網(wǎng)絡(luò)安全是當(dāng)前一個非常熱門的話題，網(wǎng)絡(luò)泄密、系統(tǒng)癱瘓、斯諾登事件......都在不斷挑戰(zhàn)所有人互聯(lián)網(wǎng)人的神經(jīng)。

大家都在擔(dān)憂自己的隱私會不會被泄露出去，公司的敏感信息怎么來保護(hù)。

當(dāng)然，這也是一個非常好的現(xiàn)象，說明現(xiàn)在大家的安全意識已經(jīng)越來越高了！但是，也有一些不好的現(xiàn)象，比如很多公司的管理層認(rèn)為，網(wǎng)絡(luò)安全是大公司才需要考慮的事情，小型的創(chuàng)業(yè)公司并沒有什么價值吸引黑客來攻擊。

在筆者看來，這種想法是非常危險的，任何一點(diǎn)點(diǎn)疏漏都可能給企業(yè)帶來「滅頂之災(zāi)」 。

但是，很多小公司受限于技術(shù)水平，又很難應(yīng)對網(wǎng)絡(luò)攻擊。

本文就來介紹中小企業(yè)該如何準(zhǔn)備和應(yīng)對網(wǎng)絡(luò)攻擊，避免自己的信息泄露和財產(chǎn)損失：為什么黑客要攻擊中小企業(yè)呢？誠然，對黑客來說攻克大公司的網(wǎng)絡(luò)絕對是名利雙收的事情：拿到非常多有價值的東西，能夠上新聞頭條。

但是大公司的安全防范和追蹤能力都是非常高的，對黑客而已，成本和風(fēng)險也都隨之提高。

對于中小企業(yè)，安全防范比大公司要低多了，同時有價值的東西也絕對比個人要高非常多。

所以中小企業(yè)絕對是黑客最理想的目標(biāo)和「點(diǎn)心」。

另外一點(diǎn)，就是中小企業(yè)安全防范意識比較差，黑客也非常清楚這一點(diǎn)，研究證明：97%的中小企業(yè)在將來的業(yè)務(wù)發(fā)展中不重視網(wǎng)絡(luò)安全，82%的中小企業(yè)認(rèn)為他們沒有什么有價值的東西值得黑客來攻擊，只有23%的中小企業(yè)人他們擔(dān)心自己的信息被偷竊。

數(shù)據(jù)還是有點(diǎn)「觸目驚心」的，對于特別小的企業(yè)，黑客可能沒有興趣專門做針對性的攻擊，但是也很難避免廣泛的掃描性的攻擊，這些攻擊都是通過軟件自動化對所有網(wǎng)站進(jìn)行掃描，只要您的網(wǎng)站一上線，可能第一個用戶就是各種漏洞掃描工具的攻擊。

現(xiàn)在網(wǎng)絡(luò)上已經(jīng)沒有任何「私人花園」的存在了。

這種攻擊成本是非常低的，一旦發(fā)現(xiàn)你的漏洞，就可以以極小的代價攻破您的網(wǎng)絡(luò)，一旦攻破，你的網(wǎng)站將被黑客接管，所有有價值的信息都被一掃而空，然后您的網(wǎng)站將可能成為一個「肉雞」，成為網(wǎng)絡(luò)攻擊的一環(huán)。

對黑客來說這也是非常有價值的事情。

當(dāng)然現(xiàn)在有很多關(guān)于網(wǎng)絡(luò)安全事件的報道，很多人都已經(jīng)有這方面的意思了，但是大家對如何如何防范網(wǎng)絡(luò)攻擊還是沒有頭緒。

下面筆者將一一進(jìn)行介紹：網(wǎng)絡(luò)攻擊的常見類型通常來說，網(wǎng)絡(luò)攻擊的目的是竊取和利用敏感信息比如信用卡號、個人身份證、客戶信息等等，黑客可以利用這些信息直接竊取客戶的財務(wù)或者濫用個人信息牟利。

