24、网络安全与互联网交易风险解析-优快云博客

本文链接：https://blog.youkuaiyun.com/h0i1j2k3l/article/details/154516353

网络安全与互联网交易风险解析

1. 软件漏洞与网络攻击

在当今数字化时代，计算机系统和网络面临着诸多安全威胁，其中软件漏洞是导致攻击成功的主要原因之一。许多流行的操作系统、网络服务和实用应用程序存在大量漏洞，使得攻击者有机可乘。

例如，DOWNAD.A 利用 MS08 - 067 补丁构建僵尸网络，并且能够感染内部网络，其威胁具有全球性。软件漏洞可以通过扫描器检测，解决方法通常是持续安装系统覆盖层或使用已开发的修正版本程序。然而，修复漏洞所需的时间往往不够短，而且在发布适当补丁之前就公布威胁信息的做法也受到批评，因为有时修复程序要等数月才会发布。比如 2008 年 12 月，微软因修复迟缓导致超过 1 万个网页遭到攻击而受到指责。此外，越来越多的人认为使用补丁修复软件不再有效，Cisco 的安全总监在 2008 年 5 月的会议上就指出，使用补丁成本高且只是临时解决方案，甚至还出现过忘记发布补丁的情况（如 Mozilla 在 2008 年 12 月）。

以下是软件漏洞相关情况的表格总结：
| 相关情况 | 详情 |
| ---- | ---- |
| 漏洞利用示例 | DOWNAD.A 利用 MS08 - 067 构建僵尸网络 |
| 检测方法 | 使用扫描器 |
| 解决方式 | 安装系统覆盖层或修正版本程序 |
| 存在问题 | 修复时间长、补丁发布迟缓、补丁效果受质疑 |

2. 互联网交易的发展与风险

随着电子技术的持续发展，互联网在日常生活中的应用越来越广泛，人们可以通过互联网完成各种事务，如购物、金融结算等。新的 IT 解决方案虽然使生活更加便捷，但也带来了诸如计算机病毒、垃圾邮件和网络流量监听等威胁，电子交易无法保证 100% 的安全。

不同国家的人对网上支付的信任程度不同，F - Secure 的研究表明，20 - 40 岁的人群中，平均约 31% 的人害怕使用信用卡进行网上金融交易，其中美国人和法国人最为不信任，超过 60% 的人表示担忧。计算机间谍活动和入侵问题也日益严重，美国总统奥巴马在 2009 年 5 月 29 日宣布任命特别助理协调计算机系统保护工作。五角大楼计算机系统的入侵尝试次数不断增加，2008 年达到 3.6 亿次，一些重大项目如价值 3000 亿美元的联合攻击战斗机项目也遭到黑客攻击，近期修复计算机系统的成本已达 1 亿美元。

以下是不同国家网上支付信任情况的表格：
| 国家 | 害怕网上金融交易比例 |
| ---- | ---- |
| 美国 | 超过 60% |
| 法国 | 超过 60% |
| 平均（部分国家） | 约 31% |

同时，不同人群的网购情况也有所不同。在波兰，互联网用户中男性占 53%，女性占 45%，平均年龄为 35 岁，主要是受过良好教育的人群，大城市居民占比 65%，农村居民占比 35%。2009 年 1 月，28% 的成年波兰人进行了网购，最受欢迎的商品是书籍、CD、电子设备、服装和鞋类。我们在选择网购时，会受到商品可用性、价格、对公司的信任、数据安全、公司口碑、以往网购经验、应用程序易用性和支持服务等因素的影响。

以下是波兰互联网用户网购情况的表格：
| 相关情况 | 详情 |
| ---- | ---- |
| 性别占比 | 男性 53%，女性 45% |
| 年龄 | 平均 35 岁 |
| 地域分布 | 大城市 65%，农村 35% |
| 2009 年 1 月网购比例 | 28% |
| 热门商品 | 书籍、CD、电子设备、服装和鞋类 |

