何小平

摘要：当今的网络安全不再仅仅局限于网络本身的安全、更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。全球网络安全已经进入大安全时代。这也意味著互联网面临的网络安全风险会越来越多，在典型业务场景下诸如社交网络、网站体系、敏感信息泄露、物联网、移动互联网、工控系统、云计算、区块链等方面会面临各种各样新型的攻击。人们已经认识到，当下及以后若要实现网络安全所要面临和解决的问题是复杂多样的。因此，我们有必要对网络安全的现状及其存在的风险做相关研究分析，从而进行有效的防范。

关键词：大安全;网络强国;安全意识;物联网

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2020）02-0025-03

1 我国网络安全现状分析

我国接入互联网历时已有20余年，20多年来，中国互联网抓住机遇，快速推进，成果斐然。2019年8月30日，CNNIC发布第44次互联网发展报告 中国网民规模达8.54亿，中国已是名副其实的“网络大国”。但是另外一些数据却显示，大不一定强，中国离网络强国目标仍有差距，尤其凸显在网络安全领域。中国面临的网络安全方面的任务和挑战日益复杂和多元。中国目前是网络攻击的主要受害国。2019年2月28日，2019中国IT市场年会·网络安全高峰论发布的《中国网络安全发展白皮书（2019）》中提到在2018年，数据泄露仍为发生最为频繁的安全事件，安全漏洞数量和严重性创下历史新高，黑客攻击、勒索病毒等事件也愈发猖獗复杂，对社会造成了严重的不利影响。

2013年，中央国家安全委员会正式成立;2014年，中央网络安全和信息化领导小组成立，习近平中共中央总书记、国家主席、中央军委主席习近平亲自担任组长，李克强、刘云山任副组长，再次体现了中国最高层全面深化改革、加强顶层设计的意志，显示出在保障网络安全、维护国家利益、推动信息化发展的决心;2018年4月20日至21日，在北京召开的全国网络安全和信息化工作会议，习近平讲话首次明确网络强国战略思想指导地位。

2 大安全视角下的网络安全

纵观全球，网络安全威胁愈演愈烈。如伊朗“震网”病毒、乌克兰电力中断事件、棱镜门事件、心脏滴血漏洞、勒索病毒、Facebook数据泄露等，无一例外，都造成了极为严重的影响和破坏。攻击手段及方式发生了很大变化，网络攻击已从虚拟网络渗透到物理世界，以传统PC为跳板的攻击发展到IOT系统，利用0day攻击延伸到常规漏洞结合专有场景等。带来的影响也不仅仅是网络安全隐患及威胁，政治、经济、社会心态、法规制度都会受到网络攻击的影响。因此，当今的网络安全不再仅仅局限于网络本身的安全、更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。这也是所谓的大安全视角下的网络安全。全球网络安全已经进入大安全时代，这也意味着互联网面临的网络安全风险会越来越多，在典型业务场景下诸如社交网络、网站体系、敏感信息泄露、物联网、移动互联网、工控系统、云计算、区块链等方面会面临各种各样新型的攻击[1]。

3 大安全视角下的网络安全风险分析与防范

传统意义上人们都认为网络安全风险大部分是来自于基于病毒木马、溢出攻击、越权访问、SQL注入、跨站脚本、拒绝服务、系统漏洞、中间人攻击、暴力破解等常见网络渗透攻击技术开展的攻击[2]。大安全视角下技术只是作为攻击的一种手段。攻击者会从网络空间的四个维度来进行分析进而攻击，即由终端、链路、节点相连接构成的网络物理实体—物理域、由网络协议、软件、数据构建的信息活动域—逻辑域、由信息交互产生的知识、情感、信念和价值观组成的无形域—认知域、由网络连接形成的社区、群体等社会活动域—社会域。以下展开阐述安全风险案例。

