中国电信股份有限公司网络安全产品运营中心CEO刘紫千 图片来自:中国网财经
中国网财经9月9日讯 第十七届中国金融发展论坛9月8日-9日在京召开。中国电信股份有限公司网络安全产品运营中心CEO刘紫千在会上表示,钓鱼网站现实环境触目惊心,数字不断攀升,每年都是几十倍的增长,而且有大量的钓鱼网站都是在境外,这样给钓鱼网站的处理、处置、有效性与及时性带来了挑战。
刘紫千:在场的各位领导、各位银行业、金融业的朋友们,大家上午好,我是刘紫千,来自中国电信。刚才也听了很多银行业的信息安全管理,包括风控部门的领导和专家的一些意见,我想我的演讲题目可能会特别和刚才之前的演讲嘉宾,中国民生银行的牛总的发言有一个呼应,他刚才说了他的一个纠结,或者银行业朋友们的一个苦衷,就是感觉城墙之外的一些事情解决起来有心无力,或者没有一个抓手。
中国电信是目前国内最早也是最大的基础网络运营商,我们有很大量的数据积累,所以今天我想跟大家分享一下中国电信在这几年当中我们看到的城墙之外的安全威胁,以及我们的解决的最佳实践。从网络的外部来看,我们认为现在的网络攻击或者网络威胁大概有如下几个方面,比如说DDos攻击、域名解析的安全、钓鱼网站的威胁、Web安全威胁;除了这些,还有一些其他的东西,比如说现在大家耳熟能详的APT攻击、系统级漏洞等等。
首先来看一下DDos攻击,就是你的服务无法正常提供了,它拒绝了服务,其实它是被动拒绝了服务,因为有很多机器在从地理和网络位置非常分布的地方发起流量,这些位置可能是个人PC、智能手机,或者现在很多云上的APC,甚至包括家里的智能设备,比如说摄像头等等。右边这个图可以看到,从2013年、2014年、2015年,这三年之中DDos的攻击,每一个柱状图有三个颜色,代表着不同来源的攻击,基本上是三分天下,你的地址在遭受攻击的时候,可能有70%的攻击流量来自于国内其他运营商或者是海外,特别是海外的攻击流量占比,就是橙色代表的区域,这个占比是非常高的,经常会超过80%、90%。2016年7月份的时候,全网累计攻击的总量超过了历史新高,达到了33000TB。
我们来看一下具体一次攻击有多大,从2014年上半年到2016年上半年,我们用了四个半年的时间进行了DDos攻击峰值分布对比分析,在今年的前八个月,我们观测到了峰值超过100G攻击的次数,占到这个时间窗口内的占比是5.1%,这个数字已经远远超过了之前的三个观测周期,平均一天有35次之多。央行2012年有一个要求,要大家购买专业的DDos防护服务,那到底要多大容量的储备才够?右边是一个攻击,如果小于40G攻击的峰值,从风险管控的角度,可能你觉得40G是你的服务购买的费用,但是同时你不能忽视现在互联网规模攻击峰值越来越大,这是一个整体的趋势。
所以回答这个问题,就是如果单单依靠企业自身,包括一些非常有实力的金融客户,我了解到国内排名前三位的某个银行最大的数据中心,也就是几十G的带宽储备,但是在应对100G攻击的时候,轻松地就会造成崩溃。
其实银行业原来不是那么容易被攻击的,那么现在为什么容易被攻击呢?现在比特币的交易都造成了针对国内银行的攻击屡见不鲜,银行业对DDos防护服务其实有一些特殊的需求,比如说第一个,交易接口IP是不能改变的;第二个,现在大部分银行已经告别了http,用了https这种方式;第三个,现在DDos攻击是多向量攻击,要加强多向量攻击的对抗能力;第四点,大流量攻击屡见不鲜,增强大规模流量型攻击的吸纳能力;第五点,不能有太长的时延。
接下来我们讲一下域名解析的问题,大家使用互联网都知道,真正的域名体系结构,从一个普通网民提交一个域名请求,从浏览器里面输入这个以后,实际的解析行为是这个用户解析请求会发到运营商,如果一个恶意攻击者要使你的系统瘫痪,可以直接去打掉你的权威服务器DNS所在的机房,同样也可以造成解析服务的停止,造成业务中断。
