2009中國計算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會于2009年10月21日至24日在湖南長沙召開，本屆年會主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價值”，22日會議第一天，CNCERT副主任兼總工程師云曉春會上在發(fā)表主題報告時表示，政府網(wǎng)站仍然是黑客攻擊的重要目標(biāo)，建立開放的國家網(wǎng)絡(luò)安全應(yīng)急體系，是應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全事件根本保障。

    據(jù)來自CNNIC數(shù)據(jù)顯示，2008年，中國大陸被篡改網(wǎng)站的數(shù)量相比2007年相比下降了12%，總體上維持2007年的高位水平。2008年，中國大陸政府網(wǎng)站被篡改數(shù)量與2007年的3407個相比基本保持平穩(wěn)，各月累計達(dá)3595個。

    經(jīng)統(tǒng)計，每月被篡改的gov.cn域名網(wǎng)站占整個大陸地區(qū)被篡改網(wǎng)站的6.67%，而gov.cn域名網(wǎng)站僅占.cn域名的1.1%，因此政府網(wǎng)站仍然是黑客攻擊的重要目標(biāo)。

    云曉春表示，政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)。CNCERT監(jiān)測發(fā)現(xiàn)，某省國有資產(chǎn)監(jiān)督管理委員會網(wǎng)站遭黑客篡改在長達(dá)一個月時間內(nèi)未恢復(fù)，政府網(wǎng)站作為行政事務(wù)公開和政務(wù)信息發(fā)布平臺的服務(wù)意識仍舊比較淡薄。

    應(yīng)該說，這些年來國家和政府部門、各個信息系統(tǒng)部門，以及各個安全組織采取了一系列的措施來組織安全事件的發(fā)生，但安全事件仍然頻繁出現(xiàn)，網(wǎng)絡(luò)安全事件為何屢禁不止？

    云曉春給出了四點(diǎn)應(yīng)對之道：

    應(yīng)對之道1：建立相互協(xié)作、統(tǒng)一協(xié)調(diào)的工作機(jī)制。為應(yīng)對大規(guī)模突發(fā)網(wǎng)絡(luò)安全事件，構(gòu)建開放協(xié)作的應(yīng)急體系。

    應(yīng)對之道2：構(gòu)建開放協(xié)同的安全技術(shù)框架。建立開放協(xié)同的技術(shù)框架，實現(xiàn)各網(wǎng)絡(luò)安全系統(tǒng)間的資源共享，能力自生長；擬定標(biāo)準(zhǔn)規(guī)范、系統(tǒng)接口，實現(xiàn)資源整合；建立一點(diǎn)受攻擊，多點(diǎn)支援的協(xié)同體系。

    應(yīng)對之道3：知識共享、利用集體智慧，實現(xiàn)人才聯(lián)盟化，遇到大規(guī)模網(wǎng)絡(luò)安全事件的時候，發(fā)揮團(tuán)隊力量，創(chuàng)造網(wǎng)絡(luò)安全大兵團(tuán)作戰(zhàn)模式。

    應(yīng)對之道4：安全服務(wù)專業(yè)化。我們認(rèn)為云計算、云安全是下一步的大勢所趨，只有專業(yè)的人才能做專業(yè)的事，不可能每個部門都建立專業(yè)的安全服務(wù)。那么，構(gòu)建基于互聯(lián)網(wǎng)的云安全服務(wù)能力，通過細(xì)分網(wǎng)絡(luò)安全服務(wù)，形成專業(yè)化的網(wǎng)絡(luò)安全應(yīng)急服務(wù)體系。

