大规模网络安全保障中的安全问题.pptVIP

大规模网络安全保障中的若干问题 杜跃进 国家计算机网络应急技术处理协调中心 2004年9月2日.中国互联网大会.北京 内容 什么是大规模网络 为什么需要关注大规模网络的安全问题 大规模网络安全保障中的若干关键问题 结论 大规模网络 多个网络互连形成 大量的用户 丰富的网络资源 多种多样的应用 通常具有较大的带宽 etc. 为什么需要关注其安全问题 每个人其实都会受到影响： 所有重要应用的基础 别人的安全不再是“事不关己” 目前面临日益严重的挑战 危及多方面的利益 国家 企业 个人 问题1：近视 问题2：淹没 问题3：“如果” ？ 如果每个用户都及时打补丁就好了 如果每个用户都及时升级就好了 如果每个用户都用高强度的密码就好了 如果……..? 问题4：各人自扫门前雪？ 问题5：有没有赢的机会？ 我们的对手有多快? 漏洞发现：随时 4000个/年 出现新的攻击代码：漏洞公布后的几星期甚至更短 10~30 分钟 足够一个新的蠕虫导致大范围的网络瘫痪 结论？ 预先进行良好计划的事件响应 使安全工作“活起来” 从“准备”阶段作为第一步 充分利用各种相关产品的优势能力 快速有效的反应 动态的适应能力 安全事件响应组织（CSIRT/CERT）是必要的 自己建设或者依赖专业的Team 近几年，国际上CSIRT的数目在大幅增长，并且十分活跃 国家的、政府的、商业的、学术的 良好的合作组织 多方合作形成的体系 政府：法律、政策、标准推广等 ISPs：网络层面的工作 应急组织：为更广泛的用户提供支持 实验室：分析，研究，开发等 专业组织：在一些专项工作上提供更专业的支持 产业界：补丁、工具、产品、升级服务等 通过我国的合作体系，在2003年成功地遏制了SQL SLAMMER在我国的蔓延和危害. ‘Global problem, global solution’ 通过国际合作： 获得更早的警报 数据共享（分析能力的互相支持） 技术和信息的共享 事件处理的互相支持 CNCERT/CC从 JPCERT/CC和 AusCERT 得到 MSBLAST (DDoS 造成的流量) 和 NACHI(爆发流量)等信息 CNCERT/CC从国际上的上百个应急组织保持联系，互通信息 CNCERT/CC协助AusCERT和很多其他应急处理组织处理了大量安全事件，包括现在比较频繁的网页仿冒等 越来越多的国际组织: FIRST, APCERT, EGC, TF-CSIRT等 依靠合作在攻击源附近实施隔离 区域合作组织：Asia-Pacific APCERT： 15 Full Members now, including: CNCERT/CC, JPCERT/CC, KrCERT/CC BKIS (Bach Khoa Internetwork Security Center ) Vietnam IDCERT, MyCERT, PH-CERT, SingCERT, ThaiCERT LaosCERT is applying 区域合作组织： Europe European Government CERT : EGC Comprised of the Government CERTs from UK, France, Germany, Finland, Sweden, Netherlands.? TF-CSIRT: cooperation organization with focus on research issues 区域合作组织： America Inter-American CSIRT Watch and Warning Network, （2004.4 Framework) Establish CSIRTs in each of the Member States; Identify national points of contact in each State; Establish protocols and procedures for the exchange of information; Rapidly disseminate notice of such attacks throughout the region; Provide rapid regional notice of general vulnerabilities in the system; Provide regional warning of suspicious activities, and develop the cooperation needed for analysis and diagnosis of such activities; Provide informa