“进入21世纪,网络技术的高速发展,使物理世界中涉及政治、军事、经济、文化、外交、安全关系和利益的全球化、多级化的复杂的世界格局,已经全面映射到开放的互联网体系中,由此形成了一个社会、技术一体化的复杂巨系统!”在首届“全国互联网应急处理研讨会‘2004”大会上,专家们描述出的国际互联网大环境,使我们深刻地认识到,完全杜绝互联网安全事件是
不可能的,重要的是加强应急响应!
在这一复杂巨系统中,国家公共管理职能开始向互联网世界全面渗透。就像物理世界面临着SARS、禽流感等病毒时,国家建立了整套的应急体系和处理能力一样,当互联网上蠕虫、病毒、网络攻击日益泛滥时,同样需要这样一个体系对网络攻击事件进行紧急处理,包括事前监测、事中处理和事后的灾难恢复。因此,公共互联网应急体系已经成为国家应急体系的一个重要分支。
正因为应急响应的重要战略地位,今年1月9日~10日在北京召开的备受信息安全业界乃至社会各界关注的全国信息安全保障工作会议上,国家将强化应急体系、提高处理能力作为保障信息安全最重要的基础任务之一。2月11日~13日由信息产业部互联网应急处理协调办公室(简称CNCERT/CC)主办的“全国互联网应急处理研讨会‘2004”大会,正是这一精神的具体落实和体现。
但是,与物理世界不完全一致的是,面对全球一体化的互联网环境,国家公共互联网应急体系的建立和应急处理能力的提高,并不能仅仅依靠政府的力量,而是需要世界各国相关组织在技术、资源、经验方面的共同合作,需要政府与企业、全社会每个人的互动!在互联网这样一个复杂的巨系统中,如何提高应急响应的处理水平确是摆在我们面前的巨大难题,这也正是次此会议的初衷——从理论方法学到实际运作经验,探讨如何在复杂巨系统中理清思路,提高应急响应水平的方法。
“开放的互联网符合复杂巨系统的所有特征,我们要用综合集成的思维方式,考虑应急响应的管理方法。”
——中国工程院院士何德全
复杂巨系统
对许多人而言,公共互联网应急响应的概念并不新鲜,也并不难理解,因为物理世界面对SARS的处理方法已经让人们充分地认识到了应急响应的必要性和紧急物理隔离的措施和方法。然而,当现代社会越来越依赖大规模的网络系统时,按照常规的方式已经不能有效处理网络紧急事件了:计算机蠕虫病毒已经成功实现智能化,开始主动寻找设备进行攻击;感染速度越来越快,能在数小时内传遍全球;应急响应却越来越慢,网络攻击采取伪造地址方式,难以追踪到真实的病毒制造者;而进行完全的物理隔离在互联互通时代越来越行不通……于是,理想与现实的反差越来越大!
中国工程院院士何德全认为,这是因为,互联网世界已经构成了一个“复杂巨系统”!
“复杂巨系统具有四个重要特征,而开放的互联网体系完全符合这四个特征:首先是‘巨’,即子系统数目巨多,不是千万级数量概念,而是数亿级数量概念;第二是复杂,子系统与子系统之间是高度非线性的内部关系结构;三是自组织,互联网没有统一的领导,而是依靠统一的协议进行连接;四是开放,任何系统只要符合协议规范,就可以没有任何限制地任意连入全球网络系统。”他说。
在这种复杂巨系统中,虽然很多企业自己提早做了应急预案,但在具体实施中很难实现理想的效果。为什么呢?因为目前的应急管理无法适应复杂巨系统的要求:首先是缺少知识层次上的应急响应的全生命周期管理;其次是做出的应急计划都是线性、彼此完全分割的,只有任务的分解而没有综合集成,基本无法完成有效的应急响应。
“预案不是简单做完了就行的,而应该随着过程、环境的变化而不断变化,不应该是线性的,而应该是非线性的防灾计划。”何德全院士说。
那么,如何实现复杂巨系统的应急响应呢?他从方法学上提出了“综合集成”的思路,即自上而下、自下而上的结合。他认为,仅靠一个部门或一个企业难以胜任公共互联网的应急处理,而需要一个全球相互协作的体系,在统一的标准、一致的应急处理方法下,达到体系的高度灵活性。他呼吁中国的应急响应要建立自己的体系,并与全球的相关组织紧密合作,实现人机的协调—从定性到定量的协调。
具体方法上,何院士认为,应急响应的作用是将损失减少到最低,因此,应急组织要把握事件出现后的“黄金时间”进行紧急处理,防止事态扩大。“以去年发生的美加大停电为例,刚开始的1个小时内,只有1~2个地方停电,2~5个小时后,出现俄亥俄州范围内的停电,5个小时后,才出现美加大面积的停电,如果在出现局部停电的2小时以内采取了有效的应对措施,是应该能预防后期的大范围停电的。”他说。
“红色代码事件推动了我国应急处理体系的形成,对跨国的计算机攻击事件的处理推动了国际应急组织的合作,我们已经实现从应急组织向应急体系的转变。”
