公司几年前发布的“云安全”系统,每日将监控结果整理成材料上报给国家相关主管部门,应急响应小组24小时全方位做好应急处理病毒疫情、网站挂马等事件的准备。
早在2007年11月,王江民作为国内杀毒厂商中唯一的反病毒专家被奥组委技术部特聘为第29届奥林匹克运动会组织委员会技术部信息网络安全专家。从那时起,如何保障2008北京奥运网络安全,充分发挥江民科技在计算机反病毒领域的技术实力,成为王江民工作日程中的头等大事。
追杀“磁碟机”!奥运网络安保首场攻坚战
每日的病毒监控,总结汇报,日子一天一天地过去,每天发生的病毒疫情及一些依靠网页挂马的新木马病毒,也都被江民反病毒中心及时发现并阻断。然而,3月4日,江民科技奥运网络安保小组发现,早在去年就被截获的“磁碟机”开始频繁变种,最多的一天之内竟然出现三个变种!这种病毒会配合和激发具有网络攻击的ARP病毒,增强病毒的网络攻击性,会造成大面积的网络瘫痪,后果十分严重。江民奥运网络安保小组副组长、公安部奥运信息安保应急响应指挥部特聘专家何公道立即安排反病毒组成员紧急采取措施,连夜升级了反病毒软件,并配合北京市网络行业协会,发布了病毒警报,公布了病毒求助热线。然而,由于“磁碟机”采用了新的技术,疯狂破坏杀毒软件,许多自我保护能力不够强壮的杀毒软件纷纷被破坏失效,病毒疫情开始逐步扩大。
虽然江民早在3月6日就采取了措施,并向上级主管部门进行了汇报,然而,到了3月14日,“磁碟机”的疫情仍然在局部爆发,上千家企业局域网、数万台电脑被病毒感染,被感染的电脑分布在政府、企事业等众多单位和部门,网络严重堵塞、甚至陷入瘫痪,病毒造成的危害及损失十倍于“熊猫烧香”。如果此事发生在奥运期间,那该多么可怕!疫情就是命令!总指挥王江民当即拍板,虽然江民科技杀毒软件独有坚强的“金钟罩”自我保护技术,能抵抗病毒的破坏,但不能等其它杀毒软件都加强自身保护技术再来抵卸“磁碟机”了!我们应立即发布“磁碟机”病毒专杀软件,在互联网上免费提供给所有电脑用户下载;奥运网络安保小组成员24小时轮班监控“磁碟机”,一发现有新的变种出现,立即升级专杀软件;搜集病毒作者留下的所有蛛丝马迹,随时向公安部门报告;向全国发布“磁碟机”病毒追杀令,号召所有的电脑用户合力围剿“磁碟机”。一张抓捕“磁碟机”的大网已经向病毒作者和传播者的头上罩去!
“磁碟机”病毒作者并不想轻易善罢甘休。3月14日江民奥运安保小组的专家刚刚发布“磁碟机”专杀工具第一版,晚上,“磁碟机”病毒作者就升级了病毒。病毒先是在自己身上加密了一层伪装的“壳”,让杀毒软件无法识别,再尝试关闭杀毒软件进程,并通过计算机系统深层的“钩子”程序修改SSDT表,让杀毒软件监控失效。可惜病毒的这些伎俩对付一般的杀毒软件还可以,在江民杀毒软件面前毫无用武之地。病毒的这层“壳”在江民杀毒软件“虚拟机脱壳”技术之下原形毕露,而且江民杀毒软件早已经不用修改SSDT表的方式保护自身进程了,江民杀毒软件独有的“金钟罩”自我保护已经深入到系统内核的第三层,即内核中的内核,一般病毒根本无法进入这个层级,就连最专业的进程分析工具也只是在内核中的第二层,也终止不了江民杀毒软件进程。
第二天,病毒作者一看一计不成,又施一计。这次,病毒不单加了一层更怪的生僻壳,而且还试图突破杀毒软件的主动防御技术。病毒对杀毒软件实施了监控,当病毒监控到杀毒软件主动防御弹出警报,提示用户发现可疑操作,是“允许”还是“禁止”这个程序的时候,病毒竟然发出指令,模拟人工操作鼠标点击“允许”。江民反病毒专家一看,马上在杀毒软件引擎里加了一组“对抗代码”,禁止病毒模拟人工操作鼠标,而且把弹出窗口的文字隐藏,让病毒无法监控到报警动作,这样一来,病毒的第二计又以失败告终。
