當前網絡安全形勢與應急響應

劉欣然，李柏松，常安琪，魯輝，田志宏

（1. 國家計算機網絡應急技術處理協調中心，北京 100029；2. 安天實驗室，哈爾濱 150000；3. 中國科學院微電子研究所，北京 100029；4. 中國工程物理研究院計算機應用研究所，四川綿陽 621900）

當前網絡安全形勢與應急響應

劉欣然1，李柏松2，常安琪2，魯輝3，田志宏4

（1. 國家計算機網絡應急技術處理協調中心，北京 100029；2. 安天實驗室，哈爾濱 150000；3. 中國科學院微電子研究所，北京 100029；4. 中國工程物理研究院計算機應用研究所，四川綿陽 621900）

隨著互聯網應用的迅速發展，各種網絡安全威脅不斷出現。本文介紹了網絡安全所呈現的特點以及目前所面臨的形勢。攻擊方法的更新、攻擊技術的提升以及攻擊范圍的擴大給應急工作帶來了考驗。應急工作的管理現狀存在一定的問題，在核心技術、安全保障方面都比較落后。借鑒傳統領域的應急體系，改善當前應急技術措施成為網絡安全工作的重要部分。針對新時期的網絡安全應急工作環境，提出了調動體系力量，多方聯動的消除方法，從體制和機制等方面來進行保證，以防止網絡威脅產生的巨大影響。

網絡安全；威脅；信息安全；應急響應；應急體系

DOI 10.15302/J-SSCAE-2016.06.017

一、前言

隨著信息技術的不斷發展進步，網絡安全面臨的問題增多，企業對安全的重視程度逐漸增加，應急響應工作顯得舉足輕重。新時期網絡安全應急的定位已發生了變化，應急的范圍不僅僅包括網絡，同時也有重要的信息內容。隨著威脅的不斷演化，網絡安全應急也面臨著考驗。

從總體上看，網絡安全事件的處置分為包括國家級政府、國家級非政府和地方級非政府在內的三個層面。下層安全應急體系例如各家安全廠商的應急響應中心，互聯網公司、電商的應急響應中心紛紛建立。即便如此，新一代網絡安全威脅的傳播速度很快，攻擊面很廣，其威脅覆蓋面已超乎我們的想象，移動電話、個人電腦、網站、應用、社交媒體無一幸免。突發事件的發生給應急工作帶來巨大的困難與考驗。

進入21世紀，網絡安全這一問題變得更加突出。如2000年雅虎網站的大規模拒絕服務攻擊，2001年的紅色代碼事件，2001年全球根域名服務器遭到大規模拒絕服務攻擊，2003年的SQL Slammer蠕蟲病毒，2004年的震蕩波 ，2006年的熊貓燒香病毒，2010年的震網事件[1]，2015年利用Cobalt Strike平臺的APT-TOCS[2]事件、Hacking-Team數據泄露事件、Biige等商業手機木馬利用事件，以及2016年日趨活躍的勒索軟件的出現，使信息安全事件種類越來越多，呈現出如下特點。

（一）攻擊組織化、趨利化

網絡攻擊不僅僅是單個黑客的炫技行為，也體現為許多有組織的以獲取經濟利益為目的的商業行為。其攻擊行為的實施都有清晰分工，攻擊組織化大大增強了攻擊者對各類網站和信息系統的攻擊能力，而目標趨利化則使得攻擊所造成的危害進一步加大。

（二）攻擊方法推陳出新

傳統攻擊通常采用rootkit、感染式病毒等方式，而如今網絡攻擊的新思路、新技術、新方法不斷出現，如網絡釣魚、社會工程、網頁掛馬、0day漏洞、重定向等攻擊。不斷出現的種種新的攻擊方法也增加了網絡與信息安全事件原因分析和技術處置的難度。

（三）攻擊技術工具化、平臺化

縱觀全球，傳統意義的高級持續性威脅（APT）攻擊更多地讓人聯想到精干的作業團隊、用于攻擊的基礎設施、0day漏洞挖掘小組以及惡意代碼的編寫小組等。但APT-TOCS事件攻擊者依托自動化攻擊測試平臺Cobalt Strike實現了對目標主機進行遠程控制的能力，用一種新的方式為一些技術能力和資源相對有限的國家和組織提供一種新的示范選擇。這種方式降低了攻擊的成本，而這種高度“模式化”的攻擊也會讓攻擊缺少鮮明的基因特點，從而更難追溯，應急工作更難有效執行。

