图文：CNCERT/CC 运行部副主任陈明奇演讲

图为：CNCERT/CC 运行部副主任陈明奇演讲(骆磊 摄)
点击此处查看全部科技图片

　　新浪科技讯 12月21日2005年中国电信业网络与信息安全研讨会在北京举行。本次研讨会由信息产业部电信管理局、国家计算机网络应急技术处理协调中心、中国互联网协会主办，通信产业报社承办。

　　图为：CNCERT/CC 运行部副主任陈明奇演讲(骆磊 摄)。

　　以下为陈明奇的发言实录：

　　大家下午好，借这个机会给大家介绍一下我们国家公共互联网网络安全应急体系和应急响应的机制和工作。我演讲分三个部分，首先为大家介绍一下我们国家公共互联网应急体系的三个阶段，介绍一下应急体系如何随着网络的形势不断发展变化，适应不断变化，不断新出现的网络安全威胁。第二部分介绍一下CNCERT/CC对应急响应的认识。第三个结合我们工作提出当前应急体系的思考。

　　大家知道网络传统威胁是病毒、木马、蠕虫，拒绝服务攻击是一类，还有黑客，以及另外有一些组织的改变的，有网络欺诈、钓鱼陷井、在不知不觉中客户信用卡帐号相关的私密信息就被盗窃，最近刚处理这样一起事件，协助万事达卡11个帐户信息在国外银行主机上发现相关信息这些信息是相当信息的，任何人拿到这信息可以不经过任何手续和特定网上业务就可以转到黑客的帐号上去，这威胁非常大的，可能很多用户没有切身的体会，很多相关的组织和银行并不愿意宣布这样案例，另外国内的银行电子服务不太发达有关系。另外有间谍软件，和垃圾邮件，僵尸网络也是互联网新的威胁。

　　对这些新的威胁回顾一下应急体系的发展，88年随着蠕虫出现协调各个小组力量应对大规模蠕虫事件，国内应急起步是2000对红色代码应对事件，当时在国内也是很严重的，不过当时各个运营商CNCERT/CC不是很完善，尤其当时运营商没有特点的人员从事网络安全的工作，所以掌握的安全情况不是特别全面，尤其对红色代码蠕虫在国内传播不是很全面，CNCERT/CC只是掌握了部分数据。以后以红色代码为契机信息产业部加强对网络安全事件应对的领导，成立了CECERT/CC为核心的应急体系，这也形成了以后国家的应急体系的阶段，也是在信息产业部协调之下协调各个运营商组织，包括合作单位，国家计算机病毒预警处理中心和国家计算机网络应急技术处理协调中心，这个应急体系是红色代码之后初步形成。这体系成立之后应对2003年大规模事件中发挥非常重要的作用，口令蠕虫这体系也经受了一系列大规模蠕虫事件的考验，尤其在口令蠕虫韩国网络都瘫痪了，但是中国网络没有受到太大的攻击，是中国发现了流量小组的特征，跟各运营商一同采取相关措施，过渡了1439端口，所以当时中国互联网没有受到大的影响，相当大程度得益于有了这样的应急体系。这也是当时对口令蠕虫对国内传染情况的统计，在采取了有效措施之后，境内感染口令蠕虫的主机迅速下降，这也证实了应急体制协调一致及时制止和抑制大规模蠕虫传播的重要性。随后2003年在信息产业部直接指导下，还有中电办其他有关部委支持下，CNCERT/CC成立了自己的分支机构，随着CNCERT/CC在全国建立网状应急体系机构之后，更好覆盖全国，应急体系也更加完善，从点状发展到树状，相应的应急体系就延伸覆盖到国家境内的公共互联网，能够为公共互联网提供快速的响应支撑。我们应急体系的支持单位也更加丰富了，有利于应急的响应，提供更多有利及时的支撑。

　　同时应急体系在2003-2005年内在国际接轨方面也取得很大进展，除了和国际权威应急组织FIRST，同时CNCERT/CC也代表中国积极参与国际合作尤其在亚太组织里面发挥了重要的作用，CNCERT/CC是亚太地区APCERT发起组织人之一，也跟其他国家人建立了非常密切的联系。和大家经常交换日常定期的预警信息。

　　进入2005年之后，尤其在2003年非典事件之后，国家、国务院对国家层面公共突发事件应急预案非常重视，在这大背景下，信息产业部根据国务院要求制定互联网网络安全应急预案，6月份经过初步定稿之后，7月1号正式发布实施，这个互联网应急处理预案是第一次互联网历史上应急处理预案，从制度上规范了公共互联网，以这个为标志，也是我们国家公共互联网进入第三个阶段，这个预案规定什么内容？主要原则协作配合，配合进行应急处理，要及时预警建立上传下达的通报机制，也要发现安全试点快速处理，及时恢复网络，最后一个确保恢复，让网络起死回生，最终它的目的在于建立健全公共互联网网络安全应急处理工作机制，提高互联网网络安全应急处理能力和水平，保障互联网网络安全。在昨天进行了信息产业部第一次网络安全应急演练，也是对预案实施做了一次正式的演练。内容分这八部分，

