1.1 網絡攻防

根據GB/T 37027—2018《信息安全技術網絡攻擊定義及描述規范》中的定義，網絡攻擊（Network Attack）是指通過計算機、路由器等計算資源和網絡資源，利用網絡中存在的漏洞和安全缺陷實施的一種行為。

根據GB/T 22239—2019《信息安全技術網絡安全等級保護基本要求》中的定義，網絡安全（Cybersecurity）是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

針對不同的安全威脅，通過采用對應的安全防護手段，才能保障網絡和信息系統的安全。

1.1.1 網絡攻防簡介

網絡攻擊是指利用網絡信息系統存在的漏洞和安全缺陷對系統和資源進行攻擊。網絡信息系統所面臨的威脅來自很多方面，而且會隨著時間的變化而變化。從宏觀上看，這些威脅可分為自然威脅和人為威脅。自然威脅來自于各種自然災害、惡劣的場地環境、電磁干擾、網絡設備的自然老化等，這些威脅是無目的的，但會對網絡通信系統造成損害，危及通信安全。而人為威脅是對網絡信息系統的人為攻擊，通過尋找系統的弱點，以非授權方式達到破壞、欺騙和竊取數據信息等目的。兩者相比，精心設計的人為攻擊威脅難防備、種類多、數量大。

安全威脅的表現形式有很多種，簡單到僅僅干擾網絡正常的運行，通常把這種攻擊稱為拒絕服務（Denial of Service，DoS）攻擊，也可以復雜到對選定的目標主動地進行攻擊、修改或控制網絡資源。常見的安全威脅包括口令破解、漏洞攻擊、特洛伊木馬攻擊、IP地址欺騙、網絡監聽、病毒攻擊、社會工程攻擊等。通常情況下，上述的安全威脅并不是單獨存在的，大多數成功的攻擊都是結合了上述幾種威脅來完成的。例如，緩沖區溢出攻擊破壞了正常的服務，但破壞服務運行的目的是執行未授權的或危險的代碼，從而使惡意用戶可以控制目標服務器。在現實中，安全威脅的種類很多，手法也千變萬化。常見的安全威脅如圖1-1所示。

網絡防護指綜合利用己方網絡系統功能和技術手段保護己方網絡和設備，使信息在存儲和傳輸過程中不被截獲、仿冒、竊取、篡改或消除。常用的網絡防護手段包括加密技術、訪問控制、檢測技術、監控技術、審計技術等。網絡攻擊和網絡防護是一對“矛”和“盾”的關系，網絡攻擊一般超前于網絡防護。

1.網絡安全屬性

網絡安全（Cybersecurity）指保障網絡數據的完整性、保密性、可用性的能力。完整性、保密性、可用性也是網絡安全的三個基本屬性。網絡攻擊本質上是對網絡安全的三個屬性實施破壞。

（1）完整性

完整性是指信息未經授權不能進行改變的特性，即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。數據的完整性是指保證計算機系統上的數據和信息處于一種完整和未受損害的狀態，這就是說，數據不會因為有意或無意的事件而被改變或丟失。除了數據本身不能被破壞外，數據的完整性還要求數據的來源具有正確性和可信性，也就是說，首先需要驗證數據是真實可信的，再驗證數據是否被破壞。影響數據完整性的主要因素是人為的蓄意破壞，也包括設備故障和自然災害等因素對數據造成的破壞。

（2）保密性

保密性是指網絡中的信息不被非授權實體（包括用戶和進程等）獲取與使用。這些信息不僅包括國家機密，也包括企業和社會團體的商業機密和工作機密，還包括個人信息。人們在應用網絡時很自然地要求網絡能提供保密性服務，而被保密的信息既包括在網絡中傳輸的信息，也包括存儲在計算機系統中的信息。就像電話內容可以被竊聽一樣，網絡傳輸的信息也可以被竊聽，解決的辦法就是對傳輸的信息進行加密處理。存儲信息的保密性主要通過訪問控制來實現，不同用戶對不同數據擁有不同的訪問權限。

（3）可用性

可用性是指對信息或資源的期望使用能力，即可以授權實體或用戶訪問并按要求使用信息的特性。簡單地說，可用性就是保證信息在需要時能為授權者所用，防止由于主/客觀因素造成的系統拒絕服務。例如，網絡環境下的拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。蠕蟲就是通過在網絡上大量復制并且傳播，占用大量的CPU處理時間，導致系統越來越慢，直到系統崩潰，用戶的正常數據請求不能得到處理，這就是一個典型的“拒絕服務”攻擊。

2.網絡安全術語規范

網絡信息技術日新月異，互聯網全面融入經濟社會生產和生活各個領域，引領了社會生產新變革，其已成為21世紀影響和加速人類歷史發展進程的重要因素。掌握常見的網絡安全術語，有助于更好地理解和學習網絡安全知識。以下是一些網絡安全領域常用術語。

（1）肉雞

肉雞是一種很形象的比喻，比喻那些可以被攻擊者控制的計算機、手機、服務器、攝像頭、路由器等設備，用于發動網絡攻擊。

（2）僵尸網絡

僵尸網絡（Botnet）是指采用一種或多種傳播手段，將大量主機感染病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。

（3）木馬

木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發送密碼、記錄鍵盤和DoS攻擊等特殊功能的后門程序。木馬偽裝成正常的程序，在程序執行時，獲取系統控制權限。

