僵尸网络是一种由引擎驱动的恶意因特网行为：DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。DDoS攻击有多种形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的带宽，却不消耗应用程序资源。DDoS攻击并不是新鲜事物。在过去十年中，随着僵尸网络的兴起，它得到了迅速的壮大和普遍的应用。僵尸网络为DDoS攻击提供了所需的“火力”——带宽和计算机——以及管理攻击所需的基础架构。

　　DDoS规模、程度和复杂性都有新发展：2003年，由Arbor Networks客户发现的规模最大的持续DDoS攻击为 2.5Gbps。到了2007年，最大的持续攻击之规模已经超过40Gbps。让服务商感到更为棘手的是现在出现了一个新的情况，那就是常见的中等规模的“业余”攻击和使用成千万僵尸主机（zombie）进行的多GB“专业”攻击之间的差别正在逐步扩大。

　　Arbor Networks研究能力：Arbor Networks在服务商的安全领域内发挥着主导作用，全球90%的一级服务商和60%的二级服务商都是它的客户。Arbor充分利用这些关系，创建了可以同时进行数据收集和分析的平台，并提供了在全球服务商之间共享这些信息的方法。Arbor与其全球服务 商客户群合作，从100多家服务商那里实时收集因特网攻击数据，并与另外30多家服务商实时共享全球路由信息。此外，Arbor还创建了世界上最大的分布式“暗网”监测系统，可以对全球可路由的IP地址进行监控。这些可路由的IP地址上不应该有任何活动的主机。Arbor Peakflow和暗网检测系统联合收集的数据表明，只有Arbor才能“真正地”对构成互联网核心部分的骨干网内所传输的恶意数据获得全面的了解。由于这样独特的优势，Arbor在发布有关恶意软件、后门网上钓鱼和僵尸网络信息方面比起当今任何其他机构都更加领先。

　　威胁减除策略：为了减少大规模DDoS攻击带来的附带损害，服务商常常会阻断前往受攻站点的所有流量，以籍此阻断DDoS攻击。使用集成的威胁管理系统（TMS）设备，Arbor Networks客户可以仅阻断攻击流量，从而保持可用的服务和较高的客户满意度。Peakflow SP TMS使服务商能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。Peakflow SP TMS能够提供具有高成本效益的网络和应用层威胁检测、减除和报告的功能，从而使服务商可以维护关键IP业务。最后，请求其他服务商帮助过滤流量也是非常必要的，因为当攻击规模达到每秒数十GB时，任何服务商都无法在处理这种攻击流量的同时还能维持正常的流量。这正是Arbor Networks能够在保护 服务商的网络中发挥重要作用的地方。

　　网络战正走向错误的方向：最近几年，具有政治动机的网络攻击制造了不少新闻并成为人们关注的焦点。从2007年对爱沙尼亚的攻击到最近由于俄罗斯采取军事行动而引发的对格鲁吉亚基础设施和网络的攻击，都表明了这一点。Arbor Networks研究发现，此类具有政治动机的攻击都不是国家支持的行为。Arbor Networks 认为，这些攻击是21世纪街头示威的一种形式，是那些对某项事业产生同情的人制造的网络中断，并非行政行为。

　　了解网络恐怖主义

　　提到恐怖主义，尤其是在2001年9月11日的事件以后，我们中的大多数人都会认为它是属于基于政治、宗教或和民族意识形态而进行的恐怖行为。但是，对于恐怖主义来说，目前实际上并没有比较通行的定义；通常情况下，它的目标被认为是利用暴力或者暴力威胁来直接伤害针对目标，而且还意图恐吓（导致恐惧的原因）其他人。因此，在必要的时间，恐怖行为并不需要保密(尽管在准备阶段是必须的)，原因也很简单，人们了解得越多，产生的恐惧就越大，传播的范围就越广。

　　恐怖分子也会利用计算机和互联网来就一段时间内的攻击进行交流和协调。不过，网络恐怖主义指的并不是利用该技术来进行的犯罪，而是指利用该技术作为武器或者目标的犯罪。

　　网络恐怖主义的目标

　　网络恐怖主义分子经常利用病毒、蠕虫和其他类型的恶意软件来实现自己的目标，但这并不意味着每一位病毒的开发者都是网络恐怖主义分子。与普通病毒开发和传播者相比，网络恐怖主义分子的区别在哪里？与现实世界中区分杀人狂和恐怖分子的模式一样：从动机、范围和行为意图来考虑。与关注个人利益的犯罪分子以及只是“为了好玩”而发动恶意软件攻击的黑客相比，尽管网络恐怖分子使用的也是相同的工具，但相应的动机和意图是让大量人员恐惧和惊慌;即使实际的攻击范围非常有限，但这并不意味着动机和意图的改变。

　　为了更好地理解这一点，让我们来看一个来自现实世界的例子。2001年12月，臭名昭著的“鞋子炸弹携带者”理查德·里德就曾经试图引爆藏在鞋子中的炸药。尽管他的企图失败了，但由此所产生的恐惧，导致在接下来的十年里，美国商业航班的所有乘客都需要脱下鞋子通过X光检测仪的扫描。与此类似，对于网络恐怖主义分子来说，攻击的实际效果不一定需要非常大，只要能产生尽可能广的传播效果即可。当然，如果真得造成了一些损害，对于网络恐怖分子来说，将更有助于实现预定目的。

