贺军 汉江水利水电（集团）有限责任公司网信中心

习近平主席在《中央网络安全和信息化领导小组第一次会议上的讲话》中指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。”可以看出国家对网络安全的高度重视。那什么是网络安全？络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

当前信息化技术日新月异，各种硬件、软件成出不穷，各种应用系统也在我们的工作和生活中发挥了巨大的作用。比如：在平时办公中使用比较多的ERP 系统、OA 系统等大型应用；在平时生活中使用比较多的某宝、某信等社交软件。这些应用系统后端都是由各种硬件、软件组成。如果受害者在平时的工作和生活中安全意识不高，那么被黑客利用或遭受网络攻击的风险就会加大。这样的网络攻击会因为受害者接触到的数据重要性的高低而产生不同的危害。如果受害者是一位高级管理人员，那么势必会对你的工作和生活带来极大的危害。

俗话说：“知己知彼，百战不殆”。为了提高网络安全意识，降低硬件、软件的安全风险。我们有必要了解黑客进行网络攻击的全过程。笔者根据多年进行网络攻防的工作经验和相关资料的学习发现，攻击者在确定网络攻击目标后，大部分都有以下几个攻击阶段：信息的收集阶段；漏洞利用阶段；数据窃取阶段；后期利用阶段；社会工程学阶段；横向扩展阶段。由于社会工程学攻击涵盖的范围和攻击手段更加的隐蔽，不是本次网络攻击需要讨论的方向，因此，社会工程学攻击不在这里展开。

在信息的收集阶段，攻击者主要通过互联网上的网站、外网挂载的资料、论坛等相关内容，分析攻击目标的网络结构、单位组织架构、供应商和客户群体，服务提供商等信息。主要是为了获取大量的信息为后期的网络攻击做准备。例如：通过某单位的外网域名解析信息，发现域名解析的地址是内网私有地址。虽然这样的解析方式能够方便平时内部员工的上网需求，但是在域名解析都转发给了公网域名服务器后，内网的IP 地址就完全暴露。如果攻击者攻入内网，这个内网的IP 地址就成为横向扩展和扫描的方向和目标。另一方面，针对部署在公网的服务器和应用的信息收集也是非常危险的。这部分收集主要是查找部署在公网服务器、防火墙、VPN、邮件网关等设备的漏洞。如果存在已知高危或0day 漏洞，那么被黑客入侵成功的可能性也就大大提高。因此，平时养成良好的工作习惯，及时更新部署在公网系统、数据库、web 的漏洞补丁是非常有必要的。

在漏洞利用阶段，攻击者大部分都已经发现了重大的安全隐患，并且已经能够通过利用该安全隐患进行相应的网络攻击。比如：比较常见的windows 系统安全漏洞MS17-010。如果攻击者发现某台服务器上存在这个安全漏洞，那么就可以直接利用这个漏洞控制目标服务器，并能在这台服务器上进行提权、数据收集、网络架构分析、密码获取等操作。因此，建议能够在系统部署前期进行安全基线检查和配置，并安装正版防火墙和杀毒软件升级系统补丁。虽然系统层面的漏洞可以通过系统升级到很好解决，但是比较难以防范的漏洞主要还是SQL 注入和WEB 程序等发生在应用层面上的漏洞。这种情况的漏洞还是建议有条件的公司在应用系统部署前进行相应的代码审计或者购买部署WAF 防火墙。

在入侵成功后的数据窃取阶段，主要是为了获得网络攻击目标的核心数据。如果当前已经攻入目标系统，那需要做的可能就是窃取核心数据，并下载到本地。如果攻击的是边缘系统，很可能下一步就是横向扩展继续攻击，或者建立后门或隧道。针对横向扩展最为有效的防护方法就是安装防火墙和绑定MAC 地址；针对后门或隧道的攻击最为有效的防护方法就是梳理本单位应用系统业务服务端口情况和业务逻辑流向，并结合梳理的应用系统逻辑架构和部署在每个服务器上的（防病毒、防网络攻击、防入侵、检查安全基线的一体化）虚拟防护平台，对网络流量进行严格管控。

在后期利用阶段，主要是为了隐蔽攻击者的攻击过程，并在需要使用的时候进行僵尸服务器的唤醒，同时利用僵尸服务器进行其他攻击。为了应对这个阶段的攻击，最为有效的防护方式就是除了在服务器上安装正版杀毒、防火墙、虚拟防护软件以外，部署全网络的日志审计系统，对核心网络的日志进行相应的分析，并与防火墙联动，进行异常流量的自动阻断操作。

通过以上网络安全攻防的简单技术分析，相信您会发现网络攻击套路和防护方法是可防可控的。作为一个信息化工作的从业人员，我们有义务维护整个网络的安全稳定运行，只有加强网络安全意识、提高网络防范能力、保护网络安全运行、降低网络安全风险，才能让我们的网络更加稳定、数据更加安全。