——CNCERT/CC运行部主任杜跃进
中国的方式
如果说,何德全院士是对中国的公共互联网应急响应给出了方法学,那么,实际上,早在SARS出现之前,早在物理世界的疾病应急体系建立之前,信息产业部就已经着手建立公共互联网应急体系,在组织结构、人员组成、响应技术方面进行了综合投资和考虑。
“整个国家的应急体系都在建设中,不仅包括互联网应急体系,还包括广电系统、医疗卫生系统、煤炭系统等应急体系,但信息产业部走在了前面,公共互联网应急体系的经验值得推广。”国务院信息化工作办公室网络与信息安全组副组长吕诚昭说。
据CNCERT/CC主任方滨兴介绍,中国CNCERT组织自2003年7月正式成立以来,目前已经在全国各地建立了31个分中心,授权10家信息安全产品和服务供应商作为重要的技术、服务合作伙伴,除此而外,信息产业部还要求国内的10家骨干互联网运营企业(包括6家电信运营商和4个公共信息网)成立自己的应急响应中心(CERT),这10家互联网运营企业与中国数千家的ISP、个人用户和企业用户,成为了CNCERT/CC的主要联系成员,由此形成了一个立体交错的应急体系,形成了信息上下畅通传递的通报制度。这套体系不仅在中国,在世界也是独一无二的。
通过这套体系,2003年,在SQL病毒、口令蠕虫和冲击波病毒泛滥致使成千上万台服务器遭受重创、435台中国的主机网页遭到篡改、各种DDoS攻击严重的恶劣的互联网环境下,CNCERT/CC有效及时地将应急方法推广下去,使这些攻击得到有效的遏止。
此外,互联网攻击全球化的特征,使各个国家的CERT组织必须在深层次上展开合作,才能形成全球一体化的反应体系,在这个体系中,各国的CERT组织均是其中重要的一个成员。CNCERT/CC也一样,目前与国际应急响应组织建立了广泛的技术、交流的合作关系,并在与国际交流中,在职责、组织结构和技术水平上不断进行完善。
在法律规范上,虽然目前关于互联网应急响应的国际公约还不成熟,但是联合国已经提出,国家与国家之间在互联网应急上要相互协作。
在技术手段上,为了实现应急响应的监测、响应和恢复三大职责,各个运营商,包括中国移动、中国电信、中国教育网等,都已积极建立自己的互联网监测平台,并连入CNCERT/CC的监测平台上。而国家对信息安全监测和预警技术也给予了充分的投资,国家863项目的917监测平台正是在国家层面上建立起的试点性的监测项目,通过自愿加入的原则吸收成员单位,及时发现互联网上的攻击行为和新的病毒爆发情况。
“目前的监测还仅限于流量异常监测、及时发现网络攻击和新型蠕虫病毒,但是,在未来,我们必然会实现更加细粒度的监测和网络安全应急响应。”杜跃进说。
“正因为互联网全球化的特征,公共互联网的应急响应才具备国际化的特征,需要更多的国际应急响应组织参与到体系当中,共同进行技术的合作、经验的交流。”
——CNCERT/CC主任方滨兴
国际的经验
在美国的推动下,全世界几十个国家和地区都成立了CERT或类似的组织。1990年11月,在美国、英国等的发起下,一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”,简称FIRST。亚太地区应急响应工作组称为APCERT,作为APCERT的指导委员会成员单位,澳大利亚、日本、韩国和中国香港的CERT组织代表参加了这次会议,他们在应急体系的建设、应急方法的采用、职责和功能上虽然有着高度的一致,但地区特色依然浓厚,存在很大的地区差异。但由于应急响应全球合作的特征,这些CERT组织间进行有效的沟通和经验交流,将对全球一体化地反击公共互联网威胁起到巨大的作用。
从组织结构来说,这些CERT组织无一例外是由该国家或地区的政府倡导成立,大部分CERT组织的经费来源于政府,也有一些经费来自于信息安全培训和成员的赞助,他们一般的任务在于进行互联网上的异常监测,及时发现异常流量并进行早期的预警,协调事件的处理,通过公告和信息论坛的形式进行信息安全普及教育。某些国家还开展了内容监测,并通过政府、ISP、公众、CERT组织共同参与的方式对紧急事件进行响应。
澳大利亚的CERT组织(AusCERT)在澳洲重要基础设施的保护中发挥着重要作用,AusCERT的Mark McPherson先生认为,应急技术是CERT组织最重要的内容,只有让成员单位相信通过自己的技术能得到真实的好处,能在“黄金时间”内得到有效的预警信息,提前预防,才能使CERT真正发挥作用。目前,AusCERT的经费来自三方面:政府、成员单位和信息安全普及培训。
