大安全視角下的網絡安全風險與防范

何小平

摘要：當今的網絡安全不再僅僅局限于網絡本身的安全、更是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。全球網絡安全已經進入大安全時代。這也意味著互聯網面臨的網絡安全風險會越來越多，在典型業務場景下諸如社交網絡、網站體系、敏感信息泄露、物聯網、移動互聯網、工控系統、云計算、區塊鏈等方面會面臨各種各樣新型的攻擊。人們已經認識到，當下及以后若要實現網絡安全所要面臨和解決的問題是復雜多樣的。因此，我們有必要對網絡安全的現狀及其存在的風險做相關研究分析，從而進行有效的防范。

關鍵詞：大安全;網絡強國;安全意識;物聯網

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2020）02-0025-03

1 我國網絡安全現狀分析

我國接入互聯網歷時已有20余年，20多年來，中國互聯網抓住機遇，快速推進，成果斐然。2019年8月30日，CNNIC發布第44次互聯網發展報告 中國網民規模達8.54億，中國已是名副其實的“網絡大國”。但是另外一些數據卻顯示，大不一定強，中國離網絡強國目標仍有差距，尤其凸顯在網絡安全領域。中國面臨的網絡安全方面的任務和挑戰日益復雜和多元。中國目前是網絡攻擊的主要受害國。2019年2月28日，2019中國IT市場年會·網絡安全高峰論發布的《中國網絡安全發展白皮書（2019）》中提到在2018年，數據泄露仍為發生最為頻繁的安全事件，安全漏洞數量和嚴重性創下歷史新高，黑客攻擊、勒索病毒等事件也愈發猖獗復雜，對社會造成了嚴重的不利影響。

2013年，中央國家安全委員會正式成立;2014年，中央網絡安全和信息化領導小組成立，習近平中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長，再次體現了中國最高層全面深化改革、加強頂層設計的意志，顯示出在保障網絡安全、維護國家利益、推動信息化發展的決心;2018年4月20日至21日，在北京召開的全國網絡安全和信息化工作會議，習近平講話首次明確網絡強國戰略思想指導地位。

2 大安全視角下的網絡安全

縱觀全球，網絡安全威脅愈演愈烈。如伊朗“震網”病毒、烏克蘭電力中斷事件、棱鏡門事件、心臟滴血漏洞、勒索病毒、Facebook數據泄露等，無一例外，都造成了極為嚴重的影響和破壞。攻擊手段及方式發生了很大變化，網絡攻擊已從虛擬網絡滲透到物理世界，以傳統PC為跳板的攻擊發展到IOT系統，利用0day攻擊延伸到常規漏洞結合專有場景等。帶來的影響也不僅僅是網絡安全隱患及威脅，政治、經濟、社會心態、法規制度都會受到網絡攻擊的影響。因此，當今的網絡安全不再僅僅局限于網絡本身的安全、更是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。這也是所謂的大安全視角下的網絡安全。全球網絡安全已經進入大安全時代，這也意味著互聯網面臨的網絡安全風險會越來越多，在典型業務場景下諸如社交網絡、網站體系、敏感信息泄露、物聯網、移動互聯網、工控系統、云計算、區塊鏈等方面會面臨各種各樣新型的攻擊[1]。

3 大安全視角下的網絡安全風險分析與防范

傳統意義上人們都認為網絡安全風險大部分是來自于基于病毒木馬、溢出攻擊、越權訪問、SQL注入、跨站腳本、拒絕服務、系統漏洞、中間人攻擊、暴力破解等常見網絡滲透攻擊技術開展的攻擊[2]。大安全視角下技術只是作為攻擊的一種手段。攻擊者會從網絡空間的四個維度來進行分析進而攻擊，即由終端、鏈路、節點相連接構成的網絡物理實體—物理域、由網絡協議、軟件、數據構建的信息活動域—邏輯域、由信息交互產生的知識、情感、信念和價值觀組成的無形域—認知域、由網絡連接形成的社區、群體等社會活動域—社會域。以下展開闡述安全風險案例。