（1） 社交网络触发的信息风暴及防范

韩国前总统朴槿惠下台原因之一就是由于社交网络而触发的信息风暴。整个事件是这样一个过程：郑维罗FaceBook炫富—骑马特长生入学—学生抗议、校长辞职——母亲崔顺实曝光——朴槿惠内阁解散。撇开其他政治因素等原因，社交网络触发的信息风暴正是朴槿惠下台的直接原因。“高铁霸座男”“奔驰女车主维权”等都属于社交网络触发的信息风暴。

要避免信息风暴带来的威胁，作为一般用户，应尽可能地避免在社交网络中透露自己的个人信息，有意或是无意地把一些与自己的个人隐私信息在朋友圈、微博、论坛等各种社交媒体中展示。

（2） 移动互联网生态链攻击风险

在当前移动互联网生态链中，安全问题不仅仅是手机安全问题了。从终端硬件到智能终端操作系统、应用商店与应用软件等都存在着风险隐患。智能终端“后门”、操作系统漏洞、操作系统API安全保护缺陷。应用软件的资费消耗、隐私窃取、诱骗欺诈、恶意扣费、远程监控、系统破坏、恶意传播、流氓行为等。应用商店应用审核管理欠缺、监管力度弱、境外应用服务器管理困难。整个生态都存在着安全隐患。比如微信支付曝“0元购”漏洞;“寄生推”病毒作恶，2000万用户遭殃—安卓bootkit通过刷机感染设备;垃圾短信群发视频;应用漏洞在各类APP中的分布比例;“共享充电站”让你秒变透明人等。

防范移动互联网生态链攻击，重点是要有移动安全防护意识。做到以下几点，能降低风险：从正规应用市场或渠道下载APP;及时安装系统更新和软件更新，安装杀毒软件; 给APP设置合理的权限，能禁止的权限尽量禁止;设置手机开机密码，保护APP的安全，在设置窗口中，选择锁屏和密码选项;尽量选择安全口碑较好、用户权益保护良好的银行办理业务;谨慎使用手机银行APP执行转账等敏感操作，大额转账后应和对方确认;提高信息安全意识，保护个人隐私数据。

（3） 敏感信息泄露风险

《网络安全法》中的第44条、47条、43条对信息泄露相关规定中明确指出，对公民个人信息安全进行保护、个人信息被冒用有权要求网络运营者删除、网络运营者加强对其用户发布的信息的管理。然而依然存在着各种各样的信息泄露事件造成了极大的影响。如2016年8月，由于考生信息泄露，准大学生徐玉玉遭遇精准电信诈骗，近万元学费被诈骗分子骗走，导致其伤心过度，郁郁离世。AcFun站惨遭黑客攻击，近千万条用户数据泄露，此次泄露的用户数据包含用户ID、用户昵称、加密存储的密码等信息，所有用户密码都经过加密，没有明文密码。2018年华住旗下酒店开房数据（汉庭，桔子，全季等）遭暗网售卖，给用户带来极大的影响。

对于敏感信息泄露问题，我们应从信息泄露的主要渠道入手来防控该风险，如减少避免系统被入侵、密码被盗用、避免工作中丢失泄露信息、防止内部用户主动盗卖信息等。

（4） 钓鱼网站

钓鱼网站，通常指伪装成银行及电子商务，窃取用户提交的银行账号、密码等私密信息的网站。钓鱼网站通常以幸运观众、低价机票、电话充值、征婚交友等为名诱骗用户填写身份信息、银行账户等;或者模仿支付宝、网上银行等，窃取用户账号密码信息。

对于钓鱼网站，如果用户能做到：能从网站细节进行辨别、使用安全浏览器、使用https开头加密协议的支付网站、不盲目相信搜索引擎的推荐，不乱点邮件、微信、短信、QQ中的短网址等，一般防范钓鱼网站也就没有什么问题。

