基于“互联网+”视阈下的信息安全防范

方浩宇 左柏瞬

摘   要：在“互联网+”时代背景下，暴露在互联网上的任何终端、服务器、云主机、路由器等设备设施，只要接入到互联网必将面临来自外部网络环境的各种安全威胁。网络黑客攻击、网络病毒泛滥、网络爬虫风险和网络业务需求，悄然构成了对信息安全防范的迫切需要。文章对现有网络安全威胁以及表现形式客观分析，就加强信息安全应对防范措施做了讨论探析，并描述了本研究领域前沿发展趋势。

关键词：“互联网+”;信息安全;防范措施

1    “互联网+”的时代来临

“互联网+”作为创新2.0下互联网发展的新形态，是互联网思维的进一步实践成果，将互联网的创新成果深度融合于经济、社会各域之中[1]。在“互联网+”的时代背景下，人们对网络依赖性日益增强的同时，面临的信息安全威胁也日趋多样。研究“互联网+”视阈下信息安全防范，寻找切实可行的手段保护信息的保密性、完整性、可用性、可控性和不可否认性已迫在眉睫。

2    “互联网+”视阈下信息安全威脅现状

信息及信息系统由于具备脆弱性、敏感性、机密性、可传播等多种特性，其遭受到的威胁来自各种场景和手段，主要有恶意代码攻击、通信过程被劫持、个人信息泄露以及DDoS攻击等。

2.1  信息安全威胁事件

（1）恶意代码攻击。2017年5月12日晚8时左右，Wanna Cry勒索病毒全球爆发，存在漏洞的电脑开机上网就可被攻击。

（2）通信过程被劫持。2017年国内多款软件升级更新时，遭遇网络流量劫持攻击，用户认为在升级，实际却把病毒安装到电脑上。

（3）个人信息泄露。电信网络诈骗案件90%以上是违法分子靠掌握公民详细信息进行的精准诈骗。

（4）DDoS攻击。2016年11月10日，俄罗斯5家主流大型银行遭遇到长达两天的DDoS攻击事件。2015年2月，人气网游《最终幻象XIV》遭遇到长达3 h的DDoS攻击。

2.2  安全攻击事件的演变

信息安全攻击事件随着发展不断演变。攻击目的多样化，攻击的目标从个人电脑攻击到经济、政治、战争、能源，甚至影响着世界格局;攻击的手段复杂化，一次重大攻击往往需要精密部署、长期潜伏，以及多种攻击手段相结合以达到最终目的;攻击方式变化小，攻击的方式仍然是常见的病毒、漏洞、钓鱼等，看起来似乎形式并无太大变化。

2.3  信息安全威胁的分类

信息安全威胁可分为3个类别：网络安全威胁、应用安全威胁、数据传输与终端安全威胁。网络安全威胁包括DDoS攻击、网络入侵等。应用安全威胁包括操作系统漏洞、病毒、木马、蠕虫，钓鱼网站数据泄露等。数据传输与终端安全威胁包括通信流量劫持、中间人攻击、未授权身份人员登录系统和无线网络安全薄弱等。

3     “互联网+”视阈下信息安全面临的威胁分析

3.1  网络安全威胁分析

2016年10月，美国DynDNS服务器遭受DDoS攻击，近半个美国陷入断网。此次大规模DDoS攻击是由物联网设备组成的僵尸网络设备感染Mirai恶意病毒所致。

攻击的“肉鸡”主要是网络摄像机、数字硬盘录像机和智能路由器。Mirai僵尸网络感染设备高达百万个，此次攻击仅有10%的设备参与。目前，互联网中存在着大量的僵尸主机和僵尸网络，在商业利益的驱动下，DDoS攻击已经成为互联网面临的重要安全威胁。Mirai病毒发动攻击的过程如图1所示。

（1）寻找“肉鸡”。物联网设备通常默认开启telnet远程登录功能，方便管理员进行远程管理。攻击者可以通过IP地址扫描来发现存活的物联网设备，通过端口扫描来进一步判断物联网设备是否开启telnet服务。

（2）组建僵尸网络。部分物联网设备使用者，会直接使用出厂密码或较为简单的密码，很容易被攻击者暴力破解。当攻击者成功破解物联网设备的密码，并通过telnet登录成功后，接着在物联网设备上进行远程植入恶意软件Mirai，从而获得设备的绝对控制权。获得绝对控制权，除了利用设备发起DDoS攻击以外，还能够对设备本身的系统、业务、数据造成严重危害，并可能以此作为跳板攻击核心业务系统。

（3）加载攻击模块。攻击者在物联网设备上加载NDS DDoS攻击模块。

（4）发起攻击。攻击者通过僵尸网络向美国Dyn DNS服务发起DDoS攻击，导致上百万家网站无法访问[2]。

关于Mirai病毒攻击过程的分析：首先，扫描是一种潜在的攻击行为，本身并不具有直接的破坏行为，通常是攻击者发动真正攻击前的网络探测行为，分为地址扫描和端口扫描。地址扫描是攻击者运用ICMP报文探测目标地址，或者使用TCP/UCP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确实存在并且连接在目标网络上;端口扫描是攻击者通过对端口进行扫描探寻被攻击对象目前开放的端口，以确定攻击方式。在端口扫描攻击中，攻击者通常使用PortScan攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务。其次，欺骗攻击以获取控制权限，攻击者可以通过密码暴力破解方式获取控制权，也可以通过各种欺骗攻击来获取访问和控制权限，如IP欺骗攻击，其指攻击者通过向目标主机发送源IP地址伪造的报文，欺骗目标主机，从而获取更高的访问和控制权限。IP欺骗攻击是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间将允许IP地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。信任主机之间无需输入口令验证就可以直接登录。最后，DDoS攻击是指攻击者通过各种手段，取得了网络上大量在线主机的控制权限，如图2所示。被控制的主机称为僵尸主机，攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标确定后，攻击者控制僵尸主机向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝正常用户的请求服务的效果[3]。

