图文：国家计算机网络应急中心孙蔚敏

图为：国家计算机网络应急技术处理协调中心运行管理部主任孙蔚敏。

　　2008年4月28日至29日在北京京都信苑举办主题为“构建和谐网络环境，助力绿色科技奥运”的“迎奥运、促和谐，2008年阳光绿色网络研讨会”。会议由工业和信息化部，北京奥组委主办，中国通信学会承办。新浪科技将进行现场直播。

　　图为国家计算机网络应急技术处理协调中心运行管理部主任孙蔚敏。

　　以下为实录：

　　下一个演讲人是国家计算机网络应急技术处理协调中心运行管理部主任孙蔚敏。从99年到现在先后在国家计算机网络应急技术处理协调中心技术部及发展战略部任职，她演讲的题目是网络安全面临的形势和对策。

　　孙蔚敏：

　　大家下午好，这个题目是组委会给我定的，比较大，我想我谈得网络安全面临的形势是从我们日常监测的数据谈起，对策也是一些日常工作中的一些经验和感触。国家计算机网络应急技术处理协调中心，方院士是我的前一任领导，英文简称CNCERTC/CC，中文叫国家互联网应急中心。

　　我们运行7乘24小时监测系统，每个月、半年一年有很多的监测数据，把数据提炼出来综合其他方面的数据，会得到一些趋势。

　　前面是CNNIC，07年和06年网民数量、IP地址数、中国域名、中国网站的数，增长的比例平均都有50、60%，下面是应急中心监测的数据，网络安全实践接受，右边是安全事件监测，06和07年增长比率，无论网络仿冒、网页恶意代码、木马主机、网站篡改增长的速度是150、200%，木马主机增长率是2125%，我们国家网络安全威胁是非常严峻的。

　　木马从我们监测来看，是互联网最大的危害之一，现在很多通过木马窃取信息，安全部破获很多的案件通过木马窃取信息。通过我们的监测，2007年监测到大陆地区90万个IP地址主机植入木马，比06年增加21倍。大陆地区有11万各主机控制了我国卑之入木马的计算机，作为控制端，位于中国台湾的占56%，前几年控制主机在台湾的数量是前五名都排不上，一般都是比较后的。说明什么呢？和现在的国际形势、国内形势有很大的关系，从其他部门破获案件可以看出和数据监测是吻合的，越来越多的台湾，无论是控制主机在台湾地区还是在我们国内大陆，都是通过和台湾有关的机器控制我们国家IP，属于我们国家要害的部门，通过这种控制方式采取各种各样的措施。IP地区分布，境外控制主机的分布，大家可以看出来，和我们国家信息化发达程度是非常吻合的，越发达的地区，因为信息化程度越高，被控的IP就会越多。控制的主机也是这样的概念，不仅和控制主机方面，还和国际国内的形式和信息发达的情况因素就会多一些。07年抽样监测发现，大陆有360万个IP地址主机植之入僵尸程序，07年我们发现各种僵尸网络被用来发动拒绝服务攻击一万多次，发送垃圾邮件110多次，实施信息窃取操作3900多次。什么叫实施信息窃取操作？现在很多黑客利用木马和僵尸网络，很多木马的程序是可以窃取信息的功能的，但是我们为什么说是有操作呢？无论从职能还是从我们的人力和物理情况来看，职责所在，不是老关注他，这个信息是不是窃取成功的，这个可能有很多其他的部门承担这种职责，比如安全和公安，我们发现有类似这样的操作，如果有这种目的的话，就通过操作把秘密拿走，是否拿走了，进一步针对通讯包进行分析。

　　有1.7万个境外服务期对我国大陆1万个主机进行控制，其中美国、台湾、韩国居前三位，黑客利用僵尸网络对某一个特定的目标实施拒绝服务攻击的话，破坏力更强，互联网数据中心IDC机房遭遇到类似的攻击，攻击者利用一万个节点僵尸网络就可以轻松产生2.5G的攻击流量，如果大型的僵尸网络，我们曾经06年的时候，最大规模的僵尸网络达到129个僵尸节点，所以是非常可怕的。如果黑客控制这样的僵尸网络，对我们国家某一个特定的目标进行攻击的话，流量清洗设备也是没办法招架的。

　　春节之后奥运票务网站异常流量情况，最高流量达到400多兆。

　　域名相关的安全问题日益严重。域名可以被用来进行恶意利用，可以散布恶意代码，可以被僵尸网络控制，现在关注域名问题了，还可以进行网络仿冒。

　　07年的时候，我们处理多起域名相关的安全事件，恶意域名处理，Caomapi.com散播恶意代码，把网站上的数据传到Caomapi.com这个域名，通过分析发现，这是恶意的域名，它的IP地址不断更换，注册信息都是虚假的。现在域名注册是非常容易的，域名的安全被越来越多不法分子利用。域名安全原因和注册便捷和数量迅速增长，动态域名的技术以及域名服务器程序存在安全漏洞都存在很大的关系。

