【以下内容转载自凤凰网】
【注:《2012年中国互联网网络安全报告》原文请参见这里。】
尽管故意炒作的“中国***威胁论”甚嚣尘上,但数字表明,中国恰恰是网络***的最大受害国之一。
来自中国国家计算机网络应急技术处理协调中心(CNCERT/CC)的报告显示,在中国遭受的境外网络***中,无论***或僵尸网络控制服务器控制境内主机数量,还是网站后门、网络钓鱼等,来自美国地址的***均名列第一。
作为国家公共互联网网络安全应急体系的核心技术协调机构,CNCERT/CC最近发布的《2012年中国互联网网络安全报告》认为,针对中国网络基础设施的探测、***和***事件时有发生,虽尚未造成大规模严重危害,但高水平、有组织的网络***,给中国的网络基础设施安全保障带来严峻挑战。
仅2013年上半年,CNCERT/CC共向国际网络安全应急组织和其他相关组织投诉1760起,其中向美国相关组织投诉1110起。
CNCERT/CC运行部主任、《2012年中国互联网网络安全报告》编委会执行委员王明华在接受《瞭望东方周刊》采访时表示,互信是进一步推进国际网络安全合作的关键环节。避免用“有色眼镜”看待网络安全问题,是促进国际合作、缓解各国网络安全威胁的前提。
千万台境内电脑“失陷”
根据《2012年中国互联网网络安全报告》,2012年中国境内有1419.7万余台主机受到境外***或僵尸网络控制,较2011年增长59.6%。
其中,被来自美国IP地址的***或僵尸网络控制的服务器和主机数量,占全部的17.6%和74%,均名列第一。
僵尸网络是指***者通过各种途径传播“僵尸”程序,感染互联网上的大量主机,而被感染的主机将通过接收***者的指令,组成一个僵尸网络。
如果从中国境内服务器被控制的比例来看,来自日本和中国台湾的IP地址紧随美国之后,分列第二、三位,分别占9.6%和7.6%;从控制的中国境内主机数量来看,来自韩国和德国的IP地址分列第二、三位,分别控制78.5万和77.8万台主机。
在网站后门***方面,境外有3.2万台主机通过植入后门,对境内3.8万个网站实施远程控制,美国、韩国和中国香港位于前三位。
在网络钓鱼***方面,针对中国的钓鱼站点有96.2%位于境外。其中位于美国的占83.2%,仍然位居第一。
王明华告诉本刊记者,截至2013年6月30日的数据表明,从控制服务器所占比例来看,美国继续排名第一,中国香港变成了第二位,韩国位列第三;从所控制的中国境内主机数量来看,美国第一,葡萄牙和中国香港分列第二、三位。
中国香港虽然IP地址、主机、人口数量都不多,但是“现在互联网跳板非常多,香港的排列次序变化,只能说与其网络安全形势、政策、策略、防护机制等有一定关系”。他解释说,国家和地区次序的变化,与当地互联网管理的策略有多种关系。
比如韩国互联网比较发达,人均带宽位居世界第一,并且存在互联网近邻效应。它与中国的交流多、流量大,网络安全事件就可能多一些。
“美国IP地址最多、机器也多,排第一位,我们不感到意外。”他认为。
根据CNCERT/CC数据,自2010年以来,来自美国、日本、韩国的***始终对中国境内的网络安全造成较大威胁,印度、土耳其等也成为重要的***源头。3年来,对中国境内实施网页挂马、网络钓鱼等不法行为,所利用的恶意域名半数以上在境外注册,而且境外注册比例不断提高。
CNCERT/CC工程师、《2012年中国互联网网络安全报告》编委会委员徐原对《瞭望东方周刊》说,CNCERT/CC只能监测到大部分发起***的IP地址位于美国,但并不能确认其来自政府还是民间。同时,发起***的IP地址可能受别人控制。而追究这些根源,都需要外国政府和相关机构、企业的配合。
“冷战思维”的国际***
虽然确定***源头存在一定难度,但“匿名者”、“反共***”、“阿尔及利亚Barbaros-DZ”等境外***组织已经浮出水面。
徐原向本刊详细介绍说,CNCERT/CC 从2010年就开始重点关注“匿名者”。这是一个比较松散的***组织,理念是“互联网自由”,只要认可这一理念的***,都可以“匿名者”的名义从事***活动。
由于这种组织架构,据称其成员高达数百万人,遍及世界各地。他们主要在网上论坛集结,经常对各个国家政府网站发动***,篡改网页内容。
也有信息显示,“匿名者”目前已成为全球最大的***组织。它于2003年成立,由一个网络信息论坛里喜欢恶作剧的***和游戏玩家发展而成。
