原标题：DNSPod十问侯家文：如何为中小企业的网络安全保驾护航？

问答时间：2021年01月21日

嘉宾简介：

侯家文：江西云都网络技术有限公司总经理，香港云都网络安全技术研发部总工程师，从事多年技术开发和技术团队建设，针对Linux内核、网络协议栈、高性能网络、DNS解析服务、WEB安全、DDOS防火墙、大型CDN系统架构进行研发。专攻网络安全和云安全方向,现主要负责云都网络安全技术部的技术架构和工具类生态链体系的产品研发以及市场的战略布局。

主持人简介：

吴洪声(人称:奶罩)：腾讯云中小企业产品中心总经理，DNSPod创始人，洋葱令牌创始人，网络安全专家，域名及DNS技术专家，知名个人站长，中欧国际工商学院校友。

以下为对话原文整理：

吴洪声：谈起创业，很多人都说，知道创业苦，但是不知道有这么苦。创业维艰，每个创业者都有身处低谷的日子，可能是资金流转困难，可能是市场销售遇到瓶颈，在你的创业经历中，你觉得最苦的是什么？

侯家文：苦也是分多钟的，并不是你从早到晚的一直在工作一直在熬夜你就说你是好苦的，这完全不是，你要吃的苦那就是你比任何人去了解用户的苦，了解用户的痛点在哪，了解用户的每个惯性行为和心里习惯变化。像大多数人并没有创造出个新鲜东西，只是学习到了成功的模式，就靠复制粘贴，发家致富。这种模式基本维持不了很久，必须要不断的创新，创新才是发展的根本。像一些同行,他们采集了众多用户反馈，去体验用户的苦，再用辛苦去解决这些问题，可谓苦上加苦。这份挫折和煎熬，如果立场不够坚定不够强大的话，估计都已经被上亿的用户在初期的时候就被骂的起不来了。

吴洪声：你在网络安全领域扎根多年，一开始是什么让你和网络安全结缘？你从事网络安全领域的初衷是什么？

侯家文：最开始的时候我还是做小游戏的，在运营的过程中发现只要你有一点流量和用户的时候，经常会遭受到各种DDOS打击，要么就是层出不穷的各种CC攻击，那个时候不光我们这行如此，包括其他站长圈的朋友也经常遇到这个问题，有的甚至直接被DDOS攻击打的无以为继，直接关站了，游戏也关停了。

攻击所带来的危害其实是极其严重的，而且调查起来非常复杂和繁琐，与其花大量的时间去调查攻击源头和分析背后的攻击人是谁，还不如自己建立起一套完整的防护体系，让恶意攻击者无处可寻机会，一个好的网络安全体系是攻击方与防御方间的动态博弈，新的攻击手段不断诞生，如今的网络DDOS攻击已经轻松突破网络边界安全防护直达源主机。虽然大多数安全产品也在防御方法上不断升级，但是由于网络安全攻防双方的信息不对称，往往导致防御方难以预测攻击方将在何时、何处、以何种手段发起攻击。因此只有我们站在这个技术的最高点时，才能够和攻击者有一个高低式的优势，能够去对抗它。

那个时候我们的小游戏产品基本被攻击的差不多也要关停了，每天爬床起来就是看到各种DDOS攻击，睡觉也是有攻击，休息的时间都不给。基本是没有半点办法，于是我和我的团队就花了不少的时间研究了下这个防护体系，当初最开始的时候也是把事情想简单了，当初就是自己写了一些简单的转发加速系统，类似Nginx这样的程序来部署架构集群防护模式。就是简单的从国内各大高防IDC运营商联系合作，调用它们的带宽资源来防DDOS攻击，也没想着做多复杂的防护体系出来，后来我们自己写了一套分布式前端CC清洗的架构，为了优化抓包的繁琐行为，我们都做了一整套的攻击行为识别模块，云端日志自动分析模块系统，自动特征库判断识别，我们为了建这个恶意特征库后期都花费了接近3年的时间，因为攻击方式不断的翻新和改进，还有IP信誉库。目前光存档的IP信誉库都接近7亿条IP数目了。

