【IT168 特稿】自2004年起,中国计算机网络安全应急年会已连续成功举办五届。通过年会这个平台,我们与国内诸多重要的网络安全力量团结在一起,为我国的网络安全事业做出了应有的贡献。面对信息化建设和网络安全的新形势,网络安全应急工作面临很多挑战。我们需要有“创新”的思维,共同探讨应急工作新思路;我们需要有“开放”的心态,共同构建网络保障新平台;我们需要有“协作”的文化,共同建设良好合作新氛围。下面为CNCERT副主任兼总工程师云晓春的谈话内容:
今天,今天的演讲主要围绕三句话展开,关于我国网络安全:
1、现状:网络安全事件此起彼伏、愈演愈烈
2、问题:网络安全资源分散、各自为战,没有形成合力
3、倡议:整合资源,共建国家网络安全应急体系
2009年上半年木马、僵尸监测情况如下:木马控制端IP 地址总数为256158个,较2008年上半年下降8.5%。同时,被控制端IP地址数量有了大幅度地增加,被控制端IP地址总数为1867417个,较2008年上半年增长25.7%。
今年上半年木马控制的IP地址数量。僵尸网络控制端总数为5887个,较2008年上半年增长了159%,有了一个大幅度的增加。那么,被控制端IP地址总数反而下降了,也有可能是隐藏性能变得更高了,被控制端IP地址总数为1784935个,较2008年上半年下降了14.7%
我们在各个省所发现的木马控制端和被控制端IP地址数量是河南最多,自2003年CNCERT便开始监测我国大陆网站被篡改情况。通过包括自主监测在内的各种手段,每日对中国大陆地区网站被篡改情况进行跟踪监测,在发现被篡改网站后及时通知网站所在省份的分中心协助解决,力保被篡改网站快速恢复。2008年,中国大陆被篡改网站的数量相比2007年相比下降了12%,总体上维持2007年的高位水平。2008年,中国大陆政府网站被篡改数量与2007年的3407个相比基本保持平稳,各月累计达3595个。经统计,每月被篡改的gov.cn域名网站占整个大陆地区被篡改网站的6.67%,而gov.cn域名网站仅占.cn域名的1.1%,因此政府网站仍然是黑客攻击的重要目标。该数据来自中国互联网络信息中心(CNNIC)2009年1月第23次《中国互联网络发展状况统计报告》。
政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护,某些政府网站被篡改后长期无人过问,还有些网站虽然在接到报告后能够恢复,但并没有根除安全隐患,从而遭到多次篡改。CNCERT监测发现,某省国有资产监督管理委员会网站遭黑客篡改在长达一个月时间内未恢复,政府网站作为行政事务公开和政务信息发布平台的服务意识仍旧比较淡薄。
2008年,捕获恶意代码样本1,633,863 次,较07年增加31%。
2008年全年整理发布漏洞信息101个,高危漏洞频频出现。
SQL注入
DNS缓存漏洞
CISCO IOS产品协议漏洞
Microsoft XML Core Services 漏洞
……
日均捕获样本 4488 次
日均捕获新样本 427 个
为了加强对恶意代码的监测处理能力,国家互联网应急中心(CNCERT)从2006年开始陆续在全国部署Matrix蜜网系统。通过对Matrix系统捕获的恶意代码样本分析,可以掌握目前我国互联网上主动式恶意代码的传播和利用情况。
2009年上半年接收国内外报告事件总数为9117件,比去年全年总数的5167件都多。国外投诉量猛增,达到8972件,增长最多的事件类型是垃圾邮件事件。除了垃圾邮件事件之外,主要投诉类型还包括:网页挂马事件、网络仿冒事件和病毒、蠕虫或木马事件。
2009年上半年重大网络安全事件频发,但始终存在“飞客”蠕虫大范围的传播,飞客”蠕虫(Conficker)在全球互联网的大范围传播,感染主机超过3000万台,其中,中国大陆超过800万台,涉及众多政府和重要信息系统部门。
“5.19”暴风影音事件,运营商递归域名解析服务器重大网络安全事件,影响多个省份,造成全国大面积断网。 “6.25”广东电信路由故障,6月25日,广东电信路由设备故障,导致腾讯等拥有大规模用户的业务系统受影响,造成较强用户感知。7月域名解析软件BIND9高危漏洞,7月28日域名解析系统软件BIND 9存在的一个高危漏洞,易导致拒绝服务攻击。
这是今年上半年出现的几个比较典型的安全事件,还有其他的安全事件在这里就不一一列举了。
应该说,这些年来国家和政府部门、各个信息系统部门,以及各个安全组织采取了一系列的措施来组织安全事件的发生,但安全事件仍然频繁出现,网络安全事件为何屡禁不止?
