国家计算机病毒处理中心副主任张健主题演讲
来源:搜狐 更新时间:2012-04-14
国家计算机病毒处理中心副主任张健主题演讲 


  2005年12月21日,“2005年中国电信业网络与信息安全研讨会”在京召开,来自信息产业部、科技部及公安部等部门的领导,及电信运营商、设备商、网络增值服务商等共同就电信、网络安全进行探讨,从信息监管政策、应急措施等方面作了深入交流,共同倡议构建安全网络,服务和谐社会。

  国家计算机病毒应急处理中心副主任张健:

  各位专家、领导下午好!今天我给大家介绍的题目是计算机病毒和有关软件的发展趋势和我们采取的应对监管措施。

我们过去的名称叫计算机病毒,实际上从我个人来讲我们对计算机病毒这个词现在感觉到已经不太满意了,因为现在计算机病毒表述的内涵和外延发生了很大变化。所以我们在一些技术类包括企业宣传里都会看到一些新的词,就是我后面用的叫做“恶意软件”。报告开始我首先回顾一下今年11月初的时候国家信息化领导小组召开的一次会议,这个会上原则通过了一些国家的信息化发展战略。对咱们国家信息化发展有很多新的提法,我们非常注重的就是对于信息安全的一些观点。这里提到“要注重建设信息安全保障体系,实现信息化与信息安全协调发展。我们这次大会主题跟这个目标也刚好切合。我们现在的网络是否很安全?构建安全网络从提法来说也就是我们现在的网络是不安全的才提出这个目标,将来要构建一个安全的网络。为什么这个网络不安全,当然这个会有很强的电信的背景,但是在这儿说点可能电信不爱听的话,就是安全的问题究竟谁来负责?安全是由我们每个用户负责,还是由网络运营商负责?这个问题现在是各扫门前雪,因为用户你知道网络不安全,所以你会购买一些防病毒、安全类的软件包括一些设备,来加固保证自己的系统。就是意味着我们使用的互联网它是不安全的。在国外,去年的时候日本它的信息产业部门也提出了建设目标,建设一个安全的网络。是什么意思呢?它就期望我们将来能建设成一个网络,用户无需再去安装防火墙、防病毒软件,就是机器接到我们这儿就是可以安全的使用我们的网络。对运营商的安全等级进行一些认证,比如说网络是几级的,我可以给你认证有没有病毒?有点类似我们对产品进行化验一样,我们现在使用的网络就像我们使用的“自来水”一样,剩下的事是你在家净化、消毒再喝,还是把水通过水厂已经净化好了,到你那儿一拧水龙头有可以用。今后如何构建安全网络,当然可能大家有不同的见解,运营商有运营商的想法,用户有用户的想法,作为安全主管机关要有相当的措施和措施解决这些问题。

  今天论坛提出这个主题可能是在这方面有中重大的转变,构建这个安全网络是包括安全产品包括操作,包括网络生产设备的厂商共同来做。我们希望我们的网络能为今后的经济发展和和谐社会的建设能够真正发挥它的作用。而不是现在我们看到的在网络上可以进行造谣、煽动、网络盗窃等各类情况现在在互联网上都可以感到,我们要改变这种情况。

  下面我把公安部对网络安全调查的情况给大家公布一下

  今年的调查结果可以看到,安全事件是如何发现的?这里列举两个最多,一个是安全产品,一个是通过网络系统管理员工作者发现的,他们能够首先能感觉到网络出现的异常。

  第二个对网络安全事件进行了一些分类:可以看到主要的问题还是病毒、蠕虫、木马。病毒的感染率今年略有下降,我们从01年有这个调查活动开始,一直维持在80%左右,今年稍微有点下降这是一个比较好的消息,但是不能乐观,比例还是很高的。而且跟国外这个比例相比我们国内确实高很多。我们今年互联网用户已经是1.3亿了,互联网新增用户非常多,他对安全防范的意识和相关产品应用都有很大的问题,所以导致我们网络病毒的感染率一直居高不下。

