1.1 网络攻防

根据GB/T 37027—2018《信息安全技术网络攻击定义及描述规范》中的定义，网络攻击（Network Attack）是指通过计算机、路由器等计算资源和网络资源，利用网络中存在的漏洞和安全缺陷实施的一种行为。

根据GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》中的定义，网络安全（Cybersecurity）是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

针对不同的安全威胁，通过采用对应的安全防护手段，才能保障网络和信息系统的安全。

1.1.1 网络攻防简介

网络攻击是指利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。网络信息系统所面临的威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为自然威胁和人为威胁。自然威胁来自于各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等，这些威胁是无目的的，但会对网络通信系统造成损害，危及通信安全。而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。

安全威胁的表现形式有很多种，简单到仅仅干扰网络正常的运行，通常把这种攻击称为拒绝服务（Denial of Service，DoS）攻击，也可以复杂到对选定的目标主动地进行攻击、修改或控制网络资源。常见的安全威胁包括口令破解、漏洞攻击、特洛伊木马攻击、IP地址欺骗、网络监听、病毒攻击、社会工程攻击等。通常情况下，上述的安全威胁并不是单独存在的，大多数成功的攻击都是结合了上述几种威胁来完成的。例如，缓冲区溢出攻击破坏了正常的服务，但破坏服务运行的目的是执行未授权的或危险的代码，从而使恶意用户可以控制目标服务器。在现实中，安全威胁的种类很多，手法也千变万化。常见的安全威胁如图1-1所示。

网络防护指综合利用己方网络系统功能和技术手段保护己方网络和设备，使信息在存储和传输过程中不被截获、仿冒、窃取、篡改或消除。常用的网络防护手段包括加密技术、访问控制、检测技术、监控技术、审计技术等。网络攻击和网络防护是一对“矛”和“盾”的关系，网络攻击一般超前于网络防护。

1.网络安全属性

网络安全（Cybersecurity）指保障网络数据的完整性、保密性、可用性的能力。完整性、保密性、可用性也是网络安全的三个基本属性。网络攻击本质上是对网络安全的三个属性实施破坏。

（1）完整性

完整性是指信息未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性是指保证计算机系统上的数据和信息处于一种完整和未受损害的状态，这就是说，数据不会因为有意或无意的事件而被改变或丢失。除了数据本身不能被破坏外，数据的完整性还要求数据的来源具有正确性和可信性，也就是说，首先需要验证数据是真实可信的，再验证数据是否被破坏。影响数据完整性的主要因素是人为的蓄意破坏，也包括设备故障和自然灾害等因素对数据造成的破坏。

（2）保密性

保密性是指网络中的信息不被非授权实体（包括用户和进程等）获取与使用。这些信息不仅包括国家机密，也包括企业和社会团体的商业机密和工作机密，还包括个人信息。人们在应用网络时很自然地要求网络能提供保密性服务，而被保密的信息既包括在网络中传输的信息，也包括存储在计算机系统中的信息。就像电话内容可以被窃听一样，网络传输的信息也可以被窃听，解决的办法就是对传输的信息进行加密处理。存储信息的保密性主要通过访问控制来实现，不同用户对不同数据拥有不同的访问权限。

（3）可用性

可用性是指对信息或资源的期望使用能力，即可以授权实体或用户访问并按要求使用信息的特性。简单地说，可用性就是保证信息在需要时能为授权者所用，防止由于主/客观因素造成的系统拒绝服务。例如，网络环境下的拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。蠕虫就是通过在网络上大量复制并且传播，占用大量的CPU处理时间，导致系统越来越慢，直到系统崩溃，用户的正常数据请求不能得到处理，这就是一个典型的“拒绝服务”攻击。

2.网络安全术语规范

网络信息技术日新月异，互联网全面融入经济社会生产和生活各个领域，引领了社会生产新变革，其已成为21世纪影响和加速人类历史发展进程的重要因素。掌握常见的网络安全术语，有助于更好地理解和学习网络安全知识。以下是一些网络安全领域常用术语。

（1）肉鸡

肉鸡是一种很形象的比喻，比喻那些可以被攻击者控制的计算机、手机、服务器、摄像头、路由器等设备，用于发动网络攻击。

（2）僵尸网络

僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

（3）木马

木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。木马伪装成正常的程序，在程序执行时，获取系统控制权限。

（4）网页木马

网页木马表面上伪装成普通的网页或是将恶意代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马服务端植入到访问者的计算机中，从而自动将受影响的访问者计算机变成肉鸡或纳入僵尸网络。

