随着互联网上的安全事件不断出现，黑客事件屡见不鲜，已经成为桎梏包括电子政务、电子商务等互联网应用的重要因素。为加强对境内互联网安全事件的处理力度，信息产业部专门成立了互联网应急处理协调办公室（以下简称应急办），并组织十大骨干互联网运行部门的互联网安全事件应急响应小组，和国家计算机网络应急技术处理协调中心（CNCERT/CC）一同积极应对所发生的各种网络安全事件。 一、互联网安全事件的种类及防范措施 　　一般来说，经常出现的互联网安全事件可以分为网页篡改、网络蠕虫、拒绝服务攻击、特罗伊木马、计算机病毒等： （一）网页篡改 　　非法篡改主页是指将网站中的主页更换为黑客所提供的网页。这是黑客攻击的典型形式。一般来说，主页的篡改对计算机系统本身不会产生直接的损失，但对电子政务与电子商务等需要与用户通过网站进行沟通的应用来说，就意味着电子政务或电子商务将被迫终止对外的服务。对政府网站而言，网页的篡改，尤其是含有政治攻击色彩的篡改，会对政府形象造成严重损害。 　　针对网页的篡改，目前国内已有成熟的网页自动保护技术，使用网页自动恢复软件，可以在几分钟内发现网页被篡改，并可以自动恢复。 （二）网络蠕虫 　　网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。这种程序利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其它系统进行传播。网络蠕虫的危害通常有两个方面：1、蠕虫在进入被攻击的系统后，一旦具有控制系统的能力，就可以使得该系统被他人远程操纵。其危害一是重要系统会出现失密现象，二是会被利用来对其他系统进行攻击。2、蠕虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪，使得各种基于网络的应用系统失效。 　　网络蠕虫所利用的安全漏洞一般无法预先全部发现，因此通常是无法预防的，只有在蠕虫事件出来之后，根据各种不同的蠕虫的性质与特点，提出有针对性的处置措施，并在网络与节点两个层面双管齐下，进行解决。 　　网络计算机病毒可以看作是网络蠕虫的特例，其差别仅是需要附着在其他程序上进行传播。 （三）拒绝服务攻击 　　拒绝服务攻击是指在互联网上组织多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而不能再提供正常的服务，使得电子政务、电子商务这类应用无法正常工作。 　　一般来说，这是黑客常用的一种行之有效的方法。如果所调动的攻击计算机足够多，则更难进行处置。尤其是被蠕虫侵袭过的计算机，很容易被利用而成为攻击源，并且这类攻击通常是跨网进行。这也是有组织的网络恐怖行为或信息战所能使用的常规手段。 　　对拒绝服务攻击的处置方法只能通过网络管理部门逐一排查攻击源，并协调各攻击源所在运营商进行清理，如在境外则需要在互联网国际处入口处进行阻断。 （四）特罗伊木马 　　特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界连接，并接受外界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其它系统的攻击源。很多黑客在入侵系统时都会同时把木马植入到被侵入的系统中。 　　一个系统是否被植入木马通常很难发现，一般是在受到其它行为攻击时（如蠕虫、黑客篡改页面等）才会注意到是否有木马被植入。对这类问题的检查，通常需要非常有经验的技术人员才能胜任。 二、今年上半年所发现的我国互联网安全事件 　　今年上半年应急办和CNCERT/CC所掌握的我国互联网及互联网用户所遭受的攻击情况如下： （一）用户举报的重要事件  SQL杀手蠕虫事件。1月25日某骨干网向CNCERT/CC举报网络流量不正常，经研究发现，这是一次世界范围的“SQL杀手蠕虫”攻击。该蠕虫的蔓延导致韩国网络基本处于瘫痪状态，我国有两万多台数据库服务器受到影响，其中我国某骨干网的国际出入口基本瘫痪。CNCERT/CC立即和运营商的应急组织进行分析，根据该蠕虫在网络上传播和攻击的数据特点，找到在网络上隔离蠕虫传播的有效方式并迅速推广到各互联网单位，使得事件在较短时间得到了遏制。  口令蠕虫。3月8日部分大学因网络流量过大出现阻塞或瘫痪，因此向CNCERT/CC紧急报告。经研究发现，这是一起恶性蠕虫事件。根据CNCERT的技术平台记录的结果，在我国大部分骨干网络中已有四万多台计算机受到感染。该蠕虫在被攻击的计算机中植入木马，并与境外特定计算机传输信息。应急办紧急组织相关力量在各互联网单位推广隔离手段，从而避免大量主机被黑客集中利用造成更严重后果。  红色代码蠕虫的F变种。3月12日国家计算机病毒应急处理中心（以下简称病毒中心）向应急办报告，境外声称2001年爆发的红色代码蠕虫的一种F变种开始在互联网中蔓延。CNCERT也发现此种蠕虫在我国互联网扩散达十多万次。  某网站遭分布式拒绝服务攻击。3月29日安全中心福建分中心报告，一家用户量在亚洲排第二我国某网站遭到严重的拒绝服务攻击，并请求技术协助。CNCERT/CC协调福建、上海、武汉等地的合作组织，摸索攻击脉络，从福建追踪到上海、武汉，并将其中一个攻击源定位到位于湖北某市一所中学的一台被黑客利用的攻击源。  Remote Administrator后门程序事件。3月中旬公安部检查发现我国境内某涉密计算机中被人安置了Remote Administrator木马程序，并可以自由获取计算机中的任何文件。根据信息产业部的指示，应急办积极采取措施，很快了解到我国境内有三万多台机器有被植入Remote Administrator木马的迹象，至少有近五百台机器确实已经处于开放状态。  某市政府信息网络遭拒绝服务攻击。5月14日，某市政府信息网络受到拒绝服务攻击，造成市政府信息网络的互联网服务瘫痪半天，严重地影响了政府依托电子政务外网平台的相关业务和近百个政府网站的正常运行。CNCERT/CC立即协助对攻击来源进行调查，并追查到位其中一个攻击源于贵阳市某托管机房。  某自治区信息港遭拒绝服务攻击。5月19日，某自治区信息港网站受到拒绝服务攻击，网络业务受到重大影响。该网络包含多个区政府网站和大型企业网站。  其它举报。1月至6月，CNCERT/CC还接到国内外一般性安全事件的投诉五千多起，其中大部分投诉均来自境外。CNCERT/CC按照国际管理，协调各有关应急组织处理了这些事件。 （二）网络安全攻击事件 　　根据CNCERT对一些当前常见的攻击手段的监测，今年前六个月我国互联网近七十万台主机先后受到来自境外的攻击。 （三）网站页面被篡改的事件  广西某政府网站遭攻击事件。5月19日，CNCERT通过对攻击事件的监测发现，广西某市的一个政府网站服务器所发布的三十个政府网页均被黑客篡改。  其它网站被攻击的情况。今年前五个月，从CNCERT了解到，我国大陆至少有150个网站的网页被篡改其中包括87个政府网站。另外，台湾及香港也分别有534、60个网站的网页被篡改。

关键字：