网络安全应急响应基础理论及关键技术
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第1章 网络安全应急响应业务的发展简史

1.1 网络安全应急响应业务的由来

在古书《易传》中有这样一句话:“无危则安,无缺则全”,第一次对“安全”一词进行了简洁而清晰的解释。

自Internet建成以来,其应用的安全问题一直如影随形地影响着人们的生活,并成为人们关注的热门话题。这是因为随着Internet的迅速发展,计算机网络规模不断扩张,人们对计算机系统的需求也在不断扩大,计算机存储处理的有关涉密信息或个人敏感、隐私信息已经成为不法分子的攻击目标,如果没有相应的、可靠的防护手段,必然使这些信息处于危险之中;其次,由于软件规模空前膨胀,其缺陷、漏洞在所难免,另外网络系统的软硬件故障、相关工作人员的操作失误以及恶意病毒传播都将危及数据安全和网络的可靠运行需要对出现的各种问题作出应对和处置,所以网络安全应急响应应运而生,为此下面简单阐述一下网络安全应急响应业务的由来。

Internet起源于美国国防部高级研究计划局(DARPA)于1968年主持研制的用于支持军事研究的计算机实验网ARPANET。1985年,美国国家科学基金会(NSF)组建了第一个网络并命名为NSFnet,随着TCP/IP协议的完善,NSFnet于1986年建成,并取代ARPANET成为Internet的主干网,即当今世界上最大的计算机互联网。

Internet建成的第二年(1988年),第一个网络病毒——Morris病毒(莫里斯蠕虫)诞生。Morris病毒的创造者是美国康奈尔大学的一年级研究生罗伯特·莫里斯。这个程序利用了UNIX系统中的缺陷,用finger命令轮询联机用户的名单,然后破解用户口令,用邮件系统复制、传播本身的源程序,再编译生成代码。他却万万没想到,1988年11月2日该蠕虫病毒在互联网上大肆传播,使得数千台联网的计算机停止运行,并造成巨额损失。莫里斯蠕虫事件是第一次受到主流媒体强烈关注的网络安全事件,同时也是依据美国1986年的《计算机欺诈和滥用法案》定罪的第一宗案件。

在该事件之后,美国国防部高级研究计划局在卡内基梅隆大学的软件工程研究所建立了世界上第一个计算机紧急事件响应小组/协调中心(CERT/CC),随着互联网的飞速发展,出于对网络安全的需要,一大批的网络安全应急响应组织相继成立。

多年来国际社会展开对网络安全应急响应的技术研讨,1996年世界黑客大会开始组织CTF(Capture The Flag)形式的网络安全竞赛。这种比赛对选手的基础知识和技能掌握的程度要求比较高,考察的是选手对于网络安全问题的理解、具体技术的应用,以及寻找问题、判断问题、解决问题的能力。目前,网络安全竞赛从顶尖黑客间的擂台逐渐走向了各行各业,吸引了越来越多的信息安全从业者和爱好者参与其中,对网络安全应急响应业务的发展起到了很好的促进作用。国际比较知名的CTF赛事包括DEFCoN CTF、UCSB iCTF、Plaid CTF、Boston Key Party、Codegate CTF、XXC3 CTF等。这些赛事为网络安全应急响应业务的发展输送了大量的人才,提供了大量的技术,已经成为整个网络安全事业前进发展不可或缺的重要平台。

1.2 国际网络安全应急响应组织的发展

随着互联网技术的飞速发展,网络安全也逐渐引起世界各国的重视,自美国在1988年建立了世界上第一个计算机紧急事件响应小组/协调中心(CERT/CC)以来,一大批应急响应组织如雨后春笋般应运而生,比如美国联邦的FedCIRC、德国的DFNCERT、亚太地区的APCERT、欧洲的EuroCERT以及由各国CERT组织自主发起成立的国际事件响应与安全组织论坛(FIRST),都已成为各国网络安全保障领域不可或缺的专业力量。

1.2.1 FIRST介绍

FIRST作为全球网络安全应急响应领域的联盟,于1990年正式成立,现有成员组织520多个,来自美国、俄罗斯、英国、德国、澳大利亚、中国等95个经济体。FIRST主要通过向成员提供可信的联系渠道、分享最佳实践和工具等途径,促进成员间对网络安全事件的快速响应。

FIRST下设董事会和秘书处,对其成员的组织运行等不存在任何控制权力。董事会由10人组成,由成员选举产生,任期两年,负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护,财务管理,以及年会的筹办等工作。

1.2.2 APCERT介绍

APCERT作为亚太地区计算机应急响应组织的联盟,成立于2003年,现有成员组织32个,来自中国、澳大利亚、日本、韩国、马来西亚等23个经济体,其目标是通过国际合作帮助亚太地区建立安全、干净、可信的网络空间。