自2008年开始,“匿名者”表现出比较明显的政治倾向,对“自由之敌”开战:参与中东动荡、“占领华尔街”、“维基解密”、阿桑奇等事件。甚至当网络支付平台PayPal拒绝为“维基解密”提供转账服务时,也受到了“匿名者”的***。
“匿名者”明显表现出西方精英阶层某部分人惯有的歧视和偏见。目前被美国联邦调查局逮捕的“匿名者”负责人也都符合西方***的典型特征:年轻、白人、男性。
“匿名者”在政治事件上最著名的案例是,他们对2011年突尼斯的国内政治动荡起到一定助推作用。“匿名者”当时不仅攻破了突尼斯证券交易所和众多政府网站,而且还教授不同政见者如何摆脱政府的网络管理。
CNCERT/CC发现,“匿名者”针对中国的***者主要来自自称为“Anonymous China”的ID。
它主要关注中国境内政府网站以及一些存储有大量用户信息的重要行业网站,通常利用文件上传等漏洞进行***,窃取大量网站用户账号和私密信息。据不完全统计,其关注的中国境内目标网站超过600个,其中包括上百个政府部门网站。
根据“匿名者”的传统,在***中国境内网站成功后,该组织成员会通过网络社交工具、网络聊天室等网络媒介展示其***成果。
2012年3月、4月、11月,“匿名者”多次宣称***了中国政府和大型企业网站。4月至7月,CNCERT/CC监测发现并报告了“匿名者”对×××、国家自然科学基金委、水利部、商务部等网站的***事件。
另一个经常对中国境内网络进行***的典型组织是“反共***”,它具有很强的意识形态色彩和“冷战思维”。
王明华说,该组织的***主要针对党务系统的网站,以及部分高校与社会组织网站。***成功后,它篡改网页,在网页上显示一些反共口号,发布的言论经常与当前一些时事热点结合,有较强的煽动性。同时,它也会在谷歌地图上做标记,注明攻陷网站名称和具体时间,然后通过网络媒介迅速扩大影响。
截至2012年12月31日,CNCERT/CC共监测到涉及90个部门的142个网站被该组织篡改。
王明华进一步介绍,“反共***”的活动很有周期性,每周都要***两三个网站。根据初步研判,“反共***”能持续发布***案例,说明其已经掌握了中国境内大量网站的漏洞,可能采用了预先植入后门等手段,控制了一些网站服务器以备使用。
而自2012年3月到12月31日,中国境内超过1250个政府网站页面被“阿尔及利亚Barbaros-DZ”篡改。
王明华说,至2013年三四月,他们通过搜集“阿尔及利亚Barbaros-DZ”在网络上建立的账号、帖子、博客,以及在各处的留言,分析出他其实就是具有较强宗教倾向的个人。
“是一个***,而不是一个组织。”徐原说,CNCERT/CC还找到了他的照片。
背景复杂的APT***
2013年1月1日至6月30日,CNCERT/CC共接收并协调处置国际应急组织和其他网络安全组织投诉拒绝服务***、恶意程序、网络钓鱼等事件339起,其中来自美国的组织投诉事件191起,来自欧洲的组织投诉事件62起。
同期, CNCERT/CC共向国际网络安全应急组织和其他相关组织投诉达1760起,其中向美国相关组织投诉1110起。
在此期间,CNCERT/CC还组织开展了3次***和僵尸网络专项打击行动,成功处置了899个控制规模较大的***和僵尸网络控制端与恶意程序传播源,切断了***对近152万台感染主机的远程操控。
对于网络***的“工具”---病毒,中国受到***较多的是能够实施APT***的“火焰”病毒、“高斯”病毒、“红色十月”病毒等。
APT即高级持续性威胁,是***以窃取核心资料为目的发动的网络***和侵袭行为,通常是一种蓄谋已久的网络***。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
上述几种APT病毒非常复杂,幕后操作者目的性极强,需要进行前期数据收集,有很长的潜伏期。“有些病毒一直潜伏着,在不断增加它的感染量,版本也在持续更新。”徐原说。
据CNCERT/CC监测,2012年中国境内至少有4.1万余台主机感染具有APT特征的***程序,涉及多个政府机构、重要信息系统部门以及高新技术企事业单位,这类***的控制服务器绝大多数位于境外。
至于以APT为主的病毒,“需要很大的精力和财力,一般***不会做这件事情,可能会有政府在幕后操作。做这类病毒的人都很专业,并且坚持不懈,防范是个很大的难题。”王明华说,国际上通常认为发起这种***的源头具有更高、更复杂的背景。
