我国互联网网络安全和应急响应发展和现状

1、我国互联网网络安全和应急响应发展和现状我国互联网网络安全和应急响应发展和现状主题互联网网络安全面临重大挑战我国互联网网络安全应急工作现状应急组织、策略和方法互联网网络安全应急工作展望结论我国互联网网络安全和应急响应发展和现状互联网网络安全面临重大挑战我国互联网网络安全和应急响应发展和现状网络安全漏洞大量存在数据来源CERT/CC网站我国互联网网络安全和应急响应发展和现状网络安全漏洞大量存在Windows十大安全隐患Web服务器和服务服务器和服务工作站服务Windows远程访问服务微软微软SQL服务器服务器Windows认证Web浏览器浏览器文件共享LSAS Exposures电子邮件客户端电子

2、邮件客户端 即时信息即时信息 Unix十大安全隐患 BIND域名系统域名系统 Web服务器服务器 认证 版本控制系统电子邮件传输服务电子邮件传输服务 简单网络管理协议 开放安全连接通讯层 企业服务NIS/NFS 配置不当 数据库内核内核来源SANS研究报告我国互联网网络安全和应急响应发展和现状网络安全漏洞发展趋势利用漏洞发动攻击的速度加快：Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：天威胁程度不断增加2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险漏洞利用分析人员兴趣的变化Web应用的漏洞越来越多Symantec统计，2004年上半年公布了4

3、79个与Web应用有关的漏洞，占总数的39%我国互联网网络安全和应急响应发展和现状病毒、蠕虫、木马等在互联网上大行其道事例1988年11月：Morris蠕虫，互联网主体瘫痪1989年10月：Wank蠕虫2001年：红色代码、尼姆达蠕虫事件2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：震荡波蠕虫事件相互结合，危害无穷“红色代码”将网络蠕虫、计算机病毒、木马程序合为一体我国互联网网络安全和应急响应发展和现状CNCERT/CC通过抽样监测发现，仅，我国遭到Mydoom蠕虫、利用RPC漏洞和LSASS漏洞的几类主要蠕虫攻击的主机数目接近200万台安全事件在各地区的分布

4、10.47%8.75%4.43%3.15%2.87%2.36%2.33%2.29%18.43%18.01%26.92%广东北京浙江江苏湖北江西辽宁陕西山东福建其他我国互联网网络安全和应急响应发展和现状网络安全造成损失越来越大网络堵塞SQL SLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台业务停顿2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅客滞留机场的事件类似事件还有网上招生停顿、网上交易中断等，威胁生命？造成的财产损失难以估计，数字绝非耸人听闻2001年，尼姆达蠕虫造成的损失估计大大超过26亿美元

5、今日美国报道：黑客每年给全世界电脑网络带来的损失估计高达100多亿美元切肤之痛？我国互联网网络安全和应急响应发展和现状攻击手段越发“高超”漏洞发布到攻击出现的时间越来越短Witty蠕虫事件花样翻新，防不胜防尼姆达蠕虫：通过email、共享网络资源、IIS服务器传播变种速度令人惊叹黑客：从单打独斗到“精诚”合作Botnet攻击程序日益自动化、并辍手可得我国互联网网络安全和应急响应发展和现状攻击范围和时间的变化全面框架全面框架区域网络区域网络多个局域网多个局域网单个局域网单个局域网单个单个pc目标和破坏目标和破坏的范围的范围1980s1990sTodayFuture第一代第一代 Boot viru

6、sesWeeks第二代第二代 Macro viruses Denial of serviceDays第三代第三代 Distributed denial of service Blended threatsMinutes下一代下一代 Flash threats Massive worm-driven DDoS Damaging payload wormsSeconds快速变化的威胁快速变化的威胁我国互联网网络安全和应急响应发展和现状我国互联网网络安全和应急响应发展和现状攻击复杂度与攻击者的技术水平攻击复杂度与攻击者的技术水平高高低低19801985199019952000猜口令猜口令自我复制程序

7、自我复制程序口令破解口令破解攻击已知漏洞攻击已知漏洞破坏审计破坏审计后门程序后门程序干扰通信干扰通信手动探测手动探测窃听窃听数据包欺骗数据包欺骗图形化界面图形化界面自动扫描自动扫描拒绝服务拒绝服务www攻击攻击工具工具攻击者攻击者攻击者的攻击者的知识水平知识水平攻击的复杂度攻击的复杂度隐秘且高级的扫描工具隐秘且高级的扫描工具偷窃信息偷窃信息网管探测网管探测分布式攻击工具分布式攻击工具新型的跨主机工具新型的跨主机工具我国互联网网络安全和应急响应发展和现状2004年网络安全热点网站仿冒（Phishing）建立假网站通过垃圾邮件发送服务器大量发信引诱用户访问使用中奖、系统升级等手段诱使用户输入个人信