刚才,沈院士也说了,03年出台了国家27号文,对中国网络安全进行了部署;还出台了《木马和监测网站的处理机制》,但仍然是各种安全事件频繁出现,为什么会这样?我们认为一个比较重要的原因是,大家虽然都很重视,努力建立网络安全体系,但这种建设都是各自为战,虽然每家都建了,但导致没有形成合力,尤其是一些大规模的网络安全事件又是群体性的,这种群体性的网络安全事件各搞各的是不幸的,各扫门前雪难以独善其身,个体的力量不能应对复杂的网络安全局面,单一的应急组织无法包打天下。
我们国家有一句非常有名的成语“城池失火、殃及池鱼”。那么,互联网本身是一个开放的、互联、互通的环境,你试图在开放、互联、互通的环境下试图只给自己划一个圈,建立一个防御体系是没有用的,因为任意一点出现问题后,无人可置身事外。
有一个最典型的例子,即5.19事件的蝴蝶效应:因暴风影音软件网络服务的需要和缺陷,使得安装有暴风影音的电脑不断发起域名解析请求,导致网络瘫痪。由于暴风影音本身只用了DNSPOD.COM,网络断裂的时候又是晚上8点在线网民观看视频最多的时候,DNSPOD.COM被人恶意大流量攻击,承担DNSPOD.COM网络接入的电信运营商断掉了其网络服务。DNSPOD网络服务被中断,诸多采用DNSPOD服务的网站无法访问。采用DNSPOD服务的暴风影音网站受到影响。这好象只是暴风影音软件网络服务器出现问题了,但最后导致的是群体性网络安全事件。
在互联网安全防御中,大家得认识到了一点,人是对抗外界安全的决定因素。所以,很多企业想请几个优秀的人才,组建比较强的团队处理网络安全事件,一般的网络安全事件这种做法还是行之有效的。但是,现在很多重大安全事件已经不是个体行为所能解决的。大家知道,现在有很多大规模的攻击往往是有组织发出的,而且是群体范围内的大规模攻击。在这种情况下,单靠某个个体的力量是没法解决问题的。那么,就应该有一个合作解决机制来对抗大规模网络安全事件。
互联网安全隐患无处不在已形成完整地下黑色产业链,任一应急组织都无法解决所有问题,从这里可以看出地下黑色产业链还是很完整的,有人管生产,有人管销售,有人管利用,每一个环节都也形形色色的人在里面进行操作。那么,在多环节下,多种人,多种技术综合采纳的情况下,任何一个单一应急组织也无法解决这类网络安全事件。应该,我们要建立开放的国家网络安全应急体系,从工作机制、技术框架、专家平台、服务体系几个方面,通过大家的努力逐渐建立起开放的国家网络安全应急体系,来一起应对日益严峻的网络安全事件。
经过这么多年的努力,我们现在已经逐渐有了一个国家网络安全应急框架体系,在这个框架体系下,如CNCERT/CC,还有国内各个应急组织,还包括国家各个政府部门,以及国外的一些应急组织和政府部门,大家都相互合作起来,一旦出现问题以后,利用这个框架体系及时处理一些问题。如今天出现的几个大的网络安全事件,也是在这种框架体系下解决的,大型的国际网络安全事件也是通过国内国外应急组织一起来解决网络安全事件。
应对之道1:建立相互协作、统一协调的工作机制。为应对大规模突发网络安全事件,构建开放协作的应急体系。
通过这几年的努力和研究,我们也建立了一支比较细的网络安全应急组织。今年,建立了国家网络安全应急支撑队伍,我们和CNCERT/CC密切合作,也和银行、政府等关系国计民生的部门签订了网络安全应急协议。09年7月7日,为加快网络病毒的应急处置,成立了”中国反网络病毒联盟”。为进一步提升国家网络安全事件应急处置能力,基于共建共享协作的原则,联合各应急组织,构建国家信息安全漏洞共享平台。
应对之道2:构建开放协同的安全技术框架。建立开放协同的技术框架,实现各网络安全系统间的资源共享,能力自生长;拟定标准规范、系统接口,实现资源整合;建立一点受攻击,多点支援的协同体系。
最近,我经常和很多的领导、同行在讲一个概念,我们以前在建立安全防御体系的时候,我投入一元钱最后得到的安全防御能力就是一元钱的能力。但是,大家想想互联网,想想因特网,因特网其实也是各建各的,自己建自己的一个系统。但是,如果大家实现相互联系的话,一方面是实现了资源共享;另一方面是实现了自身网络体系的增长。我们有没有可能在安全的机制体系下,构建一个开放的协同体系,建立一个开放的安全虚拟防御体系?在这种组织下,好处是一旦你投入一元钱加入了这个安全体系,最后享受的可能是一千元,甚至上万元的安全防御体系。
应对之道3:知识共享、利用集体智慧,实现人才联盟化,遇到大规模网络安全事件的时候,发挥团队力量,创造网络安全大兵团作战模式。
这种人才联盟是可以分层次的,一种是战略层面的专家,在战略层面关注网安,规划我国网络安全整体发展策略。一种是战术层面的专家,在战术层面具体操作,负责对突发网络安全事件的具体应对工作。
应对之道4:安全服务专业化。我们认为云计算、云安全是下一步的大势所趋,只有专业的人才能做专业的事,不可能每个部门都建立专业的安全服务。那么,构建基于互联网的云安全服务能力,通过细分网络安全服务,形成专业化的网络安全应急服务体系。
这是我们所提出的四个倡议,我的结束语是:目前,面对开放的互联网,自我封闭已行不通,需应用开放的思维、开放的体系去应对!
