摘要:分析了目前互联网安全事件的动向和特点,指出我国网络安全需要解决的问题,阐述了应急响应的基本概念和内容;在此基础上,重点介绍了国际和国内应急机构的建设和发展、体系结构和运行方式、近期案例和未来的工作重点等。
关键词:计算机;互联网;安全;应急响应;黑客;病毒
进入21世纪以后,网络安全这一全球性问题骤然变得突出起来。如2000年Yahoo等网站遭到大规模拒绝服务攻击,2001年爆发了红色代码等蠕虫事件,2002年全球的根域名服务器遭到大规模拒绝服务攻击,2003年又爆发了SQL Slammer等蠕虫事件,其间还频繁发生着网页篡改和黑客竞赛等安全事件,仿佛是快车道上猛然吹起了强劲的侧风,让刚走上发展快车道的中国互联网建设者和用户们还没来得及充分享受驾驶的乐趣,就不得不全神贯注来应对可能随时出现的险情。
在此方面,信息化发达国家有着较为丰富的经验。美国早在1988年就成立了全球最早的计算机应急响应组织(CERT:ComputerEmergency ResponseTeam),到2003年8月为止,全球正式注册的CERT已达188个。这些应急组织不仅为各自地区和所属行业提供计算机和互联网安全事件的紧急响应处理服务,还经常互相沟通和交流,形成了一个专业领域。我国自1999年成立第一个应急组织以来,也逐步得到了发展壮大,初步形成了互联网应急处理体系框架,虽然总的来看还处于边学习边实践的起步阶段,但是,在2003年几次大规模网络安全事件的处理中,已经发挥出明显作用。
当前网络安全事件的特点
目前发生在互联网上的安全事件种类越来越多,呈现出如下特点。
1. 入侵者难以追踪
有经验的入侵者往往不直接攻击目标,而是利用所掌握的分散在不同网络运营商、不同国家或地区的跳板机发起攻击,使得对真正入侵者的追踪变得十分困难,需要大范围的多方协同配合。
2. 拒绝服务攻击发生频繁
入侵目标主机需要一定的技术和运气,因此很多攻击者选择了使用分布式拒绝服务(DDOS)的攻击方法,严重干扰目标的网络服务。由于这种攻击往往使用虚假的源地址,因此也很难定位攻击者的位置。
3.攻击者需要的技术水平逐渐降低但危害增大
这是由于网络上很容易下载到攻击工具的原因,而且,一个新的操作系统漏洞被公布后,相应的攻击方法一般在两个月内就会被发布到互联网上。
4.联合攻击
网络蠕虫越来越发展成为传统病毒、蠕虫和黑客攻击技术的结合体,不仅具有隐蔽性、传染性和破坏性,还具有不依赖于人为操作的自主攻击能力,并在被入侵的主机上安装后门程序。
网络蠕虫造成的危害之所以引人关注,这是因为新一代网络蠕虫的攻击能力更强,并且和黑客攻击、计算机病毒之间的界限越来越模糊,带来更为严重的多方面的危害,例如造成网络阻塞,服务中断;在大量主机上留下后门,失密威胁严重且成为下一轮攻击的基础,甚至某些蠕虫已经具备了主动汇报被留下后门的受害者的位置的功能,从而可以使蠕虫编写者掌握大量可以控制的主机,这相当于掌握了一颗网络原子弹,可随时向任何目标发起海啸般的攻击。由此可见,新一代的网络蠕虫甚至可以成为信息战的有力武器。
我国网络安全需要解决的问题
1. 法律法规建设
尽管我国已经出台了一些针对计算机犯罪的法律条款(如《刑法》286条),但是信息网络中各种侵犯个人和公共权利的行为方式仍层出不穷,例如垃圾邮件、病毒传播、黑客扫描、拒绝服务攻击等,而与之相应的法律法规的制定明显滞后。此外,网络运维部门在定位到攻击源或病毒传染源后,最直接有效的办法是将其隔离到网络之外来保护其他网络用户的安全,但是这种做法一直存在争议,被认为是侵犯了被隔离者的个人权益,这种个人与整体之间矛盾的解决也需要有法律作为依据。
2. 组织体系建设
公共互联网也好,重要部门和行业的专用广域网也好,都把保障线路和业务的通畅作为运行维护的主要目标。因此,大部分都没有设立专门的网络安全应急部门或岗位,而我国的国家网络应急体系也处于刚刚起步建设的阶段,还有很多重要部门没有加入到体系内。
3. 协调机制建设
