網(wǎng)絡(luò)安全是當(dāng)前一個(gè)非常熱門的話題，網(wǎng)絡(luò)泄密、系統(tǒng)癱瘓、斯諾登事件......都在不斷挑戰(zhàn)所有人互聯(lián)網(wǎng)人的神經(jīng)。

大家都在擔(dān)憂自己的隱私會(huì)不會(huì)被泄露出去，公司的敏感信息怎么來保護(hù)。

當(dāng)然，這也是一個(gè)非常好的現(xiàn)象，說明現(xiàn)在大家的安全意識(shí)已經(jīng)越來越高了！但是，也有一些不好的現(xiàn)象，比如很多公司的管理層認(rèn)為，網(wǎng)絡(luò)安全是大公司才需要考慮的事情，小型的創(chuàng)業(yè)公司并沒有什么價(jià)值吸引黑客來攻擊。

在筆者看來，這種想法是非常危險(xiǎn)的，任何一點(diǎn)點(diǎn)疏漏都可能給企業(yè)帶來「滅頂之災(zāi)」 。

但是，很多小公司受限于技術(shù)水平，又很難應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

本文就來介紹中小企業(yè)該如何準(zhǔn)備和應(yīng)對(duì)網(wǎng)絡(luò)攻擊，避免自己的信息泄露和財(cái)產(chǎn)損失：為什么黑客要攻擊中小企業(yè)呢？誠然，對(duì)黑客來說攻克大公司的網(wǎng)絡(luò)絕對(duì)是名利雙收的事情：拿到非常多有價(jià)值的東西，能夠上新聞?lì)^條。

但是大公司的安全防范和追蹤能力都是非常高的，對(duì)黑客而已，成本和風(fēng)險(xiǎn)也都隨之提高。

對(duì)于中小企業(yè)，安全防范比大公司要低多了，同時(shí)有價(jià)值的東西也絕對(duì)比個(gè)人要高非常多。

所以中小企業(yè)絕對(duì)是黑客最理想的目標(biāo)和「點(diǎn)心」。

另外一點(diǎn)，就是中小企業(yè)安全防范意識(shí)比較差，黑客也非常清楚這一點(diǎn)，研究證明：97%的中小企業(yè)在將來的業(yè)務(wù)發(fā)展中不重視網(wǎng)絡(luò)安全，82%的中小企業(yè)認(rèn)為他們沒有什么有價(jià)值的東西值得黑客來攻擊，只有23%的中小企業(yè)人他們擔(dān)心自己的信息被偷竊。

數(shù)據(jù)還是有點(diǎn)「觸目驚心」的，對(duì)于特別小的企業(yè)，黑客可能沒有興趣專門做針對(duì)性的攻擊，但是也很難避免廣泛的掃描性的攻擊，這些攻擊都是通過軟件自動(dòng)化對(duì)所有網(wǎng)站進(jìn)行掃描，只要您的網(wǎng)站一上線，可能第一個(gè)用戶就是各種漏洞掃描工具的攻擊。

現(xiàn)在網(wǎng)絡(luò)上已經(jīng)沒有任何「私人花園」的存在了。

這種攻擊成本是非常低的，一旦發(fā)現(xiàn)你的漏洞，就可以以極小的代價(jià)攻破您的網(wǎng)絡(luò)，一旦攻破，你的網(wǎng)站將被黑客接管，所有有價(jià)值的信息都被一掃而空，然后您的網(wǎng)站將可能成為一個(gè)「肉雞」，成為網(wǎng)絡(luò)攻擊的一環(huán)。

對(duì)黑客來說這也是非常有價(jià)值的事情。

當(dāng)然現(xiàn)在有很多關(guān)于網(wǎng)絡(luò)安全事件的報(bào)道，很多人都已經(jīng)有這方面的意思了，但是大家對(duì)如何如何防范網(wǎng)絡(luò)攻擊還是沒有頭緒。

下面筆者將一一進(jìn)行介紹：網(wǎng)絡(luò)攻擊的常見類型通常來說，網(wǎng)絡(luò)攻擊的目的是竊取和利用敏感信息比如信用卡號(hào)、個(gè)人身份證、客戶信息等等，黑客可以利用這些信息直接竊取客戶的財(cái)務(wù)或者濫用個(gè)人信息牟利。

