Центр стратегических оценок и прогнозов

Автономная некоммерческая организация

Главная / Оборона и безопасность / Вопросы информационной безопасности / Статьи
О китайском подходе к анализу безопасности компьютерных сетей
Материал разместил: AдминистраторДата публикации: 06-10-2020

Руководство Китая рассматривает противоборство в кибернетическом пространстве в качестве одного из важнейших элементов ведения современной высокотехнологичной войны. При этом особое внимание уделяется надежной защите информационных объектов национальных сетевых ресурсов от различного рода информационно-коммуникационных воздействий.

Так, управлением контроля безопасности информационно-вычислительных сетей (ИВС) министерства общественной безопасности (МОБ) КНР, центром информационной безопасности министерства обороны осуществляется постоянный анализ и изучение основных мировых тенденций развития соответствующих средств доступа и поражения. Одновременно ведется мониторинг китайских компьютерных сетей на предмет вскрытия потенциальных киберугроз и защиты информационных объектов.

В конце ХХ века, в связи с активным ростом количества ИВС, внедрением в повседневную жизнь компьютерных технологий, а также всеобщей интеграцией в сеть Интернет, задача обеспечения сетевой защиты вышла за рамки отдельных заинтересованных организаций и потребовала координации усилий всех министерств и ведомств на государственном уровне.

С этой целью в октябре 2000 года был организован Китайский национальный координационный центр противодействия сетевым угрозам (CNCERT\CC)[1]. Целью его создания стала разработка концепции сетевой и информационной безопасности министерств и ведомств, предприятий и организаций, а также отдельных потребителей и граждан КНР. Центр координирует деятельность государственных учреждений и частных компаний в интересах обеспечения сетевой защиты от утечки сведений, составляющих государственную, коммерческую тайну или носящих конфиденциальный характер.

Решение поставленных задач CNCERT осуществляет во взаимодействии с органами государственной власти и управления Китая, ведущими китайскими телекоммуникационными компаниями, провайдерами сетевых услуг и другими организациями, осуществляющими свою деятельность в области информационной безопасности и сетевой защиты, а также соответствующими структурными подразделениями правоохранительных органов, отвечающих за раскрытие преступлений в компьютерной сфере. Деятельность центра одновременно предусматривает международное сотрудничество и взаимодействие с зарубежными центрами сетевой защиты информационных объектов и реагирования на компьютерные инциденты в интересах предупреждения и пресечения транснациональных компьютерных преступлений[2]. Структурная схема места, которое занимает CNCERT в общей системе сетевой безопасности КНР, представлена на рисунке 1.

Рисунок 1. Место национального координационного центра противодействия сетевым угрозам в системе информационной безопасности Китая.

Главный офис центра расположен в г.Пекин и насчитывает более 500 сотрудников. Он объединил в своем составе 31 структурное подразделение, формируемые по территориальному принципу. Их зоной ответственности являются провинции, автономные районы и города центрального подчинения КНР. Результаты работы CNCERT обобщаются в периодических отчетах (ежемесячная подборка на китайском языке за 2013 г. приведена в приложении), статистические данные по отдельным показателям из которых сведены в таблицу 1.

Таблица 1

Основные показатели сетевой информационной безопасности Китая в 2013 г.

По итогам 2013 г. китайским координационным центром было зафиксировано 33,1 млн. вирусных воздействий. Наиболее распространенными из них стали троянские программы (75% из общего числа выявленных вирусов),  сетевые "черви" (10%), вирусы Win32 (6%), а также ряд других (рис. 2).

Рисунок 2. Активность применения различных семейств вирусов в 2013 году.

Десять самых распространенных вирусов в 2013 году приведены  в таблице 2.

Несмотря на общую тенденцию снижения (по сравнению с 2012 г.) количества единичных вирусных воздействий, отмечен рост одновременного применения нескольких видов сетевого воздействия на один объект. В качестве наиболее опасной угрозы выделено использование объединенных в отдельные компьютерные подсети с удаленным администрированием ("бот-сети"), ранее инфицированных специальными программами доступа к закрытой информации (типа "троянский конь"), с целью ее последующего хищения.

