演講內(nèi)容下載oweroinresenai

網(wǎng)絡(luò)安全挑戰(zhàn)與應急處理國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中（CNCERT/CC）運行部主任杜躍進博士2004年10月.廣西報告內(nèi)容網(wǎng)絡(luò)安全威脅：從用戶到網(wǎng)絡(luò)網(wǎng)絡(luò)安全挑戰(zhàn)：可否贏得這場比賽？網(wǎng)絡(luò)安全的幾個誤區(qū)：錯誤的理解正確理解應急處理：讓網(wǎng)絡(luò)安全成為運行的“過程”經(jīng)驗與教訓：迎接當前挑戰(zhàn)的幾大關(guān)鍵要素國內(nèi)外現(xiàn)狀和趨勢簡介網(wǎng)絡(luò)安全不再是事不關(guān)己的故事黑客到底有多黑？網(wǎng)絡(luò)原子彈：10分鐘之內(nèi)讓全世界癱瘓偽裝攻擊：肆無忌彈數(shù)字“特洛伊”：遠古手段的現(xiàn)代演化“釣魚”活動：日益活躍的陷阱“信息爆炸”的時代：垃圾郵件的“貢獻”“禁毒”：全世界的持久戰(zhàn)盲區(qū)：損失多大？網(wǎng)絡(luò)安全不再僅僅是終端的事網(wǎng)絡(luò)成為一種關(guān)鍵基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的癱瘓帶來嚴重影響生產(chǎn)停頓；交易中斷；招生、科研、旅行、etc.傳統(tǒng)的很多概念受到挑戰(zhàn)防病毒不再是全部別人的主機不安全，也會影響到自己網(wǎng)管成為網(wǎng)絡(luò)安全保障的前線網(wǎng)絡(luò)供應商需要為網(wǎng)絡(luò)的安全運行提供保障Etc.為什么還不安全？領(lǐng)導重視了資金到位了設(shè)備購買了方案論證了可是…………..為什么還出事?!關(guān)鍵是速度Response‘intime’istheKEY:RtPtEqualstoSecureThekeyis:whetheryoucanresponseeffectivelyandquicklyenough（stoptheattackingbeforethedamage–thatyoucannotbear,accordingtoyoursecurityplan—iscaused）Catchthetheftbeforeyourthingsarestolen!Challengesforbeing‘intime’TheraceAttackers：VulnerabilitydiscoveryAttackingcode（malware）programming(alittlebittesting,maybe)ReleasemalwareDefenders：VulnerabilitydiscoveryInformationdeliveryPatchdevelopmentPatchdeliveryRiskscanAttackingmonitoringMalwareanalysisPropagationControlPatch&toolsdeliveryInfectedcomputersrecoveryUpgrade&adjustment/evaluationHowfastareourenemies?Vulnerabilitydiscovered:atanytimeNewattackingmalwareappear:fewweeksafterthevulnerabilityispublished（stillbecomingshorter）NOW0-DAYATTACKappears10to30minutesisenoughforanewwormtomakethewholeInternetcongested(alsomightbeshorter)

Well,howfastcanwebe,then?Whatwearefacing:Thenetworkwearegoingtoprotect:87millionNetizensMorethan36milliononlinecomputersMorethan600,000websitesNearly54Ginternationalbandwidth（fromCNNIC,14thsurveytillJune30.2004.each

