演講內(nèi)容下載-PowerPointPresentati

網(wǎng)絡(luò)安全挑戰(zhàn)與應(yīng)急處理國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中（CNCERT/CC）運(yùn)行部主任杜躍進(jìn)博士2004年10月.廣西報(bào)告內(nèi)容網(wǎng)絡(luò)安全威脅：從用戶到網(wǎng)絡(luò)網(wǎng)絡(luò)安全挑戰(zhàn)：可否贏得這場(chǎng)比賽？網(wǎng)絡(luò)安全的幾個(gè)誤區(qū)：錯(cuò)誤的理解正確理解應(yīng)急處理：讓網(wǎng)絡(luò)安全成為運(yùn)行的“過程”經(jīng)驗(yàn)與教訓(xùn)：迎接當(dāng)前挑戰(zhàn)的幾大關(guān)鍵要素國內(nèi)外現(xiàn)狀和趨勢(shì)簡介網(wǎng)絡(luò)安全不再是事不關(guān)己的故事黑客到底有多黑？網(wǎng)絡(luò)原子彈：10分鐘之內(nèi)讓全世界癱瘓偽裝攻擊：肆無忌彈數(shù)字“特洛伊”：遠(yuǎn)古手段的現(xiàn)代演化“釣魚”活動(dòng)：日益活躍的陷阱“信息爆炸”的時(shí)代：垃圾郵件的“貢獻(xiàn)”“禁毒”：全世界的持久戰(zhàn)盲區(qū)：損失多大？網(wǎng)絡(luò)安全不再僅僅是終端的事網(wǎng)絡(luò)成為一種關(guān)鍵基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的癱瘓帶來嚴(yán)重影響生產(chǎn)停頓；交易中斷；招生、科研、旅行、etc.傳統(tǒng)的很多概念受到挑戰(zhàn)防病毒不再是全部別人的主機(jī)不安全，也會(huì)影響到自己網(wǎng)管成為網(wǎng)絡(luò)安全保障的前線網(wǎng)絡(luò)供應(yīng)商需要為網(wǎng)絡(luò)的安全運(yùn)行提供保障Etc.為什么還不安全？領(lǐng)導(dǎo)重視了資金到位了設(shè)備購買了方案論證了可是…………..為什么還出事?!關(guān)鍵是速度Response‘intime’istheKEY:RtPtEqualstoSecureThekeyis:whetheryoucanresponseeffectivelyandquicklyenough（stoptheattackingbeforethedamage–thatyoucannotbear,accordingtoyoursecurityplan—iscaused）Catchthetheftbeforeyourthingsarestolen!Challengesforbeing‘intime’TheraceAttackers：VulnerabilitydiscoveryAttackingcode（malware）programming(alittlebittesting,maybe)ReleasemalwareDefenders：VulnerabilitydiscoveryInformationdeliveryPatchdevelopmentPatchdeliveryRiskscanAttackingmonitoringMalwareanalysisPropagationControlPatch&toolsdeliveryInfectedcomputersrecoveryUpgrade&adjustment/evaluationHowfastareourenemies?Vulnerabilitydiscovered:atanytimeNewattackingmalwareappear:fewweeksafterthevulnerabilityispublished（stillbecomingshorter）NOW0-DAYATTACKappears10to30minutesisenoughforanewwormtomakethewholeInternetcongested(alsomightbeshorter)

Well,howfastcanwebe,then?Whatwearefacing:Thenetworkwearegoingtoprotect:87millionNetizensMorethan36milliononlinecomputersMorethan600,000websitesNearly54Ginternationalbandwidth（fromCNNIC,14thsurveytillJune30.2004.each

figureisincreasingdramatically!）Thousandsofvulnerabilitiesarereportedeachyear(accordingtoCERT/CC)PeopleNEVERpatchorupgradeintime(accordingtothereality.butmaybetheyshouldnotbeblamed)Thewholeworldisconnected,attackingmightcomefromanycorneratanytimeWeNEVERhaveenoughqualifiedsecuritystaff(doyouhaveasupermanwhoknowseverythingandneverneedarest?)……Dowehaveanychancestowin?Don’tknowactually.Butanyhow,itseemsthatwedoneedsome

