孫道軍 中國傳媒大學經(jīng)濟與管理學院教授

點此查看完整報告

點此瀏覽課件

一、什么是網(wǎng)絡空間安全

所謂網(wǎng)絡空間，是指信息環(huán)境中的一個全球性領域，由相互依賴的信息技術(shù)基礎設施網(wǎng)絡組成，包括互聯(lián)網(wǎng)、電信網(wǎng)絡、計算機系統(tǒng)以及嵌入式處理器和控制器。也就是說，它涉及物理設備和虛擬網(wǎng)絡、信息數(shù)據(jù)以及由此產(chǎn)生的社會和經(jīng)濟活動。因此，網(wǎng)絡空間安全就成為一個非常重要的命題。

所謂網(wǎng)絡空間安全，是指保護網(wǎng)絡空間中的信息，包括通信網(wǎng)絡、計算機系統(tǒng)以及其他相關(guān)基礎設施免受未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或干擾的一系列策略、技術(shù)和措施。因此，筑牢網(wǎng)絡安全防線就是當今一項非常重要的工作，關(guān)系到國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定以及公民個人信息安全。

當前，網(wǎng)絡空間面臨哪些安全問題？主要有三個：第一個是獲取訪問權(quán)限，攻擊者通常會利用探測到的信息、分析目標系統(tǒng)漏洞、獲取其訪問權(quán)限，也就是會通過各種手段非法獲取目標系統(tǒng)的訪問權(quán)限；第二個是消除網(wǎng)絡痕跡，攻擊者為了隱藏攻擊行為和路徑，通常會通過清除事件日志、隱藏遺留文件、更改系統(tǒng)設置等手段消除痕跡；第三個是網(wǎng)絡深入攻擊，攻擊者進入目標系統(tǒng)之后會通過系統(tǒng)漏洞進行一系列破壞，如竊取個人信息、植入病毒軟件、加密系統(tǒng)數(shù)據(jù)。

那么，常見的網(wǎng)絡攻擊有哪些？主要有四類：第一類，控制類攻擊，攻擊者通過口令攻擊、緩沖區(qū)溢出攻擊等手段試圖獲取目標主機控制權(quán)；第二類，漏洞類攻擊，攻擊者利用系統(tǒng)和硬件安全方面的脆弱性獲得未授權(quán)訪問；第三類，欺騙類攻擊，攻擊者通過冒充合法網(wǎng)絡主機來騙取敏感信息，常見方法有ARP緩存虛構(gòu)、偽造電子郵件等；第四類，破壞類攻擊，攻擊者對目標主機的各種數(shù)據(jù)進行破壞，常見方法有計算機病毒、“邏輯炸彈”等。

任何一種網(wǎng)絡攻擊行為在實施前都會進行一系列惡意偵測活動。一般這些活動分為四步：第一步，隱藏地址，攻擊者通過“傀儡機”隱藏真實IP地址，而“傀儡機”就是已經(jīng)被攻擊者控制的機器；第二步，鎖定目標，通過掃描系統(tǒng)，分析潛在攻擊價值，進而確定潛在目標系統(tǒng)；第三步，搜集信息，全面分析、了解目標系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和安全狀態(tài)；第四步，尋找漏洞，尋找系統(tǒng)潛在弱點，發(fā)現(xiàn)安全漏洞。

在這一系列惡意偵測活動中，攻擊者還會部署一些“誘餌”，誘使我們打開系統(tǒng)門戶。那么，常見的惡意偵測系統(tǒng)的“誘餌”有哪些？主要有五種：第一種是病毒軟件，通過安裝對計算機有危害的程序代碼，也就是惡意代碼，來操作目標系統(tǒng)；第二種是釣魚網(wǎng)站，通過偽裝成銀行網(wǎng)站或電商網(wǎng)站等，竊取用戶銀行賬號、密碼等信息；第三種是“信息找回”，通過偽裝成信息找回助手，盜取個人敏感信息，如銀行支付密碼、驗證碼等；第四種是免費WIFI，利用人們“占便宜”的心理強迫用戶看廣告，背地里還悄悄收集用戶隱私；第五種是軟件詐騙，通過誘導人們下載虛假軟件，竊取個人信息或惡意控制系統(tǒng)。

那么，我們的網(wǎng)絡系統(tǒng)遭遇攻擊后會有哪些主要表現(xiàn)？一是文件打不開，如系統(tǒng)無法識別文件、文件被加密或損壞。二是提示內(nèi)存不夠或硬盤空間不足，誘導我們清理硬盤或內(nèi)存，下載有關(guān)軟件。三是終端經(jīng)常死機，可能由系統(tǒng)正被攻擊、或大量程序運行、又或系統(tǒng)被干擾所導致。四是數(shù)據(jù)丟失或被破壞、加密，特別是一些敏感信息或是有價值的信息泄露，還可能會造成嚴重后果。五是出現(xiàn)大量不明文件，說明系統(tǒng)內(nèi)被植入了病毒，或是被安裝了惡意軟件，它們每天都在掃描系統(tǒng)，生成日志，所以產(chǎn)生了大量文件。六是系統(tǒng)運行速度變慢，通常是大量非法命令執(zhí)行過程中占用內(nèi)存過高所導致。七是系統(tǒng)自動操作，比如手機被惡意操控不斷自動轉(zhuǎn)賬，這是手機系統(tǒng)被攻擊的一個重要表現(xiàn)。

那么，如何防范網(wǎng)絡攻擊？我們通常采用網(wǎng)絡空間安全監(jiān)控和入侵偵測技術(shù)。比如端口掃描技術(shù)，它是一種常見的網(wǎng)絡入侵技術(shù)，其入侵行為與用戶正常行為存在可量化的差別，通過檢測當前用戶行為的相關(guān)記錄，可以判斷攻擊行為是否發(fā)生。那么在檢測過程中，就涉及統(tǒng)計網(wǎng)絡異常檢測的技術(shù)。這種技術(shù)通常分為兩類：一類是基于規(guī)則的異常檢測和滲透檢測，就是通過觀察系統(tǒng)里發(fā)生的事件并將規(guī)則進行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應；另一類是基于行為剖面的檢測和閾值檢測，就是收集一段時間內(nèi)合法用戶的數(shù)據(jù)，然后利用統(tǒng)計學測試方法分析用戶行為，以判斷用戶行為是否合法。