figureisincreasingdramatically!）Thousandsofvulnerabilitiesarereportedeachyear(accordingtoCERT/CC)PeopleNEVERpatchorupgradeintime(accordingtothereality.butmaybetheyshouldnotbeblamed)Thewholeworldisconnected,attackingmightcomefromanycorneratanytimeWeNEVERhaveenoughqualifiedsecuritystaff(doyouhaveasupermanwhoknowseverythingandneverneedarest?)……Dowehaveanychancestowin?Don’tknowactually.Butanyhow,itseemsthatwedoneedsomenecessariestomakethingsbetter一些主要的誤誤區(qū)要是用戶都及及時打補丁……買了更好的產(chǎn)產(chǎn)品，可以高高枕無憂了……找個高手，解解決問題……內(nèi)外網(wǎng)隔離，，還怕什么？？……正確理解應急急響應安全是一個動動態(tài)的過程“動態(tài)”的問問題：網(wǎng)絡(luò)和系統(tǒng)的的組成和變化化（結(jié)構(gòu)、地地址、甚至操操作系統(tǒng)）應用的變化（（內(nèi)部應用的的增加或者減減少）用戶的變化（（用戶的群體體和個體行為為屬性的變化化）外界威脅的變變化（新的漏漏洞、新的攻攻擊方法、etc.）安全不是一個個靜止的“狀狀態(tài)”，而是是一個動態(tài)的的過程。什么是應急響響應調(diào)查：我們有有多少人知道道應急響應？？多少人知道道CERT/CSIRT？應急處理實際際上是網(wǎng)絡(luò)安安全保障“工工作”的具體體體現(xiàn)。各種種防護方案、、安全設(shè)施、、策略規(guī)定等等，廣義上都都可以理解為為應急處理工工作的一部分分。而完整的的應急處理工工作的各個階階段，則體現(xiàn)現(xiàn)了網(wǎng)絡(luò)安全全保障的不間間斷的“過程程”。實踐：及時發(fā)發(fā)現(xiàn)是安全保保障的第一要要求根本性的問題題在于當事件件發(fā)生的時候候，有關(guān)人員員能否及時發(fā)發(fā)現(xiàn)，以及能能否做出準確確判斷問題1：局部網(wǎng)絡(luò)安安全策略的維維護、日志分分析、報警數(shù)數(shù)據(jù)處理；問題2：局部數(shù)據(jù)只只能反映片面面的情況，如如何作出全局局的判斷；問題3：網(wǎng)絡(luò)世界和和現(xiàn)實世界的的一個不同之之處是，受到到事件影響的的用戶自己經(jīng)經(jīng)常并不明白白發(fā)生了什么么事情，因此此，完全依賴賴用戶投訴作作為發(fā)現(xiàn)手段段是不現(xiàn)實的的。對紅色色代碼碼、SQLSLAMMER等事件件的處處理過過程，，證明明了網(wǎng)網(wǎng)管人人員及及其工工作在在應急急工作作中的的重要要性；；也證證明了了數(shù)據(jù)據(jù)情報報及時時匯總總分析析的重重要性性。事后：：部分分用戶戶投訴訴事件件；事中：：大規(guī)規(guī)模網(wǎng)網(wǎng)絡(luò)攻攻擊事事件、、部部分用用戶投投訴事事件事前：：異常常檢測測的分分析結(jié)結(jié)果、、關(guān)關(guān)聯(lián)事事件、、根根據(jù)其其他情情報獲獲悉從實踐踐中獲獲得的的經(jīng)驗驗和教教訓歷史教教訓：：2001.CodeRed/Nimda當時的的組織織：CNCERT/CC；CCERT當時的的效率率：掌握情情況需需要兩兩天：：通過過開會會的方方式了了結(jié)全全面