網(wǎng)絡(luò)平安問題及其防范措施(應(yīng)急篇)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心主要內(nèi)容概念和根底對平安問題的理解平安問題的分類及其對應(yīng)的技術(shù)手段當(dāng)前平安威脅的特點(diǎn)和趨勢關(guān)于應(yīng)急響應(yīng)應(yīng)急響應(yīng)的概念應(yīng)急響應(yīng)效勞及其開展?fàn)顩r應(yīng)急響應(yīng)組織和體系CNCERT/CC2003年年度平安報(bào)告關(guān)于入侵監(jiān)測系統(tǒng)的假設(shè)干問題行業(yè)網(wǎng)絡(luò)平安保障問題探討內(nèi)容提要當(dāng)今網(wǎng)絡(luò)平安威脅的特征和趨勢應(yīng)急響應(yīng)以及應(yīng)急響應(yīng)組織什么是應(yīng)急響應(yīng)：正確理解應(yīng)急響應(yīng)應(yīng)急響應(yīng)在平安保障體系中的作用應(yīng)急響應(yīng)的起源當(dāng)今的國內(nèi)外開展情況應(yīng)急響應(yīng)技術(shù)應(yīng)急響應(yīng)工作的主要階段應(yīng)急響應(yīng)小組建設(shè)關(guān)于入侵監(jiān)測系統(tǒng)的假設(shè)干問題序：這里所說的‘平安’‘平安問題’的本質(zhì)具有一個必要條件：和人的利益相關(guān)這里所說的‘平安’，是忽略了信息資產(chǎn)和風(fēng)險(xiǎn)評估等問題之后，簡單化的純粹技術(shù)上的概念在這種假設(shè)下，‘平安’所涉及到的環(huán)節(jié)包括：物理設(shè)施的平安：通信介質(zhì)、通信設(shè)備、主機(jī)設(shè)備的平安系統(tǒng)運(yùn)行平安：根底協(xié)議實(shí)現(xiàn)、應(yīng)用系統(tǒng)的平安數(shù)據(jù)平安：信息通信系統(tǒng)所處理的數(shù)據(jù)本身的平安網(wǎng)絡(luò)平安：一個涉及到多個層面的概念當(dāng)今網(wǎng)絡(luò)平安威脅的特征和趨勢當(dāng)前網(wǎng)絡(luò)平安事件的特點(diǎn)病毒、蠕蟲和其他攻擊行為互相融合傳統(tǒng)病毒的特點(diǎn)：隱蔽性、傳染性、破壞性病毒的本質(zhì)特點(diǎn)：‘寄生’，而不是獨(dú)立的程序蠕蟲的特點(diǎn)：獨(dú)立存在，自主蔓延更廣泛的名稱：惡意代碼〔還包括木馬程序等〕互聯(lián)網(wǎng)的開展為各種惡意代碼提供了更多的時(shí)機(jī)，傳統(tǒng)的分類界限日漸模糊網(wǎng)絡(luò)蠕蟲的特點(diǎn)與危害性傳統(tǒng)的網(wǎng)絡(luò)蠕蟲，其危害性主要表現(xiàn)在對網(wǎng)絡(luò)資源的消耗，導(dǎo)致網(wǎng)絡(luò)阻塞新一代網(wǎng)絡(luò)蠕蟲的攻擊能力更強(qiáng)，并且和黑客攻擊、計(jì)算機(jī)病毒之間的界限越來越模糊，帶來更為嚴(yán)重的多方面的危害：網(wǎng)絡(luò)阻塞，效勞中斷〔信息化的開展使得這種危害帶來的損失越來越大〕開放主機(jī)，失密威脅嚴(yán)重設(shè)置后門，成為下一輪攻擊的根底回收機(jī)制，便于攻擊者集中掌握〔突破了傳統(tǒng)的蠕蟲和病毒中，攻擊者不能掌握受害對象信息的情況〕利用大面積的感染節(jié)點(diǎn)對特定目標(biāo)發(fā)動拒絕效勞攻擊新一代的網(wǎng)絡(luò)蠕蟲，能夠?qū)ヂ?lián)網(wǎng)造成致命沖擊。未來蠕蟲的潛在威脅不需要用戶干預(yù)，可以短時(shí)間在全球迅速蔓延，從而導(dǎo)致大面積網(wǎng)絡(luò)癱瘓多種手段綜合，組合多種攻擊方法，適應(yīng)多種不同的系統(tǒng)利用蠕蟲迅速掌握巨大數(shù)量的傀儡機(jī)利用蠕蟲對互聯(lián)網(wǎng)關(guān)鍵點(diǎn)發(fā)起拒絕效勞攻擊利用蠕蟲對特定網(wǎng)絡(luò)區(qū)域?qū)嵤┕敉ǔY(jié)合木馬植入，嚴(yán)重威脅用戶平安有些情況下可能無法隔離當(dāng)前網(wǎng)絡(luò)平安事件的特點(diǎn)攻擊者可以輕易通過多個不同的網(wǎng)絡(luò)、地區(qū)、或國家發(fā)起攻擊，使得追查需要大范圍的協(xié)調(diào)：“全球化的問題，需要全球化解決〞攻擊定位十分困難：無論是虛擬世界的定位還是現(xiàn)實(shí)世界的定位。