孙道军：筑牢网络安全防线构建清朗网络空间 − 社会 − 文稿 − 报告 − 宣讲家网

孙道军-专家

孙道军中国传媒大学经济与管理学院教授

一、什么是网络空间安全

所谓网络空间，是指信息环境中的一个全球性领域，由相互依赖的信息技术基础设施网络组成，包括互联网、电信网络、计算机系统以及嵌入式处理器和控制器。也就是说，它涉及物理设备和虚拟网络、信息数据以及由此产生的社会和经济活动。因此，网络空间安全就成为一个非常重要的命题。

所谓网络空间安全，是指保护网络空间中的信息，包括通信网络、计算机系统以及其他相关基础设施免受未经授权的访问、使用、披露、破坏、修改或干扰的一系列策略、技术和措施。因此，筑牢网络安全防线就是当今一项非常重要的工作，关系到国家安全、经济发展、社会稳定以及公民个人信息安全。

当前，网络空间面临哪些安全问题？主要有三个：第一个是获取访问权限，攻击者通常会利用探测到的信息、分析目标系统漏洞、获取其访问权限，也就是会通过各种手段非法获取目标系统的访问权限；第二个是消除网络痕迹，攻击者为了隐藏攻击行为和路径，通常会通过清除事件日志、隐藏遗留文件、更改系统设置等手段消除痕迹；第三个是网络深入攻击，攻击者进入目标系统之后会通过系统漏洞进行一系列破坏，如窃取个人信息、植入病毒软件、加密系统数据。

那么，常见的网络攻击有哪些？主要有四类：第一类，控制类攻击，攻击者通过口令攻击、缓冲区溢出攻击等手段试图获取目标主机控制权；第二类，漏洞类攻击，攻击者利用系统和硬件安全方面的脆弱性获得未授权访问；第三类，欺骗类攻击，攻击者通过冒充合法网络主机来骗取敏感信息，常见方法有ARP缓存虚构、伪造电子邮件等；第四类，破坏类攻击，攻击者对目标主机的各种数据进行破坏，常见方法有计算机病毒、“逻辑炸弹”等。

任何一种网络攻击行为在实施前都会进行一系列恶意侦测活动。一般这些活动分为四步：第一步，隐藏地址，攻击者通过“傀儡机”隐藏真实IP地址，而“傀儡机”就是已经被攻击者控制的机器；第二步，锁定目标，通过扫描系统，分析潜在攻击价值，进而确定潜在目标系统；第三步，搜集信息，全面分析、了解目标系统的网络结构和安全状态；第四步，寻找漏洞，寻找系统潜在弱点，发现安全漏洞。

在这一系列恶意侦测活动中，攻击者还会部署一些“诱饵”，诱使我们打开系统门户。那么，常见的恶意侦测系统的“诱饵”有哪些？主要有五种：第一种是病毒软件，通过安装对计算机有危害的程序代码，也就是恶意代码，来操作目标系统；第二种是钓鱼网站，通过伪装成银行网站或电商网站等，窃取用户银行账号、密码等信息；第三种是“信息找回”，通过伪装成信息找回助手，盗取个人敏感信息，如银行支付密码、验证码等；第四种是免费WIFI，利用人们“占便宜”的心理强迫用户看广告，背地里还悄悄收集用户隐私；第五种是软件诈骗，通过诱导人们下载虚假软件，窃取个人信息或恶意控制系统。

那么，我们的网络系统遭遇攻击后会有哪些主要表现？一是文件打不开，如系统无法识别文件、文件被加密或损坏。二是提示内存不够或硬盘空间不足，诱导我们清理硬盘或内存，下载有关软件。三是终端经常死机，可能由系统正被攻击、或大量程序运行、又或系统被干扰所导致。四是数据丢失或被破坏、加密，特别是一些敏感信息或是有价值的信息泄露，还可能会造成严重后果。五是出现大量不明文件，说明系统内被植入了病毒，或是被安装了恶意软件，它们每天都在扫描系统，生成日志，所以产生了大量文件。六是系统运行速度变慢，通常是大量非法命令执行过程中占用内存过高所导致。七是系统自动操作，比如手机被恶意操控不断自动转账，这是手机系统被攻击的一个重要表现。

那么，如何防范网络攻击？我们通常采用网络空间安全监控和入侵侦测技术。比如端口扫描技术，它是一种常见的网络入侵技术，其入侵行为与用户正常行为存在可量化的差别，通过检测当前用户行为的相关记录，可以判断攻击行为是否发生。那么在检测过程中，就涉及统计网络异常检测的技术。这种技术通常分为两类：一类是基于规则的异常检测和渗透检测，就是通过观察系统里发生的事件并将规则进行匹配，来判断该事件是否与某条规则所代表的入侵行为相对应；另一类是基于行为剖面的检测和阈值检测，就是收集一段时间内合法用户的数据，然后利用统计学测试方法分析用户行为，以判断用户行为是否合法。