網(wǎng)絡(luò)攻擊的手段和動(dòng)機(jī)多種多樣：比如網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)罪犯可能是不加區(qū)分的攻擊，然后攻擊盡可能的的目標(biāo)以獲取盡可能多的敏感信息，也可能是去持續(xù)的攻擊某個(gè)特定的目標(biāo)，也有可能是前雇員為了報(bào)復(fù)前雇主，還有可能是內(nèi)部員工為了牟利竊取內(nèi)部機(jī)密。

不管動(dòng)機(jī)如何，網(wǎng)絡(luò)攻擊通常有以下幾種常用的攻擊方式和手段（由于篇幅和能力的限制，這絕對(duì)不是潛在攻擊的詳盡列表），但是對(duì)于這幾種非常常用的攻擊方式大家還是應(yīng)該了解一下到底是什么，如何進(jìn)行防御：APT 高級(jí)持續(xù)攻擊這種最近幾年進(jìn)行的新型高級(jí)攻擊方式，它是針對(duì)特定的目標(biāo)進(jìn)行持續(xù)、分階段的進(jìn)行攻擊，沒有有特征碼，沒有明顯的危害行為。

防火墻、殺毒軟件以及沙箱基本上是根據(jù)特征庫和行為方式進(jìn)行防御，對(duì) APT基本上是無能為力。

APT 攻擊在大部分時(shí)間就是一個(gè)普通的進(jìn)程，沒有任何威脅，它可以潛伏很長(zhǎng)時(shí)間，也可以從底層員工逐步滲透到高層員工的電腦里面，一旦找到有價(jià)值的信息在很短的時(shí)間發(fā)起攻擊。

一個(gè) APT 通常可以分為五個(gè)階段，它們是偵察（研究和了解目標(biāo)），入侵（通過常用方式將攻擊程序嵌入，比如個(gè)人簡(jiǎn)歷等），發(fā)現(xiàn)（不斷滲透發(fā)現(xiàn)有價(jià)值的目標(biāo)），捕獲（通過長(zhǎng)時(shí)間來采集數(shù)據(jù)）和滲出（通過正常途徑將敏感信息發(fā)出）。

漏洞攻擊漏洞是因?yàn)槌绦虻?Bug 導(dǎo)致的，分布范圍非常的廣泛。

從系統(tǒng)角度來看，有路由器、防火墻、服務(wù)器的漏洞等。

從軟件角度來看有操作系統(tǒng)漏洞、服務(wù)器容器漏洞、第三方軟件漏洞、各種協(xié)議的漏洞以及自己編寫的應(yīng)用程序的漏洞。

比如「心臟出血漏洞」就是加密通訊軟件 OpenSSL 的一個(gè)漏洞導(dǎo)致。

通常黑客通過掃描工具對(duì)一定范圍的服務(wù)器進(jìn)行掃描找漏洞，這種成本很低，但是只能找到一些通用的漏洞，大公司一般都會(huì)及時(shí)修復(fù)。

還有就是對(duì)高價(jià)值的服務(wù)器進(jìn)行專門的漏洞挖掘。

黑客找到漏洞了，攻擊就是比較容易的事情了。

漏洞防范需要投入大量的人力和物力，并且總是出現(xiàn)百密一疏的情況。

DDoS: 分布式拒絕服務(wù)其主要目標(biāo)是通過巨量網(wǎng)絡(luò)訪問，使目標(biāo)服務(wù)器負(fù)載超出設(shè)計(jì)能力，服務(wù)器癱瘓，無法為用戶提供服務(wù)。

如果用戶完全依靠被攻擊服務(wù)器，就可以達(dá)到完全拒絕服務(wù)的效果。

內(nèi)部攻擊內(nèi)部攻擊是最難防范的，大部分成熟的軟件可能都沒有把這種當(dāng)成一種攻擊，一般有這幾種情況發(fā)生：有管理員權(quán)限的員工故意或者誤操作訪問公司敏感信息，含恨離開但是還擁有訪問權(quán)限的員工惡意訪問公司敏感信息（這種情況通常通過加強(qiáng)管理和簽訂保密協(xié)定來解決），還有就是黑客通過提升權(quán)限或者攻入網(wǎng)絡(luò)模仿內(nèi)部訪問的方式取得敏感信息。

惡意軟件這是對(duì)所有植入目標(biāo)系統(tǒng)并對(duì)系統(tǒng)進(jìn)行破壞和未授權(quán)訪問的所有軟件的統(tǒng)稱，包括病毒、間諜軟件、蠕蟲、木馬和鍵盤記錄器、勒索等等。