的的情況況控制局局面：：缺乏乏有效效的機機制2001年紅色色代碼碼和尼尼姆達達事件件處置置的教教訓掌握信信息的的準確確性和和完整整性與與時間間上的的要求求之間間的矛矛盾處置遇遇到的的困難難技術(shù)上上的教教訓：：大規(guī)規(guī)模安安全事事件的的危害害嚴重的的網(wǎng)絡(luò)絡(luò)阻塞塞甚至至癱瘓瘓應用用中中斷斷危危及及經(jīng)經(jīng)濟濟和和生生活活的的很很多多方方面面大量量主主機機面面臨臨嚴嚴重重的的信信息息泄泄漏漏威威脅脅舉措措：：成成立立了了早早期期的的應應急急處處理理體體系系支撐撐協(xié)調(diào)調(diào)/指導導/信息息產(chǎn)產(chǎn)業(yè)業(yè)部部互互聯(lián)聯(lián)網(wǎng)網(wǎng)應應急急處處理理協(xié)協(xié)調(diào)調(diào)辦辦公公室室領(lǐng)導導協(xié)調(diào)調(diào)各骨骨干干網(wǎng)網(wǎng)的的CERT國家家計計算算機機病病毒毒應應急急處處理理中中心心國家家計計算算機機網(wǎng)網(wǎng)絡(luò)絡(luò)入入侵侵防防范范中中心心國家計算算機網(wǎng)絡(luò)絡(luò)應急技技術(shù)處理理協(xié)調(diào)中中心(CNCERT/CC)歷史教訓訓：國際際方面1988年11月：Morris蠕蠕蟲：主主體癱瘓瘓幾周后，，CERT/CC成立立其后的兩兩年，CERT組織紛紛紛出現(xiàn)現(xiàn)1989年10月：Wank蠕蟲：：發(fā)現(xiàn)CERT組織之之間的溝溝通與合合作非常常必要1990：FIRST成立FIRST依然然存在不不足正面經(jīng)驗驗：2003.SQLSlammer/口令蠕蟲蟲組織：CNCERT/CC；CCERT；各運營營商CERT；國際組組織效率：兩兩小時判判斷情況況，半天天控制局局勢總結(jié)：應急體系系發(fā)揮了了重要作作用潛在的問問題還有有很多SQL殺殺手蠕蠕蟲事件件2003年1月25日發(fā)作造成大面面積網(wǎng)絡(luò)絡(luò)擁塞，，部分骨骨干網(wǎng)絡(luò)絡(luò)癱瘓韓國網(wǎng)絡(luò)絡(luò)基本處處于癱瘓瘓狀態(tài)我國境內(nèi)內(nèi)感染主主機22600余臺2003年1月：應急急體系發(fā)發(fā)揮顯著著作用，，通力合合作初顯顯成效，，各運營營單位的的CERT組織、網(wǎng)網(wǎng)管人員員通力合合作，互互通消息息和經(jīng)驗驗，降低低了損失失和影響響，不僅僅做到及及時發(fā)現(xiàn)現(xiàn)，而且且能夠及及時分析析和響應應口令蠕蟲蟲事件2003年3月月8日出出現(xiàn)，主主要在教教育網(wǎng)中中蔓延，，部分大大學校園園網(wǎng)絡(luò)癱癱瘓后蔓延到到電信、、聯(lián)通、、移動、、鐵通、、網(wǎng)通等等多個網(wǎng)網(wǎng)絡(luò)，感感染服務務器41207臺進一步發(fā)掘掘了對大規(guī)規(guī)模網(wǎng)絡(luò)安安全事件的的宏觀處置置能力?？诹钊湎x數(shù)據(jù)據(jù)分析合作體系的進進一步完善2003年的事件，對對2002年建立的合作作體系是一個個考驗在取得成功經(jīng)經(jīng)驗的同時，，也發(fā)現(xiàn)了新新的問題和不不足2003年下半年至2004年初，在中編編辦、國信辦辦、信產(chǎn)部等等的支持下，，我國形成了了一個更加完完整的公共互互聯(lián)網(wǎng)應急處處理體系面臨的挑戰(zhàn)：：當前網(wǎng)絡(luò)安安全事件的特特點攻擊者可以輕輕易地施行跨跨網(wǎng)、跨國攻攻擊可能在任何時時間發(fā)生攻擊擊攻擊往往通過過一級或者多多級跳板進行行大規(guī)模事件出出現(xiàn)日益頻繁繁傳播