（四）攻擊目標范圍廣泛化

除傳統的網站、信息系統外，域名系統等互聯網基礎設施、郵件系統、工業控制系統、個人終端、智能手機、無線網絡等都已經成為網絡攻擊的目標。這兩年，除了熟悉的漏洞Windows、Linux和其他類Unix系統、iOS、Android等操作系統及其應用軟件漏洞外，安全威脅在小到智能汽車、智能家居、智能穿戴，大到智慧城市都無所不在。

二、應急響應的管理現狀與存在問題

多年來，信息化發展已經深入到政府管理、企業運作、群眾生活等方面，成為支撐社會正常運轉的重要基礎。當作為基礎設施的信息系統出現故障時，將會直接影響正常的社會管理和服務。

（一）復雜的國內外環境

當今世界正發生著復雜深刻的變化。國際金融危機深層次影響繼續顯現，世界經濟緩慢復蘇、發展分化，國際投資貿易格局和多邊投資貿易規則醞釀深刻調整，各國面臨的發展問題依然嚴峻。我國“一帶一路”頂層戰略充分依靠與有關國家既有的雙多邊機制[3]，借助既有的、行之有效的區域合作平臺，積極發展與沿線國家的經濟合作伙伴關系。

國際經濟貿易戰略交叉，互聯網應用水平增高，使各國在合作的同時也體現出激烈的國際競爭與網絡力量的博弈。

（二）核心技術和設備的缺失

國內網絡與信息系統包括重要部門的信息系統使用國外技術和產品的比率居高不下，技術水平與基礎設施供應不能很好匹配，與大國還有差距。如美國具備強大的技術力量，包括監控硬件生產、制造，操作系統、芯片在世界范圍內的占有率，其所具備的強大的信息獲取能力是其他國家無法比擬的。

（三）信息安全保障工作比較落后

我國信息安全整體水平還相對比較落后，各級地方政府雖然已經開始認識到信息安全的重要性，但在具體工作的實施過程中仍存在問題，如應急響應工作的開展相對滯后，很多單位未能較好地落實國家要求，人才與投資顯現出不足等問題。國家計算機網絡應急技術處理協調中心（CNCERT/CC）自主監測的數據顯示，2015年已發現10.5萬余個木馬和僵尸網絡控制端，控制了我國境內1 978萬余臺主機，抽樣監測的惡意程序轉發的用戶郵件數量超過66萬封[2]，個人信息泄露事件頻發，網絡設備安全漏洞風險較大，并有增加趨勢。

2014年，我國成立了中央網絡安全和信息化領導小組，統籌協調涉及各個領域的網絡安全和信息化重大問題。國務院重組了國家互聯網信息辦公室，授權其負責全國互聯網信息內容管理工作，并負責監督管理執法。2016年4月19日，中共中央總書記習近平召開網絡安全和信息化座談會探討網絡安全措施與辦法[4]，強調在“十三五”開局之年網絡安全和信息化工作是“十三五”時期的重頭戲；在考察東北老工業基地期間，他來到了哈爾濱本地網絡安全企業安天科技股份有限公司，突顯了國家對于網絡安全方面的重視。

縱觀網絡安全形勢，去年由網絡攻擊引發的數據泄露依舊猖獗。信息泄露的背后已經形成一條完整的利益鏈，這些用戶信息或被用于團伙詐騙、釣魚，或被用于精準營銷。因惡意代碼導致的信息泄露事件中，極為值得反思的是XcodeGhost事件[5]，截至2015年9月20日，各方累計發現已確認共692種APP曾受到污染，受影響的包括微信、滴滴、網易云音樂等流行應用[6]。這次事件采用了非官方供應鏈污染的方式，反映了我國互聯網廠商研發存在缺陷和安全意識薄弱的現狀。

從我國現階段來看，信息安全突發事件應急管理工作取得了一定的進展，但從總體來看，應急預案不夠完善，在實際應用上，缺乏實用性和可操作性。除了中國外，世界上網絡大國或網絡發達國家都制定了網絡安全國家戰略[7]。各國網絡安全戰略之所以如此密集地出臺，主要是因為隨著互聯網的迅速發展和普及，各國政府、關鍵基礎設施、企業和公民均嚴重依賴于網絡的可靠功能；網絡安全出現問題，將嚴重危及政府和企業的運轉，極大影響公眾的社會生活，可以說網絡安全是一國繁榮發展的“生命線”。因此，合理建立信息安全突發事件的應急響應體系，實現有限投入下最大程度地降低信息安全突發事件的負面影響，就成為一個迫切需要解決的問題。