使得防范和追查都十分困難有些問題的解決需要行業(yè)標(biāo)準(zhǔn)或者政策標(biāo)準(zhǔn)的方式來解決，例如垃圾郵件和分布式拒絕效勞攻擊當(dāng)前網(wǎng)絡(luò)平安事件的特點(diǎn)可能在任何時(shí)間發(fā)生攻擊攻擊往往通過一級或者多級跳板進(jìn)行大規(guī)模事件出現(xiàn)日益頻繁傳播速度越來越快組合攻擊開始出現(xiàn)蠕蟲驅(qū)動的DDoS攻擊威脅更大有組織犯罪的威脅更大攻擊者需要的技術(shù)水平逐漸降低，但是造成的危害逐漸增大從發(fā)現(xiàn)漏洞到出現(xiàn)攻擊代碼的周期越來越短攻擊變得日益容易但是破壞力大過去主要采用“防止風(fēng)險(xiǎn)〞的策略，現(xiàn)在已經(jīng)行不通了，因?yàn)樾枰钊霃V泛的互連入侵的動機(jī)很多：政治、經(jīng)濟(jì)、軍事、好奇、或者---沒有動機(jī)可不可以？！不信就掛一個個人防火墻，自己看看吧一個大家熟悉的圖應(yīng)急響應(yīng)以及應(yīng)急響應(yīng)組織什么是應(yīng)急響應(yīng)EmergencyResponse/IncidentResponse:平安人員在遇到突發(fā)事件后所采取的措施和行動突發(fā)事件：影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題。這種‘情況’包括常見的黑客入侵、信息竊取等，也包括拒絕效勞攻擊、網(wǎng)絡(luò)流量異常等。正確理解應(yīng)急平安的本質(zhì)在于有效的“響應(yīng)時(shí)間〞不長于有效的“防護(hù)時(shí)間〞〔或稱之為抗攻擊時(shí)間〕按照過程的模型：PDRR不能孤立地看待各個環(huán)節(jié)應(yīng)急響應(yīng)將各個環(huán)節(jié)貫穿起來，作為平安保障的工作應(yīng)急處理在網(wǎng)絡(luò)平安保障中的作用問題：怎樣才算是‘平安的’-保護(hù)金庫的兩個方案平安保障的一般環(huán)節(jié)PPDRR結(jié)論：響應(yīng)時(shí)間和抗攻擊時(shí)間的關(guān)系Rt≤∑Pt推論：平安保障的各個環(huán)節(jié)不應(yīng)該是相互孤立的；平安是相對的，具體要求各不相同投資多、設(shè)備好不一定平安級別就高CERT組織的誕生1988年11月：Morris蠕蟲：主體癱瘓幾周后，CERT/CC成立其后的兩年，CERT組織紛紛出現(xiàn)1989年10月：Wank蠕蟲：發(fā)現(xiàn)CERT組織之間的溝通與合作非常必要1990：FIRST成立關(guān)于計(jì)算機(jī)應(yīng)急處理“莫里斯事件〞又稱“蠕蟲事件〞。1988年11月，美國Cornell大學(xué)學(xué)生Morris編寫一個“圣誕樹〞蠕蟲程序，該程序可以利用因特網(wǎng)上計(jì)算機(jī)的sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)入系統(tǒng)并自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球10%的聯(lián)網(wǎng)計(jì)算機(jī)陷入癱瘓。這起計(jì)算機(jī)平安事件極大地震動了美國政府、軍方和學(xué)術(shù)界全球第一個計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心八八年的“莫里斯事件〞美國能源部成立了自已的CIAC美國其他部門的情況在莫里斯事件發(fā)生之后，美國國防部高級方案研究署〔DARPA〕出資在卡內(nèi)基-梅隆大學(xué)〔CMU〕的軟件工程研究所〔SEI〕建立了計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心。該中心現(xiàn)在仍然由美國國防部支持，并且作為國際上的骨干組織積極開展相關(guān)方面的培訓(xùn)工作。1989年，美國能源部〔DoE〕成立了自已的計(jì)算機(jī)事件處理組織，稱為CIAC〔ComputerIncidentAdvisoryCapability)，專門保證能源部計(jì)算機(jī)系統(tǒng)的平安。至此，各有關(guān)部門紛紛開始成立自己的計(jì)算機(jī)平安事件處理組織。作為發(fā)起國，美國在國防部、能源部、空軍、海軍、眾議院、國家宇航局、國家標(biāo)準(zhǔn)與技術(shù)局、局部重點(diǎn)大學(xué)、IT界知名公司先后成立了六十余個計(jì)算機(jī)平安事件相應(yīng)組織。重在響應(yīng)、協(xié)調(diào)、研究/分析與統(tǒng)計(jì)計(jì)算機(jī)平安事件。