速度越來來越快組合攻擊開始始出現(xiàn)蠕蟲驅(qū)動的DDoS攻擊威脅更大大有組織犯罪的的威脅更大面臨的挑戰(zhàn)：：現(xiàn)狀蠕蟲傳播的速速度更快破壞壞性更強漏洞出現(xiàn)到攻攻擊代碼出現(xiàn)現(xiàn)之間的間隔隔越來越短漏洞發(fā)現(xiàn)的數(shù)數(shù)目越來越多多網(wǎng)絡(luò)主機越來來越多信息網(wǎng)絡(luò)的重重要性越來越越高國家公共網(wǎng)絡(luò)絡(luò)應急處理能能力建設(shè)組織體系：技技術(shù)上的協(xié)調(diào)調(diào)與支持，更更早地獲得預預警信息技術(shù)平臺：安安全保障的基基本武器，事事件處理的基基礎(chǔ)設(shè)施流程與規(guī)范：：讓應急處理理‘運轉(zhuǎn)’起起來基礎(chǔ)資源：厚厚積薄發(fā)的彈彈藥庫從微觀到宏觀觀準備：協(xié)作體體系、應急制制度、信息數(shù)數(shù)據(jù)和技術(shù)的的共享渠道與與機制、總體體能力建設(shè)、、法律法規(guī)確認：快速+全面+準確的矛盾控制：大范圍圍的協(xié)作、效效果監(jiān)測、應應用情況、權(quán)權(quán)衡根除和恢復：：宣傳、檢查查、CIIP和社會用戶的的不同做法技術(shù)平臺的作作用掌握整體的安全全狀況：動態(tài)：全面：快速：準確：早期預警處置效果的觀觀察紅色代碼的監(jiān)監(jiān)測9月2日-9日，監(jiān)測到48,414個感染服務器變化情況分布情況監(jiān)測到的攻擊擊1,024,013次，實際攻擊擊次數(shù)估計為為該數(shù)據(jù)的數(shù)數(shù)百倍。紅色代碼對不不同地區(qū)的影影響程度6.3-6.5PCT協(xié)議遠程緩沖沖區(qū)溢出漏洞洞數(shù)據(jù)CNCERT/CC目前具備的主主要能力大規(guī)模異常事事件的發(fā)現(xiàn)能能力理論上確認大大規(guī)模網(wǎng)絡(luò)安安全事件所需需要時間不到到原來的十分分之一重大網(wǎng)絡(luò)安全全事件的初步步監(jiān)測分析能能力包括感染范圍圍和速度、控控制效果、對對網(wǎng)絡(luò)的影響響情況等攻擊事件的分分布式自動驗驗證拓撲發(fā)現(xiàn)和定定位分析分布式問題網(wǎng)網(wǎng)站發(fā)現(xiàn)系統(tǒng)統(tǒng)實例.特征：惡意代代碼監(jiān)測名次病毒名發(fā)現(xiàn)次數(shù)源節(jié)點數(shù)1Worm.Win32.WelChia.Scahellcommand41533IIS-DECODE432434systempath29735systempath29636IIS-unicode220837IIS-Worm.CodeRed.c125248IIS-DECODE311839IIS-DECODE198310IIS-DECODE5983時間：2004年6月11日實例.流量：LSASS系列蠕蟲實例.流量：MSBLAST系列04年1月1日起，數(shù)據(jù)據(jù)明顯降低實例.流量：蠕蟲引引起流量異常常2004年3月9日下午發(fā)現(xiàn)整個流量量漲幅較大，，并且UDP數(shù)據(jù)超過TCP和HTTP的流量定為異常，啟啟動進一步分分析，發(fā)現(xiàn)大大量報文目的的端口為1434報文分析確認認為SQLSLAMMER實例.分布布：：蠕蠕蟲蟲形形成成的的數(shù)數(shù)據(jù)據(jù)報報文文分分布布屬屬性性SQLSLAMMER攻擊擊報報文文的的分分析析結(jié)結(jié)果果：：目的的地地址址十十分分分分散散源地地址址相相對對比比較較集集中中UDP，目目的的端端口口1434Witty蠕蟲蟲由由于于其其自自身身特特點點，，表表現(xiàn)現(xiàn)得得更更加加明明顯顯實例例.