網(wǎng)絡(luò)攻擊的手段和動機(jī)多種多樣：比如網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)罪犯可能是不加區(qū)分的攻擊，然后攻擊盡可能的的目標(biāo)以獲取盡可能多的敏感信息，也可能是去持續(xù)的攻擊某個特定的目標(biāo)，也有可能是前雇員為了報復(fù)前雇主，還有可能是內(nèi)部員工為了牟利竊取內(nèi)部機(jī)密。

不管動機(jī)如何，網(wǎng)絡(luò)攻擊通常有以下幾種常用的攻擊方式和手段（由于篇幅和能力的限制，這絕對不是潛在攻擊的詳盡列表），但是對于這幾種非常常用的攻擊方式大家還是應(yīng)該了解一下到底是什么，如何進(jìn)行防御：APT 高級持續(xù)攻擊這種最近幾年進(jìn)行的新型高級攻擊方式，它是針對特定的目標(biāo)進(jìn)行持續(xù)、分階段的進(jìn)行攻擊，沒有有特征碼，沒有明顯的危害行為。

防火墻、殺毒軟件以及沙箱基本上是根據(jù)特征庫和行為方式進(jìn)行防御，對 APT基本上是無能為力。

APT 攻擊在大部分時間就是一個普通的進(jìn)程，沒有任何威脅，它可以潛伏很長時間，也可以從底層員工逐步滲透到高層員工的電腦里面，一旦找到有價值的信息在很短的時間發(fā)起攻擊。

一個 APT 通?？梢苑譃槲鍌€階段，它們是偵察（研究和了解目標(biāo)），入侵（通過常用方式將攻擊程序嵌入，比如個人簡歷等），發(fā)現(xiàn)（不斷滲透發(fā)現(xiàn)有價值的目標(biāo)），捕獲（通過長時間來采集數(shù)據(jù)）和滲出（通過正常途徑將敏感信息發(fā)出）。

漏洞攻擊漏洞是因?yàn)槌绦虻?Bug 導(dǎo)致的，分布范圍非常的廣泛。

從系統(tǒng)角度來看，有路由器、防火墻、服務(wù)器的漏洞等。

從軟件角度來看有操作系統(tǒng)漏洞、服務(wù)器容器漏洞、第三方軟件漏洞、各種協(xié)議的漏洞以及自己編寫的應(yīng)用程序的漏洞。

比如「心臟出血漏洞」就是加密通訊軟件 OpenSSL 的一個漏洞導(dǎo)致。

通常黑客通過掃描工具對一定范圍的服務(wù)器進(jìn)行掃描找漏洞，這種成本很低，但是只能找到一些通用的漏洞，大公司一般都會及時修復(fù)。

還有就是對高價值的服務(wù)器進(jìn)行專門的漏洞挖掘。

黑客找到漏洞了，攻擊就是比較容易的事情了。

漏洞防范需要投入大量的人力和物力，并且總是出現(xiàn)百密一疏的情況。

DDoS: 分布式拒絕服務(wù)其主要目標(biāo)是通過巨量網(wǎng)絡(luò)訪問，使目標(biāo)服務(wù)器負(fù)載超出設(shè)計(jì)能力，服務(wù)器癱瘓，無法為用戶提供服務(wù)。

如果用戶完全依靠被攻擊服務(wù)器，就可以達(dá)到完全拒絕服務(wù)的效果。

內(nèi)部攻擊內(nèi)部攻擊是最難防范的，大部分成熟的軟件可能都沒有把這種當(dāng)成一種攻擊，一般有這幾種情況發(fā)生：有管理員權(quán)限的員工故意或者誤操作訪問公司敏感信息，含恨離開但是還擁有訪問權(quán)限的員工惡意訪問公司敏感信息（這種情況通常通過加強(qiáng)管理和簽訂保密協(xié)定來解決），還有就是黑客通過提升權(quán)限或者攻入網(wǎng)絡(luò)模仿內(nèi)部訪問的方式取得敏感信息。

惡意軟件這是對所有植入目標(biāo)系統(tǒng)并對系統(tǒng)進(jìn)行破壞和未授權(quán)訪問的所有軟件的統(tǒng)稱，包括病毒、間諜軟件、蠕蟲、木馬和鍵盤記錄器、勒索等等。

