基于“互聯(lián)網(wǎng)+”視閾下的信息安全防范

方浩宇 左柏瞬

摘? ?要：在“互聯(lián)網(wǎng)+”時(shí)代背景下，暴露在互聯(lián)網(wǎng)上的任何終端、服務(wù)器、云主機(jī)、路由器等設(shè)備設(shè)施，只要接入到互聯(lián)網(wǎng)必將面臨來自外部網(wǎng)絡(luò)環(huán)境的各種安全威脅。網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)病毒泛濫、網(wǎng)絡(luò)爬蟲風(fēng)險(xiǎn)和網(wǎng)絡(luò)業(yè)務(wù)需求，悄然構(gòu)成了對(duì)信息安全防范的迫切需要。文章對(duì)現(xiàn)有網(wǎng)絡(luò)安全威脅以及表現(xiàn)形式客觀分析，就加強(qiáng)信息安全應(yīng)對(duì)防范措施做了討論探析，并描述了本研究領(lǐng)域前沿發(fā)展趨勢(shì)。

關(guān)鍵詞：“互聯(lián)網(wǎng)+”;信息安全;防范措施

1? ? “互聯(lián)網(wǎng)+”的時(shí)代來臨

“互聯(lián)網(wǎng)+”作為創(chuàng)新2.0下互聯(lián)網(wǎng)發(fā)展的新形態(tài)，是互聯(lián)網(wǎng)思維的進(jìn)一步實(shí)踐成果，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于經(jīng)濟(jì)、社會(huì)各域之中[1]。在“互聯(lián)網(wǎng)+”的時(shí)代背景下，人們對(duì)網(wǎng)絡(luò)依賴性日益增強(qiáng)的同時(shí)，面臨的信息安全威脅也日趨多樣。研究“互聯(lián)網(wǎng)+”視閾下信息安全防范，尋找切實(shí)可行的手段保護(hù)信息的保密性、完整性、可用性、可控性和不可否認(rèn)性已迫在眉睫。

2? ? “互聯(lián)網(wǎng)+”視閾下信息安全威脅現(xiàn)狀

信息及信息系統(tǒng)由于具備脆弱性、敏感性、機(jī)密性、可傳播等多種特性，其遭受到的威脅來自各種場(chǎng)景和手段，主要有惡意代碼攻擊、通信過程被劫持、個(gè)人信息泄露以及DDoS攻擊等。

2.1? 信息安全威脅事件

（1）惡意代碼攻擊。2017年5月12日晚8時(shí)左右，Wanna Cry勒索病毒全球爆發(fā)，存在漏洞的電腦開機(jī)上網(wǎng)就可被攻擊。

（2）通信過程被劫持。2017年國(guó)內(nèi)多款軟件升級(jí)更新時(shí)，遭遇網(wǎng)絡(luò)流量劫持攻擊，用戶認(rèn)為在升級(jí)，實(shí)際卻把病毒安裝到電腦上。

（3）個(gè)人信息泄露。電信網(wǎng)絡(luò)詐騙案件90%以上是違法分子靠掌握公民詳細(xì)信息進(jìn)行的精準(zhǔn)詐騙。

（4）DDoS攻擊。2016年11月10日，俄羅斯5家主流大型銀行遭遇到長(zhǎng)達(dá)兩天的DDoS攻擊事件。2015年2月，人氣網(wǎng)游《最終幻象XIV》遭遇到長(zhǎng)達(dá)3 h的DDoS攻擊。

2.2? 安全攻擊事件的演變

信息安全攻擊事件隨著發(fā)展不斷演變。攻擊目的多樣化，攻擊的目標(biāo)從個(gè)人電腦攻擊到經(jīng)濟(jì)、政治、戰(zhàn)爭(zhēng)、能源，甚至影響著世界格局;攻擊的手段復(fù)雜化，一次重大攻擊往往需要精密部署、長(zhǎng)期潛伏，以及多種攻擊手段相結(jié)合以達(dá)到最終目的;攻擊方式變化小，攻擊的方式仍然是常見的病毒、漏洞、釣魚等，看起來似乎形式并無太大變化。

2.3? 信息安全威脅的分類

信息安全威脅可分為3個(gè)類別：網(wǎng)絡(luò)安全威脅、應(yīng)用安全威脅、數(shù)據(jù)傳輸與終端安全威脅。網(wǎng)絡(luò)安全威脅包括DDoS攻擊、網(wǎng)絡(luò)入侵等。應(yīng)用安全威脅包括操作系統(tǒng)漏洞、病毒、木馬、蠕蟲，釣魚網(wǎng)站數(shù)據(jù)泄露等。數(shù)據(jù)傳輸與終端安全威脅包括通信流量劫持、中間人攻擊、未授權(quán)身份人員登錄系統(tǒng)和無線網(wǎng)絡(luò)安全薄弱等。

3? ? ?“互聯(lián)網(wǎng)+”視閾下信息安全面臨的威脅分析

3.1? 網(wǎng)絡(luò)安全威脅分析

2016年10月，美國(guó)DynDNS服務(wù)器遭受DDoS攻擊，近半個(gè)美國(guó)陷入斷網(wǎng)。此次大規(guī)模DDoS攻擊是由物聯(lián)網(wǎng)設(shè)備組成的僵尸網(wǎng)絡(luò)設(shè)備感染Mirai惡意病毒所致。

攻擊的“肉雞”主要是網(wǎng)絡(luò)攝像機(jī)、數(shù)字硬盤錄像機(jī)和智能路由器。Mirai僵尸網(wǎng)絡(luò)感染設(shè)備高達(dá)百萬個(gè)，此次攻擊僅有10%的設(shè)備參與。目前，互聯(lián)網(wǎng)中存在著大量的僵尸主機(jī)和僵尸網(wǎng)絡(luò)，在商業(yè)利益的驅(qū)動(dòng)下，DDoS攻擊已經(jīng)成為互聯(lián)網(wǎng)面臨的重要安全威脅。Mirai病毒發(fā)動(dòng)攻擊的過程如圖1所示。

（1）尋找“肉雞”。物聯(lián)網(wǎng)設(shè)備通常默認(rèn)開啟telnet遠(yuǎn)程登錄功能，方便管理員進(jìn)行遠(yuǎn)程管理。攻擊者可以通過IP地址掃描來發(fā)現(xiàn)存活的物聯(lián)網(wǎng)設(shè)備，通過端口掃描來進(jìn)一步判斷物聯(lián)網(wǎng)設(shè)備是否開啟telnet服務(wù)。

（2）組建僵尸網(wǎng)絡(luò)。部分物聯(lián)網(wǎng)設(shè)備使用者，會(huì)直接使用出廠密碼或較為簡(jiǎn)單的密碼，很容易被攻擊者暴力破解。當(dāng)攻擊者成功破解物聯(lián)網(wǎng)設(shè)備的密碼，并通過telnet登錄成功后，接著在物聯(lián)網(wǎng)設(shè)備上進(jìn)行遠(yuǎn)程植入惡意軟件Mirai，從而獲得設(shè)備的絕對(duì)控制權(quán)。獲得絕對(duì)控制權(quán)，除了利用設(shè)備發(fā)起DDoS攻擊以外，還能夠?qū)υO(shè)備本身的系統(tǒng)、業(yè)務(wù)、數(shù)據(jù)造成嚴(yán)重危害，并可能以此作為跳板攻擊核心業(yè)務(wù)系統(tǒng)。

（3）加載攻擊模塊。攻擊者在物聯(lián)網(wǎng)設(shè)備上加載NDS DDoS攻擊模塊。

（4）發(fā)起攻擊。攻擊者通過僵尸網(wǎng)絡(luò)向美國(guó)Dyn DNS服務(wù)發(fā)起DDoS攻擊，導(dǎo)致上百萬家網(wǎng)站無法訪問[2]。

關(guān)于Mirai病毒攻擊過程的分析：首先，掃描是一種潛在的攻擊行為，本身并不具有直接的破壞行為，通常是攻擊者發(fā)動(dòng)真正攻擊前的網(wǎng)絡(luò)探測(cè)行為，分為地址掃描和端口掃描。地址掃描是攻擊者運(yùn)用ICMP報(bào)文探測(cè)目標(biāo)地址，或者使用TCP/UCP報(bào)文對(duì)一定地址發(fā)起連接，通過判斷是否有應(yīng)答報(bào)文，以確定哪些目標(biāo)系統(tǒng)確實(shí)存在并且連接在目標(biāo)網(wǎng)絡(luò)上;端口掃描是攻擊者通過對(duì)端口進(jìn)行掃描探尋被攻擊對(duì)象目前開放的端口，以確定攻擊方式。在端口掃描攻擊中，攻擊者通常使用PortScan攻擊軟件，發(fā)起一系列TCP/UDP連接，根據(jù)應(yīng)答報(bào)文判斷主機(jī)是否使用這些端口提供服務(wù)。其次，欺騙攻擊以獲取控制權(quán)限，攻擊者可以通過密碼暴力破解方式獲取控制權(quán)，也可以通過各種欺騙攻擊來獲取訪問和控制權(quán)限，如IP欺騙攻擊，其指攻擊者通過向目標(biāo)主機(jī)發(fā)送源IP地址偽造的報(bào)文，欺騙目標(biāo)主機(jī)，從而獲取更高的訪問和控制權(quán)限。IP欺騙攻擊是利用了主機(jī)之間的正常信任關(guān)系來發(fā)動(dòng)的?；贗P地址的信任關(guān)系的主機(jī)之間將允許IP地址為基礎(chǔ)的驗(yàn)證，允許或者拒絕以IP地址為基礎(chǔ)的存取服務(wù)。信任主機(jī)之間無需輸入口令驗(yàn)證就可以直接登錄。最后，DDoS攻擊是指攻擊者通過各種手段，取得了網(wǎng)絡(luò)上大量在線主機(jī)的控制權(quán)限，如圖2所示。被控制的主機(jī)稱為僵尸主機(jī)，攻擊者和僵尸主機(jī)構(gòu)成的網(wǎng)絡(luò)稱為僵尸網(wǎng)絡(luò)。當(dāng)被攻擊目標(biāo)確定后，攻擊者控制僵尸主機(jī)向被攻擊目標(biāo)發(fā)送大量精心構(gòu)造的攻擊報(bào)文，造成被攻擊者所在網(wǎng)絡(luò)的鏈路擁塞、系統(tǒng)資源耗盡，從而使被攻擊者產(chǎn)生拒絕正常用戶的請(qǐng)求服務(wù)的效果[3]。

圖2? DDOS攻擊

根據(jù)采用的攻擊報(bào)文類型的不同，網(wǎng)絡(luò)中目前存在多種DDoS攻擊類型，幾種常見的DDoS攻擊主要有SYN Flood，UDPFlood，HTTP Flood，HTTPS Flood，DNS Flood等。

3.2? 應(yīng)用安全威脅

漏洞帶來的威脅。漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。如果不及時(shí)對(duì)系統(tǒng)的漏洞進(jìn)行修復(fù)，將會(huì)帶來注入攻擊、跨站腳本攻擊、惡意代碼傳播、數(shù)據(jù)泄露等。

3.3? 通信過程中的威脅

通信過程中存在傳輸安全隱患和終端安全隱患。如中間人攻擊和數(shù)據(jù)傳輸未加密或加密程度不夠?qū)儆趥鬏敯踩[患;終端安全隱患包括服務(wù)器存在漏洞、用戶使用弱口令以及用戶身份未經(jīng)驗(yàn)證等[4]。

（1）中間人攻擊是一種“間接”的入侵攻擊，其通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中的兩臺(tái)通信計(jì)算機(jī)之間，該計(jì)算機(jī)被稱為“中間人”。中間人攻擊會(huì)造成信息被篡改、竊取。

（2）信息未加密或加密強(qiáng)度不夠。信息未加密固然安全性會(huì)有問題，但即便數(shù)據(jù)已加密，信息也可能會(huì)被盜取和破壞。所以在信息存儲(chǔ)、傳輸時(shí)必須加密，并且加強(qiáng)加密算法。

（3）身份認(rèn)證攻擊。攻擊者通過一定手段獲取身份認(rèn)證信息，進(jìn)而通過該身份信息盜取敏感信息或者達(dá)到某些非法目的的過程，是整個(gè)攻擊事件中常見的攻擊環(huán)節(jié)。

4? ? ?“互聯(lián)網(wǎng)+”視閾下信息安全的防范措施

網(wǎng)絡(luò)攻擊和防御是一個(gè)此消彼長(zhǎng)的過程。隨著互聯(lián)網(wǎng)的應(yīng)用的不斷升級(jí)，網(wǎng)絡(luò)不法分子由于某些目的不斷提升自己的技能，同時(shí)國(guó)家以及一些專業(yè)組織也不斷探索對(duì)網(wǎng)絡(luò)不法分子的安全防御工作，推動(dòng)安全防御技術(shù)和手段的提升。

4.1? 網(wǎng)絡(luò)攻擊的防御手段

采用專業(yè)設(shè)備防護(hù)，包括防火墻、流量清洗、入侵檢測(cè)和入侵防御設(shè)備等。防火墻是通過在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡(luò)的內(nèi)網(wǎng)出口處部署防火墻，可以防范各種常見的DDoS攻擊，而且還可以對(duì)傳統(tǒng)單包攻擊進(jìn)行有效的防范。流量清洗設(shè)備是指面對(duì)運(yùn)營(yíng)商、企業(yè)、數(shù)據(jù)中心、門戶網(wǎng)站、在線游戲、在線視頻、DNS域名服務(wù)器等提供專業(yè)DDoS攻擊防護(hù)。

4.2? 應(yīng)用類攻擊的防御手段

定期采用專業(yè)工具對(duì)系統(tǒng)或個(gè)人電腦進(jìn)行漏洞掃描和恢復(fù)，可以在一定程度上避免病毒入侵和感染。利用專業(yè)設(shè)備（如防火墻、殺毒軟件等）對(duì)用戶的上網(wǎng)行為、網(wǎng)頁(yè)及郵件病毒、非法應(yīng)用程序等進(jìn)行阻斷，從而達(dá)到保護(hù)內(nèi)網(wǎng)的作用。增強(qiáng)安全意識(shí)，可以對(duì)網(wǎng)站、鏈接以及流氓軟件時(shí)刻保持警覺[5]。

4.3? 數(shù)據(jù)傳輸與終端安全防御手段

在信息存儲(chǔ)、傳輸時(shí)加密，甚至采用強(qiáng)加密算法，降低多密碼間關(guān)聯(lián)性，安裝正版殺毒軟件。使用終端監(jiān)控管理系統(tǒng)，提升終端、存儲(chǔ)以及用戶的監(jiān)控能力。建立密碼管理機(jī)制、經(jīng)常更換密碼等。

5? ? 信息安全的發(fā)展趨勢(shì)

5.1? 安全服務(wù)化

安全防御方案可能不是一個(gè)甚至多個(gè)設(shè)備構(gòu)成的，安全防御與分析完全在遠(yuǎn)程或云端。用戶訪問網(wǎng)絡(luò)的流量全部通過代理的方式引導(dǎo)至安全廠商的數(shù)據(jù)中心，在數(shù)據(jù)中心進(jìn)行分析、過濾、清洗。安全防御不再是設(shè)備，而是遠(yuǎn)程服務(wù)?？蛻糁恍枰渲靡粋€(gè)安全服務(wù)器的地址即可，管理檢測(cè)與相應(yīng)、云訪問安全代理都屬于這類安全服務(wù)。

5.2? 終端檢測(cè)重要性日益凸顯

在企業(yè)內(nèi)部，單純的終端殺毒軟件最終會(huì)演進(jìn)成為分布式監(jiān)控與集中化分析的構(gòu)架像EDR方向演進(jìn)，統(tǒng)一分析企業(yè)內(nèi)部全部主機(jī)中進(jìn)程的行為、上下文信息，有助于更加高效地發(fā)現(xiàn)潛在威脅。

終端的安全檢測(cè)能力日益受到傳統(tǒng)網(wǎng)絡(luò)安全廠商的重視。以前，終端安全與網(wǎng)絡(luò)安全是分離的兩個(gè)陣營(yíng)，終端殺毒廠商專心檢查終端中的文件，網(wǎng)絡(luò)安全廠商只關(guān)注網(wǎng)絡(luò)流量，現(xiàn)在，雙方功能在相互融合。尤其是終端安全軟件與網(wǎng)絡(luò)防御設(shè)備的聯(lián)動(dòng)，將流量中的惡意部分直接與終端中的進(jìn)程、文件建立聯(lián)系，做到了精確地威脅溯源，終端中的安全軟件會(huì)更加密切地與進(jìn)程配合。

5.3? 流量管理由IP向應(yīng)用演進(jìn)

通過微分段與容器安全可以看出，在云化時(shí)代主機(jī)概念被弱化，服務(wù)概念被強(qiáng)化，所以流量的管理也要做到應(yīng)用級(jí)別、容器級(jí)別。運(yùn)維人員看到的網(wǎng)絡(luò)拓?fù)鋱D不再是主機(jī)之間的，而是服務(wù)器與服務(wù)器之間、服務(wù)器與客戶端之間。用戶也會(huì)更好地應(yīng)用安全檢查，及時(shí)發(fā)現(xiàn)云數(shù)據(jù)中心異常的通信路徑，找到潛在的威脅。

5.4? 軟件定義安全防御方案

未來的安全也會(huì)SDN化，即軟件定義安全。全部檢查設(shè)備都會(huì)演進(jìn)成軟件形態(tài)，運(yùn)行在容器或者虛擬主機(jī)中。運(yùn)維人員能夠方便地改變不同應(yīng)用數(shù)據(jù)流的檢查過程，例如有些應(yīng)用數(shù)據(jù)流需要經(jīng)過WAF檢查，有些應(yīng)用的數(shù)據(jù)流需要經(jīng)過病毒掃描或者IPS檢查，這種改變是根據(jù)流量與進(jìn)程行為的分析而智能實(shí)現(xiàn)的。

[參考文獻(xiàn)]

[1]百度百科.互聯(lián)網(wǎng)+[EB/OL].（2019-04-12）[2020-02-10].https：//baike.baidu.com/item/%E4%BA%92%E8%81%94%E7%BD%91%2B.

[2]NONAME.Gartner十大信息安全技術(shù)解析[C].Washington：Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)，2016.

[3]鄧吉，劉靖.黑客攻防實(shí)戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2017.

[4]MATT B.計(jì)算機(jī)安全學(xué)—安全的藝術(shù)與科學(xué)[M].王立斌，黃征，譯.北京：電子工業(yè)出版社，2015.

[5]MARK S.信息安全原理與實(shí)踐[M].2版.張戈，譯.北京：清華大學(xué)出版社，2013.