吴洪声：对于网络安全从业者来说你觉得品德和能力，哪个最重要？

侯家文：技术是挑战，政策是高压线。技术上的挑战是可以靠自身的努力去攻克的，但政策的高压线是绝对不能触碰的。网络防护安全技术上一把双刃剑，黑帽和白帽只是一念之间。作为网络安全从业者，前提便是拥有优良品质，谨遵法律和道德底线，充分发挥自己的技术和能力优势，才能将破坏互联网规范的灰产组织扼杀在萌芽中，真正做到维护网络安全并且国内的网络安全法正式开始实施。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网 络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。

吴洪声：在技术研发和产品运营上，你在哪一方面投入的精力最多？你认为技术和产品如何才能相互促进？

侯家文：在技术研发和产品运营上，投入精力最多的也就是每天不断翻新的攻击手段和破坏的威力的程度，曾经为了给国内某游戏平台进行防护我们的团队硬是熬了三个月的轮班通宵，就是只为这一个客户调动了我们整个团队来做这个事，那个时候技术也没现在这么成熟，对方的DDoS攻击一直逼近1个T，可能很多人都没这个1T的概念，以为只是听到海外的一些某某组织发动400G的大型DDoS攻击，都觉得非常震惊。包括一些第三方的DDoS年度数据报告，也很少遇到这种海量级的T级攻击新闻报道，其实在我们这个圈子里，经常都是遇到200G到800G之间的海量DDoS攻击，都已属家常便饭，按照数据上来讲，这个体量在现实来说实属非常惊人的了，有些骨干网上的网络带宽也不过这个数了，通常能打出这种规模攻击的都是有一整支非常极其专业的有组织性的网络攻击团队，都是拥有自己的CC七层攻击穿透研发团队，现在整个国内包括海外严格上来说都没一款防火墙可以有效抵御这种海量级的CC穿透式攻击，目前市场通用的CC硬件防火墙和CC防护软防设备无外乎绿盟的防火墙、一些市面上的天机盾、安全盾、金盾等这些之类的，甚至是安全通的CC防护产品以及阿里云的吞金兽，在遇到专业级CC攻击的情况下，基本没一个能完美防御CC七层上的攻击，像上面所说的该用户的游戏平台被持续性的一直在上T级海量攻击下打击了三个月之久，业内做的大的游戏平台或多或少之前都遇到过这种规模攻击。因为DDoS攻击的调查起来非常复杂，也没什么更好的办法去找出攻击者的身份，所以都是自己先去想办法去做防护方案解决。也正是因为攻击的频繁多样性和复杂性也逼的我们也在不断的更新迭代，也不断的了解新的攻击手法和新的思路。

吴洪声：能为我们介绍下在你所聚焦的领域，客户群体的行业属性吗？

侯家文：如果是针对DDOS/CC攻击最密集的客户产品，基本主要都是搜索引擎竞价推广和游戏平台还有外贸企业网站等，这些都是属于常被恶意攻击的对象。如竞价推广，同一个关键词一堆人都在抢占排名，众所周知，那个成本是很高的，基本自己的利润有90%都送给了搜索引擎，如果点击成本太高，他很可能会亏损，如果要做到不亏损又能暴利赚钱。那就是发动DDOS/CC攻击，排名靠前的都全部被攻击瘫痪，那么被攻击的竞价网站只能在搜索引擎下掉自己的推广，那么就只剩自己的网站稳坐排名靠前了。

游戏平台也同样也是这个道理，比如在某天有几家同款类型游戏要上线内测或者发布新区，那肯定会被稀释掉很多潜在的游戏用户，如果不想用户被稀释，那就只能通过DDOS/CC攻击的手法让那天只能他自己的游戏产品能顺利上线测试，其他的全部依靠攻击让其瘫痪，那么在用户的角度，他就只能选择能正常玩的那家游戏去体验了。被攻击的那些游戏平台就可能因此直接导致毁灭性的打击，损失就会非常的惨重，前期的所有努力和广告推广费也全部付诸东流了。

像政企单位他们的通常都不是被DDOS攻击，这都是和相对于的利益来挂钩，基本全部都是入侵渗透拿权限然后给黑灰产做黑帽seo,遇到的太多太多了。这些个领域都被那些人玩成了流水线一样的工作，全靠此手法赚钱了。收入还不低。所以我的建议就是在以后未来网络攻击方式将越来越多，DDoS攻击将愈演愈烈，攻击手段和防护手段都在不断的更新，我们需要做的就是提前建立完备的安全防御措施，来应对方式多样的互联网攻击。和政企形成一个联动机制，从源头上打击这些以DDOS攻击而生存的专门做攻击的群体。

