網(wǎng)絡(luò)對(duì)于我們?cè)絹碓街匾?，從而網(wǎng)絡(luò)安全更是網(wǎng)絡(luò)的保障。網(wǎng)絡(luò)給我們帶來的不僅是大量的信息和便利的生活，也帶來了諸多的網(wǎng)絡(luò)安全問題。以前的網(wǎng)絡(luò)入侵的個(gè)人或組織目的性不甚明確，且大多出于好奇、出風(fēng)頭的目的。而現(xiàn)在更多的則是有組織、有預(yù)謀、有利益驅(qū)使的犯罪。

另外，用戶一般都會(huì)認(rèn)為只要單純安裝一些網(wǎng)絡(luò)防御產(chǎn)品就可以將網(wǎng)絡(luò)入侵拒之門外。殊不知，這些還不足以搭建起一個(gè)完整的網(wǎng)絡(luò)整體防御體系，還需要通過網(wǎng)絡(luò)安全管理整體解決方案，并結(jié)合不同的網(wǎng)絡(luò)防御技術(shù)和產(chǎn)品，才能達(dá)到在整體上維護(hù)網(wǎng)絡(luò)和信息系統(tǒng)安全的目的。

一、利益性攻擊及特定目標(biāo)攻擊的流派與防范策略

通常所說的網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)釣魚、僵尸網(wǎng)絡(luò)等等入侵的表現(xiàn)形式以及被人們所熟知的攻擊手段我們?cè)谶@里避開不談，因?yàn)榇蟛糠值墓舴绞揭呀?jīng)可以使用現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備很好的進(jìn)行防范。我們以下所要分析的攻擊手段只針對(duì)于利益攻擊，并且這些攻擊方式在現(xiàn)階段的網(wǎng)絡(luò)安全中很難發(fā)現(xiàn)與防范。

0day與注入流派：0day的攻擊者代表了網(wǎng)絡(luò)技術(shù)性攻擊的最高水平，因?yàn)樗麄兪褂玫氖俏粗┒垂粜畔⑾到y(tǒng)或網(wǎng)絡(luò)設(shè)備，所以攻擊的成功率最高，被安全設(shè)備檢測(cè)到的可能性最低（因?yàn)闆]有這種攻擊手段的特征）。而注入則是因?yàn)閣eb服務(wù)被廣泛應(yīng)用以及防火墻針對(duì)其他端口的過濾而誕生的比較畸形的攻擊手段，利用服務(wù)器web腳本編碼的不規(guī)范導(dǎo)致可以完全控制網(wǎng)絡(luò)服務(wù)器。這兩種攻擊方式因?yàn)槎际抢梦粗穆┒?，所以我們通常把他們合并在一起?/p>

例1：某組織研究出windows遠(yuǎn)程漏洞，該組織利用此漏洞攻擊網(wǎng)絡(luò)系統(tǒng)并成功獲取資料。

例2：Microsoft在每周二公布安全補(bǔ)丁（patch），但是由于時(shí)差的關(guān)系國內(nèi)更新補(bǔ)丁的時(shí)間要遲8個(gè)小時(shí)左右，很多的攻擊團(tuán)隊(duì)會(huì)在微軟公布補(bǔ)丁的同時(shí)研究補(bǔ)丁，獲得相應(yīng)的漏洞并編寫利用程序（expolit），利用時(shí)差對(duì)沒有打補(bǔ)丁的特定服務(wù)器進(jìn)行攻擊，并獲取資料。

解決方案：針對(duì)于這種攻擊我們能給出的最佳防范手段是防火墻嚴(yán)格限制無用端口屏蔽，并對(duì)開放的端口所應(yīng)用服務(wù)權(quán)限進(jìn)行最小化限制。對(duì)于補(bǔ)丁分發(fā)依靠安全公司的即時(shí)通告，在測(cè)試后立即加固系統(tǒng)。對(duì)于注入攻擊，對(duì)web腳本編碼進(jìn)行嚴(yán)格的規(guī)范，如有條件則進(jìn)行代碼審核。在web服務(wù)運(yùn)行時(shí)讓此服務(wù)包括數(shù)據(jù)庫用戶的權(quán)限最小化。

社會(huì)工程學(xué)流派：此流派的創(chuàng)始人是凱文米特尼克，他是美國20世紀(jì)最著名的cracker之一，《戰(zhàn)爭(zhēng)游戲》這部電影是以他為原型，演繹了一個(gè)少年攻破了北美空防指揮部，幾乎引發(fā)了第三次世界大戰(zhàn)。這種攻擊方式是專門針對(duì)物理隔離的網(wǎng)絡(luò)及重要信息系統(tǒng)。

例1：某企業(yè)網(wǎng)絡(luò)是物理隔離，某攻擊者為了能進(jìn)入該網(wǎng)絡(luò)內(nèi)部，以求職的或買通網(wǎng)絡(luò)管理人員等方式混入企業(yè)內(nèi)部，通過終端上接如wifi、撥號(hào)、vpn等手段，讓物理隔離的網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行聯(lián)系，從而讓攻擊團(tuán)隊(duì)的其他人通過遠(yuǎn)程攻擊獲取相應(yīng)資料。

