AT&T主要是采取基于4层的流数据的统计判断,客户主要是大型企业和大型网站。AT&T仅仅从100家网站上面获得的利润就超过了几亿美元。
我们看一下BT的例子。英国电信从06年开始,就在网络中部署防护垃圾信息和BOTNET的设备。它在去年的9月份推出了一个服务,这个服务主要是针对如何定位、如何防治BOTNET的。BT的做法是,通过分析和统计的分析,从客户的边界防火墙上采集日志,进行统一的分析,并报警。客户也是一些企业和集团用户。
绿盟公司基于多年在运营商领域的安全服务经验,我们也有一个设想,运营商如何去通过提供一个僵尸网络防护的业务,为合乎提供增值业务?这也是我们的设想。
首先,用户A在访问互联网的时候,他中招了,被僵尸主机种植了僵尸程序。类似的行为,僵尸网络在不断地扩散。这个行为被运营商部署的一台蜜罐所发现,这个蜜罐会迅速地通知运营商的监控中心收集信息,同时进行分析统计。之后,定位僵尸网络里面的主机,其中也包含了用户A。然后,依托于这样一个客户服务的平台,通知用户A我们中招了,怎么办呢?用户A会访问一个网站,从下面下载一些修复工具去查杀。而运营商通过部署在网络中类似的蜜罐设备,来建立一个体系的僵尸网络防护平台。
我总结一下,首先我们说僵尸网络是一种致命的武器,危害不言而喻。
第二,BOTNET的防治关键定位于发现,这反映了定位于发现的碰撞,还有道高一尺魔高一丈的现状。
治理BOTNET对于运营商既是责任,也是提供增值业务的机会。谢谢大家!
刘华鲁:下面,有请动联信息技术有限公司技术总监胡永刚先生做主题报告。
胡永刚:各位领导、各位专家,大家好!
我是上海动联信息技术有限公司的技术总监胡永刚,在这一块非常高兴能参与信息高层论坛。同时,向大家做一个专题的汇报。
刚才,我们前面的熊局长也提到了,现在其实互联网领域安全有两个非常集中的问题,一个是僵尸网络,一个是DDoS木马。刚才我们思科的专家和绿盟的专家,都对僵尸网络做了一些介绍。下面,我对DDoS木马相关的身份保护这个话题做一个简单的汇报。我汇报的题目是《复杂网络环境下的身份保护》。
我的汇报分两部分,前面的部分主要是从背景和需求这个方向,来给大家做一个介绍,为什么会需要动态密码来进行身份保护。第二部分简单地介绍一下动态密码身份认证的相关解决方案,包括了基本的原理、常见的终端、应用的模式等等这样的一些相关的内容。
前面各位领导和专家都对3G时代的网络和业务,它的特点和安全性做了非常充分的分析,在这里我就不多罗列了。总体来讲一句话,就是3G其实我们的网络和业务系统,面临更加复杂的安全问题。
下面,我们简单地介绍一下在当前网络环境下,以互联网为代表的安全的网络环境,现在存在的一些最主要的问题。这里面大家可以看到一些数据,这是一个04年到08年的新增的病毒样本数的统计。大家可以看到,08年新增的病毒的数量,比07年增长了12倍之多,它继续保持了爆炸性的增长,而且有加速的趋势。
同时,我们可以看一下,这些病毒的组成到底是做什么的。这里面来讲,可以看到直接是木马病毒占到了64%。另外,还有20%的后门病毒是直接为木马来服务的。也就是说,跟木马病毒相关的病毒占到了病毒的绝大部分。
这是1年多的统计,最近CNNIC的报告里面没有包含这部分的数据,这是07年底的数据。大家遇到最大的问题就是感染病毒,第二位的就是帐号和个人信息的被盗和篡改。有几年上网经验的人来讲,他的找好从来没有盗用过,这种情况已经非常罕见了,大部分人的帐号其实都是被盗过的。
其实,刚才看到这么严重的盗号的问题,其实它背后刚才各位专家也提到了,有一个非常大的黑色的产业链来做支撑,这里面我就不详细做介绍了。