（5） APP仿冒及恶意二维码

一些恶意APP通过盗用正规APP原图、对正规APP图标颜色变化、加入角标或者盗用后加入其他信息等方式仿冒正规的APP，以盗取用户信息或实现攻击。不法分子将二维码病毒链接隐藏在打折促销、广告推广等二维码中，骗取用户话费与敏感信息或引诱下载木马。不法分子将病毒木马挂在网上，得到恶意网址;利用软件将恶意网址转换为二维码;利用各种传播途径传播二维码。

因此在下载及使用APP之前尽量要做真伪鉴别，从官方平台去下载，不随意点击链接下载APP;对于恶意二维码，用户在扫描之前要注意关注其来源（街头的二维码、来源不明的二维码等坚决不扫）;也可以使用二维码安全检测软件协助判断真伪好坏。

（6） 电信诈骗

电信诈骗通常指不法分子通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、飞接触式诈骗，诱使受害人给不法分子打款或转账的犯罪行为。这类行为虽然很老套，但现在仍然有不少用户中招，如前文提到的准大学生徐玉玉案。

对于这类风险，用户要有安全意识，不要相信天上掉馅饼的事情，对于电话、邮箱、短信等发来的中奖信息等不要轻信，涉及要给对方转账等事情坚决不能信、不要做。

（7） 病毒木马攻击

病毒木马攻击案例数不胜数如全球知名的“震网”病毒，导致伊朗纳坦兹铀浓缩离心机组瘫痪;早期的冰河、灰鸽子、熊猫烧香等。

对于木马、病毒的防范注意以下几个方面：不要试图使用软件破解工具，买正版用开源;搜索引擎提供的下载链接并不可靠;软件的原生网站比较可靠、不要执行来历不明的软件或程序;邮件和QQ发过来的软件不要运行，链接不要点;注意所下载的内容的后缀，除非确认，否则不运行;不要上一些乱七八糟的网站;电脑勤打补丁，安装360安全卫士、腾讯管家等;考虑放弃FLASH;如果你身份不一般，注意隐藏自己的身份。

（8） 工业控制系统安全风险

近年来全球重大工业信息安全事件频发，总体风险持续攀升，呈现高危态势。例如乌克兰连续两年发生了由黑客攻击诱发的断电事件。第一次攻击：2015年12月圣诞节期间，至少有三个地区断电，数十万家庭在寒冷的冬季失去了电力;第二次攻击：2016年12月，攻击者对基辅外的Pivnichna变电站的攻击触发了断电，但断电只持续了大约1个小时。2017年5月全球爆发WannaCry勒索病毒[3]。高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理、政府办事等多机构瘫痪。2018年8月3日，台积电感染WannaCry勒索病毒，营收损失17.6亿美元。2019年3月7日，委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时，在委内瑞拉23个州中，一度有20个州全面停电，停电后导致地铁无法运行，交通拥堵、学校、医院、工厂、机场等都受到严重影响，手机和网络也无法正常使用。

目前约有80%的企业从来不对工控系统进行升级和漏洞修补，有52%的工控系统与企业的管理系统、内网甚至互联网连接，一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。工业设备资产管理混乱（许多工业协议、设备、系统缺少维护）;许多工控设备缺乏安全设计（CIA属性、访问控制不严、输入输出安全验证缺乏）;设备联网中的网络数据传递中安全防护不严密;企业内部人员安全意识不强（无意或有意）;生产数据面临丢失、泄露、篡改等安全威胁（通过大数据平台存储或分布在各用户终端、生产终端等设备上）。只有从内部和外部都控制了工业物联网的风险才能真正做到工业控制系统安全。

