同时,CNCERT/CC紧急组织技术人员对蠕虫样本进行分析,确定了蠕虫传播的特征和进行网络隔离的有效方案。然后,一方面将分析结果通告各互联网应急小组,建议其采取隔离措施;另一方面,CNCERT/CC利用网络安全监测平台对国内受感染主机及蠕虫的扩散情况进行监测。
各运营商迅速采取了网络隔离措施,很快就遏制了蠕虫的传播。随后,根据CNCERT/CC提供的被感染主机列表,各个运营商分头及时进行处理,彻底根除攻击源。
CNCNERT/CC及时在网站上发布了网络用户对计算机进行安全加固和恢复被感染主机的方法,并及时将有关情况向信息产业部做了报告。
整个事件从发现到各部门协同工作,采取隔离措施成功遏制蠕虫传播仅用了4 h,各互联网单位最终清除和恢复被感染主机也基本在当天完成,体现出我国应急处理体系所发挥出的显著作用。
2.某政府网站遭遇DDOS攻击事件
2003年5月,CNCERT/CC接到用户举报,南方某市政府信息网络运行异常,电子政务和86个政府网站受到严重干扰。CNCERT/CC立即协调当地分中心前往现场进行处理,通过分析发现是遭到了DDOS攻击。
接着,在当地互联网运营商的配合下,追查到攻击来自贵州省。
CNCERT/CC立即协调贵州分中心联合当地运营商继续处理,当天即定位到攻击源来自某托管主机,并进行了妥善处理。
事后,CNCERT/CC对受攻击者的网络做了基本的安全性评估,提出了安全加固建议。
3.AusCERT投诉网络欺诈 事件
2003年12月8日接到AusCERT投诉,发现我国境内两台主机冒充金融机构进行欺诈。经过调查核实后,CNCERT/CC定位到主机分别位于江苏和云南,并初步分析发现主机上存在明显安全漏洞,怀疑被黑客利用。
CNCERT/CC迅速指挥当地分中心进行处理,12月9日和10日,江苏、云南分中心联合当地运营商准确定位到目标主机,并进行了妥善处理。
事后,CNCERT/CC及时向AusCERT反馈了处理情况,并对网络欺诈事件的有关情况向信息产业部做了汇报。
我国应急体系下一步工作要点
处于起步阶段的我国应急体系急需在实践中迅速成熟和完善起来,以便适应我国互联网进一步发展的需求。在目前工作的基础上,我国应急体系还应该重点做好如下工作:
·加强制度和流程的建设,制定和完善应急处理预案,保证整个应急体系的高效运行;
·加强体系内各部门之间的沟通,及时交流最新情况和处理经验;
·加强安全技术宣传、培训和教育工作,提高我国网络用户的整体安全防护意识和专业人员的应急处理服务质量;
·积极开展网络安全事件的演练,及时发现和改进存在的问题和不足;
·加强国际合作,建立畅通和可信的沟通渠道,促进技术和经验交流,开展联合处理行动。
周勇林 国家计算机网络应急技术处理协调中心运行部副主任
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
