网络与信息安全分析报告科技论文

网络与信息安全分析报告北京网络信息安全中心1摘 要2007 年，网络和信息安全威胁日益严重，病毒发作和黑客活动频繁，垃圾邮件猛增，市场热点层出不穷，政府、厂商和用户共同参与到网络和信息安全的洪流之中。本报告首先调查分析了 2007 年国内外发生的安全事件；然后设计了构建安全网络防御体系架构的策略和方法；之后分析了国家与北京市出台的相关信息安全法规；针对 2008 年北京市将举办的奥运会这一重大事件，本报告也对其中所涉及的安全威胁与对策进行了分析；最后，对 2008 年整体的网络信息安全趋势进行了展望。2I1. 2007 年安全事件调查与分析 .11.1 2007 年互联网安全焦点事件 .11.1.1 反流氓软件再起纷争 .11.1.2 熊猫烧香爆发 .11.1.3 灰鸽子 .21.1.4 诺顿误杀 .31.1.5 AV 终结者 .41.1.6 发布上半年安全报告 .41.1.7 卡巴斯基 .8 金山上市 .61.1.9 发布 2008 新版杀毒软件 .61.2 2007 年度网络安全分析报告 .71.2.1 十大恶意行为排行榜 .81.2.2 十大恶意病毒排行榜 .81.2.3 十大用户最恐惧恶意攻击 .91.2.4 2007 年十大恶意网站排行 .121.2.5 黑榜深思：杀毒软件能救我们吗? .151.3 国防部网络安全事件分析 .171.4 政府网站安全事件分析 .172. 网络安全防御体系 .182.1 纵深化的有线网络安全防御体系 .182.1.1 通信和团队协作安全 .182.1.2 纵深防御体系 .192.2 无线网络中的安全防御系统 .212.2.1 容易侵入 .212.2.2 非法的 AP .222.2.3 经授权使用服务 .222.2.4 服务和性能的限制 .232.2.5 地址欺骗和会话拦截 .232.2.6 流量分析与流量侦听 .242.2.7 高级入侵 .243. 国家及北京市信息安全法规 .243.1 国家信息安全法规 .243.2 北京市信息安全法规 .254. 2008 年北京奥运会的安全问题与对策 .274.1 奥运会历史上主要的不安全事件分析 .274.2 与北京 2008 年奥运会不安全事件有关的种类分析 .294.3 北京 2008 年奥运会不安全事件具有的主要特征 .304.3.1 奥运会的自身特点与客观性 .304.3.2 相对性和潜在性 .314.3.3 无形性和复杂性 .314.3.4 多样性和危害性 .314.4 奥运会信息系统所面临的威胁 .324.4.1 奥组委管理网所面临的风险 .32II4.4.2 奥运官方网站所面临的安全风险 .324.4.3 运动会网所面临的安全风险 .324.4.4 奥运会票务网所面临的安全风险 .334.4.5 其他互联网接入所面临的安全风险 .334.5 奥运会信息系统的安全对策 .334.5.1 多层保护 .334.5.2 隔离网络 .344.5.3 安全等级制度 .344.5.4 主动防御 .354.5.5 实时控制 .354.5.6 实际演练 .355. 2008 年网络安全趋势展望 .365.1 广告软件呈下降趋势 .365.2 暴风蠕虫创造最成功的僵尸网络 .365.3 犯罪软件和网络钓鱼诈骗转向二级目标 .375.4 即时消息恶意软件：一种特殊的即时消息病毒 .385.5 寄生型犯罪软件死灰复燃 .385.6 虚拟威胁的发展速度超过实际威胁的发展速度 .395.7 虚拟化从根本上改变了安全状况 .395.8 Windows Vista 也被列入攻击范围之列 .405.9 针对 VoIP 的攻击次数呈上升趋势 .415.10 Web 2.0：互动功能催生更多的恶意软件 .4111. 2007 年安全事件调查与分析1.1 2007 年互联网安全焦点事件1.1.1 反流氓软件再起纷争2007 年 1 月 22 日，CNNIC（中国互联网络信息中心）向北京市海淀区人民法院起诉奇虎侵犯其名誉权，而奇虎方面则表示，将会在近期对 CNNIC 进行反诉。之前，奇虎推出的 360 安全卫士软件曾将 CNNIC 的中文上网列为恶意软件，并且在此后发布“CNNIC使用病毒技术推广软件”等说法。而 CNNIC 也援引网民质疑表示，奇虎可能是一些流氓软件作者的幕后主使，并要求奇虎针对网民置疑给出明确答复。CNNIC 起诉的理由是奇虎“捏造事实诽谤 CNNIC 名誉 ”，要求法院判令奇虎停止侵权并赔礼道歉，同时赔偿损失费10 万元。而奇虎在得知 CNNIC 起诉其诽谤后，则发表声明，认为“这将是继雅虎中国之后又一起恶意软件公司对反恶意软件阵营的反扑，其意图不过是试图逆民意而动，趁司法在相关领域还不完善之际，阻碍反恶意软件大潮而已。 ”2007 年 8 月，CNNIC 起诉北京三际无限网络科技有限公司（即奇虎 360 安全卫士所在公司）诽谤其捏造事实诽谤 CNNIC名誉案一审结束，CNNIC 胜诉。奇虎被判向 CNNIC 道歉并赔偿 15 万元，除此，法院驳回了 CNNIC 的其它诉讼请求。判决书显示，奇虎必须在“判决生效 30 日内在自己经营的网站和三家全国性报刊上向 CNNIC 赔礼道歉，在自己经营的网站上登载赔礼道歉时间不少于 30 日，在三家全国性报刊上刊登赔礼道歉不少于一次；在判决生效后 15 日内赔偿CNNIC 十五万元” 。此外，诉讼产生的 2.5 万多元诉讼费，奇虎承担 1200 多元，其它的由CNNIC 承担。对此结果，CNNIC 表示，称“那些为了自己的商业利益恶意炒作诋毁他人名誉、侵犯他人合法权益、破坏行业健康发展的违法行为均会受到法律的追究。 ”但对于这个判决，奇虎显然并不服，认为该案审判不公平，法院犯了四大错误，表示还将上诉；同时，还发起了呼吁网民举证 CNNIC 为恶意软件的活动。另一场战争而关于奇虎雅虎之间的“两虎相争”的最终结果是最后双方都发表声明承认错误，并互相致歉。1.1.2 熊猫烧香爆发熊猫烧香是病毒的一个奇迹，金山称其为 worm.whBoy，瑞星称其为 worm.nimaya，别名：尼姆亚，武汉男生，后又化身为“金猪报喜” 。【病毒描述】 2其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，能够终止大量的反病毒软件和防火墙软件进程。尼姆亚变种 W(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中 exe，com，pif，src，html，asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件，该文件是一系统备份工具 GHOST 的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe 可执行文件全部被改成熊猫举着三根香的模样。【中毒症状】除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。【危害】病毒会删除扩展名为 gho 的文件，使用户无法使用 ghost 软件恢复操作系统。 “熊猫烧香”感染系统的.exe .com. pif.src .html.asp 文件，添加病毒网址，导致用户一打开这些网页文件，IE 就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf 和 setup.exe，可以通过 U 盘和移动硬盘等方式进行传播，并且利用 Windows 系统的自动播放功能来运行，搜索硬盘中的.exe 可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。 “熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。1.1.3 灰鸽子金山称灰鸽子大规模爆发，各大厂商围剿灰鸽子，黑色产业链开始曝光，3 月 1 日至313 日，金山毒霸全球反病毒中心截获的“灰鸽子”病毒变种数就达到 521 个。被反病毒专家称为最危险的后门程序“灰鸽子”病毒随着“灰鸽子 2007”在春节期间的发布，正在呈现出大规模集中爆发的趋势。 “灰鸽子已不再是一个单纯的病毒，其背后是一条集制造病毒、贩卖病毒、病毒培训为一体的黑色产业链，从某种意义上讲，灰鸽子的危害超出熊猫烧香10 倍。 ”金山总裁雷军说。1.1.4 诺顿误杀5 月 18 日，国内信息安全商瑞星公司发出红色警报，称诺顿杀毒软件升级最新的病毒库后，会把 Windows XP 的关键系统文件当作病毒清除，重启后系统将会瘫痪。该次误杀只发生在简体中文版的 XP 系统上，对国外用户几乎没有影响。据瑞星公司称，安装了MS06-070 补丁的 Win XP 系统，如果将诺顿升级最新病毒库，则诺顿杀毒软件会把系统文件 netapi32.dll、 lsasrv.dll 隔离清除，从而造成系统崩溃。由于国外品牌的 笔记本和台式机多数预装了 Windows XP 系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此中国大陆地区将有数百万台电脑面临崩溃的危险。瑞星客户服务中心的疫情监控工程师分析，赛门铁克在企业级市场上占有相当大的份额，特别在金融、电信等行业拥有一定的优势，因此此次误杀会导致许多企业网络完全瘫痪。