演讲主题：通信行业网络信息安全交流

演讲内容：国家计算机网络应急处理协调中心运行部周永林 主任

谢谢大家，谢谢主持人！前面IBM万涛先生讲到咱们运营商现在在做转型，刚好我这个今天准备的报告里面也会提到一些这样的工作。我知道现在像网通、电信都在互联网的运营上，都在跳出传统的仅仅以接入为盈利模式的经营方式。也都分别成立了比如说宽带固网，专门做这种互联网产业，像中国移动的老总也在多次场合表达说中国移动要做这个互联网产业。他所说的互联网产业当然不是指做接入，因为我们知道中国移动的数据网规模比电信网小得多，他所指的互联网产业我理解是例如像搜索引擎，或者是像腾讯做的，或者是新浪搜狐这样的一些产业。

为什么这些运营商都把目光投向这些方面呢？因为这些新兴的产业在咱们国家处于一个非常好的，良性的一个上升的阶段，成为新的产业链上的新的利益增长点。而他们也看到了正是由于他们所建设的这些互联网，依托了很多新的互联网产业的产生发展，有很多非常著名的公司，比如说像新浪、搜狐、百度、腾讯，比如说最近刚刚上市的阿里巴巴，他们的这些公司经营的业务完全是依赖于互联网数据平台的。因此从这个角度来看，互联网这个产业在未来几年里面还会有更多的资金注入，我们的互联网用户也在不断增加，应该说是很有前景的一个产业。但是这样的一个产业是不是能够持续健康的发展呢？它在发展过程中要考虑哪些问题呢？其中有一个问题，就是今天的主题-网络安全问题，是不是能够很好的解决，如果解决不好的话，那可能我们这个互联网用户就不敢去用上面的这些新兴的服务。你网上购物再好，产品商品再丰富我也不敢用网上这种方式，我是说还是在网上订货，然后在物理的世界上进行货币和货的这种交换。

从这个表里我们对比一下，在2006年6月和今年6月发布的报告，能够看出互联网发展的飞速。比如说从网民的数字上来看增长了32%，达到了1.62亿这么大一个基数。互联网网站的数量增长率是66%，目前咱们互联网上网站数量达到131万个，各个网站，主机数量达到了6700多万，整个中国互联网出入口带宽现在是312个G，这也是为什么大家去访问国外的网站的时候，没有感到明显像过去几年前有明显的延迟的原因所在。对比这样一个数字，把我们今年上半年和去年上半年的报告也拿出来相应做一下对比，也能发现这样一个情况，就是在互联网飞速发展的同时，在互联网上发生的网络安全事件也是越来越多，这个趋势甚至比互联网发展得更快。比如说我们所受理的通过电话，或者通过电子邮件向我们举报的安全事件。比如说网络钓鱼的事件增长率达到142%，垃圾邮件有33%。其实有各种各样的垃圾邮件的举报都是举报给了运营商，现在运营商有专门垃圾邮件的举报和受理这样一个平台。我们这边接到的很多事件也都转到运营商去处理了。比如说依靠我们自己建设的网络安全检测的一些技术手段，我们跟运营商合作，在运营商大网上建设的这个手段，我们可以看到一些安全事件的情况。比说木马的扩散，我们选择在成千上万种木马里面挑选一些危害比较严重的木马来进行抽样的监测，去年上半年我们看到的是两万多个计算机，不重复的IP地址被植入了木马，而今年上半年这个数量一下子上到了1000万，有我们自己监测的范围扩大的因素在里面，当然有另外一个因素就是说现在的木马是非常非常严重的一种网络攻击的这种事件。另外从网站篡改上也能看出来，去年上半年有5000多次，今年上半年加一块已经到了28000多次了，有些网站被翻来复去重复篡改，我们发现之后，通过各种渠道找到网站的所有单位处理完之后很快又被篡改。这个可以说是从网络以及网站或者是用户角度来讲，应该是苦不堪言这么一个状态。

我下面想简单的把今年上半年报告里面一些具体的数字再给大家过一遍，首先看这个我们比较关注的，我们互联网出现的攻击来源的情况，根据我们的监测，我们看到我们目前所遭到的互联网攻击有三分之一是来自咱们国家内部的，有三分之二都是来自境外，从网页篡改的数字来看，我们上半年一共有28000多次，是去年同期的四倍，其中政府网站被篡改达到了1585次，占的比例比较高，政府网站在咱们国家所有的网站里面的比例要小得多，只有百分之一点几，但是在所有被篡改的网站里面，政府的网站这个比例是比较高的，这也是体现出咱们国家最近这两年来电子政务，政府网站信息化建设中的一个不足之处，就是网站建设很快，内容更新也很好，但是安全跟不上，不仅在政府上存在，其实在我们各个行业，各个单位都存在的，因为我们确实缺少网络安全方面的专业人才。