3. 互联网用户面临的威胁

3.1 网站安全威胁

不同域名的网站安全程度不同，2007 年 3 月 McAfee 的报告显示，.info 和.com 是最危险的域名，.gov 是最安全的域名，斯堪的纳维亚国家（芬兰、挪威、瑞典）的网站最安全，波兰的.pl 域名在利用威胁域名中排第 18 位，恶意软件威胁排第 25 位，垃圾邮件威胁排第 56 位。

3.2 保护软件漏洞

保护软件也可能存在危险缺陷，2008 年 4 月 Symantec 发现 Norton 保护软件（AntiVirus、Norton Internet Security、Norton System Works 和 Norton 360）的 ActiveX 控件存在漏洞，可被用于控制使用 Windows 平台的计算机。

3.3 虚假软件威胁

一些热门网站上传播着名为 PrivaceCenter 的虚假杀毒软件，启动后会显示扫描、检测和清除病毒的消息，但实际上在后台安装恶意软件（如密码捕获软件）。这是由 ZLOB 木马安装的虚假保护程序，模仿 Windows Vista 安全中心，生成虚假报告。

3.4 网购数据安全威胁

在波兰，网购越来越流行，2007 年约有 3000 个网络购物门户，商品价值达 80 亿兹罗提。但网购过程中存在数据安全问题，PSNC 安全团队 2008 年 1 月的报告指出，部分网店处理用户识别的 cookie 机制存在问题。测试发现，32% 的网店将会话数据存储在托管公司服务器的 /tmp 目录，不安全；根据 OWASP 标准，识别登录用户的 cookie 最长应存储 5 分钟，但 2% 的网店设置为 7 天，4% 为 1 小时，94% 为会话结束；用户注销后，72% 的网店在 30 分钟内关闭服务器会话，8% 在 1 小时内，20% 在 24 小时内；70% 的网店允许用户为会话分配编号，98% 的情况下会话编号与 IP 地址无关，意味着交易通过未加密的无线连接进行。

以下是网店 cookie 相关设置情况的表格：
| 设置情况 | 比例 |
| ---- | ---- |
| 会话数据存储在 /tmp 目录 | 32% |
| cookie 存储 7 天 | 2% |
| cookie 存储 1 小时 | 4% |
| cookie 存储至会话结束 | 94% |
| 用户注销后 30 分钟内关闭会话 | 72% |
| 用户注销后 1 小时内关闭会话 | 8% |
| 用户注销后 24 小时内关闭会话 | 20% |
| 允许用户分配会话编号 | 70% |
| 会话编号与 IP 地址无关 | 98% |

3.5 其他网络威胁

2008 年 3 月，发现基于 D - link 路由器构建的僵尸网络用于 DDoS 攻击，感染通过 23/TCP 传播，可能利用了 Busy Box 应用程序的漏洞。
同月，用户被警告防范网络中利用 Adobe Reader 和 Acrobat 应用程序漏洞的 PDF 文件，打开恶意文件会下载 Trojan horse（Zonebac），该木马会禁用杀毒程序并修改网站检索结果。
大型体育、娱乐或 IT 活动期间，如 CeBIT，使用缺乏足够保护的 WLAN 会严重威胁数据安全，使用免费热点时也需特别谨慎，因为可能会上传笔记本电脑的数据。
Google 搜索引擎也可能导致机密信息被盗，2009 年 3 月，1.9 万个支付卡号码、所有者数据、有效期和 CVV 代码泄露，主要涉及美国和英国用户。
用户访问网站的信息（URL 等）可能被网络管理员、雇主、互联网服务提供商和其他计算机用户获取，员工将数据发送到私人电子邮件账户也可能导致机密数据意外丢失。
社交网络服务也成为攻击目标，如“nasza - klasa”、Twitter 和 Facebook、MySpace 等。2009 年 5 月，Twitter 出现新蠕虫，用户点击邮件链接后会被重定向到虚假网站，输入用户名和密码后会发送恶意邮件并被重定向到约会网站，两天内 1.3 万用户受害；2009 年 6 月，Kaspersky Lab 发现新的 Koobface 蠕虫变种 Net - Worm.Win32.Koobface，通过诱导用户更新 Flash Player 进行传播，作为后门程序可执行远程指令。

