个人简介：杜跃进，男，博士，国家计算机网络应急技术处理协调中心副总工程师，国家网络信息安全技术研究所所长。

 

主持人：各位网友，大家好，欢迎收看中国信息安全博士网《高端访谈》栏目。我是中国信息安全博士网的记者乔勇。本期我们邀请到的嘉宾是：国家计算机网络应急技术处理协调中心副总工程师杜跃进博士。杜总，您好！

杜总：主持人，你好！各位网友，大家好！

主持人：众所周知，国家计算机网络应急技术处理协调中心是工业和信息化部领导下的国家级网络安全应急机构，相当于行业里的政府。那么，请杜总介绍下互联网安全应急在国家层面的意义？

杜总：2003年以来，我国非常重视应急工作，制定了大量的应急预案。互联网安全应急，是在互联网领域的应急工作，其意义与其他行业的应急是一样的，尤其是作为很多行业都必须依赖的基础设施，互联网安全应急能力还直接影响到其它各行各业的应急能力，因此显得尤其重要。

互联网安全事件是不可能彻底杜绝的，互联网安全应急就是减少互联网安全事件给我们造成的损失的最后一道防线。互联网安全应急，是保障互联网这一基础设施正常运行的重要工作，是国家有关方面在这一领域综合能力的体现。与其他行业不同的是，互联网领域的安全事件非常多，受到很多因素的影响，随时可能发生重大安全事件，安全事件的发生速度非常快，因此对互联网的应急响应能力有很多不同的、更高的要求。

主持人：从国家层面上讲，互联网应急目前面临哪些技术或实施方面的挑战？

杜总：互联网非常开放、非常复杂，在这种情况下对安全事件的及时和准确发现就是一个巨大的挑战；互联网是高度、广泛互联的基础设施，互联网的各个组成部分，包括互联网用户在内，任何一点的安全问题，都可能影响到其它部分，造成重大安全事件，这给安全事件的分析以及事件的处置带来很大挑战；互联网是全球范围很多网络组成的，各个网络有不同的管理和运行单位，甚至面临不同的政策法规和文化，这给事件的处置带来很大难度；互联网里面的安全事件，不但有时候十分隐蔽、难以发现，而且安全事件的发生和发展变化速度非常快，这给应急响应留出的“黄金时间”非常短，对应急响应的要求非常高，在技术上要实现大范围的事件发现、分析和有效响应，都是非常困难的。

主持人：网络安全威胁的未来演变趋势？未来主要会面临哪些方面的挑战？

杜总：更多动机的网络攻击混杂在一起，尤其是有目标攻击、高度有目标攻击会变得更多，这些攻击的发现和应对难度会很大，对我们原来很多安全方面所采用的方式方法可能会带来冲击。尤其是网络战日渐浮出水面，对我们原来所积累的经验、建立的能力等，都造成全新的冲击和挑战，如何适应这种完全不同于以往攻击动机、方法、目标等的新攻击，将是未来需要重点解决的问题。

主持人：在应对网络蠕虫、DDOS、僵尸网络的过程中有什么区别？各有哪些需要注意的地方？

杜总：这几个比较不同。网络蠕虫如果对网络本身产生冲击的话，应对此类威胁最主要的是采取有效措施实施网络遏制，阻断蠕虫大面积蔓延的渠道，研究相应的专用探测和清除工具，解决终端上的问题。对那些对网络本身不构成冲击的网络蠕虫，其应对方法主要是清除用户终端上的恶意程序方面，即传统的病毒防护方面的工作。

DDoS有很多种，通常人们常说的是流量压制、对被攻击目标的协议漏洞攻击、以及对被攻击目标的资源消耗等。对于流量压制来说，首先需要整个网络启用边缘网络设备的源地址验证功能，以减少攻击者伪造攻击地址的能力，然后要建立大范围的流量清洗和阻断系统，将攻击流量尽量在更远的地方分别加以隔离。如果攻击流量还没有达到超过网络带宽的情况，也可以通过局部的流量分析和清洗设备来识别和抛弃攻击流量，减小服务器的压力。此外，还可以通过多点部署、anycast技术等来分担攻击流量，提升攻击者达到目的的难度，当然这种做法也需要付出大量资源，对很多企业和单位不一定能承受。

对被攻击目标实施协议漏洞攻击，也可以达到DDoS的目的，应对方法主要是漏洞修补；对被攻击目标进行资源消耗的情况也比较复杂，攻击者如果使用大量的网络资源进行“正常”的访问请求，会给异常流量的区分带来巨大困难。如果攻击者使用的是僵尸网络资源，则对僵尸网络的打击就成为防止此类攻击的重要工作；攻击者还可能使用域名重新指向、邮件循环等方法来实现，这些更需要就事论事进行分析和解决了。

