通信世界网消息(CWW)2025年10月,国家安全机关正式披露美国国家安全局(NSA)对北京授时中心发起的持续性网络攻击事件。这场历时两年多的国家级攻击,不仅直指国家时间主权核心,更暴露了我国关键基础设施面临的战略级网络威胁。北京授时中心承担的高精度时间服务,是北斗导航、电网调度、金融交易、航天工程等领域的数字脉搏,一旦被干扰,将引发连锁性系统风险,其警示意义远超普通网络安全事件。这提醒我们,筑好防御之墙,抵御域外势力的APT侵袭,时刻确保关键基础设施的安全运行。
事件还原:一场针对国家关键基础设施的隐蔽战争
这起攻击并非突发,而是NSA经过长期筹划、分阶段实施的精准打击。从2022年3月情报刺探开始到2023年8月发起全面攻击,筹划准备17个月,全面攻击持续10个月,全程按照潜伏、试探、攻坚的特征递进,若防御不当将造成灾难性后果。
1.情报刺探阶段:2022年3月-2023年4月,时13个月
NSA利用某境外品牌智能终端的短信零日漏洞,定向监控北京授时中心10余名核心岗位工作人员,非法获取其手机通讯录、通信记录、实时位置及办公系统登录凭证,完成对中心内部人员架构、业务流程的全面摸底,为后续攻击奠定情报基础。
2.内网试探阶段:2023年4月-2023年8月,历时4个月
攻击者选择北京时间凌晨2:00-5:00,人员防御意识薄弱时段,利用前期窃取的凭证远程登录办公终端,通过横向移动探测内部网络拓扑,定位核心设备的IP地址与防护策略,规避常规安全检测机制。
3.全面攻击阶段:2023年8月-2024年6月,历时10个月
NSA动用42款定制化攻击工具,对授时中心多个业务系统发起高烈度攻击。攻击者利用之前窃取的登录凭证进行了八十余次登录尝试。 攻击呈现离散化的特征,攻击流量通过十几个国家的虚拟专用服务器进行跳转,每次登录的源IP地址都不同。
这场攻击极具隐蔽性,只要把全国的时间调偏一点点,就会造成重大损失。据航天领域技术标准,时间偏差1纳秒(10⁻⁹秒)将导致北斗定位精度偏差30厘米,影响民用通信载波同步;偏差1皮秒(10⁻¹² 秒)将使月壤采集车与嫦娥飞船定位偏差达数公里,直接威胁航天任务安全。
事件深度分析:攻击特点与防御短板
1.攻击呈现精准化、体系化和战略化的特征
这场攻击利用管理和系统漏洞发起,瞄准的目标是我国关键基础设施,呈现出精准化、体系化、战略化的特点。
(1)目标精准化:锁定关键基础设施核心能力
攻击以窃取核心技术、破坏关键能力、延缓关键领域发展为目标。美方此次攻击想达成三重目的:一是削弱我国在国际原子时计算中的话语权(据国际原子时统计,我国份额已达19.51%,居世界第二);二是预置时间炸弹,关键时刻引发金融交易时序错乱、电网负荷失衡等系统性风险;三是窃取授时技术数据,阻碍北斗导航、航天工程等领域发展。
(2)手段体系化:依托供应链薄弱环节渗透
应用程序、网络设备、操作系统、智能设备成为供应链薄弱点。据国家信息安全漏洞共享平台(CNVD)2025年第41期周报(2025.10.20-10.26)数据,当期收录的37个漏洞中,应用程序漏洞227个、网络设备漏洞69个、智能终端漏洞3个。此次攻击正是通过境外手机短信零日漏洞突破第一道防线,再借助伪造“系统升级提醒”钓鱼短信窃取凭证,实现端到端渗透。
(3)周期战略化:长期潜伏与动态升级
攻击全程持续28个月,从情报刺探到全面攻击分阶段推进,且攻击工具不断迭代,NSA最终构建“前哨控守-隧道搭建-数据窃取”的4层加密控制平台,确保长期潜伏不被发现,体现典型的APT攻击持续性特征。
2.暴露的三大防御短板
此次攻击暴露了我方在关键基础设施防护中常见的防御短板。终端设备安全管理不足,核心岗位人员使用未经安全认证的境外品牌手机,成为攻击突破口;异常行为监测滞后,传统防护系统对“凌晨登录”“境外跳板访问”等异常行为响应不及时;人员安全意识薄弱,初期员工未能识别伪造“系统升级提醒”钓鱼短信,导致凭证泄露。
应对之道:构建覆盖技术与管理机制的立体防护体系
针对我国关键基础设施的APT攻击持续不断。据360数字安全集团发布《2024年全球高级持续性威胁(APT)研究报告》数据显示,2024年全年累计捕获1300余起针对中国的APT攻击。国内机构应以《网络安全法》、《关键信息基础设施安全保护条例》为依据,构建立体防护体系刻。
1.提升智能防护能力,做好设备和系统的防护
对关键基础设施部署基于AI的自动化、智能化、体系化智能防护能力,将过去的被动防御进化到主动狩猎。核心智能设备,优选通过国家网络安全等级保护认证的国产设备;防范应用程序漏洞,做好系统的升级和安全防护;以零信任做好系统的验证和登录。
2. 强化异常监测,提升预警能力
部署行为分析防护系统,重点监控非工作时段登录、多地域IP跳转、核心设备异常访问等行为,设置分级预警阈值;接入国家网络安全威胁情报平台,实时同步NSA等境外组织的攻击工具特征与战术手法。
3.完善应急机制,缩短响应时效
制定APT攻击应急处置预案,明确快速隔离、取证、溯源的响应流程,确保攻击链路快速切断;每季度开展实战化模拟演练,模拟钓鱼邮件、短信入侵等场景,检验人员与系统协同防御能力。
