重新思考CERNET主干網(wǎng)的安全

文/姜開達(dá)

隨著今年CERNET主干網(wǎng)和全國(guó)各地區(qū)節(jié)點(diǎn)路由器的升級(jí)換代，主干網(wǎng)的整體性能得到了顯著提升。多條100G線路的開通拓展了互聯(lián)帶寬，降低了網(wǎng)絡(luò)延時(shí)，但同時(shí)也對(duì)在高流量下的網(wǎng)絡(luò)安全保障體系提出了新的挑戰(zhàn)。斯諾登泄密事件中暴露出來(lái)的信息也深刻引發(fā)了我們對(duì)網(wǎng)絡(luò)信息安全特別是主干網(wǎng)安全的重新思考。

傳統(tǒng)主干網(wǎng)的安全監(jiān)測(cè)是基于各主干地區(qū)節(jié)點(diǎn)路由器提供的NetFlow/sFlow輸出信息，對(duì)這些數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和關(guān)聯(lián)歷史信息挖掘，從網(wǎng)絡(luò)流量的異常連接當(dāng)中，根據(jù)統(tǒng)計(jì)可以迅速發(fā)現(xiàn)很多安全事件。比如DDOS類型Flood攻擊，針對(duì)特定端口的大范圍網(wǎng)絡(luò)掃描，利用開放式遞歸DNS查詢進(jìn)行流量放大攻擊等事件，都可以依賴flow信息來(lái)源及時(shí)預(yù)警出來(lái)。這種監(jiān)測(cè)無(wú)論過去、現(xiàn)在還是將來(lái)都是必不可缺的一種重要手段。

但是隨著人們對(duì)網(wǎng)絡(luò)攻防和安全研究的深入了解，逐漸認(rèn)識(shí)到僅僅依靠抽樣獲取的flow信息來(lái)對(duì)全網(wǎng)安全進(jìn)行監(jiān)測(cè)還是不完整的，必須要輔以必要的元數(shù)據(jù)（Meta-Data）分析和深度報(bào)文檢測(cè)（DPI）來(lái)發(fā)現(xiàn)異常有害行為，要掌握僵尸網(wǎng)絡(luò)主機(jī)的網(wǎng)內(nèi)詳細(xì)分布，必須要對(duì)全網(wǎng)內(nèi)的網(wǎng)站后門和網(wǎng)頁(yè)掛馬等有全局的完整監(jiān)測(cè)，還要輔以分布式蜜罐系統(tǒng)來(lái)誘捕最新的網(wǎng)絡(luò)攻擊樣本，同要有能夠?qū)⑷W(wǎng)發(fā)生在各處不同的安全事件及時(shí)匯聚為一個(gè)整體來(lái)進(jìn)行綜合分析和大范圍安全態(tài)勢(shì)感知的能力，同時(shí)要有準(zhǔn)確的IP地址信息庫(kù)來(lái)定位追蹤IP到所在關(guān)聯(lián)單位，要擁有快速及時(shí)的應(yīng)急響應(yīng)和協(xié)同分析處理能力，要有通暢的安全事件分發(fā)處理機(jī)制和專業(yè)人員隊(duì)伍來(lái)保障安全隱患能夠得到及時(shí)處理。

基于這些考慮，“211工程三期”CERNET建設(shè)項(xiàng)目中對(duì)安全保障系統(tǒng)做了重點(diǎn)投入，清華大學(xué)、東南大學(xué)、上海交通大學(xué)、賽爾網(wǎng)絡(luò)的安全研究團(tuán)隊(duì)具體負(fù)責(zé)建設(shè)了相應(yīng)的安全子系統(tǒng)，將在今年年底基本建成并正式投入使用。

各類安全風(fēng)險(xiǎn)和安全事件始終威脅著全球互聯(lián)網(wǎng)，網(wǎng)絡(luò)攻防對(duì)抗在持續(xù)升級(jí)，主干網(wǎng)的安全保障工作必然是一個(gè)長(zhǎng)期并且動(dòng)態(tài)的過程。協(xié)調(diào)全國(guó)高校有安全研究能力的科研團(tuán)隊(duì)力量，把最新的安全研究成果和安全實(shí)踐經(jīng)驗(yàn)與主干網(wǎng)運(yùn)維管理工作相結(jié)合，同時(shí)加強(qiáng)與國(guó)內(nèi)外相應(yīng)互聯(lián)網(wǎng)安全機(jī)構(gòu)的廣泛協(xié)作交流并實(shí)現(xiàn)安全信息通報(bào)的快速交換，從而嘗試走出一條具有CERNET特色的主干網(wǎng)安全保障之路。