（1） 社交網絡觸發的信息風暴及防范

韓國前總統樸槿惠下臺原因之一就是由于社交網絡而觸發的信息風暴。整個事件是這樣一個過程：鄭維羅FaceBook炫富—騎馬特長生入學—學生抗議、校長辭職——母親崔順實曝光——樸槿惠內閣解散。撇開其他政治因素等原因，社交網絡觸發的信息風暴正是樸槿惠下臺的直接原因。“高鐵霸座男”“奔馳女車主維權”等都屬于社交網絡觸發的信息風暴。

要避免信息風暴帶來的威脅，作為一般用戶，應盡可能地避免在社交網絡中透露自己的個人信息，有意或是無意地把一些與自己的個人隱私信息在朋友圈、微博、論壇等各種社交媒體中展示。

（2） 移動互聯網生態鏈攻擊風險

在當前移動互聯網生態鏈中，安全問題不僅僅是手機安全問題了。從終端硬件到智能終端操作系統、應用商店與應用軟件等都存在著風險隱患。智能終端“后門”、操作系統漏洞、操作系統API安全保護缺陷。應用軟件的資費消耗、隱私竊取、誘騙欺詐、惡意扣費、遠程監控、系統破壞、惡意傳播、流氓行為等。應用商店應用審核管理欠缺、監管力度弱、境外應用服務器管理困難。整個生態都存在著安全隱患。比如微信支付曝“0元購”漏洞;“寄生推”病毒作惡，2000萬用戶遭殃—安卓bootkit通過刷機感染設備;垃圾短信群發視頻;應用漏洞在各類APP中的分布比例;“共享充電站”讓你秒變透明人等。

防范移動互聯網生態鏈攻擊，重點是要有移動安全防護意識。做到以下幾點，能降低風險：從正規應用市場或渠道下載APP;及時安裝系統更新和軟件更新，安裝殺毒軟件; 給APP設置合理的權限，能禁止的權限盡量禁止;設置手機開機密碼，保護APP的安全，在設置窗口中，選擇鎖屏和密碼選項;盡量選擇安全口碑較好、用戶權益保護良好的銀行辦理業務;謹慎使用手機銀行APP執行轉賬等敏感操作，大額轉賬后應和對方確認;提高信息安全意識，保護個人隱私數據。

（3） 敏感信息泄露風險

《網絡安全法》中的第44條、47條、43條對信息泄露相關規定中明確指出，對公民個人信息安全進行保護、個人信息被冒用有權要求網絡運營者刪除、網絡運營者加強對其用戶發布的信息的管理。然而依然存在著各種各樣的信息泄露事件造成了極大的影響。如2016年8月，由于考生信息泄露，準大學生徐玉玉遭遇精準電信詐騙，近萬元學費被詐騙分子騙走，導致其傷心過度，郁郁離世。AcFun站慘遭黑客攻擊，近千萬條用戶數據泄露，此次泄露的用戶數據包含用戶ID、用戶昵稱、加密存儲的密碼等信息，所有用戶密碼都經過加密，沒有明文密碼。2018年華住旗下酒店開房數據（漢庭，桔子，全季等）遭暗網售賣，給用戶帶來極大的影響。

對于敏感信息泄露問題，我們應從信息泄露的主要渠道入手來防控該風險，如減少避免系統被入侵、密碼被盜用、避免工作中丟失泄露信息、防止內部用戶主動盜賣信息等。

（4） 釣魚網站

釣魚網站，通常指偽裝成銀行及電子商務，竊取用戶提交的銀行賬號、密碼等私密信息的網站。釣魚網站通常以幸運觀眾、低價機票、電話充值、征婚交友等為名誘騙用戶填寫身份信息、銀行賬戶等;或者模仿支付寶、網上銀行等，竊取用戶賬號密碼信息。

對于釣魚網站，如果用戶能做到：能從網站細節進行辨別、使用安全瀏覽器、使用https開頭加密協議的支付網站、不盲目相信搜索引擎的推薦，不亂點郵件、微信、短信、QQ中的短網址等，一般防范釣魚網站也就沒有什么問題。

（5） APP仿冒及惡意二維碼

一些惡意APP通過盜用正規APP原圖、對正規APP圖標顏色變化、加入角標或者盜用后加入其他信息等方式仿冒正規的APP，以盜取用戶信息或實現攻擊。不法分子將二維碼病毒鏈接隱藏在打折促銷、廣告推廣等二維碼中，騙取用戶話費與敏感信息或引誘下載木馬。不法分子將病毒木馬掛在網上，得到惡意網址;利用軟件將惡意網址轉換為二維碼;利用各種傳播途徑傳播二維碼。