8、息主要针对银行和信用卡服务机构我国互联网网络安全和应急响应发展和现状我国互联网网络安全和应急响应发展和现状2004年网络安全热点基于Botnet的网络敲诈大量主机被安装了BOT黑客可以通过IRC服务器实施控制随时可能发动攻击BOT可以进行升级，扩大攻击能力我国互联网网络安全和应急响应发展和现状2004年网络安全热点手机和无线网络（WLAN）的安全2004年，针对使用Symbian的兰牙手机的病毒出现针对使用PocketPC的验证性攻击程序也被发现手机功能和操作系统通用性不断增强，会有越来越多针对手机的攻击WLAN安全性一直是其应用的关键问题2004年出现了可利用来对无线接入点进行拒绝服务攻击的

9、漏洞我国互联网网络安全和应急响应发展和现状我国互联网网络安全应急工作现状我国互联网网络安全和应急响应发展和现状国家整体安全战略需要国家信息化领导小组第三次会议上强调： “加强信息安全保障工作，重点在于坚持积极防御、综合防范积极防御、综合防范；全面提高信息安全防护能力；重点保障信息网络和重要信息系统安全；创建安全健康的网络环境；保障和促进信息化发展，保护公众利益，维护国家安全；立足国情、以我为主、管理与技术并重、统筹规划、突出重点；发挥各界积极性，共同 构 筑。 ”我国互联网网络安全和应急响应发展和现状国家整体安全战略需要关于加强信息安全保障工作的意见（中办发2003 27号文）指出：“信息安全

10、保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过的努力，基本建成国家信息安全保障体系。我国互联网网络安全和应急响应发展和现状网络安全应急工作的基本目标积极预防及时发现快速响应确保恢复我国互联网网络安全和应急响应发展和现状网络安全应急工作的基本原则加强领导统一指挥分工负责 积极预防常备不懈 及时预警 协作配合 快速处理 确保恢复 我国互联网网络安全和应急响应发展和现状互联网网络安全应急预案组织体系和职责明确责任、组织保障预警和预防机制事件分级、监测、预警预防

11、、平台要求应急响应分级响应、及时通报/上报信息、协调配合后期处置总结、奖惩评定及表彰应急保障准备预案、队伍、培训、经费、演练、联络机制、监督检查、技术储备我国互联网网络安全和应急响应发展和现状互联网网络安全应急预案提出的要求举例各经营性互联单位配合CNCERT/CC，每天12时以前采集其互联网24小时内的运行状态数据发生二级/报警网络安全事件，CNCERT/CC要在8小时内提出建议方案；发生二级/报警网络安全事件，12小时要上报事件动态如何落实？我国互联网网络安全和应急响应发展和现状我国公共互联网应急体系从无到有从小到大从弱到强从点到面我国互联网网络安全和应急响应发展和现状正面经验：2003.

12、SQL Slammer/口令蠕虫组织：CNCERT/CC；CCERT；各运营商CERT；国际组织效率：两小时判断情况，半天控制局势总结：应急体系发挥了重要作用潜在的问题还有很多我国互联网网络安全和应急响应发展和现状CNCERT/CC简介国家计算机网络应急技术协调处理中心 2000年成立，2003年7月中编办批准现名 英文“National Computer network Emergency Response technical Team/Coordination Center of China”职责和定位 “在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应

13、急小组(CERT)共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流的组织。我国互联网网络安全和应急响应发展和现状目前具备的主要能力大规模异常事件的发现能力理论上确认大规模网络安全事件所需要时间不到原来的十分之一重大网络安全事件的初步监测分析能力包括感染范围和速度、控制效果、对网络的影响情况等攻击事件的分布式自动验证拓扑发现和定位分析分布式问题网站发现系统我国互联网网络安全和应急响应发展

14、和现状2004年1-10月接到事件报告情况我国互联网网络安全和应急响应发展和现状与国际应急组织密切合作Global Problem, Global Solution：跨国进行的计算机攻击事件的处理推动了国际应急组织的合作2002年8月，成为FIRST正式成员APCERT创始成员和指导委员会成员同韩国、日本、马来西亚、巴西、澳大利亚多个国家CERT组织保持密切的合作开始与东盟、泛美、欧洲等地区CERT组织建立合作渠道我国互联网网络安全和应急响应发展和现状应急组织、策略和方法一些建议我国互联网网络安全和应急响应发展和现状面临的基本问题如何用合理的投入，使组织面临的整体网络安全风险降低到可以接受的程

15、度安全是相对的，不是绝对的不同层面：国家、企业、个人是否真正知道面临哪些风险？如何描述风险？安全的水平不是用投入多少来衡量？我国互联网网络安全和应急响应发展和现状如何保障整体的安全有明确整体的网络安全策略适合组织需要的网络安全应急小组（至少应该有POC）详细的规章、流程、手册，并真正得到贯彻建立监测技术平台与应急工具库开展应急培训、演练网络安全知识、信息、经验积累、共享与交换提高组织和个人网络安全意识我国互联网网络安全和应急响应发展和现状网络安全应急组织基础计算机安全事件相应小组CSIRT: Computer Security Incident Response Team负责在确定的组织范围内