更多的惡意軟件請(qǐng)搜索百度。

密碼攻擊破解密碼是黑客獲取目標(biāo)帳戶和數(shù)據(jù)庫最簡(jiǎn)單的方式。

有三種主要類型：暴力破解，通過不過猜測(cè)并嘗試知道找到正確的密碼；字典攻擊，它使用一個(gè)程序嘗試字典中的單詞的不同組合；按鍵監(jiān)控，追蹤用戶所有的按鍵，包括登錄 ID 和密碼。

釣魚網(wǎng)站這是通過部署方式進(jìn)行攻擊的最常見方式，黑客通過發(fā)郵件或者第三方網(wǎng)站嵌入虛假連接的方式將客戶引入一個(gè)和原來網(wǎng)站外形非常相識(shí)的假網(wǎng)站，盜取用戶的個(gè)人信息以及登錄認(rèn)證信息。

現(xiàn)在各方對(duì)釣魚網(wǎng)站的認(rèn)識(shí)和重視越來越高，比如通過搜索引擎出來的結(jié)果都是可信的，大的官方網(wǎng)站也不斷的屏蔽釣魚網(wǎng)站，中釣魚網(wǎng)站攻擊的人也相應(yīng)的降低了。

但是黑客的攻擊方式也越來越高明，企業(yè)還是要對(duì)最這方面的攻擊保存足夠的重視。

中小企業(yè)在安全保護(hù)上一些誤區(qū)當(dāng)然，大公司有更多的資源和人力投入到安全保護(hù)中來，很多安全問題都能得到快速和及時(shí)的處理，而對(duì)于中小企業(yè)來說就沒有這么多的預(yù)算和安全人才來專門進(jìn)行安全方面的保護(hù)。

但是缺乏資源不是不就行安全保護(hù)的接口：安全至關(guān)重要，今天也許沒有遭到黑客的攻擊，但誰能保證未來一定不會(huì)呢？其實(shí)可能遭到攻擊自己都不清楚。

現(xiàn)在越來越多的數(shù)據(jù)都在網(wǎng)絡(luò)上能訪問到，這對(duì)黑客的吸引力越來越大，再加之現(xiàn)在計(jì)算機(jī)技術(shù)的運(yùn)行速度越來越快，攻擊手段越來越多，黑客大規(guī)模掃描和破解密碼的成本越來越低，也越來越簡(jiǎn)單。

對(duì)所有企業(yè)而言，安全保護(hù)變得越來越重要。

但是中小企業(yè)對(duì)安全保護(hù)認(rèn)識(shí)度還不夠，存在以下幾方面的誤區(qū)：沒有安全防護(hù)行動(dòng)計(jì)劃：Towergate infographic 研究標(biāo)明31%的中小企業(yè)沒有應(yīng)對(duì)網(wǎng)絡(luò)攻擊的行動(dòng)計(jì)劃，22%的小企業(yè)根本不知道安全防護(hù)從哪里開始。

在中國(guó)中小企業(yè)設(shè)備「裸奔」的情況更加嚴(yán)重，大多數(shù)企業(yè)就是買一臺(tái)防火墻就認(rèn)為萬事大吉了。

其實(shí)安全防護(hù)需要一個(gè)比較完整的行動(dòng)計(jì)劃。

一旦網(wǎng)絡(luò)攻擊發(fā)生，在應(yīng)對(duì)已經(jīng)晚了。

自我感覺很安全：很多中小企業(yè)認(rèn)為安全是政府的事情，出了安全事故有公安機(jī)關(guān)來追查，但是網(wǎng)絡(luò)攻擊時(shí)非常復(fù)雜和隱蔽的，政府的防火墻和保護(hù)措施在很大程度上是覆蓋不到企業(yè)的。

出了問題追查是非常復(fù)雜的事情。

還有企業(yè)認(rèn)為自己沒有什么可以被黑客惦記的，實(shí)際上現(xiàn)在黑客技術(shù)的發(fā)展非常快，普通用戶的攻擊成本是非常低的，實(shí)際上很多時(shí)候攻擊已經(jīng)發(fā)生，信息已經(jīng)泄密了。

只是自己不知道而已。

對(duì)內(nèi)部「黑客」監(jiān)控忽視：在大部分中小企業(yè)，特別是一些初創(chuàng)企業(yè)，認(rèn)為大家都是自己人，沒有任何安全流程和規(guī)范。