  病毒感染的重复次数:达到了50%。03年的时候更高,现在稍微有一些下降。我们虽然采取了很多方法,我们也遭受过病毒的侵袭,但是后面相应的措施还是不得力,因为后面还导致了重复的感染。所以目前这种形式对当前所采用的防病毒的体系或者产品是否存在一些问题?或者用户本身在安全防范意识上存在着漏洞,这是我们需要解决的问题。病毒感染一般在每年4、5月份是一个高发期。还有一个小的高潮期是在每年的10-11月,是有一定的时间上的特点的,但并不完全是。当年蠕虫就是在1月25号出现的。

  病毒造成的损害:一种是系统无法使用,一种是一些数据部分丢失,或者有些数据全部丢失、而且有些用户的系统是被远程的,从呢那儿盗取了很多敏感的信息。所以从整个发展趋势来看今后的病毒和现在的病毒可能会有很大的宾馆,后面我会给大家详细介绍。

  病毒的感染途径:主要以网络为主。虽然现在看到和光盘磁盘这些介质已经很小了,但是不能掉以轻心。今年我们发现了移动硬盘,或者USB这样的存储设备里面可以嵌入一些木马程序,当插入机器上的时候会自动形成一个程序自动安装,盗取一些敏感的信息这种情况现在也是很多。所以我们对USB盘的使用,尤其有些单位也利用移动存储设备,这些设备在跟外网接触的时候,如果有病毒在内网使用的时候有可能会造成损害。所以大家要注意。

  (图)大家有的时候总在说很多厂家尤其是一些国际性的厂家,大家都说由于互联网的高速发展,现在网络病毒国际化趋势是很强大的但是我们通过调查掌握的情况来看,包括现在对检验所用的病毒样本库结构来看每个地区每个国家是有个性的,并不是完全是国际化的。国际化病毒也有,但是在我们这儿这种病毒也是排在很前面,但是针对我们本土应用的一些病毒额很流行。网络虽然把全世界联在一起了,当病毒出现以后它也可以在这个地区大量的传播。但是我们也要认识到,很多病毒是针对本地区的应用来的,危害性更大。我们今年调查的时候发现很多病毒包括“僵死网络”出现了很的,包括“木马”类的东西,盗取敏感的信息也很多。国外根本不用木马只有我们这儿有,包括有一个QQPAS是专门盗取QQ号的,所以我们不能强调病毒的国际化还要强调本土性,这样我们的防治才能有针对性。

  安全事件:

  最近英国破获了一起网上抢劫,就是利用互联网进行网络盗窃。第二个,以色列有一个商业间谍,利用黑客的技术进行情报活动,也可以作为军事上使用,那就是军事间谍了。所以美国国防部一些网络和系统也频频遭受一些黑客的冲击。今年美国也说中国的黑客入侵他们了,去年韩国也说来自中国的黑客入侵了他们的系统,盗取了原子能。所以在整个全球的网络里不管这个事情是真还是假,今后确确实实针对网络各种对于信息的盗取,通过网络来实施是完全可能的。所以我们总是在研究网络安全的时候,今后还会出现哪儿安全问题?我们也需要思考。我们感觉互联网的安全问题不能单纯的是一个技术问题,它应该是一个社会问题。通过现实社会和虚拟社会的对比去看的话,会发现很多虚拟社会没有的事情。随着网络技术不断发展使之它可以变成现实。可以看到过去现实生活里有造谣生事、有从事各类的诈骗活动、盗窃活动、还有对人进行攻击等等,现在在虚拟社会里完全也可以找到这些东西,而且发展趋愈演愈烈。在网上进行造谣比传统的传播方式要快得多,网上盗窃也是很多的,将来我们在网上的资产越来越多,所以这类活动也会越来越多。所以网络的安全可不是一个技术上的安全就能解决的问题,它需要有一套法律、管理各方面的体系做保证。同时还有一个重要的因素就是人得参与进去,就是我给你发一个邮件,很明确有的用户认为它是病毒,但是我会把它删掉了,但是有一些用户怎么跟他说他可能也会好奇心驱使就把这个附件打开了,这样后面可能就中毒了。这不光是纯的技术问题,甚至有的杀毒软件报警了他也会打开,除非有一种措施就是全部滤掉你不能看到,但是这是不可能的。

