大安全視角下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與防范

何小平

摘要：當(dāng)今的網(wǎng)絡(luò)安全不再僅僅局限于網(wǎng)絡(luò)本身的安全、更是國(guó)家安全、社會(huì)安全、基礎(chǔ)設(shè)施安全、城市安全、人身安全等更廣泛意義上的安全。全球網(wǎng)絡(luò)安全已經(jīng)進(jìn)入大安全時(shí)代。這也意味著互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)越來越多，在典型業(yè)務(wù)場(chǎng)景下諸如社交網(wǎng)絡(luò)、網(wǎng)站體系、敏感信息泄露、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工控系統(tǒng)、云計(jì)算、區(qū)塊鏈等方面會(huì)面臨各種各樣新型的攻擊。人們已經(jīng)認(rèn)識(shí)到，當(dāng)下及以后若要實(shí)現(xiàn)網(wǎng)絡(luò)安全所要面臨和解決的問題是復(fù)雜多樣的。因此，我們有必要對(duì)網(wǎng)絡(luò)安全的現(xiàn)狀及其存在的風(fēng)險(xiǎn)做相關(guān)研究分析，從而進(jìn)行有效的防范。

關(guān)鍵詞：大安全;網(wǎng)絡(luò)強(qiáng)國(guó);安全意識(shí);物聯(lián)網(wǎng)

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）02-0025-03

1 我國(guó)網(wǎng)絡(luò)安全現(xiàn)狀分析

我國(guó)接入互聯(lián)網(wǎng)歷時(shí)已有20余年，20多年來，中國(guó)互聯(lián)網(wǎng)抓住機(jī)遇，快速推進(jìn)，成果斐然。2019年8月30日，CNNIC發(fā)布第44次互聯(lián)網(wǎng)發(fā)展報(bào)告 中國(guó)網(wǎng)民規(guī)模達(dá)8.54億，中國(guó)已是名副其實(shí)的“網(wǎng)絡(luò)大國(guó)”。但是另外一些數(shù)據(jù)卻顯示，大不一定強(qiáng)，中國(guó)離網(wǎng)絡(luò)強(qiáng)國(guó)目標(biāo)仍有差距，尤其凸顯在網(wǎng)絡(luò)安全領(lǐng)域。中國(guó)面臨的網(wǎng)絡(luò)安全方面的任務(wù)和挑戰(zhàn)日益復(fù)雜和多元。中國(guó)目前是網(wǎng)絡(luò)攻擊的主要受害國(guó)。2019年2月28日，2019中國(guó)IT市場(chǎng)年會(huì)·網(wǎng)絡(luò)安全高峰論發(fā)布的《中國(guó)網(wǎng)絡(luò)安全發(fā)展白皮書（2019）》中提到在2018年，數(shù)據(jù)泄露仍為發(fā)生最為頻繁的安全事件，安全漏洞數(shù)量和嚴(yán)重性創(chuàng)下歷史新高，黑客攻擊、勒索病毒等事件也愈發(fā)猖獗復(fù)雜，對(duì)社會(huì)造成了嚴(yán)重的不利影響。

2013年，中央國(guó)家安全委員會(huì)正式成立;2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平中共中央總書記、國(guó)家主席、中央軍委主席習(xí)近平親自擔(dān)任組長(zhǎng)，李克強(qiáng)、劉云山任副組長(zhǎng)，再次體現(xiàn)了中國(guó)最高層全面深化改革、加強(qiáng)頂層設(shè)計(jì)的意志，顯示出在保障網(wǎng)絡(luò)安全、維護(hù)國(guó)家利益、推動(dòng)信息化發(fā)展的決心;2018年4月20日至21日，在北京召開的全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議，習(xí)近平講話首次明確網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想指導(dǎo)地位。

