图文：CNCERT/CC主任中国工程院院士方滨兴

图为：CNCERT/CC主任中国工程院院士方滨兴演讲 (骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：CNCERT/CC主任中国工程院院士方滨兴演讲 (骆磊 摄)

　　以下为方滨兴的发言实录：大家好非常高兴有机会和得到交流一下关于网络安全事件的工作。

　　首先看一下网络威胁来自何方，我们可以从客观和主观原因分析，从客观原因看安全漏洞是客观事实，安全漏洞原因有各种各样，从计算来看，正确性不可证明的，经常说数千条语句就会带来一个BUG，若干BUG就会造成安全漏洞，很多系统都是几十万上百万的程序，所以安全漏洞存在是必然的，还有一些情况是由于增加功能附加结果，还有一些调试的原因和人为原因增加了一些后门都使得软件具有漏洞性。

　　另外安全漏洞暴露速度不断加快。去年上半年公布17个安全漏洞，而今年上半年公布了34个，随着发展安全问题变得多起来了，CNCERT/CC在今年上半年整理并发布安全漏洞公告43个。这是从1995年到今年漏洞出现的情况，从2002年起安全漏洞非常多，每年都有几千个，这是今年上半年有将近3千个。

　　再看一下主观原因，安全漏洞存在是客观的，要想对它攻击必须要利用这个安全漏洞，所以要挖掘对安全漏洞的利用是主观行为，尤其蠕虫类完全自动化的方法，通常来看一定利用安全漏洞，如果人工黑客攻击会采取技巧性的，这采取外延式的，只有利用安全漏洞才能做。另外安全漏洞被利用周期越来越短，以前可能长达1年多现在最快的从公布到利用出来在48小时就出现对这个安全漏洞的利用。

　　攻击的复杂度与对黑客的要求变得非常快，从攻击复杂度来看，随着时间的变迁复杂度越来越高，攻击的手段越来越强，这是大家比较熟悉的一些攻击方法，对黑客要求不一样了，对黑客技术要求反而越来越低，关键就是自动化的工具手段越来越高，出现几次大的黑客之间的较量，非常典型的五一黑客事件，大量黑客操作都是对安全问题并不熟悉的网民，从网上下载一些黑客工具添上地址就去运行，这形成整个网上攻击的蔓延，这种情况也给网络安全情况带来了很严峻的破坏。

　　另外采取的是靠消耗，可能没有利用你安全漏洞，我大量做资源的消耗，这更多依靠的工具，现在越来越多采取的不是攻击是正常访问，有效组织起大量网站同时对某一个网站进行合理的访问，这种大量访问资源到来，就会堵塞系统，这对系统的堵塞就形成一种攻击，这攻击用户很难判断，就是因为你看不出来是有害防护，对每个个体来说是合理的，但对整体来说就形成了攻击。

　　我们把网络攻击称为恶意代码，这恶意代码的攻击类型分为控制系统类，你的系统可以正常运行，我也可以使，尽管有访问控制和口令保护，我可以绕过你的防范手段。比如特洛伊木马，这是最典型的，最近非常流行的Phishing，这就是一种网络感冒，它首先攻向系统，然后又利用系统漏洞把木马安装进去然后做反馈，有一些报告可以对这做介绍，这是国际组织，国际专门的Phishing组织，收集到各种报告这是国际情况。在中国这是CNCERT/CC接受的报告，实际上在中国肯定不是那么少，可能要更多，但是可能别的部门接受报告，或者没有报告，我们接受报告主要从国外投诉的，因为Phishing欺诈的往往是第三国。比如美国黑客组织在中国攻占了一些逻辑网站，比如学生的机器不太在乎安全，比如做实验室的机器，培训的机器都容易攻击，攻击完了被害目标往往是第三国，不一定是中国的，可能是韩国、日本的，这样法律程序就变得很复杂，所以接到投诉往往都是国外的投诉，我们网站被Phishing了，这地点是在你们国家，请你们协助处理。木马有各种各样不光是这一种。这是我们接触上半年木马活动情况，整个上半年有5万多次成功的木马，木马先后控制国内1万多台机器。这是一个排序，广外使用量最大的达到近2万次。这是在各地的分布，从分布来看一般是现代化程度高的，平时相对容易被木马攻击，因为使用的量大。这里面还有一种纯粹的入侵，也就是暴力的手段攻击，可能没有安全漏洞，安全漏洞不是软件固有的，而是由于操作人员带来的，比如一种专门猜各种口令，这是采取基于攻击字典方法进行猜测，整个对指定口令长度有要求，如果指令比较长比较复杂就难猜出来。本身不是系统有弱点，而是口令起得太规律化，比如电话号码，比如就是帐号名再加上数字这样人家就可以攻击。在2003年出现的典型案例，当时出现口令蠕虫，攻击就是强行猜口令，一旦成功了就把帐号，口令IP地址回传到国外13个IC服务器上。后来采取手段遏制住了，因为采取的是特别的端口，协调运营商就失去了效果。

