我国互联网网络安全与应急响应

我国互联网网络安全与应急响应

—发展与现状国家计算机网络应急技术处理协调中心运行部张冰2004.12.24CERNET’2004年会主题互联网网络安全面临重大挑战我国互联网网络安全应急工作现状应急组织、策略和方法互联网网络安全应急工作展望结论互联网网络安全面临重大挑战网络安全漏洞大量存在数据来源CERT/CC网站网络安全漏洞大量存在Windows十大安全隐患Web服务器和服务工作站服务Windows远程访问服务微软SQL服务器Windows认证Web浏览器

文件共享LSASExposures电子邮件客户端即时信息Unix十大安全隐患BIND域名系统Web服务器认证版本控制系统电子邮件传输服务简单网络管理协议开放安全连接通讯层企业服务NIS/NFS配置不当数据库内核来源SANS研究报告网络安全漏洞发展趋势利用漏洞发动攻击的速度加快：Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：5.8天威胁程度不断增加2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险漏洞利用分析人员兴趣的变化Web应用的漏洞越来越多Symantec统计，2004年上半年公布了479个与Web应用有关的漏洞，占总数的39%病毒、蠕虫、木马等在互联网上大行其道事例1988年11月：Morris蠕虫，互联网主体瘫痪1989年10月：Wank蠕虫2001年：红色代码、尼姆达蠕虫事件2003年：SQLSLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：震荡波蠕虫事件相互结合，危害无穷“红色代码”将网络蠕虫、计算机病毒、木马程序合为一体CNCERT/CC通过抽样监测发现，仅2004年上半年，我国遭到Mydoom蠕虫、利用RPC漏洞和LSASS漏洞的几类主要蠕虫攻击的主机数目接近200万台网络安全造成损失越来越大网络堵塞SQLSLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台业务停顿2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅客滞留机场的事件类似事件还有网上招生停顿、网上交易中断等，威胁生命？造成的财产损失难以估计，数字绝非耸人听闻2001年，尼姆达蠕虫造成的损失估计大大超过26亿美元《今日美国》报道：黑客每年给全世界电脑网络带来的损失估计高达100多亿美元切肤之痛？攻击手段段越发““高超””漏洞发布布到攻击击出现的的时间越越来越短短Witty蠕虫虫事件花样翻新新，防不不胜防尼姆达蠕蠕虫：通通过email、共享享网络资资源、IIS服服务器传传播变种速度度令人惊惊叹黑客：从从单打独独斗到““精诚””合作Botnet攻击程序日益益自动化、并并辍手可得攻击范围和时时间的变化全面框架