2 大安全視角下的網(wǎng)絡(luò)安全

縱觀全球，網(wǎng)絡(luò)安全威脅愈演愈烈。如伊朗“震網(wǎng)”病毒、烏克蘭電力中斷事件、棱鏡門事件、心臟滴血漏洞、勒索病毒、Facebook數(shù)據(jù)泄露等，無一例外，都造成了極為嚴(yán)重的影響和破壞。攻擊手段及方式發(fā)生了很大變化，網(wǎng)絡(luò)攻擊已從虛擬網(wǎng)絡(luò)滲透到物理世界，以傳統(tǒng)PC為跳板的攻擊發(fā)展到IOT系統(tǒng)，利用0day攻擊延伸到常規(guī)漏洞結(jié)合專有場(chǎng)景等。帶來的影響也不僅僅是網(wǎng)絡(luò)安全隱患及威脅，政治、經(jīng)濟(jì)、社會(huì)心態(tài)、法規(guī)制度都會(huì)受到網(wǎng)絡(luò)攻擊的影響。因此，當(dāng)今的網(wǎng)絡(luò)安全不再僅僅局限于網(wǎng)絡(luò)本身的安全、更是國(guó)家安全、社會(huì)安全、基礎(chǔ)設(shè)施安全、城市安全、人身安全等更廣泛意義上的安全。這也是所謂的大安全視角下的網(wǎng)絡(luò)安全。全球網(wǎng)絡(luò)安全已經(jīng)進(jìn)入大安全時(shí)代，這也意味著互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)會(huì)越來越多，在典型業(yè)務(wù)場(chǎng)景下諸如社交網(wǎng)絡(luò)、網(wǎng)站體系、敏感信息泄露、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、工控系統(tǒng)、云計(jì)算、區(qū)塊鏈等方面會(huì)面臨各種各樣新型的攻擊[1]。

3 大安全視角下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與防范

傳統(tǒng)意義上人們都認(rèn)為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)大部分是來自于基于病毒木馬、溢出攻擊、越權(quán)訪問、SQL注入、跨站腳本、拒絕服務(wù)、系統(tǒng)漏洞、中間人攻擊、暴力破解等常見網(wǎng)絡(luò)滲透攻擊技術(shù)開展的攻擊[2]。大安全視角下技術(shù)只是作為攻擊的一種手段。攻擊者會(huì)從網(wǎng)絡(luò)空間的四個(gè)維度來進(jìn)行分析進(jìn)而攻擊，即由終端、鏈路、節(jié)點(diǎn)相連接構(gòu)成的網(wǎng)絡(luò)物理實(shí)體—物理域、由網(wǎng)絡(luò)協(xié)議、軟件、數(shù)據(jù)構(gòu)建的信息活動(dòng)域—邏輯域、由信息交互產(chǎn)生的知識(shí)、情感、信念和價(jià)值觀組成的無形域—認(rèn)知域、由網(wǎng)絡(luò)連接形成的社區(qū)、群體等社會(huì)活動(dòng)域—社會(huì)域。以下展開闡述安全風(fēng)險(xiǎn)案例。

（1） 社交網(wǎng)絡(luò)觸發(fā)的信息風(fēng)暴及防范

韓國(guó)前總統(tǒng)樸槿惠下臺(tái)原因之一就是由于社交網(wǎng)絡(luò)而觸發(fā)的信息風(fēng)暴。整個(gè)事件是這樣一個(gè)過程：鄭維羅FaceBook炫富—騎馬特長(zhǎng)生入學(xué)—學(xué)生抗議、校長(zhǎng)辭職——母親崔順實(shí)曝光——樸槿惠內(nèi)閣解散。撇開其他政治因素等原因，社交網(wǎng)絡(luò)觸發(fā)的信息風(fēng)暴正是樸槿惠下臺(tái)的直接原因?！案哞F霸座男”“奔馳女車主維權(quán)”等都屬于社交網(wǎng)絡(luò)觸發(fā)的信息風(fēng)暴。

要避免信息風(fēng)暴帶來的威脅，作為一般用戶，應(yīng)盡可能地避免在社交網(wǎng)絡(luò)中透露自己的個(gè)人信息，有意或是無意地把一些與自己的個(gè)人隱私信息在朋友圈、微博、論壇等各種社交媒體中展示。