國際應(yīng)急響應(yīng)及其技術(shù)開展動態(tài)計(jì)算機(jī)應(yīng)急處理的國際化FIRST—計(jì)算機(jī)應(yīng)急組織的國際舞臺FIRST的宗旨FIRST成員的情況1990年11月，在美國、澳大利亞的發(fā)起下，一些國家的CERT組織參與成立了“計(jì)算機(jī)事件響應(yīng)與平安工作組論壇〞，簡稱FIRST–ForumofIncidentResponseandSecurityTeam。FIRST的根本目的是使各成員能就平安漏洞、平安技術(shù)、平安管理等方面進(jìn)行交流與合作，以實(shí)現(xiàn)國際間的信息共享、技術(shù)共享，最終到達(dá)聯(lián)合防范計(jì)算機(jī)網(wǎng)絡(luò)上的攻擊行為的目標(biāo)。截止到2001年底，參加FIRST的CERT組織共有110個，涉及到的國家有24個，僅美國自身就有56個成員，因此說，F(xiàn)IRST組織是以美國為主體所構(gòu)成。截止到2003年3月底，F(xiàn)IRST的正式成員到達(dá)128個。CNCERT/CC于2002年8月成為FIRST的正式成員。FIRST的工作標(biāo)準(zhǔn)FIRST組織有兩類成員，一是正式成員，二是觀察員。FIRST組織有一個由十人構(gòu)成的指導(dǎo)委員會，負(fù)責(zé)對重大問題做出討論，包括接受新的成員。新成員的參加必須有推薦人，并且需要得到指導(dǎo)委員會三分之二的成員同意。該委員會每月進(jìn)行一次會議。FIRST的技術(shù)活動除了各成員之間通過保密通信進(jìn)行信息交流外，F(xiàn)IRST組織每季度開一次內(nèi)部技術(shù)交流會議，每年開一次開放型會議。通常是在美國與非美國國家交替進(jìn)行。這是因?yàn)橐疹櫟矫绹淼睦?。全球CSIRT開展現(xiàn)狀〔1〕事件響應(yīng)小組的數(shù)量在過去的四到五年中有大的增長，這種增長主要發(fā)生在商業(yè)領(lǐng)域。教育和政府小組的增長也在繼續(xù)。從全球角度來看，ＣＳＩＲＴ得到了更多關(guān)注，特別是國家和地區(qū)政府小組。小組數(shù)量增長的原因有〔ａ〕平安事件數(shù)量的增加和對有方案的響應(yīng)的認(rèn)識，〔ｂ〕新的法律要求，以及〔ｃ〕目前的觀點(diǎn)認(rèn)為，計(jì)算機(jī)平安必須事前預(yù)防才能取得成功，事后反響不再是充分有效的。事件處理和事件響應(yīng)小組仍然是一個計(jì)算機(jī)平安的較新領(lǐng)域，并且事件響應(yīng)仍然是一個不成熟的領(lǐng)域。因?yàn)檫@個原因，很少有得到廣泛認(rèn)可的事件處理方法學(xué)標(biāo)準(zhǔn)。CERT/CC調(diào)研的結(jié)論：全球CSIRT開展現(xiàn)狀〔2〕目前〔２００３年九月〕的工程：協(xié)調(diào)與協(xié)作 各ＣＳＩＲＴ之間建立交流和協(xié)調(diào)機(jī)制的討論。信息共享和信息收集標(biāo)準(zhǔn) 所有小組在信息共享、事件數(shù)據(jù)收集、或制訂ＣＳＩＴ發(fā)行物方面沒有公認(rèn)的標(biāo)準(zhǔn)，很多討論認(rèn)為建立這樣的標(biāo)準(zhǔn)將簡化共享和分析的過程。事件數(shù)據(jù)收集 各種機(jī)構(gòu)已經(jīng)在開發(fā)用于收集、關(guān)聯(lián)、以及合成事件數(shù)據(jù)的工具或機(jī)制。工具 專門為事件響應(yīng)和事件處理提供的工具很少。各個機(jī)構(gòu)已經(jīng)制作了一些工具檔案，提供對平安和事件響應(yīng)工具的訪問或評論。研究 致力于獲得更多有關(guān)于平安網(wǎng)絡(luò)和系統(tǒng)以及有效的事件處理的知識。全球CSIRT開展現(xiàn)狀〔3〕響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)視安全審計(jì)評估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測服務(wù)與安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識教育/培訓(xùn)產(chǎn)品評估或認(rèn)證全球CSIRT開展現(xiàn)狀〔4〕一般CSIRT所提供的效勞：亞太地區(qū)的情況澳大利亞韓國日本APCERT的情況簡介應(yīng)急處理在我國面臨的問題用戶理解和認(rèn)識的問題用戶沒有意識到應(yīng)急處理這個環(huán)節(jié)的必要性平安方面的資金投入的困難用戶對效勞單位及其方案不放心行業(yè)標(biāo)準(zhǔn)的問題缺乏行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)用戶利益得不到保證解決問題的思路通過示范企業(yè)建立和推廣行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)2001年7月，原國信安辦面向全國發(fā)起了“公開選擇計(jì)算機(jī)網(wǎng)絡(luò)平安效勞試點(diǎn)單位〞的活動，有13家平安效勞企業(yè)納入到首批的試點(diǎn)單位通過加強(qiáng)對用戶的宣傳和培訓(xùn)提高用戶認(rèn)識我國的情況2000年CNCERT/CC成立Yahoo!