（9） 物联网安全风险

2017我国IoT设备安全情况统计（CNCERT），在漏洞方面，智能设备漏洞数量大幅增加。国家信息安全漏洞共享平台（CNVD） 2017年公开收录智能设备通用型漏洞2440个， 同比增长118%。按漏洞类型统计，占比排在前三位的类型分别是权限绕过（27%）、信息泄露（15%）、命令执行（13%）。路由器及网关、摄像头及视频系统、机顶盒等类型设备漏洞数量多，是漏洞攻击的重要目标，利用漏洞入侵打印機等办公设备正在成为黑客窃取重要单位内部文件和数据的途径。攻击者通过扫描脆弱的设备或暴力破解，安装恶意软件并自动构建僵尸网络来发动攻击。除此之外，可穿戴设备：如智能手表、手环、无线耳机、鼠标键盘;家庭智能设备：如门锁、智能玩具、音箱;特种行业内设备：如汽车、医疗器械、自动化等都将成为物联网中攻击的对象。RFID在电子票证、出入控制、手机支付等领域已经形成了成熟的应用模式，这些领域的应用多集中于低高频段。超高频RFID是行业发展的重心。超高频RFID在鞋服新零售、无人便利店、图书管理、医疗健康、航空、物流、交通等诸多领域不断普及、发展，未来3～5年，超高频RFID将成为行业发展的重点突破口。近距离无线通信安全-RFID安全威胁有：针对标签攻击：数据窃取、标签破解及复制;针对读写器的攻击：拒绝服务、恶意代码; 针对无线信道的攻击：干扰、嗅探安全防护，对其安全防护的措施有：重要的RFID标签（例如用于身份鉴别），支持Kill和休眠的标签;使用高安全加密算法的标签;涉及资金的应用使用在线核查方式。

物联网才刚刚起步，其安全防护性更是异常脆弱，因此在实际使用过程中尽可能做到以下几方面才能从最大程度上避免遭受破坏和攻击：

? 路由器系统后台和无线密码，都要采用复杂密码。

? 在设置路由器WIFI密码加密时尽量选择WPA2方式。

? 在路由器设备中开启或者安装局域网防护等功能，可以防止被劫持或者被蹭网。

? 经常查看接入设备清单，避免陌生设备入侵。

? 及时升级所有联网设备固件。

? 在家时，关闭部分可能存在安全风险的设备，例如摄像头等。

? 重视个人隐私安全。

（10） WEB体系安全风险

对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击[4]。

Web应用的大多数安全问题：

? 服务器向公众提供了不应该提供的服务，导致存在安全隐患。

? 服务器把本应私有的数据放到了公开访问的区域，导致敏感信息泄露。

? 服务器信赖了来自不可信赖数据源的数据，导致受到攻击。

许多Web服务器管理员从来没有从另一个角度来看看他们的服务器，没有对服务器的安全风险进行检查，例如使用端口扫描程序进行系统风险分析等。如果他们曾经这样做了，就不会在自己的系统上运行那么多的服务，而这些服务原本无须在正式提供Web服务的机器上运行，或者这些服务原本无须面向公众开放。另外他们没有修改对外提供服务的应用程序的banner信息，使攻击者容易获取到Web服务器对外提供应用程序的相关版本信息，并根据信息找到相对应的攻击方法和攻击程序。

许多Web应用程序容易受到通过服务器、应用程序和内部已开发的代码进行的攻击。这些攻击行动直接绕过了周边防火墙安全措施，因为端口80或 443（SSL，安全套接字协议层）必须开放，以便让应用程序正常运行。Web应用安全存在非法输入、失效的访问控制、失效的账户和线程管理、跨站脚本攻击、缓冲区溢出、注射攻击、異常错误处理、不安全的存储、拒绝服务攻击、不安全的配置管理等问题。Web应用程序攻击包括对应用程序本身的DoS（拒绝服务）攻击、改变网页内容、SQL注入、上传Webshell以及获取对Web服务的控制权限等。

随着多形态攻击的数量越来越多，传统防护手段的安全效果也越来越差，总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。更为严峻的是，传统的仅针对终端设备的防病毒解决方案并不能应对当前变化多端的web应用安全威胁。

作为个人用户来说，应该本身对网络安全防范的加深和正确认识，不断提高自身的计算机及网络应用技术水平加固计算机的安全，以及努力克服自己的好奇心，消除贪图小便宜的心理，规范自己的网络操作行为，来缓解决web应用安全问题日趋严重的趋势。

