值夜班想提神听音乐，结果把整个涉密内网"送"给了黑客

值夜班想提神听音乐，结果把整个涉密内网"送"给了黑客

小何是某市级单位信息中心的网管员，工作三年，技术熟练，为人随和。这周轮到他值夜班，负责监控机房运行状态和处理夜间突发故障。

夜班从晚上七点到第二天早上七点。前半夜还好，到了凌晨一两点，困劲儿上来了。小何喝了两杯咖啡还是顶不住，眼皮直打架。

"听点音乐提提神吧。"小何心想。

问题是，他值夜班坐的这台电脑是一台涉密内网的管理终端，没有连接互联网，也播放不了任何在线音频。

小何想了想，从抽屉里拿出一个电信运营商的4G无线网卡——这是他自己的，平时出差的时候用来给笔记本上网的。他把无线网卡插进了涉密电脑的USB接口。

按照涉密电脑的安全配置，外接无线网卡应该会被系统拦截。但小何是管理员，他有权限绕过这些限制。他在系统设置中打开了USB网络适配器的驱动支持，无线网卡顺利装上了驱动。

电脑的右下角弹出了网络连接的图标。小何点开一看，有两个WiFi信号：一个叫"ChinaNet-Free"，一个叫"Office-Guest"。他想都没想就连上了那个"Office-Guest"，因为这名字看起来像是单位的访客网络。

连上网后，他打开一个在线音乐网站，开始播放轻音乐。悠扬的钢琴声让他的困意消散了不少，他一边听音乐一边翻着监控日志。

小何不知道的是，他连接的那个"Office-Guest"网络，根本就不是什么"访客网络"。那是一个黑客架设的伪造WiFi热点。

这个黑客在单位附近的一栋居民楼里，用一台改装过的路由器发射了一个信号覆盖范围很广的WiFi信号。他故意把WiFi名称设置成了"Office-Guest"这样看似正常的名字，目的就是诱骗附近的人连接。

一旦有人连接上这个伪造的WiFi，所有的网络数据都要经过这个黑客的路由器。黑客可以通过它来分析连接设备的信息、拦截通信数据、甚至反向渗透到连接的设备上。

更致命的是，小何连接的这台电脑，是涉密内网的管理终端。通过它的管理员权限，黑客获得了进入涉密内网其他设备的跳板。

在接下来的几个小时里，黑客利用小何不设防的电脑，逐步扫描和渗透了涉密内网的其他设备。虽然因为时间有限，他没有窃取到大量的涉密文件，但他成功地在几台服务器上植入了后门程序——这些后门可以长期潜伏，等待未来某个联网的机会再激活。

第二天早上，技术科发现了系统日志中的异常活动记录。全单位拉响了安全警报。

常见问题解答

问：涉密计算机可以使用无线网络吗？
答：绝对不可以。涉密计算机必须与互联网及其他公共信息网络物理隔离，严禁使用无线网卡、WiFi、蓝牙等任何无线连接方式接入外部网络。

问：无线网卡插上去也不一定能上网吧？为什么不插都不行？
答：即使没有连接互联网，无线网卡本身也会发射信号，可能暴露涉密设备的位置和使用时间等元数据。此外，驱动程序的安装和运行也可能引入新的安全漏洞。

问：什么是"伪造WiFi热点"？
答：攻击者设置的与正规网络名称相似的无线信号，诱骗用户连接。一旦连接上，用户的网络通信会被攻击者监控、劫持甚至篡改。这是一种社会工程学攻击手段。

问：涉密场所周围有WiFi信号怎么办？
答：涉密场所应采取必要的电磁屏蔽措施。同时定期进行电磁环境监测，排查异常信号源。有条件的单位可以部署无线信号干扰装置。

小何因为严重违规操作，受到了行政记过处分，并被调离了信息中心。信息中心的管理员权限制度也被彻底重构——管理员不再拥有不受监督的"超级权限"，重大操作需要安全审计员审批。

小何在内部检讨中说："凌晨两点半，我觉得整个大楼就我一个人醒着。但我错了——醒着的，不止我一个。还有一个在楼外面，等着我犯错误的人。"

这句话值得每一个值夜班的人记住。网络安全这场较量，对方是二十四小时不休息的。而己方防线上的任何一个在凌晨放松警惕的人，都是对方等候已久的机会。

技术科的同事后来总结得很到位："物理隔离是保护涉密网络最基本的防线。而那位同事用一个小小的无线网卡，就在这道防线上开了一扇门——还是他自己从里面打开的门。"