中国电信网络安全产品运营中心CEO刘紫千 图片来源:中青网财经
中国青年网北京9月13日讯 2016年9月8日,第24届中国国际金融展于北京展览馆开幕。中国电信网络安全产品运营中心CEO刘紫千在接受中青网记者采访时表示,“云堤”是中国电信集团公司专注网络安全服务的产品品牌,对DDoS攻击、仿冒钓鱼等金融安全威胁具有突出的优势。以下为刘紫千博士的采访记录。
问:首先,作为国家的基础通信网络运营商,从网络安全的角度,请您谈谈金融行业目前面临的主要安全威胁?
刘紫千: 随着我国“促进互联网金融健康发展”等相关政策的深入实施,银行业等传统金融行业的市场化改革加速,竞争日趋激烈。由于金融行业新型服务模式,诸如服务方式虚拟化、业务边界模糊化、环境开放化等特点,使得金融业务面临的网络攻击、漏洞入侵、敏感信息泄露等安全问题日益严峻。针对当前的网络安全形势,如何通过高效安全的金融网络为客户提供普惠便捷的金融服务,我认为会成为银行业的核心竞争力之一。
作为网络安全防护的国家队,通过我们的监测数据发现:近年来,越来越多的不法黑客将攻击重点转移至金融机构。对银行业等金融机构进行网络攻击。这不仅能够直接攫取巨大的经济利益,还能破坏金融秩序,对社会稳定造成极大影响。而对银行来说,将直接造成业务中断和客户流失。
另一方面,利用移动互联网技术,银行业金融服务提供越来越便捷,但愈加严格的业务连续性需求也给银行业网络信息安全风险管理水平提出了更高要求。如何丰富网络信息安全风险管理手段,提升风险管理体系与业务连续性管理体系的协调性,是金融行业当前在安全领域面临的重点课题。而在这些方面,中国电信恰恰有多年的经验积累和丰富的产品与服务体系。
问:能简单介绍一下,中国电信的“云堤”安全产品吗?
刘紫千:“云堤”是中国电信在2015年推出的运营商级网络安全系列产品的品牌统称。“云堤”系列网络安全产品主要依托于中国电信庞大的网络资源和多年来形成的网络安全防护能力,为政府、金融、能源、媒体等政企客户提供一系列专享的安全服务。本次金融展“云堤”带来了 云堤-抗D、云堤-反钓鱼、云堤-DNS容灾、云堤-域名无忧、云堤-网站安全专家等多款为金融客户量身打造的安全服务产品。
问: 相比市面同类产品,“云堤”安全产品有哪些优势或者不同?为什么许多银行机构,比如中国银行、招商银行、中国农业银行等都使用了云堤的服务?
刘紫千:首先与其他产品相比,“云堤”系列产品的优势主要体现在产品本身的性质和能力两方面。从产品的性质来讲,云堤来自国内最大的最基础电信运营商-中国电信,由于几乎所有企业都使用了电信的专线接入互联网,企业的流量天然承载在我们的网络上,所以在网络上叠加安全服务是非常自然的一个选择。同时,产品的企业性质和严格受政府监管的中立立场使云堤较其他服务商的产品更容易让客户放心。从2013年开始,金融行业,特别是国有银行和各大商业银行,比过去面临越来越多的网络安全威胁,特别是DDoS攻击,比如比特币勒索,金融竞争和冲突或者纯报复行为。我想真正让银行客户选择“云堤”服务的原因,是产品自身出色的能力。比如,以云堤-抗D产品为例,它针对金融企业面临的网络攻击,解决了三个核心问题,通俗讲就是看得见、防得住、说得清,依次对应攻击检测、攻击防护和分析溯源,这三个问题构成了攻击防护的闭环,缺一不可,云堤在每一项上都有自己独到的优势:
(1)攻击检测利用覆盖电信全网核心路由器的流量数据进行攻击监测,其优势是可以对经过中国电信大网的访问任意互联网目标地址的进行在线实时流量监控,,有别于传统攻击检测方式,云堤-抗D可以在全网对去往目标IP所的实际攻击流量进行全面评估,因而对大型网络攻击的流量规模测度最为准确。大型金融企业网点覆盖较广,海内外都有接入点,云堤-抗D的监控能力是覆盖国内和国外的,和云堤产品进行一点对接,解决了其全国甚至海外节点的监控;此外,金融客户特别需要知道自己所面临的风险威胁的规模,据此作出可能损失的评估以及能力采购的依据,因此,完整的攻击测度也是非常必要的。
(2)攻击防护包含流量压制和流量清洗两种主要功能,其突出优势是"近源防护"的概念,云堤-抗D产品能够准确的辨别一个攻击的主要区域来向,例如是从境外发起还是从国内其他运营商发起,可以定位发起点是哪一家运营商、哪一个城市甚至是IDC机房,从而调度IP承载网路由器和分布式部署的流量清洗设备将攻击流量在"最靠近攻击发起源"的网络节点上对攻击流量的进行清除,因此其攻击防护能力理论上无限大。云堤监测数据显示,2016年前八个月,全网攻击峰值超百G的攻击平均每天有35次之多,银行和金融机构的业务系统互联带宽并不大,即便是国有大银行的数据中心可能也就是数十G这个量级,那么,在遭受动辄上百G的攻击流量侵占下,即便银行在自己数据中心内部配备有一定的防护设备,也会受限于整个出口容量阻塞而发挥不出作用,云堤能够帮助客户在“远离家门口”的网络位置,就把攻击处理掉,确保客户正常的业务流量能够通过。云堤利用BGP实现了对攻击流量牵引导流的秒级全网生效,同时不需要修改防护IP,因为很多银行交易接口是不允许修改IP地址的,云堤这种基于BGP路由的引流方式比之前其他解决方案中通过修改DNS NS权威解析导流的方式相比有巨大的优势,传统的DNS引流需要修改IP地址,而且往往十几分钟才能生效(受制于用户本地递归中的TTL最小值限制,无法保障网内攻击流量的完全引导); 云堤的清洗设备采用运营商级大容量高性能清洗设备为主,有很强的小包处理和转发性能,对Web安全的支持也越来越丰富,同时接受用户对清洗防护策略模板的深度定制。
(3)分析溯源主要解决对攻击来源的准确定位。由于“云堤-抗D”了解骨干运营商的所有网络资源位置,而不依赖于IP地址归属映射和源端是否存在有效探针,这使云堤在攻击溯源定位能力的领先优势难以撼动。与一般企业不同,金融机构在遭受攻击后,大都会诉诸法律。只要有立案依据,我们会配合司法机关提供关键的攻击trace和数据。数据的公信力以及准确程度往往成为能否举证关键,无论从数据质量和数据性质来说,我们产品的优势都十分明显。
那么除了云堤-抗D的DDoS攻击防护之外,我们的云堤-域名无忧、云堤-反钓鱼服务提供DNS域名的全网快速修正以及反钓鱼欺诈网站的处置,都对金融客户在面临关进域名解析错误或者欺诈网站造成的用户利益受损这两大痛点上有非常实质帮助,为金融客户提供更全面的安全保障。
金融客户对服务的体验也很看重,所以除了上述特点外,云堤系列产品格外重视服务的易用性和便捷性,注重安全服务的可视化。“云堤”全系列产品除了提供传统运营商最擅长的"电话申告+工单跟进"外,还提供非常丰富的自助服务。可以说,云堤是国内最早实现通过微信客户端提供DDoS和DNS防护服务界面的产品,金融客户的运维或者安全人员通过自己的微信就能实时掌握告警、下发处置动作和进行分析展现的,这种用户体验也是前所未有的便捷,很受广大客户欢迎。另外,我们还提供更加强大的API接口,供金融客户的系统平台调用,这种内嵌和赋能方式,能够在不改变客户安全运维人员的维护界面情况下,极大增强自有系统的安全防护功能。
问: 对于刚才您提到的金融企业经常遇到的钓鱼攻击、域名劫持等问题,您能再介绍一下“云堤-反钓鱼”和“云堤-域名无忧”产品吗?