我国的网络是分散在各个部门管理的,在应对突发事件的时候缺乏一致行动的协调机制,在处理跨网、跨部门事件的时候尤其显得行动缓慢。
4. 服务规范建设
我国目前已经出现了一些专门的网络安全服务企业,也有很多从事网络安全产品生产的企业同时提供安全服务,对于这种新的服务行业,我国尚缺乏必要的规范和标准对服务质量和内容加以约束。
5. 自主产品研发
目前互联网的基础运行设备中,绝大多数的骨干设备和关键设备还都是进口的,中高端的网络安全产品中也大部分来自国外。这显然不利于保障我国的网络安全,但是这也是我国自主产权技术水平不高,产品不够成熟的客观原因造成的。
6. 人力资源培养
我国的网络用户已经达到7 950万,本科以上学历的仅占29.8%,专业技术人员仅占13.7%,大多数用户缺乏必要的网络安全防护知识,能够从事专业服务的技术人员则更少。
应急响应的概念和内容
网络安全涉及到多方面的问题需要逐步解决,建设应急响应体系就如同建设现实社会中的医疗卫生体系,应该放在与基础设施建设同等重要的地位。这里,介绍一下应急响应的基本概念和基本内容。
1.什么是应急响应
英文中紧急响应有两种表示法,即Emergency Response和IncidentResponse,其含义是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。
2.怎样才算安全
信息安全技术领域中最著名的一个安全模型叫PPDRR模型,是指实现安全所需的五个环节,即设定安全策略、采取防护措施、检测安全事件、响应处理和恢复。这个模型表面上没有给出“安全”的定义,但却含有如下两点内容:
(1)“天下太平”不等于“安全”
实际上也不会有“天下太平”。因此要具备安全防护能力,即抗攻击能力。
(2)被动防守不能做到安全
应该发现攻击并采取积极措施进行处理。
那么该怎样定义安全呢?一般来讲,在攻击开始以后,如果能够做到在系统被攻克之前发现攻击并进行有效的应对处理,使得攻击不能奏效或被化解,则可以说实现了安全。可见,是否能够做到及时发现和快速响应是实现安全的关键。
3.什么是应急处理
应急处理实际上是网络安全保障工作的具体体现。各种防护方案、安全设施、策略规定等,广义上都可以理解为应急处理工作的一部分。而完整的应急处理工作的各个阶段,则体现了网络安全保障的不间断过程。
(1)及时发现是安全保障的第一要求
这是应急处理的基本前提。做到及时发现和准确判断,应该尽可能的了解全局的情况,但是局部的数据往往会反映出事件的一角。例如网管人员发现网络的异常流量可能是由于新蠕虫的传播造成的,不同网管的报告汇总在一起就能够判断事件的性质和规模。
(2)确保恢复是安全保障的第一目标
应急处理的两个根本性目标是确保恢复、追究责任。除非是″事后″处理的事件,否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。追究责任涉及到法律问题,一般用户单位或第三方支援的应急处理人员主要起到配合分析的作用,因为展开这样的调查通常需要得到司法许可。
(3)建立应急组织和应急 体系
这是国家网络安全保障的必要条件。当前网络安全事件的特点决定了单一的应急组织已经不能应对当今的网络安全威胁,我国的应急体系正是在实际工作的经验总结中逐渐形成的,并仍在在不断补充和完善中。
在缺乏体系保障的情况下,单个组织无法处理管理范围之外的攻击来源,而不得不把自己层层保护起来,最终造成自己的网络被“隔离”。
在一个应急体系下,多个组织协同配合,分别处理各自范围内的攻击源,整个网络仍然有效的运转。
4.应急处理的一般阶段
(1) 第一阶段:准备
此阶段以预防为主。
微观上的工作包括:
·帮助服务对象建立安全政策;
·帮助服务对象按照安全政策配置安全设备和软件;
·扫描、风险分析、打补丁;
·如有条件且得到许可,建立监控设施。
宏观上的工作包括:
·建立协作体系和应急制度;
·建立信息沟通渠道和通报机制;
·如有条件,建立数据汇总分析的体系和能力;
