English

以豐富經驗 悉心部署全方位防護 協助全民投票順利完成

客戶背景

早前有獨立機構舉辦了大型的民間全民投票活動,大眾可通過手機應用程式或於票站即時就普選特首原則表態。其實,類似活動早於2012年便已出現,但當時甫啟動即遭到針對性的DDoS(Distributed Denial of Service)攻擊,嚴重影響投票過程以及結果的準確性。有見及此,這次主辦機構絲毫不敢怠慢,積極物色專業可靠的寄存服務商,協助應付網絡攻擊和一切有可能發生的突發狀況,以確保是次投票活動能夠順利進行,亦期望藉著這次機會打造成功案例,為往後進行的大型投票計劃訂下技術藍圖,落實活動可持續發展的必備條件。

面臨挑戰

參考過往經驗,要成功舉辦全民投票活動絕對是一項艱巨任務。首先,由於投票反應未可完全預料,亦有可能出現投票繁忙時段,例如活動剛開始的時候、晚間用戶活動高峰期等,因此需要設法確保系統能夠承受龐大、突發性的數據流量,保持網絡流暢度。

此外,畢竟投票活動在明、黑客行動在暗,該機構需要做好充足的保安措施,範圍包括:

  • 確保系統安全性,例如預防應對DDoS攻擊等針對性攻擊
  • 確保資料安全性,尤其是保障活動參加者的私隱資料
  • 防止不正當行為,例如造假及種票等

UDomain 提供的解決方案

確保系統安全 + 保障用戶私隱 + 防止不正當行為 = 唯有UDomain做到

自1998年成立至今,UDomain已為數以萬計的大企業和中小企提供優質網絡服務,因而累積了豐富的實戰經驗,尤其對大中華地區的網絡生態、惡意攻擊的動向、區域性技術之特性等均瞭如指掌。即便我們現已成為業界領導者,但仍堅持對每位客戶用心付出,而對這次全民活動更是加倍嚴陣以待,主要循以下三個方向來擬訂技術策略:

方向一:如何提升流暢度,並確保系統安全性?

這類公眾活動的參與人數高企,本來便會造成驚人的數據流量,若再遭到惡意攻擊,流量「泡沫」將會直接對伺服器造成沉重負擔。為了做到在保安上滴水不漏,以應付變化多端的惡意攻擊,同時確保投票系統運作無誤, 讓投票者能獲得最佳的用戶體驗,UDomain專業團隊不吝嗇用上大量人力物力,為該機構客戶設計了牢不可破的多層運作兼防禦架構 (見下圖):

方案:第五層 — 海外雲端伺服器(Cloud Server)
作用:資料處理

首先在架構最底層的核心部分,客戶部署了近百台位於世界各地的雲端伺服器 (Cloud Server),主要負責處理投票的相關數據,而我們重中之重的目標,就是確保這些伺服器的安全性。在這核心層之上,UDomain 的網絡專家聰明地建設了多重架構,從而分解DDoS攻擊,令防禦工作更上一層樓。

方案:第四層 — 代理伺服器(Proxy Server)
作用:提升流暢度,為核心硬件加上金鐘罩

在底層的雲端伺服器之上,我們於數據中心內部署了數十台的代理伺服器 (Proxy Server) 以擔任緩衝角色,藉以提升整體的數據存取速度,為用戶帶來快速流暢的使用體驗。此外,由於黑客攻擊所產生的流量先會被分流至Proxy Server,便可有效降低對核心雲端伺服器的影響,網絡安全性和流暢度均會大幅提升。

方案:第三層 — 負載平衡系統(Load Balancer)
作用:進行分流,並減緩DDoS攻擊

這一分層設置了電訊級的負載平衡系統 (Load Balancer),用於進行分流以優化數據處理,縮短回應時間,亦能有效減緩如SYN flood等的DDoS攻擊。

方案:第二層 — Security-as-a-Service雙重DDoS方案
作用:防禦來自區內及各國的DDoS攻擊

在負載平衡系統之上,我們嵌入了獨家研發的雙重DDoS防禦技術,通過這種Security-as-a-Service的概念,令客戶能以更低成本享用企業級的防禦服務。這卓越的技術能夠雙管齊下,分別針對來自大中華/亞洲以及歐美的DDoS攻擊特性來採取防護措施,提升整體安全性。

方案:第一層 — Black Hole Route方案
作用:判斷連線來源以防禦特定地區的攻擊

架構最外層是Black Hole Route方案,主力進行判斷連線來源以防禦特定地區的攻擊等把關工作。在系統遭到攻擊的時候,被派到受影響IP的流量便會即時被棄掉,阻止問題流量進入架構。

方向二:如何確保資料安全性,特別是保障用戶私隱?

在投票的過程中,用戶需要輸入完整的身份證號碼、姓名及電話號碼,這些都是極為敏感的個人資料,絕對不容有失,稍有差池便會釀成公關災難和法律風險,並打擊市民以後參與類似投票活動的信心和意欲。為確保用戶私隱不會曝露於人前或落入他人手中,系統會為用戶輸入的資料作Hash 加密,將之變成無意義的字符,所以即使編寫程式的開發人員亦只會看見亂碼。

方向三:如何防止不正當行為,例如造假及種票?

透過上述的多重架構,系統的保安以及運作順暢度便不會在技術層面上出岔子。而為了進一步確保投票的公平性、公正性,設法只限本地IP投票是合理的做法。為此,UDomain運用了特別技術來阻截來自內地及海外的連線,從而防止非本港人士企圖造假或種票。

要準確判斷連線是否來自香港,UDomain需要與HKIX緊密合作,並在路由器(Router)之上另設Black Hole Route。然而,任何機構要成功設定Black HoleRoute殊非易事,大前提是必須擁有自家的AS Number,方能與各家ISP位於 HKIX的路由器取得連繫,亦即是與ISP數據中心的Upstream Provider的路由器進行BGPRouting Table Update / Announce。UDomain多年來與HKIX並肩作戰,加上備有自家的AS Number、充裕的IP Address區段以及強大的邊緣路由器(Edge Router) 等,要為客戶設定Black Hole Route可謂輕而易舉。

小結

在UDomain的悉力協助下,是次全民投票活動圓滿落幕,並為往後舉行的類似活動奠下良好的技術基礎。在這次案例中,UDomain一方面需滿足高頻寬用量的要求,同時更要為系統提供全方位防護,以杜絕DDoS攻擊和盜取敏感資料的黑客等,亦要兼顧阻止種票等不當行為。雖然任務艱巨,但我們的專業團隊最終不負所託,憑藉在行內首屈一指的實戰經驗,悉心部署了多層技術架構,將Black Hole Route方案、Security-as-a-Service雙重DDoS方案、負載平衡系統(Load Balancer)、代理伺服器(Proxy Server)及海外雲端伺服器完美整合,計劃之周詳為業界罕見。這次的成功鞭策我們繼續堅持「以客為先」的服務理念,哪怕要求如何嚴謹,仍會竭盡所能,做到最好。

使用過的服務

Messenger chat Bot
hardware-wallet
hardware wallet