（5）蠕虫病毒

蠕虫病毒是一类相对独立的恶意代码，它利用了联网系统的开放性，通过可远程利用的漏洞自主地进行传播，受到控制的终端会变成攻击的发起方，尝试感染更多的系统。蠕虫病毒的主要特性是它具有很强的自我复制能力、传播性、潜伏性、特定的触发性和很大的破坏性。

（6）勒索病毒

勒索病毒主要以邮件、程序木马、网页木马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能还原被加密的文件。

（7）攻击载荷

攻击载荷是系统被攻陷后执行的一段恶意代码。通常攻击载荷附加于漏洞攻击模块之上，随漏洞攻击一起分发，并可能通过网络获取更多的组件。

（8）嗅探器

嗅探器是能够捕获网络报文的设备或程序。嗅探器的正当用途是分析网络的流量，以便找出所关心网络中潜在的问题。

（9）漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。

（10）网络钓鱼

网络钓鱼是指攻击者利用欺骗性的电子邮件或伪造的Web站点等来进行网络诈骗活动。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息或邮件账号与口令。受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账号、身份证号、邮箱等内容。

1.1.2 网络攻防发展趋势

当前，网络攻击和防御两个方面表现出越来越不对称的发展。网络攻击表现出自动化、智能化、工具复杂化、漏洞利用快速化等特点，并且从一般的黑客组织发展到国家行为，给网络安全防御带来了严重挑战。网络安全已经全面进入智能防御时代，融入人工智能技术成为网络攻防的新常态。随着安全威胁不断变化升级，集“预警、保护、检测、响应、恢复”于一体的网络安全主动防御技术应运而生。近年来，我国不仅在网络安全技术产品和人才队伍建设上取得新成就，而且颁布了《中华人民共和国网络安全法》《网络安全等级保护条例（征求意见稿）》等多部法律法规，为网络安全产业发展保驾护航，网络安全形势整体向好。当前，网络攻击呈现出如下几个趋势。

（1）入侵工具越来越复杂

攻击工具的开发者正在利用更先进的技术武装攻击工具，攻击工具的特征比以前更难发现，已经具有反侦破、动态行为、更加成熟等特点。攻击工具已经发展到可以通过升级或更换工具的部分模块进行扩展，进而发动迅速变化的攻击；且在每一次攻击中会出现多种不同形态的攻击工具；还有，在实施攻击时，许多常见的攻击工具使用了如IRC或HTTP等协议，从攻击者处向被攻击计算机发送数据或命令，使得正常、合法的网络传输流与攻击信息流的区分变得越来越困难。

（2）黑客利用安全漏洞的速度越来越快

新发现的各种安全漏洞每年都要增加一倍，每年都会发现安全漏洞的新类型，网络管理员需要不断用最新的软件补丁修补这些漏洞，黑客经常能够抢在厂商修补这些漏洞前发现这些漏洞并发起攻击。漏洞发展趋势如图1-2所示。

（3）自动化程度和入侵速度不断提高

自动化攻击在攻击的每个阶段都发生了新的变化。在扫描阶段，扫描工具的发展，使得黑客能够利用更先进的扫描模式来改善扫描效果，提高扫描速度；在渗透控制阶段，安全防护脆弱的系统更容易受到损害。攻击传播技术的发展，使得以前需要依靠人工启动软件工具发起的攻击，发展到攻击工具可以自启动发动新的攻击；在攻击工具的协调管理方面，随着分布式攻击工具的出现，黑客可以很容易地控制和协调分布在Internet上的大量已部署的攻击工具。

（4）攻击门槛越来越低

随着攻击工具的不断演变升级，攻击技术不断进步，攻击者可以较容易地使用自动化工具发动破坏性攻击。随着黑客软件部署自动化程度和攻击工具管理技巧的提高，安全威胁的不对称性将继续增加，攻击门槛越来越低，而防守难度则越来越大。

（5）攻击网络基础设施产生的破坏效果越来越大

由于用户越来越多地依赖计算机网络提供的各种服务来完成日常业务，黑客攻击网络基础设施造成破坏的影响越来越大。例如，攻击者通过攻击路由器、删除全球Internet的路由表，使得本应该发送到一个网络的信息流改向传送到另一个网络，从而造成对两个网络的拒绝服务攻击。

（6）网络攻击武器军事化

美国军方和情报机构正在打造全球最大的网络武器库，包括挖掘软件和系统漏洞、开发木马病毒和其他“武器化恶意软件”，用于网络攻击甚至网络战。网络攻击武器堪比核武器、生化武器，可能对全球基础设施和各国正常生产、生活造成严重破坏。