我國在互聯網網絡安全應急保障體系方面，已經初步形成了在工業和信息化部互聯網應急工作辦公室領導下，以CNCERT/CC為核心、以各種互聯網骨干網運營企業為依托、以應急服務支撐單位為后援的國家級網絡安全應急處理體系[8]。

隨著我國經濟的發展，在信息安全的法律法規方面，我國已經進行了初步嘗試，但相對發達國家來講距離還不小。互聯網的復雜性和跨地域性決定了網絡安全事件的應急處置應該是多個部門和單位協同的過程，這便要求各主管部門和應急機構要不斷整合各自的優勢，最終形成合力，并根據各部門在應急響應中所發揮的作用，確定一個應急響應牽頭部門，負責統一指導整個應急響應工作，以改變目前各自為政的局面。不規范的網絡行為，是造成網絡風險最重要的因素。然而，僅僅依靠打擊網上犯罪和違法行為來解決問題也是遠遠不夠的，要充分做到網絡安全監管的關口前移，發揮行政管理措施的職能。目前整個網絡安全應急響應工作仍存在諸多問題，如應急響應的時間滯后性問題，應急響應工作有效落實的問題，應急計劃操作性不強、部門聯動性差、應急培訓演練次數不足、應急技術人員的專業性不足、過分依賴國家應急平臺等問題[9,10]。

三、傳統領域的應急內容參考

傳統領域的應急體系包括企業安全生產事故應急體系、公共災害安全事故應急體系、公共衛生領域傳統安全事件應急體系等，各領域均已建立起相應的法律法規和相關工作技術，并取得了一定的技術創新。傳統領域的安全是真實環境下的國家公共基礎設施應急體系建設的安全，而網絡安全方面的防范重點表現為計算機病毒與黑客犯罪。網絡安全除了保護設備與系統安全外，要保護數據安全。網絡安全與其他領域安全均要做到在應急事件來臨時快速、高效、全面的響應。從針對傳統領域應急體系的建設中，總結出網絡安全應急在組織機制、指揮體系以及救援隊伍方面需要借鑒之處，為從高位（國家機構）、中位 [互聯網數據中心（IDC）、內容分發網絡機構（CDN）、電商、行業主管]到低位（網民）三方面建立網絡安全應急體系提供指導。網絡安全應急體系建設過程中需要考慮以下幾個方面——組織體系：需要建立國家層面的安全應急指揮部門和應急管理部門，在各省市、自治區及地方區域建立相應的應急機構；指揮體系：需要建立各級應急指揮系統、通信指揮系統；建立監測和預防預警系統；建立信息共享機制、事件上報機制、通報機制；建立專業的應急隊伍：國家隊、省級隊和各單位建立應急隊伍，并加強演練和培訓。四大應急體系差異分析情況見表1。

四、采取的措施

綜上所述，當今網絡安全形勢嚴峻，網絡威脅發展迅速，應急響應工作面臨重大考驗。互聯網網絡安全應急保障體系在穩步建設的同時仍存在許多問題，通過應急響應工作的加強與改善來解決網絡安全問題成為行之有效的服務手段之一，并具有一定的迫切性。

針對新時期的網絡安全應急工作，因其定位已發生變化，應急的對象也在不斷擴充，需要調動體系的力量，多方聯動及時消除隱患，從體制和機制等方面來進行保證，防止產生巨大的惡劣影響。具體包括以下幾方面內容。

（一）堅持戰時協助攻防、急時快速掌控、平時側

重服務的應急方針

戰時協助攻防：網絡應急工作應該以保障軍事網絡安全運行為核心，協助我國軍事網絡部隊進行網絡戰的方案制定等，必要時可以切斷公共互聯網網絡。急時快速掌控：在發生大規模網絡攻擊事件時，能夠在最短時間內控制事件的擴散，掌握事件的發展動態，準確判斷事件的影響范圍，制定應急響應措施，將損失降低到最小。平時側重服務：應急響應的平時工作是保障互聯網的安全運行，及時應對一般性網絡安全事件。