区域网络

多个局域网

单个局域网

单个pc目标和破坏的范围1980s1990sTodayFuture第一代BootvirusesWeeks第二代MacrovirusesDenialofserviceDays第三代DistributeddenialofserviceBlendedthreatsMinutes下一代FlashthreatsMassiveworm-drivenDDoSDamagingpayloadwormsSeconds快速变化的威胁攻击复杂度与与攻击者的技技术水平高低19801985199019952000猜口令自我复制程序序口令破解攻击已知漏洞洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务工具攻击者攻击者的知识水平攻击的复杂度度隐秘且高级的的扫描工具偷窃信息网管探测分布式攻击工工具新型的跨主机机工具2004年网网络安全热点点网站仿冒（Phishing）建立假网站通过垃圾邮件件发送服务器器大量发信引引诱用户访问问使用中奖、系系统升级等手手段诱使用户户输入个人信信息主要针对银行行和信用卡服服务机构2004年网网络安全热点点基于Botnet的网络络敲诈大量主机被安安装了BOT黑客可以通过过IRC服务务器实施控制制随时可能发动动攻击BOT可以进进行升级，扩扩大攻击能力力2004年网网络安全热点点手机和无线网网络（WLAN）的安全全2004年，，针对使用Symbian的兰牙手手机的病毒出出现针对使用PocketPC的验证性性攻击程序也也被发现手机功能和操操作系统通用用性不断增强强，会有越来来越多针对手手机的攻击WLAN安全全性一直是其其应用的关键键问题2004年出出现了可利用用来对IEEE1278.11b无线接入点点进行拒绝服服务攻击的漏漏洞我国互联网网网络安全应急急工作现状国家整体安全全战略需要国家信息化领领导小组第三三次会议上强调：“加强信息安安全保障工作作，重点在于于坚持积极防御、综综合防范；全面提高信信息安全防护护能力；重点点保障信息网网络和重要信信息系统安全全；创建安全全健康的网络络环境；保障障和促进信息息化发展，保保护公众利益益，维护国家家安全；立足足国情、以我我为主、管理理与技术并重重、统筹规划划、突出重点点；发挥各界界积极性，共共同构筑国家信息安全全保障体系。”国家整体安全全战略需要《关于加强信息息安全保障工工作的意见》》（中办发[2003]27号文））指出：“信信息安全保障障工作的要点点在于，实行行信息安全等等级保护制度度，建设基于于密码技术的的网络信任体体系，建设信信息安全监控控体系，重视信息安全全应急处理工工作，推动信息安全全技术研发与与产业发展，，建设信息安安全法制与标标准”国家信息安全全战略的近期期目标：通过过五年的努力，基本本建成国家信信息安全保障障体系。网络安全应急急工作的基本本目标积极预防及时发现快速响应确保恢复网络安全应急急工作的基本本原则加强领导统一指挥分工负责积极预防常备不懈及时预警协作配合快速处理确保恢复互联网网络安安全应急预案案组织体系和职职责明确责任、组组织保障预警和预防机机制事件分级、监监测、预警预预防、平台要要求应急响应分级响应、及及时通报/上上报信息、协协调配合后期处置总结、奖惩评评定及表彰应急保障准备备预案、队伍、、培训、经费费、演练、联联络机制、监监督检查、技技术储备互联网网络安安全应急预案案提出的要求举举例各经营性互联联单位配合CNCERT/CC，每每天12时以以前采集其互互联网24小小时内的运行行状态数据发生二级/报报警网络安全全事件，CNCERT/CC要在8小时内提出出建议方案；；发生二级/报报警网络安全全事件，12小时要上报报事件动态……如何落实？我国公共互联联网应急体系系从无到有从小到大从弱到强从点到面正面经验：2003.SQLSlammer/口令蠕虫虫CNCERT/CC简介介国家计算机网网络应急技术术协调处理中中心2000年成成立，2003年7月中中编办批准现现名英文“NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina”职责和定位位“在信息产产业部互联联网应急处处理协调办办公室的直直接领导下下,负责协协调我国各各计算机网网络安全事事件应急小小组(CERT)共共同处理国国家公共互互联网上的的安全紧急急事件，为为国家公共共互联网、、国家主要要网络信息息应用系统统以及关键键部门提供供计算机网网络安全的的监测、预预警、应急急、防范等等安全服务务和技术支支持,及时时收集、核核实、汇总总、发布有有关互联网网安全的权权威性信息息,组织国国内计算机机网络安全全应急组织织进行国际际合作和交交流的组织织。