（2） 移動(dòng)互聯(lián)網(wǎng)生態(tài)鏈攻擊風(fēng)險(xiǎn)

在當(dāng)前移動(dòng)互聯(lián)網(wǎng)生態(tài)鏈中，安全問題不僅僅是手機(jī)安全問題了。從終端硬件到智能終端操作系統(tǒng)、應(yīng)用商店與應(yīng)用軟件等都存在著風(fēng)險(xiǎn)隱患。智能終端“后門”、操作系統(tǒng)漏洞、操作系統(tǒng)API安全保護(hù)缺陷。應(yīng)用軟件的資費(fèi)消耗、隱私竊取、誘騙欺詐、惡意扣費(fèi)、遠(yuǎn)程監(jiān)控、系統(tǒng)破壞、惡意傳播、流氓行為等。應(yīng)用商店應(yīng)用審核管理欠缺、監(jiān)管力度弱、境外應(yīng)用服務(wù)器管理困難。整個(gè)生態(tài)都存在著安全隱患。比如微信支付曝“0元購(gòu)”漏洞;“寄生推”病毒作惡，2000萬用戶遭殃—安卓bootkit通過刷機(jī)感染設(shè)備;垃圾短信群發(fā)視頻;應(yīng)用漏洞在各類APP中的分布比例;“共享充電站”讓你秒變透明人等。

防范移動(dòng)互聯(lián)網(wǎng)生態(tài)鏈攻擊，重點(diǎn)是要有移動(dòng)安全防護(hù)意識(shí)。做到以下幾點(diǎn)，能降低風(fēng)險(xiǎn)：從正規(guī)應(yīng)用市場(chǎng)或渠道下載APP;及時(shí)安裝系統(tǒng)更新和軟件更新，安裝殺毒軟件; 給APP設(shè)置合理的權(quán)限，能禁止的權(quán)限盡量禁止;設(shè)置手機(jī)開機(jī)密碼，保護(hù)APP的安全，在設(shè)置窗口中，選擇鎖屏和密碼選項(xiàng);盡量選擇安全口碑較好、用戶權(quán)益保護(hù)良好的銀行辦理業(yè)務(wù);謹(jǐn)慎使用手機(jī)銀行APP執(zhí)行轉(zhuǎn)賬等敏感操作，大額轉(zhuǎn)賬后應(yīng)和對(duì)方確認(rèn);提高信息安全意識(shí)，保護(hù)個(gè)人隱私數(shù)據(jù)。

（3） 敏感信息泄露風(fēng)險(xiǎn)

《網(wǎng)絡(luò)安全法》中的第44條、47條、43條對(duì)信息泄露相關(guān)規(guī)定中明確指出，對(duì)公民個(gè)人信息安全進(jìn)行保護(hù)、個(gè)人信息被冒用有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除、網(wǎng)絡(luò)運(yùn)營(yíng)者加強(qiáng)對(duì)其用戶發(fā)布的信息的管理。然而依然存在著各種各樣的信息泄露事件造成了極大的影響。如2016年8月，由于考生信息泄露，準(zhǔn)大學(xué)生徐玉玉遭遇精準(zhǔn)電信詐騙，近萬元學(xué)費(fèi)被詐騙分子騙走，導(dǎo)致其傷心過度，郁郁離世。AcFun站慘遭黑客攻擊，近千萬條用戶數(shù)據(jù)泄露，此次泄露的用戶數(shù)據(jù)包含用戶ID、用戶昵稱、加密存儲(chǔ)的密碼等信息，所有用戶密碼都經(jīng)過加密，沒有明文密碼。2018年華住旗下酒店開房數(shù)據(jù)（漢庭，桔子，全季等）遭暗網(wǎng)售賣，給用戶帶來極大的影響。

對(duì)于敏感信息泄露問題，我們應(yīng)從信息泄露的主要渠道入手來防控該風(fēng)險(xiǎn)，如減少避免系統(tǒng)被入侵、密碼被盜用、避免工作中丟失泄露信息、防止內(nèi)部用戶主動(dòng)盜賣信息等。

