大规模网络安全保障中的若干问题

大规模网络安全保障中的若干问题杜跃进国家计算机网络应急技术处理协调中心2004年9月2日.中国互联网大会.北京NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina内容•什么是大规模网络•为什么需要关注大规模网络的安全问题•大规模网络安全保障中的若干关键问题•结论NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina大规模网络•多个网络互连形成•大量的用户•丰富的网络资源•多种多样的应用•通常具有较大的带宽•etc.NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina为什么需要关注其安全问题•每个人其实都会受到影响：–所有重要应用的基础–别人的安全不再是“事不关己”•目前面临日益严重的挑战•危及多方面的利益–国家–企业–个人NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina问题1：近视NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina问题2：淹没NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina问题3：“如果”？•如果每个用户都及时打补丁就好了•如果每个用户都及时升级就好了•如果每个用户都用高强度的密码就好了•如果……..?如果每个用户都是安全专家就好了做梦ing…NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina问题4：各人自扫门前雪？追踪？？隔离？？NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina问题5：有没有赢的机会？•攻方：–漏洞/脆弱性发现–恶意代码编写–(测试,可能)–释放恶意代码•守方：–漏洞/脆弱性发现–信息分发–补丁开发–补丁分发以及升级工作–风险评估–攻击行为监测–恶意代码获取和分析–扩散控制–补丁和工具分发和升级–感染主机恢复–全面升级、损失评估等NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina我们的对手有多快?•漏洞发现：随时&4000个/年•出现新的攻击代码：漏洞公布后的几星期甚至更短•10~30分钟足够一个新的蠕虫导致大范围的网络瘫痪那么，我们有多快？NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina结论？不过可以参考实践中获得的一些经验和教训寻找中…………..NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina预先进行良好计划的事件响应•使安全工作“活起来”–从“准备”阶段作为第一步–充分利用各种相关产品的优势能力–快速有效的反应–动态的适应能力•安全事件响应组织（CSIRT/CERT）是必要的–自己建设或者依赖专业的Team•近几年，国际上CSIRT的数目在大幅增长，并且十分活跃•国家的、政府的、商业的、学术的NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina良好的合作组织•多方合作形成的体系–政府：法律、政策、标准推广等–ISPs：网络层面的工作–应急组织：为更广泛的用户提供支持–实验室：分析，研究，开发等–专业组织：在一些专项工作上提供更专业的支持–产业界：补丁、工具、产品、升级服务等•通过我国的合作体系，在2003年成功地遏制了SQLSLAMMER在我国的蔓延和危害.NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina支撑协调/指导/信息产业部互联网应急处理协调办公室领导协调各骨干网的CERT国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家计算机网络应急技术处理协调中心(CNCERT/CC)2003年初的互联网应急响应合作体系NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina进一步完善的我国互联网应急响应合作体系支撑协调/指导国家网络与信息安全协调小组办公室信息产业部互联网应急处理协调办公室国家计算机网络应急技术处理协调中心(CNCERT/CC)领导领导国外政府部门(APEC经济体)联系联系其他管理部门国外CERT组织联系运行863-917网络安全监测平台支撑协调/指导领导国家计算机病毒应急处理中心(天津市公安局)国家计算机网络入侵防范中心(中科院研究生院)信息产业部网络安全重点实验室信息产业部网络应急重点实验室中国互联网协会应急处理联盟(网络与信息安全工作委员会)国家863计划反计算机入侵和防病毒研究中心（公安部三所）公共互联网应急处理服务省级试点单位协调指导协调指导IDC的CERT领导公共互联网应急处理服务国家级试点单位骨干网的CERT国家计算机网络应急技术处理协调中心各省分中心（共31个）NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina‘Globalproblem,globalsolution’•通过国际合作：–获得更早的警报–数据共享（分析能力的互相支持）–技术和信息的共享–事件处理的互相支持•CNCERT/CC从JPCERT/CC和AusCERT得到MSBLAST(DDoS造成的流量)和NACHI(爆发流量)等信息•CNCERT/CC从国际上的上百个应急组织保持联系，互通信息•CNCERT/CC协助AusCERT和很多其他应急处理组织处理了大量安全事件，包括现在比较频繁的网页仿冒等•越来越多的国际组织:FIRST,APCERT,EGC,TF-CSIRT等NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina依靠合作在攻击源附近实施隔离NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina区域合作组织：Asia-Pacific•APCERT：–15FullMembersnow,including:•CNCERT/CC,JPCERT/CC,KrCERT/CC•BKIS(BachKhoaInternetworkSecurityCenter)Vietnam•IDCERT,MyCERT,PH-CERT,SingCERT,ThaiCERT–LaosCERTisapplyingCIIPisoneofthehottesttopicsinAPCERTnowNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina区域合作组织：Europe•EuropeanGovernmentCERT:EGC–ComprisedoftheGovernmentCERTsfrom•UK,France,Germany,Finland,Sweden,Netherlands.•TF-CSIRT:cooperationorganizationwithfocusonresearchissuesNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina区域合作组织：America•Inter-AmericanCSIRTWatchandWarningNetwork,（2004.4Framework)–EstablishCSIRTsineachoftheMemberStates;–IdentifynationalpointsofcontactineachState;–Establishprotocolsandproceduresfortheexchangeofinformation;–Rapidlydisseminatenoticeofsuchattacksthroughouttheregion;–Providerapidregionalnoticeofgeneralvulnerabilitiesinthesystem;–Provideregionalwarningofsuspiciousactivities,anddevelopthecooperationneededforanalysisanddiagnosisofsuchactivities;–Provideinformationonmeasuresforremedyingormitigatingattacksandthreats;–StrengthentechnicalcooperationandtrainingincomputersecurityaimedatestablishingnationalCSIRTs;etc.•23countriesparticipated,tomakeupnationalPOCoperate24x7NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina网络安全监测系统•及时进行数据收集–异常流量–严重的攻击行为–安全事件统计–etc.•以便:–获得更强的早期预警能力–判断事件处理措施的效果•863-917NetSecMonitoringSystem•韩国、日本、欧洲、美国、澳大利亚、美洲23国等NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChinaNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina6.3-6.5PCTvulnerabilitymisuseCNCERT/CC可视化的宏观情况6.3-6.5PCT协议远程缓冲区溢出漏洞数据来源：CNCERT/CCNationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina蠕虫对网络流量的影响震荡波等利用LSASS漏洞的蠕虫爆发前后(445端口流量/IP协议流量)变化趋势图0.00%0.50%1.00%1.50%2.00%2.50%3.00%3.50%时间4-21_84-23_84-25_84-27_84-29_85-1_85-3_85-5_85-7_85-9_85-11_85-13_85-15_85-17_85-19_85-21_85-23_85-25_85-27_85-29_85-31_8