他建议,个人必须具有防范意识,收到未知邮件、链接、程序不要随便点击。而从企业、网管的角度,要加强安全防护,配置好合适的防火墙。
对国家层面来说,政府的网络安全管理部门要提高高危病毒的重视程度,要加大宣传力度,对国家重点企业、重要信息系统进行重点防护。
就最近爆发的“棱镜门”事件,王明华认为,国家重要的信息系统尽量不要使用国外厂商的服务器产品。譬如现在中国的骨干网络上,还有一些思科的产品。而斯诺登首先曝光的就是思科与美国政府有相关合作。
“可以远程改变路由器配置,获知一些信息。这是很容易做到的。”王明华说。
在2012年,中国境内政府网站被篡改数量为1802个,较2011年的1484个增长21.4%。王明华认为,省部级层面对网络安全的认识比较到位,但地市级及以下网站安全防护确实不理想。
通常情况下,地×××府只是侧重于建立一个网站,对网站的维护重视程度远远不够。“******政府网站,主要是针对应用系统本身的缺陷。网管发现漏洞,要及时修复,如果反应不够快,网站承载的信息就可能很快被***窃取。”他说。
另一方面,对于个人用户而言,移动互联网的安全威胁日益严重,而安卓手机平台逐渐成为安全重灾区。
王明华解释说,安卓系统代码是开放的。另外,安卓系统的用户基数较大,导致受灾较为严重。
合作消除误解
随着境外对华网络***日益严重,推进国际合作成为当务之急。在这方面,中韩两国的网络安全合作可以作为案例。2013年,为了共同维护双方的互联网网络安全,中韩两国还签订了新的合作协议。
2012年,来自韩国的***或僵尸网络控制服务器控制中国境内78.5万台主机,紧随美国之后,位列第二。在网站后门***方面,韩国远程控制中国大陆7931个网站,同样位于第二位。
2012年2月7日下午,CNCERT/CC接到境内“乌云”网站的求助电话,称其网站正在遭受网络***,已不能提供正常的访问服务。
CNCERT/CC立即对***事件进行技术验证和数据分析,发现该网站位于吉林省的网站服务器从当日早7时开始遭受严重***。
进一步分析发现,在1800多个***源IP地址中有1400多个位于韩国。为此,按照与韩国方面建立的工作机制,CNCERT/CC于7日下午紧急联系了韩国互联网应急中心(KrCERT),请其协助处理此次***事件。
KrCERT迅速完成了***源IP定位验证、恶意程序分析、***源IP处理和防病毒软件病毒库升级等工作。7日晚,“乌云”恢复正常。
王明华解释说,根据分析,这起事件的源头是:韩国有一个网站wuyun.com,该国***可能本来要***这个网站,在输入域名时出现错误,把com输入成了org,转而错误地对“乌云”网站展开***。
最近一次涉及两国互联网安全的事件发生在2013年3月20日,韩国主要广播电台KBS、MBC、YTN,以及韩国新韩银行、农协银行等部分金融机构遭受大规模网络***。
***通过向这些机构所使用的杀毒软件管理服务器植入恶意程序,使3.2万台电脑出现故障,导致自动取款机无法取款、电视节目无法制作,相关网络与信息系统完全陷入瘫痪。为此,KrCERT上级领导部门、韩国广播电台主管部门、韩国军方联合成立了“民官军联合应对小组”。
徐原对本刊记者说,事件发生后,韩国媒体称发起***的IP来自中国,而且在文中特别说,“由于朝鲜多次通过中国的互联网对韩国机构进行网络***,故此次事件有可能是朝鲜所为。”
CNCERT/CC看到这条新闻后,主动联系韩国的KrCERT,获知***韩国的IP地址。
CNCERT/CC随后从境内运营商了解到,此IP自2012年8月就已经停止使用。CNCERT/CC在22日中午向KrCERT反馈了这个情况,并要求韩国进一步提供分析报告及相关证据线索。
随着韩国“民官军联合应对小组”进一步调查,发现是韩国农协银行的网管没有使用预留的标准私有IP,导致其IP地址落入中国的网址范围。
到25日,韩国发布消息说,据韩国警察厅调查发现,导致此次网络瘫痪的恶意代码来自美国和欧洲地区的4个国家。
与美合作清除僵尸网络
中国境内互联网遭受美国***最多,双方最近一次重要合作发生在2013年6月24日。当时CNCERT/CC接到美国计算机网络应急技术处理协调中心(US-CERT)投诉,称来自中国境内的8个IP地址对美国实施了APT***。
CNCERT/CC对美国提供的IP地址进行技术分析,结果显示这些IP地址没有对外发起***的迹象,但会定期链接22个境外IP地址。这22个境外IP中有10个IP地址位于美国,它们疑似被其他人控制。
