專訪國家網際網路應急中心:中國是駭客攻擊的最大受害國

時間:2010-01-22 22:31   來源:新華網

  1月22日,國家網際網路應急中心(CNCERT)運作部副主任周勇林接受新華網獨家專訪。新華網 尤亮 攝 

  新華網北京1月22日電(俞瑋 姚笛)國家網際網路應急中心(CNCERT)運作部副主任周勇林22日接受新華網專訪時表示,“谷歌事件”發生後,國家網際網路應急中心作為中國負責公共網際網路網路安全事件監測、預警和處置的專業技術機構,“至今也沒有收到谷歌關於此次事件的具體報告”。

  周勇林説,我國已成為網路攻擊最大的受害國,“網路安全事關國家安全、社會發展和網民利益,不僅政府部門在高度重視,我們的産業界和廣大社會民眾也都非常關注,因為這涉及産業界和網民的切身利益。”

  實際上,由於我國網民缺乏網路安全防範意識,且各種作業系統及應用程式的漏洞不斷出現,使我國極易成為駭客攻擊利用的首選目標,網際網路安全形勢非常嚴峻。

  “遭受來自中國的網路攻擊”一説缺乏依據

  新華網:近來,“谷歌事件”引起了網民的關注。作為專門負責公共網際網路網路安全監測、預警和處置的機構,國家網際網路應急中心目前所了解到的情況是怎樣的?

  周勇林:網際網路具有開放性、互聯性和虛擬性的特點,網際網路上發生的安全事件可以完全不受物理邊界的限制,擁有一般技術水準的駭客就可以輕而易舉地實施對遠端目標的攻擊,並在攻擊的同時隱藏自己的真實位置和身份。

  網際網路的開放性決定駭客攻擊是無國界的,這就好像犯罪分子打恐嚇電話一定會隱藏真實聲音、使用公共電話一樣。稍有技術常識的人都知道,不能因為看到攻擊的源IP地址在中國,就説是中國的駭客發動了攻擊,這樣的説法不僅缺乏依據,也不夠專業。

  比如,目前網上有成百上千萬的電腦感染了木馬或僵屍程式,並被各種各樣的駭客暗中控制,成為所謂的“肉機”。駭客往往會選擇位於多個不同國家和地區的“肉機”作為“跳板”,遙控大量“肉機”來實施網路攻擊,其目的是在達到攻擊目的的同時最大限度的隱藏自己的真實地址,給追蹤攻擊來源製造很大的困難。

  中國有句老話,叫“只聽樓梯響,不見人下來。” 當我們看到谷歌發表聲明稱遭到了來自中國的網路攻擊後,我們也很關注,一直希望對方可以和我們聯繫,以便進一步了解情況,給他們提供必要的幫助。但是,令人遺憾的是,除了看到那篇聲明和一些媒體的消息外,至今我們也沒有收到谷歌公司關於此次事件的具體報告、線索或證據。

  新華網:在谷歌發表聲明的前一天,百度網站因遭駭客攻擊無法登陸,但很快就恢復了正常,國家網際網路應急中心有沒有給予其幫助?

  周勇林:我記得是2010年1月12日上午7時左右,全球用戶訪問百度公司網站(baidu.com)出現異常,網站無法登陸。與谷歌不同的是,網民對百度的這個異常情況感覺非常明顯。我們接到百度公司的反映後,聯繫了負責.cn域名管理的中國網際網路絡資訊中心(CNNIC)和各個網際網路運營商。經過大家共同分析,事件的原因很快就得到了查明,就是説百度公司的域名baidu.com是在美國域名註冊服務商register.com公司註冊的,由於baidu.com域名的註冊資訊被非法篡改,致使baidu.com域名在全球的解析被錯誤指向,最終導致全球網際網路用戶無法正常訪問baidu.com網站。

  需要特別提到的是,在美國register.com公司恢復百度的註冊資訊之前,中國電信、中國聯通和中國移動等企業都在全國範圍內積極採取了一些臨時的技術措施,盡可能地幫助網民正常訪問百度的域名。到1月12日上午11時左右,baidu.com域名註冊資訊成功恢復,網站訪問隨之逐步恢復正常。

  儘管我們的聯繫方式一直是對國際、國內公開的,但我們始終沒有接到谷歌的報告。

  

  1月22日,國家網際網路應急中心(CNCERT)運作部副主任周勇林接受新華網獨家專訪。新華網 尤亮 攝

  新華網:當前我國網際網路安全形勢如何?

  周勇林:隨著網際網路的飛速發展,中國大陸地區網際網路用戶數量急劇增加。最新統計報告顯示,2009年底我國網際網路網民數量達到3.84億,手機上網用戶達2.33億。然而各種作業系統及應用程式的漏洞不斷出現,相比西方發達國家,我國網際網路用戶安全的防範意識又非常薄弱。因此,極易成為駭客攻擊利用的首選目標。

  跟美國、日本、韓國等國家相比,可以説,目前我國的網際網路安全形勢非常嚴峻,中國已成為網路攻擊最大的受害國。

  新華網:剛才您提到我國已成為網路攻擊的最大受害國,能否請您以數據為例,詳細介紹一下?