遭拒絕效勞攻擊事件，導(dǎo)致很多國家紛紛研究出臺國家級的網(wǎng)絡(luò)平安保障方案當(dāng)時(shí)的主要工作：學(xué)習(xí)國際經(jīng)驗(yàn)我國的計(jì)算機(jī)應(yīng)急處理中國教育和科研計(jì)算機(jī)互聯(lián)網(wǎng)(CERNET)于1998年成立了我國第一個計(jì)算機(jī)應(yīng)急組織，該組織建立在清華大學(xué)，稱為CCERT，主要受理教育網(wǎng)內(nèi)部的計(jì)算機(jī)平安事件。關(guān)于因特網(wǎng)應(yīng)急小組協(xié)調(diào)辦公室CCERT—我國最早成立的計(jì)算機(jī)應(yīng)急組織軍隊(duì)的計(jì)算機(jī)應(yīng)急組織1999年9月8日，作為計(jì)算機(jī)網(wǎng)絡(luò)主管部門，信息產(chǎn)業(yè)部在國家計(jì)算機(jī)網(wǎng)絡(luò)與信息平安管理中心正式成立了“因特網(wǎng)應(yīng)急處理小組協(xié)調(diào)辦公室〞。主要職能為：承擔(dān)國內(nèi)各相關(guān)組織的聯(lián)絡(luò)工作承擔(dān)與其他國家和地區(qū)相關(guān)組織的聯(lián)絡(luò)工作從事因特網(wǎng)及其相關(guān)緊急事故處理工作向使用具有平安漏洞的計(jì)算機(jī)系統(tǒng)和重要部門發(fā)出警報(bào)參與國際上FIRST2003年2月，信息產(chǎn)業(yè)部將之更名為“信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室〞，并且指定該協(xié)調(diào)辦公室作為APEC要求的網(wǎng)絡(luò)反恐的高技術(shù)協(xié)作點(diǎn)單位。1999年軍隊(duì)成立了計(jì)算機(jī)平安事件處理分隊(duì)，主要針對軍隊(duì)內(nèi)部出現(xiàn)的緊急事件進(jìn)行響應(yīng)，目前正在運(yùn)行中。CNCERT/CC——我國的應(yīng)急中心2000年10月，國家計(jì)算機(jī)網(wǎng)絡(luò)與信息平安管理中心在信息產(chǎn)業(yè)部的領(lǐng)導(dǎo)下正式組建了我國應(yīng)急處理體系的一個重要環(huán)節(jié)——中國計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心(CNCERT——ChiNaComputerEmergencyResponseTeam/CoordinationCenter，也可簡稱為CNCERT/CC)。2002年8月，CNCERT/CC成為FIRST的正式會員關(guān)于CNCERTCNCERT—我國計(jì)算機(jī)應(yīng)急體系的重要局部CNCERT的根本情況CNCERT是一個非盈利組織CNCERT于2000年11月正式對全社會提供信息效勞CNCERT的宗旨是保障國家網(wǎng)絡(luò)空間的平安，構(gòu)建完善的應(yīng)急處理體系。CNCERT在2003年初的幾起大規(guī)模網(wǎng)絡(luò)平安事件的處理中，和各運(yùn)營商密切合作，取得良好成績合作伙伴與外圍支撐單位近20家，包括國家防病毒響應(yīng)中心、國家反入侵中心、平安效勞試點(diǎn)單位等獨(dú)立的工作場所，具有良好的電磁屏蔽效果的機(jī)房。獨(dú)立的帶寬為100M的寬帶網(wǎng)絡(luò)接入專線，CNCERT的根本任務(wù)收集、匯總、核實(shí)、發(fā)布權(quán)威性的網(wǎng)絡(luò)平安信息為國家關(guān)鍵部門提供給急處理效勞協(xié)調(diào)和指導(dǎo)國內(nèi)其它應(yīng)急處理單位的工作與國際上的應(yīng)急處理組織進(jìn)行合作和交流大規(guī)模網(wǎng)絡(luò)平安事件的教訓(xùn)2001年紅色代碼和尼姆達(dá)事件處理的教訓(xùn)掌握信息的準(zhǔn)確性和完整性與時(shí)間上的要求之間的矛盾處置遇到的困難大規(guī)模平安事件的危害嚴(yán)重的網(wǎng)絡(luò)阻塞甚至癱瘓應(yīng)用中斷危及經(jīng)濟(jì)和生活的很多方面大量主機(jī)面臨嚴(yán)重的信息泄漏威脅合作體系的初步形成2002年