　　第二类是破坏系统类，这是强行的攻击，也有人工行为黑客行为，用黑客手段发现配置上的漏洞，发现你整个管理上的问题去攻克这个系统，攻克之后可能破坏你数据库，也可能黑你的网页，这是捡年上半年检测到的黑网页情况，紫红色是政府网站，这占15%左右，政府网站注册数3.8%左右，相对来说政府网站不是太坚固。还有各种各样手段，这是对常见50种手段进行了检测，仅仅在上半年先后有3万多台机器对国内机器进行攻击，这是攻击的分布。

　　第三类拒绝服务类，完全是靠资源消耗，它没有漏洞，但是靠反复消耗你的资源进行对系统的破坏。这种典型的案例就是僵尸网络，僵尸网络可以有机的把他所控制所有的设备组织起来，然后指挥所有的设备同时做一件事情，比如发垃圾邮件，可以指挥数万个，甚至数十万个，如果有谁控制3、40万个系统几乎就指哪打哪儿。现在僵尸网络发生变化，传统僵尸网络通过IRC协议控制，我们国家发现第一个僵尸网络是去年年底长沙有一个黑客，他组织大量的攻击，他自己认为控制6万多台，很多是自动蔓延，我们看到到了12万台左右，他组织这些攻击来攻击合法的网站，这种攻击采取完全是正常的访问，但这种正常访问让你瞬间往上冲，使正常网站没法提供服务，现在又有一些新的，具有P2P的蠕虫出现。另外出现次数增多，今天5-6月期间CNCERT/CC发现有29个较大的规模僵尸网络，甚至有人在网上拍卖僵尸网络，我这僵尸能控制500个机器付500块钱。而且这些僵尸网络不断扩张，更新版本。我们看到的控制器主要位于美国、韩国、当然中国大陆也有。

　　僵尸蠕虫是主动性攻击，知道攻也知道停，蠕虫是不行的，一旦释放出去以后难以控制，现在有人研究良性蠕虫，这种蠕虫由于扩散更大反而导致骨干网络被堵塞，所谓的良性蠕虫在骨干网角度来看带来威胁比原来蠕虫本身威胁还大，原来蠕虫威胁对终端威胁，但骨干网络威胁小一些，这种失控攻击方法是非常危险的。

　　其中典型蠕虫，蠕虫的种类非常繁多，之所以典型是起了一定的作用，比如88年Morris，最早在Linux攻击，还有远程的漏洞，这促使美国CERT/CC的诞生。在89年底Wank蠕虫出现使得很多国家胡同沟通共同处理Wank，促使FIRST组织诞生，CodeRed是2002年大量出现的蠕虫，这里面把蠕虫技术和

　　蠕虫攻击从技术角度来说有非常严重的威胁，一个带着一个DDoS攻击你知道是威胁，你只有躲避。再有就是僵尸网络，可以通过扩散自动形成用户可控的网络体系，可控危险就大了，刚才不可控程序已经编死了，但是一旦可控可以随时变换目标，这威胁比较大的，另外特征不唯一性，口令蠕虫等采取的端口非常特别，所以可以采取一些手段，但是有一些就是采取传统的通用端口这很难处理。

　　今年上半年没有大规模的蠕虫事件爆发，但是我们迅速增多的是即时消息的蠕虫，这也说明即时消息蠕虫被广泛应用，就群发邮件蠕虫看到逐渐减少，手机蠕虫开始并发，在反复不断挖掘手机新功能，必须清醒看到它会带来负作用，比如安全问题，所以对这方面研究要加大力度。

　　还有采取Rootkit技术把所有痕迹消失掉，这在蠕虫里面也开始使用，采用这个技术往往是人工手段，一个黑客攻击完抹掉所有痕迹，现在蠕虫也是，是的更难寻找。

　　最后一类就是传染类，到了网络化时代病毒没有太大生命，病毒就是具有符着力，如果没有载体文件自身不可能生存，蠕虫是自我生存，自我扩张。病毒没有网络，靠文件，靠软盘，大家互相拷贝传播，现在根本不需要拷贝，因为你在网上，所以简单散发就可以达到这个效果。所以蠕虫的出现，病毒渐渐变少，现在有一个新的问题，人们为了防特洛伊木马，因为它散发不太容易，因为没有太多共性的漏洞，需要用户被欺骗之后，用户自己主动运行，比如一些垃圾邮件带的非常危险，你要主动启动，就把系统控制权送给他，再有一些共享软件，还有很多网页有很多恶意代码，通过你点击也可以出现传染。

　　这是我们所看到的和处理的一些，总共处理不是太多，上半年500多个，但是我们接到报告非常多，把所有的去掉之后有几千个。这是我们接到报告次数6万多，大量都是扫描类，剩下3千多个是网络安全事件，扫描类很难判断的，不一定起到什么作用，但确实是攻击的前奏。

　　我们面临的挑战是什么？关于预警，从扩散发现到大规模蔓延留给我们时间越来越短，以前一个病毒出现是几个月到几年，有很多病毒注明一年后再发作，因为要留足够的扩散空间，不会一下爆发，后来红病毒可以通过邮件传染了，这时候在数周，数月，后来到纯邮件数天，后来到网络非常快，从发现到蔓延12小时。网络建设和网络管理是有边界的，一个企业有自己的局域网防火墙，但是攻击没有边界的，我们知道它攻击，对他无可奈何的，哪怕一个国家来说，从境外对我们发动攻击我们也没有办法，国际上没有建立很好的联动机制，黑客总能找到一个国家对这行为可以容忍的，比如中国到现在反垃圾邮件法没有出来，很多人愿意到中国来搞垃圾邮件。