这个图片说的是“僵尸”网络的情况，上半年我们看到在中国大陆有300多万个IP地址被植入了程序，在控制端主要在国外，从我们自己掌握的情况来看，中国是互联网最大的受害国，我们大量的计算机因为感染了“僵尸程序”，因为被人种植了木马，已经被黑客控制，国外的黑客利用咱们国家的这些受害的计算机，向全球发起各种各样的攻击。其实我们所受的损失比他们要严重，如果统计起来，不论在绝对数量上，还是在增长率上应该都是比较快的。在最后这一两年的报告里面都有很清楚的，我们看到“僵尸网络”在中国是全球比例占的最高的，现在咱们国家几个大城市，北京、广州、互联网比较发达的城市，因为他的互联网的主机比较多，用户比较多，感染“僵尸程序”的数量在全球，在城市里面也是排名靠前的。

木马的情况有一个总量，我们看木马的控制者都在什么地方？木马，我们看到有7.8万台IP地址，被我们监测到对咱们国家的一个感染木马的计算机进行控制，也就是说尽管有很多这种木马的控制是咱们国内的用户相互之间的攻击，因为我们知道木马它相对于“僵尸网络”来讲比它的功能更强，木马以窃取信息为主，以远程控制为主，他能做的事情也更多，而且黑客对木马的使用和管理，要比对“僵尸网络”的使用和管理力度要更细一些。来自台湾的有42%，这里边是不是有一些木马就种植在咱们国家的一些政府部门，或者是比较重要的一些机构的这些计算机上呢？很有可能。所以为什么咱们国家最近这一年来对安全保密这项工作非常高度重视，确实有很多活生生的案例，一些非常有前途的一些年轻的工作者，他所在的岗位是很重要的岗位，由于一时的疏忽，电脑里的东西被人弄走了，无论从个人来讲，从家庭来讲都受到很严厉的处罚，所以对个人的发展都有很大的影响。

网络钓鱼，咱们国家的网络钓鱼其实更多的是被用来建设一些假冒国外大银行的网站，比如说假冒汇丰，假冒花旗，我们受理的很多事件都是国外大银行的这种投诉，但是网络钓鱼这个事情，现在国内也越来越多了，它的仿冒对象不仅仅是银行，有很多是仿冒一些著名的网站，比如说仿冒新浪、搜狐、仿冒一个腾讯，或者是仿冒游戏网站，因为这些网站用户多，访问多，大家在网站上可以把用户的一些银行帐号、游戏帐号、QQ帐号之类的东西窃取来，在地下黑客的圈里面进行买卖，获取利益。这种情况在国内是越来越多的，花样也是层出不穷的，建一个钓鱼网站很容易，有时候我们所截获的一些程序来看，往往是一个程序包，黑客把这个程序包上载到一个他控制的服务器上面去，运行之后自动放出假冒网站的网页，并自动启动外部程序，非常容易。

下面说一下十月份的情况，因为每一个月的变化都是很快的，每个月都有很快的，很高的增长。刚好10月份刚过去，把最新鲜的数据共享一下，十月份的木马情况是这样，我们监测到有17000多台计算机被植入了木马，从分布上来看，上海最多，然后天津、浙江、广东、辽宁，基本上是与各个省的信息化发展程度相关的。从1到10月份，目前累计监测到的感染木马的机器数量已经达到了将近267万了，这个数量也比去年大大增加了。“僵尸程序”10月份共发现了68.6万多个计算机感染“僵尸程序”。1到10月份已经到了756.7万个左右，同样分布是山东排在前面了。像广东这些省份也都是排在前列，发展比较快的省份差别不是很大。这张照片讲的是我们对网络病毒，或者说恶意代码监测的情况，我们自己建设了一个在全网的密网，它一方面可以对互联网攻击的情况，攻击源，以及攻击服务的端口有一个很好的监测，另外一方面也可以捕获很多这种恶意程序。10月份我们一共捕获新的恶意样本，新的恶意代码28000多个，什么是新的？新的就是指的说我前一天有了，我今天再捕获到，我无论今天捕获多少次我都不算数，昨天没有的，我今天捕获到了，我今天就算一个，今天捕获到1000次为止，10月份捕获新的是28145个，这个在九月份以前都是没有出现过的，平均每天要捕获938个，由于我们捕获的方式还不能说覆盖了全部的这种黑客所使用的攻击方式。因此这个数值应该说是属于一部分，目前的互联网实实在在被黑客释放出来的恶意当中的一部分。即便这样一个数量对我们来说已经是很大的一个负担了，比如说对病毒产生来讲，曾经听过一个病毒厂商的同行的一次发言，他们要养很多人去做这种病毒的分析，比如说每天就有1000个样本，为了升级它的软件的病毒库，他需要有很多人去做，当然他有自动化的工具，但是还需要很多有经验人去进行这种半自动的分析，这方面投入还是很高的。对我们用户来讲，如果每天我们上网的时候，我们软件不能够进行升级的话，很可能我们这个计算机就会中招，所以计算机病毒或者是恶意代码是我们面临的各类安全问题，首先要面对的一个基本问题，它也是现在这个黑客也好，或者是网络犯罪的人员也好，特点从事攻击行为基本上的第一个步骤。

