【IT168 特稿】2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。22日会议第一天，进行了年会高层论坛之“净化公共互联网环境，促进互联网产业健康发展”，精彩观点如下：

年会高层论坛之“净化公共互联网环境，促进互联网产业健康发展”

　　· 根据我们的调研，大家一致反映木马和僵尸网络是当前互联网最突出的两大问题。通信保障局联合行业运营厂家和支撑单位一起起草了《木马和僵尸网络监测与处置机制》，应急里面最重要的环节就是信息沟通，有了该机制，使得木马和僵尸网络的惩治从应急态变成了常态。(工信部通信保障局熊四晧副司长)

　　· 我们认为对互联网网上大量运营的软件，现在实际上没有一个整体地测评，我们觉得应该进行必要地管理和规范，形成长效机制，避免软件使用引起的网络攻击突发事件，今天的签约仪式也是一个良好的开端。(中国电信集团网维部孙小红)

　　·微软和国际厂商建立了应急组织，主要任务是制定跨企业的信息共享、信息交换的机制，还有一个格式，这些企业可以通过这些标准来交换信息。微软希望在国内和各方紧密合作，共同创建一个可信赖的互联网环境。(微软公司恶意软件防护中心高级研发李德浩经理)

　　·网络没有边界，安全没有边界，这种边界不仅是网络的边界，而且是地域边界，对于安全公司来说，只有在一个好的环境下，有了自己的利益导向，再加上自己过硬的内功，才能真正实现网络保障的工作。(绿盟科技吴云坤副总裁)

　　以下是年会高层论坛之“净化公共互联网环境，促进互联网产业健康发展”文字实录：

　　主持人孙蔚敏：下面，进入第三个话题“净化公共互联网环境，促进互联网产业健康发展”。下面有请工信部通信保障局熊四晧副司长、中国电信集团网维部孙小红、微软公司恶意软件防护中心高级研发李德浩经理、绿盟科技吴云坤副总裁上台就坐，大家欢迎!

　　通信保障局是08年组建工信部时新设立的一个司局，08、09年通信保障局在网络安全治理、治理互联网安全方面出台了不少的举措，相信不少人都关注到了，如09年出台的《互联网网络安全信息通报实施办法》、《木马和僵尸网络监测与处置机制》等，都发挥了很好的作用。

　　5.19事件中，通信保障局应急非常迅速，紧急启动了应急机制，发挥了非常好的作用。我们想请熊四晧局长就相关《办法》的出台背景和意义，向大家做一个解说，有请熊局长。

工信部通信保障局熊四晧副司长

　　熊四晧：各位下午好!

　　去年8月份，工信部正式成立了通信保障局。保障局成立以来，我们马上走访了各相关单位，包括民营企业，也包括网络提供商和运营商，我们主要是想了解当前互联网到底存在哪些不足的问题。根据我们的调研，大家一致反映木马和僵尸网络是当前互联网最突出的两大问题。

　　今天，各位从上午到现在为止，这两个词也是出现频率最高的两个词。比如僵尸网络造成互联网拒绝访问服务器，频繁发生的最主要攻击就是利用僵尸网络发起攻击;木马的危害也是极大的，不但造成用户个人信息的丢失，财产的损失，甚至造成国家秘密的泄漏，甚至还危害到国家的安全。

　　所以，我们针对这两大突出问题，在总结分析08年奥运保障经验的基础上，联合行业运营厂家和支撑单位一起起草了《木马和僵尸网络监测与处置机制》，进行了一次集中打击，经过那次集中打击，木马和僵尸网络攻击明显下降了。然后，我们把这套《机制》作为长效化的工作机制，用以打击木马和僵尸网络的攻击。我们如何打击?就是切掉它的攻击源。《机制》解决了各相关方怎样发现木马和僵尸网络的攻击，发生之后怎样报告，报告之后如何进行组织，将这套应急流程做好了。我们完善部里出台的《应急预案》，应急里面最重要的环节就是信息沟通，信息沟通是做到及时、预警、快速组织的前提和基础，我们主要解决信息是谁发现的?发现信息怎么报告?向谁报告?根据信息级别如何报告?把这套流程机制化、流程化。

　　主持人孙蔚敏：谢谢熊局长。刚才局长提到把木马和僵尸网络的惩治从应急态变成了常态，其实在《应急机制》出台以前，我们和局里一起，联合运营商一起对木马和僵尸网络进行了专项打击，也不能说因为进行了专项打击，所以奥运的网络环境就特别好。但是，确实发挥了很好的作用。上午，吴总也提到了这个问题，以前做这项工作的时候没有依据，通信保障局及时出台了这两个《办法》，对我们治理互联网环境提供了非常好的依据。

