網(wǎng)絡安全是當前一個非常熱門的話題，網(wǎng)絡泄密、系統(tǒng)癱瘓、斯諾登事件......都在不斷挑戰(zhàn)所有人互聯(lián)網(wǎng)人的神經(jīng)。

大家都在擔憂自己的隱私會不會被泄露出去，公司的敏感信息怎么來保護。

當然，這也是一個非常好的現(xiàn)象，說明現(xiàn)在大家的安全意識已經(jīng)越來越高了！但是，也有一些不好的現(xiàn)象，比如很多公司的管理層認為，網(wǎng)絡安全是大公司才需要考慮的事情，小型的創(chuàng)業(yè)公司并沒有什么價值吸引黑客來攻擊。

在筆者看來，這種想法是非常危險的，任何一點點疏漏都可能給企業(yè)帶來「滅頂之災」 。

但是，很多小公司受限于技術水平，又很難應對網(wǎng)絡攻擊。

本文就來介紹中小企業(yè)該如何準備和應對網(wǎng)絡攻擊，避免自己的信息泄露和財產(chǎn)損失：為什么黑客要攻擊中小企業(yè)呢？誠然，對黑客來說攻克大公司的網(wǎng)絡絕對是名利雙收的事情：拿到非常多有價值的東西，能夠上新聞頭條。

但是大公司的安全防范和追蹤能力都是非常高的，對黑客而已，成本和風險也都隨之提高。

對于中小企業(yè)，安全防范比大公司要低多了，同時有價值的東西也絕對比個人要高非常多。

所以中小企業(yè)絕對是黑客最理想的目標和「點心」。

另外一點，就是中小企業(yè)安全防范意識比較差，黑客也非常清楚這一點，研究證明：97%的中小企業(yè)在將來的業(yè)務發(fā)展中不重視網(wǎng)絡安全，82%的中小企業(yè)認為他們沒有什么有價值的東西值得黑客來攻擊，只有23%的中小企業(yè)人他們擔心自己的信息被偷竊。

數(shù)據(jù)還是有點「觸目驚心」的，對于特別小的企業(yè)，黑客可能沒有興趣專門做針對性的攻擊，但是也很難避免廣泛的掃描性的攻擊，這些攻擊都是通過軟件自動化對所有網(wǎng)站進行掃描，只要您的網(wǎng)站一上線，可能第一個用戶就是各種漏洞掃描工具的攻擊。

現(xiàn)在網(wǎng)絡上已經(jīng)沒有任何「私人花園」的存在了。

這種攻擊成本是非常低的，一旦發(fā)現(xiàn)你的漏洞，就可以以極小的代價攻破您的網(wǎng)絡，一旦攻破，你的網(wǎng)站將被黑客接管，所有有價值的信息都被一掃而空，然后您的網(wǎng)站將可能成為一個「肉雞」，成為網(wǎng)絡攻擊的一環(huán)。

對黑客來說這也是非常有價值的事情。

當然現(xiàn)在有很多關于網(wǎng)絡安全事件的報道，很多人都已經(jīng)有這方面的意思了，但是大家對如何如何防范網(wǎng)絡攻擊還是沒有頭緒。

下面筆者將一一進行介紹：網(wǎng)絡攻擊的常見類型通常來說，網(wǎng)絡攻擊的目的是竊取和利用敏感信息比如信用卡號、個人身份證、客戶信息等等，黑客可以利用這些信息直接竊取客戶的財務或者濫用個人信息牟利。

網(wǎng)絡攻擊的手段和動機多種多樣：比如網(wǎng)絡黑客或者網(wǎng)絡罪犯可能是不加區(qū)分的攻擊，然后攻擊盡可能的的目標以獲取盡可能多的敏感信息，也可能是去持續(xù)的攻擊某個特定的目標，也有可能是前雇員為了報復前雇主，還有可能是內(nèi)部員工為了牟利竊取內(nèi)部機密。

不管動機如何，網(wǎng)絡攻擊通常有以下幾種常用的攻擊方式和手段（由于篇幅和能力的限制，這絕對不是潛在攻擊的詳盡列表），但是對于這幾種非常常用的攻擊方式大家還是應該了解一下到底是什么，如何進行防御：APT 高級持續(xù)攻擊這種最近幾年進行的新型高級攻擊方式，它是針對特定的目標進行持續(xù)、分階段的進行攻擊，沒有有特征碼，沒有明顯的危害行為。