就这样你来我往,这场猎人与狐狸的斗争一直交替持续到3月19日,江民安保小组的专家经过多次研究反复实验,研究出了一组“变幻广谱特征代码”,他们坚信“磁碟机”再变,也无法突破这组代码。果然,从3月19日晚上10点后,“磁碟机”再也没有出现过新的变种。
在从技术上阻击“磁碟机”的过程中,江民奥运网络安保小组发现了“磁碟机”病毒作者留下众多的蛛丝马迹,安保小组在病毒代码里提取了病毒使用的光纤服务器IP地址,并准确定位到了某机房,技术人员将这些资料详细分析出来,提交给了公安部门,一张抓捕病毒作者的大网在紧紧收拢。3月31日,奥运安保小组成员监测发现,“磁碟机”病毒已经连续11天没有最新的变种出现,而且由于现在没有最新的病毒变种出现,和病毒配合传播的ARP病毒也已经逐渐减少。奥运网络安保小组的专家们这时才可以松一口气,或者此时病毒作者已经被关押在某看守所了,不过这已经不是他们关心的了,他们关心的是,让许许多多的电脑用户终于完全摆脱了病毒的困扰,正常使用上电脑和网络,恢复了正常的工作和学习,让中国顺利举办首次奥运会。
从奥运安保小组成立到6月份,江民奥运安保小组共截获并处理新病毒20万余种,为净化奥运网络空间,避免奥运期间病毒大规模爆发打下了坚实的基础。奥运前三个月,网络安保攻坚战
正如公安部张新枫副部长在奥运会、残奥会结束后表彰大会中所讲,互联网四通八达,如何才能守护好网络安全,这是比地面的安保更为复杂的问题。要确保奥运期间网络安全,必须把事前的安全预防工作做的严丝密缝,不给病毒传播留下任何机会。奥运进入倒计时的前三个月,所有网络安保单位开始紧张起来,一场攻坚战开始打响。
公安部出台了一系列强有力的措施,比如所有网站经营者或所有者自查网站,杜绝网站被挂马和传播病毒,一旦发现立即拨掉服务器网线,整个奥运期间不得再接入互联网;要求集中抓捕一批病毒作者和传播者,震慑试图在奥运期间以身试法的黑客和网络犯罪分子。
江民奥运网络安保小组接到的重要任务是:与公安部以及国家计算机病毒应急中心共同研发一套网络安全软件,要求该软件能从数以亿万计的网站里,筛选出被挂病毒木马的网页,每日汇总上报给公安和主管机关;在从技术上分析病毒代码的同时,重点关注病毒作者和传播者留下的线索,汇总提交给公安部门,由公安部门根据实际情况对病毒作者实施法律手段,达到从根源上切断病毒源头的目的。
在我国拥有三亿多网民的互联网海洋里侦测出带毒的网页,那该是多么巨大的工作量啊!而且,这些网页每日都在更新,今天侦测是正常的网页,很有可能明天就被挂上木马病毒。困难难不倒江民奥运安保小组的专家们,他们想出了一个个好办法,首先,开发了一套新的“云安全”广义网络技术,再利用江民公司20多年来积累的其他相关安全技术优势,进行昼夜攻坚战,在公安部以及国家计算机病毒应急中心的共同努力下终于研发出了互联网恶意挂马网页监控系统,立即投入24小时不间断地运行中。
首先,对政府、行政事业单位网站、奥运相关网站进行重点侦测;再对Alexa排名2万名以内的网站进行针对性的侦测,因为这些网站访问量巨大,网页一旦被挂上木马,很有可能引起大规模的病毒疫情。
这套系统投入后,到奥运结束,安保小组共向上级主管机关上报恶意网址6千多个,其中包括假冒“2008北京奥运”等网站,公安部以及国家计算机病毒应急中心等主管部门联合对一些安全问题严重的网站进行了封网等处理,有力保障了奥运期间的网络安全。
黑客和病毒攻击实战模拟演练
7月20日,北京开始实施车辆单双号限行,几百万辆车一下子减少了一半,空气格外清新,满大街都是喜迎奥运的旗帜和标语,所有的一切让人感受到,奥运真的来了!
