在一个国家的电信运营商内部,有一名级别相当高的管理人员,负责整个核心网络的运维和管理。这个人拥有核心机房的高级访问权限,对整个网络基础架构了如指掌。境外情报机构经过多年的耐心经营,成功将他策反成了内线。策反过程并不算曲折——情报机构通过海外账户向他支付了大额资金,并许诺事成之后帮他全家办理移民手续。在金钱和未来的双重诱惑下,这名高管同意了合作。
这名高管利用自己的高级权限在核心交换机上做了一个致命的操作。他在核心机房里安装了一个流量镜像端口,所谓流量镜像就是把经过交换机的所有数据流量复制一份出来,然后发送到另一个指定的网络节点。简单来说,这个端口装好之后,所有经过这台交换机的通信数据都会被完整记录下来,包括发送方和接收方的IP地址、通信时间、数据包大小,以及没有被加密保护的通信内容。而这家电信运营商承载着这个国家大量的国际通信线路,包括政府机构的外交电文、跨国企业的商务沟通、普通公民的国际通话和网络流量。
安装这个端口的过程本身不需要什么高超的黑客技术,因为这名高级管理人员理所当然地拥有进入核心机房的权限,他的操作在系统日志里看起来就是一次正常的设备维护。设备装好之后,境外情报机构只要在外面架设一台接收服务器,就能源源不断地收到从镜像端口传过来的数据。从这一刻起,这个国家的国际通信实际上对情报机构来说已经变得单向透明。
泄密的规模有多大没有人能准确估算。每一个经过核心交换机的数据包都被复制了一份,持续了数月甚至数年时间。光是这些被复制的原始数据量就是天文数字级别。情报机构不需要分析所有数据,他们只根据自己的信息需求清单从海量数据中筛选有价值的内容。一些外交官之间的敏感通话、某个跨国企业的重要合同谈判、某个国际组织的决策过程,全都在镜像端口的覆盖范围之内。
这个案件是如何暴露的呢?起因是一家海外互联网公司的网络安全团队在排查自身系统异常流量时,发现有一个不明的IP地址在持续接收来自这个国家的大量数据。追查下去发现数据来源指向了这家电信运营商的核心机房。安全团队把异常情况报告给了监管部门,监管部门立刻启动调查程序。在一个核心网络节点上发现未经授权的镜像端口,这个事实本身就意味着整个网络的通信安全已经受到了严重破坏。
这个案例告诉我们,电信运营商处于国家信息基础设施的核心位置,内部人员如果被策反,损失的就不只是一家公司的商业利益,而是整个国家的通信安全。核心机房的管理权限绝对不能掌握在一个人手里,必须实行双人双锁制度,任何进入核心机房或操作重要设备的人员都不能单独进行,必须有一名以上的管理人员共同在场。所有的设备变更操作必须在事前审批、事中全程留痕、事后严格审计。任何未经审批的设备变更都应立即触发安全警报。对掌握核心网络权限的高层人员,还必须有更严格的安全监督机制,包括定期的背景复查和资产审查。电信网络是一个国家的大动脉,大动脉一旦被坏人控制了,整个身体的安全都无从保障。
