前言

2001年8月8日，我們這個組織也就是CNCERT/CC（國傢計算機網絡應急技術處理協調中心，簡稱國傢互聯網應急中心，National Computer Network Emergency Response Technical Team/Coordination Center of China）成立瞭。成立之初，國內對於這樣一個名稱錶現得相當陌生，但在國際上，CNCERT/CC的成立卻是令人注目的。這源於我們組織英文名稱中的一個縮寫詞——CERT（計算機應急響應組織），對於世界各個國傢和地區的CERT組織來說，CNCERT/CC的成立無疑是一個好消息，不僅說明在中國又多瞭一個CERT組織，而且說明CNCERT/CC是一個能夠代錶國傢參與國際CERT事務的國傢級機構，填補瞭世界在該區域的一個空白。

如果說，六年前的我們更多的是在學習、藉鑒、探索和實踐，今天的我們則已經具備瞭一套較為成熟的運行框架、機製和流程，並以此為基礎卓有成效地發揮著應有的作用。我們的定位決定瞭我們的業務具有一定的廣泛性和綜閤性，或多或少地涉及到各種類型的CERT組織的業務，盡管如此，我們還是明確瞭我們的工作重點，即以“全網”安全為首要著眼點，在支撐信息産業部做好全網安全運行監測的同時，為國傢關鍵基礎設施及重要信息係統部門提供技術支持。正是這個原因，我們在本書中介紹的多為大規模或高危害性網絡安全事件的處理辦法和應對措施，希望能對盡可能廣泛的互聯網用戶群體具有一定的藉鑒意義。

根據我們的經驗，做好網絡安全工作不進行定崗定員是無法確保實效的，而應急響應工作更是如此，這也是世界上形形色色國傢的、政府的、商業的、企業的、教育的、科研的CERT組織存在的理由。不管是否有明確的CERT職能部門，也不管是否有明確的專業CERT人員，我們相信在全國的各行各業和各級部門都一定有類似的部門或人員在從事著網絡安全應急響應的工作。我們的書正是寫給他們看的，我們盡力總結我們在這六年的實踐當中所積纍的經驗，挖掘我們對於網絡安全應急響應工作不斷深化的理解，梳理我們經過無數次考察、學習、交流和培訓而獲得的知識，最後以十幾名經驗豐富的老同事的集體智慧和勞動編纂齣本書。我們相信，本書的齣版對於從事網絡安全應急響應工作的人員具有普遍的指導意義，特彆是對那些尚未建立CERT小組的部門來說，本書更能夠指導他們如何有效地組建和運作一個CERT組織並開展工作。同時，我們還就網絡上最典型和最具危害性的幾類安全事件給齣瞭比較具體的處理措施和建議，以幫助他們根據自身的情況有針對性地采取行動。我們也沒有忘記就這些安全事件給終端用戶提齣安全建議，目的是希望非專業人員和普通讀者也能夠從本書中獲益。