根据初步预测，此次诺顿误杀将是近年来最严重的一次安全事故，给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。5 月 19 日 卡巴斯基误杀瑞星卡卡，随后瑞星、卡巴斯基互诉，许多卡卡用户向瑞星公司求助：用卡巴斯基杀毒软件杀毒后，瑞星卡卡上网安全助手无法正常升级。经过瑞星研发部门的测试分析，发现卡巴斯基杀毒软件，把瑞星卡卡的升级组件识别为病毒，并将其彻底删除，导致瑞星卡卡无法升级。同时，当卡巴斯基杀毒软件的实时监控功能开启时，用户即使重装瑞星卡卡，其升级组件也会被继续杀除，导致该产品无法升级。瑞星技术测试部门经理表示，卡卡上网安全助手在发布前经过大量兼容性测试，未对系统、正规软件有任何不当行为。并且，卡卡助手在软件中启用了正规商业软件的所有标识，在软件属性中表明了正规的公司名称（Beijing Rising Technology Co., Ltd） 、版本号、发布日期等辨认标志，而且该软件的所有动作都符合严格的安全软件编写规范，没有任何违规的地方。据介绍，该版本的升级组件早在 2007 年 3 月 16 日就已经发布，在发布后长达 2 个月的时间内并没有任何公司、组织、个人、机构对该升级组件表示异议。测试部经理表示，完全不4理解为什么卡巴斯基查杀瑞星卡卡。据了解，除了卡巴斯基本公司的产品（个人版、企业版）之外，采用卡巴斯基病毒库和查杀引擎作为安全插件的迅雷下载软件，同样会将瑞星卡卡的升级组件删除，导致用户无法升级。1.1.5 AV 终结者6 月 8 日，金山毒霸发布紧急预警， “AV 终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6 月 12 日， “AV 终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。金山毒霸反病毒专家戴光剑表示， “AV 终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划” ，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃： 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障； 破坏安全模式，致使用户根本无法进入安全模式清除病毒； 强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法； 格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。经过“AV 终结者”的精心“策划” ，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV 终结者”自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，用户的网银、网游、QQ 帐号密码以及机密文件都处于极度危险之中。1.1.6 发布上半年安全报告各大安全厂商发布上半年安全报告，木马成主流国内三大厂商陆续发表了上半年互联网安全报告，而以 360 安全卫士成名的奇虎，也于 8 月发表了其“互联网不安全报告” 。报告中共同反映出，木马已经成为当前病毒的主流，而造成这一情况的原因，在于网络黑客向以经济利益为目标的转变。2007 年 8 月 22 日，因反流氓软件而名声大噪的 360 安全卫士，如今已经拥有了很大的用户群。在此一周年之际，奇虎举行了 360 安全卫士一周年庆典活动中，并且推出了奇虎5360 保险箱，还发表了其互联网不安全报告。奇虎宣布推出的 360 保险箱安全软件，旨在帮助用户保护即时通讯帐号、网游帐号、网银帐号，防止由于帐号丢失导致的虚拟资产和现实资产受到的损失。这是奇虎公司推出第二款安全软件，根据介绍，这款软件将以免费的形式提供给网民使用。据 360 安全卫士官方论坛的调查显示，由于木马等因素，7 成的网友表示曾经丢失过 QQ 密码，而在另一项关于“您丢过网游账号么 ”的调查中，也有将近 7 成的网友表示丢失过网游帐号，其中 23.05%的网友丢号的网游装备价值高达 500 元以上。目前 360 保险箱已经投入公测，据悉，只有部分受到邀请的 360 安全卫士的用户方能使用。奇虎公司宣称，360 保险箱将先期保护用户数量多、影响力大的即时通讯、网游以及网银的产品。据悉，360 保险箱目前主要针对 QQ 聊天工具、招商银行专业版以及 “梦幻西游” 、 “征途” 、 “魔兽世