防火墻、殺毒軟件以及沙箱基本上是根據(jù)特征庫和行為方式進行防御，對 APT基本上是無能為力。

APT 攻擊在大部分時間就是一個普通的進程，沒有任何威脅，它可以潛伏很長時間，也可以從底層員工逐步滲透到高層員工的電腦里面，一旦找到有價值的信息在很短的時間發(fā)起攻擊。

一個 APT 通常可以分為五個階段，它們是偵察（研究和了解目標），入侵（通過常用方式將攻擊程序嵌入，比如個人簡歷等），發(fā)現(xiàn)（不斷滲透發(fā)現(xiàn)有價值的目標），捕獲（通過長時間來采集數(shù)據(jù)）和滲出（通過正常途徑將敏感信息發(fā)出）。

漏洞攻擊漏洞是因為程序的 Bug 導致的，分布范圍非常的廣泛。

從系統(tǒng)角度來看，有路由器、防火墻、服務器的漏洞等。

從軟件角度來看有操作系統(tǒng)漏洞、服務器容器漏洞、第三方軟件漏洞、各種協(xié)議的漏洞以及自己編寫的應用程序的漏洞。

比如「心臟出血漏洞」就是加密通訊軟件 OpenSSL 的一個漏洞導致。

通常黑客通過掃描工具對一定范圍的服務器進行掃描找漏洞，這種成本很低，但是只能找到一些通用的漏洞，大公司一般都會及時修復。

還有就是對高價值的服務器進行專門的漏洞挖掘。

黑客找到漏洞了，攻擊就是比較容易的事情了。

漏洞防范需要投入大量的人力和物力，并且總是出現(xiàn)百密一疏的情況。

DDoS: 分布式拒絕服務其主要目標是通過巨量網(wǎng)絡訪問，使目標服務器負載超出設計能力，服務器癱瘓，無法為用戶提供服務。

如果用戶完全依靠被攻擊服務器，就可以達到完全拒絕服務的效果。

內(nèi)部攻擊內(nèi)部攻擊是最難防范的，大部分成熟的軟件可能都沒有把這種當成一種攻擊，一般有這幾種情況發(fā)生：有管理員權限的員工故意或者誤操作訪問公司敏感信息，含恨離開但是還擁有訪問權限的員工惡意訪問公司敏感信息（這種情況通常通過加強管理和簽訂保密協(xié)定來解決），還有就是黑客通過提升權限或者攻入網(wǎng)絡模仿內(nèi)部訪問的方式取得敏感信息。

惡意軟件這是對所有植入目標系統(tǒng)并對系統(tǒng)進行破壞和未授權訪問的所有軟件的統(tǒng)稱，包括病毒、間諜軟件、蠕蟲、木馬和鍵盤記錄器、勒索等等。

更多的惡意軟件請搜索百度。

密碼攻擊破解密碼是黑客獲取目標帳戶和數(shù)據(jù)庫最簡單的方式。

有三種主要類型：暴力破解，通過不過猜測并嘗試知道找到正確的密碼；字典攻擊，它使用一個程序嘗試字典中的單詞的不同組合；按鍵監(jiān)控，追蹤用戶所有的按鍵，包括登錄 ID 和密碼。

釣魚網(wǎng)站這是通過部署方式進行攻擊的最常見方式，黑客通過發(fā)郵件或者第三方網(wǎng)站嵌入虛假連接的方式將客戶引入一個和原來網(wǎng)站外形非常相識的假網(wǎng)站，盜取用戶的個人信息以及登錄認證信息。

現(xiàn)在各方對釣魚網(wǎng)站的認識和重視越來越高，比如通過搜索引擎出來的結(jié)果都是可信的，大的官方網(wǎng)站也不斷的屏蔽釣魚網(wǎng)站，中釣魚網(wǎng)站攻擊的人也相應的降低了。

但是黑客的攻擊方式也越來越高明，企業(yè)還是要對最這方面的攻擊保存足夠的重視。

中小企業(yè)在安全保護上一些誤區(qū)當然，大公司有更多的資源和人力投入到安全保護中來，很多安全問題都能得到快速和及時的處理，而對于中小企業(yè)來說就沒有這么多的預算和安全人才來專門進行安全方面的保護。