　　预案的意义明确了组织结构，从预警到预防、分级响应，尤其是事件分级响应把我们国家公共互联网安全分为四级，最低是四级最高是一级。对四级响应实践不同响应程序做了规定，包括后期处置做了要求，明确了应急保障方面的要求，这预案的发布，意味着我国公共互联网应急体系的里程碑事件，意味着我国公共互联网应急体系从自发到规范从点到树从平面到体系的发展，这个体系也是规定了将来这个议案如何应对事件。

　　第二部分介绍一下CNCERT/CC响应的工作，应急响应的实质，大家知道很有名的公式，在于你检测和保护能动性早于黑客攻击的时间，用简单的一句话来说，应急响应是保证一个过程，而是涵盖预警、响应、恢复和后期处置等等环节，在这些环节上需要做到更快速，及时发现是一个核心，在这个意义上来说，并不是急应，而是完整响应流程，应急相应是保证集中体现，完整应急响应是技术规范工具体系等要求，应该有一个完整的过程，这里面详细列举出这些过程，比如安全计划的防范，如何做一些相关准备工作，如何确认需求，如何进行隔离，如何进行试点隔离，如何恢复你系统，如何追踪黑客的踪迹，这是实现应急整个体系的过程，并不是一个静态的过程。简单来说事前应该有及时的检测分析结果可以发现动向和预警。事中接到用户投诉之后，事情发生之后可以及时处置，事后应该对相关用户、相关部门有一个满意的解释。这里面最重要的环节，及时发现是安全保障第一要求，只有及早发现才能缩短我们反映时间，刚才演讲中各个专家提出早期预警等概念，实际上和安全事件来说及时发现是重要的环节，只有及早发现才能赢得时间。我们工作就是迎接挑战成为网络安全保障的国家队。

　　这样工作也是非常有挑战的，现在网络安全威胁非常多，我们有怎样的条件或法宝来做这样的工作，首先要依靠技术平台，刚才上午的演讲中方主任提到基于863-917监测平台可以保护国家互联网公共安全，可以发现公共互联网到底发生哪些事件，这是我们一个前提，可以确保互联网上攻击的动向和趋势。

　　第二专业的组织和合作体系是有力的保证。刚才介绍我国互联网体系三个发展阶段，无论哪个阶段专业组织和合作体系都是不可缺少的方面。大家只有合作共享才能面对方方面面形形色色的威胁。同时也要注意流程规范，能够让应急运转起来，应急小组各个运营单位都有，但是缺少应急小组运转过程中的规范，比如对一些事件有怎样的流程处理，在这方面美国处理的应急组织有一些成熟规范，公开发布的，但是这些国际上应急小组成功的规范和流程，有一些方面并不适合国内的国情，如何结合国内的国情以及互联网发展的现状，怎么制定适合国内应急小组的规范和流程，在这方面作为一个探索，把CNCERT/CC成立近五年来所有应急规范做了汇编，相信将来提供给国内应急小组组织做一个指导。

　　我们要要基础舆论核心资源，这是我们厚积薄发的弹药库。比如IP定位系统，只有丰富全面的IP定位库才能及时发现被黑用户到底是属于哪个用户，同时追查当中可以跟踪到黑客的线索至关重要。

　　最后应急响应工作以人为本离不开高速度人才队伍，但是应急响应工作不同之处应该研究开放型的工作队伍，这才能研究新的威胁，我而且才可以知道现在什么样的威胁，比如2004年开始关注僵尸网络，直到年底的时候才处理国内首期大规模僵尸事件，列出重点关注对象在研究，为什么说到开放，网络是开放的，工作对象是开放的，意味着工作方法是开放的，所以必须在各个环节注意跟相关单位，包括国际组织的合作跟协作。

　　我们863- 917平台能做什么事情可以掌握整体的安全状况，可以快速准确的了解，当然这个平台不能解决所有的问题，也有一定的问题，所以把这些局限性强调一下，它并不是包罗万象无所不能的，因为毕竟是一个国家互联网边界性保护监测系统。首先对单独点对点的比如网络黑客有兴趣单独攻击就检测不到，另外一些网上谣言也无法监测或验证它真实性。还有对用户端安全保护也无法做到。如果用户没有及时升级系统而遭到攻击很多时候也无法防范。

　　应急响应流程会通过863-917平台发现同时协助在核心资源的支持下及时发现重大的情况，通过应急体系，通过31个省市的分中心，以及技术合作单位的支持下及时采取有效措施，制止或处治一些重大安全事件。在CNCERT/CC把大事件定义为影响群体用户和相当规模用户的事件，蠕虫事件是大规模的一类事件，比如欧洲现在出现一个什么漏洞，一个攻击趋向，针对1025端口流量上升可能出现新的攻击，我们应急小组就会关注这样的信息，关注国内是否发生类似的情况，如果是就会比对相对的情况，就看这个漏洞是不是在国内出现，我们也会出现其他的渠道看看国内互联网什么样子，设定了事件发生之后转入相应的安全监测流程进行深入的监测做一些定性深入的分析，确定之后会把信息通报有关各方，包括分中心和运营单位，也会通报支持单位和省单位让他们得到预警信息以便采取措施，我们会采取有效措施制止事件进一步传播或扩散。

