网络“在线”安全防护体系构建

汇报提纲132网络“在线”安全防护势在必行网络“在线”安全防护体系构建网络“在线”安全防护关键技术当前第1页\共有37页\编于星期二\13点互联网蕴藏日趋丰富的信息资源Internet美国情报部门称，在各国情报机构获得的情报中有80％源于公开信息，其中又有一半以上来自于互联网互联网已经成为全球信息基础设施的统一承载平台，政府、军事和商业信息都在互联网上承载和传递美国海军十万官兵信息外泄信息搜索和过滤信息截获密码破译智能侦察当前第2页\共有37页\编于星期二\13点不良信息互联网内容良莠不齐当前第3页\共有37页\编于星期二\13点网络环境状况堪忧(1)网络攻击

木马病毒带宽争用恶意代码运行网络2010年6月仅广东省就发生1.5亿次木马攻击统计显示中国互联网p2p流量占整个网络流量比例高达70%当前第4页\共有37页\编于星期二\13点5网络环境状况堪忧(2)

中国被植“僵尸程序”量冠全球当前第5页\共有37页\编于星期二\13点互联网信息的传输速率呈指数增长按照摩尔定律，微电子器件处理速度每18个月翻一番按照超摩尔定律，光纤传输速率每9个月翻一番A信息处理速度与信息传输速率之间的鸿沟差距越来越大！互联网正在突飞猛进的加速发展（1）当前第6页\共有37页\编于星期二\13点互联网正在突飞猛进的加速发展（2）B互联网信息的海量特征日益加剧全球互联网用户已超过16亿，中国互联网用户超3.16亿2010.6互联网的规模50％互联网的信息量225％当前第7页\共有37页\编于星期二\13点互联网信息的隐藏深度日益加深C123“拆分—包装”传送00110111101HT00110111101HT00110111101HT新业务“可变端口”双方协商通信端口用户随意指定端口“加密技术”广泛应用IPv6SkypeIPSec动态加密算法GmailHTTPS互联网正在突飞猛进的加速发展（3）当前第8页\共有37页\编于星期二\13点互联网技术防范是一项面向各种网络、涵盖各类终端、涉及全球用户、处理全部业务的艰巨和复杂工作。目前，005已经在国际、省际关口设计和部署了互联网技术防范系统，在打击非法网站、封堵黄赌毒、发现网络舆情、规范网络秩序、净化网络空间等方面做出了突出贡献，有效地保护了国家网络空间的信息安全，控制了政治性的攻击和渗透，维护了社会的和谐与稳定。但是，随着三网融合的演进，网络结构的演变，业务模式的变化，互联网技术防范面临着诸多崭新的严峻挑战！互联网技术防范现状当前第9页\共有37页\编于星期二\13点面临的挑战（1）三网融合，“短板效应”突出互联网具有“自由、平等、开放”的优势，也带来“安全性差、难以监管”的先天不足，三网融合之后，互联网将成为安全环节的突出“短板”，尤其是其对广电网业务的防范挑战异常巨大国务院部署三网融合时明确指出优先发展安全管控技术当前第10页\共有37页\编于星期二\13点面临的挑战（2）网络新业务，模式更加灵活web2.0——

内容制造主体迁移SNS——网络群体快速形成

Twitter——

信息发布多元及时云计算——信息承载趋向离散构建可同步互联网升级的技术防范体系和平台当前第11页\共有37页\编于星期二\13点面临的挑战（3）网络攻击，呈现规模化、全球化

网络攻击会充分利用互联网自由传播的特性，组织尽可能多的全球主机资源对特定目标发起攻击，攻击源呈现出分布离散、规模庞大、瞬间爆发等特点具备快速发现、协同决策和在线阻断能力当前第12页\共有37页\编于星期二\13点面临的挑战（4）网民参政，舆情更加难于监管

互联网日益成为民众发布观点、议论时政、聚焦热点的信息传播和共享平台，普通的社会事件借助互联网的传播和放大，可能迅速发展成为舆情热点事件，给舆情的及时发现和准确布控带来极大挑战具备热点事件发现、群体行为分析、舆情研判能力当前第13页\共有37页\编于星期二\13点以存储和计算为中心传统互联网技术防范举步维艰传统技术防范在低速和小规模互联网线路的技术防范中发挥了突出作用；对海量信息高速数据的技术防范则显得力不从心、举步维艰，构建新型技术方法体系迫在眉睫。当前第14页\共有37页\编于星期二\13点海量高速信息技术防范应对之策全新设计思路信号引接信号侦察信号预处理交换网络分组存储关键词筛选业务识别业务组报报文存储范围筛选IP业务统计通联捕获重点用户控守重点业务控守信息分发IP特征筛选信息共享信号引接分组存储业务组报报文存储细证侦察关系挖掘统计综合海量存储容量巨型计算能力有限存储容量有限计算能力当前第15页\共有37页\编于星期二\13点全新网络安全防范平台五元组筛选系统在线内容监管平台简单筛选分流在线深度处理组报处理平台组报处理平台