除了人们通常所说的这些攻击类型以外，攻击者完全可以通过对路由、对域名等的攻击达到拒绝服务攻击的目的。这些情况的应对，则属于另外的领域了。

僵尸网络的应对，最主要的是探测出僵尸网络的控制体系和方法，以及在此基础上对僵尸网络控制体系的定位和摧毁。这其中包括很多领域的工作，要综合多种能力、展开广泛协作才可以实现目标。

主持人：上医治未病，更重要的是在网络攻击发起前检测到它或者在网络安全事件发生之前需要做哪些准备工作？我们在这方面做了哪些工作？

杜总：事件发生之前要做的工作很多，这些工作所需要达到的能力总体上称之为“预能力”，包括安全防护的方案制定与实施、安全策略实施、风险评估与安全检查、人员培训与流程建立、应急预案的建立和演练、相关标准的制定和实施、等等。

其中和安全事件处置直接相关的具体准备工作，主要包括对被保护对象的充分了解，例如被保护对象的技术参数、资产价值等等；事件监测分析能力建设，以便能够及时发现需要关注的安全事件；应急控制能力建设，以便能够对特定安全事件采取技术手段加以紧急遏止；应急合作渠道和流程的建立，以便在发生特定安全事件的时候能够得到各方面必要的支持，从而实现必要的分析和协作处置；制定事件处置的预案和流程，包括应急过程中的媒体管理在内，以便发生安全事件的时候按照预案流程执行，最大程度提升事件处置的效率效果。

主持人：如何保证网络安全工作中代码安全的实施与保障？

杜总：一方面，在软件开发阶段，软件开发部门就需要采取包含软件安全方面的控制流程，尽量减少软件自身的安全缺陷；另一方面，软件使用部门在采购或使用特定软件之前，应该自行或者委托专业机构对软件本身进行安全缺陷检查。对于定制软件，甚至可以委托第三方监理部门对软件开发方的生产过程和代码本身进行安全方面的监理，确保其符合相关的规范。

从长远来说，应该不断积累提炼安全编程方面的经验，形成科学的方法、标准、培训体系等，加强对软件开发人员的培训，提升他们的安全意识和能力水平，进而提升软件代码的安全。

主持人：内网安全、内网保密是当前各个单位比较关心的内容之一。请杜总谈一谈目前在个人敏感信息保护方面有哪些建议及注意事项？

杜总：我觉得内网安全和保密，与个人敏感信息保护是两件事情。内网安全和保密，这几年有了很多进展，包括介质管理、非法外联检测、安全审计等很多成果，合理应用的话能够发挥比较好的效果。

个人敏感信息保护是一个比较复杂的问题。从用户个人的角度来说，主要是提升安全意识，在使用社交网络和其他类似网络应用的时候注意不要随意透露自己的敏感信息，同时要对主要的个人信息窃取的方法有所了解，减少上当受骗的几率，另外还要注意区分所使用的计算机和网络环境的可信程度，不在不安全的环境中使用涉及个人敏感信息的应用获服务。

从服务企业和部门的角度来说，要切实采取必要的技术手段和管理流程来保证其用户的个人敏感信息不被攻击者窃取或者被内部人员滥用，以及一旦发生此类事件能够进行追溯或采取其它措施尽量减少给用户造成的损失。

解决这个问题最重要的是政府和相关管理部门，他们需要制定明确的法律、法规和标准来保护个人敏感信息，对危害个人敏感信息的行为能够依法进行打击（无论是服务行业自身的问题还是攻击者，无论是国内的企业还是国外的企业），要建立相应的第三方监督能力，及时发现个人敏感信息被滥用的行为，要建立事件上报和披露制度，使此类事件发生时不会被隐瞒，等等。总之，政府和管理部门需要建立一个重视个人敏感信息保护的大环境。

主持人：进行网络安全应急响应，对工作人员的要求有哪些？对于有志于从事此行业的学生们应该加强哪方面的锻炼？

杜总：对发生事件的单位自己的安全人员来说：需要对相关的应用系统和安全系统比较熟悉，以便能够进行事件分析；需要对自己的网络和应用十分熟悉，以便快速做出比较准确的判断；要对自己的应急预案和流程十分熟悉，以便快速执行应急措施；需要建立必要的协作圈子，以便及时寻求外界的帮助和支持；需要对相关的法律法规比较了解，以便在整个响应过程中能够平衡应急响应和后续法律事务的要求，为以后的工作做好铺垫。

对专门提供应急响应服务的安全人员来说，要求和上面类似，但是通常他们不会对用户自身网络、应用和资产价值等有过多的了解，但是他们要求对各类网络安全系统和设备十分了解，对各类日志数据有深入了解和分析能力，对主要的系统和应用、网络协议、攻击方法等要有较多的了解等。同时要掌握安全服务的有关规范，切实保证在安全服务的过程中维护客户的利益。

(责任编辑：管理员)