吴洪声：网络安全市场已经非常成熟，如何突破既有模式寻求盈利点？能谈谈你的经验吗？

侯家文：网络安全领域盈利点还是不难的，只要有足够的创新，要能了解到用户的痛点在哪、他们想要什么样的体验和什么样的效果，做产品其实是在做用户，用户才是你发展的根本。没有用户的支撑你就一无是处。像基础的技术支持服务、私有化定制服务、对于国内政企长期的定期监测服务等。如果要想做的更远更大的话，就需要建设起一套IDC运营体系，何为IDC运营体系，其实这个也是一个漫长而复杂的过程，像我们就涵盖了有高防CDN、高防游戏盾IP、高防SDK、高防服务器、都是以抗DDOS防护安全和WAF防护为主的一系列体系的安全产品。如果要建设起一个IDC生态链的话那么就需要和高防DNS、网站/IP网络状态监控、站长站等一系列环境都要配套上，这样在用户的角度就可以很方便的使用到他所需的每个产品，提高粘黏度。我们也会把服务优化做到极致。

吴洪声：对于国内网络安全，特别是中小企业，你认为存在哪些问题，最迫切需要解决的是什么？你有哪些方案建议？

侯家文：中小企业一般面临着六大问题，个人意见。

一、异常流量攻击

大流量的攻击会压垮企业的网络设备和服务器，造成用户打开网站速度迟缓的现象，更严重的则会出现宕机，不仅会造成企业业务中断，更会影响用户体验、造成用户流失量上升，企业声誉损失等严重影响。

二、信息泄露

黑客用各种可能的非法手段窃取企业系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，从而获得企业财务、企业职员、重要客户、知识产权等重要数据，对企业的隐私和商业利益构成重大威胁。

三、网络病毒威胁

比流量攻击更可怕的是，网络病毒带来的伤害更多时候是毁灭性的，中小企业一旦遭受严重的网络病毒，会造成大量数据资料损毁丢失，这样的信息安全问题所产生的经济损失会非常严重。

四、网络软件的漏洞

“后门”网络软件不可能是百分之百的无缺陷和无漏洞的，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，可一旦“后门”洞开，其造成的后果将不堪设想。

五、数据存储管理问题

除了外部信息安全问题外，企业也会有内部的安全问题。当下企业的网络边际不断扩展，分支机构、供应商、合作伙伴带来了大量交易关联数据，这给数据管理和边界保护带来了新的挑战，同时，也埋下了信息安全隐患。一旦数据储存管理

六、互联网的不确定因素

国际互联网络是跨越时空的，所以安全问题也是跨越时空的。虽然我们国家的网络不发达，但是我们遭到的安全危险却是同国外一样的，这是一个很严重的问题。在不同的行业，所遭受的攻击因行业和网络服务的不同而不同。在电信或者ICP市场，进攻服务系统比较多;而在银行业，对数据系统的进攻相对更频繁;政府方面，对服务的进攻，尤其是其信息发布系统很频繁。

以上只是一些中小企业面临的比较常见的网络安全问题，除此之外还有很多其他的。企业要重视网络安全问题，提高防范和应对各种网络安全问题的能力。这每一个问题在中小企业几乎都会碰到，并且每次碰到后或多或少都会产生一定的损失。针对这些问题，我有一些经验分享，比如针对性的安全策略服务部署，网络都会进行针对性的安全策略服务部署，如随着应用环境的不同、实施客体的不同、指定阶段的不同，所使用的安全策略都将有所不同。例如网络规划安全策略、管理员策略、网络用户安全策略、安全架构策略等当然这说的只是一些片面，也没法把每个细节在这一一提出来，我们针对安全性的部署都会精确到每一个细节，保障用户产品的每一个网络安全体验。

吴洪声：你之前做过游戏，因为游戏结缘网络安全，游戏对网络安全的依赖你一定会有更深入的见解，你是如何看待网络安全防护对游戏行业的重要性？

侯家文：游戏行业一直是竞争、攻击最复杂的一个“江湖”。许多游戏公司在发展业务时，对自身的系统、业务安全，存在诸多盲区；对DDoS攻击究竟是什么，也没有真正了解。

有多少充满激情的创业团队、一个个玩法很有特色的产品，被这种互联网攻击问题扼杀在摇篮里；也看到过一个运营很好的产品，因为遭受DDoS攻击，而一蹶不振。

在与游戏公司安全团队接触的过程中，看到游戏行业对安全有两个很大的误区。

第一个误区是：没有直接损失，就代表我很安全。事实上，相比其它行业，游戏行业的攻击量和复杂度都要高一筹。每个游戏公司，每个应用，其实都遭受过攻击。但许多游戏安全负责人，仍然会“蒙在鼓里听打雷”，没有察觉正在发生的攻击，或者干脆视而不见，由此埋下安全隐患。