　　对个案定义是什么、单个网站被黑，被入侵被植入木马，由于人力资源所限，所以我们定位是对国家重要部门和重要信息系统遭受到攻击之后提供一些及时应急相应的支持跟技术支持跟服务咨询方面的。

　　上周四晚上12月15号接到事件报告黛蛇蠕虫，这是微软发布10月份的发布的漏洞，但是攻击代码是最新出现的，但是这个蠕虫利用这个最新的高危漏洞进行攻击的，这个漏洞也是合作单位根我们通报以后我们命名为黛蛇，国内厂商用的命名就是我们用的命名，因为我们命名为黛蛇称呼它。我们如何处理它，接到合作单位的通报，并提供我们样本程序之后立刻对它分析，发现蠕虫传播途径方法，也发现蠕虫控制服务器位置，也通过一个SP服务器和Web服务器扩散，我们截止周五晚上发展到1万台PC的规模，1万台规模的主机分布在中国境内，针对的就是编写有这样的特点，扫描网站就是针对中国境内的网站，而且日志信息经过我们分析是中文写的，综合这些线索有理由认为，这蠕虫就是专门攻击国内的互联网，而且可能就是国内的黑客，相关线索在进一步分析中，因为干扰了蠕虫之后还会下载一个程序窃取计算机敏感信息，所以这个蠕虫危害比较大的，还会利用其他的微软漏洞，现在扩散的速度在16号中午时候非常快，也是立刻列为重要的事件进行了及时的处理，包括到FTP服务项目和网页上，这两个网页作为黑客下载蠕虫控制的中转站，我们及时在切断了对FTP服务器的，也切断FTP服务器的访问，现在据最新到周日下午发现规模已经不再增长了，因为我们采取措施之后切断控制服务器之后，进一步传播FTP服务器基本上控制了传播，这是我们最新的案例表明了应急小组处理一个安全事件有一个黄金时间，也就是你在安全事件最初几个小时或者几十分钟是处理这事件最佳时机，如果事件扩散一定程度，或者我们在蠕虫扩散10万或5万之后才介入处理到时候事情不可收拾了。这是应急处理很重要的原因，对事件响应有一个处理的黄金时间，发现越早，介入越早，采取有利措施及时控制它，这样的案例也是我们CNCERT/CC很和的案例。我们通过其他渠道提醒了国内重要互联网用户采取相关的防护措施防范蠕虫的感染。

　　最后给大家介绍一下对应急体系的思考，刚才各个专家提到，最终有效的合作是应急体系发挥作用很重要的出路，在我们看来是唯一的出路，现在网络安全是跨国境的，网络无管理边界，现实社会管理是有边界的，因此应对成功处置安全事件是要各个相关部门合作，这些合作应该是各个环节的合作包括信息上合作，和有关厂商和安全部门进行信息技术共享，让应急体系各个成员单位得到及时有效的技术支持发挥应急体系最大的作用。另外行业内部的合作构建应急处理体系，是我们国家的基石，我们也一直认为公共互联网合作商的合作是关键。当大的运营企业重视安全事件之后只要他们采取有效的处置措施，就可以及时地制止大规模路径的传播和扩散。同时要强调跨行业的合作，和相关部门都建立合作，比如执法部门，因为我们在事件处理中发现，涉及到用户端的时候涉及取证具体问题的时候，我们希望CNCERT/CC可以发挥及时追踪处理安全事件的线索，能够及时发现黑客的线索，在这过程中如果发现黑客的线索，通报有关部门让他们得到及时处理就可以彻底解决很多的安全事件，最后一点有效的合作，也包括和国际的多边合作，才可能真正有效地应对各类安全事件。这几年国际安全界对合作非常重视，中日韩三国合作非常多的，今年也是进行了第二次应急演练，这次演练有十个国家参加，也是以中日韩三国为核心的，国际应急响应小组认识也是越来越深刻，都有这方面迫切的需求，包括今年亚太地区演练就是以假象一个事例，当时事例就是韩国发生了僵尸网络事件，它的控制服务器可能在中国或日本，就需要中国和日本处理境内的控制服务器才能处理这样的事件。

　　随着中国互联网不断发展，随着

　　我们国家应急体系发展比较完善的阶段，现在需要更规范的阶段，具体的落实需要配合更细节的流程包括更丰富的手段来配合才能达到更好的效果，这需要时间来更好规范它让它发挥更重要的作用，同时网络安全在国内处于探索阶段，我们欢迎大家有一起探讨在国内如何开展网络信息响应工作，在这方面达成更多的共识推动我们合作，谢谢大家！