发布时间:2007.03.02

  主持人:我们应该叫他David老师。我们可以看到这些犯罪分子通过网络犯罪挣了很多钱,大家认为在线游戏也有一些问题。我认为我们要了解一下互联网的运作方式和在线支付方式,我们来看一下网络运营非常成功的公司的经验,他们在世界上都是非常成功的。

  下一位发言的是丁磊先生,他要讲一下网易是怎样保护自己的电子邮箱用户、在线游戏以及在线支付。我不会做太多介绍,大致讲一下,网易是在世界和中国运作非常成功的网站,每天的访问量有7亿,它在互联网上也有在线支付的功能。有请丁磊先生。

  丁磊:

  各位来宾,大家早上好。

  网易公司在中国是最大的免费邮箱提供者,也是目前国内最大的网上游戏运营商。一个月内使用我们免费邮箱的唯一用户人数超过5000万。我们的网上游戏付费用户已经有1000万以上。

  我们在这两方面在中国有非常大的市场份额,同样的,我们在安全上也遭受过不同的个人和组织对我们发起的攻击。 前面David Chow先生提到,他的电脑通过电子邮件被种上木马。网易在经营电子邮箱的时候,同样非常注重对每一个用户提供对垃圾邮件和病毒邮件的处理和保护。

  我们是在2001年的时候,意识到现在世界上很多病毒的传播,是通过电子邮件,而且是通过电子邮件一些所谓的钓鱼软件传播的。所以我们在01年的时候就寻找能够对电子邮件进行杀毒的途径。我们在选择了几家以后,最后采用了俄罗斯卡巴斯基公司的杀毒系统。

  自从采用了杀毒软件的防御系统之后,根据我们的抽样分析发现,我们用户的病毒邮件明显减少,大概只剩下不到1%的电子邮件会被感染病毒。

  同样的,电子邮件中病毒的减少也降低了我们对服务器的压力和对带宽的需求。有一次,我们曾经因为受到病毒邮件的骚扰,免费邮箱瘫痪了差不多两个小时,给我们的教训非常深刻。

  在三年前,我们也意识到垃圾邮件对我们产生了更大程度的困扰。所以现在网易一方面采用自身的反垃圾邮件技术,专门针对中文的、双字节的垃圾邮件进行有效处理,采用了指纹,也采取了一些其他的过滤技术。

  同时我们对其他语言的垃圾邮件,比如英语、日本语,就直接跟进行深度合作,是第三大的服务支持技术商,在美国除了雅虎的邮箱没做之外,其他的都是他们做的。我们利用他们的技术来解决英文和俄罗斯语的问题,用自己的技术来解决中文垃圾邮件的问题。

  到目前为止,从我们的50万个探征邮箱每天截获的垃圾邮件来看,我们对垃圾邮件的控制已经达到了万分之三以下,比万分之三还要低,误杀率大概是百万分之十左右吧。

  病毒邮件和垃圾邮件所带来的后果刚才David Chow先生已经讲了,就是它可能会想办法在网上银行中骗取你的帐号密码。但事实上中国目前的网上银行还不像西方那样流行,所以中国很多钓鱼邮件的真正目的是希望拿到你电脑里其他值钱的东西。

  我们在最近一年多的时间里最头疼的一件事情就是,我们的网络游戏用户的帐号和密码接二连三地被偷盗。一个网络游戏帐号为什么值钱呢?开始也很难理解,后来我们发现它存在一个巨大的线下交易市场,比如通过eBay、淘宝,可以把一个人帐户里的装备和武器通过互联网进行销售,而且获得的金钱数额是非常高的,从几百块到几千块的都有。

  很多用户防范意识不足,这和银行不一样,很多用户对网上银行的防范意识比较强,觉得这是自己口袋里的钱,要想方设法地管住它。但游戏的帐号很麻烦,很多游戏用户都很年轻,他的防范意识不足,等他的帐号被偷走时就急了,想办法报案。但目前国内的法律对游戏里的装备被偷走,很难从法律上去界定你损失了多少钱。黑客拿到你的帐号密码之后,甚至在游戏里向你的朋友诈骗,说他最近困难,要你给他汇一点钱。

  我们目前对游戏里存在的盗号问题可以说是非常痛苦和烦恼,想了很多办法,最后我们觉得有两个办法算是比较有效。

  第一个,我们公司采用了一次性的动态密码,实际上我们做了一个和HSBC一样的Call ID,除了加工不是我们,其他的都是我们做的。现在在中国已经有50万的用户,这是一个不小的数字。用了这个东西,到目前为止我们还没有发现有人帐号被偷盗。

  第二个方法算我们自己发明的土方法,比较有效。因为中国的移动用户和固定用户的市场占有率非常高,我们发现玩网易游戏的70%的人都有移动电话,即使没有移动电话,也有固定电话。移动电话和固定电话上有一个唯一的可识别号码(主叫号码),所以我们设计了一套比较大的呼叫中心,用户首先把手机号码和帐号建立起对应关系,他每一次要进入游戏时,都要拿他的固定电话或手机给我们的呼叫中心打一次电话,打电话的时候我们的呼叫中心会自动拿到他的Call ID,我们知道这个用户要进来,就允许这位用户进来,进来以后这次认证马上结束,别人即使拿到同样的用户名和密码,也进不来。

  这个系统在推出的一个月内大概有80万用户采用了这套系统,而且它是免费的。所以用这两个方法大概保护了我们网易130万用户的需求,而且每天基本有一万到两万用户在采用刚才我提到的两种安全措施。

  我们自己在从事信息安全的过程当中发现,最重要的一点是教育。我们发现现在有很多人对于互联网上的安全性比较轻视,认为自己随便点一点是没有事情的。当然直接产生的后果就是,等你的东西丢了,银行里的钱被偷了再去做补救,这是非常糟糕的。

  我们的调查中有位用户玩《梦幻西游》大概花了两万多元,结果有一天他的帐号丢了,很急很急,后来我们帮他把帐号给他拿回来,问他为什么当初不采用保护系统?他说他没有这个意识,他觉得他的电脑很安全,已经装了防火墙和杀毒软件,但事实上目前很多防火墙和杀毒软件对病毒的预防能力还是很差的。

  所以教育很重要,教育大众不要随便点击网站,点击的时候要看清楚,尽可能采用安全措施,这个非常重要。

  我们在网络游戏中面临的问题比银行更为复杂。首先我们发现你使用网上银行,一个礼拜可能用两三次算了,但玩游戏的用户一天要进来两三次,甚至是三四个朋友共用一个帐号,因为游戏帐号里面的角色级别很高,所以他在不同的电脑中使用时,帐号和密码被盗窃的可能性更大。

  所以我觉得在未来,中国的网络银行、网络游戏要大力发展,一定要非常重视安全,能够在全民中培养安全意识,采取一些技术手段。我个人比较认同采用一次性的动态密码,这是目前我们所看到的成本较低、效果较好的方法,唯一不方便的一点就是用户需要把它随身带着。

  我的经验就分享到这里。谢谢。



请评价此页:

帐号安全指南 - 常见问题