  周勇林:我可以提供兩方面數據。一方面是,根據國家網際網路應急中心對部分木馬和僵屍程式的抽樣監測結果,2009年我國境內被木馬程式控制的主機IP數量為26.2萬個,境外有近16.5萬個主機地址參與控制這些電腦,其中來自美國(16.61%)排名第一;2009年我國境內被僵屍程式控制的主機IP數量為83.7萬個,境外有1.9萬個主機地址參與控制這些電腦,其中來自美國(22.34%)排名第一;2009年,我國境內被篡改網站數量各月累計達4.2萬個,其中政府網站(gov.cn)被篡改數量各月累計達2765個,當中不乏省部級政府部門網站。實施網頁篡改攻擊的前20位駭客中,有一半以上來自境外。

  另一方面是,美國Symantec公司(注:全球最大的網路安全公司)2008年網際網路安全威脅報告中指出,網路攻擊源的數量美國居世界第一位,佔世界總量的25%;位於美國的僵屍控制伺服器數量居世界首位,佔世界總量的33%,這個數字遠遠超出世界上任何一個其他國家;“釣魚網站”(注:一種網路欺詐行為,指不法分子利用各種手段,倣冒真實網站的URL地址以及頁面內容,以此騙取用戶銀行或信用卡賬號、密碼等私人資料)數量有43%位於美國。

  與此相反,中國被植入僵屍程式的電腦數量居世界首位,佔世界總量的13%,這説明中國是最大的網路攻擊受害國。

  中國政府不遺餘力打擊駭客網路攻擊

  1月22日,國家網際網路應急中心(CNCERT)運作部副主任周勇林接受新華網獨家專訪。新華網 尤亮 攝

  新華網:我國採取了哪些措施打擊駭客網路攻擊,加強網路安全保障?

  周勇林:我們知道,國家在《中華人民共和國刑法》、《中華人民共和國電腦資訊系統安全保護條例》、《中華人民共和國電信條例》等多個法律和行政法規中都對禁止網路攻擊的違法行為做出了明確規定。

  去年5月份,工信部在其頒布的《網際網路網路安全資訊通報實施辦法》和《木馬和僵屍網路監測和處置機制》中,對國家網際網路應急中心和網際網路運營商、域名服務機構,以及網路安全企業共同開展網路安全資訊共用和打擊駭客産業給出了具體工作依據。

  目前,我們已經組織發展了64家國家級和198家省級工作成員單位,參與網路安全事件的資訊報告和共用,及時掌握和處理了一大批網路攻擊事件,尤其是開展了多次網路病毒、木馬和僵屍網路的聯合治理,降低了駭客發動網路攻擊的風險,有效地凈化了網際網路網路安全環境。

  此外,各個網際網路企業也紛紛制定了專門的網路安全管理制度,積極建設或升級自己的網路安全防護系統,聘請專業的網路安全隊伍對其開展網路安全評估和檢查測試,努力消除隱患,提高防禦能力。

  新華網:網路病毒可以説是網民的“公敵”,我國在反網路病毒方面做了哪些工作?

  周勇林:針對網路病毒給廣大網民造成廣泛影響和損失的問題,我們會同中國網際網路協會,組織相關專家學者及數十家網際網路從業機構共同研究、探討網路病毒防治及反網路病毒行業自律工作。經過多次討論並借鑒反垃圾郵件等自律工作的經驗,編訂了《反網路病毒自律公約》。

  《反網路病毒自律公約》倡導網際網路企業和廣大網民遵守公約的自律條款,自覺抵制網路病毒的製造、傳播和使用。2009年7月7日,國家網際網路應急中心依託中國網際網路協會網路與資訊安全工作委員會,聯合基礎電信運營企業、網路安全廠商、增值服務提供商、搜索引擎、域名註冊機構等單位共同發起成立“中國反網路病毒聯盟”,並簽署公約,通過行業自律機制推動了網際網路網路病毒的防範、治理工作,凈化了網路空間,進一步維護了公共網際網路網路安全。

  以目前全球感染量最大的“飛客”(Conficker)蠕蟲為例,國家網際網路應急中心2009年下半年監測數據表明,我國境內每月約有1800余萬個主機IP受感染,佔全球感染總量的30%,是全球"重災區",佔各國感染比例的第一位。“飛客”蠕蟲的大範圍傳播也已經形成一個包含上千萬被控主機的攻擊平臺,不僅能夠被用於大範圍的網路欺詐和資訊竊取,而且能夠被利用發動大規模拒絕服務攻擊。

  為打擊該蠕蟲病毒,我們採取了一系列應對措施:向感染了該蠕蟲的我國重要資訊系統部門通報,涉及銀行、證券、保險、電力、民航等領域50余個重要資訊系統部門,並協助其進行調查、清理;與我國的域名管理機構CNNIC採取聯合行動,對可能被其用來實施控制感染主機的.cn域名進行了管制,並協調運營商對部分感染蠕蟲的主機進行治理;在網站發佈多個安全公告,以提醒廣大網民採取防範措施;對該蠕蟲的活動情況進行持續監測,以掌握被感染主機的分佈。

  新華網:能不能介紹一下木馬和僵屍網路專項治理行動,成效如何?