·有关法律法规的制定。
(2)第二阶段:确认
确定事件性质和处理人选。
微观上的工作包括:
·确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;
·确定事件性质和影响的严重程度,预计采用什么样的专用资源来修复。
宏观上的工作包括:
·通过汇总,确定是否发生了全网的大规模事件;
·确定应急等级,决定启动哪一级应急方案。
(3)第三阶段:遏制
及时采取行动遏制事件发展。
微观上的工作包括:
·初步分析,重点确定适当的遏制方法,如隔离;
·咨询安全政策;
·确定进一步操作的风险,控制损失保持最小;
·列出若干选项,讲明各自的风险,应该由服务对象来做决定。
宏观上的工作包括:
·确保封锁方法对各网业务影响最小;
·通过协调争取各网一致行动,实施隔离;
·汇总数据,估算损失和隔离效果。
(4)第四阶段:根除
彻底解决问题隐患。
微观上的工作包括:
·分析原因和漏洞;
·进行安全加固;
·改进安全策略。
宏观上的工作包括:
·加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;
·加强检测工作,发现和清理行业与重点部门的问题。
(5)第五阶段:恢复
微观上的工作包括:
·被攻击的系统由备份来恢复;
·做一个新的备份;
·对所有安全上的变更作备份;
·服务重新上线并持续监控。
宏观上的工作包括:
·持续汇总分析,了解各网的运行情况;
·根据各网的运行情况判断隔离措施的有效性;
·通过汇总分析的结果判断仍然受影响的终端的规模;
·发现重要用户及时通报解决;
·适当的时候解除封锁措施。
(6)第六阶段:跟踪
·关注系统恢复以后的安全状况,特别是曾经出问题的地方;
·建立跟踪文档,规范记录跟踪结果;
·对响应效果给出评估;
·对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动。
应急响应组织和体系的建设
1.国际应急组织的发展
(1)全球第一个计算机应急处理协调中心的诞生
1988年11月,美国康乃尔大学学生莫里斯编写一个“圣诞树”蠕虫程序,该程序可以利用因特网上计算机的sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进入系统并自我繁殖,鲸吞因特网的带宽资源,造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术界,被称作“莫里斯事件”。
事件发生之后,美国国防部高级计划研究署(DARPA)出资在卡内基-梅隆大学(CMU)的软件工程研究所(SEI)建立了计算机应急处理协调中心。该中心现在仍然由美国国防部支持,并且作为国际上的骨干组织积极开展相关方面的培训工作。
自此,美国各有关部门纷纷开始成立自己的计算机安全事件处理组织,世界上其他国家和地区也逐步成立了应急组织。
(2)国际应急处理的国际化
1990年11月,由美国等国家应急组织发起,一些国家的CERT组织参与成立了计算机事件响应与安全工作组论坛 (FIRST:Forum of Incident Response and Security Team)。
FIRST的基本目的是使各成员能在安全漏洞、安全技术、安全管理等方面进行交流与合作,以实现国际间的信息共享、技术共享,最终达到联合防范计算机网络攻击行为的目标。
FIRST组织有两类成员,一是正式成员,二是观察员。截止到2003年8月,FIRST的正式成员达到151个。我国的国家计算机网络应急技术处理协调中心(CNCERT/CC)于2002年8月成为FIRST的正式成员。
FIRST组织有一个由十人构成的指导委员会,负责对重大问题进行讨论,包括接受新成员。新成员的加入必须有推荐人,并且需要得到指导委员会2/3的成员同意。
FIRST的技术活动除了各成员之间通过保密通信进行信息交流外, 每季度还开一次内部技术交流会,每年开一次开放型会议。通常是在美国和其他国家交替进行。