在权威服务器的分区记录也可能会被篡改,这件事情不光银行发生,大的互联网公司,谷歌、百度、新浪,这几天全都遇到过。还有包括管理员配置失误和缓存解析记录被污染,都会造成你本来输入一个域名解析错误。这里我也列了三个案例,包括巴西的一个银行,包括我们河北的一个银行,都曾遭受过DDos攻击。金融客户在选择DNS运营安全服务的时候,有一个理想状况,就是高效监控全网解析异常,域名解析不对要赶快恢复,授权服务不会瘫痪。
第三个威胁就是钓鱼网站,钓鱼网站现实环境是确实非常非常触目惊心的,数字也是不断地攀升,每年都是几十倍的增长,而且有大量的钓鱼网站都是在境外,这样给钓鱼网站的处理、处置、有效性与及时性带来了挑战,我们发现大量的钓鱼网站是在北美、亚太,包括中国的香港。
这里我们列举了从2015年7月份到2016年6月份,我们监测到国内互联网针对前十家银行,代号是从A到J,其实并不是说这些银行自身风控做得不好,而是因为这些银行树大招风,它的用户基数很大,也有很丰富的在线交易的需求。大家先看上面这张图,钓鱼网站的仿冒量,我们可以看到,从一千到一万每个月的量级上面有三条线,蓝色、红色、灰色,对应了非常有名的三大银行,它们的量级大概是一个月几千次。
下面是这些钓鱼网站所吸纳的国内网民互联网的访问量,有很多用户的访问行为。这两张图的关联关系我也做了一下进一步的验证,比如说银行A的钓鱼网站,每个月我们可以看到4100多个,一个月吸纳全国网民的访问量68万。I银行的钓鱼网站,一个月我们只能看到25个,但是一个月吸纳的用户访问却有两万多次。排名第二的现在非常大的一个银行,虽然钓鱼网站的数量每个月只有2000多个,但是它吸纳的用户访问每个月却有200多万次。
钓鱼网站的应对,我们大家都认为首先要及时、准确地发现最新的钓鱼网站;其次,要迅速地阻断钓鱼站点的访问,其实钓鱼网站真正威慑力最强的是刚刚上线的几个小时之内,会有大量的推广,它的危害性最强。如果你不能在它上线的黄金时间点把它拿掉,过了48个小时再拿掉其实也没有太大的意义。
第三个是移动环境的普适性,不用插件。第四个是深度的数据挖掘,这里我想强调一点,就是如果说我们传统的钓鱼网站的防护只是发现和打掉,这对银行来讲我们大家都认为不足够,银行的风控专家希望做的是最精准的风险管控。
最后一个Web安全,整体来讲,Web安全是一个激烈变化的领域,对Web安全服务的要求我们也有一些思考,比如说银行真的自身做得很好,但是对大量的中小银行、商业银行、城市银行来讲,需要一些专业的机构来做,这里要比拼的就是时效性和动态性。
中国电信作为国内最大的IP网络的服务提供商,我们拥有上亿级的用户规模,有最丰富的数据流量,我们在连接一切的网的决策扮演至关重要的角色。包括移动应用的制造者也在联动起来,所以我认为要照顾到整个交易的金融安全,必须要这三者一起发力,当然也是一个纵深防御的概念,找对的人,做对的事情。
银行整体来讲都是一个风险管控,在这里我们大家都认为找一个靠谱的服务,找一个最合适做这个事情的人,应该是整个银行业务仔细考量的。最后谢谢大家的时间,如果大家对之前我讲到那四类解决方案感兴趣的话,也欢迎跟我们做充分地互动,谢谢大家!
1.凡本网站注明“来源:中国网财经”的全部作品,均为本网合法拥有版权或有权使用的作品。
2.未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源及作者”。违反上述声明者,本网将追究其有关规定法律责任。
从中长期看,股市依然向好,但在股价快速上涨的背景下,短期要关注业绩增长能否和股价相匹配。
近期南船对旗下上市公司重组方案的调整,无疑引发了市场对此次南船业务整合的猜测。
“新三板+H”模式落地为长期资金市场对外开放揭开新篇章,为提升新三板市场管理上的水准和能力带来机遇。
港交所与股转的合作可参考沪港通、深港通的模式,预计今年6月7月将出现首批合资格三板企业上市。
现在企业拟IPO热情下降了很多,大部分企业对于是否要冲层保层保持着顺其自然的态度。
A股和新三板作为多层次长期资金市场核心组成部分,并购重组慢慢的变成为上下互通、有机联系的重要纽带。