　　很多事情本来有解决办法的，任何一个路由器是具有原路由功能的，到了骨干网反而被取消，一个是已经在骨干网上不是一个边缘，访问的意义不大。另外消耗资源非常厉害，要是起动一个源路由65%以上资源被消耗了，但是如果在边缘起动有什么好处，所有的广告地址出不去，这么做有什么好处，现在有多少愿意关心他人网上，配不配源路由对自身没什么害处，配了可能对他人有好处，所以现在有协调组织呼吁，全世界网络管理组织者，应该采取源路游。

　　我们作为国家的CNCERT/CC，也做相应的防范问题，我们从防范的角度是一个PDR，预防检测和响应。防范作为一个国家来讲在骨干网做防范很难，不像一个企业防范很明确，你只能访问我网站，别的不能用等等，但是国家层面不能随便设的，防护只是少数情况。这动作不能经常可以采用的，关键是在检测，现在在国家科技部的支持下，开发了863- 917网络安全处置平台，骨干网从网络层面做一个访问，在省级骨干网做检测可以发现攻击路径多点监测能力，再有建立相应分布式的密罐系统，比如受到僵尸蠕虫攻击，必须要获得分布代码，你必须有相应的系统才能捕获。还有自动验证，很多网站被黑，放了七天自己不知道，他网页发布一次信息也不一定维护，这样造成很多影响，我们采取自动发现可以发现谁被黑了，黑已经是事实，但是起码要发现它。另外做一些自动的验证，入侵进展最大问题就是从应答的角度看到，我们可以进一步做验证，一旦确定被攻击了，有攻击的层面，这样可以判断攻击的程度。从响应来说是靠自身，国家重要信息系统由重要信息系统负责，骨干网由骨干网负责，作为CNCERT/CC是一个协调部门，只是做一些支撑，包括对所有攻击的强度和受害程度做分析，对攻击IP做定位，在必要的时候指导做重定位躲避攻击，另外利用国家级资源库进行信息交换和资源共享，至于这个攻击不向另外网上蔓延。

　　在这里面需要正视一些问题，这些问题比如国家级平台重在发现，既然有国家的平台，所有应急处理都自动处理这不太可能的，我们还是重在发现。再有大原则是积极预防、及时发现、快速响应、力保恢复下有所侧重，我个人认为核心要素是发现与响应，你首先要知道，知道了之后要有一个响应，所以这两个应该是核心。对于不同的程度，做不同的事情，关注不同的事情，比如对基础网络要处理，基础网络影响太大了，是所有信息化系统运营的基础。而重要系统往往都是相对封闭的，各自重要系统都有各自的处理能力，我们对它的外界攻击有配合性的防范，对于终端用户不能指望设置一个报警电话，哪个终端出问题打个电话来帮我处理，这事不可想象的，一旦出现了问题，可能几十万，上百万的问题都出问题，都靠打电话解决不客观也不现实的，我们要迅速发布解决方法，这应该让它垂手可得，应该有很好的方法获得它，这样大家在这个指导下各自解决问题，因为任何一个蠕虫我看最终要靠自己解决，整体才会有很好的解决，否则为什么以前蠕虫没了，因为不停打补丁或换

　　我们更加要重视就是综合防范与事后遏制，我们不能完全依赖预警，预警不是万能的，我们看到更多的是一件事情已经发生很厉害了，再采取手段降下来，所以发生在先，从预警能力看，现在很多事件征兆，包括病毒征兆都是有病毒在先，拿到病毒分析找出特征，然后再查查，再监控，第二个就是时效问题，刚才说了病毒从到网上到大规模扩散10分钟，我们看到东西分析采取措施绝对不是拿分钟衡量的，这时候完全靠预警不是很现实，核心问题是建立有效的技术手段来分析判断，这问题出现多严重，怎么遏制它这是最严重的。再有建立层次化的应急响应队伍，专业问题专业化处理，作为任何一个网站的运行也好，系统的维护者也好，要想自己拥有一个专业的应急队伍不太现实的，而且长期得不到锻炼的机会，应该依赖专业的队伍，这专业队伍大量处理各种问题，就可以掌握很丰富的经验来有效进行处理，而且我们国家也号召大力提高服务业能力，网络业服务业比例非常小，国家也在想5年之后能不能提高20%，这里面安全服务如果不重视这工作也不可能做下去。

　　要大力呼吁建立跨部位的联动机制，比如通信行业与公安部门要很好联动，通信行业优势网络全程互连，任何一个攻击很容易从一点追击另一点，公安的优势有大量的基层队伍，可以对每一个终端采取措施进行制裁，所以这样如果有一个有效的联合，我相信网络安全应急与响应事业会大大向前跨一步。

　　我的报告到这，谢谢大家！