对于企业用户，针对Web应用的安全产品，可以分为网络、Web服务器自身以及程序安全三方面。在网络方面，可以考虑将防火墙、IDS/IPS、安全网关、防病毒墙等产品部署在Web服务器前面，这样可以防御大部分的攻击。此外，可以通过部署更安全的Web服务器、Web服务器自身的保护系统，比如网页防篡改保护系统（防篡改保护和恢复软件）、恶意主动防御系统、访问控制系统、审计系统等产品，做到自动扫描和监控，从而保护系统和文件。

总之，Web应用攻击之所以与其他攻击不同，是因为它们很难被发现，而且可能来自任何在线用户，甚至是经过验证的用户。所以我们要做到“两手抓、两手都要硬”，用一句形象的比喻来说明：防火墙/入侵检测系统/防病毒网关等如同金钟罩铁布衫等外功，防止明枪，而更重要的是需要修炼太极等内功，弥补自身的漏洞，躲避暗箭，内外兼修的效果将使您的企业纵横江湖。

（11） 云计算环境安全风险

2014年，好莱坞爆发史上最严重的“裸照门”风波！黑客利用苹果手机iCloud云端漏洞，窃取影星、歌手和名模裸照，女星们人人自危。2018年腾讯云故障等均说明云计算也存在大量安全风险。云计算主要使用的是虚拟化技术，面临的常见攻击有[5]：

? VM Hopping攻击： 虚拟机访问另外一台虚拟机或宿主机。

? 虚拟机逃逸攻击： 获取Hypervisor访问权限，控制其他虚拟机。

? 远程管理漏洞： XSS或SQL注入虚拟机的管理平台。

? 拒绝服务攻击： 宿主机资源紧张和系统崩溃。

在公有云的环境下，租户可通过选配云计算供应商在平台中集成的安全模块来对租户拥有的各虚拟机进行传统安全防护[6]。

在私有云的环境下，企业IT管理者可通过购置专业信息安全厂商提供的云安全平台来对私有云平台进行传统安全防护[7]。

4 结束语

大安全视角信息安全风险无处不在，对安全风险的防范应做到对新威胁必须注重整体防御;通过大数据发现高级威胁;使用AI处理安全大数据;从云+端+边缘做到IoT安全[8]。只有真正做好了防范，才能实现一个理想的网络安全状态，即攻击者进不去;非授权者信息拿不到;窃密信息看不懂;系统信息改不了;系统工作瘫不成;攻击行为赖不掉[9]。

参考文献：

[1] 陶群.医院信息化建设中的网络安全与防护[J/OL].电子技术与软件工程，2019（17）：196-197.

[2] 尹一兵.网络通讯安全的重要性与技术维护措施[J/OL].电子技术与软件工程，2019（17）：199-200.

[3] 吴崇斌，成星恺.勒索软件发展现状及应对[J].通讯世界，2019，26（08）：111-112.

[4] 周龙，王晨，史崯.基于RNN的Webshell检测研究[J/OL].计算机工程与应用，2019（8）：1-7.

[5] 李珊，范超.基于大数据的计算机信息安全问题[J].技术与市场，2019，26（08）：134+136.

[6] 周子敬.大数据云计算下网络安全技术实现的路径研究[J].网络安全技术与应用，2019（08）：5-7.

[7] 姜年昌.基于云计算环境的信息系统信息安全探讨[J].网络安全技术与应用，2019（08）：12-14.

[8] Subramanian Balaji，Eanoch Golden Julie，Yesudhas Harold Robinson，Raghvendra Kumar，Pham Huy Thong，Le Hoang Son. Design of a security-aware routing scheme in Mobile Ad-hoc Network using repeated game model[J]. Computer Standards & Interfaces，2019，66.

[9] Karel Durkota，Viliam Lis?，Branislav Bo?ansk?，Christopher Kiekintveld，Michal Pěchou?ek. Hardening networks against strategic attackers using attack graph games[J]. Computers & Security，2019.

【通联编辑：代影】