　　相信在座的各位专家和代表们也都非常有感触，今天提的频率非常高的是5.19事件，在这个事件中基础运营企业承担了基础保障应急工作，起到了很好的作用。下面，请孙小红副总谈谈在5.19事件中的应急体会。

中国电信集团网维部孙小红

　　孙小红：大家好，按照主持人的要求谈谈应急情况。

　　首先，中国电信高度重视网络安全相关工作，也在不断地总结完善安全保障体系。在工信部的领导下，我们通过集团公司、省分公司和内外支撑单位共同努力，我们的信息安全工作取得了比较明显的成效。

　　今年5月初，按照工信部两个文件的要求，组织制定了《中国电信互联网网络安全信息通报实施办法》和《木马和僵尸网络监测处置机制》，而且进行了落实。我们向江西、广西、浙江、安徽等六个省进行回访，有客户反映网速过慢，监测部把这些信息反馈到网络中心，认为是网络被监测了，网络中心把这些信息反馈到集团的监测中心，我们开始寻找源头，也向CNCERT做了汇报。我们的判断是在工信部通信保障局的领导和CNCERT专家的指导下，我们知道是暴风影音软件被攻击，出现了大量的无效域名影响了服务。我们撤销了所有无效DNS域名的申请，网络安全得到了恢复。

　　那么，这种网络突发事件是我们以前没有预计到的，是一种新的方式。我们作为互联网的最大运营商，在部里应急预案通报的《实施办法》指导下，对事件进行了及时处置，因为我们的防范，事件范围没有进一步扩大。

　　我们的体会一是工信部《网络安全信息通报实施办法》的出台是非常及时的，4月份下发《办法》，中国电信5月份组织制定《实施方案》，19日就出现了突发事件。刚开始，我们自己运营商也是初次按照《办法》来做，在有些环节上的沟通可能有些问题。但是，这个《办法》能够促进网络安全信息的及时共享，也确实提高了网络安全的安全预警和防范应急方案。同时，也是在我们面临紧急突发事件情况下的指挥和实施指南。

　　二是我们的应急预案和应急演练发挥了重要作用。中国电信每年组织集团演练，也参加工信部组织的跨运营商的定期演练，实际上怎样应急对付突发事件大家心里是有底的，《应急预案》也起到了关键作用，各省分公司也启动了《应急预案》的上报和处理工作，缩短了处理时间，缩小了影响范围。另外，CNCERT的支持和协调作用也是非常重要的。

　　那么，我们怎样从被动应急到主动防范?这是非常重要的事情。我们通过5.19事件感觉要吸取教训，增强监测。因为，5.19事件在网络流量上没有大的变化，但在域名解析方面却产生了很大的影响，我们以后要更及时、更快速的发现问题，处置问题。

　　我们也看到了网络安全的几个热点问题：一是互联网应用软件的缺陷;暴风影音有着巨大的客户群，有着巨大客户群的互联网应用自身安全行为对互联网安全有着重要的影响，终端软件的管理和规范也是不容忽视的。我们也认为对互联网网上大量运营的软件，现在实际上没有一个整体地测评，我们觉得应该进行必要地管理和规范，形成长效机制，避免软件使用引起的网络攻击突发事件，今天的签约仪式也是一个良好的开端。

　　二是域名安全。网络中有大量的DNS请求，极大地增加了域名解析器的压力，这种压力在过去是没有的，现在抵抗这种压力的能力要增强。对于域名解析也缺乏相关的认证和行业标准，存在着高低安全漏洞风险。

　　三是网络安全形势依然非常严峻。今天这个事也说了很长时间了，我们面临很大的黑客团体挑战。

　　因此，我们认为互联网安全工作和域名安全工作任重道远，我们也会整体考虑，保障互联网运营的良好发展。

　　木马和僵尸网络的网络攻击行为，不仅危害个人网络，而且对公共网络也产生了很大的危害。如何有效解决网络安全的难题?我们认为需要联合政府、专业机构、软件产品厂商及互联网用户建立多方协作机制。中国电信对于互联网安全保障有着义不容辞的责任和义务，希望通过年会加深我们与其他运营商、厂商、CNCERT的交流，大家共建安全的网络环境。谢谢。

　　主持人孙蔚敏：孙总提到中国电信在5.19事件处置的具体实践情况，从另一个侧面反映了工信部出台的各项《办法》是非常有效的，我也相信在实践的过程中，在保障局的领导下，这些《办法》也会不断地得到充实和完善，包括运营企业之间信息的共享，一定会在实践中不断地丰富和完善。

　　大家非常清楚微软是一个世界知名企业，大家更多的是知道微软系统，其实微软很早就有自己的应急响应中心。今天，我们请李德浩先生谈谈，微软作为一个世界知名企业在治理互联网环境方面有什么样的经验和体会。

　　李德浩：谢谢主持人，大家下午好!

