國家計算機病毒應急處理中心
1996年成立的應急處理中心
國家計算機病毒應急處理中心的任務是發現、收集在我國流行的計算機病毒,對計算機病毒進行解剖、分析,向國家CERT中心和公安部提交病毒疫情分析報告,經主管機關授權后發布計算機病毒疫情,建立、維護中國計算機病毒流行列表,為國內用戶提供計算機病毒防治的解決方案,指導用戶建立和實施計算機病毒防治措施,為有關部門制定我國計算機病毒防治的政策、法規和標準提供技術支持,為遭受計算機病毒攻擊破壞的我國計算機用戶提供後援服務。
國家計算機病毒應急處理中心
,式頒布施《計算息系統保護例》,該《例》六式確指管計算息系統保護。,規計算病毒 危害社共害據防治研究,歸管。計算息系統專產品銷售證制。今,頒布《計算病毒防治管辦》。頒布《刑》,故製造、傳播計算病毒罰。計算病毒防治逐步制化軌。根據令、規求,計算專產品施銷售證制,按照規委託建產品檢驗。
,天津市公安局與天津市技術監督局建立了我國唯一的計算機病毒防治產品檢驗中心(天津市質量檢驗站第70站),該檢驗中心承擔著對在我國銷售的計算機病毒防治產品的質量檢驗認證工作。該站自1996年建立以來,在公安部和天津市技術監督局的領導和支持下,已對國內外十多個病毒防治產品進行了質量檢驗工作。並建立了我國計算機病毒標準樣本庫,填補了我國一項空白。在檢驗工作中,我們積累了大量的計算機病毒的技術資料,對目前流行的計算機病毒有了深入的了解和實踐經驗。我們並參加了亞洲計算機病毒研究會,與國際反病毒組織建立的合作和交流關係。編製起草了用於檢驗的公安部公共安全行業標準GA 135-1996《DOS操作系統環境下計算機病毒檢測方法》、GA 243-2000《計算機病毒防治產品評級準則》,今年,在公安部又立項起草新的標準《計算機病毒庫建立準則》,用以規範中國計算機病毒庫的建立工作。在1992年編寫了一套計算機安全叢書《計算機安全管理》、《計算機網路》、《計算機病毒》。在1994年我們又編寫了《計算機安全實用技術》一書,由天津教育出版社出版。並利用編寫的書籍作為天津和其他省市的計算機安全培訓教材。1997年我們參加了公安部全國計算機安全培訓教材的編寫工作。這套教材共分三冊:《計算機信息系統安全管理與法規相關基礎知識》、《計算機信息系統安全技術》、《計算機信息系統安全法規彙編》。該培訓教材已於1998年由群眾出版社出版發行。因此,我們具有較高的計算機病毒防治技術和檢驗技術以及實踐經驗。
根據計算機病毒的特點,和多年病毒防治工作的經驗來看,從根本上完全杜絕和預防計算機病毒的產生和發展是不可能的。我們目前面臨的計算機病毒的攻擊事件不但沒有減少,而是日益增多,並且,病毒的種類越來越多,破壞方式日趨多樣化。每出現一種新病毒,就要有一些用戶成為病毒的受害者。面對此種形勢,我們不能坐以待斃,而是要尋求一種解決方案,力爭將計算機病毒的危害性降至最低。因此,因此,急需建立一種快速的預警機制,能夠在最短的時間內發現並捕獲病毒,向計算機用戶發出警報,保障我國計算機信息系統和網路的安全。
在歐美信息化發達的國家,為了解決信息時代存在的安全問題,歐、美一些發達國家都建立了計算機安全事件的快速發應機制。對其國內、外發生的有關計算機安全的事件進行分析,提出解決方案和應急對策。來保證計算機信息系統和網路免遭破壞。例如,美國梅隆大學在聯邦政府的要求下,建立了計算機安全事件應急中心。德國的計算機安全應急中心建立在漢堡大學,同時,在漢堡大學還建立了計算機病毒檢驗中心,專門對世界各國的計算機病毒防治產品進行檢驗認證。這些應急中心,對1998年6月份出現的CIH病毒在其WEB站點上及時公布了該病毒的特徵、傳播途徑和發作破壞的結果,對計算機用戶發出警告,防止被該病毒感染。同時公布了哪些產品可以檢測、清除CIH病毒。
天津市公安局與天津市技術監督局在1996年建立了我國唯一的計算機病毒防治產品檢驗中心(天津市質量檢驗站第70站),該培訓教材已於1998年由群眾出版社出版發行。因此,我們具有較高的計算機病毒防治技術和檢驗技術以及實踐經驗。
在2000年到來之際,國外黑客組織宣稱要在新世紀交替之時,通過國際網際網路釋放大量病毒和有害程序,干擾、破壞世界的計算機網路。檢驗中心通過監控獲取了這種情況,及時上報公安部,建議檢驗中心牽頭,組織國內所有計算機病毒防治產品生產廠家,組成中國2000年計算機病毒應急中心,對我國的計算機網路和信息系統的運行情況進行24小時的監控,並將發現的問題隨時通報中心,應急中心將情況通報轉給應急小組成員,在最短時間內提供解決方案。應急中心並通過人民日報和各大媒體公布了熱線電話和電子郵件地址。熱線開通后,共接到來自全國幾百個諮詢電話。保障了2000年的順利過渡。因此,我國在計算機病毒應急機制已經進行了有益的嘗試,積累了經驗。
2000年5月8日,檢驗中心收集到在歐美國家肆虐的“愛蟲”病毒后,著手對該病毒的傳染性和破壞性進行分析。經分析,發現該病毒的傳播特點與國內、外宣傳的內容有很大出入。最後通過實驗和分析得出該病毒目前在我國不具備大規模傳播的條件。並且檢驗中心與廣東、江蘇、上海等公安機關和有關計算機用戶及時溝通信息,了解“愛蟲”病毒在我國的傳播、流行情況。反饋的情況與實驗分析結果相吻合。檢驗中心將“愛蟲”分析報告及時上報公安部。公安部根據此報告,制定了相應防治措施,並通報各公安省廳和市局,採取防控措施。