  互联网将来的安全问题是一个大的社会共同的问题不能光靠技术解决。

  后面还有几个属于当前网络上曾经出现的一些热点问题,比如说每天可能都有上百万个机器成为“僵死网络”对象,被人操作、控制,被人利用攻击其他的机器。即时通讯工具也是一个挠头的事情,它也可以作为一个病毒传统的快捷的通道。今年6月份的时候索尼公司为了保护它的数字版权,使用了Rootkit技术,就是利用很系统级的功能让自己很多功能藏起来别人不能发现。用这种技术保护自己的版权,就是使用了CD之后,装上之后他就自动生成一些相应的程序,当你要拷贝的时候他可以禁止使用他的光驱等等。这本身是在保护自己,但是使用的这种方式很多杀毒厂商把它列为了恶意软件。就是把它的注册表处理之后不想使用这个软件会发现这个机器不正常,这个技术也意味着我们现在有时候也很彷徨。今年有些厂家提出了“恶意软件这个词”现在有很多为了保护自己所采用的方式,可能会使用病毒或者黑客的手段。这样反而把自己也把自己变成恶意软件了,成为了杀毒软件想要清除的。所以很多应用保证为了安全采取一些防卫的措施,或者是在维护自己的法律权益的时候可能违反了相关的法律。所以现在有很多软件开发,像我们在安装自己的时候把别人屏蔽掉,或者争夺系统的某个资源在系统里来回打架,用户成了他们的战场。所以这样的问题我们作为一个检验机构也一直在考虑,将来如何解决这些问题?或者是如何有一个规则来解决这些问题,有利于网络净化的环境。

  今年美国FBI也破获了一些针对编制病毒的犯罪团伙,这些团伙他们背景就是国际的一些金融犯罪集团。他通过蠕虫散布出去之后盗取一些信用卡和帐号的信息,通过这些信息进行犯罪活动。从这个趋势来看,病毒的时代现在是结束了,真正恶意软件的时代降临了。现在很多新的问题不是像传统的那种病毒,过去的病毒它的定义是主要以系统里的文件作为感染的目标。现在行业内部,包括整个反病毒领域提出了“系统感染”,过去感染是文件,现在是把整个网络作为攻击目标,将来攻击的是系统感染。就是病毒未必能再去感染系统里的文件,只要在系统里能找到落脚之处,随着系统的运行就可以拿到运行权,我可以对你的系统内部进行破坏。这是今后的发展,我们可以通过这种对比,计算机病毒过去和现在都有哪些特点?

  过去是病毒多、木马少。过去是针对各类脚本的病毒是非常多的,都是针对不同的格式来感染的,那个时候木马比较少,因为网络不发达,很难通过邮件蠕虫方式传播,现在我们看到的大量的非传染性的恶意软件,它在网络上可以复制。过去的病毒有明显的破坏性,造成数据丢失。比如单月6号的时候把Word文档删除,不能恢复。现在的病毒是隐蔽性的,不能说破坏程序为主要的目的,他是准备在里面偷点什么东西这是根本意义。过去病毒是一些恶作剧和造成破坏,现在都是网络盗取和远程控制。过去都是无货利但很自豪,现在的病毒主要目的是要真正得到一些东西,也可能是经济利益也可能是其他的政治性的东西。

  现在恶意软件主要的传播途径:

  1、是大量的电子邮件,有很多就是通过垃圾邮件的传输把很多恶意软件包括病毒等等进行传播。

  2、我们常用聊天室,以及MSN等即时和很多网站也是病毒的藏身地。过去互联网在净化上确实发挥了很大的作用,原来网站是不备案的,自己可以随便申请一个就可以开,那时候个人的网站很多,向去年我们通过联系几次对有害信息的整顿,把含有有害信息的网站都清除掉,新的网站要注册、登记才能开。过去那个时代自己的网站就可以把病毒搁在那儿,通过聊天工具发布地址,一旦访问他的网站你的注册表可能被修改。有很多过去我们所说的上网助手工具就是为了清理这些东西的。现在经过打击以后这类网站确实很少了,取而代之都是合法的有正常身份的网站。但是网站和网站不一样,有很多网站安全防范措施不得力。过去是自己就能做现在不让我做了,就在网上找漏洞,谁的安全性能差就写一条藏进去,等再访问他的时候,你这台机器肯定被受控了。所以要强调它是有隐蔽性,是为了获取更大的利益。

