我国互联网网络安全与应急响应

1、我国互联网网络安全与应急响应发展与现状国家计算机网络应急技术处理协调中心运行部 张冰2004.12.24 CERNET2004年会1主题互联网网络安全面临重大挑战我国互联网网络安全应急工作现状应急组织、策略和方法互联网网络安全应急工作展望结论2互联网网络安全面临重大挑战3网络安全漏洞大量存在数据来源CERT/CC网站4网络安全漏洞大量存在Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器文件共享LSAS Exposures电子邮件客户端 即时信息Unix十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传

2、输服务简单网络管理协议开放安全连接通讯层企业服务NIS/NFS 配置不当数据库内核来源SANS研究报告5网络安全漏洞发展趋势利用漏洞发动攻击的速度加快：Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：5.8天威胁程度不断增加2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险漏洞利用分析人员兴趣的变化Web应用的漏洞越来越多Symantec统计，2004年上半年公布了479个与Web应用有关的漏洞，占总数的39%6病毒、蠕虫、木马等在互联网上大行其道事例1988年11月：Morris蠕虫，互联网主体瘫痪1989年10月：Wank蠕虫2001年：红色代

3、码、尼姆达蠕虫事件2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：震荡波蠕虫事件相互结合，危害无穷“红色代码”将网络蠕虫、计算机病毒、木马程序合为一体7CNCERT/CC通过抽样监测发现，仅2004年上半年，我国遭到Mydoom蠕虫、利用RPC漏洞和LSASS漏洞的几类主要蠕虫攻击的主机数目接近200万台8网络安全造成损失越来越大网络堵塞SQL SLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台业务停顿2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅客滞留机场的事件类似事

4、件还有网上招生停顿、网上交易中断等，威胁生命？造成的财产损失难以估计，数字绝非耸人听闻2001年，尼姆达蠕虫造成的损失估计大大超过26亿美元今日美国报道：黑客每年给全世界电脑网络带来的损失估计高达100多亿美元切肤之痛？9攻击手段越发“高超”漏洞发布到攻击出现的时间越来越短Witty蠕虫事件花样翻新，防不胜防尼姆达蠕虫：通过email、共享网络资源、IIS服务器传播变种速度令人惊叹黑客：从单打独斗到“精诚”合作Botnet攻击程序日益自动化、并辍手可得10攻击范围和时间的变化全面框架区域网络多个局域网单个局域网单个pc目标和破坏的范围1980s1990sTodayFuture第一代Boot v

5、irusesWeeks第二代Macro virusesDenial of serviceDays第三代Distributed denial of serviceBlended threatsMinutes下一代Flash threatsMassive worm-driven DDoSDamaging payload wormsSeconds快速变化的威胁1112攻击复杂度与攻击者的技术水平高低19801985199019952000猜口令自我复制程序口令破解攻击已知漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务www攻击工具攻击者攻击者的知识水平攻击的复杂度隐秘且

6、高级的扫描工具偷窃信息网管探测分布式攻击工具新型的跨主机工具132004年网络安全热点网站仿冒（Phishing）建立假网站通过垃圾邮件发送服务器大量发信引诱用户访问使用中奖、系统升级等手段诱使用户输入个人信息主要针对银行和信用卡服务机构14152004年网络安全热点基于Botnet的网络敲诈大量主机被安装了BOT黑客可以通过IRC服务器实施控制随时可能发动攻击BOT可以进行升级，扩大攻击能力162004年网络安全热点手机和无线网络（WLAN）的安全2004年，针对使用Symbian的兰牙手机的病毒出现针对使用PocketPC的验证性攻击程序也被发现手机功能和操作系统通用性不断增强，会有越来越

7、多针对手机的攻击WLAN安全性一直是其应用的关键问题2004年出现了可利用来对IEEE 1278.11b无线接入点进行拒绝服务攻击的漏洞17我国互联网网络安全应急工作现状18国家整体安全战略需要国家信息化领导小组第三次会议上强调： “加强信息安全保障工作，重点在于坚持积极防御、综合防范；全面提高信息安全防护能力；重点保障信息网络和重要信息系统安全；创建安全健康的网络环境；保障和促进信息化发展，保护公众利益，维护国家安全；立足国情、以我为主、管理与技术并重、统筹规划、突出重点；发挥各界积极性，共同构筑国家信息安全保障体系。”19国家整体安全战略需要关于加强信息安全保障工作的意见（中办发2003

8、27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。20网络安全应急工作的基本目标积极预防及时发现快速响应确保恢复21网络安全应急工作的基本原则加强领导统一指挥分工负责 积极预防常备不懈及时预警 协作配合 快速处理确保恢复 22互联网网络安全应急预案组织体系和职责明确责任、组织保障预警和预防机制事件分级、监测、预警预防、平台要求应急响应分级响应、及时通报/上报信息、协

9、调配合后期处置总结、奖惩评定及表彰应急保障准备预案、队伍、培训、经费、演练、联络机制、监督检查、技术储备23互联网网络安全应急预案提出的要求举例各经营性互联单位配合CNCERT/CC，每天12时以前采集其互联网24小时内的运行状态数据发生二级/报警网络安全事件，CNCERT/CC要在8小时内提出建议方案；发生二级/报警网络安全事件，12小时要上报事件动态如何落实？24我国公共互联网应急体系从无到有从小到大从弱到强从点到面25正面经验：2003.SQL Slammer/口令蠕虫组织：CNCERT/CC；CCERT；各运营商CERT；国际组织效率：两小时判断情况，半天控制局势总结：应急体系发挥了重