APCERT下设指导委员会和秘书处,对其成员的组织运行等不存在任何控制权力。指导委员会由7个成员组织组成,由成员选举产生,任期两年,负责日常运作的政策、程序和相关事务的修订和决策。秘书处负责网站、邮件列表的维护等工作。

1.2.3 国家级CERT情况

目前,“没有网络安全就没有国家安全”成为世界各国的普遍认识,随着跨境网络安全事件日益增多,各国政府开始从国家层面关注CERT组织的建设和发展,建立国家级CERT组织,使之作为国内外的主要联络点,负责协调处置涉及本国的网络安全事件和威胁。

1.美国CISA介绍

2018年11月,特朗普签署了《2018年网络安全和基础设施安全局法案》,提高了国土安全部(DHS)国家保护和计划局(NPPD)的使命,通过国家网络安全和通信整合中心(NCCIC)建立了网络安全和基础设施安全局(CISA)。CISA是美国的风险顾问机构,致力于同合作伙伴建立更安全、更具弹性的基础设施,共同捍卫网络安全,同时作为国家级CERT组织,提供网络安全技术支持和基础设施安全实践,实现风险管理,保护国家的基本资源。

2.英国NCSC介绍

为贯彻《英国网络安全战略》和《英国数字化战略》,2017年英国女王伊丽莎白二世宣告由网络评估中心、计算机应急响应小组和情报机构政府通信总部的信息安全小组合并成立英国国家网络安全中心(NCSC),主要工作包括电子邮件安全、系统漏洞发现、完善软件生态系统、减少攻击和应对网络安全事件,以及在研究、创新和技能上提升网络安全能力等。此外,它还涉及国家基础设施保护中心与网络相关的部分工作。

1.3 我国网络安全应急响应组织体系的发展简介

1999年,由中国教育和科研计算机网资助,在清华大学成立了我国第一个计算机安全应急响应组织——中国教育和科研计算机网紧急响应组(CCERT),面向用户提供网络安全应急服务。2000年,在美国召开的FIRST年会上,CCERT第一次在国际舞台上介绍了中国网络安全应急响应的发展。

2001年8月,中央网络安全和信息化委员会办公室(以下简称“中央网信办”)牵头成立了国家计算机网络应急技术处理协调中心(CNCERT/CC),作为国家级网络安全应急机构,其主要任务是建设国家级的网络安全监测预警中心,以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。

目前,我国各省、自治区、直辖市也建立起了相应的网络安全应急响应部门,与CNCERT形成了我国网络安全应急响应体系,如图1-1所示。

国家网络安全应急响应体系是由国家网络安全主管部门、CNCERT、国家级网络安全技术队伍等组织构成的。

其中,中央网信办研究制定网络安全和信息化发展战略、宏观规划和重大政策,建立健全跨部门联动处置机制,统筹安全事件应对工作。必要时成立国家指挥部,负责特别重大事件处置的组织指挥和协调。

工业和信息化部网络安全应急办公室,组织拟订电信网、互联网及其相关网络与信息安全规划、政策和标准并组织实施;承担电信网、互联网网络与信息安全技术平台的建设和使用管理;承担电信和互联网行业网络安全审查相关工作,组织推动电信网、互联网安全自主可控工作;承担建立电信网、互联网新技术新业务安全评估制度并组织实施;指导督促电信企业和互联网企业落实网络与信息安全管理责任;承担电信网、互联网网络与信息安全监测预警、威胁治理、信息通报和应急管理与处置;承担电信网、互联网网络数据和用户信息安全保护管理等工作。

图1-1 我国网络安全应急响应体系

CNCERT主要负责协调国家各行业相关主管部门及各计算机网络安全事件应急小组共同处理网络安全紧急事件,为国家重要信息系统、公共互联网以及关键部门提供监测预警、应急处置等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内网络安全应急响应单位进行国际合作和交流。

CNCERT不但与国内的基础电信企业、增值电信企业、域名注册服务机构、网络安全服务厂商等建立信息共享、漏洞通报等工作机制,还发起成立了国家信息安全漏洞共享平台(CNVD)、中国反网络病毒联盟(ANVA)和中国互联网网络安全威胁治理联盟(CCTGA),为实现网络强国战略、构建中国国家网络安全应急响应体系添砖加瓦。

同时,CNCERT还积极开展网络安全国际合作,作为FIRST的正式成员以及APCERT的副主席,致力于构建跨境网络安全事件的快速响应和协调处置机制。截至2021年,CNCERT已与81个国家和地区的274个组织建立了“CNCERT国际合作伙伴”关系。通过构建的国内国外网络安全应急响应联系体系,CNCERT成功处置了WannaCry勒索病毒、某电商服务器遭受持续性DDoS攻击等一系列网络安全事件,极大维护了我国在网络空间的相关利益,同时促进了国际社会对我国互联网管理政策和思路的理解和认识,树立我国负责任的大国形象。