安全产品/方案是静态的,而安全本身是过程,是动态的。
用静态的东西去应对动态的过程,显然达不到用户所期待的效果。
只有引进一个活跃因素,让静的产品/方案相应地动起来,才能应对各种突发的安全事件,用户才可能获得最终的安全状态。
应急事件处理就是让产品/方案动起来的活跃要素。
如何能让我们身边的网络更安全?这是每个关心信息安全的人每天的工作。但是,对于“信息安全到底是什么”这个看似简单的问题,却没有几个人能说清楚,即使是信息安全的专业人士。这就好像是“1+1=2”,这个妇孺皆知的等式,却只有陈景润这样的世界顶级学者才可以给予充分地论证。现在,有专家来帮助我们回答这个问题:信息安全是个过程,而且,它是个动态的过程。明确理解了信息安全这个定义后,从根本上帮助我们解决好身边的安全问题也就不会是一句空谈。
安全需要以动制动
作为记者,经常听到有用户抱怨:为什么花了那么多的钱,买了信息安全的专业产品,专门搭建了安全的解决方案后,网络还是不安全——病毒/蠕虫照样会来骚扰,网络依然会出现阻塞甚至瘫痪?其实,如果仔细品味专家对于信息安全的这个定义,你就会明白,就可以解答这些抱怨:因为安全产品/方案是静态的,而安全本身是过程,是动态的。用静态的东西去应对动态的过程,显然达不到用户所期待的效果。只有引进一个活跃因素,让静的产品/方案相应地动起来,才能应对各种突发的安全事件,用户才可能获得最终的安全状态。应急事件处理就是让产品/方案动起来的活跃要素。我国的信息安全事故频繁的重要原因之一,就在于用户普遍对应急处理缺乏认识。
为了“强化应急体系,提高处理能力”,2月11日,由信息产业部互联网应急处理协调办公室主办,CNCERT/CC、CNCERT/CC海南分中心、中国互联网协会网络与信息安全工作委员会协办的“全国互联网应急处理研讨会2004”在海南三亚拉开帷幕。持续两天的会议集中讨论了应急处理在应对各类安全事件中的重要作用。
做好预案与应急响应
我国著名的信息安全专家何德全院士认为,对于Internet这样一个复杂的巨系统,它自身特点决定它是非常容易发生灾变的。与之相类似的系统还有许多,例如电力网,去年发生的轰动全球的美国、加拿大电力网大停电事件就是两个活生生的例子。要想有效应对这类突发事件需要做好两点:预案以及应急响应的管理。
何院士解释说,作预案就是要居安思危。目前,我国的各大运营商基本上已经按照国家的要求对紧急事件做出了预案。现在所缺少的是,如何应对那些发生概率小,但后果极其严重的事件,并作出一套行之有效的预案。例如,网络中的9·11事件。这种预案必须是综合集成的、跨系统的、人机结合的,即以人为主,从定性到定量的综合集成化的体系。当然,这种体系的建立需要依靠大家的力量,他建议,以“研讨厅”的形式来最终形成这种体系。
对于应急响应的管理,何院士认为,一定要建立一套行之有效的应急响应机制,一旦紧急事件发生,就要在最短的时间内,在一个指令的指导下,发挥协同作战的精神,通过各方力量的联动来最终解决问题。
何院士强调:在应急响应中,最关键的有两点:第一,找到危机管理中的黄金时间,尤其在大规模的紧急事件发生时。所谓黄金时间就是安全事件呈直线上升的迅速增长期,如何能够有效地在这段时间内控制疫情的蔓延至关重要;第二,一个中心的统一协调、指导也很重要。在大规模紧急事件,尤其在恶性病毒事件中,传统的应对方式是“各扫门前雪”。但由于Internet是完全开放的,除非是企业网断开与Intetnet的连接,否则,往往出现小网的病毒清除了,连入Internet后再次重复染毒的现象。所以,要想解决问题,必须全体动员,统一指挥。
应急服务作用巨大
CNCERT/CC(国家计算机网络应急技术处理协调中心)就是这样一个协调作战的指挥部。它成立于2000年10月,是在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各个计算机网络安全事件应急小组(CERT),共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作与交流的机构。2002年8月,它成为国际权威机构事件响应与安全组织论坛(FIRST)的正式成员,并且是APCERT的指导委员会成员单位。
CNCERT/CC的杜跃进博士介绍说:三年多前,他们白手起家,在一次次大型安全紧急事件,与包括红色代码、Nimda、冲击波等病毒在内的真刀真枪的实战中,通过与国内的几大运营商的多次良好的合作,他们已经逐步成熟。2001年红色代码病毒发作时,他们要通过各种途径先找到各大运营商负责运维的负责人,再召开现场会议,足足花费两天的时间,才能掌握到灾情的整体情况。现在,渠道已经建立起来,每个运营商都有24小时的紧急事件联系人,在2003年SQL Slammer病毒爆发时,沟通顺畅就发生了作用,在两个小时内,仅仅通过电话,他们就了解到国内骨干网中的灾情。通过选择某个运营商做试点,找到了阻断病毒的方法,再把成功经验推广给其他运营商,在一天之内,灾情就得到了控制。目前,他们在全国又建立了31个分中心,同时,面向社会公开选择了10家国家级公共互联网应急处理服务试点单位,20家省级公共互联网应急处理服务试点单位,使得应急服务可以做到更快捷、更及时。
目前,网络与信息安全已经像地震、火灾、战争等其他方面一样,纳入到国家整体公共安全管理体制中。我国明确提出:要加大力量提高我国的网络/信息安全应急处理能力。信息安全是个过程,这个过程同其他过程一样,具有各种各样的可变因素,而且,其灾变的特性是往往是令人措手不及,并且后果严重。要想有效应对这种过程,就需要我们所有的人,尤其是用户动起来,积极地以动态的方法,将可能的灾害降到最低点,为我们自身的安全而努力。
如何在受攻击的网络中实现有效的隔离
(责任编辑 尤星莹)
