重新思考CERNET主干網的安全

文/姜開達

隨著今年CERNET主干網和全國各地區節點路由器的升級換代，主干網的整體性能得到了顯著提升。多條100G線路的開通拓展了互聯帶寬，降低了網絡延時，但同時也對在高流量下的網絡安全保障體系提出了新的挑戰。斯諾登泄密事件中暴露出來的信息也深刻引發了我們對網絡信息安全特別是主干網安全的重新思考。

傳統主干網的安全監測是基于各主干地區節點路由器提供的NetFlow/sFlow輸出信息，對這些數據進行實時分析和關聯歷史信息挖掘，從網絡流量的異常連接當中，根據統計可以迅速發現很多安全事件。比如DDOS類型Flood攻擊，針對特定端口的大范圍網絡掃描，利用開放式遞歸DNS查詢進行流量放大攻擊等事件，都可以依賴flow信息來源及時預警出來。這種監測無論過去、現在還是將來都是必不可缺的一種重要手段。

但是隨著人們對網絡攻防和安全研究的深入了解，逐漸認識到僅僅依靠抽樣獲取的flow信息來對全網安全進行監測還是不完整的，必須要輔以必要的元數據（Meta-Data）分析和深度報文檢測（DPI）來發現異常有害行為，要掌握僵尸網絡主機的網內詳細分布，必須要對全網內的網站后門和網頁掛馬等有全局的完整監測，還要輔以分布式蜜罐系統來誘捕最新的網絡攻擊樣本，同要有能夠將全網發生在各處不同的安全事件及時匯聚為一個整體來進行綜合分析和大范圍安全態勢感知的能力，同時要有準確的IP地址信息庫來定位追蹤IP到所在關聯單位，要擁有快速及時的應急響應和協同分析處理能力，要有通暢的安全事件分發處理機制和專業人員隊伍來保障安全隱患能夠得到及時處理。

基于這些考慮，“211工程三期”CERNET建設項目中對安全保障系統做了重點投入，清華大學、東南大學、上海交通大學、賽爾網絡的安全研究團隊具體負責建設了相應的安全子系統，將在今年年底基本建成并正式投入使用。

各類安全風險和安全事件始終威脅著全球互聯網，網絡攻防對抗在持續升級，主干網的安全保障工作必然是一個長期并且動態的過程。協調全國高校有安全研究能力的科研團隊力量，把最新的安全研究成果和安全實踐經驗與主干網運維管理工作相結合，同時加強與國內外相應互聯網安全機構的廣泛協作交流并實現安全信息通報的快速交換，從而嘗試走出一條具有CERNET特色的主干網安全保障之路。