但是缺乏資源不是不就行安全保護的接口：安全至關重要，今天也許沒有遭到黑客的攻擊，但誰能保證未來一定不會呢？其實可能遭到攻擊自己都不清楚。

現(xiàn)在越來越多的數(shù)據(jù)都在網(wǎng)絡上能訪問到，這對黑客的吸引力越來越大，再加之現(xiàn)在計算機技術的運行速度越來越快，攻擊手段越來越多，黑客大規(guī)模掃描和破解密碼的成本越來越低，也越來越簡單。

對所有企業(yè)而言，安全保護變得越來越重要。

但是中小企業(yè)對安全保護認識度還不夠，存在以下幾方面的誤區(qū)：沒有安全防護行動計劃：Towergate infographic 研究標明31%的中小企業(yè)沒有應對網(wǎng)絡攻擊的行動計劃，22%的小企業(yè)根本不知道安全防護從哪里開始。

在中國中小企業(yè)設備「裸奔」的情況更加嚴重，大多數(shù)企業(yè)就是買一臺防火墻就認為萬事大吉了。

其實安全防護需要一個比較完整的行動計劃。

一旦網(wǎng)絡攻擊發(fā)生，在應對已經(jīng)晚了。

自我感覺很安全：很多中小企業(yè)認為安全是政府的事情，出了安全事故有公安機關來追查，但是網(wǎng)絡攻擊時非常復雜和隱蔽的，政府的防火墻和保護措施在很大程度上是覆蓋不到企業(yè)的。

出了問題追查是非常復雜的事情。

還有企業(yè)認為自己沒有什么可以被黑客惦記的，實際上現(xiàn)在黑客技術的發(fā)展非常快，普通用戶的攻擊成本是非常低的，實際上很多時候攻擊已經(jīng)發(fā)生，信息已經(jīng)泄密了。

只是自己不知道而已。

對內(nèi)部「黑客」監(jiān)控忽視：在大部分中小企業(yè)，特別是一些初創(chuàng)企業(yè)，認為大家都是自己人，沒有任何安全流程和規(guī)范。

對內(nèi)部人疏于監(jiān)管。

但事實上很多信息敏感信息都是內(nèi)部人員泄露的，「近水樓臺先得月」。

內(nèi)部人員具備非常好的有意或者無意泄密條件，現(xiàn)實比你想象得更嚴重，據(jù)美國欺詐審查員協(xié)會統(tǒng)計，全球內(nèi)幕欺詐2014總共涉案3.7萬億美元。

不愿意在安全防護上投資：企業(yè)主對安全防護的重視程度還不夠，很多人認為安全是可有可無的問題，但是強大的安全防護對現(xiàn)代企業(yè)來說是至關重要的事情，尤其是對那些在線公司，重要數(shù)據(jù)都可以通過網(wǎng)絡訪問得到。

大多數(shù)企業(yè)在開發(fā)過程沒有對漏洞進行檢測，即使檢測了也是掃描一次就結(jié)束了，事實上安全防護是一個持續(xù)的過程，網(wǎng)絡攻擊時刻在發(fā)生，攻擊手段時刻在變化。

在安全問題上沒有「一勞永逸」的事情。

市面上可供選擇的解決方案：其實，安全防護是一項非常專業(yè)的工程，大部分公司不具備網(wǎng)絡防護的能力，采購現(xiàn)有的安全防護產(chǎn)品和解決方案是最快速和經(jīng)濟實惠的方案，一下介紹常用的安全解決方案：一、企業(yè)殺毒軟件：主要用于個人電腦和終端，基于特征病毒庫，惡意軟件庫查殺已知的惡意軟件。

優(yōu)點是價格便宜，甚至免費。

缺點是是只能防范最常見的攻擊，無法對 APT，數(shù)據(jù)泄密進行保護，有一定的性能消耗，有可能會收集個人信息。

建議還是安裝業(yè)內(nèi)信譽好的殺毒軟件，這是基礎防護。

二、網(wǎng)絡防火墻：是目前最廣泛使用網(wǎng)絡防護工具，只需要在流量入口部署就可以防護整個公司的網(wǎng)絡，能防范一些常用的網(wǎng)絡安全攻擊。

確定就是只是分析網(wǎng)絡流量，對精確的應用層攻擊無能為力，有很多的「翻墻」技術可以繞過，在云平臺等沒有邊界的環(huán)境里無法使用。

三、Web 應用防火墻(WAF)：這是專門應對應用網(wǎng)絡攻擊的方案，相對網(wǎng)絡防火墻，WAF 能解析常用的應用層協(xié)議，初略的理解數(shù)據(jù)流，能應對常見的 Web 應用網(wǎng)絡攻擊。

