大规模网络安全保障中的若干问题.ppt

大规模网络安全保障中的若干问题 杜跃进国家计算机网络应急技术处理协调中心2004年9月2日 中国互联网大会 北京 内容 什么是大规模网络为什么需要关注大规模网络的安全问题大规模网络安全保障中的若干关键问题结论 大规模网络 多个网络互连形成大量的用户丰富的网络资源多种多样的应用通常具有较大的带宽etc 为什么需要关注其安全问题 每个人其实都会受到影响 所有重要应用的基础别人的安全不再是 事不关己 目前面临日益严重的挑战危及多方面的利益国家企业个人 问题1 近视 问题2 淹没 问题3 如果 如果每个用户都及时打补丁就好了如果每个用户都及时升级就好了如果每个用户都用高强度的密码就好了如果 问题4 各人自扫门前雪 追踪 什么都懂 问题5 有没有赢的机会 攻方 漏洞 脆弱性发现恶意代码编写 测试 可能 释放恶意代码 守方 漏洞 脆弱性发现信息分发补丁开发补丁分发以及升级工作风险评估攻击行为监测恶意代码获取和分析扩散控制补丁和工具分发和升级感染主机恢复全面升级 损失评估等 我们的对手有多快 漏洞发现 随时 4000个 年出现新的攻击代码 漏洞公布后的几星期甚至更短10 30分钟足够一个新的蠕虫导致大范围的网络瘫痪 结论 不过可以参考实践中获得的一些经验和教训 寻找中 预先进行良好计划的事件响应 使安全工作 活起来 从 准备 阶段作为第一步充分利用各种相关产品的优势能力快速有效的反应动态的适应能力安全事件响应组织 CSIRT CERT 是必要的自己建设或者依赖专业的Team近几年 国际上CSIRT的数目在大幅增长 并且十分活跃国家的 政府的 商业的 学术的 良好的合作组织 多方合作形成的体系政府 法律 政策 标准推广等ISPs 网络层面的工作应急组织 为更广泛的用户提供支持实验室 分析 研究 开发等专业组织 在一些专项工作上提供更专业的支持产业界 补丁 工具 产品 升级服务等通过我国的合作体系 在2003年成功地遏制了SQLSLAMMER在我国的蔓延和危害 2003年初的互联网应急响应合作体系 进一步完善的我国互联网应急响应合作体系 Globalproblem globalsolution 通过国际合作 获得更早的警报数据共享 分析能力的互相支持 技术和信息的共享事件处理的互相支持CNCERT CC从JPCERT CC和AusCERT得到MSBLAST DDoS造成的流量 和NACHI 爆发流量 等信息CNCERT CC从国际上的上百个应急组织保持联系 互通信息CNCERT CC协助AusCERT和很多其他应急处理组织处理了大量安全事件 包括现在比较频繁的网页仿冒等越来越多的国际组织 FIRST APCERT EGC TF CSIRT等 依靠合作在攻击源附近实施隔离 区域合作组织 Asia Pacific APCERT 15FullMembersnow including CNCERT CC JPCERT CC KrCERT CCBKIS BachKhoaInternetworkSecurityCenter VietnamIDCERT MyCERT PH CERT SingCERT ThaiCERTLaosCERTisapplying CIIPisoneofthehottesttopicsinAPCERTnow 区域合作组织 Europe EuropeanGovernmentCERT EGCComprisedoftheGovernmentCERTsfromUK France Germany Finland Sweden Netherlands TF CSIRT cooperationorganizationwithfocusonresearchissues 区域合作组织 America Inter AmericanCSIRTWatchandWarningNetwork 2004 4Framework EstablishCSIRTsineachoftheMemberStates IdentifynationalpointsofcontactineachState Establishprotocolsandproceduresfortheexchangeofinformation Rapidlydisseminatenoticeofsuchattacksthroughouttheregion Providerapidregionalnoticeofgeneralvulnerabilitiesinthesystem Provideregionalwarningofsuspiciousactivities anddevelopthecooperationneededforanalysisanddiagnosisofsuchactivities Provideinformationonmeasuresforremedyingormitigatingattacksandthreats StrengthentechnicalcooperationandtrainingincomputersecurityaimedatestablishingnationalCSIRTs etc 23countriesparticipated tomakeupnationalPOCoperate24x7 网络安全监测系统 及时进行数据收集异常流量严重的攻击行为安全事件统计etc 以便 获得更强的早期预警能力判断事件处理措施的效果863 917NetSecMonitoringSystem韩国 日本 欧洲 美国 澳大利亚 美洲23国等 6 3 6 5PCTvu