　　首先，我代表微软祝贺国家漏洞信息共享平台的建立，向大家介绍微软两个主要的安全部门。一是微软的微软的软件安全中心MPC，这个部门是对病毒进行二次监测和排查，对微软的相关产品提供抗病毒功能和服务;二是微软安全响应中心MSIC，这个部门的功能是负责漏洞的提交、协调、分析、更新的整套流程，在过去几年里面建立了非常有效和快速的响应流程。

　　刚才，几位领导谈到最近的重大网络安全事件，包括黑客、暴风影音事件。我从微软企业角度谈一下观点和感受。

　　我的感受是今天中国的互联网已经从网络建设、社会活动、经济活动层次上成为一个环环相扣的生态系统，同时这个生态系统也给这些网络攻击、病毒攻击提供了非常有利地利用条件，对于安全工作是一个非常巨大的挑战。

　　病毒数量从三十年前每天几万个病毒，发展到现在每天几十万个病毒，更新手段从邮件攻击到现在的社区攻击，对网络基础设施的攻击，对应用程序大规模攻击，插入软件攻击。这种大规模攻击已经对网上生态系统构成了资源掠夺和侵占，相应的安全工作挑战也就变成了如何组织黑客和攻击者，不要让他们轻易地控制控制端和窃取信息。

　　那么，网关企业能不能及时得到信息，找到木马，查杀木马，保护他们的用户群?运营商能不能及时得到信息，维护他们的网络环境?公安机关能不能及时得到信息，为他们打击网络犯罪提供网络证据?特别是对于黑客突发事件，国际上也组织行业等各式各样的安全运营商成立应急小组来应对，国内也组织应急队伍对付突发事件。

　　微软和国际厂商建立了应急组织，主要任务是制定跨企业的信息共享、信息交换的机制，还有一个格式，这些企业可以通过这些标准来交换信息。微软希望在国内和各方紧密合作，共同创建一个可信赖的互联网环境，谢谢。

　　主持人孙蔚敏：谢谢李先生。我想，不管是国外企业还是国内企业，在互联网治理工作中目标都是一致的，我们也希望微软在技术等各方面加强与国内企业和相关部门的交流、合作，共同促进互联网朝着健康方向发展。

绿盟科技吴云坤副总裁

　　在网络安全应急工作上，绿盟科技也做了很多的工作，包括工信部今年发布的两个《办法》，7月7日成立的“反网络病毒联盟”工作中，绿盟科技都给予了大力支持，下面请绿盟科技的吴总谈谈他的体会。

　　吴云坤：谢谢主持人，大家下午好!

　　听到熊四晧局长的介绍，认为网络环境非常重要。为什么这么说呢?我们发现网络安全问题的时候有三种情况解决不了，第一是不知道将问题报告给谁，我们是一个技术性公司，之前在国内没有这样的经历;第二是软件评估工作，我们经常是做单个业务。现在，工信部出台了奥运会、国庆庆典网络保障机制的时候，就有了一个标准和规范;第三是如5.19事件，如果国家没有出台相关政策的时候，很难构建多方信息共享的平台。以上三点对一个安全厂商如何帮助政府，帮助部门做好网络安全服务是有很大的帮助。

　　对于安全厂商来说，很大程度上看重业务，业务是什么呢?如果是政府官员，中到木马之后，政府部门的机密信息有可能泄漏;如果是银行中了木马的话，用户网银可能就会受到攻击。作为一个安全厂商，一是协助各方防范这种情况的发生，二是当突发事件发生时提供应急处理方案。

　　网络没有边界，安全没有边界，这种边界不仅是网络的边界，而且是地域边界，对于安全公司来说，只有在一个好的环境下，有了自己的利益导向，再加上自己过硬的内功，才能真正实现网络保障的工作。

　　主持人孙蔚敏：谢谢吴总的总结，非常到位。

　　今天，我们就“打击网络犯罪、构建应急体系、促进互联网行业健康发展”三个论点，开展了三个高层互动环节。各位嘉宾就三个话题都发表了自己的观点，提出了很好的意见和建议，他们的思想火花对今后进一步指导安全应急工作具有有非常好的意义。

　　我宣布2009中国计算机网络安全应急年会高层论坛圆满结束，谢谢各位嘉宾!