（4） 釣魚網(wǎng)站

釣魚網(wǎng)站，通常指?jìng)窝b成銀行及電子商務(wù)，竊取用戶提交的銀行賬號(hào)、密碼等私密信息的網(wǎng)站。釣魚網(wǎng)站通常以幸運(yùn)觀眾、低價(jià)機(jī)票、電話充值、征婚交友等為名誘騙用戶填寫身份信息、銀行賬戶等;或者模仿支付寶、網(wǎng)上銀行等，竊取用戶賬號(hào)密碼信息。

對(duì)于釣魚網(wǎng)站，如果用戶能做到：能從網(wǎng)站細(xì)節(jié)進(jìn)行辨別、使用安全瀏覽器、使用https開頭加密協(xié)議的支付網(wǎng)站、不盲目相信搜索引擎的推薦，不亂點(diǎn)郵件、微信、短信、QQ中的短網(wǎng)址等，一般防范釣魚網(wǎng)站也就沒有什么問題。

（5） APP仿冒及惡意二維碼

一些惡意APP通過盜用正規(guī)APP原圖、對(duì)正規(guī)APP圖標(biāo)顏色變化、加入角標(biāo)或者盜用后加入其他信息等方式仿冒正規(guī)的APP，以盜取用戶信息或?qū)崿F(xiàn)攻擊。不法分子將二維碼病毒鏈接隱藏在打折促銷、廣告推廣等二維碼中，騙取用戶話費(fèi)與敏感信息或引誘下載木馬。不法分子將病毒木馬掛在網(wǎng)上，得到惡意網(wǎng)址;利用軟件將惡意網(wǎng)址轉(zhuǎn)換為二維碼;利用各種傳播途徑傳播二維碼。

因此在下載及使用APP之前盡量要做真?zhèn)舞b別，從官方平臺(tái)去下載，不隨意點(diǎn)擊鏈接下載APP;對(duì)于惡意二維碼，用戶在掃描之前要注意關(guān)注其來源（街頭的二維碼、來源不明的二維碼等堅(jiān)決不掃）;也可以使用二維碼安全檢測(cè)軟件協(xié)助判斷真?zhèn)魏脡摹?/p>

（6） 電信詐騙

電信詐騙通常指不法分子通過電話、網(wǎng)絡(luò)和短信方式，編造虛假信息，設(shè)置騙局，對(duì)受害人實(shí)施遠(yuǎn)程、飛接觸式詐騙，誘使受害人給不法分子打款或轉(zhuǎn)賬的犯罪行為。這類行為雖然很老套，但現(xiàn)在仍然有不少用戶中招，如前文提到的準(zhǔn)大學(xué)生徐玉玉案。

對(duì)于這類風(fēng)險(xiǎn)，用戶要有安全意識(shí)，不要相信天上掉餡餅的事情，對(duì)于電話、郵箱、短信等發(fā)來的中獎(jiǎng)信息等不要輕信，涉及要給對(duì)方轉(zhuǎn)賬等事情堅(jiān)決不能信、不要做。

（7） 病毒木馬攻擊

病毒木馬攻擊案例數(shù)不勝數(shù)如全球知名的“震網(wǎng)”病毒，導(dǎo)致伊朗納坦茲鈾濃縮離心機(jī)組癱瘓;早期的冰河、灰鴿子、熊貓燒香等。

對(duì)于木馬、病毒的防范注意以下幾個(gè)方面：不要試圖使用軟件破解工具，買正版用開源;搜索引擎提供的下載鏈接并不可靠;軟件的原生網(wǎng)站比較可靠、不要執(zhí)行來歷不明的軟件或程序;郵件和QQ發(fā)過來的軟件不要運(yùn)行，鏈接不要點(diǎn);注意所下載的內(nèi)容的后綴，除非確認(rèn)，否則不運(yùn)行;不要上一些亂七八糟的網(wǎng)站;電腦勤打補(bǔ)丁，安裝360安全衛(wèi)士、騰訊管家等;考慮放棄FLASH;如果你身份不一般，注意隱藏自己的身份。