然后十月份我们被篡改的网站将近5000个，排名来看北京、浙江、上海也是这些大的省份在前面，不乏有一些网站，我这里列出来的.gov都是政府的，不乏有一些网站的部门的行政级别还是比较高的。微软06040是去年的一个漏洞，也是使用户计算机能够被人侵入。这个木马是经过几次跳转，这也是木马现在一些固有的特征，它是有几次的跳转，然后最后会下载一个get.exe的一个程序，这个程序它在用户的计算机上不断运行，每天都到不同的地方去下最新的木马，有的是为了升级自己，有的是为了实现黑客不同的目的，比如说今天会下载一个专门去监测用户的，受害者键盘的输入的情况，或者是下载一个专门盗取QQ号的一个程序，或者是下载一个专门盗工商银行网银的一个帐号的程序，总之它像一个黑客的手一样，每天去拿不同的东西，不同攻击过来，在用户的计算机里面去运行。这次的分析到最后我们发现它主要还是用来盗窃网游帐号的，我们也观察到了它用来收集盗窃帐号的一个比较隐蔽的自己建立的一个网站，一种游戏帐号他盗窃了大概有1700多个，每个帐号上面都是显示有多少钱，有多少装备都有了，他盗取这个，我猜他下一步就去卖了，因为我不太玩游戏，但是我听说很多网游，比如说“屠龙刀”之类的东西在黑市里面还是卖个上千块钱的好的价格，不知道真假，但是如果几千个在手里的话，这个财富也是一笔不小的数额。

我们有一个系统对网站挂马的情况进行检测，所以说我们第一时间发现网站被挂马的原因。有一个数字我举一个九月份的数字，在七天里边我们监测的结果我们发现了15000个网站挂马，其中有300个是政府网站，在国外研究网络安全，最近也是有新兴的一个方向，翻译成中文，可以说意译一下叫定点攻击的一个意思。网站挂马情况咱们国家现在越来越泛滥，后来也会讲到这个“黑色产业链”，非常严峻一个情况。

有一个例子是说最近跟咱们运营商有关系，也是我们发现，最近有很多的运营商DNS出现了域名解析不正确的情况，我们知道每个运营商他的用户的接入基本上使用的都是运营商公共的DNS服务器，因为我们拨号的时候用ADSL的时候，或者是用宽带，很多老百姓也都不太懂，该怎么设，基本上都是用缺省的，自动获取，获取那个DNS服务器就是运营商自己所运营的，运营商在全国运营大概有几百个DNS服务器。我们发现这个情况有些域名的解析和地址是虚假的，是错误的，不是真正的地址。而这个域名恰恰是一个比较热门的门户网站的域名，我们最近在网上有一些这样的讨论也好，或者是文章也好，很多人发现这种现象，一直不知道为什么，我们也特别关注。我们原来以为是运营商的DNS服务器被黑客入侵了，或者说在他的一个DNS所在的机房里面他的机器被入侵，黑客用了ARP欺骗的方式结识了这个网关，自然就结识了这个DNS服务器。后来查了一下发现在运营商安全部门的应急小组检查下发现他们的DNS没有问题，也没有被入侵的记录，就是里面的某一条，缓存里面某一条记录被人改了。

