摘 要:分析了目前互联网安全事件的动向和特点,指出我国网络安全需要解决的问题,阐述了应急响应的基本概念和内容;在此基础上,重点介绍了国际和国内应急机构的建设和发展、体系结构和运行方式、近期案例和未来的工作重点等。
关键词:计算机; 互联网; 安全; 应急响应;黑客; 病毒
进入21世纪以后,网络安全这一全球性问题骤然变得突出起来。如2000年Yahoo等网站遭到大规模拒绝服务攻击,2001年爆发了红色代码等蠕虫事件,2002年全球的根域名服务器遭到大规模拒绝服务攻击,2003年又爆发了SQL Slammer等蠕虫事件,其间还频繁发生着网页篡改和黑客竞赛等安全事件,仿佛是快车道上猛然吹起了强劲的侧风,让刚走上发展快车道的中国互联网建设者和用户们还没来得及充分享受驾驶的乐趣,就不得不全神贯注来应对可能随时出现的险情。
在此方面,信息化发达国家有着较为丰富的经验。美国早在1988年就成立了全球最早的计算机应急响应组织(CERT:ComputerEmergency ResponseTeam),到2003年8月为止,全球正式注册的CERT已达188个。这些应急组织不仅为各自地区和所属行业提供计算机和互联网安全事件的紧急响应处理服务,还经常互相沟通和交流,形成了一个专业领域。我国自1999年成立第一个应急组织以来,也逐步得到了发展壮大,初步形成了互联网应急处理体系框架,虽然总的来看还处于边学习边实践的起步阶段,但是,在2003年几次大规模网络安全事件的处理中,已经发挥出明显作用。
当前网络安全事件的特点
目前发生在互联网上的安全事件种类越来越多,呈现出如下特点。
1. 入侵者难以追踪
有经验的入侵者往往不直接攻击目标,而是利用所掌握的分散在不同网络运营商、不同国家或地区的跳板机发起攻击,使得对真正入侵者的追踪变得十分困难,需要大范围的多方协同配合。
2. 拒绝服务攻击发生频繁
入侵目标主机需要一定的技术和运气,因此很多攻击者选择了使用分布式拒绝服务(DDOS)的攻击方法,严重干扰目标的网络服务。由于这种攻击往往使用虚假的源地址,因此也很难定位攻击者的位置。
3.攻击者需要的技术水平逐渐降低但危害增大
这是由于网络上很容易下载到攻击工具的原因,而且,一个新的操作系统漏洞被公布后,相应的攻击方法一般在两个月内就会被发布到互联网上。
4.联合攻击
网络蠕虫越来越发展成为传统病毒、蠕虫和黑客攻击技术的结合体,不仅具有隐蔽性、传染性和破坏性,还具有不依赖于人为操作的自主攻击能力,并在被入侵的主机上安装后门程序。
网络蠕虫造成的危害之所以引人关注,这是因为新一代网络蠕虫的攻击能力更强,并且和黑客攻击、计算机病毒之间的界限越来越模糊,带来更为严重的多方面的危害,例如造成网络阻塞,服务中断;在大量主机上留下后门,失密威胁严重且成为下一轮攻击的基础,甚至某些蠕虫已经具备了主动汇报被留下后门的受害者的位置的功能,从而可以使蠕虫编写者掌握大量可以控制的主机,这相当于掌握了一颗网络原子弹,可随时向任何目标发起海啸般的攻击。由此可见,新一代的网络蠕虫甚至可以成为信息战的有力武器。
我国网络安全需要解决的问题
1. 法律法规建设
尽管我国已经出台了一些针对计算机犯罪的法律条款(如《刑法》286条),但是信息网络中各种侵犯个人和公共权利的行为方式仍层出不穷,例如垃圾邮件、病毒传播、黑客扫描、拒绝服务攻击等,而与之相应的法律法规的制定明显滞后。此外,网络运维部门在定位到攻击源或病毒传染源后,最直接有效的办法是将其隔离到网络之外来保护其他网络用户的安全,但是这种做法一直存在争议,被认为是侵犯了被隔离者的个人权益,这种个人与整体之间矛盾的解决也需要有法律作为依据。
2. 组织体系建设
公共互联网也好,重要部门和行业的专用广域网也好,都把保障线路和业务的通畅作为运行维护的主要目标。因此,大部分都没有设立专门的网络安全应急部门或岗位,而我国的国家网络应急体系也处于刚刚起步建设的阶段,还有很多重要部门没有加入到体系内。
3. 协调机制建设
我国的网络是分散在各个部门管理的,在应对突发事件的时候缺乏一致行动的协调机制,在处理跨网、跨部门事件的时候尤其显得行动缓慢。
4. 服务规范建设
我国目前已经出现了一些专门的网络安全服务企业,也有很多从事网络安全产品生产的企业同时提供安全服务,对于这种新的服务行业,我国尚缺乏必要的规范和标准对服务质量和内容加以约束。
5. 自主产品研发
目前互联网的基础运行设备中,绝大多数的骨干设备和关键设备还都是进口的,中高端的网络安全产品中也大部分来自国外。这显然不利于保障我国的网络安全,但是这也是我国自主产权技术水平不高,产品不够成熟的客观原因造成的。
6. 人力资源培养
我国的网络用户已经达到7 950万,本科以上学历的仅占29.8%,专业技术人员仅占13.7%,大多数用户缺乏必要的网络安全防护知识,能够从事专业服务的技术人员则更少。
应急响应的概念和内容
网络安全涉及到多方面的问题需要逐步解决,建设应急响应体系就如同建设现实社会中的医疗卫生体系,应该放在与基础设施建设同等重要的地位。这里,介绍一下应急响应的基本概念和基本内容。
1.什么是应急响应
英文中紧急响应有两种表示法,即Emergency Response和IncidentResponse,其含义是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。