因此在下載及使用APP之前盡量要做真偽鑒別，從官方平臺去下載，不隨意點擊鏈接下載APP;對于惡意二維碼，用戶在掃描之前要注意關注其來源（街頭的二維碼、來源不明的二維碼等堅決不掃）;也可以使用二維碼安全檢測軟件協助判斷真偽好壞。

（6） 電信詐騙

電信詐騙通常指不法分子通過電話、網絡和短信方式，編造虛假信息，設置騙局，對受害人實施遠程、飛接觸式詐騙，誘使受害人給不法分子打款或轉賬的犯罪行為。這類行為雖然很老套，但現在仍然有不少用戶中招，如前文提到的準大學生徐玉玉案。

對于這類風險，用戶要有安全意識，不要相信天上掉餡餅的事情，對于電話、郵箱、短信等發來的中獎信息等不要輕信，涉及要給對方轉賬等事情堅決不能信、不要做。

（7） 病毒木馬攻擊

病毒木馬攻擊案例數不勝數如全球知名的“震網”病毒，導致伊朗納坦茲鈾濃縮離心機組癱瘓;早期的冰河、灰鴿子、熊貓燒香等。

對于木馬、病毒的防范注意以下幾個方面：不要試圖使用軟件破解工具，買正版用開源;搜索引擎提供的下載鏈接并不可靠;軟件的原生網站比較可靠、不要執行來歷不明的軟件或程序;郵件和QQ發過來的軟件不要運行，鏈接不要點;注意所下載的內容的后綴，除非確認，否則不運行;不要上一些亂七八糟的網站;電腦勤打補丁，安裝360安全衛士、騰訊管家等;考慮放棄FLASH;如果你身份不一般，注意隱藏自己的身份。

（8） 工業控制系統安全風險

近年來全球重大工業信息安全事件頻發，總體風險持續攀升，呈現高危態勢。例如烏克蘭連續兩年發生了由黑客攻擊誘發的斷電事件。第一次攻擊：2015年12月圣誕節期間，至少有三個地區斷電，數十萬家庭在寒冷的冬季失去了電力;第二次攻擊：2016年12月，攻擊者對基輔外的Pivnichna變電站的攻擊觸發了斷電，但斷電只持續了大約1個小時。2017年5月全球爆發WannaCry勒索病毒[3]。高校、加油站、火車站、自助終端、郵政、醫院、出入境簽證、交通管理、政府辦事等多機構癱瘓。2018年8月3日，臺積電感染WannaCry勒索病毒，營收損失17.6億美元。2019年3月7日，委內瑞拉國內包括首都加拉加斯在內的大部分地區停電超過24小時，在委內瑞拉23個州中，一度有20個州全面停電，停電后導致地鐵無法運行，交通擁堵、學校、醫院、工廠、機場等都受到嚴重影響，手機和網絡也無法正常使用。

目前約有80%的企業從來不對工控系統進行升級和漏洞修補，有52%的工控系統與企業的管理系統、內網甚至互聯網連接，一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。工業設備資產管理混亂（許多工業協議、設備、系統缺少維護）;許多工控設備缺乏安全設計（CIA屬性、訪問控制不嚴、輸入輸出安全驗證缺乏）;設備聯網中的網絡數據傳遞中安全防護不嚴密;企業內部人員安全意識不強（無意或有意）;生產數據面臨丟失、泄露、篡改等安全威脅（通過大數據平臺存儲或分布在各用戶終端、生產終端等設備上）。只有從內部和外部都控制了工業物聯網的風險才能真正做到工業控制系統安全。