后来我们再进一步分析研究，包括跟国内外的同行交流，我们初步认定是由于DNS服务器的软件的漏洞被人利用了，这个漏洞如果你们关注一下那个软件，你会看到最近刚刚发布了一个新的版本，就是为了弥补以前那个漏洞，但是他在网站上也是说弥补了之后，最新版本并不能从根本上解决了问题，但是如果要实现这种攻击成功的话是非常非常困难的，要有很多条件碰巧都符合才能够成功。他们认为他们更有信心，在跟我通电子邮件的时候他们自己的人也说这种情况根本不可能出现，但是恰恰在中国就出现了。很多问题到中国就不一样了，就出现了，每天我们都会发现，因为这样的原因，他最新版本也有这样的问题，所以现在的情况是每天都会不断有DNS被人，缓存被污染，这个根源的追查非常困难。然后我们每天都会把一些最新分析发现的，尤其是一些使用用户比较多的DNS的情况报给运营商，运营商每天去处理，是很被动的。但是这样一个情况，过去我们可能对于DNS没有太多的注意，但是现在尤其我们运营商不得不关注这个事情了。它既然可以结识一个门户网站，它自己也可以结识一个政府网站，任何网站，到任何地方去，结成那个网站指向了一个病毒，也可以指向一个色情的页面，甚至指向一个反动的这样一个页面，影响是非常坏的，就是这样一个事例。

下面简单说一下这个黑色产业链，首先说一下这个“僵尸网络”，我们监测它，跟踪它，我们发现那个“僵尸网络”，想看它真正干什么，监测一下发现，在前十个月我们所跟踪的这些“僵尸网络”被用来发动拒绝服务攻击，发动了一万多次，攻击目标有的在中国，有的在美国，那些攻击美国的我猜就是美国的黑客控制的，反过来去攻击美国的目标，因为中国攻击美国的网站有些是商业网站，没有什么意义。要不就是跨国那种犯罪。另外就是被越来窃取信息有3900多次，就直接从用户的“僵尸程序”，直接从用户的机器上去抓取特定的文件有3900多次，还有发垃圾邮件等等这些行为，都是非常多的。我所监测的“僵尸网络”在这里面也只是一部分而已，这是我们的互联网暗流涌动，而且汹涌澎湃，普通老百姓可能感觉不到，只是总是机器莫名其妙出问题。当我们真正了解的时候，我们就知道这一切其实都是有它的驱动力在里边的，比如说地下产业链，咱们在运营商工作的同志也好，可能工资也比较高，在安全厂商，我相信万涛的工资一定也很高，但是是不是高过了这些黑客呢，我觉得未必见得，跟公安部十一局的一个处长聊天的时候他就说，他知道在某个地方有个黑客就专门干这个事情的，人家要买宝马，刚刚买了一个别墅，现在买宝马。我跟巴西同行聊的时候，说巴西在热带雨林中间，那是很穷的一个地方，他们的热带雨林中间就相当于咱们在沙漠的边远地区一样，交通不便，很穷，一个镇上一共才几千人，男女老少都干一个产业，就是网络钓鱼。就是赚钱驱动力，这个经济效益确实是太吸引人了。

其实你想把人的QQ号盗下来，把东西拿下来再卖，有很多环节。第一，如果是以前，我们最开始很早干黑客的时候，可能我要自己写代码，写攻击程序，然后我自己写木马，自己找地方散发，挂这挂那，或者发邮件，发完只有自己控制，每天半夜起来看看有哪些，像捡鸡蛋一样，今天下几个蛋，明天下几个蛋，然后到上面再去偷信息，然后再去卖，那个时候做得也很辛苦，一个人做所有的活。现在不需要了，现在有人专门卖木马，我们都知道，网上随便就可以买得到，而且木马编写都是自动化了。它本身就是黑客，比如说灰鸽子，我就是一个生成器，我按照用户要求可以反卡巴斯基或者是反瑞星，诸如此类的一些问题都可以提，他一选，木马出来了，按照功能，按照它隐蔽程度收不同的钱。有些木马写的好的，我在网上看到有些论坛里面写的卖到八万块钱，五万块钱，不知道是不是夸张。但是可能写的好的东西杀伤力大的确实很值钱。然后有些人刚入行的时候，比如说我刚入行干这个事情，我有钱我先买个木马，买完了之后我得往上挂，没有地方挂有人帮你挂，有些人已经掌握了很多，他已经掌握了很多网站的攻击手法他说我帮你做，你给我钱，他就给挂，挂完了之后，收回来那种感染的僵尸网络也好，僵尸主机也好，木马主机也好，你可以人去帮你维护，也可以自己去维护，然后包括后面的偷东西，包括销售，都有专门地方去做，现在干这个行业技术门槛很低了，除了最先开始写代码人以外，其他的技术水平都不需要特别高。

