互聯網安全內容安全及防禦

時間 2019-12-06

原文原文鏈接

（因爲互聯網的開放性和匿名性，致使各類違規內容層出不窮，如何經過技術手段來防範，阿里雲安全專家風邊爲你詳細解讀。）網絡

簡介：架構

互聯網安全是一門涉及計算機科學、網絡技術、通訊技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。互聯網安全從其本質上來說就是互聯網上的信息安全。從廣義來講，凡是涉及到互聯網上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。less

背景：網站

「互聯網」指的是全球性的信息系統，是可以相互交流，相互溝通，相互參與的互動平臺。所以互聯網安全問題，應該象每家每戶的防火防盜問題同樣，作到防範於未然。甚至不會想到你本身也會成爲目標的時候，威脅就已經出現了，一旦發生，經常措手不及，形成極大的損失。阿里雲

網絡安全問題既同互聯網原初架構有關，也同做爲主要終端設備的我的電腦有關。首先，根據經典的「端對端」原則( end － to － end principle) ，互聯網的設計應該儘可能保持數據傳輸過程的簡捷，將對數據的認證置於終端而非傳輸過程之中。互聯網獨特的TCP /IP 協議將數據分割成若干數據包，只有在傳輸至終端設備時才能被從新組裝，成爲完整的信息，在此過程當中運營商沒法得知數據包的內容。其次，做爲終端的我的電腦和操做系統使得用戶有能力編寫病毒和惡意程序，並極易迅速擴散至整個互聯網。自從1988 年世界上第一例蠕蟲病毒「Morris」出現以來，世界上各類病毒、木馬和網絡攻擊層出不窮，嚴重威脅到互聯網的繁榮和用戶數據的安全。特別是製造網絡病毒逐漸成爲一種有利可圖的產業，網絡安全就基本上成爲伴隨互聯網擴散的常態問題，且愈演愈烈。第三，隨着互聯網的服務和應用程序越發多樣和複雜，市場競爭越發激烈，不少未經安全審查的軟件程序常帶有某些缺陷和漏洞，從而使得病毒和惡意程序有各類機會入侵我的電腦。用戶會下載使用各類軟件，但缺少足夠的警戒和技術能力進行自我保護，也沒法判斷軟件質量與安全風險。操作系統

因爲互聯網一開始是一個超越國界的匿名開放系統，在沒法根本改變其原初架構的狀況下，針對其弱點，網絡安全防禦就有必要從信息流通的端點入手。現實中至少有以下幾種選擇: 首先，對國家而言，爲保護本國網絡使用者免受來自國外的攻擊，能夠控制本國網絡同其餘國家網絡鏈接的出口，並在出口信道設置入侵檢測系統以排查可疑的數據包。可是這樣作要受到本國通信和言論法律的制約。其次，互聯網骨幹和接入運營商( 如下統稱ISP) 逐級進行安全防禦，這就違反了「端對端」原則，可能受到公衆質疑以及國家的監管。固然國家也能夠制定法律要求它們承擔安全責任。第三，同理，互聯網內容和應用服務商( 如下統稱ICP) 爲了保障交易和服務安全、保護用戶信息免受攻擊侵犯，也會採起安全措施，國家也能夠施加法律責任。最後，由用戶自主選擇在電腦終端安裝安全軟件，防禦本地我的資料。在不一樣的國家，以上四點措施能夠綜合運用，也能夠偏重於某些端點。另外，不管誰來實施防禦，所需的安全系統能夠由國家統一提供，也能夠由專門的安全軟件企業提供。因爲軟件產品複製與分發的成本爲零，軟件提供者的前期研發投入與後期技術更新就成了關鍵的問題。和前互聯網時代的武器製造與使用相比，發動網絡攻擊的技術門檻大大下降，並使以國家爲目標的網絡戰與通常的網絡攻擊之間的界限模糊不清，原先存在於核戰爭時代的戰爭規則與策略也再也不適用。面對不肯定的網絡攻擊，國家沒法像提供傳統公共品同樣承擔整個網絡空間的防衛，而只能聚焦於國家基礎設施和政府部門信息設備的安全; 同時由社會中大量的企業和我的用戶負責本身的安全，安裝安全軟件採起私力救濟。這樣既能夠減小國家沒必要要的財政支出，又能夠經過市場競爭產生更好的安全軟件服務。針對不一樣種類網絡威脅提供獨特產品，是有效率的資源配置方式。國家若採起傳統防衛觀念，認爲互聯網安全隸屬於國家信息主權安全，那麼在架構上就必然要求採起控制出口信道的作法，這樣才能在第一道關口最大限度地防止病毒入侵，但成本極爲高昂。這些措施都屬於Lawrence Lessig 提出的經過代碼規制網絡空間的行爲，比單純地立法禁止要更加有效。設計

主要威脅：對象

網絡攻擊

1. 主動攻擊：包含攻擊者訪問所須要信息的故意行爲。網絡安全

2. 被動攻擊。主要是收集信息而不是進行訪問，數據的合法用戶對這種活動一點也不會覺察到。

被動攻擊包括：
1. 竊聽。包括鍵擊記錄、網絡監聽、非法訪問數據、獲取密碼文件。
2. 欺騙。包括獲取口令、惡意代碼、網絡欺騙。
3. 拒絕服務。包括致使異常型、資源耗盡型、欺騙型。
4. 數據驅動攻擊：包括緩衝區溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。

病毒木馬

木馬病毒通常都是在下載安裝一些不安全的軟件和瀏覽一些不安全的網站的時候侵入到電腦中的，建議您不要瀏覽不安全的網網站和不要安裝不安全的軟件。

假基站

假基站」即假基站是一種高科技儀器，通常由主機和筆記本電腦組成，經過短信發送器、短信發信機等相關設備可以搜取以其爲中心、必定半徑範圍內的手機卡信息，經過假裝成運營商的基站，任意冒用他人手機號碼強行向用戶手機發送詐騙、廣告推銷等短信息。

APT攻擊

APT（Advanced Persistent Threat）--------高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對於其餘攻擊形式更爲高級和先進，其高級性主要體如今APT在發動攻擊以前須要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程當中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，並利用0day漏洞進行攻擊。