提高全网力量保障网络安全

本篇文章1790字，读完约4分钟

提高全网力量保障网络安全 在12月20日至22日举行的第11届中国国际数据中心行业年会上，中国电信网络安全产品运营中心市场总监刘以“全力提升网络安全”为主题发表了精彩演讲。 小系列:田园 在12月20日和22日举行的第11届中国国际数据中心行业年会上，中国电信网络安全产品运营中心市场总监刘以“提升全网力量保障网络安全”为主题发表了精彩演讲。

刘中国电信网络安全产品运营中心营销总监

分布式拒绝服务攻击分析

互联网环境充满了安全风险。面临DDOS攻击的人有三种。第一个受到攻击，第二个没有意识到攻击，第三个没有意识到攻击。

从中国电信模拟的DDOS攻击状态图来看，来自四面八方的流量同时攻击一个商家。事实上，不仅客户，而且电信运营商都将受到攻击的极大影响。

以T为单位，2016年10月，DDOS攻击总流量达到历史最高值，超过40，000 T..整个网络的恶意攻击流量有非常明显的增长趋势。

就峰值而言，80%的攻击流量低于40G。尽管国际数据中心运营商的带宽远远大于个人用户的带宽，但可用带宽可能会吞噬某些流量攻击。然而，由于理论上任何带宽的利用率都不能达到100%，40G流量攻击会导致网络被破坏。

数据显示，超过100克的攻击是每天35次，比前一个统计周期增加了4-5倍，这意味着大流量攻击越来越频繁。超过800克的最大攻击流量发生在中国。

就分布区域而言，受滴滴涕影响地区的分布与经济发展密切相关。我们可以看到整个沿海省份都是高风险地区。据第三方数据显示，在2015年DDOS攻击的分布中，新闻媒体排名第一，互联网金融排名第二，政府、企业、游戏等都位列前十。

DDOS攻击有许多原因。在中国大陆，互联网行业的黑灰色不正当竞争手段也是互联网安全问题频繁爆发的诱因。然而，DDOS攻击是以非常低的成本发起的，这与保护成本完全不成比例，因此客观上加剧了攻击的泛滥。

危害显而易见。公司很难创建自己的品牌。品牌在关键时期受到攻击，品牌效益的损失是无法估量的。更严重的情况是服务被完全阻塞，对单个用户的攻击导致公共出口带宽完全拥塞。一个点被攻击，整个点被阻塞，影响整个节点中所有企业业务的连续性。

DDOS攻击保护

最常见的DDOS攻击防护方法是阻断攻击信息流，但其效果并不理想。一旦接入电路完全拥塞，网络中充满无用的数据包，想要真正阻断路上的交通是没有用的。

刘根据电信自身的经验，总结了DDOS攻击防护的四个前提条件。

首先。带宽，高带宽是目前最有效的DDOS攻击防护措施，但没有一个。必须有足够的带宽来消化所有的DDOS攻击流量，并为下一步清除操作奠定基础。

第二。防护设备必须有专业和规范的清洁设备，以达到最佳的清洁效果。

第三。专业团队。

第四。一个完整的响应机制必须有一个非常完整的响应机制，否则当攻击来临时我们将无能为力。

以电信的云银行产品为例，DDOS攻击的处理方法主要有两种。第一种处理方法是交通抑制。云库的流量抑制将攻击源或流量分成三个方向。第一个方向来自国外，第二个方向来自国内，第三个方向来自中国电信30多个省的内部网络。

第二种处理方法是流动清洗。客户对云库的流量清理越深入，安全系数就越高。清洗开始后，李云迪将把某个省或某个方向的流量转移到附近的机房进行清洗，然后通过中国电信的骨干网返回给客户。

中国电信清理中心在全国部署了26个清理节点，流量为1200克。目前，中国电信已在香港、欧洲和美国部署了近2000克的清理节点，覆盖全球。

目前，电信正在尝试一些全新的安全措施。李云迪高等国防学院也进入了试验阶段。使用部署在31个省的中国电信高质量的国际数据中心，电信首先将流量吸引到附近的高安全性国际数据中心，然后返回给客户。全中国电信汇集了各种能力，为个人客户提供攻击保护。

十进位计数制

域名系统保护也是未来电信的重要布局。传统域名紧急情况有两个难点，一个是发现晚，另一个是恢复慢。

云银行为域名系统安全提供了两项服务。首先是监控服务。中国电信在31个省的调查覆盖了三家运营商，以检测用户的域名系统是否被实时篡改。二是域名快速修改服务，确保客户的权威域名快速修改，并与中国电信缓存的域名同步。

它有四个特点:

首先。主动和被动监控。

第二。自动应用编程接口，确保实时性能。

第三。自助系统和微信服务号码都能为每个人提供一致的服务。

第四。有效时间很快。