主办单位:

主办单位:
中国电子信息产业发展研究院

承办单位:
中国计算机报社

指导单位:
国务院信息化工作办公室

公安部公共网络监察局
中国计算机学会计算机安全专业委员
国家计算机网络应急技术处理协调中心(CNCERT/CC)
中国互联网协会
中国PKI论坛
中国信息安全产品测评认证中心

协办网站:
赛迪网(www.ccidnet.com)

拟邀领导和专家:

(排名不分先后)

吕诚昭 国务院信息化工作办公室司长

沈昌祥 中国工程院院士

贾颖禾 国务院信息化办公室网络与信息安全组专家

缪道期 中国计算机学会计算机安全专业委员会副主任、公安部十一局原总工程师

吴亚非 国家信息中心信息安全研究与服务中心常务副主任、中国PKI论坛秘书长

杜跃进 国家计算机网络应急技术处理协调中心主任(CNCERT/CC) 副总工程师

李欲晓 中国互联网协会秘书处处长

冯登国 国家信息安全重点实验室主任

李晴昊 BSI英国标准协会中国区运营总监

赛迪顾问安全专家等


大会特色
★ 搭建互动平台,激荡高峰智慧
—— 政府官员、公安部、应急中心等指导型权威专家、世界知名标准组织的安全管理专家、知名咨询顾问公司的咨询专家、行业企业用户、信息安全厂商、网络与系统厂商等精英汇聚北京,激扬智慧,共同把脉信息安全在中国的发展,探讨信息安全对中国信息化产生的深远影响。
★ 关注应用案例,交流成功经验
—— 倾听行业专家讲述全程安全与应急服务的应用经验和案例,与专家与主流安全厂商就公司信息安全评估、服务与管理的关系、实施方法、最佳实践进行思想碰撞与经验交流。
★ 剖析专家视角,洞悉治理真谛
—— 从专家角度把脉全程安全的思想和方法,以及安全服务与管理的应用现状,提出信息安全中的热点和难点问题,推荐解决问题的策略和解决方案,为企业高层管理人士提供信息安全的策略参考和实务指南,导正信息安全发展与应用的方向。
联系方式

联系人:张庭 赵建波 王莹
电话:010-88558420 88558403
传真:010-88558630 88558600
Email: wangying@mei.ceic.gov.cn

会议合作事宜联系人:
信息产业部 中国电子信息产业发展研究院
第六届中国信息安全大会 组委会
舒欣颖
热线: 010-88559804,010-88559831
传真: 88559800
电子邮箱:ciw_xy@ciw.com.cn
邮寄地址:
北京市海淀区紫竹院路66号
赛迪大厦18层中国计算机报
邮编:100044

会议报名事宜联系人:
王莹010-88558403
张庭010-88558420
赵建波010-88558606
传真: 010-88558600/88558630/88558411
电子邮件:
wangying@mei.ceic.gov.cn
zhangting@mei.ceic.gov.cn zhaojb@ccidcall.com

报名链接

地址:北京海淀区紫竹院路66号赛迪大厦四层
邮编:100044

主题演讲

国家计算机网络应急技术处理协调中心副总工程师,亚太应急处理组织副主席
杜跃进博士
杜跃进:
大家好,按照这个时间表,应该在3分钟之前结束了,所以我现在讲过去时,考虑到整个会议的情况,我基本上不讲准备好的胶片,我准备了几行字,讲这几行字,这是根据情况一种动态调整,这种动态调整,我们认为是只有人可以做得出来的,在这儿我跟何院士学到很多东西,一个比如非典期间学到了很多系统控制论的这方面的知识,在这里面有一个基本的理论就是我们是反对这种唯武器论,是不是你的枪比我好,你一定能打赢我,不是这样,关键因素在什么,人的智力,两个人一比你有枪打不赢我就完了,这是关键一点,我们到说应急服务,在安全的服务把人引进来,才可以对抗动态变化的过程,这种动态变化过程,由于攻击者本身是可以变化的,不按常理出台,像一些电视上,我练好的套路,对方没有必要按照你定好的出牌等等,所以人在这里面非常重要的。现在应急的概念其实很多人已经在接受这样的概念,包括我们这次会议也已经开始说应急响应,但是我想再强调一点,其实我们这里说的应急并不是急了以后,才来应一下,其实它是我刚才说了,它用这个概念把人的因素进入到安全保障的这个工作里面来,那么它如果看一下各种应急组织,各种各样不同应急组织它们的服务的话,大家看到他们从准备阶段,好多工作的,所以我们强调应急这个概念,但是不希望,不是说要把安全分成不同的环节,其实正相反,依靠人把不同的环节捏到一起来,我的胶片还会用一点,我的焦点不是想和大家探讨应急的概念,很多人已经了解了,我想探讨应急里面尤其这两年强调的一种合作,在说这种合作之前,我说一下,从2004年的事件,我们可以看出两大趋势,一个趋势就是这种攻击事件的动机与以前不同了,2004年比较多的一个事件比如像银行的欺诈事件,或者电子商务网站的欺诈事件,再比如我们2004年底,2005年处理的江苏网络事件,很多事件已经不再像以前的,只是说攻击者为了炫耀自己的技术,或者就是为了好奇做的事情,攻击者的动机现在逐渐开始为了变成,为了谋取自己的个人利益了,我们以前的病毒制造者,CIH的制造者,给他自己带来什么好处吗,没有带来什么好处,因为病毒一释放出去,谁会中招他也不知道,中招对他有什么好处,也没有好处,在金庸武侠小说里有一个白开心就是损人不利己的。
第二个趋势就是有组织,有计划的攻击开始越来越多,这种组织和计划一方面表现黑客不再单枪匹马来做这件事情,我们在2004年发现一个我认为应该是据说俄罗斯那边的黑客组织,它有计划地做了1700多个假的网站,但是并不是我们看到的那种冒充某一个银行的网站,而是在里面藏着故意代码的网站,他想干什么,去年公布很多IE浏览器的漏洞,所以他构造这么多假网站,通过各种手段诱骗用户访问,我们自己发现,在我们国家至少有2万多个IP访问过这些机器,如果你机器当时IE补丁没有补上,通过这个网站把人家专门的程序送到你的机器里,这个程序是什么,现在很多人关注另外一个间谍软件,银行欺诈,我待会儿结合银行欺诈的例子来讲,一个更直接的作用,可以窃取你银行的有关信息,这是一种组织行为,黑客本身有组织的,人是有组织的。
另外一种特点,它的攻击行为开始变得有组织的,以前我们知道分布式的攻击,知道木马等等,可是如果我们现在回头审视一下,江苏网站,我们会发现,这种概念不同,本质上和很多安全事件可以对应上,总体上来看,和原来非常不一样,这些指技术手段上有组织,有计划性,这两大特点相关联的,攻击者通过互联网为自己获得各方面的利益,经济利益,军事利益,甚至政治方面的利益,会使它逐渐逐渐演化出更多的手段,不再纯粹为了追求技术上的东西,而是走向其他东西,那么我这个报告为什么合作,大家手里有那个材料,我不多讲,我直接讲例子,通过例子来讲为什么要合作。
第一个刚才我提到江苏网络,江苏网络这个词2005年才开始出现的,当然这件事情不是2005年出现,在前几年就出现了,大家看这个报道,在今年上半年1月份,我们国家发现被黑客控制将近10台计算机的江苏网络,攻击者经过很长时间获得这么一个资源,他用这些事情做了一些违法的攻击行为,比如说为了帮助他自己的朋友的这种网站,因为竞争对手,他来压制这个其他的网站,这些网站都是在网上经营的,被压制的结果就是很长一段时间,用户完全没有办法访问这个网站,人家最后算出来,我损失多少多少,最后说,你这种攻击行为给我造成多大严重损失。这件事情给我们带来很大启示,这件事情我们当初接手处理,作为分布市拒绝攻击来分离的,当时为什么做它,DUS,对我们耗费精力非常大,收效很慢的,公共卫生要讲,如果不讲公共卫生,DUS难做的,我不展开讲了,但是这件事情,我们当时就觉得它可能和十一之后,因为网上有人说,有人敲诈互联网上的企业,跟这个传言有关系,我们决定这件事情,很快发现它不是传统的DUS,传统的DUS有很多方法,我说其中一个特点,很多人做传统的DUS,冒充,伪造原地址,伪造原地址,怎么样大范围发布出去,你要有公共卫生,公共卫生,是我们让其他部门来推的,这个事情不是进一步分析,最后我们发现,这个完全不同以前的攻击,是黑客通过控制服务器控制大批计算机,我们通过将近两周时间,掌握完全准确,我们国内6万多个IP,我们亲眼看到的情况,这件事情引起我们重视,我们觉得它相当于,我待会儿说到03年有一人写的文章,叫做“攻击的军队”,这个事情我们发现它有问题,它有组织的,超出我们的能力了。在这之前调查中,也超出我们能力,我们想要获得这个准确的信息,需要用户备份,我们找了运营商,找了ISP,找到了被控制的江苏网络的机主,才得到他们的理解,他们配合得到这个信息,这个信息想有效遏止DUS,把江苏网络拔掉,把背后控制者找出来,这才是解决问题了,我们把这个事情按照以前信息产业部制定的流程,国办非常重视,6万多机器,是我们国家定义为重要的信息部门的计算机,这些计算机被有效控制,把这些用户找来了解情况,直到最后变成一个案件,从事件上升到案件处理掉。这个体现跨行业的合作,我们技术部门,跨到和司法部门的合作,在这里面我留了一个小的线索,再说一下,有人曾经写了一篇把口令叫做“攻击的军队”的文章,我最近写了一篇文章,讲江苏网络,在里面对我们自己做了反省,在2003年3月28号我们最早发现口令蠕虫,其实它就是一个江苏网络,在当时我们已经发现4万多台计算机,不是,应该是3月8号,我们发现4万多台计算机,被口令蠕虫入侵,并且他们向国外AIC的建立流程,就是说以前病毒入侵谁,它也不知道,现在向谁入侵,向谁打报告,告诉CIC,我入侵了你的计算机,你让我干什么,变成一个病毒入侵一个计算机,和另一个病毒入侵另一个计算机,没关,现在变成有关了,2003年发生的事情,我们在2005年才重视,在2005年,一些病毒厂商也发现了,也没有引起重视,我们对这个原因做了一个深刻的反省,这个反省其实因为我以前做贸易,我看东西看得太近,没有从更远的距离来看,看的时候觉得只是皮肤,很远你会看到这只是一头大象,我们只是做皮肤这一块的事情,对于我们来说,口令蠕虫,我们当时很成功的,从传统蠕虫的角度来看,很多校园网拥塞,我们把基础网络运行保证,很多病毒企业他们看到这个事,更着重看到用户终端的问题,帮助用户终端解决,所有人没有看到他们有关联的,并不是一个简单的蠕虫,像我们看到江苏网络,花了很多时间,10万计算机,不像蠕虫一下子让网络拥塞,不会的,他的目的不是干这个事,对病毒企业只是解决终端问题的话,背后控制者不断蔓延,你刚刚修复10个计算机,那边又找出20个计算机,动不了它的根本,这是一个例子。
我再举一个例子,讲合作的问题,比如2004年我们处理了223起(费是)事件,国内的名字很多,网络钓鱼,网络仿冒,网络欺诈,为什么我们来处理这个事情,因为很多的这种银行仿冒事件,他有一个特点是应用第三国,我做的假网站,这时候你寻求对方的合作和支持,2004年11月开始,我们国家出现针对中国的用户的欺诈事件,但是很遗憾,攻击者忘了有这样的原则,假网站在中国很容易被侵掉,估计会逐渐学会,在座听讲座的应该没有试图攻击别人的吧,不要告诉他们,不然他们也会学会的。像这样的事情你也是需要的,而且直接的(费是)只是表现一个现象,它的目的为了吃到鱼,吃到鱼不一定钓鱼,他可以用炸药炸,可以用网捞,说到本质,还有很多刚才我说,利用(英文)在你的机器里植入间谍软件,这个软件也是我们看到直接的案例,可以预知直接的机器,比如花旗银行,所以你从来没有访问任何假网站,从来没有在任何网站输入你的信用卡号码,一样你这条鱼会被别人拿走,这样的事情也是说明,但是这个我想说明,在技术领域,其实不光光说,原来你熟悉网管,你熟悉什么,在技术领域,其实也都需要合作的。
这个报告里面该说的话也都有,大家可以看,这个图我们在不断总结过去一些教训,和正面的经验,逐渐逐渐形成了。时间关系,我不来解释,为什么会有这样一个结构,有机会的话将来再和大家探讨了。
那么在国际上面,我只是在最后说一点点,这里面也有其他例子,包括大型的蠕虫,在其他国家情况怎么样,我们可以在国内亲眼看到,在1小时,两小时看到,这个大型蠕虫的影响是什么,很多人不知道SFIRST,类似的组织在欧洲有6个国家合作形成的,欧洲还有一个(英文)主要一些研究工作,我们在2月份,我们应急年会第一次FIRST,就是自主的, 泛美国家签署框架协议,也建立了类似的框架协议,至于为什么要合作,我刚才举了例子,IPC,也有泛美的情况,IPC,我们沿用APEC的叫法,我们叫经济体,其他跟FIRST,在最主要的合作上面,比FIrst强很多,它在技术上非常超前,很多技术领域,做的形成很多人关注的,通常会早一些。
我要说的话就是这么多,很抱歉,我做了一个动态的调整,没有按照我们报告来讲,谢谢我们大家。