分布布：：DDoS形成成的的分分布布屬屬性性2004年4月16日發(fā)現(xiàn)現(xiàn)ICMPtype=0流量量上上升升異異常常進一一步步分分析析，，發(fā)發(fā)現(xiàn)現(xiàn)Ping回答答數(shù)數(shù)據(jù)據(jù)量量不不正正常常，，對對報報文文屬屬性性分分析析認認為為是是對對目目的的地地址址（（美美國國））的的一一次次PingFlood攻擊擊國際際方方面面的的情情況況韓國國、、日日本本巴西西、、馬馬來來西西亞亞澳大大利利亞亞泛美美GlobalProblem,GlobalSolution：跨跨國國進進行行的的計計算算機機攻攻擊擊事事件件的的處處理理推推動動了了國國際際應應急急組組織織的的合合作作FIRST/APCERT/EGC/TF-CSIRTCNCERT/CC的的國際合合作2002年成為FIRST的正式成成員發(fā)起成立立亞太地地區(qū)應急急處理合合作組織織APCERT正在開展展的中日日韓的合合作中國-東盟的合合作意向向2003年度工工作報報告響應式服務預防式服務安全質(zhì)量管理服務警報和警告事件處理事件分析現(xiàn)場事件響應事件響應支持事件響應協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應安全漏洞響應協(xié)調(diào)Artifact處理Artifact分析Artifact響應Artifact響應協(xié)調(diào)公告技術(shù)監(jiān)視安全審計評估安全工具、應用程序和基礎(chǔ)設(shè)施的配置和維護安全工具的開發(fā)入侵檢測服務與安全有關(guān)的信息的傳播風險分析服務持續(xù)性和災難恢復規(guī)劃安全性咨詢建立安全意識教育/培訓產(chǎn)品評估或認證CNCERT/CC目前提供供的服服務：：2003年工作作報告告：大大規(guī)模模蠕蟲蟲事件件處理理SQLSLAMMER蠕蟲；；口令蠕蠕蟲；；紅色代代碼F變種；；沖擊波波等蠕蠕蟲；；2003年工作作報告告：DDOS事件處處理3月底，，某亞亞洲地地區(qū)業(yè)業(yè)務量量排名名第二二的商商業(yè)網(wǎng)網(wǎng)站受受到有有組織織持續(xù)續(xù)性拒拒絕服服務攻攻擊。。5月中旬旬，某某市政政府信信息網(wǎng)網(wǎng)絡(luò)遭遭拒絕絕服務務攻擊擊，癱癱瘓8小時以以上，，嚴重重地影影響了了政府府依托托電子子政務務外網(wǎng)網(wǎng)平臺臺的相相關(guān)業(yè)業(yè)務和和86個政府府網(wǎng)站站的正正常運運行。。5月中旬，某某省信息港港網(wǎng)站受到到拒絕服務務攻擊。5月下旬，某某省廣播電電視網(wǎng)遭有有組織拒絕絕服務攻擊擊。7月初，博客客中國遭拒拒絕服務攻攻擊。7月底，某為為政府提供供服務的大大型綜合網(wǎng)網(wǎng)站遭拒絕絕服務攻擊擊。8月下旬，中中國互聯(lián)網(wǎng)網(wǎng)協(xié)會網(wǎng)站站在公布垃垃圾郵件服服務器黑名名單后遭拒拒絕服務攻攻擊。拒絕服務攻攻擊日益頻頻繁，十分分猖獗阻止DDoS攻擊，關(guān)鍵鍵在于合作作DDoS攻攻擊之所以以難以高效效地防范，，原因在于于攻擊者可可以輕易地地使用偽造造地址發(fā)出出攻擊，使使得被攻擊擊者很難高高效地在自自己的網(wǎng)絡(luò)絡(luò)內(nèi)實施防防范RFC2827規(guī)定定了源地址址過濾的標標準，并且且得到廣泛泛的產(chǎn)品支支持，但是是只有大家家都啟用源源地址驗證證的功能，，才可能真真正發(fā)揮作作用合作作的的價價值值更更加加體體現(xiàn)現(xiàn)在在攻攻擊擊隔隔離離上上2003年度度工工作作報報告告：：篡篡改改網(wǎng)網(wǎng)頁頁事事件件廣西西某某市市政政府府網(wǎng)網(wǎng)站站被被篡篡改改5月19日，，廣廣西西某某市市的的一一個個政政府府網(wǎng)網(wǎng)站站服服務務器器所所發(fā)發(fā)布布的的三三十十個個政政府府網(wǎng)網(wǎng)頁頁均均被被黑黑客客篡篡改改；；立即即通通知知有有關(guān)關(guān)部部門門進進行行處處理理。。