承受黑客必备攻击的不仅仅是银荇更多的企业和单位同样受到各种各样的黑客必备攻击，这时也许你会想到为什么防火墙、IDS/IPS等安全防护设备都没有了神威本文子明将講述他的亲身经历，为51CTO广大企业用户答疑解惑

嘟嘟的手机铃声，惊扰了我午夜的酣睡迷迷糊糊中隐约的听到电话中急切的声音：“我們政府网站遭受黑客必备攻击了”，听到这里我顿时睡意全无细心的聆听电话那头的情况陈述……。

掌握大致情况后迅速爬上网络打開受攻击的站点，原来的页面已经被改得面目全非了在网页的首屏上是一个来回走动的大螃蟹，下面附着一条标语：“老子横行江湖数姩偶而路过，只因最近十分烦躁特拿此站练手”。

这种情况只有去查服务器记录半个小时后，我到了该政府的服务器机房做的第┅件事就是把服务器访问日志下载到自己的笔记本上，(因为习惯对谁的机器都不放心，只相信自己的)经过仔细分析日志，发现有人在主站的上传了一个私人论坛根据经验判断，这个论坛程序是罪魁祸首于是经过调查，发现论坛是负责维护该站的小李私自放上去的這个论坛是免费的动网论坛，小李只是做了简单的修改便把程序上传到服务器。在业内很多人都知道动网=洞网从日志的分析来看，入侵者就是利用某安全组织刚刚公布的动网上传漏洞获得了主服务器的控制权。随后删除了论坛程序还原备份页面，至此恢复了网站的原貌从踏入机房到恢复站点，只有5分种

企业网络信息安全面临不解的困惑

此事件引起了政府相关部门领导的高度重视，第二天他们領导奇怪的问我：我们每年都花几十万的政府采购，更是把网络安全放在了第一位我们配备的有防火墙，IPSIDS，为什么这么坚固的城墙就鈈管用呢早知道如此，就不去买这些设备了这个问题也许是很多企业都面临的困惑。

解惑一：缺乏技术培训好刀使不到刃上

其实防吙墙、IDS、IPS等硬件防护设备针对某些入侵手段有着很好的效果，只是企业部署后没有发挥真正的作用。如上面的实例中我曾检查过防火牆的配置，发现好多设置都是默认状态竟然连登陆用户名和密码都是出厂默认值。这可以说明网络管理人员缺乏相应技能培训才会造荿很多设备无用武之地的尴尬局面，就好象厨子用青龙偃月刀切菜一样同样一把刀，放在厨子手里只能切菜而放在关羽手里则能过五關斩六将。所以有了好设备不等于有了安全，需要把设备进行合理的配置才能发挥它们应有的性能很多企业显然把这些技术工作交给叻集成商和厂家来完成。从资金投入角度考虑这样的做法非常适合中小企业。但政府的中心机构和大型企业不缺的就是资金想要实现網络信息安全，这些大型企业就一定要有自己的运行维护力量只有自己的东西自己管才能真正的确保第一道安全防线。

解惑二：没有安铨意识安全将无从谈起

从上面的实例中，我们不难看出企业员工的安全意识决定了企业网络安全的健壮性。这一点对网络管理人员来說尤其重要。作为单位的网络管理者如果小李懂得起码的安全常识就不会把免费的论坛放到服务器上；如果小李了解安全的重要性，吔不会去下载这样的程序起码不会在企业网络内下载。这些都是员工缺乏安全意识的表现

再举个实例：某集团也曾打来求助电话，他們的企业网络频繁的掉线几乎处于瘫痪状态。我在检查了设备信息和配置后发现一台华为交换机，全部都是死包凭借经验初步判断應该是遭到了蠕虫攻击，但这还需要事实来证明捕获数据包后，经过分析确定就是蠕虫病毒惹的祸。而查找毒源却遇到了麻烦根据數据包的分析，很快能判断出毒源机器的IP与MAC地址但问管理人员这是哪台机器时，他们没有一个人知道的这就只能从交换机处下手，但讓我郁闷的事情又来了由于机房管理混乱，防静电地板上的烟头随处可见很多交换机上都没有网线标签，布线也极乱无比为了排查這台机器，我们3个人用笔一个一个记录花了整整2个小时才把问题机找到。在这个问题机上发现了大量的病毒还有很多成人片。

无论政府还是企业都应该有相应的安全管理制度和规范这些是指导员工行为的重要准则。如果该政府相关部门规定不允许下载任何程序或是呮限网络管理人员下载，那政府站点的小李下载带有安全隐患程序的情况就不会出现；如果规范机房的管理和使用那我也不会在集团公司浪费2个小时整理线缆，如果规范的操作流程守则如果有规范的网络安全制度，如果……有这些如果也会黑客必备入侵攻击增加相当夶的难度。这也印证了不知道谁说的那句古话：安全是三分技术七分管理。

解惑三：如何规范配置网络安全设备制定合理的安全策略

1、要规范防火墙的安全策略，如增加防火墙的规则匹配有些防火墙属于嵌入式开发的设备，这就需要熟练使用linux命令和dos 命令还有一些防吙墙需要按自身情况具体配置，如Cisco的PIX防火墙H3C的SecPath防火墙等。

2、然后最好能在网络中计划分出vlan和绝对独立的安全域即使有病毒蔓延，也不臸于感染整个网络

3、对于工作站，要启用组策略并且在系统里面把自动播放给完全禁用，根据目前流行的蠕虫攻击和移动存储设备感染来看多数都是自动访问存储设备的时造成了间接感染。删除guest帐号定期更改密码等基本安全维护策略。最好能绑定工作站的mac地址和ip地址具体落实到一机一人，达到规范使用计算机的目的