CNCERT/CC将技术分析结果反馈给US-CERT,请他们对这10个可疑IP地址进一步核查。截至目前,还没有收到US-CERT的进一步反馈。
US-CERT隶属于美国国土安全部。除了和美国政府的下属组织合作,CNCERT/CC与美国公司、欧美网络安全机构也有紧密协作。
2013年6月,CNCERT/CC接到微软公司举报,请求协助联合打击名为Citadel的全球大型僵尸网络。
Citadel恶意程序会监视并记录受害者的信息,并将信息发给***,后者可直接登录受害者的银行账户或其他网上账户,轻松盗取资金、窃取个人身份信息。
据监测,全球至少有500万台个人电脑受到Citadel感染。它问世以来,超过90个国家和地区遭受了***,共损失了5亿多美元的财富。
微软公司请求CNCERT/CC协助清理该僵尸网络在中国境内的IP地址,以及在中国注册的域名。CNCERT/CC协调国内相关企业和域名注册机构,快速处置了微软提供的全部恶意IP地址和域名。
自2011年以来,CNCERT/CC与微软公司还联手清除了Rustock、Nitol等多个大型僵尸网络。2010年2月底,CNCERT/CC还参与了中美欧网络安全组织清除Waledac大型僵尸网络的行动。
而在官方合作方面,2011年,CNCERT/CC圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和中国大连举办的国际会议上正式发布了其成果报告“抵御垃圾邮件建立互信机制”中英两版,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。
2012年起,CNCERT/CC正在与美国东西方研究所就“反******”专题开展对话,中美双方专家就研究***定义、***方式、最佳实践、应对措施等问题交流了意见。
“通过网络安全事件处理机制,中国发现来自美国IP的***,可以向US-CERT投诉,他们会协助处理。他们把来自中国的***投诉给CNCERT/CC,我们也会协助处理。”徐原说。
信任至关重要
徐原介绍,CNCERT/CC的主要工作是对中国互联网进行整体监测。比如,哪里的流量发生异常、哪里的***或僵尸数量变多、哪里的网页被恶意篡改,等等。“在对***的监测方面,他们在对某个网站发起***之前我们是不知道的。在我们监测到网页篡改等***后,我们会马上协调网站管理员,或者网站所属的运营商,及时弥补漏洞,把影响减至最小。”
上世纪80年代末,美国出现了全球最早的互联网应急机构。后来,全世界几十个国家和地区都成立了CERT或类似的组织。
1990年11月,一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”,即FIRST,其亚太地区应急响应工作组称为APCERT。
CNCERT/CC是FIRST正式成员,也是APCERT的发起人之一。
作为中国互联网网络安全应急体系对外合作窗口,CNCERT/CC目前也正在继续实施“国际合作伙伴计划”。
到2012年底,CNCERT/CC已与51个国家和地区的91个组织建立联系机制,与其中的12个组织正式签订网络安全合作备忘录或达成一致,进一步完善和加强跨境网络安全事件处置的协作机制。
这样,在2012年,CNCERT/CC全年共协调境外安全组织处理涉及境内的网络安全事件4063起,较2011年增长近3倍;协助境外机构处理跨境事件961起,较2011年增长69.2%。
王明华说,跨国合作是CNCERT/CC这几年最主要工作内容。其中,重点是增强双边互信,在共同构建互信的基础上,进行网络安全合作。
然而,一些国家却总愿意用非“技术”视角来看待这些问题。他说,比如美国总是指责中国,总想在政治上确立一种影响中国的方式,而不是寻找一种力求解决问题的途径,“指责、谩骂,无助于问题的解决。”
在王明华看来,国际间共同应对网络安全的问题依然面临很大挑战,其中信任问题至关重要,“建立互信就需要交流,即便发邮件、打电话,这种信任还是非常脆弱。主要途径还是双方的见面交谈。尤其是在双边和多边的组织里面进行交流合作。”
另外,还要借助日常事件的处理来加强双方关系,多进行技术上的沟通、保持畅通的联系。“关于事件处置,我们在国内、国际上有三句比较通俗的话:找得到人、说得上话、办得成事。”他说。
