网络蠕虫灾害及其应急处理的新特点

网络蠕虫灾害及其应急处理的新特点Page2内容安排网络蠕虫：日益严重的威胁网络蠕虫的新特点未来蠕虫的威胁网络蠕虫灾害的应急处理Page3近年来的网络蠕虫灾害红色代码II/尼姆达SQL杀手蠕虫口令蠕虫红色代码F变种MSBLAST蠕虫(冲击波)Page4SQL杀手蠕虫事件2003年1月25日发作感染SQL数据库服务器，在服务器之间主动蔓延使用UDP1434端口攻击造成大面积网络拥塞，部分骨干网络瘫痪韩国网络基本处于瘫痪状态我国境内感染主机22600余台具备应急体系和机制之后第一次处理大规模网络安全事件，做到了快速响应处理过程接到举报核实全网情况向全网通报情况，样本分析实施数据监测了解境外情况隔离方法分析和确认通报隔离方法，实施隔离恢复故障网络媒体工作跟踪监测与分析报告Page6SQL事件总结1月28日召开总结会：技术角度得到的经验：…………………………Page7口令蠕虫事件3月8日出现，主要在教育网中蔓延，部分大学校园网络瘫痪后蔓延到电信、联通、移动、铁通、网通等多个网络，感染服务器41207台并不利用系统漏洞，而是采用猜口令的方式攻击管理不善的主机（而口令问题由于涉及到每一个用户，始终是最难以解决的问题之一）植入后门以后和境外13个IRC服务器建立联系Page8处理过程接到举报核实全网情况向全网通报情况，样本分析实施数据监测，切断与IRC服务器的联系了解境外情况隔离方法分析和确认通报隔离方法媒体工作跟踪监测与分析报告Page9红色代码F变种3月11日发作，在欧洲一些国家造成影响3月11日至13日，检测到此蠕虫在我国网络中扩散次数达127860次接到用户举报监测系统发现最早证据完全利用原来的漏洞，依然可以形成一定规模Page10“冲击波”蠕虫8月11日启动响应，向各运营商与合作单位与国外组织发送警报和应对措施、交换信息8月15日启动针对DDoS的数据分析，与各组织保持密切联系8月18日发现MSBlast.Remove到目前发现感染数目超过200万Page11当前网络安全事件的特点病毒、蠕虫和其他攻击行为互相融合传统病毒的特点：隐蔽性、传染性、破坏性病毒的本质特点：‘寄生’，而不是独立的程序蠕虫的特点：独立存在，自主蔓延更广泛的名称：恶意代码（还包括木马程序等）互联网的发展为各种恶意代码提供了更多的机会，传统的分类界限日渐模糊传统的方法是否还适用于解决当今恶意代码的问题呢？………………………………………………Page12存在的主要问题法律法规：垃圾邮件、恶意代码、扫描、隔离、用户权利和义务、刑法286条的局限性组织体系：重要部门和行业尚没有建立专门的应急组织、国家应急体系尚不健全协调机制：协调处理机制比较欠缺，跨网、跨部门处理难度大服务规范：应急处理服务规范亟待建立产品技术：关键性的、高指标要求的专门产品和技术尚不过关数据收集：缺乏数据汇集渠道与综合分析能力，缺乏各种必要的基础资源人力资源：缺乏各种层次的专业队伍，用户安全意识差（漏洞等问题无法根除）Page13网络蠕虫事件和SARS的比较“现实世界中的一切问题，都会反映到网络世界中”SARS和网络蠕虫具有很大的相似性传播特性危害性应对措施（发现异常、初步分析、报警、隔离、分析、治疗；信息共享、统一协调、国际合作）法律、媒体的作用不同之处：“病人”不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度…..感染对象的不确定性中包含确定性因素Page14现状与危机是否真正知道我国的网络中正在发生什么？是否掌握国家网络空间安全的真实状态？是否掌握国家可能面临什么样的网络危机？国家信息化发展的相关决策缺乏依据信息化及其安全保障的计划可能陷入盲目缺乏准备，将来可能导致灾难性损失从宏观的角度看应急处理应急处理………………Page16事件处理的一般阶段第一阶段：准备——让我们严阵以待第二阶段：确认——对情况综合判断第三阶段：封锁——制止事态的扩大第四阶段：根除——彻底的补救措施第五阶段：恢复——备份，顶上去！第六阶段：跟踪——还会有第二次吗正确理解应急响应如何理解应急响应…………Page18应急工作的十六字方针因特网国际联动：应急响应组织和体系的建设响应组织体系……………………