图2  DDOS攻击

根据采用的攻击报文类型的不同，网络中目前存在多种DDoS攻击类型，几种常见的DDoS攻击主要有SYN Flood，UDPFlood，HTTP Flood，HTTPS Flood，DNS Flood等。

3.2  应用安全威胁

漏洞带来的威胁。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。如果不及时对系统的漏洞进行修复，将会带来注入攻击、跨站脚本攻击、恶意代码传播、数据泄露等。

3.3  通信过程中的威胁

通信过程中存在传输安全隐患和终端安全隐患。如中间人攻击和数据传输未加密或加密程度不够属于传输安全隐患;终端安全隐患包括服务器存在漏洞、用户使用弱口令以及用户身份未经验证等[4]。

（1）中间人攻击是一种“间接”的入侵攻击，其通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，该计算机被称为“中间人”。中间人攻击会造成信息被篡改、窃取。

（2）信息未加密或加密强度不够。信息未加密固然安全性会有问题，但即便数据已加密，信息也可能会被盗取和破坏。所以在信息存储、传输时必须加密，并且加强加密算法。

（3）身份认证攻击。攻击者通过一定手段获取身份认证信息，进而通过该身份信息盗取敏感信息或者达到某些非法目的的过程，是整个攻击事件中常见的攻击环节。

4     “互联网+”视阈下信息安全的防范措施

网络攻击和防御是一个此消彼长的过程。随着互联网的应用的不断升级，网络不法分子由于某些目的不断提升自己的技能，同时国家以及一些专业组织也不断探索对网络不法分子的安全防御工作，推动安全防御技术和手段的提升。

4.1  网络攻击的防御手段

采用专业设备防护，包括防火墙、流量清洗、入侵检测和入侵防御设备等。防火墙是通过在大中型企业、数据中心等网络的内网出口处部署防火墙，可以防范各种常见的DDoS攻击，而且还可以对传统单包攻击进行有效的防范。流量清洗设备是指面对运营商、企业、数据中心、门户网站、在线游戏、在线视频、DNS域名服务器等提供专业DDoS攻击防护。

4.2  应用类攻击的防御手段

定期采用专业工具对系统或个人电脑进行漏洞扫描和恢复，可以在一定程度上避免病毒入侵和感染。利用专业设备（如防火墙、杀毒软件等）对用户的上网行为、网页及邮件病毒、非法应用程序等进行阻断，从而达到保护内网的作用。增强安全意识，可以对网站、链接以及流氓软件时刻保持警觉[5]。

4.3  数据传输与终端安全防御手段

在信息存储、传输时加密，甚至采用强加密算法，降低多密码间关联性，安装正版杀毒软件。使用终端监控管理系统，提升终端、存储以及用户的监控能力。建立密码管理机制、经常更换密码等。

5    信息安全的发展趋势

5.1  安全服务化

安全防御方案可能不是一个甚至多个设备构成的，安全防御与分析完全在远程或云端。用户访问网络的流量全部通过代理的方式引导至安全厂商的数据中心，在数据中心进行分析、过滤、清洗。安全防御不再是设备，而是远程服务。客户只需要配置一个安全服务器的地址即可，管理检测与相应、云访问安全代理都属于这类安全服务。

5.2  终端检测重要性日益凸显

在企业内部，单纯的终端杀毒软件最终会演进成为分布式监控与集中化分析的构架像EDR方向演进，统一分析企业内部全部主机中进程的行为、上下文信息，有助于更加高效地发现潜在威胁。

终端的安全检测能力日益受到传统网络安全厂商的重视。以前，终端安全与网络安全是分离的两个阵营，终端杀毒厂商专心检查终端中的文件，网络安全厂商只关注网络流量，现在，双方功能在相互融合。尤其是终端安全软件与网络防御设备的联动，将流量中的恶意部分直接与终端中的进程、文件建立联系，做到了精确地威胁溯源，终端中的安全软件会更加密切地与进程配合。

5.3  流量管理由IP向应用演进

通过微分段与容器安全可以看出，在云化时代主机概念被弱化，服务概念被强化，所以流量的管理也要做到应用级别、容器级别。运维人员看到的网络拓扑图不再是主机之间的，而是服务器与服务器之间、服务器与客户端之间。用户也会更好地应用安全检查，及时发现云数据中心异常的通信路径，找到潜在的威胁。

5.4  软件定义安全防御方案

未来的安全也会SDN化，即软件定义安全。全部检查设备都会演进成软件形态，运行在容器或者虚拟主机中。运维人員能够方便地改变不同应用数据流的检查过程，例如有些应用数据流需要经过WAF检查，有些应用的数据流需要经过病毒扫描或者IPS检查，这种改变是根据流量与进程行为的分析而智能实现的。

[参考文献]

[1]百度百科.互联网+[EB/OL].（2019-04-12）[2020-02-10].https：//baike.baidu.com/item/%E4%BA%92%E8%81%94%E7%BD%91%2B.

[2]NONAME.Gartner十大信息安全技术解析[C].Washington：Gartner安全与风险管理峰会，2016.

[3]邓吉，刘靖.黑客攻防实战详解[M].北京：电子工业出版社，2017.

[4]MATT B.计算机安全学—安全的艺术与科学[M].王立斌，黄征，译.北京：电子工业出版社，2015.

[5]MARK S.信息安全原理与实践[M].2版.张戈，译.北京：清华大学出版社，2013.