这是去年从企业的角度来考虑安全需求的基本统计。大家可以看到,其实现在最大的安全需求,还是一些基础的安全的基础设施,包括了杀毒的软件、防火墙VPN。但是,大家可以看到,我们身份认证系统已经排到了第四位,占到了非常大的比例。
同时,大家不能忽略另外一个事实,只要是你认证系统的身份帐号被盗了,我进去的就是合法用户。我既不是病毒,我也是其他的,我是合法的。所以,如果你的帐号被盗,其他的一切都是没有用的摆设。
下面做一个简单的总结,计算机和木马的数量在继续保持爆炸性的增长,而且这些病毒、木马,他们主要的品种和主要的目的,是以经济利益为主的帐号盗窃。网络犯罪是产业化,包括病毒也是在社会化,实际上它最终的目的是以帐号和网上资产的盗窃和销赃为主要目的。
在这种背景之下,我们传统的简单的以动态密码的方式,在这种网络犯罪面前是不堪一击的。采用双因素认证,强化帐号的保护是势在必行的。
下面,对于动态密码的身份认证解决方案做一个简单的介绍。在介绍这个解决方案之前,简单提一句我们公司。
因为上海动联大家还不是特别了解的公司,我们这家公司实际上是一个专业从事动态密码相关的安全产品和解决方案的专业化的供应商。在这里面,我们主要是专注于自主知识产权的身份安全产品的研发、生产和销售。我们主要的用户是电信行业、金融行业,包括了政府、网游都有主要的用户。我们在08年身份认证的相关产品的销售额,已经达到了1.8亿,也算是一个发展比较快的公司。
在介绍动态密码认证之前,简单地介绍几种主要的认证方式。认证方式归起类,大家应该相对比较了解,主要是三类方式。一类是你知道什么,就是静态密码的方式。这种方式虽然很方便,但是带来很多安全性的隐患。另外一种是你有什么,这种有两种主要的方式,一种是动态密码,一种是USB数字证书,这相当于它和静态密码一起构成一个双因素的认证。还有一种是你是什么,这往往是涉及到身份,是跟生物相关的特征认证。这几种方式比较起来,我们对于它的安全性、便利性、成本做了一个比较。综合下来可以看到,动态密码是安全性比较高、便利性比较高和成本适中的解决方案。
下面,简单地以时间同步型的动态密码的认证,来简单介绍一下。采用动态密码要引进来,除了输入帐户名和静态密码以外,还要输入动态密码,这是显示在你的令牌上。这个令牌它通常是60秒变一次的密码,这里面会有一个内部的电池支撑它使用3到5年的时间,里面有唯一的种子,相当于是它真正的密钥,在这个令牌当中有128位的密钥。
这是一个动态密码认证的基本的原理,这里面大家可以看到,它是分了两条线在做计算。一条线是在令牌上,令牌有自己的种子和内部的时钟。这两部分进行适当的运算,这里面的运算往往是对称式加密或者是相关的散页的运算,或者是两者结合。它会得到一个密文,密文经过转换之后显示在令牌上,构成了动态密码。你把动态密码输入到业务系统当中,认证服务器有你的种子和当前的时间,它可以按照当前的算法来验算,如果是匹配上了等于认证是通过,如果没有匹配上,这个认证就是不成功的。
动态令牌相关的解决方案由两大部分构成。一部分是动态认证的终端,这里面可以看到,动态令牌的终端有多种形式,我们分成了两大类。一类是硬件型的动态令牌,一大类是软件型的。硬件型的大家可以做成一种形式,比如说相对专业型的,相对时尚型的,还有时间型、事件型的。另外,还可以做成银行卡式的。还可以把它做成增强型,带很多的输入键,可以做复杂的运算的。
软件令牌来讲,我们认为可以有桌上型的计算机上的软件令牌,手机上的,以短消息形式的令牌,以及矩阵形式的。手机上的令牌有两种,一种是靠JAVA来实现,还有一种是跟你的SIM卡放在一块,你的手机就会变成你的令牌,你的卡插到手机上,它和SIM捆绑在一起,就会带到哪里去,使这个手机变成了多功能的终端。