目前具备的的主要能力力大规模异常常事件的发发现能力理论上确认认大规模网网络安全事事件所需要要时间不到到原来的十十分之一重大网络安安全事件的的初步监测测分析能力力包括感染范范围和速度度、控制效效果、对网网络的影响响情况等攻击事件的的分布式自自动验证拓扑发现和和定位分析析分布式问题题网站发现现系统2004年年1-10月接到事事件报告情情况与国际应急急组织密切切合作GlobalProblem,GlobalSolution：跨跨国进行的的计算机攻攻击事件的的处理推动动了国际应应急组织的的合作2002年年8月，成成为FIRST正式式成员APCERT创始成成员和指导导委员会成成员同韩国、日日本、马来来西亚、巴巴西、澳大大利亚多个个国家CERT组织织保持密切切的合作开始与东盟盟、泛美、、欧洲等地地区CERT组织建建立合作渠渠道应急组织、、策略和方方法一些建议面临的基本问题如何用合理理的投入，，使组织面面临的整体体网络安全全风险降低低到可以接接受的程度度安全全是是相相对对的的，，不不是是绝绝对对的的不同同层层面面：：国国家家、、企企业业、、个个人人是否否真真正正知知道道面面临临哪哪些些风风险险？？如何何描描述述风风险险？？安全全的的水水平平不不是是用用投投入入多多少少来来衡衡量量？？……如何保障障整体的的安全有明确确整体体的网网络安安全策策略适合组组织需需要的的网络络安全全应急急小组组（至至少应应该有有POC））详细的的规章章、流流程、、手册册，并并真正正得到到贯彻彻建立监监测技技术平平台与与应急急工具具库开展应应急培培训、、演练练网络安安全知知识、、信息息、经经验积积累、、共享享与交交换提高组组织和和个人人网络络安全全意识识一切都都要真真正得得到贯贯彻和和执行行！网络安安全应应急组组织基基础计算机机安全全事件件相应应小组组CSIRT:ComputerSecurityIncidentResponseTeam负责在在确定定的组组织范范围内内，执执行、、协调调、支支持对对计算算机实实践做做出响响应的的小组组CNCERT/CC、CCERT…理解组组织自自身的的需要要为什么么需要要CSIRT?组织的的现状状?部门之之间如如何联联系？？负责责人？？需要说说服那那些关关键人人物?现有的的基础础：内内部的的和外外部的的?事件处处理小小组？？安全全流程程?安全策策略?法规?标准?带来哪哪些好好处，，存在在哪些些障碍碍?CSIRT对整体体整体体目标标带来来哪些些好处处？商业优优势、、投资资回报报?看看国国外的的情况况全球应应急组组织论论坛亚太应应急组组织欧洲安安全事事件交交换计计划事件处处理的的一般般阶段段第一阶阶段：：准备备———让我我们严严阵以以待第二阶阶段：：确认认———对情情况综综合判判断第三阶阶段：：封锁锁———制止止事态态的扩扩大第四阶段：：根除———彻底的补补救措施第五阶段：：恢复———备份，顶顶上去！第六阶段：：跟踪———还会有第第二次吗HandlingtheIncident恢复Recovery根除Eradication发现Identification预防Preparation控制Containment跟踪FollowupAnalysisIncidentResponseLifeCycle第一阶段段——准准备预防为主主帮助服务务对象建建立安全全政策帮助服务务对象按按照安全全政策配配置安全全设备和和软件扫描，风风险分析析，打补补丁如有条件件且得到到许可，，建立监监控设施施应急联络络机制建立事件件报告的的机制和和要求建立事件件报告流流程和规规范IntranetPhoneEmailWho?What?When?Where?How?ReportingMechanisms第二阶段段——确确认确定事件件的责任任人指定一个个责任人人全权处处理此事事件给予必要要的资源源确定事件件的性质质误会？玩玩笑？还还是恶意意的攻击击/入侵侵？影响的严严重程度度预计采用用什么样样的专用用资源来来修复？？第三阶段段——封封锁即时采取取的行动动防止进一一步的损损失，确确定后果果确定适当当的封锁锁方法咨询安全全政策确定进一一步操作作的风险险损失最小小化可列出若若干选项项，讲明明各自的的风险，，由服务务对象选选择第四阶段段——根根除长期的补补救措施施确定原因因，定义义征兆分析漏洞洞加强防范范消除原因因修改安全全政策第五阶段段——恢恢复被攻击的的系统由由备份来来恢复作一个新新的备份份把所有安安全上的的变更作作备份服务重新新上线持续监控控第六阶段段——跟跟踪关注系统统恢复以以后的安安全状况况，特别别是曾经经出问题题的地方方建立跟踪文档档，规范记录录跟踪结果对响应效果给给出评估网络安全应急急技术基础入侵检测系统统调查分析系统统事件描述与交交换系统事件管理系统统备份恢复系统统应急专用工具具(扫描器、、补丁管理……)网络安全管理理平台(SOC)更多……响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处理Artifact分析Artifact响应Artifact响应协调公告技术监测与安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证应急是一种服服务应急人员的基基本素质基本的专业知知识，最好拥拥有专门的认认证超强的学习能能力，跟上网网络安全事件件发展良好的沟通交交流能力丰富的事件处处理、分析、、调查经验撰写规范的事事件处理报告告的能力互联网网络安安全应急工作作展望道高？？魔高高？攻击者者：发现漏漏洞编写攻攻击代代码(测试试)执行攻攻击防御者者：发现漏漏洞发布消消息开发补补丁程程序发布补补丁风险检检查监测攻攻击分析恶恶意代代码控制传传播PropagationControl发布补补丁和和工具具恢复被被入侵侵系统统升级/调整整/评评估对手有有多快快？