现在有些农民工都在干这些事情，在网吧里干这个事。所以由于这样的一些便利条件，这样大利益的诱惑，可能有很多人投入到这些行当里面去，给我们带来的直接的压力，如果我们是一个运营商，我们在想转型的时候，包括我们没转型，还面临很多这种用户投诉的时候，我们该怎么做。如果我们是一个网站的经营者，互联网企业的话，我们怎么去应对，这样一些问题。这些问题时间关系不细讲了，我一说大家就明白了，比如说法律问题，黑客即便抓到，判个一年半，他可能赚了很多钱了，判了一年半在里面当休息了，一年半以后出来可以再接着干。电子证据在咱们国家还不是好用，不好用，所以你对黑客的举证很困难，判刑判的程度又比较轻，威慑力就不是很强，这是我们面临的问题。

那么怎么应对呢？也简单说一下。在不同地方，包括企业也好，包括我们政府部门本身自己也好，我们这样的一个单位也好，都在呼吁要加强政策法规的立法，包括执法的加强，这个建设不仅仅是指的刑法的改进，也包括一些行政法规，部门规章这方面的改进。也涉及到我们运营商的层面，就是运营商跟用户签订了入网合同的时候要提一些跟网络有关的一些条款，比如说严禁用户去做网络攻击，或者散发病毒，或者诸如此类的事情，如果一旦发现，我运营商可以第一时间无条件的中断你的服务，这样都算是一种宏观的规则，规则上的建设是我们采取保护措施，应对措施的一个依据，这方面我们确实需要加强。

然后是支撑体系，现在各单位都陆续建立了网络安全的应急保障的部门，运营商都有，也成立了很多年了，我们的关系都非常好，很熟悉。另外咱们国家有很多网络安全的研究的机构，也有一些安全厂商也非常多，这个体系建立这两年一个核心的工作，目前已经基本形成了一个构架、框架，但是还需要去进一步的完善、去用、去动起来。要不然的话还是不能发挥作用，在行业里面要建立一些互信的合作，礼拜二的时候去内蒙自治区跟地方的运营商和通信管理一起开会，当时就提出了希望有运营商提出来我希望能够经常开会，能在运营商之间横向交流一些经验。这个提法是非常有市场的，也是目前我们所欠缺的，因为我们现在都是家丑不外传，我这边出什么问题，我是不想让人知道的，更谈不上我跟你交流经验，我告诉你我怎么样了，让人笑话，这个事情还是有必要的，尤其在应对互联网安全的这个事情上。不光是运营商之间应该加强横向交流，甚至是像金融、电力、税务等等这些重要的部门，国家经济运行、社会运行基础基本部门都应该进行横向交流，这是我们目前所不足的。另外像我们这个，今天这样的会议都是很好的一个正面的范例。

另外我们的产品、我们的服务是不是标准，刚才有同志说是不是可信任的问题，比如说你给人做介绍，人家相信不相信你，会不会把人家用户的信息卖出去，这是一个标准的问题，不符合标准的厂商就不让进入市场，不符合标准的这个人就不让他做这个事情，这个需要慢慢的规范。另外就是要建一个咱们国家公共的网络安全平台，发达国家都有他们自己的平台，我们也在建，但是我们这个所做的工作还不足以说完全为国家起到一个很好的保驾护航的作用，应该说我们在不断努力，我们做得越来越好，但是这个确实安全形势也是发展越来越快，我们总是在拼命地在追赶，这方面还有很多工作要做。另外就是研究和人才的培养，我们都缺人，我发现到各个地方去，跟个人交流，都发现一个懂这个网络安全的，真正懂的一个人是很难找的。另外就是宣传教育，咱们的网民安全意识很差，我们怎么能够把我们今天讲这些东西很好传达给他们，让他们听得懂，而且愿意听，我发现这些公司、企业，尤其国外一些企业他们做了一些很好的宣传片，就像公益广告一样真是很吸引人，这个是我们应该充分借助各种各样的媒体来进行宣传，而不仅仅是在一个屋子里面开会，回去了就我们几个人知道了，别人没来的人都不清楚，这样就太有限了。

今天的内容就是这些，因为时间比较紧了，期望有机会和大家做更多的交流，谢谢大家！