大规模网络安全保障中的若干问题

1、大规模网络安全保障中的若干问题杜跃进国家计算机网络应急技术处理协调中心2004年9月2日.中国互联网大会.北京内容什么是大规模网络为什么需要关注大规模网络的安全问题大规模网络安全保障中的若干关键问题结论大规模网络多个网络互连形成大量的用户丰富的网络资源多种多样的应用通常具有较大的带宽etc.为什么需要关注其安全问题每个人其实都会受到影响：所有重要应用的基础别人的安全不再是“事不关己”目前面临日益严重的挑战危及多方面的利益国家企业个人问题1：近视问题2：淹没问题3：“如果” ？如果每个用户都及时打补丁就好了如果每个用户都及时升级就好了如果每个用户都用高强度的密码就好了如果.?如果每个用户都是安全

2、专家就好了做梦ing问题4：各人自扫门前雪？追踪？隔离？什么都懂？问题5：有没有赢的机会？攻方：漏洞/脆弱性发现恶意代码编写(测试, 可能)释放恶意代码守方：漏洞/脆弱性发现信息分发补丁开发补丁分发以及升级工作风险评估攻击行为监测恶意代码获取和分析扩散控制补丁和工具分发和升级感染主机恢复全面升级、损失评估等我们的对手有多快?漏洞发现：随时 & 4000个/年出现新的攻击代码：漏洞公布后的几星期甚至更短1030 分钟 足够一个新的蠕虫导致大范围的网络瘫痪那么，我们有多快？结论？不过可以参考实践中获得的一些经验和教训寻找中.预先进行良好计划的事件响应使安全工作“活起来”从“准备”阶段作为第一步充分

3、利用各种相关产品的优势能力快速有效的反应动态的适应能力安全事件响应组织（CSIRT/CERT）是必要的自己建设或者依赖专业的Team近几年，国际上CSIRT的数目在大幅增长，并且十分活跃国家的、政府的、商业的、学术的良好的合作组织多方合作形成的体系政府：法律、政策、标准推广等ISPs：网络层面的工作应急组织：为更广泛的用户提供支持实验室：分析，研究，开发等专业组织：在一些专项工作上提供更专业的支持产业界：补丁、工具、产品、升级服务等通过我国的合作体系，在2003年成功地遏制了SQL SLAMMER在我国的蔓延和危害. 支撑 协调/指导/信息产业部互联网应急处理协调办公室 领导 协调 各骨干网的

4、CERT 国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家计算机网络应急技术处理协调中心(CNCERT/CC)2003年初的互联网应急响应合作体系进一步完善的我国互联网应急响应合作体系Global problem, global solution通过国际合作：获得更早的警报数据共享（分析能力的互相支持）技术和信息的共享事件处理的互相支持CNCERT/CC从 JPCERT/CC和 AusCERT 得到 MSBLAST (DDoS 造成的流量) 和 NACHI(爆发流量)等信息CNCERT/CC从国际上的上百个应急组织保持联系，互通信息CNCERT/CC协助AusCERT和很多其他应急处理

5、组织处理了大量安全事件，包括现在比较频繁的网页仿冒等越来越多的国际组织: FIRST, APCERT, EGC, TF-CSIRT等依靠合作在攻击源附近实施隔离区域合作组织：Asia-PacificAPCERT：15 Full Members now, including:CNCERT/CC, JPCERT/CC, KrCERT/CCBKIS (Bach Khoa Internetwork Security Center ) VietnamIDCERT, MyCERT, PH-CERT, SingCERT, ThaiCERTLaosCERT is applying CIIP is one of

6、 the hottest topics in APCERT now区域合作组织： EuropeEuropean Government CERT : EGCComprised of the Government CERTs fromUK, France, Germany, Finland, Sweden, Netherlands. TF-CSIRT: cooperation organization with focus on research issues区域合作组织： AmericaInter-American CSIRT Watch and Warning Network, （2004.4

7、 Framework)Establish CSIRTs in each of the Member States;Identify national points of contact in each State;Establish protocols and procedures for the exchange of information;Rapidly disseminate notice of such attacks throughout the region;Provide rapid regional notice of general vulnerabilities in t

8、he system;Provide regional warning of suspicious activities, and develop the cooperation needed for analysis and diagnosis of such activities;Provide information on measures for remedying or mitigating attacks and threats;Strengthen technical cooperation and training in computer security aimed at establishing national CSIRTs; etc.23 countries participated, to make up national POC operate 24x7网络安全监测系统及时进行数据收集异常流量严重的攻击行为安全事件统计etc.以便 :获得更强的早期预警能力判断事件处理措施的效果863-917 NetSec Monitoring System韩国、日本、欧洲、美国、澳大利亚、