初，在總結(jié)紅色代碼事件的根底上，推動各互聯(lián)網(wǎng)骨干運(yùn)營商成立了各自的應(yīng)急組織，并形成了以CNCERT/CC為核心的合作機(jī)制2002年8月，CNCERT/CC成為FIRST正式成員合作體系的重要性國際上已經(jīng)強(qiáng)烈認(rèn)識到計(jì)算機(jī)應(yīng)急組織合作的重要性：信息共享：提前預(yù)警技術(shù)共享：能力支持?jǐn)?shù)據(jù)共享：綜合分析處置配合：有效遏制在受攻擊的網(wǎng)絡(luò)中采取隔離措施依靠合作在攻擊源附近實(shí)施隔離合作體系的進(jìn)一步完善2003年的事件，對2002年建立的合作體系是一個考驗(yàn)在取得成功經(jīng)驗(yàn)的同時(shí)，也發(fā)現(xiàn)了新的問題和缺乏2003年下半年至2004年初，在中編辦、國信辦、信產(chǎn)部等的支持下，我國形成了一個更加完整的公共互聯(lián)網(wǎng)應(yīng)急處理體系僅靠體系依然缺乏以解決問題復(fù)雜巨系統(tǒng)的控制人機(jī)結(jié)合中“機(jī)〞的重要性不可無視“開放的研討廳體系〞完整、準(zhǔn)確、與快速之間的矛盾各方面資源的高效整合危機(jī)應(yīng)對美加大停電SARS黃金時(shí)間CNCERT/CC年度平安報(bào)告CNCERT/CC目前提供的效勞響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)視安全審計(jì)評估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測服務(wù)與安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識教育/培訓(xùn)產(chǎn)品評估或認(rèn)證CNCERT/CC的根本工作原那么效勞保密快速標(biāo)準(zhǔn)2003年工作報(bào)告：大規(guī)模蠕蟲事件處理SQLSLAMMER蠕蟲：1月25日爆發(fā)，造成大面積網(wǎng)絡(luò)擁塞或癱瘓中午接到舉報(bào)，立即和各運(yùn)營商應(yīng)急組織聯(lián)系，了解到全面情況分析找到在網(wǎng)絡(luò)上隔離蠕蟲傳播的有效方式并迅速推廣到各互聯(lián)網(wǎng)單位當(dāng)晚，蠕蟲的傳播得到控制；發(fā)現(xiàn)我國境內(nèi)感染主機(jī)兩萬兩千多臺；數(shù)據(jù)提供給運(yùn)營商處理；SQLSLAMMER處理過程接到舉報(bào)核實(shí)全網(wǎng)情況向全網(wǎng)通報(bào)情況，樣本分析實(shí)施數(shù)據(jù)監(jiān)測了解境外情況隔離方法分析和確認(rèn)通報(bào)隔離方法，實(shí)施隔離恢復(fù)故障網(wǎng)絡(luò)媒體工作跟蹤監(jiān)測與分析報(bào)告口令蠕蟲事件3月8日出現(xiàn)，主要在教育網(wǎng)中蔓延，局部大學(xué)校園網(wǎng)絡(luò)癱瘓后蔓延到電信、聯(lián)通、移動、鐵通、網(wǎng)通等多個網(wǎng)絡(luò)，感染效勞器4萬多臺并不利用系統(tǒng)漏洞，而是采用猜口令的方式攻擊管理不善的主機(jī)〔而口令問題由于涉及到每一個用戶，始終是最難以解決的問題之一〕植入后門以后和境外13個IRC效勞器建立聯(lián)系口令蠕蟲處理過程接到舉報(bào)核實(shí)全網(wǎng)情況向全網(wǎng)通報(bào)情況，樣本分析實(shí)施數(shù)據(jù)監(jiān)測，切斷與IRC效勞器的聯(lián)系了解境外情況隔離方法分析和確認(rèn)通報(bào)隔離方法媒體工作跟蹤監(jiān)測與分析報(bào)告口令蠕蟲數(shù)據(jù)分析紅色代碼F變種3月11日發(fā)作，在歐洲一些國家造成影響3月11日至13日，檢測到此蠕蟲在我國網(wǎng)絡(luò)中擴(kuò)散次數(shù)超過12萬次現(xiàn)實(shí)：完全利用原來的〔一年多以前的〕漏洞，依然可以形成一定規(guī)模教訓(xùn)：期待依靠用戶都打及時(shí)補(bǔ)丁來改善網(wǎng)絡(luò)平安現(xiàn)狀是不現(xiàn)實(shí)的?！皼_擊波〞蠕蟲8月11日啟動響應(yīng)，向各運(yùn)營商與合作單位發(fā)送警報(bào)和應(yīng)對措施、交換信息和國外應(yīng)急組織保持密切聯(lián)系，及時(shí)交換數(shù)據(jù)8月15日啟動針對DDoS的數(shù)據(jù)分析8月18日發(fā)現(xiàn)MSBlast.Remove，并且發(fā)現(xiàn)蠕蟲傳播數(shù)據(jù)的明顯反彈至12月31日，中國境內(nèi)感染的效勞器超過150萬臺