對(duì)內(nèi)部人疏于監(jiān)管。

但事實(shí)上很多信息敏感信息都是內(nèi)部人員泄露的，「近水樓臺(tái)先得月」。

內(nèi)部人員具備非常好的有意或者無意泄密條件，現(xiàn)實(shí)比你想象得更嚴(yán)重，據(jù)美國(guó)欺詐審查員協(xié)會(huì)統(tǒng)計(jì)，全球內(nèi)幕欺詐2014總共涉案3.7萬億美元。

不愿意在安全防護(hù)上投資：企業(yè)主對(duì)安全防護(hù)的重視程度還不夠，很多人認(rèn)為安全是可有可無的問題，但是強(qiáng)大的安全防護(hù)對(duì)現(xiàn)代企業(yè)來說是至關(guān)重要的事情，尤其是對(duì)那些在線公司，重要數(shù)據(jù)都可以通過網(wǎng)絡(luò)訪問得到。

大多數(shù)企業(yè)在開發(fā)過程沒有對(duì)漏洞進(jìn)行檢測(cè)，即使檢測(cè)了也是掃描一次就結(jié)束了，事實(shí)上安全防護(hù)是一個(gè)持續(xù)的過程，網(wǎng)絡(luò)攻擊時(shí)刻在發(fā)生，攻擊手段時(shí)刻在變化。

在安全問題上沒有「一勞永逸」的事情。

市面上可供選擇的解決方案：其實(shí)，安全防護(hù)是一項(xiàng)非常專業(yè)的工程，大部分公司不具備網(wǎng)絡(luò)防護(hù)的能力，采購現(xiàn)有的安全防護(hù)產(chǎn)品和解決方案是最快速和經(jīng)濟(jì)實(shí)惠的方案，一下介紹常用的安全解決方案：一、企業(yè)殺毒軟件：主要用于個(gè)人電腦和終端，基于特征病毒庫，惡意軟件庫查殺已知的惡意軟件。

優(yōu)點(diǎn)是價(jià)格便宜，甚至免費(fèi)。

缺點(diǎn)是是只能防范最常見的攻擊，無法對(duì) APT，數(shù)據(jù)泄密進(jìn)行保護(hù)，有一定的性能消耗，有可能會(huì)收集個(gè)人信息。

建議還是安裝業(yè)內(nèi)信譽(yù)好的殺毒軟件，這是基礎(chǔ)防護(hù)。

二、網(wǎng)絡(luò)防火墻：是目前最廣泛使用網(wǎng)絡(luò)防護(hù)工具，只需要在流量入口部署就可以防護(hù)整個(gè)公司的網(wǎng)絡(luò)，能防范一些常用的網(wǎng)絡(luò)安全攻擊。

確定就是只是分析網(wǎng)絡(luò)流量，對(duì)精確的應(yīng)用層攻擊無能為力，有很多的「翻墻」技術(shù)可以繞過，在云平臺(tái)等沒有邊界的環(huán)境里無法使用。

三、Web 應(yīng)用防火墻(WAF)：這是專門應(yīng)對(duì)應(yīng)用網(wǎng)絡(luò)攻擊的方案，相對(duì)網(wǎng)絡(luò)防火墻，WAF 能解析常用的應(yīng)用層協(xié)議，初略的理解數(shù)據(jù)流，能應(yīng)對(duì)常見的 Web 應(yīng)用網(wǎng)絡(luò)攻擊。

缺點(diǎn)就是不理解應(yīng)用程序的上下文，誤殺率比較高，配置過于復(fù)雜，需要既理解 WAF 同時(shí)理解特定的應(yīng)用程序的專業(yè)人士進(jìn)行管理，管理成本比較高。

同樣也存在「翻墻」繞過的問題，在無邊界的環(huán)境里也不適用。

四、運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）：這是2014年 Gartner 提出的一個(gè)全新的解決方案，現(xiàn)在絕大多數(shù)數(shù)據(jù)訪問都是通過應(yīng)用程序進(jìn)行訪問，因此80%的網(wǎng)絡(luò)攻擊也是發(fā)生在應(yīng)用層。