Управляемые извне без ведома пользователей, они способны нанести серьезный ущерб безопасности страны. В 2013 г. на территории КНР было выявлено около 14,1 млн. компьютеров, работающих в таких сетях. Это на 14% меньше по сравнению с 2012 г. Управление ими осуществлялось как с 173,9 тыс. серверов (в 2012 – 261,8 тыс.), расположенных в Китае (провинции Гуандун, включая особый административном район Китая – Гонконг, Чжэцзян, Цзянсу, Юньнань), так и с 44 тыс. (в 2012 – 117,5 тыс.), размещенных за пределами страны (преимущественно в США, Японии, Республике Корея).

В указанный период возросло распространение сетевых воздействий данного вида, осуществляемых с серверов, размещенных на территории США. Под их управлением на территории КНР в общей сложности находилось 5,1 млн. ПЭВМ (2012 г. – 4,6 млн.).

Широко применялась технология информационно-технического воздействия, использующего изъяны в программном обеспечении. В течение прошлого года таким способом был нанесен вред порядка 151,2 тыс. сетевых станций. Из них более 3,9 тыс. принадлежали государственным партийным и правительственным учреждениями различного уровня.

Следует отметить, что компания Microsoft с 8 апреля 2014 г. прекращает сопровождение и выпуск обновлений для операционной системы (ОС) Windows XP, в результате следует ожидать увеличения числа информационно-коммуникационных воздействий на рабочие станции под ее управлением. Учитывая, что порядка 60% пользователей в Китае продолжают использовать данную ОС, эта ситуация вызывает серьезную обеспокоенность администраторов ведомственных сетей, отвечающих за информационную безопасность и сетевую защиту.

Отдельным видом воздействия стали веб-страницы – носители вредоносного кода (эксплойта). Количество внедренных из-за рубежа в 2013 г., превысило 26,5 тыс.

Распространителями "сетевых червей" являлись более 206,7 млн. IP‑хостов. При этом большая часть таких вредоносных программ проникала из Бразилии и Индии и только 21 млн. – с территории Китая (преимущественно провинций Гуандун, Чжэцзян и Цзянсу). Однако по сравнению с 2012 годом отмечается снижение данного показателя как в Китае (на 50%), так и по всему миру (на 40%).

Таблица 2

Около 96,7 тыс. информационно-технических воздействий на китайские ИВС в 2013 г. классифицированы как преднамеренные сетевые воздействия. Их объектами выступали более 7,9 тыс. серверов в городах Пекин и Шанхай, а также в провинциях Гуандун и Фуцзянь (доменные группы gov.cn, com и com.cn). Так, в июле 2013 г. были блокированы сервера компаний мобильной связи в Шанхае, а в августе – домены .cn и .com.cn на территории всей страны. В декабре 2013 г. было предпринято целенаправленное воздействие на официальный сайт Китайского народного банка. Причем, 88% IP адресов, являющихся источниками сетевых воздействий, находилось на территории КНР (рис. 3).

Рисунок 3. Территориальное распределение  IP адресов – источников удаленных сетевых воздействий.

МОБ КНР отмечается, что в минувшем году основными видами преступности в сетевом пространстве стали порнография, вымогательство (шантаж), перепродажа (спекуляция), торговля персональными данными, ″сетевой фишинг″, азартные игры, хакерские удары, торговля низкокачественной (контрафактной) продукцией, торговля наркотиками и незаконный сбор средств (пожертвований).

Суммарный ущерб, нанесенный государству и отдельным гражданам в 2013 году составил около 25 млрд. долл. США. Это примерно в два раза меньше чем в 2012 г. (46,6 млрд. долларов США). Причем размер утраченных сумм 68,4% частных пользователей не превышал 100 долл. США.

Обращено внимание на повышенный интерес хакеров к перехвату парольно-адресной информации пользователей (сетевой "фишинг"). В 2013 г. выявлено около 6,5 млн. сайтов, с помощью которых злоумышленники осуществляли перехват паролей, логинов и другой конфиденциальной информации пользователей, что на 6,4% больше чем в 2012 г.