尽管之前已经做了无数遍的演练,奥组委网络安全指挥部还是不放心,为了做到万无一失,在奥运开幕前,指挥部召集各大奥运技术保障单位进行模拟黑客和病毒攻防演练,邀请中科院院士、公安部技术专家等网络安保专家现场观摹指导。
北京顺义某会议中心,由江民奥运网络应急安保小组一班网络安全专家准时到达演习会场。主席台上,奥运网络安全保障专家严阵以待,观摹黑客和病毒攻防演习。“报告,病毒攻击演示准备完毕,请指示”,演习指挥员发出指令,“开始演习”,于是,一行行指令从安保小组成员的指间敲出,所有人都在紧张地工作着,电脑屏幕上图像在不断地发生变化,监测数据流量曲线呈波浪式起伏,终于,这条曲线开始变得平缓起来,最后形成了一条直线。演习现场变得安静下来。攻防小组组长汇报,“报告,病毒攻击被成功阻击,目前网络流量正常,网络运行正常”。成功了!所有观摹成员一起鼓掌,庆贺这场没有硝烟的战争的胜利。
通过多次这样的攻防实战演习,充分展示了江民反病毒专家们的技术实力,实战演习也得到了与会专家的肯定,专家们一致认为,江民奥运网络安保小组是一支技术过硬的网络安全应急队伍,关键时候拉得出、打得响,是奥运网络安全重要的技术保障力量。我为奥运大厦员工培训一个半月
提到奥运网络安保工作,江民奥运网络安保小组的小秦现在仍然显得兴奋。“我在奥运开幕前为奥运大厦员工进行了一个月的病毒知识和防范技术培训”,给小秦留下深刻印象的是奥运大厦的安保太严了,“最开始的时候我们进去不但要拿身份证,而且要里边的工作人员出来领我才能进去”,为了让奥运大厦的员工能够迅速了解和掌握病毒防范知识和技术,小秦准备了一百多页的PPT,包括了病毒起源到现在最新的病毒技术和传播途径,以及各种防范技术,还有几十种安全工具使用和操作。
小秦每周末为奥运大厦员工进行病毒防范知识培训,他们都亲切地称他为小秦老师,有的员工还邀请小秦在比赛正式开始后去看奥运。小秦谢绝了奥运大厦员工的邀请,他说我是江民奥运安保小组的成员,奥运期间我们需要24小时待命处理应急事件,哪有时间去看奥运比赛呢。不过,小秦他们在北京信息办值班的时候,也看了一些比赛场面,值班室里有大屏幕,所有值班的人就在值班室里待命,没事的时候看看比赛,比到现场还激动,因为,“奥运成功的背后,也有我的一份功劳”。
誓师大会,为平安奥运不惜一切代价!
8月3日,距离奥运会正式开幕还有5天,北京市公安局网络安全指挥部再次召开了全体信息与网络安全特聘专家、安全保障技术支持单位会议。会议再次强调,各单位和专家务必尽最大力度确保奥运期间网络安全。也可能是领导没好意思要求安保单位“要不惜一切代价”投入到奥运网络安保工作中去,只是说“要尽最大力度”的话。王江民当场表态,江民公司将不惜一切代价,投入到奥运网络安保工作中去!8月4日,江民科技召开奥运网络安全保卫小组誓师大会,所有小组成员逐一表示决心,一定要为奥运期间的网络安保工作尽最大努力,并把能够有幸从事奥运会网络安保工作视为自己一生中重要的荣誉。
江民奥运网络安全保卫小组又对所有技术装备进行了检查和自查。公司五辆奥运网络安保应急专用车辆,未经总指挥特许不得派作其它任何用途;包含五十二款安全工具包光盘,所有工具使用正常;奥运网络安保恶意网页监控系统运转正常,江民全球计算机病毒预警和监测系统运转正常!为了让监测系统运算能力更强,速度更快,王江民总指挥指示公司网络部门,在奥运期间特别增加1000M带宽,“所有工作给奥运网络安保工作让路,合作项目尽量向后推迟”,王江民说到做到。