16、，执行、协调、支持对计算机实践做出响应的小组CNCERT/CC、CCERT我国互联网网络安全和应急响应发展和现状理解组织自身的需要为什么需要CSIRT?组织的现状?部门之间如何联系？负责人？需要说服那些关键人物?现有的基础：内部的和外部的?事件处理小组？安全流程?安全策略?法规?标准?带来哪些好处，存在哪些障碍?CSIRT对整体整体目标带来哪些好处？商业优势、投资回报?我国互联网网络安全和应急响应发展和现状看看国外的情况全球应急组织论坛亚太应急组织欧洲安全事件交换计划我国互联网网络安全和应急响应发展和现状我国互联网网络安全和应急响应发展和现状事件处理的一般阶段第一阶段：准备让我们严阵以待第二阶

17、段：确认对情况综合判断第三阶段：封锁制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗我国互联网网络安全和应急响应发展和现状Handling the Incident恢复恢复RecoveryRecovery根除根除EradicationEradication发现发现IdentificationIdentification预防预防PreparationPreparation控制控制ContainmentContainment跟踪跟踪Follow up Follow up AnalysisAnalysis我国互联网网络安全和应急响应发展和现状我国互联

18、网网络安全和应急响应发展和现状第一阶段准备预防为主帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施应急联络机制我国互联网网络安全和应急响应发展和现状建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmail我国互联网网络安全和应急响应发展和现状第二阶段确认确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？我国互联网网络安全和应急响应发展和现状第三阶段封锁即时采取的行动防止进一步的损失，确定后果确定适

19、当的封锁方法咨询安全政策确定进一步操作的风险损失最小化可列出若干选项，讲明各自的风险，由服务对象选择我国互联网网络安全和应急响应发展和现状第四阶段根除长期的补救措施确定原因，定义征兆分析漏洞加强防范消除原因修改安全政策我国互联网网络安全和应急响应发展和现状第五阶段恢复被攻击的系统由备份来恢复作一个新的备份把所有安全上的变更作备份服务重新上线持续监控我国互联网网络安全和应急响应发展和现状第六阶段跟踪关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估我国互联网网络安全和应急响应发展和现状网络安全应急技术基础入侵检测系统调查分析系统事件描述与交换系统事

20、件管理系统备份恢复系统应急专用工具(扫描器、补丁管理)网络安全管理平台(SOC)更多我国互联网网络安全和应急响应发展和现状响应式服务响应式服务预防式服务预防式服务安全质量管理服务安全质量管理服务 警报和警告警报和警告 事件处理事件处理-事件分析事件分析-现场事件响应现场事件响应-事件响应支持事件响应支持-事件响应协调事件响应协调 安全漏洞处理安全漏洞处理-安全漏洞分析安全漏洞分析-安全漏洞响应安全漏洞响应-安全漏洞响应协调安全漏洞响应协调 Artifact处理处理-Artifact分析分析-Artifact响应响应-Artifact响应协调响应协调o 公告公告o 技术监测技术监测o 与与安全审

21、计评估o 安全工具、应用程序和基础设施的配置和维护o 安全工具的开发o 入侵检测服务o 安全有关的信息安全有关的信息的传播的传播 风险分析 服务持续性和灾难恢复规划 安全性咨询 建立安全意识 教育/培训 产品评估或认证应急是一种服务我国互联网网络安全和应急响应发展和现状应急人员的基本素质基本的专业知识，最好拥有专门的认证超强的学习能力，跟上网络安全事件发展良好的沟通交流能力丰富的事件处理、分析、调查经验撰写规范的事件处理报告的能力我国互联网网络安全和应急响应发展和现状互联网网络安全应急工作展望我国互联网网络安全和应急响应发展和现状道高？魔高？ 攻击者： 发现漏洞 编写攻击代码 (测试) 执行攻

22、击 防御者： 发现漏洞 发布消息 开发补丁程序 发布补丁 风险检查 监测攻击 分析恶意代码 控制传播Propagation Control 发布补丁和工具 恢复被入侵系统 升级/调整/评估我国互联网网络安全和应急响应发展和现状对手有多快？漏洞随时被发现攻击代码出现加快:6天甚至更快零日攻击开始出现10到30分钟使整个互联网瘫痪已经成为可能Well, how fast can we be, then ?我国互联网网络安全和应急响应发展和现状很长的路要走我国互联网网络安全和应急响应发展和现状典型漏洞引发的安全事件数量变化曲线Time事件数量发现漏洞公布漏洞公布补丁程序实施补丁安装CSIRT厂商/协调机构职责划分CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动我国互联网网络安全和应急响应发展和现状应对大规模的主动攻击如何对付DDoS、BotNet等大范围跨域的大规模网络攻击？快速控制、追查源头、彻底清除、调查取证被利用来进行犯罪活动，DDoS攻击造成损失越来越大经济影响和社会影