computernetwork(internetwork)

9月5日，国家计算机病毒应急处理中心发布《西北工业大学遭NSA网络攻击调查报告(一)》。图/IC图

9月5日，国家计算机病毒应急处理中心和360公司分别发布了西北工业大学(简称“西工大”)遭受境外网络攻击的调查报告，初步认定攻击源自美国国家安全局(NSA)量身定制接入行动(TAO)办公室。

对此，外交部发言人毛宁5日在例行记者会上表示，美方行为严重危害中国国家安全和公民个人信息安全。中国对此表示强烈谴责，并要求美国做出解释，立即停止这一非法行为。毛宁说，有关调查报告揭露了美国政府对中国进行网络攻击的又一个例子。

成千上万的恶意网络攻击。

今年4月，Xi安公安机关接到网络攻击报警，西北工业大学信息系统发现网络攻击痕迹。

国家计算机病毒应急处理中心和360公司联合组成技术团队介入并参与本案的技术侦察和分析。

该团队通过综合利用国内现有数据资源和技术分析手段，在欧洲、南亚等国家的全力支持下，还原了此次攻击的总体概况、技术特征、攻击武器、攻击路径和攻击来源，初步确定相关攻击活动来源于美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)。陶也被称为具体情报收集行动办公室。

经过复杂的技术分析和溯源，团队最终还原了西工大网络攻击和文件被盗的过程，掌握了陶对中国信息网进行网络攻击和数据窃取的相关证据。

公开资料显示，陶先后使用了41种特种网络攻击武器装备，对西工大发动了上千次攻击，窃取了一批核心技术数据，涉及在美国直接对中国发动网络攻击的13人，以及NSA与美国电信运营商签订的60余份合同、170份电子文档，通过掩护公司构建网络攻击环境。

调查还发现，近年来，陶对中国国内网络目标实施了数万次恶意网络攻击，控制了数万台网络设备，包括网络服务器、互联网终端、网络交换机、电话交换机、路由器、防火墙等。，窃取了超过140GB的数据。

国家安全局总部。图/IC图

从陶的历史出发

回顾历史，陶成立于冷战时期。

1952年11月，根据时任总统杜鲁门的命令，美国国家安全局总部(NSA)成立。这个组织隶属于美国国防部，是美国庞大情报系统的重要组成部分，负责收集和分析国外和国内的通信资料。

NSA继承了第二次世界大战(MI8)中成功破译敌方密码的功能，主要负责监听无线电广播、通信和互联网，尤其是军事和外交事务中的秘密通信。它与中情局长期合作，是世界上唯一一个雇佣了最多数学博士和计算机专家的单位。它的整体技术调查能力是一流的。

作为TANSA的网络战情报收集单位，成立于1998年，主要工作是识别、监控、渗透和收集他国计算机系统的情报。这个组织现在名为“计算机网络作战”，是美国政府的一个战术执行单位，专门实施大规模网络攻击和窃取他国机密。

经过近30年的运作，目前，TAO已经成为美国专门针对目标国家大规模网络攻击窃取机密的战术执行单位，团队超过2000人。

陶有自己的小型秘密情报收集单位，名为“接入技术行动处”，其中包括从中央情报局(CIA)和联邦调查局(FBI)借调的人员，开展所谓的“网外行动”。其力量部署主要依靠NSA在美国和欧洲的密码中心，目前已经公布了6个密码中心。

“一切都是谜”背后的原因

陶因长期向美国情报界提供一些绝密信息而享有“名声”。这些信息涉及各种恐怖组织，外国政府对美国的间谍活动，弹道导弹和全球大规模杀伤性武器的发展，以及最新的全球政治、军事和经济信息。

据《外交政策》杂志称，有关陶的一切都被列为“绝密”。

陶藏在马里兰州米德堡的国家安全局总部大楼里。对许多国安局雇员来说，陶是个谜。相对而言，很少有NSA官员能够完全接触到有关陶的信息，因为其行动非常敏感，进入陶的办公室需要特别的安全许可。该机构中心的入口由武装警卫保护。巨大的钢门只有在键盘中输入正确的六位密码才能进入。还有一个视网膜扫描仪，以确保只有获得特殊许可的人才能进入这扇门。

由于陶很少向公众公布行动和信息，外界对其知之甚少。但从一些评价中可以看出，其任务极其特殊，甚至具有战略性。

2016年，NSA网络安全主管乔伊斯(Joyce)在“Usenix Enigma”大会上公开露面，解释说“破解网络目标的关键是找到薄弱环节。陶被称为高级持续威胁是有原因的。我们会不断尝试和测试，直到最终进入(目标)。”

据前国家安全局官员称，陶的任务非常简单。它秘密入侵外国目标的计算机和电信系统，破解密码，破坏保护目标计算机的计算机安全系统，窃取存储在计算机硬盘上的数据，然后复制所有内部消息和数据流，收集有关外国目标的情报信息。目标电子邮件和短信系统。

专门研究NSA的历史学家Matthew M. Aid于2013年6月发表了一篇以NSA为主题的评论文章《NSA超机密中国黑客集团内幕》，声称陶成功渗透中国计算机和电信系统长达15年，收集了多种类型的信息。

当地时间2021年5月31日，德国柏林，法国总统马克龙和德国总理默克尔召开新闻发布会，称美国国家安全局利用丹麦情报部门监听盟国领导人的行为不可接受。法国和德国要求美国和丹麦对此做出解释。图/IC图

这一事件对中国的启示

针对西北工业大学的网络攻击和窃密是NSA主导的一系列针对中国的秘密行动的一部分。美国多家大型知名互联网公司配合了这一系列攻击，他们向包括NSA在内的情报机构提供了大量中国境内的通信网络设备管理权。看，这次攻击是美国情报机构和大公司合作的结果，而这些公司为美国的网络攻击提供了便利。作为对中国的遏制措施，NSA还对中国的手机用户进行无差别监控，窃取私人信息，严重威胁中国的国家安全和个人信息安全。

美国拥有很多网络技术武器，已经对中国的网络基础设施构成了极大的威胁，其网络攻击武器技术含量高且复杂。这包括复杂的后门工具、复杂的内部渗透攻击链、漏洞攻击突破武器、持久控制武器等等。

为了保证攻击效果，陶会做长期准备，利用系统漏洞，针对商业、流量大的网络，得手后植入木马病毒，从而控制大量跳板机。为了进行秘密行动，避免被跟踪，陶在世界各地使用了54台跳板机和代理服务器，主要分布在日本、韩国、瑞典和乌克兰，其中70%位于中国周边。

因此，中国有必要对这种攻击进行基准测试，根据其攻击路径和方法总结规律，改进升级。尤其是涉军高校和企业的网络安全防御措施，需要提高安全意识和风险意识，居安思危，防止侥幸心理。网络攻击的风险无处不在，无时不在。我国高校和公司需要谨慎开展涉外网络交流，加强局域网安全防御水平，加强风险审查，构建网络攻防能力。美国对中国的情报窃取和渗透达到了高度的“公私合作”。中国需要立体、全方位应对网络攻击，提高安全警惕，绷紧防御弦。

此外，网络安全需要全社会的通力合作。提高社会的网络安全意识是反击美国和西方网络攻击的重要组成部分。

美国网络空霸权极具侵略性，美国情报机构主导的网络窃密和攻击已成为全球网络安全的“威胁”，是各国面临的共同挑战，维护网络安全是国际社会的共同责任。

供稿/王应良(复旦大学美国研究中心国际关系博士)

编辑/李潇潇

校对/陈志彦