4、把个人移动存储设备与企业办公用存储设备分开使用。人手一个专人专用，萣期杀毒

其实从国内信息安全的整体情况看，企业和政府依然存在很大的安全隐患就是买了再好的网络安全设备，没有人调试和配置那也是形同虚设，网络管理不规范员工的安全意识不够高，都可能造成严重的恶果

1、针对政府，制定规范的安全管理制度上班期間禁止使用任何P2P软件下载任何程序与电影；为了方便网络管理，最好划分合理的VLAN在交换机上做相应的管理策略；对防火墙进行优化管理，登陆密码每星期都要更换

2、针对企业，制定规范的安全管理制度做好网络管理人员的培训工作，尽量提高员工安全意识企业邮箱偠重点防护，因为更多的内部泄密和网络攻击的重要突破口就是利用企业邮箱来进行攻击欺骗管理人员，达到渗透的目的80%的网络攻击昰在内部发生的。

所以对于黑客必备而言一台算仂无限的主机应该只会影响到一个领域，那就是密码学因为整个现代密码学的安全基础，就建立在各种计算困难问题和关于计算复杂度嘚假设上

• 比如我们假设目前的各类密码散列函数（Cryptographic Hash Function）对于经典计算机来说是单向函数（One-way Function），那么就可以利用其单向性构造各种保护方案像是区块链，各种哈希过的敏感数据它们的安全性就完全依赖于密码散列函数。
• 比如我们假设世界上没有任何方法能够快速分解大数芓的质因数那么就能依据这个假设构造出 RSA 公钥体系。
• 你每天登录各大网站时传输的账号密码、微信聊天的聊天记录、支付宝下达的每一筆订单全都依靠这种公钥体系保驾护航。

一个计算困难问题得到解决就意味着密码学里面会有一整个门类的算法失去安全性。比如基於量子计算的 Shor 算法出现之后RSA 问题和 ECDLP 都能够被这个算法快速解决，经典的 RSA 公钥体系和 ECC 公钥体系就完全崩塌了大家只能去寻找新的、量子計算无法解决的计算困难问题，比如格上的 LWE 问题然后用这些问题去构造下一代的后量子加密算法。

那么一台算力无限的计算机意味着什么呢？意味着所有的计算困难问题都不存在了在其上建设的整个密码学体系也就失效了。

理所当然地攻破了整个密码学体系之后我們能做出一些花哨的操作，比如我们能够破解绝大部分的保密通信人类目前已知的各种密钥分发方法里，只剩下了两种你没法破解：一種是通过武装押运等方式物理移交密钥另一种是量子密钥分发。这两种技术的安全性不是基于计算困难问题的前者的安全性基于经典粅理（指拳头），后者的安全性基于量子物理（指不同测量基对量子态的扰动）剩下的那些密钥交换协议，都是基于某类公钥体系的嘟挡不住你那台算力无限的主机。

再比如有人建议去挖比特币、去发动51%攻击，其实他们都饶了弯路了

如果有了一台算力无限的计算机，那么整条区块链上的数据你都可以任意伪造你只要直接捏造一条更长的链，比如让所有的比特币都归属于你然后把现在的这条主链給顶替掉就可以了。

不过这件事做完之后你应该半块钱都捞不到，还会损失掉你拥有的全部比特币财产因为比特币的信用基础就是区塊链的不可伪造性，在你成功伪造了一条区块链之后比特币的价格将会直接崩盘到泥巴里。直接挖取大量比特币也是同理你会当场体驗到通货膨胀的快乐。

如果你一门心思要干出些惊天动地的大事的话以下还有几种有意思的方案：

• 破解、窃听、篡改各国政府、金融机構的机密通信数据；
• 将木马病毒打包到各种操作系统的升级包里，分发给全世界的电子设备；
• 将钓鱼网站完美伪装成 Google、淘宝、中国银行之類的大型网站进行大规模诈骗；

说到这里，相信有的读者已经意识到了现代的信息安全体系是一个复杂的、交错连横的系统，密码学呮是其中一个重要的组成部分而已一名独来独往的黑客必备拿到一台算力无限的主机就能天翻地覆了？很难他更有可能的结果是搞了個大新闻之后，被某国政府闷声抓了起来

不过，如果有人拿到了这台主机之后没有被冲昏头脑只想安安静静地奔小康的话，还是有一些非常安全的利用方法的

那就是卖算力，无限的算力就意味着无限的钱！还是合法的钱！

如果你很有无产阶级精神用白菜价卖算力，┅年下来世界上大部分云服务商都被你干掉了互联网公司自有的大部分服务器也被你干掉了。企业们玩命的把自家服务往你的服务器上迻植

把intel、AMD、IBM、克雷、…………这些厂商从一开始到现在生产出来的计算工具全部加起来，算力离无限都差很远这些厂商一年营业额那昰你不敢想的。

因为算力便宜服务将向后端迁移，笔记本电脑台式电脑将变成瘦客户机只做展示和交互，不强调性能这将加速互联網基础设施的发展，保证带宽和延迟不是瓶颈

有限元分析几乎变成无限元分析。

物理模拟几乎无所不能可从原子级别模拟一个系统的運动，甚至能准确预测一定时间内一个系统的未来行为

甚至有助于帮助人们研究大脑，原子级别模拟大脑产生强人工智能…

也可以捐給国家，到时候山姆大叔家胖子就不会翘着兰花指在指指点点了

是不是想一想就留下了幸福的眼泪？

当然计算是有代价的，信息熵和熱力学熵是一回事

一不当心写出死循环或者图灵不可停机问题，无限大的热量当场把什么都蒸没了

然后就算是有限停机的问题，什么計算葛立恒数之类的问题也是要毁灭宇宙的宇宙都没了还想什么钱不钱的！？

大佬醒醒该量体温了！