necessariestomakethingsbetter一些主要的誤區(qū)要是用戶都及時(shí)打補(bǔ)丁……買了更好的產(chǎn)品，可以高枕無憂了……找個(gè)高手，解決問題……內(nèi)外網(wǎng)隔離，還怕什么？……正確理解應(yīng)急響應(yīng)安全是一個(gè)動(dòng)態(tài)的過程“動(dòng)態(tài)”的問題：網(wǎng)絡(luò)和系統(tǒng)的組成和變化（結(jié)構(gòu)、地址、甚至操作系統(tǒng)）應(yīng)用的變化（內(nèi)部應(yīng)用的增加或者減少）用戶的變化（用戶的群體和個(gè)體行為屬性的變化）外界威脅的變化（新的漏洞、新的攻擊方法、etc.）安全不是一個(gè)靜止的“狀態(tài)”，而是一個(gè)動(dòng)態(tài)的過程。什么是應(yīng)急響應(yīng)調(diào)查：我們有多少人知道應(yīng)急響應(yīng)？多少人知道CERT/CSIRT？應(yīng)急處理實(shí)際上是網(wǎng)絡(luò)安全保障“工作”的具體體現(xiàn)。各種防護(hù)方案、安全設(shè)施、策略規(guī)定等，廣義上都可以理解為應(yīng)急處理工作的一部分。而完整的應(yīng)急處理工作的各個(gè)階段，則體現(xiàn)了網(wǎng)絡(luò)安全保障的不間斷的“過程”。實(shí)踐：及時(shí)發(fā)現(xiàn)是安全保障的第一要求根本性的問題在于當(dāng)事件發(fā)生的時(shí)候，有關(guān)人員能否及時(shí)發(fā)現(xiàn)，以及能否做出準(zhǔn)確判斷問題1：局部網(wǎng)絡(luò)安全策略的維護(hù)、日志分析、報(bào)警數(shù)據(jù)處理；問題2：局部數(shù)據(jù)只能反映片面的情況，如何作出全局的判斷；問題3：網(wǎng)絡(luò)世界和現(xiàn)實(shí)世界的一個(gè)不同之處是，受到事件影響的用戶自己經(jīng)常并不明白發(fā)生了什么事情，因此，完全依賴用戶投訴作為發(fā)現(xiàn)手段是不現(xiàn)實(shí)的。對(duì)紅色代碼、SQLSLAMMER等事件的處理過程，證明了網(wǎng)管人員及其工作在應(yīng)急工作中的重要性；也證明了數(shù)據(jù)情報(bào)及時(shí)匯總分析的重要性。事后：部分用戶投訴事件；事中：大規(guī)模網(wǎng)絡(luò)攻擊事件、

部分用戶投訴事件事前：異常檢測(cè)的分析結(jié)果、

關(guān)聯(lián)事件、

根據(jù)其他情報(bào)獲悉從實(shí)踐中獲得的經(jīng)驗(yàn)和教訓(xùn)歷史教訓(xùn)：2001.CodeRed/Nimda當(dāng)時(shí)的組織：CNCERT/CC；CCERT當(dāng)時(shí)的效率：掌握情況需要兩天：通過開會(huì)的方式了結(jié)全面的情況控制局面：缺乏有效的機(jī)制2001年紅色代碼和尼姆達(dá)事件處置的教訓(xùn)掌握信息的準(zhǔn)確性和完整性與時(shí)間上的要求之間的矛盾處置遇到的困難技術(shù)上的教訓(xùn)：大規(guī)模安全事件的危害嚴(yán)重的網(wǎng)絡(luò)阻塞甚至癱瘓應(yīng)用中斷危及經(jīng)濟(jì)和生活的很多方面大量主機(jī)面臨嚴(yán)重的信息泄漏威脅舉措：成立了早期的應(yīng)急處理體系

支撐

協(xié)調(diào)/指導(dǎo)/信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室

領(lǐng)導(dǎo)

協(xié)調(diào)

各骨干網(wǎng)的

CERT

國家計(jì)算機(jī)病毒

應(yīng)急處理中心國家計(jì)算機(jī)網(wǎng)絡(luò)