对于未来国际合作的方向,王明华建议,首先要有一个明确的机制,由政府牵头、在明确的框架下,落实到具体的单位,这样,在处理网络安全问题时会更加畅通。
北京北三环裕民路,靠近元大都遗址公园的地方,马路两侧有两个“大盒子”式的建筑,西侧的就是中国国家计算机网络应急技术处理协调中心(CNCERT/CC),也就是通常所说的国家互联网应急中心。
作为中国应对网络安全事件的“国家队”,CNCERT/CC担负着开展中国网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全、保障基础信息网络和网上重要信息系统的安全运行。
而随着中国网络事业的迅速发展,以它为核心的国家公共互联网安全事件应急处理体系,正承担着越来越重的压力和任务。
网络安全的国家队
在CNCERT/CC内行走,需要身份卡才能打开各种大门。作为来访者,即使在接待处换取了卡片,也无法乘坐电梯:电梯等候区外侧还有一道门禁,需要由CNCERT/CC工作人员从内侧打开。
CNCERT/CC发端于1999年9月,它被称为“非政府、非盈利的网络安全技术协调组织”,挂靠在工业和信息化部。
在CNCERT/CC运行部主任王明华看来,CNCERT/CC是国家公共互联网安全事件应急处理体系的核心。“在国家的网络安全体系中,是国家级的队伍之一。”他对《瞭望东方周刊》说。
CNCERT/CC的主要部门有运行部、保障部、技术部等,“网络安全的事件监测、预警与处置等日常工作,由运行部负责。”他介绍。
目前CNCERT/CC主要有四项业务。
首先是监测发现。依托“863-917公共互联网网络安全监控基础平台”开展对基础网络安全、移动互联网安全、IDC安全、增值业务安全和网上金融证券等重要信息系统网络***行为的监测发现,包括对安全漏洞、网络病毒(例如***和僵尸网络等)、网页篡改、网页挂马、拒绝服务***、域名劫持、路由劫持、网络钓鱼等各种网络***的监测发现能力。
“863-917公共互联网网络安全监控基础平台”是国家863计划支持设立的网络安全应急项目,也是国家公共互联网应急响应的一个重要的基础支撑平台。
另外,CNCERT/CC还通过国内外合作伙伴的数据和信息共享,以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等,多种渠道发现网络***威胁和网络安全事件。
第二是预警通报。依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等。为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。
第三是应急处置。CNCERT筛选危害较大的事件进行及时响应和协调处置,重点处置的事件包括:影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件,以及境外国家级应急组织投诉的各类网络安全事件等。依托与运营商、域名注册商、安全服务厂商等相关部门的快速工作机制,与涉及国计民生的重要信息系统部门及执法机关密切合作机制,实现网络安全事件的快速处置。
同时,CNCERT/CC作为国际著名网络安全合作组织FIRST和APCERT的重要成员,与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报告,及时掌握和处置突发重大网络安全事件。
第四则是按照相关标准为企业提供安全评测服务。
王明华介绍说,CNCERT/CC在全国有31个分中心,其中广东、上海、江苏等经济发达地区的分中心业务最为繁忙。
各省区分中心都依托当地的通信管理局,大部分与当地通信管理局一起办公,有时工作人员还会有交叉。不过,各分中心的经费都是由北京总部拨付。
在处置境内网络安全事件中,各省区的分中心可以直接联系,密切协作。除了接受当地投诉,各分中心还有总部派发的任务。
不过,它只是通过组织网络安全企业、学校、民间团体和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,共同处理中国互联网相关各类重大的网络安全事件,与军方没有业务上的往来。
“红色代码”推动应急体系
CNCERT/CC源自中国在新世纪开始逐步建立的国家公共互联网安全事件应急处理体系。后者也是中国应急处理体系的重要组成部分,通过建立一个专业化、高效率、密切配合的合作体系,解决公共互联网络面临的安全危机。其他同类体系还包括卫生、救灾等。