中国香港地区的CERT组织(HKCERT/CC)由香港生产力促进局运作,其主要职责则在于协调处理和预防以中小企业为目标的网络攻击。工作重点在于协调,而不是研发。HKCERT的梁兆昌介绍,对应急事件的协调可能比应急事件本身更重要,因为,协调是为了保证当事件到来时能有效地沟通,确保事件的统一化处理。因此,HKCERT与各国的CERT组织保持着密切的沟通,通过研讨会、论坛以及应急事件描述与交换形式(IODEF)工作组的交流,及时对各类攻击进行预警。
日本的CERT组织(JPCERT/CC)除了上述一些职责外,还增加了信息安全技术普及和信息安全趋势分析职能。JPCERT的Yurie Ito女士介绍,JPCERT非常重视信息安全技术,目前,来自不同的ISP和厂商的30名信息安全专家是该组织的专业顾问。此外,JPCERT还建立了一个互联网扫描数据获得系统(ISDAS),该系统已将几十个探针直接安装在自愿加入该系统的用户端,随时监测互联网上的流量和内容异常,以便第一时间发现网络上的攻击。
而韩国的CERT组织(KrCERT/CC)则在现有的基础职责基础之上,正在努力开拓一些新领域的应急响应,KrCERT的Jungu Kang先生介绍,目前KrCERT正在开发对病毒自动进行分类、统计的系统;开发在P2P和无线网络领域里发展应急响应技术以及开发针对攻击的早期预警系统。
在公共互联网的应急响应方面,各个国家的CERT组织的职责、任务、甚至包括体系结构并不完全一致,国际上也并没有要求必须进行完全的统一。但是,这些CERT组织共同的目标是通过发展信息安全应急技术,对互联网攻击进行有效预警。
此外,各国CERT一个共同的作法是密切保持国际组织间的合作,保持对攻击信息的有效沟通,为此,正在发展中的紧急事件描述与交换形式(IODEF)就成为一项重要的内容,虽然目前它尚未成为正式的标准,但显然,包括日本、韩国在内的一些国家的CERT组织正在采用它,由于信息沟通在应急响应中的作用日益重要,IODEF的价值就日益突出。但是,遗憾的是IODEF目前不适用于中文,这对CNCERT/CC与国际交流将产生不利的影响,相信不久之后这种情况会得到改观。
为了紧急应对公共互联网安全事件,各国的政府、运营商、企业、个人开始了全球总动员!
国家公共互联网安全事件应急处理体系
(最新结构)
2003年2月,信息产业部批准将1999年成立的“国家计算机网络与信息安全管理中心因特网应急小组协调办公室”更名为“信息产业部互联网应急处理协调办公室”。2003年7月14日,中编办正式批复成立了国家计算机网络应急技术处理协调中心,这是计算机应急响应的处理中心,简称CNCERT/CC。
经过不断发展,目前国家公共互联网安全事件应急处理体系日臻完善。
应急响应的国际组织结构
计算机应急处理的国际组织惯称为:CERT (计算机紧急响应小组),也有的被称为CSIRT (计算机安全事件响应小组)。
在美国的推动下,全世界几十个国家和地区都成立了CERT或类似的组织。1990年11月,在美国、英国等的发起下,一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”,简称FIRST。它的基本目的是使各成员能就安全漏洞、安全技术、安全管理等方面进行交流与合作,以实行国际间的信息共享、技术共享,最终达到联合防范计算机网络上攻击的目标。
截止到目前,全球有30个国家和地区的CERT组织加入到了FIRST组织中。
2002年3月CNCERT/CC与澳大利亚的AusCERT就亚太地区各应急处理组织之间如何协作处理安全事件进行了讨论,并合作草拟了建立亚太地区应急处理工作组(APCERT)的提议,提交亚太地区安全事件响应协调会议讨论,形成了成立APCERT组织的声明(征求意见稿),并决定成立工作组来负责对该声明进行修订。CNCERT/CC的代表刘欣然博士作为工作组成员参与了该声明的后续修订工作。
2003年3月24~25日,在中国台北召开的APSIRC2003会议上,APCERT声明获得了所有成员的一致通过,正式宣告亚太地区应急响应工作组APCERT的成立。各参会代表投票选举了APCERT指导委员会的成员单位,CNCERT/CC与澳大利亚的AusCERT、日本的JPCERT/CC、韩国的KrCERT/CC、中国香港的HKCERT、新加坡的SingCERT、马来西亚的MyCERT入选,负责APCERT日常工作。
|
