中國電信安全産品運營中心劉紫千：釣魚網站每年增數十倍

中國電信股份有限公司網路安全産品運營中心CEO劉紫千  圖片來源：中國網財經

　　中國網財經9月9日訊 第十七屆中國金融發展論壇9月8日-9日在京召開。中國電信股份有限公司網路安全産品運營中心CEO劉紫千在會上表示，釣魚網站現實環境觸目驚心，數字不斷攀升，每年都是幾十倍的增長，而且有大量的釣魚網站都是在境外，這樣給釣魚網站的處理、處置、有效性和及時性帶來了挑戰。

　　以下附發言全文：

　　劉紫千：在場的各位領導、各位銀行業、金融業的朋友們，大家上午好，我是劉紫千，來自中國電信。剛才也聽了很多銀行業的資訊安全管理，包括風控部門的領導和專家的一些意見，我想我的演講題目可能會特別和剛才之前的演講嘉賓，中國民生銀行的牛總的發言有一個呼應，他剛才説了他的一個糾結，或者銀行業朋友們的一個苦衷，就是感覺城墻之外的一些事情解決起來有心無力，或者沒有一個抓手。

　　中國電信是目前國內最早也是最大的基礎網路運營商，我們有很大量的數據積累，所以今天我想跟大家分享一下中國電信在這幾年當中我們看到的城墻之外的安全威脅，以及我們的解決的最佳實踐。從網路的外部來看，我們認為現在的網路攻擊或者網路威脅大概有如下幾個方面，比如説DDos攻擊、域名解析的安全、釣魚網站的威脅、Web安全威脅；除了這些，還有一些其他的東西，比如説現在大家耳熟能詳的APT攻擊、系統級漏洞等等。

　　首先來看一下DDos攻擊，就是你的服務無法正常提供了，它拒絕了服務，其實它是被動拒絕了服務，因為有很多機器在從地理和網路位置非常分佈的地方發起流量，這些位置可能是個人PC、智慧手機，或者現在很多雲上的APC，甚至包括家裏的智慧設備，比如説攝像頭等等。右邊這個圖可以看到，從2013年、2014年、2015年，這三年之中DDos的攻擊，每一個柱狀圖有三個顏色，代表著不同來源的攻擊，基本上是三分天下，你的地址在遭受攻擊的時候，可能有70%的攻擊流量來自於國內其他運營商或者是海外，特別是海外的攻擊流量佔比，就是橙色代表的區域，這個佔比是非常高的，經常會超過80%、90%。2016年7月份的時候，全網累計攻擊的總量超過了歷史新高，達到了33000TB。

　　我們來看一下具體一次攻擊有多大，從2014年上半年到2016年上半年，我們用了四個半年的時間進行了DDos攻擊峰值分佈對比分析，在今年的前八個月，我們觀測到了峰值超過100G攻擊的次數，佔到這個時間窗口內的佔比是5.1%，這個數字已經遠遠超過了之前的三個觀測週期，平均一天有35次之多。央行2012年有一個要求，要大家購買專業的DDos防護服務，那到底要多大容量的儲備才夠？右邊是一個攻擊，如果小于40G攻擊的峰值，從風險管控的角度，可能你覺得40G是你的服務購買的費用，但是同時你不能忽視現在網際網路規模攻擊峰值越來越大，這是一個整體的趨勢。

　　所以回答這個問題，就是如果單單依靠企業自身，包括一些非常有實力的金融客戶，我了解到國內排名前三位的某個銀行最大的數據中心，也就是幾十G的頻寬儲備，但是在應對100G攻擊的時候，輕鬆地就會造成崩潰。

　　其實銀行業原來不是那麼容易被攻擊的，那麼現在為什麼容易被攻擊呢？現在比特幣的交易都造成了針對國內銀行的攻擊屢見不鮮，銀行業對DDos防護服務其實有一些特殊的需求，比如説第一個，交易介面IP是不能改變的；第二個，現在大部分銀行已經告別了http，用了https這種方式；第三個，現在DDos攻擊是多向量攻擊，要加強多向量攻擊的對抗能力；第四點，大流量攻擊屢見不鮮，增強大規模流量型攻擊的吸納能力；第五點，不能有太長的時延。