2.我国应急处理体系的发展
(1)应急体系的产生
与美国第一个应急组织诞生的原因类似,我国应急体系的建立也是由于网络蠕虫事件的发生而开始,这次蠕虫事件就是发生在2001年8月的红色代码蠕虫事件。
由于红色代码集蠕虫、病毒和木马等攻击手段于一身,利用Windows操作系统一个公开漏洞作为突破口,几乎是畅通无阻地在互联网上疯狂地扩散和传播,迅速传播到我国互联网,并很快渗透到金融、交通、公安、教育等专用网络中,造成互联网运行速度急剧下降,局部网络甚至一度瘫痪。
当时我国仅有几个力量薄弱的应急组织,根本不具备处理如此大规模事件的能力,而各互联网运维部门也没有专门的网络安全技术人员,更没有互相协同处理的机制,各方几乎都束手无策。
紧要关头,在CNCERT/CC的建议下,信息产业部组织了各个互联网单位和网络安全企业参加的应急响应会,汇总了全国当时受影响的情况,约定了协调处理的临时机制,确定了联系方式,并最终组成了一个网络安全应急处理联盟。
2001年10月,信息产业部提出建立国家计算机紧急响应体系,并且要求各互联网运营单位成立紧急响应组织,能够加强合作、统一协调、互相配合。自此,我国的应急体系应运而生。
目前,我国应急处理体系已经经历了从点状到树状的发展过程,并正在朝网状发展完善,最终要建设成一个覆盖全国全网的应急体系。
(2)当前的应急处理体系
我国当前的网络应急体系是在国家网络与信息安全协调小组办公室领导下建设的,分为国家级政府层次、国家级非政府层次和地方级非政府层次等三个层面。
·国家级政府层次由信息产业部互联网应急处理协调办公室为中心,向下领导国家级非政府层次的工作,横向与我国其他部委之间进行协调联系,同时负责与国外同层次的政府部门(如APEC经济体)之间进行交流和联系;
·国家级非政府层次以CNCERT/CC为中心,向上接受信息产业部的领导,向下领导其遍布全国各省的分中心的工作,协调各个骨干互联网单位CERT 小组的应急处理工作,协调和指导国家计算机病毒应急处理中心、国家计算机网络入侵防范中心和国家863计划反计算机入侵和防病毒研究中心等三个专业应急组织的工作,指导公共互联网应急处理国家级试点单位的应急处理工作;CNCERT/CC同时还负责与国际民间CERT组织之间的交流和联系,负责利用自身的网络安全监测平台对全国互联网的安全状况进行实时监测。在这个层次中,还有正在建设中的信息产业部网络安全、信息安全和应急处理等三个专业的重点实验室,其任务是进行专门的技术研究,为CNCERT/CC开展应急处理协调工作提供必要的技术支撑。
地方级非政府层次主要以CNCERT/CC各省分中心为中心,协调当地的IDC应急组织、指导公共互联网应急处理服务省级试点单位开展面向地方的应急处理工作。
整个体系由国家网络与信息安全协调小组、信息产业部、CNCERT/CC及其各省分中心构成核心框架,协调和指导各互联网单位应急组织、专业应急组织、安全服务试点单位和地方IDC应急组织共同开展工作,各自明确职责和工作流程,形成了一个有机的整体。
(3)CNCERT/CC
CNCERT/CC成立于2000年10月,主要职责是协调我国各计算机网络安全事件应急小组,共同处理国家公共电信基础网络上的安全紧急事件,为国家公共电信基础网络、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流。
其从事的工作内容包括:
·信息获取:通过各种信息渠道与合作体系,及时获取各种安全事件与安全技术的相关信息;
·事件监测:及时发现各类重大安全隐患与安全事件,向有关部门发出预警信息,提供技术支持;
·事件处理:协调国内各应急小组处理公共互联网上的各类重大安全事件,同时,作为国际上与中国进行安全事件协调处理的主要接口,协调处理来自国内外的安全事件投诉;
·数据分析:对各类安全事件的有关数据进行综合分析,形成权威的数据分析报告;