  还有一个就是一些大量盗版软件,这些软件可以自由下载不花钱,但是这些软件可以做手脚。

  总结起来网络安全的提高:

  黑客、木马和间谍软件数量大幅度增长、Botnet日益严重、IM和P2P软件成为传播病毒主要途径、Rhishing成为新的网络公害、病毒的目的性越来越强、手机病毒提高防范程度,这个要特点强度一下,将来是无线互联网时代,那个时候手机是标准的终端,手机病毒现在已经开始出现,但是目前来说危害性还不大,因为功能有限。但是随着手机操作系统性能不断提高,硬的东西少了,软的东西增加之后,手机可能成为跟每一个用户细细相关的东西。如果那个问题解决不了,将来很多问题都解决不了,而且手机实名知的问题,实际上跟无线互联网也有密切的关联。如果互联网真正能实行实名制很多安全问题也可以解决,要对网络上你的每一个行为要负责任,能够溯源追踪到你,这样很多问题是可以解决的。但是大家说网络是自由的环境,现在我说一句不好听的话都能找到我,就没有言论自由了。如果像现在无度的,这个网络可能是不可用了。

  网络欺诈:现在网上电子商务越来越多了,这个问题现在很严重,今天上午公安部赵处长有一个报告介绍国内网络反对等等,这个确实很严峻。国外有一些相应的机构处理这类的事件,我们国内公安部也在积极倡导接受用户的报告,现在网络欺诈主要有垃圾邮件、社会工程、或者是木马、病毒、黑客攻击等等。现在网络钓鱼都是把病毒跟黑客结合在一起进行破坏,比如直接把你的DNS直接指向他的网站,可以达到欺骗的目的。包括键盘截获的方式窃取你的密钥。

  去年我们成功申报了国际AVAR2005大会,这个大会主题就是从有线到无线的网络安全。

  我们目前重要的一项工作就是积极建立我国的病毒监测预警体系,我们希望通过这个体系快速的捕捉到发现网上出现的问题,提高反应的速度。(图)这是我们在一个典型的区域网络里进行的一些实验,而且我们现在也公布了从事网络欺骗举报的一些信箱。

  我们中心目前也在积极建设网络服务中心,这个问题怎么提出的呢?就是基于前面的调查用户所面临的现实问题,用户现在花很多钱买了很多安全的设备,尤其是防病毒的软件等等,但是病毒来了用户还有可能遭受到破坏,所以我们想能不能建立这样一个平台,利用这个平台把反病毒、数据恢复企业等作为这个平台的支撑。过去企业通过什么实现技术呢?就是通过产品。现在光通过产品还不够,我们希望通过前期的评估、后期的演练、预警等形成一个体系,通过时时才线的服务提供给用户。也就是说将来也有可能出现用户不再以采用产品为主,现在服务业是在我们未来国家发展战略里很重要的环节。因为服务业在我们国家一直比较落后,尤其跟印度相比他们的很多外包服务是非常发达的,我们国家对于服务用户接受这个理念还需要一个时段。将来用户可能不必考虑安装谁的产品,可能要考虑是谁的服务,具体服务部门根据产品的理解来选择把这些产品作为他提供给用户的一种工具。

  将来把信息安全和保险也可能要结合在一起,这个国外已经有尝试了,国内这块还是空白。我们中心这些年一直提供快速的应急组制。今年中科院院长也专门到我们中心做过一些考察指导。我们现在通过中央电视台这些媒体,包括新华社,每周日向全国发布病毒疫情,希望通过这种手段提高用户对病毒的预防能力。但是目前的监测体系还依靠的是人员和防病毒厂商将来整个防病毒体系建立起来以后我们在网上有一些自动监测的手段,那时候反应的速度和应急处理能力就会提高了。在06年的时候我们在包括病毒预报和监测的准确性方面会有更大的提高,也希望给用户提供更好的服务。我的报告就到这儿,谢谢大家!