更多的惡意軟件請搜索百度。

密碼攻擊破解密碼是黑客獲取目標(biāo)帳戶和數(shù)據(jù)庫最簡單的方式。

有三種主要類型：暴力破解，通過不過猜測并嘗試知道找到正確的密碼；字典攻擊，它使用一個程序嘗試字典中的單詞的不同組合；按鍵監(jiān)控，追蹤用戶所有的按鍵，包括登錄 ID 和密碼。

釣魚網(wǎng)站這是通過部署方式進(jìn)行攻擊的最常見方式，黑客通過發(fā)郵件或者第三方網(wǎng)站嵌入虛假連接的方式將客戶引入一個和原來網(wǎng)站外形非常相識的假網(wǎng)站，盜取用戶的個人信息以及登錄認(rèn)證信息。

現(xiàn)在各方對釣魚網(wǎng)站的認(rèn)識和重視越來越高，比如通過搜索引擎出來的結(jié)果都是可信的，大的官方網(wǎng)站也不斷的屏蔽釣魚網(wǎng)站，中釣魚網(wǎng)站攻擊的人也相應(yīng)的降低了。

但是黑客的攻擊方式也越來越高明，企業(yè)還是要對最這方面的攻擊保存足夠的重視。

中小企業(yè)在安全保護(hù)上一些誤區(qū)當(dāng)然，大公司有更多的資源和人力投入到安全保護(hù)中來，很多安全問題都能得到快速和及時的處理，而對于中小企業(yè)來說就沒有這么多的預(yù)算和安全人才來專門進(jìn)行安全方面的保護(hù)。

但是缺乏資源不是不就行安全保護(hù)的接口：安全至關(guān)重要，今天也許沒有遭到黑客的攻擊，但誰能保證未來一定不會呢？其實(shí)可能遭到攻擊自己都不清楚。

現(xiàn)在越來越多的數(shù)據(jù)都在網(wǎng)絡(luò)上能訪問到，這對黑客的吸引力越來越大，再加之現(xiàn)在計(jì)算機(jī)技術(shù)的運(yùn)行速度越來越快，攻擊手段越來越多，黑客大規(guī)模掃描和破解密碼的成本越來越低，也越來越簡單。

對所有企業(yè)而言，安全保護(hù)變得越來越重要。

但是中小企業(yè)對安全保護(hù)認(rèn)識度還不夠，存在以下幾方面的誤區(qū)：沒有安全防護(hù)行動計(jì)劃：Towergate infographic 研究標(biāo)明31%的中小企業(yè)沒有應(yīng)對網(wǎng)絡(luò)攻擊的行動計(jì)劃，22%的小企業(yè)根本不知道安全防護(hù)從哪里開始。

在中國中小企業(yè)設(shè)備「裸奔」的情況更加嚴(yán)重，大多數(shù)企業(yè)就是買一臺防火墻就認(rèn)為萬事大吉了。

其實(shí)安全防護(hù)需要一個比較完整的行動計(jì)劃。

一旦網(wǎng)絡(luò)攻擊發(fā)生，在應(yīng)對已經(jīng)晚了。

自我感覺很安全：很多中小企業(yè)認(rèn)為安全是政府的事情，出了安全事故有公安機(jī)關(guān)來追查，但是網(wǎng)絡(luò)攻擊時非常復(fù)雜和隱蔽的，政府的防火墻和保護(hù)措施在很大程度上是覆蓋不到企業(yè)的。

出了問題追查是非常復(fù)雜的事情。

還有企業(yè)認(rèn)為自己沒有什么可以被黑客惦記的，實(shí)際上現(xiàn)在黑客技術(shù)的發(fā)展非?？欤胀ㄓ脩舻墓舫杀臼欠浅５偷?，實(shí)際上很多時候攻擊已經(jīng)發(fā)生，信息已經(jīng)泄密了。

只是自己不知道而已。

對內(nèi)部「黑客」監(jiān)控忽視：在大部分中小企業(yè)，特別是一些初創(chuàng)企業(yè)，認(rèn)為大家都是自己人，沒有任何安全流程和規(guī)范。