MSBlast/MSBlast.REMOVE數(shù)據(jù)分析MSBLAST數(shù)據(jù)明顯降低04年1月1日起，數(shù)據(jù)明顯降低

2003年工作報(bào)告：DDOS事件處理3月底，某亞洲地區(qū)業(yè)務(wù)量排名第二的商業(yè)網(wǎng)站受到有組織持續(xù)性拒絕效勞攻擊。5月中旬，某市政府信息網(wǎng)絡(luò)遭拒絕效勞攻擊，癱瘓8小時(shí)以上，嚴(yán)重地影響了政府依托電子政務(wù)外網(wǎng)平臺的相關(guān)業(yè)務(wù)和86個政府網(wǎng)站的正常運(yùn)行。5月中旬，某省信息港網(wǎng)站受到拒絕效勞攻擊。5月下旬，某省播送電視網(wǎng)遭有組織拒絕效勞攻擊。7月初，博客中國遭拒絕效勞攻擊。7月底，某為政府提供效勞的大型綜合網(wǎng)站遭拒絕效勞攻擊。8月下旬，中國互聯(lián)網(wǎng)協(xié)會網(wǎng)站在公布垃圾郵件效勞器黑名單后遭拒絕效勞攻擊。拒絕效勞攻擊日益頻繁，十分猖獗阻止DDoS攻擊，關(guān)鍵在于合作DDoS攻擊之所以難以高效地防范，原因在于攻擊者可以輕易地使用偽造地址發(fā)出攻擊，使得被攻擊者很難高效地在自己的網(wǎng)絡(luò)內(nèi)實(shí)施防范RFC2827規(guī)定了源地址過濾的標(biāo)準(zhǔn)，并且得到廣泛的產(chǎn)品支持，但是只有大家都啟用源地址驗(yàn)證的功能，才可能真正發(fā)揮作用合作的價(jià)值更加表達(dá)在攻擊隔離上2003年度工作報(bào)告：篡改網(wǎng)頁事件廣西某市政府網(wǎng)站被篡改5月19日，廣西某市的一個政府網(wǎng)站效勞器所發(fā)布的三十個政府網(wǎng)頁均被黑客篡改；立即通知有關(guān)部門進(jìn)行處理。7月6日黑客競賽7月4日得悉；通報(bào)各運(yùn)營商；密切跟蹤規(guī)模、動態(tài)：全球約有2600多個網(wǎng)頁被篡改，但都是小型網(wǎng)站。2003年中國有435臺主機(jī)上的網(wǎng)頁遭到篡改，其中包括143個主機(jī)上的337個政府網(wǎng)站在內(nèi)。2003年度工作報(bào)告：網(wǎng)站欺詐“香港賽馬俱樂部投訴有網(wǎng)站假冒其名義從事非法活動〞等三個案例：我們只是調(diào)查核實(shí)，向上反映。AUSCERT投訴兩網(wǎng)站欺詐活動事件 12月8日接到投訴；調(diào)查核實(shí)；分析認(rèn)為相關(guān)主機(jī)很可能是遭受到黑客攻擊后被人利用；協(xié)調(diào)運(yùn)營商、分中心處理；位于江蘇和云南兩不法網(wǎng)站分別于9、10號被關(guān)閉；12日得到局部關(guān)于被泄漏銀行賬號的信息。HKCERT投訴一網(wǎng)站冒充eBay〔經(jīng)營網(wǎng)上購物〕網(wǎng)站進(jìn)行欺騙 12月17日接到投訴；調(diào)查核實(shí)；協(xié)調(diào)運(yùn)營商處理；12月22日網(wǎng)通應(yīng)急組織將被投訴IP地址進(jìn)行處置。