根据 Open Web Application Security Project（OWASP），互联网应用的主要弱点包括：
1. 认证和会话管理失效
2. 跨站脚本（XSS）漏洞
3. SQL 注入漏洞
4. 跨站请求伪造（CSRF）易感性
5. 恶意文件执行
6. 错误处理不当或缺失
7. 信息泄露
8. 不安全的直接对象引用
9. 不安全的加密存储
10. 不安全的通信
11. 无法限制 URL 访问
12. 输入数据控制不足
13. 访问控制缺陷和权限分配不当
14. 伪随机数生成器不足
15. 算法实现错误
16. 无数据加密
17. 密码、密钥和证书存储不当
18. 配置不当

4. 驱动下载攻击

使用网络浏览器时，由于计算机保护不足，存在运行恶意软件的风险。ScanSafe 的报告显示，2008 年第三季度，74% 的互联网用户计算机上的恶意软件是从他们访问的受感染网站下载的。过去十年，通过电子邮件发送恶意软件的情况减少，网站和即时通讯工具成为更流行的传播媒介。

驱动下载攻击利用网络浏览器将用户连接到包含漏洞利用程序的服务器，在用户不知情和未授权的情况下安装恶意软件。攻击分为两个阶段：用户访问包含恶意代码的网站，该代码将连接重定向到包含漏洞利用程序的受感染第三方服务器；漏洞利用程序可能利用浏览器、未打补丁的插件、易受攻击的 ActiveX 格式和其他软件的漏洞。在下载漏洞利用程序之前，用户可能会被多次重定向到其他网站，合法网站也越来越成为黑客的目标。如果漏洞利用程序有效，可能会安装 Trojan horse 等恶意软件，使黑客能够无限访问被攻击的计算机、窃取机密数据或进行 DoS 攻击。

以下是驱动下载攻击流程的 mermaid 流程图：

graph LR
    A[用户访问网站] --> B{网站含恶意代码?}
    B -- 是 --> C[重定向到受感染服务器]
    C --> D{服务器含漏洞利用程序?}
    D -- 是 --> E[利用软件漏洞]
    E --> F[安装恶意软件]
    F --> G[黑客获取访问权限或窃取数据]
    B -- 否 --> H[正常访问]
    D -- 否 --> H[正常访问]

例如，2007 年印度银行网站被黑客攻击，Windows 系统用户经过多次重定向后被引导到包含多种恶意软件的服务器；2008 年 12 月出现的“Curse of Silence”漏洞利用程序可在部分 Symbian S60 手机上阻止短信功能，该程序易于使用且有在线教学视频，许多移动运营商立即开始过滤短信流量。

5. 应对网络安全威胁的建议

面对如此众多的网络安全威胁，我们需要采取一系列有效的措施来保护自己的网络安全和互联网交易安全。以下是一些具体的建议：

5.1 软件更新与漏洞修复

及时更新操作系统和软件 ：操作系统和软件的开发者会不断发布更新补丁来修复已知的漏洞，因此要确保及时安装这些更新。可以设置自动更新功能，让系统在有可用更新时自动下载和安装。
使用漏洞扫描工具 ：定期使用专业的漏洞扫描工具对计算机系统进行扫描，及时发现和修复潜在的漏洞。例如，Nessus、OpenVAS 等都是常用的漏洞扫描工具。

5.2 安全软件的使用

安装杀毒软件和防火墙 ：选择一款可靠的杀毒软件和防火墙，并确保其实时更新病毒库和规则库。杀毒软件可以实时监测和清除计算机中的病毒、木马等恶意软件，防火墙可以阻止外部网络的非法访问。
谨慎使用第三方软件 ：在下载和安装第三方软件时，要选择正规的下载渠道，避免从不可信的网站下载软件。同时，要仔细阅读软件的许可协议和隐私政策，了解软件的功能和权限。

