拜访国家互联网应急中心

  • 来源:瞭望东方周刊
  • 关键字:国家,互联网,应急中心
  • 发布时间:2013-08-13 13:50

  北京北三环裕民路,靠近元大都遗址公园的地方,马路两侧有两个“大盒子”式的建筑,西侧的就是中国国家计算机网络应急技术处理协调中心(CNCERT/CC),也就是通常所说的国家互联网应急中心。

  作为中国应对网络安全事件的“国家队”,CNCERT/CC担负着开展中国网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全、保障基础信息网络和网上重要信息系统的安全运行。

  而随着中国网络事业的迅速发展,以它为核心的国家公共互联网安全事件应急处理体系,正承担着越来越重的压力和任务。

  网络安全的国家队

  在CNCERT/CC内行走,需要身份卡才能打开各种大门。作为来访者,即使在接待处换取了卡片,也无法乘坐电梯:电梯等候区外侧还有一道门禁,需要由CNCERT/CC工作人员从内侧打开。

  CNCERT/CC发端于1999年9月,它被称为“非政府、非盈利的网络安全技术协调组织”,挂靠在工业和信息化部。

  在CNCERT/CC运行部主任王明华看来,CNCERT/CC是国家公共互联网安全事件应急处理体系的核心。“在国家的网络安全体系中,是国家级的队伍之一。”他对《瞭望东方周刊》说。

  CNCERT/CC的主要部门有运行部、保障部、技术部等,“网络安全的事件监测、预警与处置等日常工作,由运行部负责。”他介绍。

  目前CNCERT/CC主要有四项业务。

  首先是监测发现。依托“863-917公共互联网网络安全监控基础平台”开展对基础网络安全、移动互联网安全、IDC安全、增值业务安全和网上金融证券等重要信息系统网络攻击行为的监测发现,包括对安全漏洞、网络病毒(例如木马和僵尸网络等)、网页篡改、网页挂马、拒绝服务攻击、域名劫持、路由劫持、网络钓鱼等各种网络攻击的监测发现能力。

  “863-917公共互联网网络安全监控基础平台”是国家863计划支持设立的网络安全应急项目,也是国家公共互联网应急响应的一个重要的基础支撑平台。

  另外,CNCERT/CC还通过国内外合作伙伴的数据和信息共享,以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安全事件报告等,多种渠道发现网络攻击威胁和网络安全事件。

  第二是预警通报。依托对丰富数据资源的综合分析和多渠道的信息获取,实现网络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分析等。为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息共享等服务。

  第三是应急处置。CNCERT筛选危害较大的事件进行及时响应和协调处置,重点处置的事件包括:影响互联网运行安全的事件、波及较大范围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成较大影响的事件,以及境外国家级应急组织投诉的各类网络安全事件等。依托与运营商、域名注册商、安全服务厂商等相关部门的快速工作机制,与涉及国计民生的重要信息系统部门及执法机关密切合作机制,实现网络安全事件的快速处置。

  同时,CNCERT/CC作为国际著名网络安全合作组织FIRST和APCERT的重要成员,与多个世界著名的网络安全机构和各个国家级应急组织建立了网络安全事件处理合作机制。面向国内外用户受理网络安全事件报告,及时掌握和处置突发重大网络安全事件。

  第四则是按照相关标准为企业提供安全评测服务。

  王明华介绍说,CNCERT/CC在全国有31个分中心,其中广东、上海、江苏等经济发达地区的分中心业务最为繁忙。

  各省区分中心都依托当地的通信管理局,大部分与当地通信管理局一起办公,有时工作人员还会有交叉。不过,各分中心的经费都是由北京总部拨付。

  在处置境内网络安全事件中,各省区的分中心可以直接联系,密切协作。除了接受当地投诉,各分中心还有总部派发的任务。

  不过,它只是通过组织网络安全企业、学校、民间团体和研究机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,共同处理中国互联网相关各类重大的网络安全事件,与军方没有业务上的往来。

  “红色代码”推动应急体系

  CNCERT/CC源自中国在新世纪开始逐步建立的国家公共互联网安全事件应急处理体系。后者也是中国应急处理体系的重要组成部分,通过建立一个专业化、高效率、密切配合的合作体系,解决公共互联网络面临的安全危机。其他同类体系还包括卫生、救灾等。

  而CNCERT/CC成为公共互联网应急响应体系的运行核心,同时也成为政府和安全业界的一个联系纽带。

  其实从2000年以来,中国境内严重的互联网安全事件层出不穷。这一年,原国家信息化领导小组计算机网络与信息安全管理办公室召开关于建立国家公共互联网安全事件应急处理体系的工作会议,提出由CNCERT/CC承担核心任务。