    以下是CNCERT副主任兼總工程師云曉春發(fā)言實錄：

    主持人杜躍進(jìn)：開始第二階段的會議，有請CNCERT副主任兼總工程師云曉春做主題報告演講。大家歡迎！

    云曉春：大家好，我今天報告的題目是：共建共享、合作共贏，積極構(gòu)建國家網(wǎng)絡(luò)安全應(yīng)急體系。

    今天，今天的演講主要圍繞三句話展開，關(guān)于我國網(wǎng)絡(luò)安全：

    1、現(xiàn)狀：網(wǎng)絡(luò)安全事件此起彼伏、愈演愈烈

    2、問題：網(wǎng)絡(luò)安全資源分散、各自為戰(zhàn)，沒有形成合力

    3、倡議：整合資源，共建國家網(wǎng)絡(luò)安全應(yīng)急體系

    2009年上半年木馬、僵尸監(jiān)測情況如下：木馬控制端IP 地址總數(shù)為256158個，較2008年上半年下降8.5%。同時，被控制端IP地址數(shù)量有了大幅度地增加，被控制端IP地址總數(shù)為1867417個，較2008年上半年增長25.7%。

    今年上半年木馬控制的IP地址數(shù)量。僵尸網(wǎng)絡(luò)控制端總數(shù)為5887個，較2008年上半年增長了159%，有了一個大幅度的增加。那么，被控制端IP地址總數(shù)反而下降了，也有可能是隱藏性能變得更高了，被控制端IP地址總數(shù)為1784935個，較2008年上半年下降了14.7%。

    我們在各個省所發(fā)現(xiàn)的木馬控制端和被控制端IP地址數(shù)量是河南最多，自2003年CNCERT便開始監(jiān)測我國大陸網(wǎng)站被篡改情況。通過包括自主監(jiān)測在內(nèi)的各種手段，每日對中國大陸地區(qū)網(wǎng)站被篡改情況進(jìn)行跟蹤監(jiān)測，在發(fā)現(xiàn)被篡改網(wǎng)站后及時通知網(wǎng)站所在省份的分中心協(xié)助解決，力保被篡改網(wǎng)站快速恢復(fù)。2008年，中國大陸被篡改網(wǎng)站的數(shù)量相比2007年相比下降了12%，總體上維持2007年的高位水平。2008年，中國大陸政府網(wǎng)站被篡改數(shù)量與2007年的3407個相比基本保持平穩(wěn)，各月累計達(dá)3595個。經(jīng)統(tǒng)計，每月被篡改的gov.cn域名網(wǎng)站占整個大陸地區(qū)被篡改網(wǎng)站的6.67%，而gov.cn域名網(wǎng)站僅占.cn域名的1.1%，因此政府網(wǎng)站仍然是黑客攻擊的重要目標(biāo)。該數(shù)據(jù)來自中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2009年1月第23次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》。

    政府網(wǎng)站易被篡改的主要原因是網(wǎng)站整體安全性差，缺乏必要的經(jīng)常性維護(hù)，某些政府網(wǎng)站被篡改后長期無人過問，還有些網(wǎng)站雖然在接到報告后能夠恢復(fù)，但并沒有根除安全隱患，從而遭到多次篡改。CNCERT監(jiān)測發(fā)現(xiàn)，某省國有資產(chǎn)監(jiān)督管理委員會網(wǎng)站遭黑客篡改在長達(dá)一個月時間內(nèi)未恢復(fù)，政府網(wǎng)站作為行政事務(wù)公開和政務(wù)信息發(fā)布平臺的服務(wù)意識仍舊比較淡薄。

    2008年，捕獲惡意代碼樣本1,633,863 次，較07年增加31%。

    2008年全年整理發(fā)布漏洞信息101個，高危漏洞頻頻出現(xiàn)。

    SQL注入

    DNS緩存漏洞

    CISCO IOS產(chǎn)品協(xié)議漏洞

    Microsoft XML Core Services 漏洞

    ……

    日均捕獲樣本 4488 次

    日均捕獲新樣本 427 個

    為了加強(qiáng)對惡意代碼的監(jiān)測處理能力，國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)從2006年開始陸續(xù)在全國部署Matrix蜜網(wǎng)系統(tǒng)。通過對Matrix系統(tǒng)捕獲的惡意代碼樣本分析，可以掌握目前我國互聯(lián)網(wǎng)上主動式惡意代碼的傳播和利用情況。

