文/姜开达

随着今年CERNET主干网和全国各地区节点路由器的升级换代，主干网的整体性能得到了显著提升。多条100G线路的开通拓展了互联带宽，降低了网络延时，但同时也对在高流量下的网络安全保障体系提出了新的挑战。斯诺登泄密事件中暴露出来的信息也深刻引发了我们对网络信息安全特别是主干网安全的重新思考。

传统主干网的安全监测是基于各主干地区节点路由器提供的NetFlow/sFlow输出信息，对这些数据进行实时分析和关联历史信息挖掘，从网络流量的异常连接当中，根据统计可以迅速发现很多安全事件。比如DDOS类型Flood攻击，针对特定端口的大范围网络扫描，利用开放式递归DNS查询进行流量放大攻击等事件，都可以依赖flow信息来源及时预警出来。这种监测无论过去、现在还是将来都是必不可缺的一种重要手段。

但是随着人们对网络攻防和安全研究的深入了解，逐渐认识到仅仅依靠抽样获取的flow信息来对全网安全进行监测还是不完整的，必须要辅以必要的元数据（Meta-Data）分析和深度报文检测（DPI）来发现异常有害行为，要掌握僵尸网络主机的网内详细分布，必须要对全网内的网站后门和网页挂马等有全局的完整监测，还要辅以分布式蜜罐系统来诱捕最新的网络攻击样本，同要有能够将全网发生在各处不同的安全事件及时汇聚为一个整体来进行综合分析和大范围安全态势感知的能力，同时要有准确的IP地址信息库来定位追踪IP到所在关联单位，要拥有快速及时的应急响应和协同分析处理能力，要有通畅的安全事件分发处理机制和专业人员队伍来保障安全隐患能够得到及时处理。

基于这些考虑，“211工程三期”CERNET建设项目中对安全保障系统做了重点投入，清华大学、东南大学、上海交通大学、赛尔网络的安全研究团队具体负责建设了相应的安全子系统，将在今年年底基本建成并正式投入使用。

各类安全风险和安全事件始终威胁着全球互联网，网络攻防对抗在持续升级，主干网的安全保障工作必然是一个长期并且动态的过程。协调全国高校有安全研究能力的科研团队力量，把最新的安全研究成果和安全实践经验与主干网运维管理工作相结合，同时加强与国内外相应互联网安全机构的广泛协作交流并实现安全信息通报的快速交换，从而尝试走出一条具有CERNET特色的主干网安全保障之路。