  而2001年“红色代码”病毒入侵中国,促使加速推动建立国家公共互联网安全事件应急处理体系。

  最终在全球造成数百亿美元损失的“红色代码”,于2001年8月初开始在中国境内大规模蔓延。当时病毒做了一些修改,针对中文操作系统加强了攻击能力。在北京、上海等信息化程度较高的地区,受灾情况相当严重。公安部专门发布紧急通告,要求对该病毒严加防范。

  当时,虽然中国已经有网络安全专业机构,但没人能够掌握各骨干网受感染的整体情况。

  在CNCERT/CC的建议下,原信息产业部组织了各个互联网单位和网络安全企业参加的应急响应会,汇总了全国当时受影响的情况,约定了协调处理的临时机制,确定了联系方式,并最终组成了一个网络安全应急处理联盟。

  然而每次开会都要两三天时间。“红色代码”事件后,专业人员判断,这种能够高速蔓延的蠕虫病毒将成为一种趋势,必须在两三个小时甚至更短时间内对大规模网络安全事件进行响应。

  2001年10月,原信息产业部提出建立国家计算机紧急响应体系,并且要求各互联网运营单位成立紧急响应组织,能够加强合作、统一协调、互相配合。自此,中国的网络安全应急体系应运而生。

  到2002年,中国的骨干互联网运营商都成立了应急响应组织,整个国家公共互联网安全事件应急处理体系初步形成。

  到2003年上半年,一种新的蠕虫病毒“SQL杀手”在几小时内使中国几乎所有的互联网运营商都受到损失,部分骨干网甚至一度瘫痪。

  由于应急体系在初期就监测到了网络流量异常,且CNCERT/CC可以居中协调,因此成功应对了这一危机。

  2003年,中编办正式批复同意建立CNCERT/CC,在业务上还增加了“跨国网络安全事件处置”,参与国际合作。至此,CNCERT/CC完成了组织和基本业务能力建设。

  400单位应对网络安全

  除了CNCERT/CC,国家公共互联网安全事件应急处理体系还有若干支撑机构。

  其中,国家计算机病毒应急处理中心、国家计算机网络入侵防范中心和国家863计划反计算机入侵和防病毒研究中心等三个专业机构,主要从事计算机病毒的发现、分析及预警工作,入侵技术的研究及应对方法研究等。它们都受到CNCERT/CC协调和指导。

  在国家层面,国家网络与信息安全协调小组办公室全面负责中国各类网络与信息安全应急响应体系,负责协调政府有关管理部门互相配合。同时,国家网络与信息安全协调小组下还建立了网络与信息安全通报中心,加强信息安全分析和共享。

  工业和信息化部互联网应急处理协调办公室是面向公共互联网的网络安全工作的主管机构。它还参与国际网络安全任务组的工作,并与其他经济体之间进行联系。

  王明华介绍说,在国家公共互联网安全事件应急处理体系中,除了作为核心骨架的CNCERT/CC,下面还有400多家企业和运行服务支撑单位。

  2004年,CNCERT/CC首次面向社会公开选拔了一批国家级、省级公共互联网应急服务试点单位。通过公开选拔方式,选择部分在中国境内从事公共互联网网络安全服务的机构作为“CNCERT网络安全应急服务支撑单位”。在CNCERT/CC的统一协调与指导下,各应急服务支撑单位共同参与中国互联网安全事件的应急处理工作,维护国家互联网网络安全。

  目前,共有北京启明星辰有限公司、哈尔滨安天科技股份有限公司等8家国家级应急服务支撑单位,北京互联通网络科技有限公司、北京网秦天下科技有限公司、北京知道创宇信息技术有限公司等37家省级应急服务支撑单位。

  王明华透露,CNCERT/CC正在制定2020年发展规划。该规划由运行部自2013年6月底开始起草,计划在9月发布。

  他进一步介绍,该规划为CNCERT/CC制定的未来目标主要包括四个方面。

  第一,作为与网络安全和技术相关的组织,要承担相应的技术职能,发展成为国家的网络安全技术核心。

  第二,要建立自上而下的完备的国家网络应急体系。

  第三,作为对外处置协调的窗口,进一步提高跨国网络安全事件的处置能力。

  第四,面向公众,提高网络安全事件的投诉、处置、宣传、教育的能力。“要想清楚未来要做什么事情。不能什么都做,要集中精力去做一些事情。”王明华解释说。

  《瞭望东方周刊》记者吴铭|北京报道

关注读览天下微信, 100万篇深度好文, 等你来看……