    2009年上半年接收國內(nèi)外報告事件總數(shù)為9117件，比去年全年總數(shù)的5167件都多。國外投訴量猛增，達(dá)到8972件，增長最多的事件類型是垃圾郵件事件。除了垃圾郵件事件之外，主要投訴類型還包括：網(wǎng)頁掛馬事件、網(wǎng)絡(luò)仿冒事件和病毒、蠕蟲或木馬事件。

    每個月所投訴的示意圖，每月投訴少的都有上千件。

    2009年上半年重大網(wǎng)絡(luò)安全事件頻發(fā)，但始終存在“飛客”蠕蟲大范圍的傳播，飛客”蠕蟲(Conficker)在全球互聯(lián)網(wǎng)的大范圍傳播，感染主機(jī)超過3000萬臺，其中，中國大陸超過800萬臺，涉及眾多政府和重要信息系統(tǒng)部門。

    “5.19”暴風(fēng)影音事件，運(yùn)營商遞歸域名解析服務(wù)器重大網(wǎng)絡(luò)安全事件，影響多個省份，造成全國大面積斷網(wǎng)。 “6.25”廣東電信路由故障，6月25日，廣東電信路由設(shè)備故障，導(dǎo)致騰訊等擁有大規(guī)模用戶的業(yè)務(wù)系統(tǒng)受影響，造成較強(qiáng)用戶感知。7月域名解析軟件BIND9高危漏洞，7月28日域名解析系統(tǒng)軟件BIND 9存在的一個高危漏洞，易導(dǎo)致拒絕服務(wù)攻擊。

    這是今年上半年出現(xiàn)的幾個比較典型的安全事件，還有其他的安全事件在這里就不一一列舉了。

    應(yīng)該說，這些年來國家和政府部門、各個信息系統(tǒng)部門，以及各個安全組織采取了一系列的措施來組織安全事件的發(fā)生，但安全事件仍然頻繁出現(xiàn)，網(wǎng)絡(luò)安全事件為何屢禁不止？

    剛才，沈院士也說了，03年出臺了國家27號文，對中國網(wǎng)絡(luò)安全進(jìn)行了部署；還出臺了《木馬和監(jiān)測網(wǎng)站的處理機(jī)制》，但仍然是各種安全事件頻繁出現(xiàn)，為什么會這樣？我們認(rèn)為一個比較重要的原因是，大家雖然都很重視，努力建立網(wǎng)絡(luò)安全體系，但這種建設(shè)都是各自為戰(zhàn)，雖然每家都建了，但導(dǎo)致沒有形成合力，尤其是一些大規(guī)模的網(wǎng)絡(luò)安全事件又是群體性的，這種群體性的網(wǎng)絡(luò)安全事件各搞各的是不幸的，各掃門前雪難以獨(dú)善其身，個體的力量不能應(yīng)對復(fù)雜的網(wǎng)絡(luò)安全局面，單一的應(yīng)急組織無法包打天下。

    我們國家有一句非常有名的成語“城池失火、殃及池魚”。那么，互聯(lián)網(wǎng)本身是一個開放的、互聯(lián)、互通的環(huán)境，你試圖在開放、互聯(lián)、互通的環(huán)境下試圖只給自己劃一個圈，建立一個防御體系是沒有用的，因為任意一點(diǎn)出現(xiàn)問題后，無人可置身事外。

    有一個最典型的例子，即5.19事件的蝴蝶效應(yīng)：因暴風(fēng)影音軟件網(wǎng)絡(luò)服務(wù)的需要和缺陷，使得安裝有暴風(fēng)影音的電腦不斷發(fā)起域名解析請求，導(dǎo)致網(wǎng)絡(luò)癱瘓。由于暴風(fēng)影音本身只用了DNSPOD.COM，網(wǎng)絡(luò)斷裂的時候又是晚上8點(diǎn)在線網(wǎng)民觀看視頻最多的時候，DNSPOD.COM被人惡意大流量攻擊，承擔(dān)DNSPOD.COM網(wǎng)絡(luò)接入的電信運(yùn)營商斷掉了其網(wǎng)絡(luò)服務(wù)。DNSPOD網(wǎng)絡(luò)服務(wù)被中斷，諸多采用DNSPOD服務(wù)的網(wǎng)站無法訪問。采用DNSPOD服務(wù)的暴風(fēng)影音網(wǎng)站受到影響。這好象只是暴風(fēng)影音軟件網(wǎng)絡(luò)服務(wù)器出現(xiàn)問題了，但最后導(dǎo)致的是群體性網(wǎng)絡(luò)安全事件。

