大規(guī)模網(wǎng)絡(luò)安全保障中的若干問題

大規(guī)模網(wǎng)絡(luò)安全保障中的若干問題內(nèi)容什么是大規(guī)模網(wǎng)絡(luò)為什么需要關(guān)注大規(guī)模網(wǎng)絡(luò)的安全問題大規(guī)模網(wǎng)絡(luò)安全保障中的若干關(guān)鍵問題結(jié)論大規(guī)模網(wǎng)絡(luò)多個網(wǎng)絡(luò)互連形成大量的用戶豐富的網(wǎng)絡(luò)資源多種多樣的應(yīng)用通常具有較大的帶寬etc.為什么需要關(guān)注其安全問題每個人其實(shí)都會受到影響：所有重要應(yīng)用的基礎(chǔ)別人的安全不再是“事不關(guān)己”目前面臨日益嚴(yán)重的挑戰(zhàn)危及多方面的利益國家企業(yè)個人問題1：近視問題2：淹沒問題3：“如果”？如果每個用戶都及時打補(bǔ)丁就好了如果每個用戶都及時升級就好了如果每個用戶都用高強(qiáng)度的密碼就好了如果……..?如果每個用戶都是安全專家就好了做夢ing…問題4：各人自掃門前雪？追蹤？？隔離？？什么都懂？問題5：有沒有贏的機(jī)會？攻方：漏洞/脆弱性發(fā)現(xiàn)惡意代碼編寫(測試,可能)釋放惡意代碼守方：漏洞/脆弱性發(fā)現(xiàn)信息分發(fā)補(bǔ)丁開發(fā)補(bǔ)丁分發(fā)以及升級工作風(fēng)險評估攻擊行為監(jiān)測惡意代碼獲取和分析擴(kuò)散控制補(bǔ)丁和工具分發(fā)和升級感染主機(jī)恢復(fù)全面升級、損失評估等我們的對手有多快?漏洞發(fā)現(xiàn)：隨時&4000個/年出現(xiàn)新的攻擊代碼：漏洞公布后的幾星期甚至更短10~30分鐘

足夠一個新的蠕蟲導(dǎo)致大范圍的網(wǎng)絡(luò)癱瘓那么，我們有多快？結(jié)論？不過可以參考實(shí)踐中獲得的一些經(jīng)驗(yàn)和教訓(xùn)尋找中…………..預(yù)先進(jìn)行良好計劃的事件響應(yīng)使安全工作“活起來”從“準(zhǔn)備”階段作為第一步充分利用各種相關(guān)產(chǎn)品的優(yōu)勢能力快速有效的反應(yīng)動態(tài)的適應(yīng)能力安全事件響應(yīng)組織（CSIRT/CERT）是必要的自己建設(shè)或者依賴專業(yè)的Team近幾年，國際上CSIRT的數(shù)目在大幅增長，并且十分活躍國家的、政府的、商業(yè)的、學(xué)術(shù)的良好的合作組織多方合作形成的體系政府：法律、政策、標(biāo)準(zhǔn)推廣等ISPs：網(wǎng)絡(luò)層面的工作應(yīng)急組織：為更廣泛的用戶提供支持實(shí)驗(yàn)室：分析，研究，開發(fā)等專業(yè)組織：在一些專項(xiàng)工作上提供更專業(yè)的支持產(chǎn)業(yè)界：補(bǔ)丁、工具、產(chǎn)品、升級服務(wù)等通過我國的合作體系，在2003年成功地遏制了SQLSLAMMER在我國的蔓延和危害.

支撐

協(xié)調(diào)/指導(dǎo)/信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室

領(lǐng)導(dǎo)

協(xié)調(diào)

各骨干網(wǎng)的

CERT

國家計算機(jī)病毒

應(yīng)急處理中心國家計算機(jī)網(wǎng)絡(luò)

入侵防范中心國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)2003年初的互聯(lián)網(wǎng)應(yīng)急響應(yīng)合作體系進(jìn)一步完善的我國互聯(lián)網(wǎng)應(yīng)急響應(yīng)合作體系‘Globalproblem,globalsolution’通過國際合作：獲得更早的警報數(shù)據(jù)共享（分析能力的互相支持）技術(shù)和信息的共享事件處理的互相支持CNCERT/CC從JPCERT/CC和AusCERT得到MSBLAST(DDoS造成的流量)和NACHI(爆發(fā)流量)等信息CNCERT/CC從國際上的上百個應(yīng)急組織保持聯(lián)系，互通信息CNCERT/CC協(xié)助AusCERT和很多其他應(yīng)急處理組織處理了大量安全事件，包括現(xiàn)在比較頻繁的網(wǎng)頁仿冒等越來越多的國際組織:FIRST,APCERT,EGC,TF-CSIRT等依靠合作在攻擊源附近實(shí)施隔離區(qū)域合作組織：Asia-PacificAPCERT：15FullMembersnow,including:CNCERT/CC,JPCERT/CC,KrCERT/CCBKIS(BachKhoaInternetworkSecurityCenter)VietnamIDCERT,MyCERT,PH-CERT,SingCERT,ThaiCERTLaosCERTisapplyingCIIPisoneofthehottesttopicsinAPCERTnow區(qū)域合作組織：EuropeEuropeanGovernmentCERT:EGCComprisedoftheGovernment

CERTsfromUK,France,Germany,Finland,Sweden,Netherlands.

TF-CSIRT:cooperationorganizationwithfocusonresearchissues區(qū)域合作組織：AmericaInter-AmericanCSIRTWatchandWarningNetwork,（2004.4Framework)EstablishCSIRTsineachoftheMemberStates;IdentifynationalpointsofcontactineachState;Establishprotocolsandproceduresfortheexchangeofinformation;Rapidlydisseminatenoticeofsuchattacksthroughouttheregion;Providerapidregionalnoticeofgeneralvulnerabilitiesinthesystem;Provideregionalwarningofsuspiciousactivities,anddevelopthecooperationneededforanalysisanddiagnosisofsuchactivities;Provideinformationonmeasuresforremedyingormitigatingattacksandthreats;StrengthentechnicalcooperationandtrainingincomputersecurityaimedatestablishingnationalCSIRTs;etc.23countriesparticipated,tomakeupnationalPOCoperate24x7網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)及時進(jìn)行數(shù)據(jù)收集異常流量嚴(yán)重的攻擊行為安全事件統(tǒng)計etc.以便:獲得更強(qiáng)的早期預(yù)警能力判斷事件處理措施的效果863-917NetSecMonitoringSystem韓國、