孫道軍 中國傳媒大學(xué)經(jīng)濟(jì)與管理學(xué)院教授

點(diǎn)此查看完整報(bào)告

點(diǎn)此瀏覽課件

一、什么是網(wǎng)絡(luò)空間安全

所謂網(wǎng)絡(luò)空間，是指信息環(huán)境中的一個(gè)全球性領(lǐng)域，由相互依賴的信息技術(shù)基礎(chǔ)設(shè)施網(wǎng)絡(luò)組成，包括互聯(lián)網(wǎng)、電信網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)以及嵌入式處理器和控制器。也就是說，它涉及物理設(shè)備和虛擬網(wǎng)絡(luò)、信息數(shù)據(jù)以及由此產(chǎn)生的社會和經(jīng)濟(jì)活動。因此，網(wǎng)絡(luò)空間安全就成為一個(gè)非常重要的命題。

所謂網(wǎng)絡(luò)空間安全，是指保護(hù)網(wǎng)絡(luò)空間中的信息，包括通信網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)以及其他相關(guān)基礎(chǔ)設(shè)施免受未經(jīng)授權(quán)的訪問、使用、披露、破壞、修改或干擾的一系列策略、技術(shù)和措施。因此，筑牢網(wǎng)絡(luò)安全防線就是當(dāng)今一項(xiàng)非常重要的工作，關(guān)系到國家安全、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定以及公民個(gè)人信息安全。

當(dāng)前，網(wǎng)絡(luò)空間面臨哪些安全問題？主要有三個(gè)：第一個(gè)是獲取訪問權(quán)限，攻擊者通常會利用探測到的信息、分析目標(biāo)系統(tǒng)漏洞、獲取其訪問權(quán)限，也就是會通過各種手段非法獲取目標(biāo)系統(tǒng)的訪問權(quán)限；第二個(gè)是消除網(wǎng)絡(luò)痕跡，攻擊者為了隱藏攻擊行為和路徑，通常會通過清除事件日志、隱藏遺留文件、更改系統(tǒng)設(shè)置等手段消除痕跡；第三個(gè)是網(wǎng)絡(luò)深入攻擊，攻擊者進(jìn)入目標(biāo)系統(tǒng)之后會通過系統(tǒng)漏洞進(jìn)行一系列破壞，如竊取個(gè)人信息、植入病毒軟件、加密系統(tǒng)數(shù)據(jù)。

那么，常見的網(wǎng)絡(luò)攻擊有哪些？主要有四類：第一類，控制類攻擊，攻擊者通過口令攻擊、緩沖區(qū)溢出攻擊等手段試圖獲取目標(biāo)主機(jī)控制權(quán)；第二類，漏洞類攻擊，攻擊者利用系統(tǒng)和硬件安全方面的脆弱性獲得未授權(quán)訪問；第三類，欺騙類攻擊，攻擊者通過冒充合法網(wǎng)絡(luò)主機(jī)來騙取敏感信息，常見方法有ARP緩存虛構(gòu)、偽造電子郵件等；第四類，破壞類攻擊，攻擊者對目標(biāo)主機(jī)的各種數(shù)據(jù)進(jìn)行破壞，常見方法有計(jì)算機(jī)病毒、“邏輯炸彈”等。

任何一種網(wǎng)絡(luò)攻擊行為在實(shí)施前都會進(jìn)行一系列惡意偵測活動。一般這些活動分為四步：第一步，隱藏地址，攻擊者通過“傀儡機(jī)”隱藏真實(shí)IP地址，而“傀儡機(jī)”就是已經(jīng)被攻擊者控制的機(jī)器；第二步，鎖定目標(biāo)，通過掃描系統(tǒng)，分析潛在攻擊價(jià)值，進(jìn)而確定潛在目標(biāo)系統(tǒng)；第三步，搜集信息，全面分析、了解目標(biāo)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和安全狀態(tài)；第四步，尋找漏洞，尋找系統(tǒng)潛在弱點(diǎn)，發(fā)現(xiàn)安全漏洞。

在這一系列惡意偵測活動中，攻擊者還會部署一些“誘餌”，誘使我們打開系統(tǒng)門戶。那么，常見的惡意偵測系統(tǒng)的“誘餌”有哪些？主要有五種：第一種是病毒軟件，通過安裝對計(jì)算機(jī)有危害的程序代碼，也就是惡意代碼，來操作目標(biāo)系統(tǒng)；第二種是釣魚網(wǎng)站，通過偽裝成銀行網(wǎng)站或電商網(wǎng)站等，竊取用戶銀行賬號、密碼等信息；第三種是“信息找回”，通過偽裝成信息找回助手，盜取個(gè)人敏感信息，如銀行支付密碼、驗(yàn)證碼等；第四種是免費(fèi)WIFI，利用人們“占便宜”的心理強(qiáng)迫用戶看廣告，背地里還悄悄收集用戶隱私；第五種是軟件詐騙，通過誘導(dǎo)人們下載虛假軟件，竊取個(gè)人信息或惡意控制系統(tǒng)。

那么，我們的網(wǎng)絡(luò)系統(tǒng)遭遇攻擊后會有哪些主要表現(xiàn)？一是文件打不開，如系統(tǒng)無法識別文件、文件被加密或損壞。二是提示內(nèi)存不夠或硬盤空間不足，誘導(dǎo)我們清理硬盤或內(nèi)存，下載有關(guān)軟件。三是終端經(jīng)常死機(jī)，可能由系統(tǒng)正被攻擊、或大量程序運(yùn)行、又或系統(tǒng)被干擾所導(dǎo)致。四是數(shù)據(jù)丟失或被破壞、加密，特別是一些敏感信息或是有價(jià)值的信息泄露，還可能會造成嚴(yán)重后果。五是出現(xiàn)大量不明文件，說明系統(tǒng)內(nèi)被植入了病毒，或是被安裝了惡意軟件，它們每天都在掃描系統(tǒng)，生成日志，所以產(chǎn)生了大量文件。六是系統(tǒng)運(yùn)行速度變慢，通常是大量非法命令執(zhí)行過程中占用內(nèi)存過高所導(dǎo)致。七是系統(tǒng)自動操作，比如手機(jī)被惡意操控不斷自動轉(zhuǎn)賬，這是手機(jī)系統(tǒng)被攻擊的一個(gè)重要表現(xiàn)。

那么，如何防范網(wǎng)絡(luò)攻擊？我們通常采用網(wǎng)絡(luò)空間安全監(jiān)控和入侵偵測技術(shù)。比如端口掃描技術(shù)，它是一種常見的網(wǎng)絡(luò)入侵技術(shù)，其入侵行為與用戶正常行為存在可量化的差別，通過檢測當(dāng)前用戶行為的相關(guān)記錄，可以判斷攻擊行為是否發(fā)生。那么在檢測過程中，就涉及統(tǒng)計(jì)網(wǎng)絡(luò)異常檢測的技術(shù)。這種技術(shù)通常分為兩類：一類是基于規(guī)則的異常檢測和滲透檢測，就是通過觀察系統(tǒng)里發(fā)生的事件并將規(guī)則進(jìn)行匹配，來判斷該事件是否與某條規(guī)則所代表的入侵行為相對應(yīng)；另一類是基于行為剖面的檢測和閾值檢測，就是收集一段時(shí)間內(nèi)合法用戶的數(shù)據(jù)，然后利用統(tǒng)計(jì)學(xué)測試方法分析用戶行為，以判斷用戶行為是否合法。