而CNCERT/CC成为公共互联网应急响应体系的运行核心,同时也成为政府和安全业界的一个联系纽带。
其实从2000年以来,中国境内严重的互联网安全事件层出不穷。这一年,原×××计算机网络与信息安全管理办公室召开关于建立国家公共互联网安全事件应急处理体系的工作会议,提出由CNCERT/CC承担核心任务。
而2001年“红色代码”病毒***中国,促使加速推动建立国家公共互联网安全事件应急处理体系。
最终在全球造成数百亿美元损失的“红色代码”,于2001年8月初开始在中国境内大规模蔓延。当时病毒做了一些修改,针对中文操作系统加强了***能力。在北京、上海等信息化程度较高的地区,受灾情况相当严重。公安部专门发布紧急通告,要求对该病毒严加防范。
当时,虽然中国已经有网络安全专业机构,但没人能够掌握各骨干网受感染的整体情况。
在CNCERT/CC的建议下,原信息产业部组织了各个互联网单位和网络安全企业参加的应急响应会,汇总了全国当时受影响的情况,约定了协调处理的临时机制,确定了联系方式,并最终组成了一个网络安全应急处理联盟。
然而每次开会都要两三天时间。“红色代码”事件后,专业人员判断,这种能够高速蔓延的蠕虫病毒将成为一种趋势,必须在两三个小时甚至更短时间内对大规模网络安全事件进行响应。
2001年10月,原信息产业部提出建立国家计算机紧急响应体系,并且要求各互联网运营单位成立紧急响应组织,能够加强合作、统一协调、互相配合。自此,中国的网络安全应急体系应运而生。
到2002年,中国的骨干互联网运营商都成立了应急响应组织,整个国家公共互联网安全事件应急处理体系初步形成。
到2003年上半年,一种新的蠕虫病毒“SQL杀手”在几小时内使中国几乎所有的互联网运营商都受到损失,部分骨干网甚至一度瘫痪。
由于应急体系在初期就监测到了网络流量异常,且CNCERT/CC可以居中协调,因此成功应对了这一危机。
2003年,中编办正式批复同意建立CNCERT/CC,在业务上还增加了“跨国网络安全事件处置”,参与国际合作。至此,CNCERT/CC完成了组织和基本业务能力建设。
400单位应对网络安全
除了CNCERT/CC,国家公共互联网安全事件应急处理体系还有若干支撑机构。
其中,国家计算机病毒应急处理中心、国家计算机网络***防范中心和国家863计划反计算机***和防病毒研究中心等三个专业机构,主要从事计算机病毒的发现、分析及预警工作,***技术的研究及应对方法研究等。它们都受到CNCERT/CC协调和指导。
在国家层面,国家网络与信息安全协调小组办公室全面负责中国各类网络与信息安全应急响应体系,负责协调政府有关管理部门互相配合。同时,国家网络与信息安全协调小组下还建立了网络与信息安全通报中心,加强信息安全分析和共享。
工业和信息化部互联网应急处理协调办公室是面向公共互联网的网络安全工作的主管机构。它还参与国际网络安全任务组的工作,并与其他经济体之间进行联系。
王明华介绍说,在国家公共互联网安全事件应急处理体系中,除了作为核心骨架的CNCERT/CC,下面还有400多家企业和运行服务支撑单位。
2004年,CNCERT/CC首次面向社会公开选拔了一批国家级、省级公共互联网应急服务试点单位。通过公开选拔方式,选择部分在中国境内从事公共互联网网络安全服务的机构作为“CNCERT网络安全应急服务支撑单位”。在CNCERT/CC的统一协调与指导下,各应急服务支撑单位共同参与中国互联网安全事件的应急处理工作,维护国家互联网网络安全。
目前,共有北京启明星辰有限公司、哈尔滨安天科技股份有限公司等8家国家级应急服务支撑单位,北京互联通网络科技有限公司、北京网秦天下科技有限公司、北京知道创宇信息技术有限公司等37家省级应急服务支撑单位。
王明华透露,CNCERT/CC正在制定2020年发展规划。该规划由运行部自2013年6月底开始起草,计划在9月发布。
他进一步介绍,该规划为CNCERT/CC制定的未来目标主要包括四个方面。
第一,作为与网络安全和技术相关的组织,要承担相应的技术职能,发展成为国家的网络安全技术核心。
第二,要建立自上而下的完备的国家网络应急体系。
第三,作为对外处置协调的窗口,进一步提高跨国网络安全事件的处置能力。
第四,面向公众,提高网络安全事件的投诉、处置、宣传、教育的能力。“要想清楚未来要做什么事情。不能什么都做,要集中精力去做一些事情。”王明华解释说。
【参考】
CNCERT:2012年中国互联网网络安全态势综述