外網接入及對外服務的安全威脅分析

王飛

摘要：互聯網業務在迅速發展的同時也帶來了網絡安全威脅。黑客利用網站操作系統和服務程序漏洞，很容易獲得服務器的控制權限，做出篡改網頁內容、竊取重要數據、植入惡意代碼、發起拒絕服務等各種惡意行為，使網站建設方和訪問者受到侵害。

關鍵詞：安全威脅；外網接入；對外服務

有網絡的地方就存在網絡安全威脅。互聯網出口不僅要解決Intranet和Internet之間的信息交互，同時需要做好兩個網絡之間的安全邏輯和防護，防止安全威脅向內部滲透擴散。

一、外網接入安全威脅

互聯網出口實現了組織內部網絡與互聯網的邏輯隔離。對于內部網絡接入用戶來說，僵尸網絡是最為嚴重的安全問題，黑客利用木馬、蠕蟲病毒等多種入侵手段導致終端被控制，形成僵尸網絡。黑客可以利用僵尸主機做出更多的危害行為，如APT攻擊最常采用的跳板就是僵尸網絡。黑客利用僵尸網絡可以達到滲透、監視、竊取敏感數據等目的，危害非常嚴重。僵尸網絡的主要危害有以下幾個方面：

1.高級持續威脅。APT攻擊往往攻擊目標明確，時間周期比較長，采用的攻擊方法比較多，而且隱蔽性很好。研究發現，黑客進行APT攻擊最常采用的跳板就是僵尸網絡，大量的僵尸主機給了發動APT攻擊的黑客很多選擇，并且為了達到繼續滲透、監視、竊取敏感數據等目的，黑客會讓這些僵尸主機隱藏起來，減少暴露的可能。

2.本地滲透擴散。由于病毒、木馬植入被害主機后，會主動通過控制節點與攻擊者取得聯系，黑客可利用此功能向被控主機傳送新病毒、木馬程序或其他惡意軟件，從而在感染網絡內部滲透擴散。這樣單位內部新目標主機或服務器將成為滲透感染的目標，從而控制更多的主機或服務器，掌握組織單位網絡內部更多的資源和信息。

3.敏感信息竊取。僵尸網絡相當于黑客在僵尸主機上安裝了間諜程序，因此它能監視和記錄被害主機的各種活動行為，也能竊取用戶的敏感信息，如用戶的賬號密碼、身份信息、銀行卡信息、研發代碼等，給用戶造成直接或間接的經濟損失。

4.脆弱信息收集。攻擊者通過植入的僵尸程序或掃描程序進行內部業務系統漏洞等信息的收集。各種僵尸程序偷偷探測、收集網絡內部的各種脆弱性信息，如賬戶口令、弱密碼、開放端口、不安全配置、系統漏洞、應用程序漏洞等，并且把收集到的脆弱性信息悄悄傳遞給控制者。黑客可以利用這些弱點達到入侵和竊取信息等目的。

二、對外服務安全威脅

在對外服務區里，無論是企業門戶網站，還是組織內部大量的在線應用業務（郵件、OA、ERP等）都依托于Web服務進行。大量的Web業務不斷上線和更新，這些業務往往承載著具有重要價值的數據信息，成為攻擊者最為關注的對象。網站業務面臨的主要安全問題如下：

1.網頁篡改問題。網頁篡改是指攻擊者利用Web應用程序漏洞將正常的網站頁面替換為攻擊者提供的網頁、文字、圖片等內容。對于門戶網站、電子商務等需要與用戶通過網站進行溝通的應用而言，網頁篡改不僅會導致信息誤導或服務中斷，造成經濟損失，還會對組織機構的形象和信譽造成嚴重的損害。

2.網站掛馬。網頁掛馬也是利用Web攻擊造成的一種網頁篡改的安全問題。相對而言這種問題比較隱蔽，但本質上這種方式也破壞了網頁的完整性，用戶訪問掛馬網頁會把木馬病毒帶入個人電腦。網頁掛馬會導致網站的最終用戶成為受害者，網站建設方也會因此受到經濟和信譽上的損失，還可能因此而承擔相應的法律責任。

3.網站黑鏈問題。黑鏈往往由黑客惡意植入到網站后臺。網站建設方往往對黑鏈毫不知情，無償幫別人掛鏈接，成為非法利益的免費廣告牌。網站被掛黑鏈會降低自身的搜索排名，被搜索引擎發現后還會被降權或從關鍵詞排名中剔除，不利于網站的推廣。

4.漏洞安全問題。網站區域往往部署有大量業務服務器，這些業務服務器的底層和業務應用系統會不斷產生安全漏洞，給入侵者可乘之機。黑客能夠利用這些漏洞發起對網站的攻擊，比如利用Apache漏洞、IIS漏洞、后門漏洞、操作系統漏洞、FTP漏洞、數據庫漏洞等，實現對網站Webshell權限的獲取，監控、竊取、篡改敏感信息等目的。

5.泄漏敏感信息。這類安全問題主要Web攻擊、系統漏洞攻擊等攻擊手段操作后臺數據庫，導致數據庫中儲存的用戶資料、身份證信息、賬戶信息、信用卡信息、聯系方式等敏感信息被攻擊者獲取。這對于電子商務而言是致命的打擊，可能造成巨大的經濟損失。

6.無法響應服務。CC攻擊（Challenge Collapsar）是網站最常遇到的安全問題，攻擊者借助代理服務器生成指向受害網站的合法請求，實現DDoS和自身偽裝。CC攻擊通過模擬多個用戶對網站進行訪問，使網站服務器充斥大量要求回復的信息，嚴重消耗網絡系統資源，導致網站系統癱瘓，無法響應正常的服務請求。

參考文獻：

[1]賈大云.計算機網絡安全的現狀和防御技術[J].硅谷，2014（1）.

[2]胡蘇瑤.淺談計算機網絡安全與病毒防范[J].計算機光盤軟件與應用，2013（18）.

[3]陳軒.計算機網絡信息管理及安全防護策略的思考[J].數字技術與應用，2017（2）.

[4]曹艷琴.計算機網絡信息安全的防護技術探究[J].電子技術與軟件工程，2016（5）.endprint