漏洞随随时被被发现现攻击代代码出出现加加快:6天天甚至至更快快零日攻攻击开开始出出现10到到30分钟钟使整整个互互联网网瘫痪痪已经经成为为可能能Well,howfastcanwebe,then?很长的的路要要走典型漏漏洞引引发的的安全全事件件数量量变化化曲线线Time事件数数量发现漏洞公布漏洞公布补丁程序实施补丁安装CSIRT厂商/协调机构职责划分CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动CSIRT开始行动应对大大规模模的主主动攻攻击如何对对付DDoS、BotNet等等大范范围跨跨域的的大规规模网网络攻攻击？？快速控控制、、追查查源头头、彻彻底清清除、、调查查取证证………被利用用来进进行犯犯罪活活动，，DDoS攻击击造成成损失失越来来越大大经济影影响和和社会会影响响如何真真正解解决这这些问问题？？实时跨跨网防防御概概念Real-timeInter-networkDefense(RID)TraceSecurityIncidentstotheSourceStoporMitigatetheEffectsofanAttackorSecurityIncidentFacilitateCommunicationsbetweenNetworkProvidersIntegratewithexistingandfuturenetworkcomponentsSystemstotracetrafficacrossanetworkIntrusionDetectionSystemsNetFlow,HashBasedIPTraceback,IPMarking,etc.NetworkdevicessuchasroutersandfirewallsProvidesecuremeanstocommunicateRIDmessagesConsortiumsagreeuponuseandabuseguidelinesConsortiumsprovideakeyexchangemethodTrustedPKI,certificaterepository,crosscertificationsSource:INCHWGRIDDraft标准结论-必必须要做做的事情情提高应急急响应的的速度和和能力加强应急急组织之之间协作作非常重重要需要建立立和发展展应急相相关的标标准信息要共共享处理要配配合分析要深深入相互要信信任服务要规规范欢迎各位位专家批批评指正正！谢谢谢！国家计算算机网络络应急技技术处理理协调中中心张冰冰博士9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶树树，灯下白头头人。。13:35:5313:35:5313:3512/29/20221:35:53PM11、以我独独沈久，，愧君相相见频。。。12月-2213:35:5313:35Dec-2229-Dec-2212、故人江海海别，几度度隔山川。。。13:35:5313:35:5313:35Thursday,December29,202213、乍见翻疑梦梦，相悲各问问年。。12月-2212月-2213:35:5313:35:53December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月20221:35:53下午午13:35:5312月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月221:35下下午12月-2213:35December29,202216、行动动出成成果，，工作作出财财富。。。2022/12/2913:35:5313:35:5329December202217、做做前前，，能能够够环环视视四四周周；；做做时时，，你你只只能能或或者者最最好好沿沿着着以以脚脚为为起起点点的的射射线线向向前前。。。。1:35:53下午午1:35下午午13:35:5312月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。13:35:5313:35:5313:3512/29/20221:35:53PM11、成功就是日日复一日那一一点点小小努努力的积累。。。12月-2213:35:5313:35Dec-2229-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。13:35:5313:35:5313:35Thursday,December29,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2213:35:5313:35:53December29,202214、意志坚强的的人能把世界界放在手中像像泥块一样任任意揉捏。29十二月月20221:35:53下午13:35:5312月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月221:35下午午12月