近日,网络安全研究国际学术论坛InForSec2018年年会在清华大学举办。此次年会主题为“网络和系统安全四大顶级会议论文分享及产学对话”。
本次年会由网络安全研究国际学术论坛InForSec、清华大学网络科学与网络空间研究院、复旦大学软件学院系统软件与安全实验室、百度安全以及360企业安全集团联合主办。现场吸引了近200来自清华、复旦、北京大学及百度、360企业安全等企业界的研究技术人员参与,同时有8000多用户通过网络观看了大会视频直播。
图 360企业安全技术研究院郑晓峰做主题演讲
360企业安全技术研究院郑晓峰出席本次学术年会并做主题演讲。在主题为“端到端安全协议的威胁、演进和部署”的报告中,他介绍并分析了互联网在演进过程中发展起来的地址转换网关(NAT)等中间盒子所带来的安全威胁和协议实现中的许多安全问题,指出互联网并没有一个集中的协调机构来验证协议的部署。
郑晓峰首先回顾了部分网络安全协议的历史发展过程,总结其发展成功的经验与失败的教训、并分析工业实现部署的现状与问题。随后,他介绍了DNS劫持、缓冲污染等威胁,并介绍了DNSSEC作为防范这些威胁的最佳实践部署情况。
通过分析360网络安全大数据他得出结论:尽管根域名、国家顶级域名DNSSEC签名部署很好,但二级域名的签名情况很差,而递归解析服务器的验证部署情况更差。根据APNIC关于全球DNSSEC验证的比例,美国为23.17%,中国仅为0.93%,可见中国和美国在DNSSEC的部署方面还有非常大的差距。
在演讲中,郑晓峰还列举了HTTP协议的网络流量劫持案例,这也是互联网世界久治不愈的顽疾。HTTPS作为避免流量劫持的重要手段,在全球各界的努力下部署日渐广泛,但是很多的部署都存在问题。在HTTPS的部署方面,中国也和美国有很大差距。他总结道:“对部署一个新的协议,不能盲目乐观。对工程上的妥协(trade-off)需要有足够的理解。”
最后郑晓峰呼吁,网络安全管理应该遵循业界的最佳实践(Best Practice),这些措施是经过全球工业、学术界多年的研究和实践总结出来的,尽管并不完善但在不断发展。未来360企业安全将会在DNSSEC、HTTPS等基础安全协议方面投入更多研究力量,与网络的运营者或管理者一起,加强我国网络基础设施和基础协议的安全。
来源 360企业安全 |
|
|
|
评论
直达楼层