　　接下來我們講一下域名解析的問題，大家使用網際網路都知道，真正的域名體系結構，從一個普通網民提交一個域名請求，從瀏覽器裏面輸入這個以後，實際的解析行為是這個用戶解析請求會發到運營商，如果一個惡意攻擊者要使你的系統癱瘓，可以直接去打掉你的權威伺服器DNS所在的機房，同樣也可以造成解析服務的停止，造成業務中斷。

　　在權威伺服器的分區記錄也可能會被篡改，這件事情不光銀行發生，大的網際網路公司，谷歌、百度、新浪，這幾天全都遇到過。還有包括管理員配置失誤和暫存解析記錄被污染，都會造成你本來輸入一個域名解析錯誤。這裡我也列了三個案例，包括巴西的一個銀行，包括我們河北的一個銀行，都曾遭受過DDos攻擊。金融客戶在選擇DNS運營安全服務的時候，有一個理想狀況，就是高效監控全網解析異常，域名解析不對要趕快恢復，授權服務不會癱瘓。

　　第三個威脅就是釣魚網站，釣魚網站現實環境是確實非常非常觸目驚心的，數字也是不斷地攀升，每年都是幾十倍的增長，而且有大量的釣魚網站都是在境外，這樣給釣魚網站的處理、處置、有效性和及時性帶來了挑戰，我們發現大量的釣魚網站是在北美、亞太，包括中國的香港。

　　這裡我們列舉了從2015年7月份到2016年6月份，我們監測到國內網際網路針對前十家銀行，代號是從A到J，其實並不是説這些銀行自身風控做得不好，而是因為這些銀行樹大招風，它的用戶基數很大，也有很豐富的線上交易的需求。大家先看上面這張圖，釣魚網站的倣冒量，我們可以看到，從一千到一萬每個月的量級上面有三條線，藍色、紅色、灰色，對應了非常有名的三大銀行，它們的量級大概是一個月幾千次。

　　下面是這些釣魚網站所吸納的國內網民網際網路的訪問量，有很多用戶的訪問行為。這兩張圖的關聯關係我也做了一下進一步的驗證，比如説銀行A的釣魚網站，每個月我們可以看到4100多個，一個月吸納全國網民的訪問量68萬。I銀行的釣魚網站，一個月我們只能看到25個，但是一個月吸納的用戶訪問卻有兩萬多次。排名第二的現在非常大的一個銀行，雖然釣魚網站的數量每個月只有2000多個，但是它吸納的用戶訪問每個月卻有200多萬次。

　　釣魚網站的應對，我們認為首先要及時、準確地發現最新的釣魚網站；其次，要迅速地阻斷釣魚站點的訪問，其實釣魚網站真正威懾力最強的是剛剛上線的幾個小時之內，會有大量的推廣，它的危害性最強。如果你不能在它上線的黃金時間點把它拿掉，過了48個小時再拿掉其實也沒有太大的意義。

　　第三個是移動環境的普適性，不用插件。第四個是深度的數據挖掘，這裡我想強調一點，就是如果説我們傳統的釣魚網站的防護只是發現和打掉，這對銀行來講我們認為不足夠，銀行的風控專家希望做的是最精準的風險管控。

　　最後一個Web安全，整體來講，Web安全是一個激烈變化的領域，對Web安全服務的要求我們也有一些思考，比如説銀行真的自身做得很好，但是對大量的中小銀行、商業銀行、城市銀行來講，需要一些專業的機構來做，這裡要比拼的就是時效性和動態性。

　　中國電信作為國內最大的IP網路的服務提供商，我們擁有上億級的用戶規模，有最豐富的數據流量，我們在連接一切的網的決策扮演至關重要的角色。包括移動應用的製造者也在聯動起來，所以我認為要照顧到整個交易的金融安全，必須要這三者一起發力，當然也是一個縱深防禦的概念，找對的人，做對的事情。

　　銀行整體來講都是一個風險管控，在這裡我們認為找一個靠譜的服務，找一個最合適做這個事情的人，應該是整個銀行業務仔細考量的。最後謝謝大家的時間，如果大家對之前我講到那四類解決方案感興趣的話，也歡迎跟我們做充分地互動，謝謝大家！