（4）網頁木馬

網頁木馬表面上偽裝成普通的網頁或是將惡意代碼直接插入到正常的網頁文件中，當有人訪問時，網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬服務端植入到訪問者的計算機中，從而自動將受影響的訪問者計算機變成肉雞或納入僵尸網絡。

（5）蠕蟲病毒

蠕蟲病毒是一類相對獨立的惡意代碼，它利用了聯網系統的開放性，通過可遠程利用的漏洞自主地進行傳播，受到控制的終端會變成攻擊的發起方，嘗試感染更多的系統。蠕蟲病毒的主要特性是它具有很強的自我復制能力、傳播性、潛伏性、特定的觸發性和很大的破壞性。

（6）勒索病毒

勒索病毒主要以郵件、程序木馬、網頁木馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能還原被加密的文件。

（7）攻擊載荷

攻擊載荷是系統被攻陷后執行的一段惡意代碼。通常攻擊載荷附加于漏洞攻擊模塊之上，隨漏洞攻擊一起分發，并可能通過網絡獲取更多的組件。

（8）嗅探器

嗅探器是能夠捕獲網絡報文的設備或程序。嗅探器的正當用途是分析網絡的流量，以便找出所關心網絡中潛在的問題。

（9）漏洞

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而使攻擊者能夠在未授權的情況下訪問或破壞系統。

（10）網絡釣魚

網絡釣魚是指攻擊者利用欺騙性的電子郵件或偽造的Web站點等來進行網絡詐騙活動。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息或郵件賬號與口令。受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬號、身份證號、郵箱等內容。

1.1.2 網絡攻防發展趨勢

當前，網絡攻擊和防御兩個方面表現出越來越不對稱的發展。網絡攻擊表現出自動化、智能化、工具復雜化、漏洞利用快速化等特點，并且從一般的黑客組織發展到國家行為，給網絡安全防御帶來了嚴重挑戰。網絡安全已經全面進入智能防御時代，融入人工智能技術成為網絡攻防的新常態。隨著安全威脅不斷變化升級，集“預警、保護、檢測、響應、恢復”于一體的網絡安全主動防御技術應運而生。近年來，我國不僅在網絡安全技術產品和人才隊伍建設上取得新成就，而且頒布了《中華人民共和國網絡安全法》《網絡安全等級保護條例（征求意見稿）》等多部法律法規，為網絡安全產業發展保駕護航，網絡安全形勢整體向好。當前，網絡攻擊呈現出如下幾個趨勢。

（1）入侵工具越來越復雜

攻擊工具的開發者正在利用更先進的技術武裝攻擊工具，攻擊工具的特征比以前更難發現，已經具有反偵破、動態行為、更加成熟等特點。攻擊工具已經發展到可以通過升級或更換工具的部分模塊進行擴展，進而發動迅速變化的攻擊；且在每一次攻擊中會出現多種不同形態的攻擊工具；還有，在實施攻擊時，許多常見的攻擊工具使用了如IRC或HTTP等協議，從攻擊者處向被攻擊計算機發送數據或命令，使得正常、合法的網絡傳輸流與攻擊信息流的區分變得越來越困難。

（2）黑客利用安全漏洞的速度越來越快

新發現的各種安全漏洞每年都要增加一倍，每年都會發現安全漏洞的新類型，網絡管理員需要不斷用最新的軟件補丁修補這些漏洞，黑客經常能夠搶在廠商修補這些漏洞前發現這些漏洞并發起攻擊。漏洞發展趨勢如圖1-2所示。

（3）自動化程度和入侵速度不斷提高

自動化攻擊在攻擊的每個階段都發生了新的變化。在掃描階段，掃描工具的發展，使得黑客能夠利用更先進的掃描模式來改善掃描效果，提高掃描速度；在滲透控制階段，安全防護脆弱的系統更容易受到損害。攻擊傳播技術的發展，使得以前需要依靠人工啟動軟件工具發起的攻擊，發展到攻擊工具可以自啟動發動新的攻擊；在攻擊工具的協調管理方面，隨著分布式攻擊工具的出現，黑客可以很容易地控制和協調分布在Internet上的大量已部署的攻擊工具。

（4）攻擊門檻越來越低

隨著攻擊工具的不斷演變升級，攻擊技術不斷進步，攻擊者可以較容易地使用自動化工具發動破壞性攻擊。隨著黑客軟件部署自動化程度和攻擊工具管理技巧的提高，安全威脅的不對稱性將繼續增加，攻擊門檻越來越低，而防守難度則越來越大。

（5）攻擊網絡基礎設施產生的破壞效果越來越大

由于用戶越來越多地依賴計算機網絡提供的各種服務來完成日常業務，黑客攻擊網絡基礎設施造成破壞的影響越來越大。例如，攻擊者通過攻擊路由器、刪除全球Internet的路由表，使得本應該發送到一個網絡的信息流改向傳送到另一個網絡，從而造成對兩個網絡的拒絕服務攻擊。

（6）網絡攻擊武器軍事化

美國軍方和情報機構正在打造全球最大的網絡武器庫，包括挖掘軟件和系統漏洞、開發木馬病毒和其他“武器化惡意軟件”，用于網絡攻擊甚至網絡戰。網絡攻擊武器堪比核武器、生化武器，可能對全球基礎設施和各國正常生產、生活造成嚴重破壞。