（8） 工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)

近年來全球重大工業(yè)信息安全事件頻發(fā)，總體風(fēng)險(xiǎn)持續(xù)攀升，呈現(xiàn)高危態(tài)勢(shì)。例如烏克蘭連續(xù)兩年發(fā)生了由黑客攻擊誘發(fā)的斷電事件。第一次攻擊：2015年12月圣誕節(jié)期間，至少有三個(gè)地區(qū)斷電，數(shù)十萬家庭在寒冷的冬季失去了電力;第二次攻擊：2016年12月，攻擊者對(duì)基輔外的Pivnichna變電站的攻擊觸發(fā)了斷電，但斷電只持續(xù)了大約1個(gè)小時(shí)。2017年5月全球爆發(fā)WannaCry勒索病毒[3]。高校、加油站、火車站、自助終端、郵政、醫(yī)院、出入境簽證、交通管理、政府辦事等多機(jī)構(gòu)癱瘓。2018年8月3日，臺(tái)積電感染W(wǎng)annaCry勒索病毒，營(yíng)收損失17.6億美元。2019年3月7日，委內(nèi)瑞拉國(guó)內(nèi)包括首都加拉加斯在內(nèi)的大部分地區(qū)停電超過24小時(shí)，在委內(nèi)瑞拉23個(gè)州中，一度有20個(gè)州全面停電，停電后導(dǎo)致地鐵無法運(yùn)行，交通擁堵、學(xué)校、醫(yī)院、工廠、機(jī)場(chǎng)等都受到嚴(yán)重影響，手機(jī)和網(wǎng)絡(luò)也無法正常使用。

目前約有80%的企業(yè)從來不對(duì)工控系統(tǒng)進(jìn)行升級(jí)和漏洞修補(bǔ)，有52%的工控系統(tǒng)與企業(yè)的管理系統(tǒng)、內(nèi)網(wǎng)甚至互聯(lián)網(wǎng)連接，一些存在漏洞的國(guó)外工控產(chǎn)品依然在國(guó)內(nèi)的某些重要裝置上使用。工業(yè)設(shè)備資產(chǎn)管理混亂（許多工業(yè)協(xié)議、設(shè)備、系統(tǒng)缺少維護(hù)）;許多工控設(shè)備缺乏安全設(shè)計(jì)（CIA屬性、訪問控制不嚴(yán)、輸入輸出安全驗(yàn)證缺乏）;設(shè)備聯(lián)網(wǎng)中的網(wǎng)絡(luò)數(shù)據(jù)傳遞中安全防護(hù)不嚴(yán)密;企業(yè)內(nèi)部人員安全意識(shí)不強(qiáng)（無意或有意）;生產(chǎn)數(shù)據(jù)面臨丟失、泄露、篡改等安全威脅（通過大數(shù)據(jù)平臺(tái)存儲(chǔ)或分布在各用戶終端、生產(chǎn)終端等設(shè)備上）。只有從內(nèi)部和外部都控制了工業(yè)物聯(lián)網(wǎng)的風(fēng)險(xiǎn)才能真正做到工業(yè)控制系統(tǒng)安全。

（9） 物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)

2017我國(guó)IoT設(shè)備安全情況統(tǒng)計(jì)（CNCERT），在漏洞方面，智能設(shè)備漏洞數(shù)量大幅增加。國(guó)家信息安全漏洞共享平臺(tái)（CNVD） 2017年公開收錄智能設(shè)備通用型漏洞2440個(gè)， 同比增長(zhǎng)118%。按漏洞類型統(tǒng)計(jì)，占比排在前三位的類型分別是權(quán)限繞過（27%）、信息泄露（15%）、命令執(zhí)行（13%）。路由器及網(wǎng)關(guān)、攝像頭及視頻系統(tǒng)、機(jī)頂盒等類型設(shè)備漏洞數(shù)量多，是漏洞攻擊的重要目標(biāo)，利用漏洞入侵打印機(jī)等辦公設(shè)備正在成為黑客竊取重要單位內(nèi)部文件和數(shù)據(jù)的途徑。攻擊者通過掃描脆弱的設(shè)備或暴力破解，安裝惡意軟件并自動(dòng)構(gòu)建僵尸網(wǎng)絡(luò)來發(fā)動(dòng)攻擊。除此之外，可穿戴設(shè)備：如智能手表、手環(huán)、無線耳機(jī)、鼠標(biāo)鍵盤;家庭智能設(shè)備：如門鎖、智能玩具、音箱;特種行業(yè)內(nèi)設(shè)備：如汽車、醫(yī)療器械、自動(dòng)化等都將成為物聯(lián)網(wǎng)中攻擊的對(duì)象。RFID在電子票證、出入控制、手機(jī)支付等領(lǐng)域已經(jīng)形成了成熟的應(yīng)用模式，這些領(lǐng)域的應(yīng)用多集中于低高頻段。超高頻RFID是行業(yè)發(fā)展的重心。超高頻RFID在鞋服新零售、無人便利店、圖書管理、醫(yī)療健康、航空、物流、交通等諸多領(lǐng)域不斷普及、發(fā)展，未來3～5年，超高頻RFID將成為行業(yè)發(fā)展的重點(diǎn)突破口。近距離無線通信安全-RFID安全威脅有：針對(duì)標(biāo)簽攻擊：數(shù)據(jù)竊取、標(biāo)簽破解及復(fù)制;針對(duì)讀寫器的攻擊：拒絕服務(wù)、惡意代碼; 針對(duì)無線信道的攻擊：干擾、嗅探安全防護(hù)，對(duì)其安全防護(hù)的措施有：重要的RFID標(biāo)簽（例如用于身份鑒別），支持Kill和休眠的標(biāo)簽;使用高安全加密算法的標(biāo)簽;涉及資金的應(yīng)用使用在線核查方式。

物聯(lián)網(wǎng)才剛剛起步，其安全防護(hù)性更是異常脆弱，因此在實(shí)際使用過程中盡可能做到以下幾方面才能從最大程度上避免遭受破壞和攻擊：

? 路由器系統(tǒng)后臺(tái)和無線密碼，都要采用復(fù)雜密碼。

? 在設(shè)置路由器WIFI密碼加密時(shí)盡量選擇WPA2方式。

? 在路由器設(shè)備中開啟或者安裝局域網(wǎng)防護(hù)等功能，可以防止被劫持或者被蹭網(wǎng)。

? 經(jīng)常查看接入設(shè)備清單，避免陌生設(shè)備入侵。

? 及時(shí)升級(jí)所有聯(lián)網(wǎng)設(shè)備固件。

? 在家時(shí)，關(guān)閉部分可能存在安全風(fēng)險(xiǎn)的設(shè)備，例如攝像頭等。

? 重視個(gè)人隱私安全。

（10） WEB體系安全風(fēng)險(xiǎn)

對(duì)Web服務(wù)器的攻擊也可以說是形形色色、種類繁多，常見的有掛馬、SQL注入、緩沖區(qū)溢出、嗅探、利用IIS等針對(duì)Webserver漏洞進(jìn)行攻擊[4]。

Web應(yīng)用的大多數(shù)安全問題：

? 服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)，導(dǎo)致存在安全隱患。

? 服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了公開訪問的區(qū)域，導(dǎo)致敏感信息泄露。

? 服務(wù)器信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)，導(dǎo)致受到攻擊。

許多Web服務(wù)器管理員從來沒有從另一個(gè)角度來看看他們的服務(wù)器，沒有對(duì)服務(wù)器的安全風(fēng)險(xiǎn)進(jìn)行檢查，例如使用端口掃描程序進(jìn)行系統(tǒng)風(fēng)險(xiǎn)分析等。如果他們?cè)?jīng)這樣做了，就不會(huì)在自己的系統(tǒng)上運(yùn)行那么多的服務(wù)，而這些服務(wù)原本無須在正式提供Web服務(wù)的機(jī)器上運(yùn)行，或者這些服務(wù)原本無須面向公眾開放。另外他們沒有修改對(duì)外提供服務(wù)的應(yīng)用程序的banner信息，使攻擊者容易獲取到Web服務(wù)器對(duì)外提供應(yīng)用程序的相關(guān)版本信息，并根據(jù)信息找到相對(duì)應(yīng)的攻擊方法和攻擊程序。

許多Web應(yīng)用程序容易受到通過服務(wù)器、應(yīng)用程序和內(nèi)部已開發(fā)的代碼進(jìn)行的攻擊。這些攻擊行動(dòng)直接繞過了周邊防火墻安全措施，因?yàn)槎丝?0或 443（SSL，安全套接字協(xié)議層）必須開放，以便讓應(yīng)用程序正常運(yùn)行。Web應(yīng)用安全存在非法輸入、失效的訪問控制、失效的賬戶和線程管理、跨站腳本攻擊、緩沖區(qū)溢出、注射攻擊、異常錯(cuò)誤處理、不安全的存儲(chǔ)、拒絕服務(wù)攻擊、不安全的配置管理等問題。Web應(yīng)用程序攻擊包括對(duì)應(yīng)用程序本身的DoS（拒絕服務(wù)）攻擊、改變網(wǎng)頁內(nèi)容、SQL注入、上傳Webshell以及獲取對(duì)Web服務(wù)的控制權(quán)限等。

隨著多形態(tài)攻擊的數(shù)量越來越多，傳統(tǒng)防護(hù)手段的安全效果也越來越差，總是處于預(yù)防威脅-檢測(cè)威脅-處理威脅-策略執(zhí)行的循環(huán)之中。更為嚴(yán)峻的是，傳統(tǒng)的僅針對(duì)終端設(shè)備的防病毒解決方案并不能應(yīng)對(duì)當(dāng)前變化多端的web應(yīng)用安全威脅。

作為個(gè)人用戶來說，應(yīng)該本身對(duì)網(wǎng)絡(luò)安全防范的加深和正確認(rèn)識(shí)，不斷提高自身的計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用技術(shù)水平加固計(jì)算機(jī)的安全，以及努力克服自己的好奇心，消除貪圖小便宜的心理，規(guī)范自己的網(wǎng)絡(luò)操作行為，來緩解決web應(yīng)用安全問題日趨嚴(yán)重的趨勢(shì)。

對(duì)于企業(yè)用戶，針對(duì)Web應(yīng)用的安全產(chǎn)品，可以分為網(wǎng)絡(luò)、Web服務(wù)器自身以及程序安全三方面。在網(wǎng)絡(luò)方面，可以考慮將防火墻、IDS/IPS、安全網(wǎng)關(guān)、防病毒墻等產(chǎn)品部署在Web服務(wù)器前面，這樣可以防御大部分的攻擊。此外，可以通過部署更安全的Web服務(wù)器、Web服務(wù)器自身的保護(hù)系統(tǒng)，比如網(wǎng)頁防篡改保護(hù)系統(tǒng)（防篡改保護(hù)和恢復(fù)軟件）、惡意主動(dòng)防御系統(tǒng)、訪問控制系統(tǒng)、審計(jì)系統(tǒng)等產(chǎn)品，做到自動(dòng)掃描和監(jiān)控，從而保護(hù)系統(tǒng)和文件。

總之，Web應(yīng)用攻擊之所以與其他攻擊不同，是因?yàn)樗鼈兒茈y被發(fā)現(xiàn)，而且可能來自任何在線用戶，甚至是經(jīng)過驗(yàn)證的用戶。所以我們要做到“兩手抓、兩手都要硬”，用一句形象的比喻來說明：防火墻/入侵檢測(cè)系統(tǒng)/防病毒網(wǎng)關(guān)等如同金鐘罩鐵布衫等外功，防止明槍，而更重要的是需要修煉太極等內(nèi)功，彌補(bǔ)自身的漏洞，躲避暗箭，內(nèi)外兼修的效果將使您的企業(yè)縱橫江湖。

（11） 云計(jì)算環(huán)境安全風(fēng)險(xiǎn)

2014年，好萊塢爆發(fā)史上最嚴(yán)重的“裸照門”風(fēng)波！黑客利用蘋果手機(jī)iCloud云端漏洞，竊取影星、歌手和名模裸照，女星們?nèi)巳俗晕！?018年騰訊云故障等均說明云計(jì)算也存在大量安全風(fēng)險(xiǎn)。云計(jì)算主要使用的是虛擬化技術(shù)，面臨的常見攻擊有[5]：

? VM Hopping攻擊： 虛擬機(jī)訪問另外一臺(tái)虛擬機(jī)或宿主機(jī)。

? 虛擬機(jī)逃逸攻擊： 獲取Hypervisor訪問權(quán)限，控制其他虛擬機(jī)。

? 遠(yuǎn)程管理漏洞： XSS或SQL注入虛擬機(jī)的管理平臺(tái)。

? 拒絕服務(wù)攻擊： 宿主機(jī)資源緊張和系統(tǒng)崩潰。

在公有云的環(huán)境下，租戶可通過選配云計(jì)算供應(yīng)商在平臺(tái)中集成的安全模塊來對(duì)租戶擁有的各虛擬機(jī)進(jìn)行傳統(tǒng)安全防護(hù)[6]。

在私有云的環(huán)境下，企業(yè)IT管理者可通過購(gòu)置專業(yè)信息安全廠商提供的云安全平臺(tái)來對(duì)私有云平臺(tái)進(jìn)行傳統(tǒng)安全防護(hù)[7]。

4 結(jié)束語

大安全視角信息安全風(fēng)險(xiǎn)無處不在，對(duì)安全風(fēng)險(xiǎn)的防范應(yīng)做到對(duì)新威脅必須注重整體防御;通過大數(shù)據(jù)發(fā)現(xiàn)高級(jí)威脅;使用AI處理安全大數(shù)據(jù);從云+端+邊緣做到IoT安全[8]。只有真正做好了防范，才能實(shí)現(xiàn)一個(gè)理想的網(wǎng)絡(luò)安全狀態(tài)，即攻擊者進(jìn)不去;非授權(quán)者信息拿不到;竊密信息看不懂;系統(tǒng)信息改不了;系統(tǒng)工作癱不成;攻擊行為賴不掉[9]。

參考文獻(xiàn)：

[1] 陶群.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全與防護(hù)[J/OL].電子技術(shù)與軟件工程，2019（17）：196-197.

[2] 尹一兵.網(wǎng)絡(luò)通訊安全的重要性與技術(shù)維護(hù)措施[J/OL].電子技術(shù)與軟件工程，2019（17）：199-200.

[3] 吳崇斌，成星愷.勒索軟件發(fā)展現(xiàn)狀及應(yīng)對(duì)[J].通訊世界，2019，26（08）：111-112.

[4] 周龍，王晨，史崯.基于RNN的Webshell檢測(cè)研究[J/OL].計(jì)算機(jī)工程與應(yīng)用，2019（8）：1-7.

[5] 李珊，范超.基于大數(shù)據(jù)的計(jì)算機(jī)信息安全問題[J].技術(shù)與市場(chǎng)，2019，26（08）：134+136.

[6] 周子敬.大數(shù)據(jù)云計(jì)算下網(wǎng)絡(luò)安全技術(shù)實(shí)現(xiàn)的路徑研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（08）：5-7.

[7] 姜年昌.基于云計(jì)算環(huán)境的信息系統(tǒng)信息安全探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（08）：12-14.

[8] Subramanian Balaji，Eanoch Golden Julie，Yesudhas Harold Robinson，Raghvendra Kumar，Pham Huy Thong，Le Hoang Son. Design of a security-aware routing scheme in Mobile Ad-hoc Network using repeated game model[J]. Computer Standards & Interfaces，2019，66.

[9] Karel Durkota，Viliam Lis?，Branislav Bo?ansk?，Christopher Kiekintveld，Michal Pěchou?ek. Hardening networks against strategic attackers using attack graph games[J]. Computers & Security，2019.

【通聯(lián)編輯：代影】