新闻中心

News Center

BCS2022郑晓峰:缓解互联网基础设施系统风险需要多方共同防御
发布日期:2022-07-21 作者:北京网络安全大会

  7月21日,在2022北京网络安全大会(BCS 2022)技术峰会正式开幕。大会邀请了来自多国知名信息安全专家、科学家、互联网巨头技术高管、专业教授、第三方行业等嘉宾分享行业前沿新技术和新方案。其中,奇安信集团网络安全实验室主任郑晓峰发表了《脆弱性依赖:互联网基础设施的系统性风险》的主题演讲,围绕互联网基础设施的脆弱性依赖和系统性风险问题展开详细分析。


  演讲伊始,郑晓峰通过全球网络空间稳定委员会(GCSC)的一份报告指出,“大国间25年的全球网络空间战略稳定与和平走到了历史终点,我们清晰地看到,当前社会背景为互联网基础设施安全带来了更多不确定性。”关于互联网基础设施,郑晓峰介绍到,与物理世界传统的基础设施相对应,GCSC的专家通过投票筛选出了认为至关重要的网络基础设施,包括路由和转发系统、域名和编址系统、公钥基础设施、软件等。进一步归纳分类,软件、域名和编址系统、公钥基础设施被认为是互联网公共核心。

  谈到互联网基础设施的脆弱性依赖,郑晓峰为大家举了一个直观的例子。以多米诺骨牌来比喻互联网基础设施的脆弱性,即引发的单点故障的问题,会像多米诺骨牌一样环环相扣,形成连锁反应。回顾近一年的网络安全事件,Log4j这个公认的、影响力很大的网络安全事件,一个日志组件可以影响成千上万的应用,也是软件供应链安全的标志性事件。

  郑晓峰分析:“当我们替换掉Log4j直接引用的组件,或许我们解决了直接引用脆弱性的相关问题,但所引用的其他组件或者替换的相应组件,也有可能间接引用了Log4j或其他的一些脆弱性组件。”当在软件供应链空间里对Log4j的相关依赖性进行分析后发现,这种依赖关系已经不再是单纯的树状结构,而是形成了复杂的图的关系。

  再进一步来看软件供应链的脆弱性引用问题,郑晓峰表示:“如果再加上平台的固化、碎片化等问题,就会变成一个放大器,相应的问题会放大,更加影响整个生态。”这就是级联依赖,平台的固化、碎片化会导致软件或软件供应链的脆弱性依赖问题更加难以解决、难以根除。同样,网络服务、DNS解析等跟软件供应链一样,也存在供应链脆弱性依赖的缺陷和问题。

  郑晓峰总结道:“网络基础设施的脆弱性依赖,让相应的防御不再是独立的单点问题,需要多方共同防御,共同采取相关措施才可能将整个生态里的脆弱性依赖关系带来的问题得到缓解。”可以说,互联网基础设施的脆弱性依赖问题是广泛存在的,并由供应链级联效应、平台固化、平台碎片化等问题放大其影响,它难以检测、难以根除,难以依靠单方防御力量缓解,总体可称之为系统风险。

  最后,郑晓峰表示,上述系统风险需要我们去适应网络结构带来的新变化,把这些互联网基础设施的脆弱性问题,通过协议规范,或通过检测机制的更新来增强治理,多方共同完成对互联网基础设施脆弱性依赖问题的缓解以及防御。


相关新闻
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
第六届“蓝帽杯”全国大学生网络安全技能大赛决赛获奖名单公布
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。经过裁判组的审核,现公布最终获奖名单。一、决赛战队获奖名单二、指导教师获奖名单点击“阅读原文”,登陆大赛官网,了解更多详情,颁奖典礼时间将另行通知第六届蓝帽杯组委会2022年10月10日.

2022-10-10

实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
实战场景锤炼网安精兵 第六届“蓝帽杯”总决赛圆满结束
9月21日,第六届“蓝帽杯”全国大学生网络安全技能大赛总决赛圆满结束。长达8小时的赛程中,来自全国各高校的89支战队、265名选手,在24轮次攻防回合比赛中,累计完成了1600余次攻防。待裁判组审核WP(解题思路)后,将公布最终获奖名单。上午9时,中国人民公安大学团委副书记郑重宣布比赛开始。总决赛首次采取线上AWDP赛制,综合考核参赛战队的漏洞发现、漏洞挖掘、漏洞修复以及即时策略的能力。成功利用漏.

2022-09-22

第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
第六届“蓝帽杯”决赛将于9月21日举办,教师最佳影响力奖申报开启!
各参赛单位:第六届“蓝帽杯”全国大学生网络安全技能大赛决赛将于9月21日9:00-17:00以线上方式举行具体安排如下:1大赛宗旨以习近平新时代中国特色社会主义思想为指导,全面贯彻落实习近平总书记关于国家安全、网络安全、公安工作、教育工作、人才工作等系列重要论述精神,深入推进落实网络强国战略重大决策部署,开辟网络安全高校实践教学新途径,促进网络安全教学单位与实战部门之间的合作共建,持续为培养、选拔.

2022-09-07

距离大会开幕

2022.5.24-5.26

北京·国家会议中心