計算機病毒防治產品檢驗中心自從96年成立以來,已經建立收集我國流行的計算機病毒的渠道,並且與計算機病毒防治產品的生產和研製單位建立了密切的聯繫。通過檢驗工作,培養了很多技術人員,與國外的病毒防治機構和廠家建立了合作機制。而且,已多次處理了我國發生的計算機病毒事件,取得很好的效果和經驗。
2000年8月,國家信息化工作領導小組計算機網路與信息安全管理辦公室和公安部公共信息網路安全監察局的領導對計算機病毒防治產品檢驗中心進行了考察,考察中詳細了解的檢驗中心自建立以來的工作情況和中心對我國病毒防治工作的建議和設想,最後決定,充分利用我國病毒防治工作的現有資源,在計算機病毒防治產品檢驗中心的基礎上,建立國家計算機病毒應急處理中心。該中心的主要工作任務是充分調動國內防病毒力量,快速發現病毒疫情,快速發應,快速處置,防止計算機病毒對我國的計算機網路和信息系統造成重大破壞。
計算機病毒防治產品檢驗中心
計算機病毒防治產品檢驗中心(天津市質量監督檢驗站第70站)(以下簡稱檢驗中心)是在通過中國考核合格檢驗實驗室的認定,並取得國家技術監督局頒發的《中華人民共和國產品質量監督檢驗中心授權證書》和《質量認證合格證》兩項證書後,於一九九六年十二月二十六日正式成立的,是目前我國計算機病毒防治領域唯一獲得公安部批准的病毒防治產品檢驗機構。檢驗中心按照國家質量技術監督局的要求,建立了辦公室、資料室、樣品室、設備維護室、單機產品檢驗室、網路產品檢驗室、質量監督室。檢驗中心的工作人員均經過上崗前的技術、業務、法律的培訓,並通過了國家技術監督局和天津市技術監督局的雙重考試和考核,取得了《檢驗員上崗證》和《產品抽樣員證》。按照國家要求,檢驗中心向天津市物價局和天津市財政局申請了《收費許可證》。
為了完成計算機病毒防治產品的檢驗任務,檢驗中心共收集各種病毒幾萬種。通過分析,選出危害性比較大、在國內流行的病毒樣本,建立了中國計算機病毒樣本庫。此計算機病毒樣本庫分為基本病毒樣本庫、流行病毒樣本庫、壓縮病毒樣本庫及變形病毒樣本庫。這是目前我國最具有權威的中國計算機病毒樣本庫,並將隨著計算機病毒流行趨勢和防治產品的發展而不斷擴充。到目前為止檢驗中心以公正、科學的態度,嚴格按照GA135-1996標準和各企業標準,共檢測了國內外31個廠家送檢的近百個產品,出具檢驗報告146份。作為中介技術檢驗機構,檢驗中心還承擔了各種應用軟體是否含有計算機病毒的認證工作以及其它的有關的技術糾紛的檢驗認定工作。
計算機病毒防治產品檢驗和計算機病毒認證工作是一個新的檢驗認證領域,國家和行業標準體系尚不健全。為保證科學、公正地從事檢驗認證工作,檢驗中心向公安部社會公共安全行業標準管理部門申請標準編製項目,編製了中華人民共和國社會公共安全行業標準《計算機病毒防治產品評級準則》(GA243-2000)。該標準已於2000年3月20日由公安部發布,並於2000年5月1日起實施。今年檢驗中心又向公安部提出《計算機病毒樣本庫建庫準則》的申請立項。目前,檢驗中心對計算機病毒防治產品的檢驗和認證工作既有檢驗方法的標準,又有評級準則的標準,這樣就逐步健全和完善了計算機病毒防治產品檢驗標準體系和計算機病毒認證標準體系,進一步規範了我們的檢驗認證工作,從而為實現“為計算機病毒防治產品生產廠商和社會各界提供公正、優質的服務”的宗旨提供了客觀的保證。
2000年4月26日頒布並實施公安部第51號令《計算機病毒防治管理辦法》。檢驗中心工作是實施《計算機病毒防治管理辦法》工作中不可缺少的重要環節,是貫徹執行《計算機病毒管理辦法》的技術支持認定部門,是公安部計算機病毒疫情預告組成部分。因此檢驗中心建站以來,嚴格按照公安部和技術監督局的要求,一直注重加強人員、技術、管理等各方面的建設。幾年來檢驗中心的規模不斷擴大,單機和網路產品的各種檢驗平台不斷完善。國外檢驗機構能檢驗的平台和內容我們也完全能夠檢驗。同時,檢驗中心十分重視加強國際間的技術交流與合作及信息的溝通,被亞洲反病毒研究者協會(AVAR)吸收為會員單位。多次派員到美國、歐洲、亞洲反病毒協會進行技術交流和學習,使檢驗中心逐步和國際接軌,成為國際認可的檢驗機構。
簡介
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編製者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編製的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!
計算機病毒可以像生物病毒一樣進行繁殖,當正常程序運行的時候,它也進行運行自身複製,是否具有繁殖、感染的特徵是判斷某段程序為計算機病毒的首要條件。
計算機中毒后,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編製的計算機程序代碼,這段程序代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那麼病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟盤、硬碟、移動硬碟、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟盤已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編製精巧的計算機病毒程序,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。