重新思考CERNET主干網的安全

文/姜開達

隨著今年CERNET主干網和全國各地區(qū)節(jié)點路由器的升級換代，主干網的整體性能得到了顯著提升。多條100G線路的開通拓展了互聯(lián)帶寬，降低了網絡延時，但同時也對在高流量下的網絡安全保障體系提出了新的挑戰(zhàn)。斯諾登泄密事件中暴露出來的信息也深刻引發(fā)了我們對網絡信息安全特別是主干網安全的重新思考。

傳統(tǒng)主干網的安全監(jiān)測是基于各主干地區(qū)節(jié)點路由器提供的NetFlow/sFlow輸出信息，對這些數據進行實時分析和關聯(lián)歷史信息挖掘，從網絡流量的異常連接當中，根據統(tǒng)計可以迅速發(fā)現很多安全事件。比如DDOS類型Flood攻擊，針對特定端口的大范圍網絡掃描，利用開放式遞歸DNS查詢進行流量放大攻擊等事件，都可以依賴flow信息來源及時預警出來。這種監(jiān)測無論過去、現在還是將來都是必不可缺的一種重要手段。

但是隨著人們對網絡攻防和安全研究的深入了解，逐漸認識到僅僅依靠抽樣獲取的flow信息來對全網安全進行監(jiān)測還是不完整的，必須要輔以必要的元數據（Meta-Data）分析和深度報文檢測（DPI）來發(fā)現異常有害行為，要掌握僵尸網絡主機的網內詳細分布，必須要對全網內的網站后門和網頁掛馬等有全局的完整監(jiān)測，還要輔以分布式蜜罐系統(tǒng)來誘捕最新的網絡攻擊樣本，同要有能夠將全網發(fā)生在各處不同的安全事件及時匯聚為一個整體來進行綜合分析和大范圍安全態(tài)勢感知的能力，同時要有準確的IP地址信息庫來定位追蹤IP到所在關聯(lián)單位，要擁有快速及時的應急響應和協(xié)同分析處理能力，要有通暢的安全事件分發(fā)處理機制和專業(yè)人員隊伍來保障安全隱患能夠得到及時處理。

基于這些考慮，“211工程三期”CERNET建設項目中對安全保障系統(tǒng)做了重點投入，清華大學、東南大學、上海交通大學、賽爾網絡的安全研究團隊具體負責建設了相應的安全子系統(tǒng)，將在今年年底基本建成并正式投入使用。

各類安全風險和安全事件始終威脅著全球互聯(lián)網，網絡攻防對抗在持續(xù)升級，主干網的安全保障工作必然是一個長期并且動態(tài)的過程。協(xié)調全國高校有安全研究能力的科研團隊力量，把最新的安全研究成果和安全實踐經驗與主干網運維管理工作相結合，同時加強與國內外相應互聯(lián)網安全機構的廣泛協(xié)作交流并實現安全信息通報的快速交換，從而嘗試走出一條具有CERNET特色的主干網安全保障之路。