入侵防范中心國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)歷史教訓(xùn)：國際方面1988年11月：Morris蠕蟲：主體癱瘓幾周后，CERT/CC成立其后的兩年，CERT組織紛紛出現(xiàn)1989年10月：Wank蠕蟲：發(fā)現(xiàn)CERT組織之間的溝通與合作非常必要1990：FIRST成立FIRST依然存在不足正面經(jīng)驗(yàn)：2003.SQLSlammer/口令蠕蟲組織：CNCERT/CC；CCERT；各運(yùn)營商CERT；國際組織效率：兩小時(shí)判斷情況，半天控制局勢(shì)總結(jié)：應(yīng)急體系發(fā)揮了重要作用潛在的問題還有很多SQL殺手蠕蟲事件2003年1月25日發(fā)作造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓韓國網(wǎng)絡(luò)基本處于癱瘓狀態(tài)我國境內(nèi)感染主機(jī)22600余臺(tái)2003年1月：應(yīng)急體系發(fā)揮顯著作用，通力合作初顯成效，各運(yùn)營單位的CERT組織、網(wǎng)管人員通力合作，互通消息和經(jīng)驗(yàn)，降低了損失和影響，不僅做到及時(shí)發(fā)現(xiàn)，而且能夠及時(shí)分析和響應(yīng)口令蠕蟲事件2003年3月8日出現(xiàn)，主要在教育網(wǎng)中蔓延，部分大學(xué)校園網(wǎng)絡(luò)癱瘓后蔓延到電信、聯(lián)通、移動(dòng)、鐵通、網(wǎng)通等多個(gè)網(wǎng)絡(luò)，感染服務(wù)器41207臺(tái)進(jìn)一步發(fā)掘了對(duì)大規(guī)模網(wǎng)絡(luò)安全事件的宏觀處置能力?？诹钊湎x數(shù)據(jù)分析合作體系的進(jìn)一步完善2003年的事件，對(duì)2002年建立的合作體系是一個(gè)考驗(yàn)在取得成功經(jīng)驗(yàn)的同時(shí)，也發(fā)現(xiàn)了新的問題和不足2003年下半年至2004年初，在中編辦、國信辦、信產(chǎn)部等的支持下，我國形成了一個(gè)更加完整的公共互聯(lián)網(wǎng)應(yīng)急處理體系面臨的挑戰(zhàn)：當(dāng)前網(wǎng)絡(luò)安全事件的特點(diǎn)攻擊者可以輕易地施行跨網(wǎng)、跨國攻擊可能在任何時(shí)間發(fā)生攻擊攻擊往往通過一級(jí)或者多級(jí)跳板進(jìn)行大規(guī)模事件出現(xiàn)日益頻繁傳播速度越來越快組合攻擊開始出現(xiàn)蠕蟲驅(qū)動(dòng)的DDoS攻擊威脅更大有組織犯罪的威脅更大面臨的挑戰(zhàn)：現(xiàn)狀蠕蟲傳播的速度更快破壞性更強(qiáng)漏洞出現(xiàn)到攻擊代碼出現(xiàn)之間的間隔越來越短漏洞發(fā)現(xiàn)的數(shù)目越來越多網(wǎng)絡(luò)主機(jī)越來越多信息網(wǎng)絡(luò)的重要性越來越高國家公共網(wǎng)絡(luò)應(yīng)急處理能力建設(shè)組織體系：技術(shù)上的協(xié)調(diào)與支持，更早地獲得預(yù)警信息技術(shù)平臺(tái)：安全保障的基本武器，事件處理的基礎(chǔ)設(shè)施流程與規(guī)范：讓應(yīng)急處理‘運(yùn)轉(zhuǎn)’起來基礎(chǔ)資源：厚積薄發(fā)的彈藥庫從微觀到宏觀準(zhǔn)備：協(xié)作體系、應(yīng)急制度、信息數(shù)據(jù)和技術(shù)的共享渠道與機(jī)制、總體能力建設(shè)、法律法規(guī)確認(rèn)：快速+全面+準(zhǔn)確的矛盾控制：大范圍的協(xié)作、效果監(jiān)測(cè)、應(yīng)用情況、權(quán)衡根除和恢復(fù)：宣傳、檢查、CIIP和社會(huì)用戶的不同做法技術(shù)平臺(tái)的作用掌握整體的安全狀況：動(dòng)態(tài)：全面：快速：準(zhǔn)確：早期預(yù)警處置效果的觀察紅色代碼的監(jiān)測(cè)9月2日-9日，監(jiān)測(cè)到48,414個(gè)感染服務(wù)器變化情況分布情況監(jiān)測(cè)到的攻擊1,024,013次，實(shí)際攻擊次數(shù)估計(jì)為該數(shù)據(jù)的數(shù)百倍。紅色代碼對(duì)不同地區(qū)的影響程度6.3-6.5PCT協(xié)議遠(yuǎn)程緩沖區(qū)溢出漏洞數(shù)據(jù)CNCERT/CC目前具備的主要能力大規(guī)模異常事件的發(fā)現(xiàn)能力理論上確認(rèn)大規(guī)模網(wǎng)絡(luò)安全事件所需要時(shí)間不到原來的十分之一重大網(wǎng)絡(luò)安全事件的初步監(jiān)測(cè)分析能力包括感染范圍和速度、控制效果、對(duì)網(wǎng)絡(luò)的影響情況等攻擊事件的分布式自動(dòng)驗(yàn)證拓?fù)浒l(fā)現(xiàn)和定位分析分布式問題網(wǎng)站發(fā)現(xiàn)系統(tǒng)實(shí)例.特征：惡意代碼監(jiān)測(cè)名次病毒名發(fā)現(xiàn)次數(shù)源節(jié)點(diǎn)數(shù)1Worm.Win32.WelChia.Scahellcommand41533IIS-DECODE432434systempath29735systempath29636IIS-unicode220837IIS-Worm.CodeRed.c125248IIS-DECODE311839IIS-DECODE198310IIS-DECODE5983時(shí)間：2004年6月11日實(shí)例.流量：LSASS系列蠕蟲實(shí)例.流量：MSBLAST系列04年1月1日起，數(shù)據(jù)明顯降低實(shí)例.流量：蠕蟲引起流量異常2004年3月9日下午發(fā)現(xiàn)整個(gè)流量漲幅較大，并且UDP數(shù)據(jù)超過TCP和HTTP的流量定為異常，啟動(dòng)進(jìn)一步分析，發(fā)現(xiàn)大量報(bào)文目的端口為1434報(bào)文分析確認(rèn)為SQLSLAMMER實(shí)例.分布：蠕蟲形成的數(shù)據(jù)報(bào)文分布屬性SQLSLAMMER攻擊報(bào)文的分析結(jié)果：目的地址十分分散源地址相對(duì)比較集中UDP，目的端口1434Witty蠕蟲由于其自身特點(diǎn)，表現(xiàn)得更加明顯實(shí)例.分布：DDoS形成的分布屬性2004年4月16日發(fā)現(xiàn)ICMPtype=0流量上升異常進(jìn)一步分析，發(fā)現(xiàn)Ping回答數(shù)據(jù)量不正常，對(duì)報(bào)文屬性分析認(rèn)為是對(duì)目的地址（美國）的一次PingFlood攻擊國際方面的情況韓國、日本巴西、馬來西亞澳大利亞泛美GlobalProblem,GlobalSolution：跨國進(jìn)行的計(jì)算機(jī)攻擊事件的處理推動(dòng)了國際應(yīng)急組織的合作FIRST/APCERT/EGC/TF-CSIRTCNCERT/CC的國際合作2002年成為FIRST的正式成員發(fā)起成立亞太地區(qū)應(yīng)急處理合作組織APCERT正在開展的中日韓的合作中國-東盟的合作意向2003年度工作報(bào)告響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場(chǎng)事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)視安全審計(jì)評(píng)估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測(cè)服務(wù)與安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識(shí)教育/培訓(xùn)產(chǎn)品評(píng)估或認(rèn)證CNCERT/CC目前提供的服務(wù)：2003年工作報(bào)告：大規(guī)模蠕蟲事件處理SQLSLAMMER蠕蟲；口令蠕蟲；紅色代碼F變種；沖擊波等蠕蟲；

