网络安全催生国家应急体系
来源:天极网 更新时间:2012-04-14

     作者:姜红德

   又到一年的年终,很多行业的年会也在此时举办,总结一年的进展,规划全新的明年。随着信息化水平在各行业全面覆盖,信息安全的话题也变得很有市场。

  工信部软件服务业司郭建兵司长在2009中国软件安全峰会上表示,近年来软件自身的安全逐渐受到业界的广泛关注,软件向高可信方向发展,也使信息安全工作从事后被动防护走向事前预防,逐步形成预防、防护一体的技术保障体系。据介绍,我国政府十分关注网络空间安全问题及技术研发,目前正加强和完善网络空间安全应急保障体系建设,以应对严峻的网络空间安全问题。

  5.19事件回顾

  2009年5月19日晚21点左右,中国出现大范围网络故障,江苏、河北、山西、广西、浙江、天津、内蒙古、黑龙江、广东等省份均有网民反映上网遭遇故障,出现打不开网页等问题。

  专家指出,5.19事件可能与一个DNS的零日溢出漏洞有关。对DNS的大量查询请求形成了对DNS服务器的DDoS攻击,导致某些运营商的DNS瘫痪。事实上,DDoS攻击广泛存在于互联网中,而针对DNS服务器的DDoS攻击事件更是层出不穷,而且形式越来越多样化,主要包括以下几种:利用缓冲区溢出,海量流量堵塞带宽,伪造源IP发送海量DNS查询,源端口53的UDP FLOOD(攻击负载均衡设备),真实协议栈大量查询随机域名引起迭代查询。

  5.19事件造成的蝴蝶效应过程是:因暴风影音软件网络服务的需要和缺陷,使得安装有暴风影音的电脑不断发起域名解析请求,导致网络瘫痪。由于暴风影音本身只用了DNSPOD.COM,网络断裂的时候又是晚上8点在线网民观看视频最多的时候,DNSPOD.COM被人恶意大流量攻击,承担DNSPOD.COM网络接入的电信运营商断掉了其网络服务。DNSPOD网络服务被中断,诸多采用DNSPOD服务的网站无法访问,采用DNSPOD服务的暴风影音网站受到影响。这好象只是暴风影音软件网络服务器出现问题了,但最后导致的是群体性网络安全事件。

  以5.19事件为标志,后续6、7月都有网络故障问题发生,影响了整个网络的正常运行。6月25日,广东电信路由设备故障,导致腾讯等拥有大规模用户的业务系统受影响,造成较强用户感知。7月28日,域名解析系统软件BIND 9存在的一个高危漏洞,易导致拒绝服务攻击。

黑客攻击政府网站频发

  据来自CNNIC数据显示,2008年,中国大陆被篡改网站的数量相比2007年相比下降了12%,总体上维持在2007年的高位水平。2008年,中国大陆政府网站被篡改数量与2007年的3407个相比基本保持平稳,各月累计达3595个。 据统计,每月被篡改的gov.cn域名网站占整个大陆地区被篡改网站的6.67%,而gov.cn域名网站仅占.cn域名的1.1%,因此政府网站仍然是黑客攻击的重要目标。

  虽然近年来我国政府部门及各信息系统和安全组织采取了一系列措施,维护国家基础设施安全运行,但“安全事件”仍然频发。“2009年上半年,木马、僵尸监测情况显示,被控制端的IP地址总数为1867417个,较2008年上半年增长了25.7%。”CNCERT副主任云晓春在最近报告中列举中国互联网络信息中心2009年1月《中国互联网络发展状况统计报告》中的数据说,“2008年捕获的恶意代码样本达160多万次,比2007年增加了31%,同时网络高危漏洞也频频出现。”

  今年上半年,我国接收到国内外报告事件总数达9117件,其中国外投诉量猛增,而增长最多的事件类型为垃圾邮件,此外还包括网页挂马、网络仿冒及病毒、蠕虫及木马等。与此同时,感染主机3000多万台的“飞客”蠕虫;影响多个省份的“5·19”暴风影音事件;6月25日广东电信路由器设备故障影响腾讯等用户系统事件;7月28日域名解析系统软件BIND 9出现的高危漏洞等典型网络空间安全事件等,一次又一次地为我国网络空间安全敲响了警钟。

  世界网络安全发展趋势

  从世界范围来看,黑色产业链越来越成为焦点,黑客的技术炫耀开始与经济利益越绑越紧;与此相对应,僵尸网络、木马等变得越来越活跃,而一般性质的蠕虫,尤其是大规模蠕虫则相比过去黯淡了许多;由于几乎没有遇到太多法律上的对抗,导致黑客对网页的攻击越来越泛化,例如钓鱼网站因域名劫持等手段的越来越高超而变得防不胜防。

大型安全事件应急解决之道

  2003年我国出台27号文,部署网络空间安全工作;之后又出台《木马和监测网站的处理机制》;2006年,国家互联网应急中心开始在全国部署Matrix蜜网系统,通过对Matrix系统捕获的恶意代码样本分析,掌握我国互联网上主动式恶意代码的传播和利用情况,以加强对恶意代码的监测处理能力。目前,我国已成立4个国家信息安全产业基地,国家信息安全研究中心等监控中心,进一步完善了密码算法标准体系、科研产业体系,基本形成了具有我国特色的信息安全科技创新体系。而近日为应对网络漏洞启动的国家信息安全漏洞库建设,则标志着将各方力量联合起来的国家层面的网络空间安全应急保障体系已经建成。

  在这个框架体系下,如CNCERT/CC,还有国内各个应急组织,包括国家各个政府部门以及国外的一些应急组织和政府部门,大家都相互合作起来,一旦出现问题以后,利用这个框架体系及时处理。如今天出现的几个大的网络安全事件,也是在这种框架体系下解决的,大型的国际网络安全事件也是通过国内国外应急组织一起来解决。

  目前,面对开放的互联网,自我封闭已行不通,需应用开放的思维、开放的体系去应对!国家计算机网络应急技术处理协调中心副主任云晓春对此提出了国家应急体系下的大型安全事件解决之道。

  应对之道1:建立相互协作、统一协调的工作机制。为应对大规模突发网络安全事件,构建开放协作的应急体系。

  应对之道2:构建开放协同的安全技术框架,实现各网络安全系统间的资源共享,能力自生长;拟定标准规范、系统接口,实现资源整合;建立一点受攻击,多点支援的协同体系。

  应对之道3:知识共享。利用集体智慧,实现人才联盟化,遇到大规模网络安全事件的时候,发挥团队力量,创造网络安全大兵团作战模式。

  应对之道4:安全服务专业化。云计算、云安全是下一步的大势所趋,只有专业的人才能做专业的事,不可能每个部门都建立专业的安全服务。那么,构建基于互联网的云安全服务能力,通过细分网络安全服务,形成专业化的网络安全应急服务体系。