上文提到WAF部署在應(yīng)用程序前面并不理解應(yīng)用程序的上下文，只是通過特征庫，正則表達(dá)式等方式去猜測(cè)用戶的輸入是否有攻擊行為，這種方式導(dǎo)致誤殺率比較高，同時(shí)配置復(fù)雜，使用成本比較高，研究人員就根據(jù)安全軟件開發(fā)實(shí)踐，研究出在應(yīng)用程序內(nèi)部，在應(yīng)用程序運(yùn)行時(shí)進(jìn)行保護(hù)是最有效的，保護(hù)程序洞悉上下文，可以在數(shù)據(jù)訪問的關(guān)鍵點(diǎn)進(jìn)行保護(hù)，這樣在精確性、性能、不可繞過、可以防護(hù)零日攻擊以及低使用成本方面是 WAF 無法企及的。

RASP對(duì)攻擊的可視性、對(duì)攻擊精確到代碼級(jí)別已經(jīng)幾乎零誤差的防護(hù)是非常值得稱道的地方。

當(dāng)然它有缺點(diǎn)：輸入嵌入式保護(hù)，需要將保護(hù)代碼和應(yīng)用程序綁定在一起，如果保護(hù)代碼質(zhì)量不高會(huì)直接影響應(yīng)用程序的性能。

是針對(duì)語言的保護(hù)，每種語言需要單獨(dú)開發(fā)。

概念很新還沒有大規(guī)模的推廣使用。

目前推出 RASP 的廠家并不是太多國(guó)外有 Waratek、HP 等，國(guó)內(nèi)目前只有OneRASP。

五、數(shù)據(jù)備份軟件：數(shù)據(jù)是企業(yè)的基石，當(dāng)數(shù)據(jù)系統(tǒng)損壞時(shí)，有備份數(shù)據(jù)能最大限度避免損失。

加密軟件：通過加密軟件對(duì)敏感信息和傳輸通道進(jìn)行加密至關(guān)重要。

六、密碼保護(hù)系統(tǒng)：密碼是訪問數(shù)據(jù)的唯一憑據(jù)，單一校驗(yàn)已經(jīng)不足以保護(hù)安全，兩步校驗(yàn)和專門的密碼安全軟件也是非常必要的。

安全需要全面保護(hù)，沒有任何一種解決方案能保護(hù)所有的數(shù)據(jù)，多層次多維度保護(hù)才是正確的解決方案，企業(yè)需要將各種方案整合起來形成一個(gè)安全保護(hù)的閉環(huán)，企業(yè)安全才能得到最大的保障。

安全最佳實(shí)踐和良好習(xí)慣雖然購買安全防護(hù)產(chǎn)品能解決你很大部分的問題，但是良好的安全習(xí)慣的流程也是保護(hù)公司財(cái)產(chǎn)重要一步，包括以下幾個(gè)方面：（一）及時(shí)更新補(bǔ)丁，上文說道，漏洞攻擊是非常危險(xiǎn)的攻擊，防止漏洞的最佳辦法就是將所有使用的軟件保持最新版本，這樣就能防范已知的漏洞，也就杜絕了絕大多數(shù)安全攻擊。

（二）受過良好安全教育的團(tuán)隊(duì)是安全防范最重要的一點(diǎn)，讓員工了解黑客攻擊的主要工具和途徑，讓員工及時(shí)意識(shí)到什么情況系統(tǒng)遭受的網(wǎng)絡(luò)攻擊，這樣就能快速的防范和修復(fù)攻擊。

同時(shí)讓員工充分了解如何正確安全的使用公司資源和網(wǎng)絡(luò)也是至關(guān)重要的。

（三）制定和實(shí)施正確的安全政策是能有效防范安全攻擊，比如強(qiáng)制員工使用強(qiáng)密碼能有效降低暴露破解和字典攻擊的成功率，明確制定每個(gè)員工的安全職責(zé)，對(duì)于敏感信息的訪問進(jìn)行嚴(yán)格控制，嚴(yán)格管理離職流程能有效降低內(nèi)部攻擊。

（四）制定明確完整的安全防范計(jì)劃，防范于未然是最佳的解決辦法，制定事故發(fā)生的預(yù)案也是非常重要的。

當(dāng)事故發(fā)生時(shí)根據(jù)預(yù)定方案進(jìn)行修護(hù)，能及時(shí)恢復(fù)系統(tǒng)，保障系統(tǒng)穩(wěn)定運(yùn)行。

最后倡議每個(gè)企業(yè)的管理者不斷提高安全意識(shí)，加大對(duì)安全的投入，確保公司財(cái)產(chǎn)和信息不受侵害！