缺點就是不理解應用程序的上下文，誤殺率比較高，配置過于復雜，需要既理解 WAF 同時理解特定的應用程序的專業(yè)人士進行管理，管理成本比較高。

同樣也存在「翻墻」繞過的問題，在無邊界的環(huán)境里也不適用。

四、運行時應用程序自我保護（RASP）：這是2014年 Gartner 提出的一個全新的解決方案，現(xiàn)在絕大多數(shù)數(shù)據(jù)訪問都是通過應用程序進行訪問，因此80%的網(wǎng)絡攻擊也是發(fā)生在應用層。

上文提到WAF部署在應用程序前面并不理解應用程序的上下文，只是通過特征庫，正則表達式等方式去猜測用戶的輸入是否有攻擊行為，這種方式導致誤殺率比較高，同時配置復雜，使用成本比較高，研究人員就根據(jù)安全軟件開發(fā)實踐，研究出在應用程序內(nèi)部，在應用程序運行時進行保護是最有效的，保護程序洞悉上下文，可以在數(shù)據(jù)訪問的關鍵點進行保護，這樣在精確性、性能、不可繞過、可以防護零日攻擊以及低使用成本方面是 WAF 無法企及的。

RASP對攻擊的可視性、對攻擊精確到代碼級別已經(jīng)幾乎零誤差的防護是非常值得稱道的地方。

當然它有缺點：輸入嵌入式保護，需要將保護代碼和應用程序綁定在一起，如果保護代碼質(zhì)量不高會直接影響應用程序的性能。

是針對語言的保護，每種語言需要單獨開發(fā)。

概念很新還沒有大規(guī)模的推廣使用。

目前推出 RASP 的廠家并不是太多國外有 Waratek、HP 等，國內(nèi)目前只有OneRASP。

五、數(shù)據(jù)備份軟件：數(shù)據(jù)是企業(yè)的基石，當數(shù)據(jù)系統(tǒng)損壞時，有備份數(shù)據(jù)能最大限度避免損失。

加密軟件：通過加密軟件對敏感信息和傳輸通道進行加密至關重要。

六、密碼保護系統(tǒng)：密碼是訪問數(shù)據(jù)的唯一憑據(jù)，單一校驗已經(jīng)不足以保護安全，兩步校驗和專門的密碼安全軟件也是非常必要的。

安全需要全面保護，沒有任何一種解決方案能保護所有的數(shù)據(jù)，多層次多維度保護才是正確的解決方案，企業(yè)需要將各種方案整合起來形成一個安全保護的閉環(huán)，企業(yè)安全才能得到最大的保障。

安全最佳實踐和良好習慣雖然購買安全防護產(chǎn)品能解決你很大部分的問題，但是良好的安全習慣的流程也是保護公司財產(chǎn)重要一步，包括以下幾個方面：（一）及時更新補丁，上文說道，漏洞攻擊是非常危險的攻擊，防止漏洞的最佳辦法就是將所有使用的軟件保持最新版本，這樣就能防范已知的漏洞，也就杜絕了絕大多數(shù)安全攻擊。

（二）受過良好安全教育的團隊是安全防范最重要的一點，讓員工了解黑客攻擊的主要工具和途徑，讓員工及時意識到什么情況系統(tǒng)遭受的網(wǎng)絡攻擊，這樣就能快速的防范和修復攻擊。

同時讓員工充分了解如何正確安全的使用公司資源和網(wǎng)絡也是至關重要的。

（三）制定和實施正確的安全政策是能有效防范安全攻擊，比如強制員工使用強密碼能有效降低暴露破解和字典攻擊的成功率，明確制定每個員工的安全職責，對于敏感信息的訪問進行嚴格控制，嚴格管理離職流程能有效降低內(nèi)部攻擊。

（四）制定明確完整的安全防范計劃，防范于未然是最佳的解決辦法，制定事故發(fā)生的預案也是非常重要的。

當事故發(fā)生時根據(jù)預定方案進行修護，能及時恢復系統(tǒng)，保障系統(tǒng)穩(wěn)定運行。

最后倡議每個企業(yè)的管理者不斷提高安全意識，加大對安全的投入，確保公司財產(chǎn)和信息不受侵害！