  周勇林:2008年6、7月份,國家網際網路應急中心監測國內被木馬和僵屍網路控制的IP地址數量較前五個月出現較大增長,其對應的控制端有較大一部分分佈在國外,一旦被駭客集中利用發起攻擊,其後果不堪設想,對奧運期間網際網路網路安全構成了嚴重威脅。因此,我們向工信部提出了開展木馬和僵屍網路專項治理行動的想法,並得到了積極回應。

  8月上旬和中旬,國家網際網路應急中心協調各個網際網路運營企業、域名註冊機構開展了木馬、僵屍網路專項打擊行動。行動過程中,各單位密切配合,對國家網際網路應急中心日常監測發現的、危害較大的數十個惡意域名、上千個控制伺服器進行了治理。監測數據顯示,境內木馬、僵屍網路控制服務端數量隨著專項行動的實施呈現明顯下降趨勢,非常有效地降低了奧運會期間發生大規模網路攻擊的風險,網路環境也得到了極大凈化。後來,在總結奧運保障經驗的時候,很多部門都説這個專項打擊的效果好,應該常態化。令人高興的是,工信部接受了這個建議,並在2009年正式出臺了《木馬和僵屍網路監測和處置機制》。

  2009年,我們共實施專項打擊5次,共清理整治1200余個控制伺服器及惡意域名,有效打擊了駭客産業,提高了網上環境的安全性。

  中國加強國際合作保障網路安全

  

圖為向國家網際網路應急中心投訴網路倣冒事件的國外機構排名前五位以及被倣冒網站的前五名

  新華網:中國有沒有參與國際合作,一起保障網路安全?

  周勇林:中國是一個網際網路大國,網路安全事件很多,有時候需要幫助別的國家處理問題,有時候也需要別的國家的支援才能解決。這裡我可以舉一個具體案例,2009年11月,國家網際網路應急中心連續數周接到國內外報告,“318x.com”和“3b3.org”穩居十大網頁挂馬惡意域名前列,成為眾多網頁挂馬的源頭。隨即,我們監測到我國境內有數百個網站被其侵害。在了解到這兩個惡意域名註冊地區位於美國後,我們馬上聯繫美國國家級網路安全應急機構“US-CERT”請求其予以處置。

  “US-CERT”在接到請求後不到兩天的時間裏就協調當地域名註冊與服務機構處置了這兩個惡意域名。這次合作成功打掉了活躍的惡意域名,有助於網路安全事件特別是一些涉及國際網際網路的事件的有效處置。

  新華網:這些年,我國在加強國際網路安全交流合作方面有何舉措和成果?

  周勇林:2000年,國家網際網路應急中心成立後,就一直在積極參與國際交流與合作,也作為專業技術隊伍參與了很多政府部門牽頭的國際合作活動。

  2002年8月,國家網際網路應急中心成為國際權威組織"事件響應與安全組織論壇(FIRST)"的正式成員。隨後,參與發起了亞太地區的專業組織亞太電腦應急聯盟組織(APCERT)。在FIRST和APCERT框架下,與全球各國的網路安全團隊合作。

  我們還應邀加入中國代表團參與了亞太經濟合作組織的會議,並與2007年5月向APEC申請了“僵屍網路應對政策和技術手段指南”項目,牽頭組織國際國內各方共同進行反僵屍網路方面的技術交流,並於2008年年底在APEC網站上發佈了項目最終報告,供各方參考借鑒。此外,還參加了東盟、上合組織等方面的工作,支援政府部門取得了很多積極的合作成果,例如《中國-東盟電信監管理事會關於網路安全問題的合作框架》和《上合組織成員國保障國際資訊安全政府間合作協定》的簽訂和落實等。

  另外,我們與國外應急組織、安全廠商和其他相關組織也建立了互信、暢通的合作渠道,是我國處理網路安全事件的對外窗口。國家網際網路應急中心具有724小時的事件接收處置機制,僅2009年全年就接收來自國外網路安全事件投訴21618起,經過歸類合併篩選其中影響較大的事件成功處置了1095件,其中包括多起對美國網上交易站點ebay、摩根大通公司等美國企業的網頁挂馬、網站倣冒和拒絕服務攻擊事件。

  這些機構多為國外重要的銀行、電子商務網站。我們不僅為國外相關機構挽回了經濟損失,同時也保護了國內外網際網路用戶利益不受侵害。

編輯:芮文輝

相關新聞

圖片