大規(guī)模網(wǎng)絡(luò)安全保障中的若干問(wèn)題

大規(guī)模網(wǎng)絡(luò)安全保障中的若干問(wèn)題內(nèi)容什么是大規(guī)模網(wǎng)絡(luò)為什么需要關(guān)注大規(guī)模網(wǎng)絡(luò)的安全問(wèn)題大規(guī)模網(wǎng)絡(luò)安全保障中的若干關(guān)鍵問(wèn)題結(jié)論大規(guī)模網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)互連形成大量的用戶豐富的網(wǎng)絡(luò)資源多種多樣的應(yīng)用通常具有較大的帶寬etc.為什么需要關(guān)注其安全問(wèn)題每個(gè)人其實(shí)都會(huì)受到影響：所有重要應(yīng)用的基礎(chǔ)別人的安全不再是“事不關(guān)己”目前面臨日益嚴(yán)重的挑戰(zhàn)危及多方面的利益國(guó)家企業(yè)個(gè)人問(wèn)題1：近視問(wèn)題2：淹沒(méi)問(wèn)題3：“如果”？如果每個(gè)用戶都及時(shí)打補(bǔ)丁就好了如果每個(gè)用戶都及時(shí)升級(jí)就好了如果每個(gè)用戶都用高強(qiáng)度的密碼就好了如果……..?如果每個(gè)用戶都是安全專家就好了做夢(mèng)ing…問(wèn)題4：各人自掃門前雪？追蹤？？隔離？？什么都懂？問(wèn)題5：有沒(méi)有贏的機(jī)會(huì)？攻方：漏洞/脆弱性發(fā)現(xiàn)惡意代碼編寫(測(cè)試,可能)釋放惡意代碼守方：漏洞/脆弱性發(fā)現(xiàn)信息分發(fā)補(bǔ)丁開發(fā)補(bǔ)丁分發(fā)以及升級(jí)工作風(fēng)險(xiǎn)評(píng)估攻擊行為監(jiān)測(cè)惡意代碼獲取和分析擴(kuò)散控制補(bǔ)丁和工具分發(fā)和升級(jí)感染主機(jī)恢復(fù)全面升級(jí)、損失評(píng)估等我們的對(duì)手有多快?漏洞發(fā)現(xiàn)：隨時(shí)&4000個(gè)/年出現(xiàn)新的攻擊代碼：漏洞公布后的幾星期甚至更短10~30分鐘

足夠一個(gè)新的蠕蟲導(dǎo)致大范圍的網(wǎng)絡(luò)癱瘓那么，我們有多快？結(jié)論？不過(guò)可以參考實(shí)踐中獲得的一些經(jīng)驗(yàn)和教訓(xùn)尋找中…………..預(yù)先進(jìn)行良好計(jì)劃的事件響應(yīng)使安全工作“活起來(lái)”從“準(zhǔn)備”階段作為第一步充分利用各種相關(guān)產(chǎn)品的優(yōu)勢(shì)能力快速有效的反應(yīng)動(dòng)態(tài)的適應(yīng)能力安全事件響應(yīng)組織（CSIRT/CERT）是必要的自己建設(shè)或者依賴專業(yè)的Team近幾年，國(guó)際上CSIRT的數(shù)目在大幅增長(zhǎng)，并且十分活躍國(guó)家的、政府的、商業(yè)的、學(xué)術(shù)的良好的合作組織多方合作形成的體系政府：法律、政策、標(biāo)準(zhǔn)推廣等ISPs：網(wǎng)絡(luò)層面的工作應(yīng)急組織：為更廣泛的用戶提供支持實(shí)驗(yàn)室：分析，研究，開發(fā)等專業(yè)組織：在一些專項(xiàng)工作上提供更專業(yè)的支持產(chǎn)業(yè)界：補(bǔ)丁、工具、產(chǎn)品、升級(jí)服務(wù)等通過(guò)我國(guó)的合作體系，在2003年成功地遏制了SQLSLAMMER在我國(guó)的蔓延和危害.

支撐

協(xié)調(diào)/指導(dǎo)/信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室

領(lǐng)導(dǎo)

協(xié)調(diào)

各骨干網(wǎng)的

CERT

國(guó)家計(jì)算機(jī)病毒

應(yīng)急處理中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)

入侵防范中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)2003年初的互聯(lián)網(wǎng)應(yīng)急響應(yīng)合作體系進(jìn)一步完善的我國(guó)互聯(lián)網(wǎng)應(yīng)急響應(yīng)合作體系‘Globalproblem,globalsolution’通過(guò)國(guó)際合作：獲得更早的警報(bào)數(shù)據(jù)共享（分析能力的互相支持）技術(shù)和信息的共享事件處理的互相支持CNCERT/CC從JPCERT/CC和AusCERT得到MSBLAST(DDoS造成的流量)和NACHI(爆發(fā)流量)等信息CNCERT/CC從國(guó)際上的上百個(gè)應(yīng)急組織保持聯(lián)系，互通信息CNCERT/CC協(xié)助AusCERT和很多其他應(yīng)急處理組織處理了大量安全事件，包括現(xiàn)在比較頻繁的網(wǎng)頁(yè)仿冒等越來(lái)越多的國(guó)際組織:FIRST,APCERT,EGC,TF-CSIRT等依靠合作在攻擊源附近實(shí)施隔離區(qū)域合作組織：Asia-PacificAPCERT：15FullMembersnow,including:CNCERT/CC,JPCERT/CC,KrCERT/CCBKIS(BachKhoaInternetworkSecurityCenter)VietnamIDCERT,MyCERT,PH-CERT,SingCERT,ThaiCERTLaosCERTisapplyingCIIPisoneofthehottesttopicsinAPCERTnow區(qū)域合作組織：EuropeEuropeanGovernmentCERT:EGCComprisedoftheGovernment

CERTsfromUK,France,Germany,Finland,Sweden,Netherlands.

TF-CSIRT:cooperationorganizationwithfocusonresearchissues區(qū)域合作組織：AmericaInter-AmericanCSIRTWatchandWarningNetwork,（2004.4Framework)EstablishCSIRTsineachoftheMemberStates;IdentifynationalpointsofcontactineachState;Establishprotocolsandproceduresfortheexchangeofinformation;Rapidlydisseminatenoticeofsuchattacksthroughouttheregion;Providerapidregionalnoticeofgeneralvulnerabilitiesinthesystem;Provideregionalwarningofsuspiciousactivities,anddevelopthecooperationneededforanalysisanddiagnosisofsuchactivities;Provideinformationonmeasuresforremedyingormitigatingattacksandthreats;StrengthentechnicalcooperationandtrainingincomputersecurityaimedatestablishingnationalCSIRTs;etc.23countriesparticipated,tomakeupnationalPOCoperate24x7網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)及時(shí)進(jìn)行數(shù)據(jù)收集異常流量嚴(yán)重的攻擊行為安全事件統(tǒng)計(jì)etc.以便:獲得更強(qiáng)的早期預(yù)警能力判斷事件處理措施的效果863-917NetSecMonitoringSystem韓國(guó)、