2003年工作報(bào)告：DDOS事件處理3月底，某亞洲地區(qū)業(yè)務(wù)量排名第二的商業(yè)網(wǎng)站受到有組織持續(xù)性拒絕服務(wù)攻擊。5月中旬，某市政府信息網(wǎng)絡(luò)遭拒絕服務(wù)攻擊，癱瘓8小時(shí)以上，嚴(yán)重地影響了政府依托電子政務(wù)外網(wǎng)平臺(tái)的相關(guān)業(yè)務(wù)和86個(gè)政府網(wǎng)站的正常運(yùn)行。5月中旬，某省信息港網(wǎng)站受到拒絕服務(wù)攻擊。5月下旬，某省廣播電視網(wǎng)遭有組織拒絕服務(wù)攻擊。7月初，博客中國遭拒絕服務(wù)攻擊。7月底，某為政府提供服務(wù)的大型綜合網(wǎng)站遭拒絕服務(wù)攻擊。8月下旬，中國互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)站在公布垃圾郵件服務(wù)器黑名單后遭拒絕服務(wù)攻擊。拒絕服務(wù)攻擊日益頻繁，十分猖獗阻止DDoS攻擊，關(guān)鍵在于合作DDoS攻擊之所以難以高效地防范，原因在于攻擊者可以輕易地使用偽造地址發(fā)出攻擊，使得被攻擊者很難高效地在自己的網(wǎng)絡(luò)內(nèi)實(shí)施防范RFC2827規(guī)定了源地址過濾的標(biāo)準(zhǔn)，并且得到廣泛的產(chǎn)品支持，但是只有大家都啟用源地址驗(yàn)證的功能，才可能真正發(fā)揮作用合作的價(jià)值更加體現(xiàn)在攻擊隔離上