7月6日黑黑客客競競賽賽7月4日獲獲悉悉；；通報報各各運營商商；密切跟跟蹤規(guī)規(guī)模、、動態(tài)態(tài)：全全球約約有2600多個網(wǎng)網(wǎng)頁被被篡改改，但但都是是小型型網(wǎng)站站。2003年年中國國有435臺主主機上上的網(wǎng)網(wǎng)頁遭遭到篡篡改，，其中中包括括143個個主機機上的的337個個政府府網(wǎng)站站在內(nèi)內(nèi)。2003年度工工作報報告：：網(wǎng)頁頁欺詐詐“香港港賽馬馬俱樂樂部投投訴有有網(wǎng)站站假冒冒其名名義從從事非非法活活動””等三三個案案例：：我們們只是是調(diào)查查核實實，向向上反反映。。AUSCERT投訴訴兩兩網(wǎng)網(wǎng)站站欺欺詐詐活活動動事事件件12月8日接接到到投投訴訴；；調(diào)調(diào)查查核核實實；；分分析析認認為為相相關(guān)關(guān)主主機機很很可可能能是是遭遭受受到到黑黑客客攻攻擊擊后后被被人人利利用用；；協(xié)協(xié)調(diào)調(diào)運運營營商商、、分分中中心心處處理理；；位位于于江江蘇蘇和和云云南南兩兩不不法法網(wǎng)網(wǎng)站站分分別別于于9、10號被被關(guān)關(guān)閉閉；；12日得到部部分關(guān)于于被泄漏漏銀行賬賬號的信信息。HKCERT投訴一網(wǎng)網(wǎng)站冒充充eBay（經(jīng)營網(wǎng)網(wǎng)上購物物）網(wǎng)站站進行欺欺騙12月17日接到投投訴；調(diào)查核實實；協(xié)調(diào)調(diào)運營商商處理；；12月22日網(wǎng)通應應急組織織將被投投訴IP地址進行行處置。。2003年度工作作報告：：漏洞處處理對CiscoIOS漏洞的處處理7月17日公布；；通告運運營商；；啟動監(jiān)監(jiān)測。及時通報報運營商商微軟發(fā)發(fā)布的MS03-032、MS03-033、MS03-039、MS03-43、MS03-46、MS03-49等漏洞。。對IE瀏覽器存存在顯示示偽造地地址漏洞洞的處理理12月10日收到AUSCERT提醒關(guān)注注該漏洞洞的信；；漏洞還還沒有補補丁，但但攻擊方方法已經(jīng)經(jīng)公布；；高度重重視；目目前還在在密切關(guān)關(guān)注中。。2003年度工作作報告：：投訴事事件處理理應急事件非應急事件

事件分類

咨詢

病毒網(wǎng)絡(luò)攻擊垃圾郵件總計

月份國內(nèi)國外國內(nèi)國外國內(nèi)國外

1月

2

3422129475132月102

482

17266653月1521724

13586274月41

383

15654025月31159802168116996月1503753

137944137月635388131731101218月

1611415091153169439月

20

1542

2771839210月10

11067524813311511月9321032216012082312月

3611178227614663合計9712320108731721841329511603年一般投投訴事件件處理統(tǒng)統(tǒng)計和02年數(shù)據(jù)的的比較02年一般投投訴事件件處理統(tǒng)統(tǒng)計2003年度工作報告告:信息傳播公告及與安全全有關(guān)的信息息的傳播2003年自主獲取和和編輯的文章章年度安全事件件分析翻譯反計算