互联网大国≠互联网强国

观点 0 1981
指尖安全-小胖
指尖安全-小胖 2018年09月08日

2001年到2008年是中国互联网第二次发展大浪潮。这一阶段,中国互联网开始从搜索到社交化网络嬗变。博客、SNS、论坛、微博兴起,网游市场风起云涌成为中国互联网第一收入来源,电商服务业确定为国家重要新兴产业。伴随着新型盈利模式的开启,互联网迎来新一轮高速增长,20086月中国网民数量达到2.53亿,首次大幅度超过美国,跃居世界首位,中国开始真正成为互联网大国。

thum/20180908/5b933ed0984eb.jpg

中国是一个互联网大国,但不是一个互联网强国,那么我们到底和互联网强国差在哪里呢?201896日的ISC互联网安全大会中 清华大学教授、清华大学-360企业安全集团联合研究中心主任段海新先生给出了自己的观点。

段海新先生从我们生活中经常使用到的DNSHTTP两个方面给我们来进行展示。

thum/20180908/5b933ee559b9f.jpg

段海新先生的团队经过专业大规模的测量发现:第一次是全球规模的。在全球的2000多个自持系统当中发现了198AS存在这种DNS路径的劫持行为。第二次是在中国范围内的测量,在356个自制系统当中有61个自制系统存在这种劫持的行为。遗憾的是,在国际的测量当中,由于测量平台的限制,我们只能发出TCP的请求,所以这个比例不具有可比性了。

那么DNS如何才能安全呢?-------DNSSEC

DNSSEC的原理非常简单,利用公钥密码技术在权威服务器进行签名,解析服务器进行验证,二者缺一不可。

thum/20180908/5b933efec7f98.jpg

1997年发布第一个DNSSEC版本以来,到现在已经20多年了,我们现在看一下DNSF的部署情况究竟是怎么样子的。

thum/20180908/5b933f113a6d9.png

段海新先生说:我们对他们的DNSSEC的部署情况进行了分析,我们发现部署最好的是美国政府21%,其次是美国银行13%,中国的政府和银行DNSSEC的部署率是0%。中国的教育稍微好那么一点点,0.4%,但是后来我们发现,因为DNS记录没有上传到国家顶级域名.CN,所以这个是无效的,没有办法进行验证,所以我们的DNSSEC几乎是零。

thum/20180908/5b933f26af210.png

http劫持大家并不陌生,段海新先生的团队做了一个大规模的测量。从全国各地的手机上向服务器发一个请求,测量点覆盖了全国31个省,3万多个IP地址,97AS或者运营商。测量结果显示有57%的运营商当中存在HTTP的劫持行为。

怎么样应对HTTP的劫持呢?--------HTTPS

360 Passive DNS 2014-2018年的数据中分析出中国政府和美国政府在HTTPS部署方面的一些差距。在美国支持HTTPS87%,正确部署,就是我们刚才说的第五种最严格的方案来部署的在美国有将近30%,但是在中国的数据,这两个分别是23%1%。美国的大学和中国的大学,看似比政府的网站似乎要好一些。比如我们看到中国高校的正确部署率17%,比美国的9%要高很多。测量系统里面如果把证书有效给打开的话,也就是说那个网站不仅仅是做了严格的HSTS的跳转,同时它必须使用有效证书,我们发现这个比例一下就降下来了。为什么呢?是因为中国高校的网站里面,在支持HTTPS的网站当中有47%的网站使用了统一款的防火墙系统,这个防火墙系统使用了一个自签名的证书,所以它的部署也是无效的。

thum/20180908/5b933f531d63e.JPG

由此可以看出我们的网络安全与互联网强国的差距还是很大,互联网大国≠互联网强国,正如今年的ISC的主题安全从0开始,我们应该正视自己本身存在的问题一切从0开始。近年来互联网安全事件频发,与人们的生活息息相关,各行各业应当重视互联网安全,从现在开始!