賀軍 漢江水利水電（集團）有限責任公司網(wǎng)信中心

習近平主席在《中央網(wǎng)絡安全和信息化領導小組第一次會議上的講話》中指出：“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化?！笨梢钥闯鰢覍W(wǎng)絡安全的高度重視。那什么是網(wǎng)絡安全？絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。

當前信息化技術日新月異，各種硬件、軟件成出不窮，各種應用系統(tǒng)也在我們的工作和生活中發(fā)揮了巨大的作用。比如：在平時辦公中使用比較多的ERP 系統(tǒng)、OA 系統(tǒng)等大型應用；在平時生活中使用比較多的某寶、某信等社交軟件。這些應用系統(tǒng)后端都是由各種硬件、軟件組成。如果受害者在平時的工作和生活中安全意識不高，那么被黑客利用或遭受網(wǎng)絡攻擊的風險就會加大。這樣的網(wǎng)絡攻擊會因為受害者接觸到的數(shù)據(jù)重要性的高低而產(chǎn)生不同的危害。如果受害者是一位高級管理人員，那么勢必會對你的工作和生活帶來極大的危害。

俗話說：“知己知彼，百戰(zhàn)不殆”。為了提高網(wǎng)絡安全意識，降低硬件、軟件的安全風險。我們有必要了解黑客進行網(wǎng)絡攻擊的全過程。筆者根據(jù)多年進行網(wǎng)絡攻防的工作經(jīng)驗和相關資料的學習發(fā)現(xiàn)，攻擊者在確定網(wǎng)絡攻擊目標后，大部分都有以下幾個攻擊階段：信息的收集階段；漏洞利用階段；數(shù)據(jù)竊取階段；后期利用階段；社會工程學階段；橫向擴展階段。由于社會工程學攻擊涵蓋的范圍和攻擊手段更加的隱蔽，不是本次網(wǎng)絡攻擊需要討論的方向，因此，社會工程學攻擊不在這里展開。

在信息的收集階段，攻擊者主要通過互聯(lián)網(wǎng)上的網(wǎng)站、外網(wǎng)掛載的資料、論壇等相關內(nèi)容，分析攻擊目標的網(wǎng)絡結(jié)構、單位組織架構、供應商和客戶群體，服務提供商等信息。主要是為了獲取大量的信息為后期的網(wǎng)絡攻擊做準備。例如：通過某單位的外網(wǎng)域名解析信息，發(fā)現(xiàn)域名解析的地址是內(nèi)網(wǎng)私有地址。雖然這樣的解析方式能夠方便平時內(nèi)部員工的上網(wǎng)需求，但是在域名解析都轉(zhuǎn)發(fā)給了公網(wǎng)域名服務器后，內(nèi)網(wǎng)的IP 地址就完全暴露。如果攻擊者攻入內(nèi)網(wǎng)，這個內(nèi)網(wǎng)的IP 地址就成為橫向擴展和掃描的方向和目標。另一方面，針對部署在公網(wǎng)的服務器和應用的信息收集也是非常危險的。這部分收集主要是查找部署在公網(wǎng)服務器、防火墻、VPN、郵件網(wǎng)關等設備的漏洞。如果存在已知高危或0day 漏洞，那么被黑客入侵成功的可能性也就大大提高。因此，平時養(yǎng)成良好的工作習慣，及時更新部署在公網(wǎng)系統(tǒng)、數(shù)據(jù)庫、web 的漏洞補丁是非常有必要的。

在漏洞利用階段，攻擊者大部分都已經(jīng)發(fā)現(xiàn)了重大的安全隱患，并且已經(jīng)能夠通過利用該安全隱患進行相應的網(wǎng)絡攻擊。比如：比較常見的windows 系統(tǒng)安全漏洞MS17-010。如果攻擊者發(fā)現(xiàn)某臺服務器上存在這個安全漏洞，那么就可以直接利用這個漏洞控制目標服務器，并能在這臺服務器上進行提權、數(shù)據(jù)收集、網(wǎng)絡架構分析、密碼獲取等操作。因此，建議能夠在系統(tǒng)部署前期進行安全基線檢查和配置，并安裝正版防火墻和殺毒軟件升級系統(tǒng)補丁。雖然系統(tǒng)層面的漏洞可以通過系統(tǒng)升級到很好解決，但是比較難以防范的漏洞主要還是SQL 注入和WEB 程序等發(fā)生在應用層面上的漏洞。這種情況的漏洞還是建議有條件的公司在應用系統(tǒng)部署前進行相應的代碼審計或者購買部署WAF 防火墻。

在入侵成功后的數(shù)據(jù)竊取階段，主要是為了獲得網(wǎng)絡攻擊目標的核心數(shù)據(jù)。如果當前已經(jīng)攻入目標系統(tǒng)，那需要做的可能就是竊取核心數(shù)據(jù)，并下載到本地。如果攻擊的是邊緣系統(tǒng)，很可能下一步就是橫向擴展繼續(xù)攻擊，或者建立后門或隧道。針對橫向擴展最為有效的防護方法就是安裝防火墻和綁定MAC 地址；針對后門或隧道的攻擊最為有效的防護方法就是梳理本單位應用系統(tǒng)業(yè)務服務端口情況和業(yè)務邏輯流向，并結(jié)合梳理的應用系統(tǒng)邏輯架構和部署在每個服務器上的（防病毒、防網(wǎng)絡攻擊、防入侵、檢查安全基線的一體化）虛擬防護平臺，對網(wǎng)絡流量進行嚴格管控。

在后期利用階段，主要是為了隱蔽攻擊者的攻擊過程，并在需要使用的時候進行僵尸服務器的喚醒，同時利用僵尸服務器進行其他攻擊。為了應對這個階段的攻擊，最為有效的防護方式就是除了在服務器上安裝正版殺毒、防火墻、虛擬防護軟件以外，部署全網(wǎng)絡的日志審計系統(tǒng)，對核心網(wǎng)絡的日志進行相應的分析，并與防火墻聯(lián)動，進行異常流量的自動阻斷操作。

通過以上網(wǎng)絡安全攻防的簡單技術分析，相信您會發(fā)現(xiàn)網(wǎng)絡攻擊套路和防護方法是可防可控的。作為一個信息化工作的從業(yè)人員，我們有義務維護整個網(wǎng)絡的安全穩(wěn)定運行，只有加強網(wǎng)絡安全意識、提高網(wǎng)絡防范能力、保護網(wǎng)絡安全運行、降低網(wǎng)絡安全風險，才能讓我們的網(wǎng)絡更加穩(wěn)定、數(shù)據(jù)更加安全。