Основными способами заражения вирусами в компьютерных сетях стали: скачивание операторами ЭВМ программ и документов – 52%, просмотр зараженных страниц – 33%, открытие сомнительных сообщений  электронной почты – 15%.

Отдельно отмечается, что до 5% компьютеров в 2013 г. подверглись информационно-техническому воздействию из-за соблазна пользователей просмотреть информацию сомнительного содержания, игнорируя соответствующие предупреждения средств антивирусной защиты.

Китай активно налаживает международное сотрудничество в области противодействия сетевым воздействиям. Так, 17 апреля 2013 года в Пекине по инициативе министерства общественной безопасности (МОБ) КНР проведена международная конференция по вопросам борьбы с преступностью в киберпространстве. В мероприятии, организованном китайским МОБ совместно с ФБР США, приняли участие представители Российской Федерации, Японии, Южной Кореи, Таиваня, Канады, Новой Зеландии, Великобритании, Германии, Франции, Италии, Испании, Дании. Ввиду того, что 84% правонарушений в сетевой среде связана с распространением порнографических материалов (рис. 4), основной целью форума стало формирование консолидированной позиции и предложений стран-участниц по созданию международного механизма борьбы с пропагандой детской порнографии и источниками её распространения.

9 августа 2013 г. в Шанхае прошла встреча руководства национальных координационных центров противодействия сетевым угрозам Китая, Японии и Республики Корея, на которой обсуждались направления взаимодействия и координации усилий в вопросах противодействия различного рода информационно-коммуникационным воздействиям.

В июне прошлого года МОБ КНР объявило о начале компании по борьбе с преступностью в кибернетическом пространстве. Целью проводимых мероприятий, рассчитанных до конца 2013 года, стал углубленный мониторинг сетевого пространства на предмет выявления порнографических сайтов, фактов мошенничества и незаконных финансовых сделок. В результате предпринятых действий с июля по сентябрь обезврежено более 200 преступных групп и 8700 частных лиц, причастных к совершению мошеннических и других незаконных финансовых сделок. Возбуждены  уголовные дела в отношении владельцев 91 интернет сайта.

МОБ КНР активно использует горячую линию центра приема жалоб от интернет-пользователей. Активно применяется практика финансового поощрения денежными премиями наиболее активных участников. Так, в 2013 г. с их помощью было выявлено 915 сайтов сомнительного содержания, из которых 763 были закрыты. Были удалены 218 ссылок на противозаконную информацию, возбуждено 2430 уголовных и административных дел.

Рисунок 4. Распределение видов правонарушений в сети интернет по оценке МОБ КНР.

Несмотря на проводимые МОБ КНР и другими компетентными органами мероприятия, обстановка в сфере защиты информационных объектов национальных сетевых ресурсов продолжает вызывать озабоченность руководства страны. В отчетный период она продолжала характеризоваться увеличением общего числа информационно-коммуникационных воздействий внутри страны, применением злоумышленниками все большего числа приемов и способов, а также увеличения числа поступающего из-за рубежа программного обеспечения имеющего уязвимые места или преднамеренно встроенные модули несанкционированного доступа.

В этой связи, в ближайшей перспективе основные усилия китайских специалистов в области информационного противоборства и сетевой безопасности будут направлены на совершенствование организационных и технических механизмов противодействия несанкционированному проникновению в государственные (корпоративные) телекоммуникационные структуры и утечке сведений, составляющих государственную и коммерческую тайну или имеющих другой конфиденциальный характер.

 

Руслан Полончук

 

[1] - Национальная группа оперативного реагирования на компьютерные инциденты/ координационный центр Китая (CNCERT\CC – National Computer network Emergency Response technical Team\ Coordination Centre of China).

[2]  - CNCERT является членом международных организаций: FIRST (Forum of Incident Response and Security Teams), APCERT (Asia Pacific Computer Emergency Response technical Team).

 


МАТЕРИАЛЫ ПО ТЕМЕ: Оборона и безопасность
Возрастное ограничение