第二个误区是：很多游戏行业安全负责人会认为，只要装了防火墙，就能挡住绝大部分的攻击。然而，防火墙的功能其实很有限。这也从侧面说明了许多游戏行业安全薄弱的根源：只去做好一个点，却看不到整个面。攻击者总会从意想不到的薄弱点，攻陷整个游戏行业的内部系统。

吴洪声：游戏是DDoS攻击的重灾区。你怎么看待这一现象背后的原因？

侯家文：首先是因为游戏行业的攻击成本低廉，是防护成本的1/N，攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多，基本的静态防护策略无法达到较好的效果，也就加剧了这种不平衡。

其次，游戏行业生命周期短。一款游戏从出生，到消亡，很多都是半年的时间，如果抗不过一次大的攻击，很可能就死在半路上。黑客也是瞄中了这一点，认定：只要发起攻击，游戏公司一定会给“保护费”。

再次，游戏行业对连续性的要求很高，需要7*24在线，因此如果受到DDoS攻击，游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3天后，游戏公司的玩家数量，从几万人掉到几百人。最后，由于游戏公司之间的恶性竞争，防护弱或者无能力做防护的也就直接关停了游戏，这也就加剧了针对行业的DDoS攻击。这种案例屡见不鲜，为何会演变成如此恶性的循环，其实说白了就是和利益挂钩。在做攻击圈里，那攻击者基本是无孔不入，有利益的地方就有江湖，所以就形成了有组织有规模的可随时发动大规模的DDOS攻击，即便在现今公安严厉打击DDOS攻击犯罪的情况下，现在从事攻击行业的人也是有增无减，趋势也愈演愈烈。攻击规模也是一天比一天创新高。

吴洪声：关于整个网络安全服务行业的发展，你有什么期待？

侯家文：2020年，虽然我国在网络安全领域取得了新的成就，但全球网络空间的DDOS攻击情况依旧纷繁复杂。人工智能、区块链、5G等具有颠覆性的战略性新技术突飞猛进，大数据、云计算、物联网等基础应用持续深化，数据泄露、高危漏洞、网络DDOS攻击以及相关的智能犯罪等网络安全问题随着新技术的发展呈现出新变化，网络安全行业问题遇到新的挑战。

像很多设备都被黑客利用来网络破坏攻击，如EPC中的Gi-LAN就是运营商网络中最脆弱的部分， DDoS攻击经常针对Gi Link上的服务提供商核心网络。与此同时，物联网的迅速崛起暴露了恶意行为者对服务提供商采取控制和其它威胁。目前网络所建设的IP信誉库其中有上亿的IP都是来自物联网卡所发起的恶意攻击，攻击手法也越来越隐蔽。在我们所聚焦的领域[T2] 也会加强防护基础设施建设，加大硬件设备上的投入，像现在的互联网的飞速发展，也引领了社会生产新变革，创造了人类生活新空间，拓展了国家治理新领域，极大提高了人类认识世界、改造世界的能力。互联网给人类的生产生活带来巨大变化才刚刚开始，互联网驱动人类全面发展列车才刚刚启动，未来想象空间无限。希望云都网络能与所有同仁及站长朋友共同发展、助力创新，我们才能让互联网繁荣发展的机遇和成果更好造福世界、造福人类和造福未来。

针对这些问题，我有一些经验分享，比如针对性的安全策略服务部署。

在我们所聚焦的领域也会加强防护基础设施建设，加大硬件设备上的投入，像现在的互联网的飞速发展，也引领了社会生产新变革，创造了人类生活新空间，拓展了国家治理新领域，极大提高了人类认识世界、改造世界的能力。互联网给人类的生产生活带来巨大变化才刚刚开始，互联网驱动人类全面发展列车才刚刚启动，未来想象空间无限。希望所有同仁及站长朋友共同发展、助力创新，我们才能让互联网繁荣发展的机遇和成果更好造福世界、造福人类和造福未来。