“我国为举办奥运期盼了近一百年,人的一生中能遇到几次这样重大的历史事件?”,王江民反复强调奥运网络安保工作的重要性。江民奥运网络安保小组又把十几套不同的应急预案演示了一遍又一遍,直到深夜十二点,终于大家都认为万无一失了,王江民才松了一口气,“好了,今天就到这里,大家严格按照既定方案执行,我请大家吃宵夜”。几十名安保小组成员绷紧的神经这才放松下来,气氛开始变得轻松起来。上兵伐谋 不战而屈人之兵
8月8日,举世瞩目的2008北京奥运会开幕了。江民奥运网络安全保卫小组的成员依旧分三班,24小时值守机房,监控各套监测系统运行情况。
8月18日,江民奥运网络安保小组副组长,公安部第29届奥运会网络安全指挥部技术保障专家何公道象往常一样,在江民全球病毒监控系统截获的上万个可疑文件中埋头分析着。细心的他发现,有几个WORD和PPT文档很是可疑,他想打开看看这些文档是什么内容,可是双击文档图标后, WORD界面在眼前一闪,就什么也看不见了!何公道凭十多年的反病毒经验感觉,这些文档里面肯定有文章。
何公道将这些文档放入编译器生成二进制的源代码,果然,在WORD文件里发现有可执行的代码,双击文档其实也就是在运行这些可执行文件。再细看一下,何公道惊出了一身冷汗!病毒指向的竟然是境外的藏独网站,而同时在这些文档里还发现了大量的藏独反动图片、策划藏独活动的地点、联系人、联系方式等等。假如,病毒作者将这些文档通过蠕虫病毒的方式自动发送,假如他们将这些文档伪装成正常文档放在网站供人下载……何公道不敢再想,马上提取了病毒代码,立即升级了江民杀毒软件病毒库,并向国家主管部门进行了上报。由于处理的迅速及时,这些资料和病毒再也没有在网上出现过。
从奥运会开幕到闭幕,江民公司同其他安保单位一样,堵住了一个个病毒攻击,填补了一个个系统漏洞,光发现新病毒就达十几万个,上报数千个恶意挂马网站,出动许许多多次应急行动,及时解决了出现的新问题,保障了相关单位的网络安全,有力保障了奥运期间的网络正常运行。
从表面上看,整个奥运会期间,互联网安全方面很平静,“表面上没有大风大浪,也没有大的暗流涌动”,公安部十一局黄小苏副处长形容整个奥运会期间的网络安全。而这样的情景,其实也正是大家最想得到和看到的。但是,为了实现这个目标,网络安保的英雄们在后台付出了多少的心血,“我们的目标是让英雄将来无用武之地”,国家计算机病毒应急与处理中心副主任张健如是说。
何公道介绍,其实,奥运期间还是很紧张的。光江民奥运网络安保小组分析有攻击性的病毒就不知道有多少了,除了即时升级病毒库和免费发放专杀工具,广域监测,及时应急出动排障,我们还负责把这些病毒的传播源(病毒指向的网页和服务器地址)找到,然后提交给国家公安部门,由公安部门对这些病毒源头全面封堵,情节严重的病毒作者可能就被抓了。这次打击制作和传播计算机病毒的力度和范围前所未有,对病毒作者的震慑作用十分巨大。
这次奥运会网络安全能够比较平静,也正是安保部门和各大技术支持单位未雨绸缪,将大量的预防工作做在前面的结果。
奥运结束后,许多媒体记者想采访王江民奥运期间有哪些惊险的故事,王江民说。奥运网络安保工作是由在奥组委、公安部、北京市信息安全指挥部等统一领导下,由不同部门、不同行业上百家单位通力协作的结果,不是哪一个人、哪一家单位能做得了的。尽管奥运结束后,奥组委、公安部、北京市信息安全指挥部、北京市信息办、国家计算机病毒应急处理中心等多个政府领导部门给江民科技颁发了多个荣誉证书,但我们并不认为自己做出了多大的贡献,我们只做了我们应该做的,功劳属于所有参加了此次奥运网络安保工作的人们!是他们不计酬劳、无怨无悔的工作和付出,才造就了2008北京奥运期间网络安全的大好局面,在网络上践行了党和国家对全世界人民做出的举办“平安奥运”的庄重承诺!