（9） 物聯網安全風險

2017我國IoT設備安全情況統計（CNCERT），在漏洞方面，智能設備漏洞數量大幅增加。國家信息安全漏洞共享平臺（CNVD） 2017年公開收錄智能設備通用型漏洞2440個， 同比增長118%。按漏洞類型統計，占比排在前三位的類型分別是權限繞過（27%）、信息泄露（15%）、命令執行（13%）。路由器及網關、攝像頭及視頻系統、機頂盒等類型設備漏洞數量多，是漏洞攻擊的重要目標，利用漏洞入侵打印機等辦公設備正在成為黑客竊取重要單位內部文件和數據的途徑。攻擊者通過掃描脆弱的設備或暴力破解，安裝惡意軟件并自動構建僵尸網絡來發動攻擊。除此之外，可穿戴設備：如智能手表、手環、無線耳機、鼠標鍵盤;家庭智能設備：如門鎖、智能玩具、音箱;特種行業內設備：如汽車、醫療器械、自動化等都將成為物聯網中攻擊的對象。RFID在電子票證、出入控制、手機支付等領域已經形成了成熟的應用模式，這些領域的應用多集中于低高頻段。超高頻RFID是行業發展的重心。超高頻RFID在鞋服新零售、無人便利店、圖書管理、醫療健康、航空、物流、交通等諸多領域不斷普及、發展，未來3～5年，超高頻RFID將成為行業發展的重點突破口。近距離無線通信安全-RFID安全威脅有：針對標簽攻擊：數據竊取、標簽破解及復制;針對讀寫器的攻擊：拒絕服務、惡意代碼; 針對無線信道的攻擊：干擾、嗅探安全防護，對其安全防護的措施有：重要的RFID標簽（例如用于身份鑒別），支持Kill和休眠的標簽;使用高安全加密算法的標簽;涉及資金的應用使用在線核查方式。

物聯網才剛剛起步，其安全防護性更是異常脆弱，因此在實際使用過程中盡可能做到以下幾方面才能從最大程度上避免遭受破壞和攻擊：

? 路由器系統后臺和無線密碼，都要采用復雜密碼。

? 在設置路由器WIFI密碼加密時盡量選擇WPA2方式。

? 在路由器設備中開啟或者安裝局域網防護等功能，可以防止被劫持或者被蹭網。

? 經常查看接入設備清單，避免陌生設備入侵。

? 及時升級所有聯網設備固件。

? 在家時，關閉部分可能存在安全風險的設備，例如攝像頭等。

? 重視個人隱私安全。

（10） WEB體系安全風險

對Web服務器的攻擊也可以說是形形色色、種類繁多，常見的有掛馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊[4]。

Web應用的大多數安全問題：

? 服務器向公眾提供了不應該提供的服務，導致存在安全隱患。

? 服務器把本應私有的數據放到了公開訪問的區域，導致敏感信息泄露。

? 服務器信賴了來自不可信賴數據源的數據，導致受到攻擊。

許多Web服務器管理員從來沒有從另一個角度來看看他們的服務器，沒有對服務器的安全風險進行檢查，例如使用端口掃描程序進行系統風險分析等。如果他們曾經這樣做了，就不會在自己的系統上運行那么多的服務，而這些服務原本無須在正式提供Web服務的機器上運行，或者這些服務原本無須面向公眾開放。另外他們沒有修改對外提供服務的應用程序的banner信息，使攻擊者容易獲取到Web服務器對外提供應用程序的相關版本信息，并根據信息找到相對應的攻擊方法和攻擊程序。

許多Web應用程序容易受到通過服務器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接繞過了周邊防火墻安全措施，因為端口80或 443（SSL，安全套接字協議層）必須開放，以便讓應用程序正常運行。Web應用安全存在非法輸入、失效的訪問控制、失效的賬戶和線程管理、跨站腳本攻擊、緩沖區溢出、注射攻擊、異常錯誤處理、不安全的存儲、拒絕服務攻擊、不安全的配置管理等問題。Web應用程序攻擊包括對應用程序本身的DoS（拒絕服務）攻擊、改變網頁內容、SQL注入、上傳Webshell以及獲取對Web服務的控制權限等。

隨著多形態攻擊的數量越來越多，傳統防護手段的安全效果也越來越差，總是處于預防威脅-檢測威脅-處理威脅-策略執行的循環之中。更為嚴峻的是，傳統的僅針對終端設備的防病毒解決方案并不能應對當前變化多端的web應用安全威脅。

作為個人用戶來說，應該本身對網絡安全防范的加深和正確認識，不斷提高自身的計算機及網絡應用技術水平加固計算機的安全，以及努力克服自己的好奇心，消除貪圖小便宜的心理，規范自己的網絡操作行為，來緩解決web應用安全問題日趨嚴重的趨勢。