例2：搭線與翻垃圾箱，前邊的一種社工技術(shù)是確定物理隔離的企業(yè)網(wǎng)線或光纖埋放地點(diǎn)，通過搭線的方式遠(yuǎn)程入侵信息系統(tǒng)，后邊則是通過翻找公司垃圾的方式查找紙質(zhì)文件，為了獲得一個(gè)登陸密碼或者vpn帳號(hào)。

例3：通過電話等手段獲取公司員工郵件列表，給所有的員工群發(fā)包含跨站的木馬的郵件，竊取登陸帳號(hào)。

解決方案：社會(huì)工程學(xué)的入侵變化多樣，難以防范。只有在安全運(yùn)維、安全管理制度上多下功夫才可能避免。比如對(duì)服務(wù)器的所有操作實(shí)行雙人制，一人操作一人負(fù)責(zé)記錄。對(duì)于報(bào)廢資料進(jìn)行粉碎銷毀處理等。

這些以技術(shù)為核心，以贏利為目的針對(duì)特定目標(biāo)發(fā)起的社會(huì)工程攻擊讓我們心驚膽戰(zhàn)。

二、網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)

1．防火墻技術(shù)發(fā)展趨勢(shì)

防火墻作為簡(jiǎn)單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個(gè)更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測(cè)和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。

通過分類檢測(cè)技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高，將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測(cè)技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測(cè)技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。

一體化統(tǒng)一管理，使用戶能夠有效地對(duì)信息產(chǎn)品進(jìn)行管控。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。

2．入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)

入侵檢測(cè)技術(shù)將從簡(jiǎn)單的事件報(bào)警逐步向趨勢(shì)預(yù)測(cè)和深入的行為分析方向過渡。IMS（Intrusion Management System，入侵管理系統(tǒng)）具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特征，將逐步成為安全檢測(cè)技術(shù)的發(fā)展方向。

IMS體系的一個(gè)核心技術(shù)就是對(duì)漏洞生命周期和機(jī)理的研究，這將是決定IMS能否實(shí)現(xiàn)大規(guī)模應(yīng)用的一個(gè)前提條件。從理論上說，在配合安全域良好劃分和規(guī)模化部署的條件下，IMS將可以實(shí)現(xiàn)快速的入侵檢測(cè)和預(yù)警，進(jìn)行精確定位和快速響應(yīng)，從而建立起完整的安全監(jiān)管體系，實(shí)現(xiàn)更快、更準(zhǔn)、更全面的安全檢測(cè)和事件預(yù)防。

3．防病毒技術(shù)發(fā)展趨勢(shì)

防病毒技術(shù)從特征比對(duì)，虛擬機(jī)技術(shù)向靜態(tài)反匯編級(jí)的關(guān)鍵鉤子特征比對(duì)技術(shù)發(fā)展。這種技術(shù)目前來說只存在于實(shí)驗(yàn)室當(dāng)中，因?yàn)橛布l件的限制，kvp等廠商應(yīng)用的虛擬機(jī)技術(shù)由于使系統(tǒng)運(yùn)行速度變慢遭到很多國內(nèi)外用戶的排斥，而反匯編級(jí)的特征對(duì)比技術(shù)需要大量的系統(tǒng)運(yùn)算作為基礎(chǔ)，所以未來的硬件發(fā)展是防病毒技術(shù)發(fā)展的關(guān)鍵。

安全技術(shù)和安全管理不可分割，它們必須同步推進(jìn)。因?yàn)榧幢阌辛撕玫陌踩O(shè)備和系統(tǒng)，如果沒有好的安全管理方法并貫徹實(shí)施，那么安全也是空談。安全管理的目的在于兩點(diǎn)：一是最大程度地保護(hù)網(wǎng)絡(luò)，使其安全地運(yùn)行；二是一旦發(fā)生攻擊時(shí)可以準(zhǔn)確的分析定位。

結(jié)論

網(wǎng)絡(luò)安全攻擊與防范的研究，是目前國際上十分活躍的一個(gè)研究領(lǐng)域。通過國內(nèi)國際安全研究機(jī)構(gòu)及安全廠商的不懈努力來提高國家、大型企業(yè)對(duì)網(wǎng)絡(luò)安全危機(jī)事件的應(yīng)對(duì)能力。國內(nèi)網(wǎng)絡(luò)安全的研究，是在長期借鑒國外已有先進(jìn)經(jīng)驗(yàn)和自我實(shí)踐的過程中逐漸形成的，依靠大家的共同努力進(jìn)一步的完善過程中。

【編輯推薦】

1. 淺析如何保衛(wèi)3G網(wǎng)絡(luò)安全
2. 網(wǎng)站防范XSS攻擊的關(guān)鍵思考
3. 維護(hù)網(wǎng)絡(luò)安全的關(guān)鍵所在
4. 常見保護(hù)的攻擊:序列號(hào)方式
5. 五大方法減少跨站請(qǐng)求偽造（CSRF）攻擊