（二）在應急處理中開展體系化對抗

從法制、機制、人員、資金、技術等多個層面建立立體對抗體系，用國家機器去完成網絡應急。應急的目標不局限于把境外有害言論的源頭挖出來，而是震懾一大批有企圖的人，從而達到降低宏觀指數的目的。

（三）明確危害網絡信息安全的責任和義務

現實空間的每個主體都具有各自的權利與義務，同樣，網絡空間也如此，每個主體都為維護所處空間的正常運行而努力。每個網絡主體有權要求國家提供一個正常、安全的網域空間，同時也有義務來維護其安全。

表1 四大應急體系差異分析

在網絡信息安全立法中，必須對危害國家和公共網絡安全的行為明確法律責任，為追究違法者創造法律條件。一是對于違法行為，應當相應地規定其民事責任、行政責任和刑事責任，明確各自的責任界限；二是要解決好民事責任、行政責任和刑事責任之間的銜接問題，對于尚不構成犯罪的違法行為，應當依法承擔民事責任或行政責任；三是建立移送制度，對于危害性較大且已經構成犯罪的行為，應依法移送司法機關追究刑事責任，避免“以罰代刑”；四是所有網絡運營商都有維護用戶信息安全的義務，這些義務主體在未履行保護網絡信息安全義務時，應當承擔相應的法律責任。

（四）完備網絡安全組織體制，強化應急救援體系

建議成立專門機構，作為中央政府應對特別重大突發公共事件的應急指揮機構，統一指導、協調和督促網絡基礎設施應急、公共基礎設施信息系統應急、網絡內容管理應急等網絡安全應急工作，建立不同網絡、系統、部門之間應急處理的聯動機制，對分散在各部門的網絡安全應急管理職能適當加以整合。

（五）機制上落實應急處理主體的行政執行能力和執法權

第一，強制要求網站擁有者配備安全人員、安全設備。安全人員如首席安全官（CFO）等需具備相關資歷，在相關安全應急培訓組織進行過專業培訓，并可提供其能力的官方證明材料。

第二，將“gov”和“edu”等國字頭網站做統一托管，將流量數據大集中，便于進行安全檢測。

（六）將事后應急向事前和事中應急轉變

第一，平時發出探針，發現異常就針對關鍵目標監控，對來源IP分析，通過運營商查詢通聯日志，有針對性地搭建蜜罐，當攻擊者攻擊蜜罐時，不僅可以記錄下詳細的攻擊過程，還有希望伺機利用漏洞來反制。

第二，不僅是網絡設備，QQ、淘寶、烏云等常用應用要進行監測，收集數據，盡可能地發現非正常現象，從中找出攻擊者的某些可識別信息、資金鏈等，并及時將信息共享。

（七）定期開展國家級網絡安全應急演練

互聯網是一個高度軍民融合的環境，一方面要堅持軍民共建共享，另一方面要統籌平戰需求。為了實現“戰時協助攻防，平時側重服務，急時快速掌控”的目標，需要加強應急演練，保證網絡空間安全體系處于應急態時可以高效運轉，形成科學有效、反應迅速的應急工作機制，保障重要信息系統的穩定運行。需要成立國家級和省市級的網絡安全應急演練工作組，制定網絡安全的規章制度；組織安全排查，及時消除網絡安全隱患；組織制定并實施各級網絡安全事故應急預案，能夠及時、準確地報告網絡安全事故。

五、結語

本文詳細介紹了在互聯網大背景下網絡安全形勢的嚴峻性與應急響應工作的重要性，分析了威脅的主要來源與其攻擊方式所呈現的特點，總結了當前網絡應急工作的管理現狀與存在的問題，并列舉了所要采取的措施。與以往的網絡威脅相比，當前網絡攻擊方法正不斷推陳出新，應急響應工作更應隨時做出調整與完善，以應對各種威脅。

[1]國家計算機網絡應急技術處理協調中心. 西門子宣布修復被Stuxnet蠕蟲利用的漏洞[EB/OL]. (2012-07-25) [2016-10-08]. http://www.cert.org.cn/publish/main/98/2012/2012072515280190 4458081/20120725152801904458081_.html. National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC). Siemens announced to repair the vulnerability utilized by Stuxnet [EB/OL]. (2012-07-25) [2016-10-08]. http://www.cert.org.cn/publish/main/9 8/2012/20120725152801904458081/20120725152801904458081 _.html.