對于企業用戶，針對Web應用的安全產品，可以分為網絡、Web服務器自身以及程序安全三方面。在網絡方面，可以考慮將防火墻、IDS/IPS、安全網關、防病毒墻等產品部署在Web服務器前面，這樣可以防御大部分的攻擊。此外，可以通過部署更安全的Web服務器、Web服務器自身的保護系統，比如網頁防篡改保護系統（防篡改保護和恢復軟件）、惡意主動防御系統、訪問控制系統、審計系統等產品，做到自動掃描和監控，從而保護系統和文件。

總之，Web應用攻擊之所以與其他攻擊不同，是因為它們很難被發現，而且可能來自任何在線用戶，甚至是經過驗證的用戶。所以我們要做到“兩手抓、兩手都要硬”，用一句形象的比喻來說明：防火墻/入侵檢測系統/防病毒網關等如同金鐘罩鐵布衫等外功，防止明槍，而更重要的是需要修煉太極等內功，彌補自身的漏洞，躲避暗箭，內外兼修的效果將使您的企業縱橫江湖。

（11） 云計算環境安全風險

2014年，好萊塢爆發史上最嚴重的“裸照門”風波！黑客利用蘋果手機iCloud云端漏洞，竊取影星、歌手和名模裸照，女星們人人自危。2018年騰訊云故障等均說明云計算也存在大量安全風險。云計算主要使用的是虛擬化技術，面臨的常見攻擊有[5]：

? VM Hopping攻擊： 虛擬機訪問另外一臺虛擬機或宿主機。

? 虛擬機逃逸攻擊： 獲取Hypervisor訪問權限，控制其他虛擬機。

? 遠程管理漏洞： XSS或SQL注入虛擬機的管理平臺。

? 拒絕服務攻擊： 宿主機資源緊張和系統崩潰。

在公有云的環境下，租戶可通過選配云計算供應商在平臺中集成的安全模塊來對租戶擁有的各虛擬機進行傳統安全防護[6]。

在私有云的環境下，企業IT管理者可通過購置專業信息安全廠商提供的云安全平臺來對私有云平臺進行傳統安全防護[7]。

4 結束語

大安全視角信息安全風險無處不在，對安全風險的防范應做到對新威脅必須注重整體防御;通過大數據發現高級威脅;使用AI處理安全大數據;從云+端+邊緣做到IoT安全[8]。只有真正做好了防范，才能實現一個理想的網絡安全狀態，即攻擊者進不去;非授權者信息拿不到;竊密信息看不懂;系統信息改不了;系統工作癱不成;攻擊行為賴不掉[9]。

參考文獻：

[1] 陶群.醫院信息化建設中的網絡安全與防護[J/OL].電子技術與軟件工程，2019（17）：196-197.

[2] 尹一兵.網絡通訊安全的重要性與技術維護措施[J/OL].電子技術與軟件工程，2019（17）：199-200.

[3] 吳崇斌，成星愷.勒索軟件發展現狀及應對[J].通訊世界，2019，26（08）：111-112.

[4] 周龍，王晨，史崯.基于RNN的Webshell檢測研究[J/OL].計算機工程與應用，2019（8）：1-7.

[5] 李珊，范超.基于大數據的計算機信息安全問題[J].技術與市場，2019，26（08）：134+136.

[6] 周子敬.大數據云計算下網絡安全技術實現的路徑研究[J].網絡安全技術與應用，2019（08）：5-7.

[7] 姜年昌.基于云計算環境的信息系統信息安全探討[J].網絡安全技術與應用，2019（08）：12-14.

[8] Subramanian Balaji，Eanoch Golden Julie，Yesudhas Harold Robinson，Raghvendra Kumar，Pham Huy Thong，Le Hoang Son. Design of a security-aware routing scheme in Mobile Ad-hoc Network using repeated game model[J]. Computer Standards & Interfaces，2019，66.

[9] Karel Durkota，Viliam Lis?，Branislav Bo?ansk?，Christopher Kiekintveld，Michal Pěchou?ek. Hardening networks against strategic attackers using attack graph games[J]. Computers & Security，2019.

【通聯編輯：代影】