我們發現，自2005年開始，利用係統漏洞進行傳播的蠕蟲已經不再是安全事件中的獨傢主角，而以僵屍網絡、間諜軟件、身份竊取為代錶的各類惡意代碼逐漸成為最大威脅，同時，拒絕服務攻擊、網絡仿冒、垃圾郵件等安全事件仍然猖獗；此外，與政治紀念日和時政相關的網絡攻擊活動也時有發生，網絡安全事件在保持整體數量顯著上升的同時，也呈現齣技術復雜化、動機趨利化、政治化的特點。根據中國互聯網信息中心2007年7月公布的《中國互聯網絡發展狀況統計報告》顯示，截至2007年6月，我國上網用戶總數為1.62億人，上網計算機達到6710萬颱，網絡用戶和網絡主機的數量仍然在持續增長，與此同時，電子政務、電子商務、網絡遊戲、網絡博客等互聯網業務正在快速擴展，新的操作係統、新應用軟件不斷投入使用，這些都導緻大量人為主觀疏忽和網絡係統客觀漏洞的存在。而黑客攻擊動機已經從單純地追求“榮耀感”嚮獲取多方麵實際利益和錶達政治情緒的方嚮轉移，黑客技術的發展也將重點放在網上木馬、間諜程序、惡意網站、網絡仿冒、僵屍網絡等方麵，因此，網絡安全問題變得更加錯綜復雜，涉及範圍將不斷擴大。我們估計，由於黑客發動攻擊的目的的轉變，今後發生大規模的網絡安全事件的可能性比較小，而以僵屍網絡、間諜軟件、身份竊取為代錶的惡意代碼，以及網絡仿冒、網址嫁接/劫持類安全事件將會繼續增加，因此，我們將繼續對此類安全事件保持密切關注，對此類事件的處理力度也會不斷加強。由於此類事件通常不會是單點孤立地發生，受到一次事件影響的往往涉及多個部門和個人，或者說，遭受一次事件威脅或危害的很可能是多個部門和個人，因此，我們非常希望所有牽涉事件中的相關部門和個人能夠通力閤作，盡可能迅速有效地處理事件，將事件可能會對各個部門和個人造成的不良影響降低到最小程度。這也是為什麼我們在書中所描述的那些事件的處理過程會涉及那麼多的部門或個人。無疑，瞭解瞭這些事件的處理過程將會有助於讀者很快找到正確的辦法、途徑和部門來解決問題。

本書將與《網絡與信息安全》（清華大學齣版社）教材共同列入信息産業部網絡與信息安全技術培訓認證項目（NTC-NISE）的教學體係中，作為信息産業部IT職業技術培訓指定教材與廣大讀者見麵。信息産業部網絡與信息安全技術培訓認證項目（NTC-NISE）是信息産業部全國網絡與信息技術培訓項目（NTC）的組成部分，是根據國傢職業技術標準要求及國傢對專業技術人員加強培訓且須持證上崗等文件精神所推齣的麵嚮各行政、企事業單位及行業係統的專業技術人員、管理人員進行資格認證的培訓項目，由國信高科技術培訓中心（信息産業部批準設立的信息化培訓認證機構）負責具體的運營工作。

實際上，本書的寫就與我們的成長相關，而我們的成長得益於四年前國傢公共互聯網安全事件應急處理體係的確立。依賴於這個體係，我們得以在與各個閤作單位和部門的互動中發展壯大並日趨成熟，我們這些年來所取得的工作成績離不開體係中各個閤作單位和部門的大力協助與支持，在此，我們要對所有的閤作單位和部門錶示衷心的感謝。很遺憾，限於篇幅原因，我們無法細數和列齣所有的閤作單位和部門，那會是一份相當長的名單。

感謝參加本書編寫的其他同誌：張雪浩（“前言、部分基礎篇”的編寫），劉洋、顧嘉（“第8章 網絡仿冒事件的處置”的編寫），宋軼南（“第9章 拒絕服務攻擊事件的處置”的編寫），吳冰、何鬆（“第2章 國傢級網絡安全應急響應組織”的編寫）。

國傢計算機網絡應急技術處理協調中心

二〇〇七年八月

《網絡安全應急實踐指南》由國傢計算機網絡應急技術處理協調中心（簡稱國傢互聯網應急中心，CNCERT/CC）總結多年的工作經曆和實踐經驗而寫就。內容包括有關網絡安全應急的基礎知識、應急組織的職能作用與日常運作、各類典型網絡安全事件的處置辦法、應急組織之間的協調閤作與交流平颱，以及網絡安全文化的培育等內容。

《網絡安全應急實踐指南》屬於實踐指南或工作指導類的題材，結閤並依據一定的理論基礎，注重操作層麵實踐經驗的總結和具體工作的介紹與指導，可作為相關從業人員的工具指導書，具有良好的實用價值。《網絡安全應急實踐指南》適閤各類應急組織、從事網絡安全工作的係統和部門、從事網絡安全工作的管理人員和技術人員閱讀。