5.3 网络交易安全

注意网站的安全性 ：在进行网上交易时，要注意网站的 URL 地址是否以“https”开头，以及浏览器地址栏是否有锁状图标。“https”协议可以对数据进行加密传输，提高交易的安全性。
保护个人信息 ：避免在不可信的网站上提供个人敏感信息，如信用卡号、密码等。如果需要提供个人信息，要确保网站的安全性，并注意信息的使用范围和保护措施。

5.4 社交网络安全

谨慎添加好友和关注对象 ：在社交网络上，要谨慎添加好友和关注对象，避免与陌生人随意交流和分享个人信息。同时，要注意保护自己的隐私设置，限制他人对自己个人信息的访问。
不轻易点击链接和下载文件 ：在社交网络上收到的链接和文件要谨慎点击和下载，避免下载到恶意软件。如果不确定链接和文件的安全性，可以先进行病毒扫描。

以下是应对网络安全威胁建议的总结表格：
| 应对措施 | 具体建议 |
| ---- | ---- |
| 软件更新与漏洞修复 | 及时更新操作系统和软件，使用漏洞扫描工具 |
| 安全软件的使用 | 安装杀毒软件和防火墙，谨慎使用第三方软件 |
| 网络交易安全 | 注意网站的安全性，保护个人信息 |
| 社交网络安全 | 谨慎添加好友和关注对象，不轻易点击链接和下载文件 |

6. 网络安全的未来趋势

随着技术的不断发展，网络安全领域也面临着新的挑战和机遇。以下是一些网络安全的未来趋势：

6.1 人工智能与机器学习在网络安全中的应用

人工智能和机器学习技术可以帮助网络安全系统更好地识别和应对复杂的网络攻击。例如，通过分析大量的网络数据，人工智能可以学习到攻击模式和特征，从而提前预警和防范潜在的攻击。

6.2 物联网安全

随着物联网的发展，越来越多的设备连接到网络，物联网安全成为一个重要的问题。物联网设备通常具有资源有限、安全防护能力弱等特点，容易成为攻击者的目标。因此，保障物联网设备的安全将是未来网络安全的一个重要方向。

6.3 量子加密技术

量子加密技术利用量子力学的原理实现信息的安全传输，具有不可破解的特性。随着量子技术的不断发展，量子加密技术有望在未来的网络安全中发挥重要作用。

6.4 云安全

云计算的广泛应用使得数据和应用程序都存储在云端，云安全成为一个关键问题。保障云服务的安全性、数据的保密性和完整性将是未来云安全的主要挑战。

以下是网络安全未来趋势的列表：
1. 人工智能与机器学习在网络安全中的应用
2. 物联网安全
3. 量子加密技术
4. 云安全

7. 总结

网络安全和互联网交易安全是当今数字化时代面临的重要问题。软件漏洞、网络攻击、虚假软件等威胁无处不在，给我们的个人信息和财产安全带来了严重的风险。为了保护自己的网络安全，我们需要采取一系列有效的措施，如及时更新软件、使用安全软件、注意网络交易安全和社交网络安全等。同时，我们也要关注网络安全的未来趋势，不断学习和适应新的安全挑战。

通过对各种网络安全威胁的了解和应对措施的掌握，我们可以更好地保护自己的网络安全和互联网交易安全，享受安全、便捷的数字化生活。希望本文能够为大家提供一些有用的信息和建议，帮助大家提高网络安全意识和防范能力。

以下是网络安全相关要点的 mermaid 流程图，展示了从威胁识别到应对措施的过程：

graph LR
    A[网络安全威胁] --> B[软件漏洞]
    A --> C[网络攻击]
    A --> D[虚假软件]
    B --> E[及时更新软件]
    C --> F[使用安全软件]
    D --> G[谨慎使用软件]
    E --> H[保障网络安全]
    F --> H
    G --> H