2003年度工作報(bào)告：漏洞處理對CiscoIOS漏洞的處理 7月17日公布；通告運(yùn)營商；啟動監(jiān)測。及時(shí)通報(bào)運(yùn)營商微軟發(fā)布的MS03-032、MS03-033、MS03-039、MS03-43、MS03-46、MS03-49等漏洞。對IE瀏覽器存在顯示偽造地址漏洞的處理 12月10日收到AUSCERT提醒關(guān)注該漏洞的信；漏洞還沒有補(bǔ)丁，但攻擊方法已經(jīng)公布；高度重視；目前還在密切關(guān)注中。

2003年度工作報(bào)告：投訴事件處理應(yīng)急事件非應(yīng)急事件

事件分類

咨詢

病毒網(wǎng)絡(luò)攻擊垃圾郵件總計(jì)

月份國內(nèi)國外國內(nèi)國外國內(nèi)國外

1月

2

3422129475132月102

482

17266653月1521724

13586274月41

383

15654025月31159802168116996月1503753

137944137月635388131731101218月

1611415091153169439月

20

1542

2771839210月10

11067524813311511月9321032216012082312月

3611178227614663合計(jì)9712320108731721841329511603年一般投訴事件處理統(tǒng)計(jì)第二局部：應(yīng)急處理技術(shù)應(yīng)急響應(yīng)一般需要到達(dá)的目標(biāo)確認(rèn)或排除突發(fā)事件發(fā)生與否事件類型按緊急程度分：直接報(bào)告、立即引起注意的間接報(bào)告的有潛在問題，但是還沒有造成影響的按技術(shù)環(huán)節(jié)分：探測：對網(wǎng)絡(luò)的偵察攻擊：對網(wǎng)絡(luò)效勞的抑制入侵：取得一定的控制權(quán)病毒感染：駐留、復(fù)制、發(fā)作騷擾：虛警、謠言、垃圾信息等事件處理的一般階段第一階段：準(zhǔn)備——讓我們嚴(yán)陣以待第二階段：確認(rèn)——對情況綜合判斷第三階段：封鎖——制止事態(tài)的擴(kuò)大第四階段：鏟除——徹底的補(bǔ)救措施第五階段：恢復(fù)——備份，頂上去！第六階段：跟蹤——還會有第二次嗎第一階段——準(zhǔn)備預(yù)防為主幫助效勞對象建立平安政策幫助效勞對象按照平安政策配置平安設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施第二階段——確認(rèn)確定事件的責(zé)任人指定一個責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專用資源來修復(fù)？第三階段——封鎖即時(shí)采取的行動防止進(jìn)一步的損失，確定后果確定適當(dāng)?shù)姆怄i方法咨詢平安政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化可列出假設(shè)干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由效勞對象選擇第四階段——鏟除長期的補(bǔ)救措施 確定原因，定義征兆 分析漏洞 加強(qiáng)防范 消除原因 修改平安政策第五階段——恢復(fù)被攻擊的系統(tǒng)由備份來恢復(fù)作一個新的備份把所有平安上的變更作備份效勞重新上線持續(xù)監(jiān)控第六階段——跟蹤關(guān)注系統(tǒng)恢復(fù)以后的平安狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，標(biāo)準(zhǔn)記錄跟蹤結(jié)果對響應(yīng)效果給出評估事件歸檔與統(tǒng)計(jì)(便于業(yè)績考核)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類型對事件的處置情況代價(jià)細(xì)節(jié)應(yīng)急小組的宗旨:處理平安事件何謂“處理〞？積極預(yù)防〔Prevention〕及時(shí)發(fā)現(xiàn)〔Discovery〕快速響應(yīng)〔Response〕確?；謴?fù)〔Recovery〕何謂“平安事件〞?對信息及信息系統(tǒng)的機(jī)密性、完整性、可用性造成威脅的活動應(yīng)急小組的效勞范圍效勞對象：假設(shè)干個“網(wǎng)〞及其業(yè)主核心業(yè)務(wù)：確保在該“網(wǎng)〞的范圍內(nèi)對事件的根本響應(yīng)能力擴(kuò)展業(yè)務(wù)：與其他“網(wǎng)〞及對其平安保障負(fù)責(zé)的機(jī)構(gòu)進(jìn)行必要的溝通，以便協(xié)防應(yīng)急處理工作的共性：各為其“主〞，但業(yè)務(wù)上共性多于個性應(yīng)急小組應(yīng)具備的條件組織體系核心崗位〔必有〕負(fù)責(zé)人//響應(yīng)隊(duì)伍擴(kuò)展崗位〔可選〕信息與信息系統(tǒng)管理//信息發(fā)布//效勞對象關(guān)系管理對人員的要求〔參考〕不要求太高的學(xué)歷，但要有很強(qiáng)的動手能力、與人打交道的應(yīng)變能力和從經(jīng)驗(yàn)教訓(xùn)中學(xué)習(xí)的能力熟悉各種平臺、相應(yīng)的系統(tǒng)資源、配置管理、日志熟悉各種攻擊、病毒機(jī)理及其表現(xiàn)征兆應(yīng)急小組應(yīng)具備的條件制度與流程崗位職責(zé)與守那么、平安保密規(guī)定事件響應(yīng)流程事件報(bào)告及其記錄〔網(wǎng)站、郵件、、〕相關(guān)數(shù)據(jù)〔如日志等〕提取事件記錄格式標(biāo)準(zhǔn)事件狀態(tài)啟動〔待處理〕、已處理[咨詢、現(xiàn)場、外包]、掛起、不處理應(yīng)急小組應(yīng)具備的條件技術(shù)平臺運(yùn)行庫：記錄所受理的所有平安事件，與該事件相關(guān)聯(lián)的信息項(xiàng)〔發(fā)生地、發(fā)生單位、事發(fā)平臺/版本/現(xiàn)象描述、聯(lián)系人信息等〕，以及該事件的當(dāng)前處理狀況監(jiān)控設(shè)施：應(yīng)效勞對象的要求接入被保護(hù)的網(wǎng)內(nèi)，捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)流，對可能造成平安事件的網(wǎng)絡(luò)流量片斷進(jìn)行分析識別知識管理設(shè)施：各種漏洞庫、補(bǔ)丁庫、工具庫、效勞對象關(guān)系庫等等應(yīng)急小組應(yīng)具備的條件通信手段網(wǎng)絡(luò)、〔含移動〕、、視頻會議等通信設(shè)備對網(wǎng)絡(luò)通信的加密措施〔如PGP等〕交通手段對于需要進(jìn)行現(xiàn)場響應(yīng)的應(yīng)急小組，要具備必要的交通手段，比方應(yīng)急車輛場地要有充足的場地，特別是應(yīng)急值守人員的休息場地如何保護(hù)自己負(fù)有平安保障責(zé)任的應(yīng)急小組必須學(xué)會保護(hù)自己效勞網(wǎng)站一定要加固業(yè)務(wù)往來數(shù)據(jù)〔如效勞對象的日志文件和某些系統(tǒng)文件〕的傳輸一定要加密運(yùn)行庫要采取一定的屏蔽獲隔離措施如何取證按照符合法律要求的方式，識別、保存、分析和提交數(shù)字化的入侵證據(jù)的過程，叫做取證。