    在互聯(lián)網(wǎng)安全防御中，大家得認(rèn)識到了一點(diǎn)，人是對抗外界安全的決定因素。所以，很多企業(yè)想請幾個優(yōu)秀的人才，組建比較強(qiáng)的團(tuán)隊處理網(wǎng)絡(luò)安全事件，一般的網(wǎng)絡(luò)安全事件這種做法還是行之有效的。但是，現(xiàn)在很多重大安全事件已經(jīng)不是個體行為所能解決的。大家知道，現(xiàn)在有很多大規(guī)模的攻擊往往是有組織發(fā)出的，而且是群體范圍內(nèi)的大規(guī)模攻擊。在這種情況下，單靠某個個體的力量是沒法解決問題的。那么，就應(yīng)該有一個合作解決機(jī)制來對抗大規(guī)模網(wǎng)絡(luò)安全事件。

    互聯(lián)網(wǎng)安全隱患無處不在已形成完整地下黑色產(chǎn)業(yè)鏈，任一應(yīng)急組織都無法解決所有問題，從這里可以看出地下黑色產(chǎn)業(yè)鏈還是很完整的，有人管生產(chǎn)，有人管銷售，有人管利用，每一個環(huán)節(jié)都也形形色色的人在里面進(jìn)行操作。那么，在多環(huán)節(jié)下，多種人，多種技術(shù)綜合采納的情況下，任何一個單一應(yīng)急組織也無法解決這類網(wǎng)絡(luò)安全事件。應(yīng)該，我們要建立開放的國家網(wǎng)絡(luò)安全應(yīng)急體系，從工作機(jī)制、技術(shù)框架、專家平臺、服務(wù)體系幾個方面，通過大家的努力逐漸建立起開放的國家網(wǎng)絡(luò)安全應(yīng)急體系，來一起應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全事件。

    經(jīng)過這么多年的努力，我們現(xiàn)在已經(jīng)逐漸有了一個國家網(wǎng)絡(luò)安全應(yīng)急框架體系，在這個框架體系下，如CNCERT/CC，還有國內(nèi)各個應(yīng)急組織，還包括國家各個政府部門，以及國外的一些應(yīng)急組織和政府部門，大家都相互合作起來，一旦出現(xiàn)問題以后，利用這個框架體系及時處理一些問題。如今天出現(xiàn)的幾個大的網(wǎng)絡(luò)安全事件，也是在這種框架體系下解決的，大型的國際網(wǎng)絡(luò)安全事件也是通過國內(nèi)國外應(yīng)急組織一起來解決網(wǎng)絡(luò)安全事件。

    應(yīng)對之道1：建立相互協(xié)作、統(tǒng)一協(xié)調(diào)的工作機(jī)制。為應(yīng)對大規(guī)模突發(fā)網(wǎng)絡(luò)安全事件，構(gòu)建開放協(xié)作的應(yīng)急體系。

    通過這幾年的努力和研究，我們也建立了一支比較細(xì)的網(wǎng)絡(luò)安全應(yīng)急組織。今年，建立了國家網(wǎng)絡(luò)安全應(yīng)急支撐隊伍，我們和CNCERT/CC密切合作，也和銀行、政府等關(guān)系國計民生的部門簽訂了網(wǎng)絡(luò)安全應(yīng)急協(xié)議。09年7月7日，為加快網(wǎng)絡(luò)病毒的應(yīng)急處置，成立了”中國反網(wǎng)絡(luò)病毒聯(lián)盟”。為進(jìn)一步提升國家網(wǎng)絡(luò)安全事件應(yīng)急處置能力，基于共建共享協(xié)作的原則，聯(lián)合各應(yīng)急組織，構(gòu)建國家信息安全漏洞共享平臺。