·资源建设:收集整理安全漏洞、补丁、攻击防御工具、最新网络安全技术等各种基础信息资源,为各方面的相关工作提供支持;
·安全研究:跟踪研究各种安全问题和技术,为安全防护和应急处理提供技术和理论基础;
·安全培训:进行网络安全应急处理技术及应急组织建设等方面的培训;
·技术咨询:提供安全事件处理的各类技术咨询;
·国际交流:组织国内计算机网络安全应急组织进行国际合作与交流。
CNCERT/CC 2003年应急处理案例
CNCERT/CC在2003年共计接到1.3万次以上的事件报警,其中影响较大的事件有如下四个方面:
·网络蠕虫事件,如SQL Slammer蠕虫、口令蠕虫、冲击波蠕虫等;
·DDOS攻击事件,部分政府网站和大型商业网站遭到了攻击;
·网页篡改事件,全国共有435台主机上的网页遭到篡改,其中包括143个主机上的337个政府网站在内;
·网络欺诈事件,处理了澳大利亚和中国香港等CERT组织报告的几起冒充金融网站的事件。
下面选择几个事件简要介绍一下。
1. SQL Slammer蠕虫事件
2003年1月25日中午接到举报,发现网络流量异常,经过与各个互联网应急小组核实后,初步判断是一起新的网络蠕虫事件,并立即向全网进行预警通报。
同时,CNCERT/CC紧急组织技术人员对蠕虫样本进行分析,确定了蠕虫传播的特征和进行网络隔离的有效方案。然后,一方面将分析结果通告各互联网应急小组,建议其采取隔离措施;另一方面,CNCERT/CC利用网络安全监测平台对国内受感染主机及蠕虫的扩散情况进行监测。
各运营商迅速采取了网络隔离措施,很快就遏制了蠕虫的传播。随后,根据CNCERT/CC提供的被感染主机列表,各个运营商分头及时进行处理,彻底根除攻击源。
CNCNERT/CC及时在网站上发布了网络用户对计算机进行安全加固和恢复被感染主机的方法,并及时将有关情况向信息产业部做了报告。
整个事件从发现到各部门协同工作,采取隔离措施成功遏制蠕虫传播仅用了4 h,各互联网单位最终清除和恢复被感染主机也基本在当天完成,体现出我国应急处理体系所发挥出的显著作用。
2.某政府网站遭遇DDOS攻击事件
2003年5月,CNCERT/CC接到用户举报,南方某市政府信息网络运行异常,电子政务和86个政府网站受到严重干扰。CNCERT/CC立即协调当地分中心前往现场进行处理,通过分析发现是遭到了DDOS攻击。
接着,在当地互联网运营商的配合下,追查到攻击来自贵州省。
CNCERT/CC立即协调贵州分中心联合当地运营商继续处理,当天即定位到攻击源来自某托管主机,并进行了妥善处理。
事后,CNCERT/CC对受攻击者的网络做了基本的安全性评估,提出了安全加固建议。
3.AusCERT投诉网络欺诈 事件
2003年12月8日接到AusCERT投诉,发现我国境内两台主机冒充金融机构进行欺诈。经过调查核实后,CNCERT/CC定位到主机分别位于江苏和云南,并初步分析发现主机上存在明显安全漏洞,怀疑被黑客利用。
CNCERT/CC迅速指挥当地分中心进行处理,12月9日和10日,江苏、云南分中心联合当地运营商准确定位到目标主机,并进行了妥善处理。
事后,CNCERT/CC及时向AusCERT反馈了处理情况,并对网络欺诈事件的有关情况向信息产业部做了汇报。
我国应急体系下一步工作要点
处于起步阶段的我国应急体系急需在实践中迅速成熟和完善起来,以便适应我国互联网进一步发展的需求。在目前工作的基础上,我国应急体系还应该重点做好如下工作:
·加强制度和流程的建设,制定和完善应急处理预案,保证整个应急体系的高效运行;
·加强体系内各部门之间的沟通,及时交流最新情况和处理经验;
·加强安全技术宣传、培训和教育工作,提高我国网络用户的整体安全防护意识和专业人员的应急处理服务质量;
·积极开展网络安全事件的演练,及时发现和改进存在的问题和不足;
·加强国际合作,建立畅通和可信的沟通渠道,促进技术和经验交流,开展联合处理行动。
周勇林 国家计算机网络应急技术处理协调中心运行部副主任
[文章来源: