互联网应急中心：中国是黑客攻击最大受害国

１月２２日，国家互联网应急中心（CNCERT）运行部副主任周勇林接受
新华网独家专访。新华网 尤亮 摄　　　新华网北京1月22日电(俞玮 姚笛)国家互联网应急中心(CNCERT)运行部副主任周勇林22日接受新华网专访时表示，“谷歌事件”发生后，国家互联网应急中心作为中国负责公共互联网网络安全事件监测、预警和处置的专业技术机构，“至今也没有收到谷歌关于此次事件的具体报告”。　　周勇林说，我国已成为网络攻击最大的受害国，“网络安全事关国家安全、社会发展和网民利益，不仅政府部门在高度重视，我们的产业界和广大社会民众也都非常关注，因为这涉及产业界和网民的切身利益。”　　实际上，由于我国网民缺乏网络安全防范意识，且各种操作系统及应用程序的漏洞不断出现，使我国极易成为黑客攻击利用的首选目标，互联网安全形势非常严峻。　　“遭受来自中国的网络攻击”一说缺乏依据　　新华网：近来，“谷歌事件”引起了网民的关注。作为专门负责公共互联网网络安全监测、预警和处置的机构，国家互联网应急中心目前所了解到的情况是怎样的？　　周勇林：互联网具有开放性、互联性和虚拟性的特点，互联网上发生的安全事件可以完全不受物理边界的限制，拥有一般技术水平的黑客就可以轻而易举地实施对远程目标的攻击，并在攻击的同时隐藏自己的真实位置和身份。　　互联网的开放性决定黑客攻击是无国界的，这就好像犯罪分子打恐吓电话一定会隐藏真实声音、使用公共电话一样。稍有技术常识的人都知道，不能因为看到攻击的源IP地址在中国，就说是中国的黑客发动了攻击，这样的说法不仅缺乏依据，也不够专业。　　比如，目前网上有成百上千万的计算机感染了木马或僵尸程序，并被各种各样的黑客暗中控制，成为所谓的“肉机”。黑客往往会选择位于多个不同国家和地区的“肉机”作为“跳板”，遥控大量“肉机”来实施网络攻击，其目的是在达到攻击目的的同时最大限度的隐藏自己的真实地址，给追踪攻击来源制造很大的困难。　　中国有句老话，叫“只听楼梯响，不见人下来。” 当我们看到谷歌发表声明称遭到了来自中国的网络攻击后，我们也很关注，一直希望对方可以和我们联系，以便进一步了解情况，给他们提供必要的帮助。但是，令人遗憾的是，除了看到那篇声明和一些媒体的消息外，至今我们也没有收到谷歌公司关于此次事件的具体报告、线索或证据。　　新华网：在谷歌发表声明的前一天，百度网站因遭黑客攻击无法登陆，但很快就恢复了正常，国家互联网应急中心有没有给予其帮助？　　周勇林：我记得是2010年1月12日上午7时左右，全球用户访问百度公司网站(baidu.com)出现异常，网站无法登陆。与谷歌不同的是，网民对百度的这个异常情况感觉非常明显。我们接到百度公司的反映后，联系了负责.cn域名管理的中国互联网络信息中心(CNNIC)和各个互联网运营商。经过大家共同分析，事件的原因很快就得到了查明，就是说百度公司的域名baidu.com是在美国域名注册服务商register.com公司注册的，由于baidu.com域名的注册信息被非法篡改，致使baidu.com域名在全球的解析被错误指向，最终导致全球互联网用户无法正常访问baidu.com网站。　　需要特别提到的是，在美国register.com公司恢复百度的注册信息之前，中国电信、中国联通和中国移动等企业都在全国范围内积极采取了一些临时的技术措施，尽可能地帮助网民正常访问百度的域名。到1月12日上午11时左右，baidu.com域名注册信息成功恢复，网站访问随之逐步恢复正常。　　尽管我们的联系方式一直是对国际、国内公开的，但我们始终没有接到谷歌的报告。　　中国是遭受黑客攻击的最大受害国　　新华网：当前我国互联网安全形势如何？　　周勇林：随着互联网的飞速发展，中国大陆地区互联网用户数量急剧增加。最新统计报告显示，2009年底我国互联网网民数量达到3.84亿，手机上网用户达2.33亿。然而各种操作系统及应用程序的漏洞不断出现，相比西方发达国家，我国互联网用户安全的防范意识又非常薄弱。因此，极易成为黑客攻击利用的首选目标。　　跟美国、日本、韩国等国家相比，可以说，目前我国的互联网安全形势非常严峻，中国已成为网络攻击最大的受害国。　　新华网：刚才您提到我国已成为网络攻击的最大受害国，能否请您以数据为例，详细介绍一下？　　周勇林：我可以提供两方面数据。一方面是，根据国家互联网应急中心对部分木马和僵尸程序的抽样监测结果，2009年我国境内被木马程序控制的主机IP数量为26.2万个，境外有近16.5万个主机地址参与控制这些计算机，其中来自美国(16.61%)排名第一；2009年我国境内被僵尸程序控制的主机IP数量为83.7万个，境外有1.9万个主机地址参与控制这些计算机，其中来自美国(22.34%)排名第一；2009年，我国境内被篡改网站数量各月累计达4.2万个，其中政府网站(gov.cn)被篡改数量各月累计达2765个，当中不乏省部级政府部门网站。实施网页篡改攻击的前20位黑客中，有一半以上来自境外。　　另一方面是，美国Symantec公司(注：全球最大的网络安全公司)2008年互联网安全威胁报告中指出，网络攻击源的数量美国居世界第一位，占世界总量的25%；位于美国的僵尸控制服务器数量居世界首位，占世界总量的33%，这个数字远远超出世界上任何一个其他国家；“钓鱼网站”(注：一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，以此骗取用户银行或信用卡账号、密码等私人资料)数量有43%位于美国。　　与此相反，中国被植入僵尸程序的计算机数量居世界首位，占世界总量的13%，这说明中国是最大的网络攻击受害国。　　中国政府不遗余力打击黑客网络攻击　　新华网：我国采取了哪些措施打击黑客网络攻击，加强网络安全保障？　　周勇林：我们知道，国家在《中华人民共和国刑法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电信条例》等多个法律和行政法规中都对禁止网络攻击的违法行为做出了明确规定。　　去年5月份，工信部在其颁布的《互联网网络安全信息通报实施办法》和《木马和僵尸网络监测和处置机制》中，对国家互联网应急中心和互联网运营商、域名服务机构，以及网络安全企业共同开展网络安全信息共享和打击黑客产业给出了具体工作依据。　　目前，我们已经组织发展了64家国家级和198家省级工作成员单位，参与网络安全事件的信息报告和共享，及时掌握和处理了一大批网络攻击事件，尤其是开展了多次网络病毒、木马和僵尸网络的联合治理，降低了黑客发动网络攻击的风险，有效地净化了互联网网络安全环境。　　此外，各个互联网企业也纷纷制定了专门的网络安全管理制度，积极建设或升级自己的网络安全防护系统，聘请专业的网络安全队伍对其开展网络安全评估和检查测试，努力消除隐患，提高防御能力。　　新华网：网络病毒可以说是网民的“公敌”，我国在反网络病毒方面做了哪些工作？　　周勇林：针对网络病毒给广大网民造成广泛影响和损失的问题，我们会同中国互联网协会，组织相关专家学者及数十家互联网从业机构共同研究、探讨网络病毒防治及反网络病毒行业自律工作。经过多次讨论并借鉴反垃圾邮件等自律工作的经验，编订了《反网络病毒自律公约》。　　《反网络病毒自律公约》倡导互联网企业和广大网民遵守公约的自律条款，自觉抵制网络病毒的制造、传播和使用。2009年7月7日，国家互联网应急中心依托中国互联网协会网络与信息安全工作委员会，联合基础电信运营企业、网络安全厂商、增值服务提供商、搜索引擎、域名注册机构等单位共同发起成立“中国反网络病毒联盟”，并签署公约，通过行业自律机制推动了互联网网络病毒的防范、治理工作，净化了网络空间，进一步维护了公共互联网网络安全。　　以目前全球感染量最大的“飞客”(Conficker)蠕虫为例，国家互联网应急中心2009年下半年监测数据表明，我国境内每月约有1800余万个主机IP受感染，占全球感染总量的30%，是全球"重灾区"，占各国感染比例的第一位。“飞客”蠕虫的大范围传播也已经形成一个包含上千万被控主机的攻击平台，不仅能够被用于大范围的网络欺诈和信息窃取，而且能够被利用发动大规模拒绝服务攻击。　　为打击该蠕虫病毒，我们采取了一系列应对措施：向感染了该蠕虫的我国重要信息系统部门通报，涉及银行、证券、保险、电力、民航等领域50余个重要信息系统部门，并协助其进行调查、清理；与我国的域名管理机构CNNIC采取联合行动，对可能被其用来实施控制感染主机的.cn域名进行了管制，并协调运营商对部分感染蠕虫的主机进行治理；在网站发布多个安全公告，以提醒广大网民采取防范措施；对该蠕虫的活动情况进行持续监测，以掌握被感染主机的分布。　　新华网：能不能介绍一下木马和僵尸网络专项治理行动，成效如何？　　周勇林：2008年6、7月份，国家互联网应急中心监测国内被木马和僵尸网络控制的IP地址数量较前五个月出现较大增长，其对应的控制端有较大一部分分布在国外，一旦被黑客集中利用发起攻击，其后果不堪设想，对奥运期间互联网网络安全构成了严重威胁。因此，我们向工信部提出了开展木马和僵尸网络专项治理行动的想法，并得到了积极回应。　　8月上旬和中旬，国家互联网应急中心协调各个互联网运营企业、域名注册机构开展了木马、僵尸网络专项打击行动。行动过程中，各单位密切配合，对国家互联网应急中心日常监测发现的、危害较大的数十个恶意域名、上千个控制服务器进行了治理。监测数据显示，境内木马、僵尸网络控制服务端数量随着专项行动的实施呈现明显下降趋势，非常有效地降低了奥运会期间发生大规模网络攻击的风险，网络环境也得到了极大净化。后来，在总结奥运保障经验的时候，很多部门都说这个专项打击的效果好，应该常态化。令人高兴的是，工信部接受了这个建议，并在2009年正式出台了《木马和僵尸网络监测和处置机制》。　　2009年，我们共实施专项打击5次，共清理整治1200余个控制服务器及恶意域名，有效打击了黑客产业，提高了网上环境的安全性。　　中国加强国际合作保障网络安全　　新华网：中国有没有参与国际合作，一起保障网络安全？　　周勇林：中国是一个互联网大国，网络安全事件很多，有时候需要帮助别的国家处理问题，有时候也需要别的国家的支持才能解决。这里我可以举一个具体案例，2009年11月，国家互联网应急中心连续数周接到国内外报告，“318x.com”和“3b3.org”稳居十大网页挂马恶意域名前列，成为众多网页挂马的源头。随即，我们监测到我国境内有数百个网站被其侵害。在了解到这两个恶意域名注册地区位于美国后，我们马上联系美国国家级网络安全应急机构“US－CERT”请求其予以处置。　　“US－CERT”在接到请求后不到两天的时间里就协调当地域名注册与服务机构处置了这两个恶意域名。这次合作成功打掉了活跃的恶意域名，有助于网络安全事件特别是一些涉及国际互联网的事件的有效处置。　　新华网：这些年，我国在加强国际网络安全交流合作方面有何举措和成果？　　周勇林：2000年，国家互联网应急中心成立后，就一直在积极参与国际交流与合作，也作为专业技术队伍参与了很多政府部门牵头的国际合作活动。　　2002年8月，国家互联网应急中心成为国际权威组织“事件响应与安全组织论坛(FIRST)”的正式成员。随后，参与发起了亚太地区的专业组织亚太计算机应急联盟组织(APCERT)。在FIRST和APCERT框架下，与全球各国的网络安全团队合作。　　我们还应邀加入中国代表团参与了亚太经济合作组织的会议，并与2007年5月向APEC申请了“僵尸网络应对政策和技术手段指南”项目，牵头组织国际国内各方共同进行反僵尸网络方面的技术交流，并于2008年年底在APEC网站上发布了项目最终报告，供各方参考借鉴。此外，还参加了东盟、上合组织等方面的工作，支持政府部门取得了很多积极的合作成果，例如《中国－东盟电信监管理事会关于网络安全问题的合作框架》和《上合组织成员国保障国际信息安全政府间合作协定》的签订和落实等。　　另外，我们与国外应急组织、安全厂商和其他相关组织也建立了互信、畅通的合作渠道，是我国处理网络安全事件的对外窗口。国家互联网应急中心具有7×24小时的事件接收处置机制，仅2009年全年就接收来自国外网络安全事件投诉21618起，经过归类合并筛选其中影响较大的事件成功处置了1095件，其中包括多起对美国网上交易站点ebay、摩根大通公司等美国企业的网页挂马、网站仿冒和拒绝服务攻击事件。　　这些机构多为国外重要的银行、电子商务网站。我们不仅为国外相关机构挽回了经济损失，同时也保护了国内外互联网用户利益不受侵害。