10、要作用潜在的问题还有很多 VPN26CNCERT/CC简介国家计算机网络应急技术协调处理中心2000年成立，2003年7月中编办批准现名英文“National Computer network Emergency Response technical Team/Coordination Center of China”职责和定位“在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应急小组(CERT)共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集

11、、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流的组织。27目前具备的主要能力大规模异常事件的发现能力理论上确认大规模网络安全事件所需要时间不到原来的十分之一重大网络安全事件的初步监测分析能力包括感染范围和速度、控制效果、对网络的影响情况等攻击事件的分布式自动验证拓扑发现和定位分析分布式问题网站发现系统282004年1-10月接到事件报告情况29与国际应急组织密切合作Global Problem, Global Solution：跨国进行的计算机攻击事件的处理推动了国际应急组织的合作2002年8月，成为FIRST正式成员APCERT创始成员和指导委

12、员会成员同韩国、日本、马来西亚、巴西、澳大利亚多个国家CERT组织保持密切的合作开始与东盟、泛美、欧洲等地区CERT组织建立合作渠道30应急组织、策略和方法一些建议31面临的基本问题如何用合理的投入，使组织面临的整体网络安全风险降低到可以接受的程度安全是相对的，不是绝对的不同层面：国家、企业、个人是否真正知道面临哪些风险？如何描述风险？安全的水平不是用投入多少来衡量？32如何保障整体的安全有明确整体的网络安全策略适合组织需要的网络安全应急小组（至少应该有POC）详细的规章、流程、手册，并真正得到贯彻建立监测技术平台与应急工具库开展应急培训、演练网络安全知识、信息、经验积累、共享与交换提高组织和

13、个人网络安全意识一切都要真正得到贯彻和执行！33网络安全应急组织基础计算机安全事件相应小组CSIRT: Computer Security Incident Response Team负责在确定的组织范围内，执行、协调、支持对计算机实践做出响应的小组CNCERT/CC、CCERT34理解组织自身的需要为什么需要CSIRT?组织的现状?部门之间如何联系？负责人？需要说服那些关键人物?现有的基础：内部的和外部的?事件处理小组？安全流程?安全策略?法规?标准?带来哪些好处，存在哪些障碍?CSIRT对整体整体目标带来哪些好处？商业优势、投资回报?35看看国外的情况全球应急组织论坛亚太应急组织欧洲安全事

14、件交换计划3637事件处理的一般阶段第一阶段：准备让我们严阵以待第二阶段：确认对情况综合判断第三阶段：封锁制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗38Handling the Incident恢复Recovery根除Eradication发现Identification预防Preparation控制Containment跟踪Follow up AnalysisIncident Response Life Cycle3940第一阶段准备预防为主帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件

15、且得到许可，建立监控设施应急联络机制41建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneEmailWho?What?When?Where?How?Reporting Mechanisms42第二阶段确认确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？43第三阶段封锁即时采取的行动防止进一步的损失，确定后果确定适当的封锁方法咨询安全政策确定进一步操作的风险损失最小化可列出若干选项，讲明各自的风险，由服务对象选择44第四阶段根除长期的补救措施确定原因，定义征兆分析漏洞加强

16、防范消除原因修改安全政策45第五阶段恢复被攻击的系统由备份来恢复作一个新的备份把所有安全上的变更作备份服务重新上线持续监控46第六阶段跟踪关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估47网络安全应急技术基础入侵检测系统调查分析系统事件描述与交换系统事件管理系统备份恢复系统应急专用工具(扫描器、补丁管理)网络安全管理平台(SOC)更多48响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处理Artifact分析Artifact响

17、应Artifact响应协调公告技术监测与安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证应急是一种服务49应急人员的基本素质基本的专业知识，最好拥有专门的认证超强的学习能力，跟上网络安全事件发展良好的沟通交流能力丰富的事件处理、分析、调查经验撰写规范的事件处理报告的能力50互联网网络安全应急工作展望51道高？魔高？攻击者：发现漏洞编写攻击代码(测试)执行攻击防御者：发现漏洞发布消息开发补丁程序发布补丁风险检查监测攻击分析恶意代码控制传播Propagation Cont

18、rol发布补丁和工具恢复被入侵系统升级/调整/评估52对手有多快？漏洞随时被发现攻击代码出现加快:6天甚至更快零日攻击开始出现10到30分钟使整个互联网瘫痪已经成为可能Well, how fast can we be, then ?53很长的路要走54典型漏洞引发的安全事件数量变化曲线Time事件数量发现漏洞公布漏洞公布补丁程序实施补丁安装CSIRT厂商/协调机构职责划分CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动55应对大规模的主动攻击如何对付DDoS、BotNet等大范围跨域的大规模网络攻击？快速控制、追查源头、彻底清除、调查取证被利用来进行犯罪活动，DDoS攻击造成损失越来越大经济影响和社会影响如何真正解决这些问题？56实时跨网防御概念Real-time Inter-network Defense (RID)Trace Security Incidents to the SourceStop or Mitigate the Effects of an Attack or Security IncidentFacilitate Communications between Network ProvidersIntegrate with existing and future network componentsSystems