　　利用服务器Bind9漏洞实施的，很多QQ用户访问迷你网站会被感染，QQ群用户巨大，监测实践验证和公司取得练习，我们初步判断这是一起域名劫持事件，启动了平台进行监测，估计通过监测估计这次劫持事件影响的范围，存在解析错误域名服务其，就是运营商公共域名服务解释器负责解析网站有20多台已经被劫持了。我们积极与运营商等部门联系提出解决方案，然后将处理整个的过程中随时与上级部门保持联系，将运营商发布预警信息，怎么解决被劫持的域名安全，恢复到正常，采取排查和恢复措施，一直在整个过程中和受害公司和运营商都保持密切的联系，最后通过提出解决方案，然后把紧急清理20多台域名服务器，让域名解释恢复到正常，这是比较典型的域名劫持案例。

　　通过这个案例说明什么问题，域名劫持可能带来的危害。运营商的公共DNS服务器承载我国绝大多数用户的解析业务，是我国互联网重要基础设施。如果大量的DNS服务器被黑客供给、劫持，将导致我国互联网的混乱甚至瘫痪。通过域名劫持手段篡改域名服务其缓存数据，把热门网站的域名指向挂马网站，把银行、证券等金融网站指向钓鱼网页来盗取钱财。把重要信息系统网站指向带有窃密木马的仿冒网页，给国家安全带来损害，这肯定会给政府的形象和安全带来负面的影响。

　　安全漏洞是互联网的关键问题，应用程序暴露出更多的安全问题，经过近几年的研究发现，漏洞从操作系统向浏览器和P2P应用软件，包括媒体播放常用的应用程序转移，尤其是国内的一些软件，在安全设计上存在一定的缺陷。国内厂家在应用厂商开发的时候，整体的安全性还是有待提高的。

　　去年整理各个部门，不管是微软还是思科发布于我们国家用户比较关心重要行业的用户密切相关的漏洞公告是104个。

　　黑客入侵网站，窃取信息、网页篡改和挂马，我国大陆被篡改网站的数量近年来增长迅猛，今年比去年增加1.5倍，我国政府网站被篡改的情况尤为严重，数码达到307，每月被篡改的GOV.CN域名网站占整个大陆地区被篡改网站的7—10%，严重的时候回答道10%。

　　全国各个省市建立一个分布式的密码系统，这是我们利用密码系统捕获恶意代码的情况，我们可以看到，07年每年平均捕获的样本是3408次，新的出现的恶意代码，黑客还没有利用恶意代码发动攻击，有的可能在利用了。这是我们监测的排名前十位的，我们国家现在对恶意代码和蠕虫病毒的命名还没有完全的标准和规范，和公安部发布的病毒是一样的，不一定是同一个名字。

　　07年事件接受和处理的情况，和前几年相比，增长速度也是很快的。网络仿冒事件的增长率近1.4倍，网页恶意代码事件增长率是2.6倍。

　　这是我们处理和国外著名金融机构处理的网络仿冒示意图，这些安全公司可能都是很多国外著名金融机构的支撑单位，比如说花旗、eBay、汇丰银行，安全专业公司和我们保持比较密切的联系，我们国内网民安全意识整体水平稍微低，很多的网络仿冒的网站都是植入我们国家主机上。

　　08年是奥运年，所以我们会感觉到网络安全的形势非常紧迫，奥运会吸引了更多关注的目光，也带来了更多安全的风险，根据网络安全新的特点和形势，如何在网络安全等级保护基础上，切实做好我们奥运期间的网络安全保障呢？我想根据我们的工作经验提几个简单的建议。

　　日常工作中网络安全16字方针我们叫积极预防、及时发现，快速响应力保恢复，分别对应网络PDRE五四个安全。

　　如何解决网络安全性，主要是分这样几个步骤，风险分析，制定安全策略、系统防护，实时监测、实时响应、灾害恢复。前几个列为积极预防的范畴，在这个安全模型中并每一个安全程度都是等同的，进行积极的系统防护有起积极的意义，无论我们的网络加固多么牢固，我想没有谁敢说，我的网络是绝对的安全。

　　安全体系的建设需要很多的资金和人力的投入，也不可能在短时间内完成，在座有很多是搞网络安全的，大家有切身的体会。据我们以前的调查发现，你问一个公司的总裁，我今年所有的投入费用是一个亿的话，我现在的费用不够，让他首先砍一块经费，他首先砍的就是安全这一块，因为安全的投入和产出比确实是很难评估的，投入很多钱，不一定立马看到效果，监测这么多数据，处理了这样那样的案件，消除很多安全的隐患，消除安全隐患的同时，可能带来另一个结果是，把隐患消除了，所做的工作成绩可能就不被人看见了。因为你在事件没有真正爆发来之前，就把很多安全的问题解决了，没有一个大的事件冲击的话，领导更无视安全的存在。以后自己组织一些黑客攻攻我们的系统，然后我们再和他联合解决这个问题，虽然是瞎说，这也是一个办法吧。攻击与防御的较量中，必须重视实时监测和应急响应，因为这对网络的安全和业务连续性是非常重要的，只有这两个环节帮助用户及时发现网络安全事件，维护网络的相对安全。