對內(nèi)部人疏于監(jiān)管。

但事實(shí)上很多信息敏感信息都是內(nèi)部人員泄露的，「近水樓臺先得月」。

內(nèi)部人員具備非常好的有意或者無意泄密條件，現(xiàn)實(shí)比你想象得更嚴(yán)重，據(jù)美國欺詐審查員協(xié)會統(tǒng)計(jì)，全球內(nèi)幕欺詐2014總共涉案3.7萬億美元。

不愿意在安全防護(hù)上投資：企業(yè)主對安全防護(hù)的重視程度還不夠，很多人認(rèn)為安全是可有可無的問題，但是強(qiáng)大的安全防護(hù)對現(xiàn)代企業(yè)來說是至關(guān)重要的事情，尤其是對那些在線公司，重要數(shù)據(jù)都可以通過網(wǎng)絡(luò)訪問得到。

大多數(shù)企業(yè)在開發(fā)過程沒有對漏洞進(jìn)行檢測，即使檢測了也是掃描一次就結(jié)束了，事實(shí)上安全防護(hù)是一個持續(xù)的過程，網(wǎng)絡(luò)攻擊時刻在發(fā)生，攻擊手段時刻在變化。

在安全問題上沒有「一勞永逸」的事情。

市面上可供選擇的解決方案：其實(shí)，安全防護(hù)是一項(xiàng)非常專業(yè)的工程，大部分公司不具備網(wǎng)絡(luò)防護(hù)的能力，采購現(xiàn)有的安全防護(hù)產(chǎn)品和解決方案是最快速和經(jīng)濟(jì)實(shí)惠的方案，一下介紹常用的安全解決方案：一、企業(yè)殺毒軟件：主要用于個人電腦和終端，基于特征病毒庫，惡意軟件庫查殺已知的惡意軟件。

優(yōu)點(diǎn)是價格便宜，甚至免費(fèi)。

缺點(diǎn)是是只能防范最常見的攻擊，無法對 APT，數(shù)據(jù)泄密進(jìn)行保護(hù)，有一定的性能消耗，有可能會收集個人信息。

建議還是安裝業(yè)內(nèi)信譽(yù)好的殺毒軟件，這是基礎(chǔ)防護(hù)。

二、網(wǎng)絡(luò)防火墻：是目前最廣泛使用網(wǎng)絡(luò)防護(hù)工具，只需要在流量入口部署就可以防護(hù)整個公司的網(wǎng)絡(luò)，能防范一些常用的網(wǎng)絡(luò)安全攻擊。

確定就是只是分析網(wǎng)絡(luò)流量，對精確的應(yīng)用層攻擊無能為力，有很多的「翻墻」技術(shù)可以繞過，在云平臺等沒有邊界的環(huán)境里無法使用。

三、Web 應(yīng)用防火墻(WAF)：這是專門應(yīng)對應(yīng)用網(wǎng)絡(luò)攻擊的方案，相對網(wǎng)絡(luò)防火墻，WAF 能解析常用的應(yīng)用層協(xié)議，初略的理解數(shù)據(jù)流，能應(yīng)對常見的 Web 應(yīng)用網(wǎng)絡(luò)攻擊。

缺點(diǎn)就是不理解應(yīng)用程序的上下文，誤殺率比較高，配置過于復(fù)雜，需要既理解 WAF 同時理解特定的應(yīng)用程序的專業(yè)人士進(jìn)行管理，管理成本比較高。

同樣也存在「翻墻」繞過的問題，在無邊界的環(huán)境里也不適用。

四、運(yùn)行時應(yīng)用程序自我保護(hù)（RASP）：這是2014年 Gartner 提出的一個全新的解決方案，現(xiàn)在絕大多數(shù)數(shù)據(jù)訪問都是通過應(yīng)用程序進(jìn)行訪問，因此80%的網(wǎng)絡(luò)攻擊也是發(fā)生在應(yīng)用層。