    應(yīng)對之道2：構(gòu)建開放協(xié)同的安全技術(shù)框架。建立開放協(xié)同的技術(shù)框架，實現(xiàn)各網(wǎng)絡(luò)安全系統(tǒng)間的資源共享，能力自生長；擬定標(biāo)準(zhǔn)規(guī)范、系統(tǒng)接口，實現(xiàn)資源整合；建立一點(diǎn)受攻擊，多點(diǎn)支援的協(xié)同體系。

    最近，我經(jīng)常和很多的領(lǐng)導(dǎo)、同行在講一個概念，我們以前在建立安全防御體系的時候，我投入一元錢最后得到的安全防御能力就是一元錢的能力。但是，大家想想互聯(lián)網(wǎng)，想想因特網(wǎng)，因特網(wǎng)其實也是各建各的，自己建自己的一個系統(tǒng)。但是，如果大家實現(xiàn)相互聯(lián)系的話，一方面是實現(xiàn)了資源共享；另一方面是實現(xiàn)了自身網(wǎng)絡(luò)體系的增長。我們有沒有可能在安全的機(jī)制體系下，構(gòu)建一個開放的協(xié)同體系，建立一個開放的安全虛擬防御體系？在這種組織下，好處是一旦你投入一元錢加入了這個安全體系，最后享受的可能是一千元，甚至上萬元的安全防御體系。

    應(yīng)對之道3：知識共享、利用集體智慧，實現(xiàn)人才聯(lián)盟化，遇到大規(guī)模網(wǎng)絡(luò)安全事件的時候，發(fā)揮團(tuán)隊力量，創(chuàng)造網(wǎng)絡(luò)安全大兵團(tuán)作戰(zhàn)模式。

    這種人才聯(lián)盟是可以分層次的，一種是戰(zhàn)略層面的專家，在戰(zhàn)略層面關(guān)注網(wǎng)安，規(guī)劃我國網(wǎng)絡(luò)安全整體發(fā)展策略。一種是戰(zhàn)術(shù)層面的專家，在戰(zhàn)術(shù)層面具體操作，負(fù)責(zé)對突發(fā)網(wǎng)絡(luò)安全事件的具體應(yīng)對工作。

    應(yīng)對之道4：安全服務(wù)專業(yè)化。我們認(rèn)為云計算、云安全是下一步的大勢所趨，只有專業(yè)的人才能做專業(yè)的事，不可能每個部門都建立專業(yè)的安全服務(wù)。那么，構(gòu)建基于互聯(lián)網(wǎng)的云安全服務(wù)能力，通過細(xì)分網(wǎng)絡(luò)安全服務(wù)，形成專業(yè)化的網(wǎng)絡(luò)安全應(yīng)急服務(wù)體系。

    這是我們所提出的四個倡議，我的結(jié)束語是：目前，面對開放的互聯(lián)網(wǎng)，自我封閉已行不通，需應(yīng)用開放的思維、開放的體系去應(yīng)對！

    我的報告完了，謝謝大家！

    主持人杜躍進(jìn)：謝謝云副主任，其實我們體會到了協(xié)作的很多好處，不光是國內(nèi)行業(yè)間的協(xié)作，還包括和國外等部門的協(xié)作，國內(nèi)應(yīng)急體系就是協(xié)作帶來的第一個成果，我們有全世界最大的應(yīng)急合作體系，企業(yè)界也有這樣的例子，在2003年開始在全世界開始呼吁啟動全世界安全協(xié)作，這是“我為人人，人人為我”的做法，大家都是受益者。但是，所有的事情需要所有人共同參與，不斷推進(jìn)?，F(xiàn)在，我們還在不斷調(diào)整，只要時間證明這種協(xié)作是有效的，我們就會堅持下去。