　　积极预防。要从几个环节来做，在做好等级保护的基础上，可以从以下三个方面入手：提高全体网民网络安全意识，养成良好的上网习惯。网络仿冒其实是利用社会工程学，当你不警惕，很多网民警惕性很高的话，不会被黑客把信息窃取走的。使用一些必要的技术手段，降低网络安全的隐患，减少被入侵的机会。同时，降低作为入侵攻击他人的可能。比如僵尸网络。

　　提高普通网民网络安全能力作为公共服务提供，最普通用的杀毒软件和防火墙之类的，是不是采取政府和商业结合的机制，作为一种公共服务提供，我认为这也是降低整个国家网络安全管理成本的积极的手段之一。

　　对于基础信息网络，运营商和重要信息系统政府有必要培育一支专门的力量。发布的漏洞信息可能是五花八门的，大家看得眼花心乱，我认为有必要培育专门的研究，收集和研究我们国家国计民生重要系统，有针对性影响的漏洞信息，提供必要的防范措施。对于一个国家的基础设施有着极其重要的战略意义。

　　及时发现。08年和病毒中心搞了病毒疫情调查报告的数据显示，部门发生的网络安全事件中，由信息网络管理员通过技术监测发现的占到53.5%，通过部署购买安全产品报警发现占46.4%，事后分析发现占35.4%。我不太清楚事后发展分析是什么样的含义，我想其他的方式，比如说其他的用户和其他合作的部门跟你报告等一些其他的情况，及时发现可以用两种方式采取措施，一是建立必要的网络安全监控系统，提高网络安全事件的发现能力。另外，网络是没有边界的，对你的攻击可能来自于其他的网络和其他的部门。任何一件网络安全事件我们认为在现在这个机制下，在互联网目前设计的理念下，网络安全问题是不能靠一家解决所有的网络安全问题，因此除了建立必要的手段发现安全事件以外，应该建立必要的信息共享机制和国家级专业的应急组织和安全公司，建立网络安全信息共享机制，借助专业组织更遭发现网络安全事件或安全隐患。比如90万个IP植入了木马，作为我们部门来说，我只是知道这么一个数，IP是谁的，是网通的用户还是电信的用户还是某个银行部门的或是哪个证券的，我们并没有特别关心，因为数量太大，但是确确实实存在很多的安全隐患，我们已经发现了。在座的各位如果你们是这些用户的话，IP落在你们部门的话，你们领回去及早采取措施，消除安全隐患的话，对网络安全事件发现具有很积极的意义，借助部门和更多部门建立信息共享机制，做到及时发现。

　　不管采取多么积极的措施，绝对没有问题是不可能的，关键的问题是，一旦当事件发生以后，怎么在最短的时间内把损失降低到最小，这就是我们快速响应的问题，怎么样解决网络安全事件。

　　我列的这张表从2000年一直到现在，经过几年的实际工作，我们慢慢把这些列得成员单位作为我们的应急体系的成员，大家也知道，在最近这段时间，每各部门从非典以后，每个单位制作自己的应急预案，这可能不是最难的，最难的是，当跨部门协调的时候，你的事件牵扯到别人的时候，你要和别人合作解决问题的时候，这就是管理边界的问题。因为攻击者掌握很多的资源，也没有规则的约束，想怎么做就怎么做，咱们在解决网络安全事件的时候和另外一个部门协调的时候需要红头文件，需要和他协作，你作为防御者和攻击者对等，在时间上就没有它快，因为响应最关键的点是在黄金时间，如果错过这个时间的话，很多补救措施的点就稍纵即逝，很多部门做自己应急预案的时候，会做结合其他部门的协调预案，协调预案主要是分清各部门的职责，各部门在应急响应的时候采取什么样的措施，尽量把我们的管理边界划清楚，把管理速度提高到合理化的程度，大家在网络安全事件响应的过程中，要和更多的相关部门建立更多的合作机制，把边界划清楚，对快速响应是非常有帮助的。

　　结束语。互联网是攻击事件和病毒蠕虫等滋生之地，既然有网络的应用，就不能不承受网络安全事件的发生。网络虚拟世界中没有国界，利用管理的障碍和法律空白，实施各种各样的攻击，中国的信息基础设施可能会受到来自世界各地，包括咱们自己内部的攻击。但是如果我们积极从预防、发现、响应、恢复几个环节入手，建立并拥有一套完善的网络安全预警和应急保障体系，虽然网络不是绝对安全的，但是至少可以形成一定的网络安全自身的免疫力。谢谢大家！

　　主持人：

　　谢谢孙主任给我们描述网络安全形势及其预测。