ccidnet????

出版日期:2003-02-24 总期号:1192 本年期号:11

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
中国IT市场研究年度报告专刊
东北专刊
华东专刊
华南专刊
西北专刊
西南专刊
 养兵千日用兵一时
从SQL Slammer 病毒事件看我国的应急响应工作


  1月25日,SQL Slammer病毒在全球全面爆发了,中国互联网也不可避免地受到了伤害。幸运地是,在一批专业应急响应人员的积极努力下,在短短5个小时内,该病毒在骨干网的传播就得到了控制。应急响应在这场魔与道的较量中功不可没。本报记者特别采访了中国计算机网络应急处理协调中心负责人杜跃进博士,请他详细回顾一下当时的情况。

  高岚:之前很多媒体这样描述,在人们精神放松的周末,SQL Slammer病毒以迅雷不及掩耳之势,袭击了网络,请您回顾一下当时病毒爆发的具体情况。

  杜跃进:据国外媒体的报道,该事件的发生在北京时间1月25日中午12:00左右。在下午两点多,部分国内运营商的监控人员对此有所察觉。下午4:00起,计算机网络应急处理协调中心陆续接到多个运营商的报告,反映出现比较严重的流量异常现象,我们随即和各主要运营商的应急人员取得联系,了解其他运营商的情况,并提醒这些运营商注意,调查证实,几乎所有的运营商都出现了类似情况——某些骨干网络出口出现大面积瘫痪,部分路由器必须重启,但是,当时还都不能确定事件的性质。下午5:30左右,经过各方面的综合分析,确定这种现象是由某种新型的蠕虫病毒造成的。随即我们马上与所有的运营商紧急响应中心的工作人员取得联系,一是通知他们最新的技术信息,提醒他们注意这种病毒,并及时与协调中心沟通,二是告诉他们,在处理该事件的同时,注意保留原始数据以便进行后续分析。然后,我们派出技术人员亲临现场,提供现场支援,通过和运营商应急人员的合作,确定了该蠕虫病毒的特征,即利用1434端口的UDP报文进行扩散攻击。经过某些运营商试验证明,在各级主要路由器上对UDP 1434端口数据过滤不会给互联网应用带来不良影响,于是我们将这种方法推荐给所有运营商。下午7∶30左右,病毒的爆发形势得到了控制,骨干网流量基本恢复正常。

  高岚:看来在这场较量中,应急响应队伍是功不可没,如果没有他们,也许中国的损失不会亚于韩国,现在国内的应急响应工作建设是否令人满意?您对此有哪些建议?

  杜跃进:我国的应急响应工作开展比较晚,中国计算机网络应急处理协调中心是信息产业部于2001年红色代码病毒之后成立的,主要是协调推进我国电信网络运营商的应急响应队伍的建立和协作,以保障电信网络的可靠运行。其他行业或者企业网,目前还没有正式的应急响应队伍。总体来说,目前用户对于应急响应的认识不够。目前对这种服务真正有需求的,主要集中在要求网络24×7×365运营的电信、金融网等企业。不过,我认为,应急响应是一项养兵千日,用兵一时的服务,平常这项工作显得可有可无,一旦有紧急事件发生,是否有一个及时、到位的应急响应服务队伍就显得十分必要。在这次事件中,如果没有这些幕后专业应急服务人员支持的话,骨干网的瘫痪时间绝不止三五个小时。当然,一般的行业或者企业都建立自己的应急响应队伍是不现实的,也是没必要的,因为他们是用户,招聘这样的专业人员专职做应急响应服务成本太高。因此,对于一般行业、企业和个人,我认为应该走专业外包服务的路,只要保证系统在发生安全事件的时候,能够有专业化、规范化的服务队伍来解决问题就可以了。之前,原国信安办组织的13家安全服务商的示范工程,目的就在于共同总结形成这个领域的服务规范。

  高岚:从严格意义上讲,SQL Slammer不应该算做病毒,好像它具备的黑客行为特征更多,您觉得现在的病毒和以往相比,有什么新特点?

  杜跃进:传统计算机病毒的主要特点是隐蔽性、传播性和破坏性。在80年代中后期,由于网络应用不是很普遍,或者网络都属于互不连接、各自全权管理的状态,因此病毒传播速度并不快。随着互联网及其应用的飞速发展和普及,计算机病毒的传播出现了飞跃性的变化,通过电子邮件等互联网应用,新病毒可以在一天以内就在全世界传播开来。同时,这种传播机制的变化在技术实现上也开始出现新的特点,现在对用户带来威胁的病毒,更准确的应该叫做“恶意代码”,即对用户带来破坏的所有程序,而且各种恶意代码层出不穷,已经出现结合传统病毒、蠕虫、黑客攻击、特洛伊木马等全部特点,成为“集大成者”,2001年的红色代码、尼姆达、这次的SQL杀手蠕虫都是典型的例子。这些恶意程序可以造成大面积的网络瘫痪,给大量用户造成损失。

  高岚:您觉得对于个人用户与网管员,他们在病毒的日常防治工作中,应该如何各尽其职?

  杜跃进:对于个人用户,我认为最重要的一点是,要及时更新自己的防毒系统,关注有关的病毒疫情、产品更新等信息;对系统管理员、网络管理员和安全管理人员来说,要及时跟踪系统漏洞信息和新的病毒疫情情况,及时为终端用户提供信息和支持,并且在网络和系统中采取相应的措施;安全管理人员则需要和有关的专业机构和组织建立日常联系,以得到权威的支持和应急响应服务。在这次病毒事件后,我们正式向运营商们提出推广“安全增值服务”,运营商完全可以利用自己的优势为用户提供某些安全方面的保护。作为接入运营商网络的用户,其利益应该得到运营商的保护,但现在的问题是,当某个运营商网络中的用户受到来自别的用户主机的持续攻击时,运营商往往听之任之,表面上看,是保护了每个用户的网络接入服务,可是却损害了正常接入用户的利益。当然,解决这个问题并不容易,还需要来自例如政策法律等方面的支持,但是,如果只是被动地“不作为”,这种对攻击源的纵容态度不是一种合理现象。


  主持人 高岚


  中国计算机网络应急处理协调中心负责人 杜跃进博士:

  国家计算机网络与信息安全实验室主任,兼管中国计算机网络应急处理协调中心的工作,该中心直属于国家计算机网络与信息安全管理中心领导