彻底摒弃传统将信息先存储再处理的方式，提出多层多级实时在线深度挖掘的创新思想；通过专用技术防范平台的开发，实现了高速数据的在线深度挖掘，海量信息的全部高效处理，保证了技术防范与互联网技术的同步发展。海量高速数据粗选数据海量高速数据有用数据当前第16页\共有37页\编于星期二\13点汇报提纲132网络“在线”安全防护势在必行网络“在线”安全防护关键技术网络“在线”安全防护体系构建当前第17页\共有37页\编于星期二\13点关键技术（1）Keywords法轮功藏独首部载荷首部载荷首部载荷首部载荷首部载荷事件素材筛选可疑目标定位组织关系发现在线深度多维筛选为高速线路数据的快速收敛提供了技术手段实现海量高速数据高效处理的最优任务切分极大减少后端处理压力极大提升后端处理能力当前第18页\共有37页\编于星期二\13点关键技术（2）手段化成果——在线业务识别网页口令字VoIPEmail通用的业务识别平台，灵活的过滤筛选机制跳转协议当前第19页\共有37页\编于星期二\13点关键技术（3）手段化成果——在线恶意流量检测攻击流量在线发现，定制化处理，流量清洗和反制当前第20页\共有37页\编于星期二\13点关键技术（4）手段化成果——特定目标打击NDOS网站主机手机节点设备瞬间大规模并发流攻击和特定漏洞攻击当前第21页\共有37页\编于星期二\13点关键技术（5）在线舆情分析和策略生成系统当前第22页\共有37页\编于星期二\13点关键技术（5）手段化成果——舆情分析与决策生成及时提取和发现网络热点，防范策略提示和自动生成当前第23页\共有37页\编于星期二\13点特定协议和端口流量统计源、目的IP流量TopN排名命中策略报文输出流量统计加密数据流量统计关键技术（6）当前第24页\共有37页\编于星期二\13点其他关键技术(1)网络融合条件下的防范体系与关键技术研究关键技术视频广播业务防插播技术研究语音、图像、视频业务流量特征研究Twitter等新业务在线流量特征研究全网协同防御技术类传真文件的检测与分拣技术研究邮件附件的在线深度检测技术研究高速加密数据流量统计特征研究当前第25页\共有37页\编于星期二\13点其他关键技术(2)网络融合条件下的防范体系与关键技术研究技术体系和标准研究三网融合技术防范挑战研究全网技术防范的技术体系研究全网技术防范的相关标准制定当前第26页\共有37页\编于星期二\13点汇报提纲132网络“在线”安全防护势在必行网络“在线”安全防护关键技术网络“在线”安全防护体系构建当前第27页\共有37页\编于星期二\13点“在线”安全防范体系目标发现、封堵、打击一体能力基于策略的目标发现、封堵和打击能力为一体可疑目标发现非法流量封堵舆情分析告警特定目标打击当前第28页\共有37页\编于星期二\13点应对策略（1）体系标准化，建立防范技术体系体系化和标准化是事物规模部署和持续发展的基本前提，尽管在网络技术防范中新问题层出不穷，新挑战不断涌现，但互联网本质的技术体系没有改变，所以，可参考互联网协议层次模型，基于技术防范处理流程的高度抽象，制定出互联网技术防范的技术体系参考模型标准，以规划和指导互联网技术防范的部署及发展。当前第29页\共有37页\编于星期二\13点应对策略（2）网络化应对，全程全网部署防范网络接入和业务提供的泛在化，使得技术防范无法通过集中式部署来完成，必须构建专门的管控网络来部署防范，同时管控网络要独立于互联网，要充分利用互联网的互联互通能力来支持“云处理”，要与互联网技术可同步发展，才能达到全程全网管控之目的。当前第30页\共有37页\编于星期二\13点应对策略（3）并接串接一体，在线处理为主

并接并接串接分离并接串接一体离线处理为主在线离线并重在线处理为主当前第31页\共有37页\编于星期二\13点应对策略（4）由被动防范转化为主动打击

互联网技术防范要谋求主动，要发展主动和精确打击手段，区分平时和战时，平时以阻断式的被动防范为主，战时则具备主动打击能力，对非法网站、目标主机、禁止业务、敏感内容等部署多方式多层次定向打击手段。当前第32页\共有37页\编于星期二\13点应对策略（5）部署精细化管控手段互联网已成为人民生活工作中必不可少的一部分，并发展为基本需求，技术防范要尽最大可能不影响人民对网络的使用权利。为保证非法内容、敏感事件等不对正常的网络服务产生影响，必须部署精细化的管控手段，发展可针对目标、业务、内容、行为的管控能力。当前第33页\共有37页\编于星期二\13点现有互联网关防系统的逐报处理技术互联网海量高速信息监管的逐包处理通过前端过滤大大减轻后台处理压力;通过串接过滤提高互联网关防质量;通过后端逐报处理弥补逐包处理的不足，实现优势互补。安全防护体系构建思路当前第34页\共有37页\编于星期二\13点网络“在线”安全防范体系(1)全网技术防范体系构建可全网布控的技术防范体系