取證的目的是為了據(jù)此找出入侵者〔或入侵的機(jī)器〕，并解釋入侵的過程。計(jì)算機(jī)證據(jù)的特點(diǎn)容易被改變或刪除不可見并且改變后不容易被覺察傳輸中通常和其他無關(guān)信息共享信道存儲格式各異外行人很難以理解如何取證來自系統(tǒng)系統(tǒng)日志文件備份介質(zhì)入侵者殘留物：如程序，腳本，進(jìn)程，內(nèi)存映象交換區(qū)文件、臨時(shí)文件硬盤未分配的空間〔一些剛剛被刪除的文件可以在這里找到〕系統(tǒng)緩沖區(qū)打印機(jī)及其它設(shè)備的內(nèi)存 來自網(wǎng)絡(luò)防火墻日志IDS日志其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。如何找到聯(lián)系人WhoisAPNIC〔日〕//CNNIC〔中〕//RIPE〔歐〕效勞對象自身提供的信息〔如中國電信的IP地址段分配表〕采用其他手段綜合得到信息〔如使用“追捕〞〕如何與時(shí)俱進(jìn)不斷補(bǔ)充新知識與軟硬件系統(tǒng)提供廠商保持密切聯(lián)系，注意補(bǔ)救措施和升級措施的動態(tài)與其他應(yīng)急處理組織、平安效勞企業(yè)、反病毒廠商保持密切聯(lián)系監(jiān)測系統(tǒng)也要不斷升級學(xué)習(xí)其他應(yīng)急小組的先進(jìn)經(jīng)驗(yàn)對緊急響應(yīng)的具體要求效勞本地化技術(shù)咨詢解決不了所有問題現(xiàn)場效勞必不可少一個鋒利的問題：網(wǎng)都不好使了，怎么通過網(wǎng)絡(luò)下載補(bǔ)丁和工具？效勞標(biāo)準(zhǔn)化7x24小時(shí)效勞根據(jù)不同等級，對響應(yīng)時(shí)間的要求不同作為特殊行業(yè)，需要保護(hù)用戶利益資質(zhì)與效勞質(zhì)量的監(jiān)督檢查效勞單位資質(zhì)和效勞質(zhì)量的監(jiān)督管理對整個平安保障體系至關(guān)重要第三局部：關(guān)于入侵監(jiān)測系統(tǒng)的一些討論什么是入侵？入侵〔intrusion〕：從受害者的角度看到的成功的攻擊從攻擊者的角度看，如果他們的攻擊目的一個也沒有到達(dá)，就不算成功的攻擊；從受害者的角度看，攻擊者的行為給自己帶來了不良后果，就算受到了成功攻擊；攻擊者認(rèn)為失敗的攻擊，從受害者的角度看卻可能是成功的被入侵者可能需要關(guān)心什么？發(fā)生了什么事情？哪些局部受到了影響？后果如何？入侵者是誰？入侵者的原始位置在哪里?什么時(shí)候發(fā)生的入侵行為？入侵是如何進(jìn)行的？為什么入侵？等等入侵監(jiān)測系統(tǒng)：如同銀行的報(bào)警器；監(jiān)視、記錄、分析網(wǎng)絡(luò)中發(fā)生的各種攻擊行為，并且向用戶發(fā)出警報(bào)；幫助您答復(fù)左邊這些問題；這些事情好似別的系統(tǒng)也能做？防火墻也可以告訴我這些防火墻主要工作在網(wǎng)關(guān)的位置，一般用來對付來自外界的攻擊，目標(biāo)以隔離為主，采用串聯(lián)的方式接入網(wǎng)絡(luò)中；入侵監(jiān)測系統(tǒng)經(jīng)常在網(wǎng)絡(luò)中布置多個，一般用來針對網(wǎng)絡(luò)中的多個局部進(jìn)行保護(hù)，目標(biāo)已發(fā)現(xiàn)為主，通常采用并連的方式接入；系統(tǒng)的日志也可以告訴我這些沒錯，入侵監(jiān)測系統(tǒng)就是幫助您自動收集和分析網(wǎng)絡(luò)中所發(fā)生事件的情況，省掉您不停分析來自很多機(jī)器的日志的麻煩！--想想看如果沒有IDS，要你做同樣的工作量，是什么情形？入侵監(jiān)測系統(tǒng)的地位？ProtectionDetectionResponseRecover是防火墻和其他系統(tǒng)的有益補(bǔ)充是全面了解網(wǎng)絡(luò)平安實(shí)際情況的重要工具是根據(jù)需要設(shè)置的重要的輔助系統(tǒng)判斷方案是否合理需要考慮哪些問題？是不是覆蓋了所有需要實(shí)時(shí)監(jiān)測的關(guān)鍵局部？引擎的能力是否能夠適應(yīng)其策略要求和安放的位置？產(chǎn)生的日志量有多大，帶來的網(wǎng)絡(luò)負(fù)擔(dān)是否影響正常業(yè)務(wù)的進(jìn)行？報(bào)警的策略是否合理，平安管理人員是否能夠承受？etc.這些問題，引出一系列的問題基于主機(jī)還是基于網(wǎng)絡(luò)？基于網(wǎng)絡(luò)的入侵監(jiān)測系統(tǒng)在網(wǎng)段中安裝的專用設(shè)備；放在防火墻內(nèi)還是防火墻外存在爭議；依靠捕獲在網(wǎng)絡(luò)中的數(shù)據(jù)報(bào)文進(jìn)行分析；基于主機(jī)的入侵監(jiān)測系統(tǒng)運(yùn)行在被保護(hù)的主機(jī)中；監(jiān)測分析被保護(hù)主機(jī)的一系列關(guān)鍵變量參數(shù)；基于網(wǎng)絡(luò)的入侵監(jiān)測系統(tǒng)NIDS基于主機(jī)的入侵監(jiān)測系統(tǒng)HIDS優(yōu)點(diǎn)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)覆蓋面寬，一個引擎可以覆蓋一個網(wǎng)段誤報(bào)率相對較高能夠建立事件和用戶之間的聯(lián)系當(dāng)對主機(jī)的攻擊獲得成功時(shí)，HIDS所提供的信息的可靠性立即受到影響隱蔽性好不能分析加密流量能夠發(fā)現(xiàn)NIDS發(fā)現(xiàn)不了的攻擊被保護(hù)主機(jī)被攻擊癱瘓時(shí)，HIDS隨著系統(tǒng)也癱瘓安裝和升級工作對網(wǎng)絡(luò)的影響小只能對已知的部分攻擊特征進(jìn)行監(jiān)測，不是別新的攻擊模