2003年度工作報(bào)告：篡改網(wǎng)頁事件廣西某市政府網(wǎng)站被篡改5月19日，廣西某市的一個(gè)政府網(wǎng)站服務(wù)器所發(fā)布的三十個(gè)政府網(wǎng)頁均被黑客篡改；立即通知有關(guān)部門進(jìn)行處理。7月6日黑客競(jìng)賽7月4日獲悉；通報(bào)各運(yùn)營商；密切跟蹤規(guī)模、動(dòng)態(tài)：全球約有2600多個(gè)網(wǎng)頁被篡改，但都是小型網(wǎng)站。2003年中國有435臺(tái)主機(jī)上的網(wǎng)頁遭到篡改，其中包括143個(gè)主機(jī)上的337個(gè)政府網(wǎng)站在內(nèi)。2003年度工作報(bào)告：網(wǎng)頁欺詐“香港賽馬俱樂部投訴有網(wǎng)站假冒其名義從事非法活動(dòng)”等三個(gè)案例：我們只是調(diào)查核實(shí)，向上反映。AUSCERT投訴兩網(wǎng)站欺詐活動(dòng)事件

12月8日接到投訴；調(diào)查核實(shí)；分析認(rèn)為相關(guān)主機(jī)很可能是遭受到黑客攻擊后被人利用；協(xié)調(diào)運(yùn)營商、分中心處理；位于江蘇和云南兩不法網(wǎng)站分別于9、10號(hào)被關(guān)閉；12日得到部分關(guān)于被泄漏銀行賬號(hào)的信息。HKCERT投訴一網(wǎng)站冒充eBay（經(jīng)營網(wǎng)上購物）網(wǎng)站進(jìn)行欺騙

12月17日接到投訴；調(diào)查核實(shí)；協(xié)調(diào)運(yùn)營商處理；12月22日網(wǎng)通應(yīng)急組織將被投訴IP地址進(jìn)行處置。

2003年度工作報(bào)告：漏洞處理對(duì)CiscoIOS漏洞的處理

7月17日公布；通告運(yùn)營商；啟動(dòng)監(jiān)測(cè)。及時(shí)通報(bào)運(yùn)營商微軟發(fā)布的MS03-032、MS03-033、MS03-039、MS03-43、MS03-46、MS03-49等漏洞。對(duì)IE瀏覽器存在顯示偽造地址漏洞的處理

12月10日收到AUSCERT提醒關(guān)注該漏洞的信；漏洞還沒有補(bǔ)丁，但攻擊方法已經(jīng)公布；高度重視；目前還在密切關(guān)注中。

2003年度工作報(bào)告：投訴事件處理應(yīng)急事件非應(yīng)急事件

事件分類

咨詢

病毒網(wǎng)絡(luò)攻擊垃圾郵件總計(jì)

月份國內(nèi)國外國內(nèi)國外國內(nèi)國外

1月

2

3422129475132月102

482

17266653月1521724

13586274月41

383

15654025月31159802168116996月1503753

137944137月635388131731101218月

1611415091153169439月

20

1542

2771839210月10

11067524813311511月9321032216012082312月

3611178227614663合計(jì)9712320108731721841329511603年一般投訴事件處理統(tǒng)計(jì)和02年數(shù)據(jù)的比較02年一般投訴事件處理統(tǒng)計(jì)2003年度工作報(bào)告:信息傳播公告及與安全有關(guān)的信息的傳