[2]國家計算機網絡應急技術處理協調中心. 2015年中國互聯網網絡安全報告[R]. 北京:郵電出版社, 2016. National Computer Network Emergency Response Technical Team/Coordination Center of China. China Internet network security report of 2015 [R]. Beijing: Posts & Telecom Press, 2016.

[3]儲殷. 中國“一帶一路”戰略定位的三個問題[J]. 國際經濟評論,2015(2):12-13. Chu Y. Three issues on the strategic orientation of China “One Belt One Road”[J]. International Economic Review, 2015(2):12-13.

[4]新華通訊社. 習近平在網絡安全和信息化工作座談會上的講話[J]. 中國信息安全,2016(5):2-9. Xinhua News Agency. Speech by Xi Jinping at the symposium on network security and information work [J]. China Information Security, 2016(5):2-9.

[5]國家計算機網絡應急技術處理協調中心. 關于使用非蘋果官方XCODE存在植入惡意代碼情況的預警通報[EB/OL]. [EB/OL]. (2015-09-30) [2016-10-08]. http://www.cert.org.cn/publish/main/12/2 015/20150914152821158428128/20150914152821158428128_.html. National Computer Network Emergency Response Technical Team/Coordination Center of China. Alert about unofficial apple XCODE contain malicious code [EB/OL]. (2015-09-30) [2016-10-08]. http://www.cert.org.cn/publish/main/12/2015/2015091415282 1158428128/20150914152821158428128_.html.

[6]Antiy CERT. 非官方版本惡意代碼污染事件(XcodeGhost)的分析與綜述[EB/OL]. (2015-09-30) [2016-10-08]. http://www.antiy. com/response/xcodeghost.html. Computer Emergency Response Team of Antiy. Analysis and review of Xcode unofficial supply chain pollution incident (XcodeGhost) [EB/OL]. (2015-09-30) [2016-10-08]. http://www.antiy. com/response/xcodeghost.html.

[7]袁春陽,杜躍進,周威,等. 美國政府國家網絡應急響應計劃及其借鑒意義[J]. 保密科學技術,2012(5):35-37. Yuan C Y, Du Y J, Zhou W, et al. US national network emergency response plan and its reference significance [J]. Secrecy Science and Technology, 2012(5): 35-37.

[8]劉玉龍. 我國網絡與信息安全應急響應體系建設[J]. 能源技術與管理,2012,3(3):164-165. Liu Y L. Network and information security emergency response system construction of China [J]. Energy Technology and Management, 2012,3(3):164-165.

[9]網絡安全課題組. 中國網絡安全應急體系的問題與對策[J]. 電子政務,2014,139(7):20-25. Research Group of Network Security. Problems and solutions of network and information security emergency response system of China [J]. E-Government, 2014,139(7):20-25.

[10]解旭紅. 基于網絡空間的應急動員信息管理能力建設管見[J].國防科技,2015,36(1):55-57. Xie X H. Construction of emergency mobilization information management capabilities based on cyberspace [J]. National Defense Science & Technology, 2015,36(1):55-57.

The Current Network Security Situation and Emergency Network Response

Liu Xinran1, Li Baisong2, Chang Anqi2, Lu Hui3, Tian Zhihong4
(1. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China; 2. Antiy Labs, Harbin 150000, China; 3. Institute of Microelectronics, Chinese Academy of Sciences, Beijing 100029, China; 4. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, Sichuan, China)

Considering the emergence of recent network security threats, this article presents network security features and the current situation. Updated attack methods, enhanced attack technology, and expanded attack scope have changed emergency work. Some problems exist in emergency management of the status quo; the core technology and security assurance are relatively backward. Learning from the emergency response system in traditional areas in order to improve current emergency technical measures becomes an important part of network security. In this paper, the author proposes a multi-linkage elimination method that can mobilize system strength and protect against network threats based on the system and the mechanism.

network security; threat; information security; emergency response; emergency system

TP393

A

2016-10-08；

2016-10-20

劉欣然，國家計算機網絡應急技術處理協調中心，研究員，博士生導師，研究方向為網絡與信息安全，分布式計算等；E-mail: lxr@cert.org.cn

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn