方浩宇 左柏瞬

摘? ?要：在“互聯(lián)網(wǎng)+”時代背景下，暴露在互聯(lián)網(wǎng)上的任何終端、服務器、云主機、路由器等設備設施，只要接入到互聯(lián)網(wǎng)必將面臨來自外部網(wǎng)絡環(huán)境的各種安全威脅。網(wǎng)絡黑客攻擊、網(wǎng)絡病毒泛濫、網(wǎng)絡爬蟲風險和網(wǎng)絡業(yè)務需求，悄然構(gòu)成了對信息安全防范的迫切需要。文章對現(xiàn)有網(wǎng)絡安全威脅以及表現(xiàn)形式客觀分析，就加強信息安全應對防范措施做了討論探析，并描述了本研究領域前沿發(fā)展趨勢。

關鍵詞：“互聯(lián)網(wǎng)+”;信息安全;防范措施

1? ? “互聯(lián)網(wǎng)+”的時代來臨

“互聯(lián)網(wǎng)+”作為創(chuàng)新2.0下互聯(lián)網(wǎng)發(fā)展的新形態(tài)，是互聯(lián)網(wǎng)思維的進一步實踐成果，將互聯(lián)網(wǎng)的創(chuàng)新成果深度融合于經(jīng)濟、社會各域之中[1]。在“互聯(lián)網(wǎng)+”的時代背景下，人們對網(wǎng)絡依賴性日益增強的同時，面臨的信息安全威脅也日趨多樣。研究“互聯(lián)網(wǎng)+”視閾下信息安全防范，尋找切實可行的手段保護信息的保密性、完整性、可用性、可控性和不可否認性已迫在眉睫。

2? ? “互聯(lián)網(wǎng)+”視閾下信息安全威脅現(xiàn)狀

信息及信息系統(tǒng)由于具備脆弱性、敏感性、機密性、可傳播等多種特性，其遭受到的威脅來自各種場景和手段，主要有惡意代碼攻擊、通信過程被劫持、個人信息泄露以及DDoS攻擊等。

2.1? 信息安全威脅事件

（1）惡意代碼攻擊。2017年5月12日晚8時左右，Wanna Cry勒索病毒全球爆發(fā)，存在漏洞的電腦開機上網(wǎng)就可被攻擊。

（2）通信過程被劫持。2017年國內(nèi)多款軟件升級更新時，遭遇網(wǎng)絡流量劫持攻擊，用戶認為在升級，實際卻把病毒安裝到電腦上。

（3）個人信息泄露。電信網(wǎng)絡詐騙案件90%以上是違法分子靠掌握公民詳細信息進行的精準詐騙。

（4）DDoS攻擊。2016年11月10日，俄羅斯5家主流大型銀行遭遇到長達兩天的DDoS攻擊事件。2015年2月，人氣網(wǎng)游《最終幻象XIV》遭遇到長達3 h的DDoS攻擊。

2.2? 安全攻擊事件的演變

信息安全攻擊事件隨著發(fā)展不斷演變。攻擊目的多樣化，攻擊的目標從個人電腦攻擊到經(jīng)濟、政治、戰(zhàn)爭、能源，甚至影響著世界格局;攻擊的手段復雜化，一次重大攻擊往往需要精密部署、長期潛伏，以及多種攻擊手段相結(jié)合以達到最終目的;攻擊方式變化小，攻擊的方式仍然是常見的病毒、漏洞、釣魚等，看起來似乎形式并無太大變化。

2.3? 信息安全威脅的分類

信息安全威脅可分為3個類別：網(wǎng)絡安全威脅、應用安全威脅、數(shù)據(jù)傳輸與終端安全威脅。網(wǎng)絡安全威脅包括DDoS攻擊、網(wǎng)絡入侵等。應用安全威脅包括操作系統(tǒng)漏洞、病毒、木馬、蠕蟲，釣魚網(wǎng)站數(shù)據(jù)泄露等。數(shù)據(jù)傳輸與終端安全威脅包括通信流量劫持、中間人攻擊、未授權(quán)身份人員登錄系統(tǒng)和無線網(wǎng)絡安全薄弱等。

3? ? ?“互聯(lián)網(wǎng)+”視閾下信息安全面臨的威脅分析

3.1? 網(wǎng)絡安全威脅分析

2016年10月，美國DynDNS服務器遭受DDoS攻擊，近半個美國陷入斷網(wǎng)。此次大規(guī)模DDoS攻擊是由物聯(lián)網(wǎng)設備組成的僵尸網(wǎng)絡設備感染Mirai惡意病毒所致。

攻擊的“肉雞”主要是網(wǎng)絡攝像機、數(shù)字硬盤錄像機和智能路由器。Mirai僵尸網(wǎng)絡感染設備高達百萬個，此次攻擊僅有10%的設備參與。目前，互聯(lián)網(wǎng)中存在著大量的僵尸主機和僵尸網(wǎng)絡，在商業(yè)利益的驅(qū)動下，DDoS攻擊已經(jīng)成為互聯(lián)網(wǎng)面臨的重要安全威脅。Mirai病毒發(fā)動攻擊的過程如圖1所示。

（1）尋找“肉雞”。物聯(lián)網(wǎng)設備通常默認開啟telnet遠程登錄功能，方便管理員進行遠程管理。攻擊者可以通過IP地址掃描來發(fā)現(xiàn)存活的物聯(lián)網(wǎng)設備，通過端口掃描來進一步判斷物聯(lián)網(wǎng)設備是否開啟telnet服務。

（2）組建僵尸網(wǎng)絡。部分物聯(lián)網(wǎng)設備使用者，會直接使用出廠密碼或較為簡單的密碼，很容易被攻擊者暴力破解。當攻擊者成功破解物聯(lián)網(wǎng)設備的密碼，并通過telnet登錄成功后，接著在物聯(lián)網(wǎng)設備上進行遠程植入惡意軟件Mirai，從而獲得設備的絕對控制權(quán)。獲得絕對控制權(quán)，除了利用設備發(fā)起DDoS攻擊以外，還能夠?qū)υO備本身的系統(tǒng)、業(yè)務、數(shù)據(jù)造成嚴重危害，并可能以此作為跳板攻擊核心業(yè)務系統(tǒng)。

（3）加載攻擊模塊。攻擊者在物聯(lián)網(wǎng)設備上加載NDS DDoS攻擊模塊。

（4）發(fā)起攻擊。攻擊者通過僵尸網(wǎng)絡向美國Dyn DNS服務發(fā)起DDoS攻擊，導致上百萬家網(wǎng)站無法訪問[2]。

關于Mirai病毒攻擊過程的分析：首先，掃描是一種潛在的攻擊行為，本身并不具有直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡探測行為，分為地址掃描和端口掃描。地址掃描是攻擊者運用ICMP報文探測目標地址，或者使用TCP/UCP報文對一定地址發(fā)起連接，通過判斷是否有應答報文，以確定哪些目標系統(tǒng)確實存在并且連接在目標網(wǎng)絡上;端口掃描是攻擊者通過對端口進行掃描探尋被攻擊對象目前開放的端口，以確定攻擊方式。在端口掃描攻擊中，攻擊者通常使用PortScan攻擊軟件，發(fā)起一系列TCP/UDP連接，根據(jù)應答報文判斷主機是否使用這些端口提供服務。其次，欺騙攻擊以獲取控制權(quán)限，攻擊者可以通過密碼暴力破解方式獲取控制權(quán)，也可以通過各種欺騙攻擊來獲取訪問和控制權(quán)限，如IP欺騙攻擊，其指攻擊者通過向目標主機發(fā)送源IP地址偽造的報文，欺騙目標主機，從而獲取更高的訪問和控制權(quán)限。IP欺騙攻擊是利用了主機之間的正常信任關系來發(fā)動的?；贗P地址的信任關系的主機之間將允許IP地址為基礎的驗證，允許或者拒絕以IP地址為基礎的存取服務。信任主機之間無需輸入口令驗證就可以直接登錄。最后，DDoS攻擊是指攻擊者通過各種手段，取得了網(wǎng)絡上大量在線主機的控制權(quán)限，如圖2所示。被控制的主機稱為僵尸主機，攻擊者和僵尸主機構(gòu)成的網(wǎng)絡稱為僵尸網(wǎng)絡。當被攻擊目標確定后，攻擊者控制僵尸主機向被攻擊目標發(fā)送大量精心構(gòu)造的攻擊報文，造成被攻擊者所在網(wǎng)絡的鏈路擁塞、系統(tǒng)資源耗盡，從而使被攻擊者產(chǎn)生拒絕正常用戶的請求服務的效果[3]。

圖2? DDOS攻擊

根據(jù)采用的攻擊報文類型的不同，網(wǎng)絡中目前存在多種DDoS攻擊類型，幾種常見的DDoS攻擊主要有SYN Flood，UDPFlood，HTTP Flood，HTTPS Flood，DNS Flood等。

3.2? 應用安全威脅

漏洞帶來的威脅。漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。如果不及時對系統(tǒng)的漏洞進行修復，將會帶來注入攻擊、跨站腳本攻擊、惡意代碼傳播、數(shù)據(jù)泄露等。

3.3? 通信過程中的威脅

通信過程中存在傳輸安全隱患和終端安全隱患。如中間人攻擊和數(shù)據(jù)傳輸未加密或加密程度不夠?qū)儆趥鬏敯踩[患;終端安全隱患包括服務器存在漏洞、用戶使用弱口令以及用戶身份未經(jīng)驗證等[4]。

（1）中間人攻擊是一種“間接”的入侵攻擊，其通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，該計算機被稱為“中間人”。中間人攻擊會造成信息被篡改、竊取。

（2）信息未加密或加密強度不夠。信息未加密固然安全性會有問題，但即便數(shù)據(jù)已加密，信息也可能會被盜取和破壞。所以在信息存儲、傳輸時必須加密，并且加強加密算法。

（3）身份認證攻擊。攻擊者通過一定手段獲取身份認證信息，進而通過該身份信息盜取敏感信息或者達到某些非法目的的過程，是整個攻擊事件中常見的攻擊環(huán)節(jié)。

4? ? ?“互聯(lián)網(wǎng)+”視閾下信息安全的防范措施

網(wǎng)絡攻擊和防御是一個此消彼長的過程。隨著互聯(lián)網(wǎng)的應用的不斷升級，網(wǎng)絡不法分子由于某些目的不斷提升自己的技能，同時國家以及一些專業(yè)組織也不斷探索對網(wǎng)絡不法分子的安全防御工作，推動安全防御技術(shù)和手段的提升。

4.1? 網(wǎng)絡攻擊的防御手段

采用專業(yè)設備防護，包括防火墻、流量清洗、入侵檢測和入侵防御設備等。防火墻是通過在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡的內(nèi)網(wǎng)出口處部署防火墻，可以防范各種常見的DDoS攻擊，而且還可以對傳統(tǒng)單包攻擊進行有效的防范。流量清洗設備是指面對運營商、企業(yè)、數(shù)據(jù)中心、門戶網(wǎng)站、在線游戲、在線視頻、DNS域名服務器等提供專業(yè)DDoS攻擊防護。

4.2? 應用類攻擊的防御手段

定期采用專業(yè)工具對系統(tǒng)或個人電腦進行漏洞掃描和恢復，可以在一定程度上避免病毒入侵和感染。利用專業(yè)設備（如防火墻、殺毒軟件等）對用戶的上網(wǎng)行為、網(wǎng)頁及郵件病毒、非法應用程序等進行阻斷，從而達到保護內(nèi)網(wǎng)的作用。增強安全意識，可以對網(wǎng)站、鏈接以及流氓軟件時刻保持警覺[5]。

4.3? 數(shù)據(jù)傳輸與終端安全防御手段

在信息存儲、傳輸時加密，甚至采用強加密算法，降低多密碼間關聯(lián)性，安裝正版殺毒軟件。使用終端監(jiān)控管理系統(tǒng)，提升終端、存儲以及用戶的監(jiān)控能力。建立密碼管理機制、經(jīng)常更換密碼等。

5? ? 信息安全的發(fā)展趨勢

5.1? 安全服務化

安全防御方案可能不是一個甚至多個設備構(gòu)成的，安全防御與分析完全在遠程或云端。用戶訪問網(wǎng)絡的流量全部通過代理的方式引導至安全廠商的數(shù)據(jù)中心，在數(shù)據(jù)中心進行分析、過濾、清洗。安全防御不再是設備，而是遠程服務?？蛻糁恍枰渲靡粋€安全服務器的地址即可，管理檢測與相應、云訪問安全代理都屬于這類安全服務。

5.2? 終端檢測重要性日益凸顯

在企業(yè)內(nèi)部，單純的終端殺毒軟件最終會演進成為分布式監(jiān)控與集中化分析的構(gòu)架像EDR方向演進，統(tǒng)一分析企業(yè)內(nèi)部全部主機中進程的行為、上下文信息，有助于更加高效地發(fā)現(xiàn)潛在威脅。

終端的安全檢測能力日益受到傳統(tǒng)網(wǎng)絡安全廠商的重視。以前，終端安全與網(wǎng)絡安全是分離的兩個陣營，終端殺毒廠商專心檢查終端中的文件，網(wǎng)絡安全廠商只關注網(wǎng)絡流量，現(xiàn)在，雙方功能在相互融合。尤其是終端安全軟件與網(wǎng)絡防御設備的聯(lián)動，將流量中的惡意部分直接與終端中的進程、文件建立聯(lián)系，做到了精確地威脅溯源，終端中的安全軟件會更加密切地與進程配合。

5.3? 流量管理由IP向應用演進

通過微分段與容器安全可以看出，在云化時代主機概念被弱化，服務概念被強化，所以流量的管理也要做到應用級別、容器級別。運維人員看到的網(wǎng)絡拓撲圖不再是主機之間的，而是服務器與服務器之間、服務器與客戶端之間。用戶也會更好地應用安全檢查，及時發(fā)現(xiàn)云數(shù)據(jù)中心異常的通信路徑，找到潛在的威脅。

5.4? 軟件定義安全防御方案

未來的安全也會SDN化，即軟件定義安全。全部檢查設備都會演進成軟件形態(tài)，運行在容器或者虛擬主機中。運維人員能夠方便地改變不同應用數(shù)據(jù)流的檢查過程，例如有些應用數(shù)據(jù)流需要經(jīng)過WAF檢查，有些應用的數(shù)據(jù)流需要經(jīng)過病毒掃描或者IPS檢查，這種改變是根據(jù)流量與進程行為的分析而智能實現(xiàn)的。

[參考文獻]

[1]百度百科.互聯(lián)網(wǎng)+[EB/OL].（2019-04-12）[2020-02-10].https：//baike.baidu.com/item/%E4%BA%92%E8%81%94%E7%BD%91%2B.

[2]NONAME.Gartner十大信息安全技術(shù)解析[C].Washington：Gartner安全與風險管理峰會，2016.

[3]鄧吉，劉靖.黑客攻防實戰(zhàn)詳解[M].北京：電子工業(yè)出版社，2017.

[4]MATT B.計算機安全學—安全的藝術(shù)與科學[M].王立斌，黃征，譯.北京：電子工業(yè)出版社，2015.

[5]MARK S.信息安全原理與實踐[M].2版.張戈，譯.北京：清華大學出版社，2013.