互联网网络安全应急工作回顾与展望

我国互联网网络安全与应急响应—发展与现状国家计算机网络应急技术处理协调中心运行部张冰2004.12.24CERNET’2004年会NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina主题•互联网网络安全面临重大挑战•我国互联网网络安全应急工作现状•应急组织、策略和方法•互联网网络安全应急工作展望•结论互联网网络安全面临重大挑战NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全漏洞大量存在1995-2004年网络安全漏洞发现情况统计（CERT/CC）050010001500200025003000350040004500报告数171345311262417109024374129378426831995199619971998199920002001200220032004(Q1-Q3)数据来源CERT/CC网站NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全漏洞大量存在•Windows十大安全隐患–Web服务器和服务–工作站服务–Windows远程访问服务–微软SQL服务器–Windows认证–Web浏览器–文件共享–LSASExposures–电子邮件客户端–即时信息•Unix十大安全隐患–BIND域名系统–Web服务器–认证–版本控制系统–电子邮件传输服务–简单网络管理协议–开放安全连接通讯层–企业服务NIS/NFS配置不当–数据库–内核来源SANS研究报告NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全漏洞发展趋势•利用漏洞发动攻击的速度加快：–Symantec统计，2004年上半年，漏洞公布到攻击代码出现时间：5.8天•威胁程度不断增加–2004年1-6月，有攻击代码的漏洞中64%属于高度危险，36%属于中度危险–漏洞利用分析人员兴趣的变化•Web应用的漏洞越来越多–Symantec统计，2004年上半年公布了479个与Web应用有关的漏洞，占总数的39%NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina病毒、蠕虫、木马等在互联网上大行其道•事例–1988年11月：Morris蠕虫，互联网主体瘫痪–1989年10月：Wank蠕虫–2001年：红色代码、尼姆达蠕虫事件–2003年：SQLSLAMMER、口令蠕虫事件、冲击波蠕虫事件–2004年5月：震荡波蠕虫事件•相互结合，危害无穷–“红色代码”将网络蠕虫、计算机病毒、木马程序合为一体NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaCNCERT/CC通过抽样监测发现，仅2004年上半年，我国遭到Mydoom蠕虫、利用RPC漏洞和LSASS漏洞的几类主要蠕虫攻击的主机数目接近200万台安全事件在各地区的分布10.47%8.75%4.43%3.15%2.87%2.36%2.33%2.29%18.43%18.01%26.92%广东北京浙江江苏湖北江西辽宁陕西山东福建其他NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全造成损失越来越大•网络堵塞–SQLSLAMMER：2003年1月25日发作,造成大面积网络拥塞，部分骨干网络瘫痪，韩国网络基本处于瘫痪状态,我国境内感染主机22600余台•业务停顿–2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅客滞留机场的事件–类似事件还有网上招生停顿、网上交易中断等，威胁生命？•造成的财产损失难以估计，数字绝非耸人听闻–2001年，尼姆达蠕虫造成的损失估计大大超过26亿美元–《今日美国》报道：黑客每年给全世界电脑网络带来的损失估计高达100多亿美元•切肤之痛？NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina攻击手段越发“高超”•漏洞发布到攻击出现的时间越来越短–Witty蠕虫事件•花样翻新，防不胜防–尼姆达蠕虫：通过email、共享网络资源、IIS服务器传播–变种速度令人惊叹•黑客：从单打独斗到“精诚”合作–Botnet•攻击程序日益自动化、并辍手可得NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina攻击范围和时间的变化全面框架区域网络多个局域网单个局域网单个pc目标和破坏的范围1980s1990sTodayFuture第一代•BootvirusesWeeks第二代•Macroviruses•DenialofserviceDays第三代•Distributeddenialofservice•BlendedthreatsMinutes下一代•Flashthreats•Massiveworm-drivenDDoS•DamagingpayloadwormsSeconds快速变化的威胁NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina攻击复杂度与攻击者的技术水平高低19801985199019952000猜口令自我复制程序口令破解攻击已知漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗图形化界面自动扫描拒绝服务年网络安全热点•网站仿冒（Phishing）–建立假网站–通过垃圾邮件发送服务器大量发信引诱用户访问–使用中奖、系统升级等手段诱使用户输入个人信息–主要针对银行和信用卡服务机构NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina2004年网络安全热点•基于Botnet的网络敲诈–大量主机被安装了BOT–黑客可以通过IRC服务器实施控制–随时可能发动攻击–BOT可以进行升级，扩大攻击能力NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina2004年网络安全热点•手机和无线网络（WLAN）的安全–2004年，针对使用Symbian的兰牙手机的病毒出现–针对使用PocketPC的验证性攻击程序也被发现–手机功能和操作系统通用性不断增强，会有越来越多针对手机的攻击–WLAN安全性一直是其应用的关键问题–2004年出现了可利用来对IEEE1278.11b无线接入点进行拒绝服务攻击的漏洞我国互联网网络安全应急工作现状NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina国家整体安全战略需要•国家信息化领导小组第三次会议上强调：“加强信息安全保障工作，重点在于坚持积极防御、综合防范；全面提高信息安全防护能力；重点保障信息网络和重要信息系统安全；创建安全健康的网络环境；保障和促进信息化发展，保护公众利益，维护国家安全；立足国情、以我为主、管理与技术并重、统筹规划、突出重点；发挥各界积极性，共同构筑国家信息安全保障体系。”NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina国家整体安全战略需要•《关于加强信息安全保障工作的意见》（中办发[2003]27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”•国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全应急工作的基本目标•积极预防•及时发现•快速响应•确保恢复NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全应急工作的基本原则•加强领导•统一指挥•分工负责•积极预防•常备不懈•及时预警•协作配合•快速处理•确保恢复NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina互联网网络安全应急预案•组织体系和职责–明确责任、组织保障•预警和预防机制–事件分级、监测、预警预防、平台要求•应急响应–分级响应、及时通报/上报信息、协调配合•后期处置–总结、奖惩评定及表彰•应急保障准备–预案、队伍、培训、经费、演练、联络机制、监督检查、技术储备NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina互联网网络安全应急预案•提出的要求举例–各经营性互联单位配合CNCERT/CC，每天12时以前采集其互联网24小时内的运行状态数据–发生二级/报警网络安全事件，CNCERT/CC要在8小时内提出建议方案；–发生二级/报警网络安全事件，12小时要上报事件动态–……•如何落实？NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina我国公共互联网应急体系•从无到有•从小到大•从弱到强•从点到面NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina正面经验：2003.SQLSlammer/口令蠕虫•组织：CNCERT/CC；CCERT；各运营商CERT；国际组织•效率：两小时判断情况，半天控制局势•总结：–应急体系发挥了重要作用–潜在的问题还有很多NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaCNCERT/CC简介•国家计算机网络应急技术协调处理中心–2000年成立，2003年7月中编办批准现名–英文“NationalComputernetworkEmer