网络蠕虫灾害及其应急处理的新特点

1、网络蠕虫灾害及其应急处理的新特点1内容安排网络蠕虫：日益严重的威胁网络蠕虫的新特点未来蠕虫的威胁网络蠕虫灾害的应急处理2近年来的网络蠕虫灾害红色代码II/尼姆达SQL杀手蠕虫口令蠕虫红色代码F变种MSBLAST蠕虫(冲击波)3SQL 杀手蠕虫事件2003年1月25日发作感染SQL数据库服务器，在服务器之间主动蔓延使用UDP1434端口攻击造成大面积网络拥塞，部分骨干网络瘫痪韩国网络基本处于瘫痪状态我国境内感染主机22600余台具备应急体系和机制之后第一次处理大规模网络安全事件，做到了快速响应4处理过程接到举报核实全网情况向全网通报情况，样本分析实施数据监测了解境外情况隔离方法分析和确认通报隔离

2、方法，实施隔离恢复故障网络媒体工作跟踪监测与分析报告5SQL事件总结1月28日召开总结会：技术角度得到的经验：6口令蠕虫事件3月8日出现，主要在教育网中蔓延，部分大学校园网络瘫痪后蔓延到电信、联通、移动、铁通、网通等多个网络，感染服务器41207台并不利用系统漏洞，而是采用猜口令的方式攻击管理不善的主机（而口令问题由于涉及到每一个用户，始终是最难以解决的问题之一）植入后门以后和境外13个IRC服务器建立联系7处理过程接到举报核实全网情况向全网通报情况，样本分析实施数据监测，切断与IRC服务器的联系了解境外情况隔离方法分析和确认通报隔离方法媒体工作跟踪监测与分析报告8红色代码F变种3月11日发作

3、，在欧洲一些国家造成影响3月11日至13日，检测到此蠕虫在我国网络中扩散次数达127860次接到用户举报监测系统发现最早证据完全利用原来的漏洞，依然可以形成一定规模9“冲击波”蠕虫8月11日启动响应，向各运营商与合作单位与国外组织发送警报和应对措施、交换信息8月15日启动针对DDoS的数据分析，与各组织保持密切联系8月18日发现MSBlast.Remove到目前发现感染数目超过200万10当前网络安全事件的特点病毒、蠕虫和其他攻击行为互相融合传统病毒的特点：隐蔽性、传染性、破坏性病毒的本质特点：寄生，而不是独立的程序蠕虫的特点：独立存在，自主蔓延更广泛的名称：恶意代码（还包括木马程序等）互联网

4、的发展为各种恶意代码提供了更多的机会，传统的分类界限日渐模糊传统的方法是否还适用于解决当今恶意代码的问题呢？11存在的主要问题法律法规：垃圾邮件、恶意代码、扫描、隔离、用户权利和义务、刑法286条的局限性组织体系：重要部门和行业尚没有建立专门的应急组织、国家应急体系尚不健全协调机制：协调处理机制比较欠缺，跨网、跨部门处理难度大服务规范：应急处理服务规范亟待建立产品技术：关键性的、高指标要求的专门产品和技术尚不过关数据收集：缺乏数据汇集渠道与综合分析能力，缺乏各种必要的基础资源人力资源：缺乏各种层次的专业队伍，用户安全意识差（漏洞等问题无法根除）12网络蠕虫事件和SARS的比较“现实世界中的一切

5、问题，都会反映到网络世界中”SARS和网络蠕虫具有很大的相似性传播特性危害性应对措施（发现异常、初步分析、报警、隔离、分析、治疗；信息共享、统一协调、国际合作）法律、媒体的作用不同之处：“病人”不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度.感染对象的不确定性中包含确定性因素13现状与危机是否真正知道我国的网络中正在发生什么？是否掌握国家网络空间安全的真实状态？是否掌握国家可能面临什么样的网络危机？国家信息化发展的相关决策缺乏依据信息化及其安全保障的计划可能陷入盲目缺乏准备，将来可能导致灾难性损失14从宏观的角度看应急处理应急处理15事件处理的一般阶段第一阶段：准备让我们严阵以待第二阶段：确认对情况综合判断第三阶段：封锁制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗16正确理解应急响应如何理解应急响应17应急工作的十六字方针积极预防风险评估，安全等级及时发现入侵检测，通报机制积极预防风险评估，安全等级快速反应迅即救助,有效反击积极预防风险评估，安全等级及时发现入侵检测，通报机制确保恢复起死回生,系统备份积极