上文提到WAF部署在應(yīng)用程序前面并不理解應(yīng)用程序的上下文，只是通過特征庫，正則表達(dá)式等方式去猜測用戶的輸入是否有攻擊行為，這種方式導(dǎo)致誤殺率比較高，同時配置復(fù)雜，使用成本比較高，研究人員就根據(jù)安全軟件開發(fā)實(shí)踐，研究出在應(yīng)用程序內(nèi)部，在應(yīng)用程序運(yùn)行時進(jìn)行保護(hù)是最有效的，保護(hù)程序洞悉上下文，可以在數(shù)據(jù)訪問的關(guān)鍵點(diǎn)進(jìn)行保護(hù)，這樣在精確性、性能、不可繞過、可以防護(hù)零日攻擊以及低使用成本方面是 WAF 無法企及的。

RASP對攻擊的可視性、對攻擊精確到代碼級別已經(jīng)幾乎零誤差的防護(hù)是非常值得稱道的地方。

當(dāng)然它有缺點(diǎn)：輸入嵌入式保護(hù)，需要將保護(hù)代碼和應(yīng)用程序綁定在一起，如果保護(hù)代碼質(zhì)量不高會直接影響應(yīng)用程序的性能。

是針對語言的保護(hù)，每種語言需要單獨(dú)開發(fā)。

概念很新還沒有大規(guī)模的推廣使用。

目前推出 RASP 的廠家并不是太多國外有 Waratek、HP 等，國內(nèi)目前只有OneRASP。

五、數(shù)據(jù)備份軟件：數(shù)據(jù)是企業(yè)的基石，當(dāng)數(shù)據(jù)系統(tǒng)損壞時，有備份數(shù)據(jù)能最大限度避免損失。

加密軟件：通過加密軟件對敏感信息和傳輸通道進(jìn)行加密至關(guān)重要。

六、密碼保護(hù)系統(tǒng)：密碼是訪問數(shù)據(jù)的唯一憑據(jù)，單一校驗(yàn)已經(jīng)不足以保護(hù)安全，兩步校驗(yàn)和專門的密碼安全軟件也是非常必要的。

安全需要全面保護(hù)，沒有任何一種解決方案能保護(hù)所有的數(shù)據(jù)，多層次多維度保護(hù)才是正確的解決方案，企業(yè)需要將各種方案整合起來形成一個安全保護(hù)的閉環(huán)，企業(yè)安全才能得到最大的保障。

安全最佳實(shí)踐和良好習(xí)慣雖然購買安全防護(hù)產(chǎn)品能解決你很大部分的問題，但是良好的安全習(xí)慣的流程也是保護(hù)公司財產(chǎn)重要一步，包括以下幾個方面：（一）及時更新補(bǔ)丁，上文說道，漏洞攻擊是非常危險的攻擊，防止漏洞的最佳辦法就是將所有使用的軟件保持最新版本，這樣就能防范已知的漏洞，也就杜絕了絕大多數(shù)安全攻擊。

（二）受過良好安全教育的團(tuán)隊(duì)是安全防范最重要的一點(diǎn)，讓員工了解黑客攻擊的主要工具和途徑，讓員工及時意識到什么情況系統(tǒng)遭受的網(wǎng)絡(luò)攻擊，這樣就能快速的防范和修復(fù)攻擊。

同時讓員工充分了解如何正確安全的使用公司資源和網(wǎng)絡(luò)也是至關(guān)重要的。

（三）制定和實(shí)施正確的安全政策是能有效防范安全攻擊，比如強(qiáng)制員工使用強(qiáng)密碼能有效降低暴露破解和字典攻擊的成功率，明確制定每個員工的安全職責(zé)，對于敏感信息的訪問進(jìn)行嚴(yán)格控制，嚴(yán)格管理離職流程能有效降低內(nèi)部攻擊。

（四）制定明確完整的安全防范計(jì)劃，防范于未然是最佳的解決辦法，制定事故發(fā)生的預(yù)案也是非常重要的。

當(dāng)事故發(fā)生時根據(jù)預(yù)定方案進(jìn)行修護(hù)，能及時恢復(fù)系統(tǒng)，保障系統(tǒng)穩(wěn)定運(yùn)行。

最后倡議每個企業(yè)的管理者不斷提高安全意識，加大對安全的投入，確保公司財產(chǎn)和信息不受侵害！