刘紫千:当前,针对银行和金融站点的钓鱼仿冒现象确实十分猖獗,云堤-反钓鱼近一年的监控数据表明,目前针对用户规模较大的银行的钓鱼站点每个月都有数百到数千个,针对某银行的钓鱼站点的被骗访问量更是超过了月均两百万次的访问量,这是非常惊人的。普通老百姓在遇到钓鱼站点时稍不留神就容易受骗上当,造成财产损失,各大银行也为此投入力量积极防控。有报告显示,国内金融行业因此遭受的资金损失每年在数百亿人民币之剧,而且还在成逐年上升之势。在应对钓鱼网站,传统的应对措施处置难度大,处理时间长,无法保证在一个大范围内快速屏蔽各种终端各种浏览器对钓鱼网站的访问,“云堤-反钓鱼”的做法是非常创新的,它基于真实上网行为触发的网络数据,以先进的机器学习算法、多维度的关联分析,实现钓鱼网站的快速自动发现。并利用中国电信骨干网络控制能力,实现了覆盖全网的流量自动化敏捷操控。从钓鱼行为确认到反钓鱼处置生效的时间间隔为秒级,最大限度的降低被钓鱼企业的损失。同时,云堤-反钓鱼密切跟踪钓鱼站点的流量特征,为企业风险管控提供强有力的信息输入。在收录疑似钓鱼信息、智能判定留存取证,处置生效结果确认整个流程中,无需个人终端安装任何软件或插件,企业的广大网民用户可零门槛享受安全防护服务。我相信“云堤-反钓鱼”产品会给金融客户带来惊喜。
对于域名劫持本身,特指DNS解析记录被有意修改,后来可能被泛化,包含了一些Http劫持等等。但造成这个问题的原因其实很复杂,从业务流的角度梳理,可能出问题的点非常多,比如终端侧的软件行为、网络侧的协议行为、还可能是客户自己的权威域名服务器管理不慎造成。如果聚焦网络侧,这种劫持可能出现在边缘的接入服务提供商、二级SP、WIFI服务提供者等各种组织,因为这些组织都具备控制"劫持点"的网络位置条件。如我在前面问题中提到的,“云堤-域名无忧”产品就是帮助企业客户尽最大可能得解决这些问题,我们能确保在中国电信官方授权的DNS服务节点上,以及中国电信能够直接控制的核心网络内,客户的域名解析是正常的,如果有问题,我们能第一时间监测到并通知客户,得到授权后我们会迅速修复被污染的域名解析记录。而且我们也愿意配合我们的客户去打击这些网络乱象和不正当竞争。
问: “云堤”全系列产品都有如此多的特点,能不能介绍一些相关案例?
刘紫千:我们的重要客户和服务案例非常的多,但因为涉及到服务客户的隐私及意愿问题,所以我们还是先保持神秘吧。
我可以透露的是“云堤”推出两年来,已经成为国家网络安全的基础保障力量,全程参与了2015年93阅兵、世界互联网大会和刚刚闭幕的G20杭州峰会等最高规格的安全保障,为近五百家国家和重点机构提供了攻击防护、域名安全、网站漏洞监测等保障服务,屡建战功,收获了众多赞誉,践行了中国电信作为央企的责任,也捍卫了国家荣誉。
目前,“云堤”全系产品拥有超2千家大客户,涵盖了金融证券、政府、互联网公司、能源制造等全行业企业,有很好的用户口碑。
问:最后,您认为,运营商在金融领域的安全生态中扮演什么样的角色?
刘紫千:我个人认为由于大型基础运营商的网络能力、品牌信誉,以及自身的技术发展历程,是金融企业应对网络安全风险与安全防护的最佳选择之一。因为,作为互联网"连接关系"的基础承载者,我们确实是最为关键的基石和纽带。同时,从企业性质来说,国有企业肩负着巨大的社会责任,是国家和政府基础信息设施安全的捍卫者。运营商多年来向上对接国家政府的网络安全监管要求,向下服务于政府、企业和广大百姓,同时为安全行业的各类设备制造商和合作伙伴提供能力供给。中国电信正在积极的进行转型,正在用我们的优质资源,在我们长期积累的技术领域,打造并运营具有独特能力的网络安全产品,并以此为契机,保持一个安全领域后入者的心态不断学习成长,成为金融客户不可或缺的出色的安全服务提供者。
| |
友情链接 |
申请友情链接:service#cpeee.com |
|
|
| | | | | | |
QQ在线:51311961 |
 |
|
|
更多