　　恐怖主义的目标

　　恐怖分子，也包括网络恐怖分子都喜欢从“大局着眼”。因为他们的目标是让大众恐慌，所以，行动的过程必须高调。一个通常的方法就是针对可以影响公众的大型活动和关键系统，或者具备新闻价值的个人。对于网络恐怖分子来说，有吸引力的目标包括了：

　　控制电网或供水系统之类公共事业的计算机。通过关闭或者控制此类系统，他们可以切断成千上万人正在使用的服务，甚至制造可能导致人员伤亡的爆炸事故。而对于核电站来说，他们通过制造辐射泄漏，还可以带来更大的危机。

　　专业护理人员用于诊断和治疗的计算机。控制这些系统或者导致它们在关键时刻宕机可能带来可怕后果，甚至可以造成死亡。给出错误的药物或者错误的剂量，破坏进行中的手术或者误诊导致向患者提供错误的治疗方法都属于可能发生的情况。

　　控制运输系统的计算机。当今世界，我们周围的交通工具，从汽车到火车到街道、地铁和公共运输系统，以及空中飞行的大型客机，都是由计算机进行控制的。并且，不仅仅限于车辆设备，交通控制设备和空中交通管制设备等都已经全面计算机化了。获得了这些系统的控制权后，恐怖分子就可以切断旅行，破坏企业生产，制造交通事故，导致财产损失和人员伤亡等重大事故的出现。

　　联邦、州和地方政府机关使用的计算机，尤其是公共安全和国防部门使用的系统。从美国军队到地方警察部门，计算机都被用于对直接负责保护公民安全的政府工作人员进行管理。通过破坏或者控制这些系统，恐怖分子可以对警察、消防员和军人执行的任务进行破坏，将他们引到错误的位置，让他们的工作“徒劳无功”，诱惑他们开展错误(并且可能带来危险)的行动。

　　新闻媒体用来传播信息的计算机。包括报纸记者、电台和电视台和新闻团队以及在线媒体工作人员在内的新闻机构都采用了计算机来处理向公众发布的信息。通过控制这些系统，恐怖分子可以让公众蒙在鼓里，并且可以通过散步谣言来导致公众起义或者全城恐慌。

　　金融交易中使用的计算机。现今的银行、零售商和企业对企业的交易都是与计算机息息相关的。没有了计算机的支持，仓储超市的收银员就不会找零，联邦储备银行维持账户和其他银行支付服务就更不用说了，所有的一切都已经电子化了。通过破坏或者控制这些系统，恐怖分子可以让整个经济陷入停滞状态，并在公众中造成恐慌。

　　所有的电子设备和部件。对于网络恐怖主义来说，可以制造的最大威胁就是释放一颗巨型电磁脉冲炸弹，它可以摧毁绝大部分或者说全部电子设备中的电路。电磁脉冲迅速摧毁所有没有被屏蔽的计算机、电话系统、电视机、收音机、车辆中的电子部件、洗衣机、装配生产线、交通信号灯、几乎所有依赖于电子电路的设备和机器。这将产生深远的灾难性后果，很大一部分人将有可能出现死于饥饿和饮用水缺乏的情况。

　　对于信息技术专家来说，这意味着什么？

　　防范来自网络恐怖分子的攻击并不仅仅属于政府的工作。对于网络管理者来说，不论网络的类型是大型企业网络、地方政府网络、小型企业网络甚或家庭网络，都是处于打击网络恐怖主义行为的第一线。无论是否认识到这一点，但现实情况就是如此。有人可能会认为，对于恐怖分子来说，自己的网络不属于有价值的目标。毕竟，它无法控制关键基础设施，医疗设备和数据，主要的金融交易或其他“重要“的任务和信息。不过，即使这样的网络不属于预定目标，也有可能被网络恐怖分子作为武器使用。

　　尽管网络恐怖分子会尽力大张旗鼓地宣传自己恐怖主义行为的结果，但是他们也需要对攻击的实际发起点进行保密。因此，他们更喜欢利用控制的中间系统（使用者不具备专业知识）来进行实际的攻击工作，这样，他们的基地就很难被发现。网络恐怖主义分子可以利用普通的恶意软件分发技术(举例来说，电子邮件附件以及包含“偷渡式下载”的网站)在计算机上安装远程控制软件，让它们成为巨型僵尸网络的组成部分。在僵尸主控机的指挥下，这些计算机可以发起针对更重要目标的分布式拒绝服务攻击。

　　对于信息技术专业人员来说，问题的关键在于，不仅要保证防止自己的系统被网络恐怖分子攻击，而且要保证它不会成为攻击者的一部分。认识到这一点，是工作的开始。如果网络没有足够的安全性，就不仅仅意味着系统和公司的风险。如果系统已经连接到互联网上，管理者就有责任采取措施，防止其它人利用它们进行非法活动。就像枪支拥有者有义务保证它远离儿童，汽车拥有者有法律义务保证不让没有执照的人员驾驶一样。

　　可以采取的措施

　　如何对系统进行保护超出了本文的讨论范围，并且需要根据配置的具体情况进行具体处理。它们中的基本部分，举例来说，应该包括强大的多因素认证系统，采用了基于定期更换的强密码的应用策略，并且使用了智能卡或者令牌或生物识别系统;访问控制技术；可以对传输和存储的数据进行保护的加密技术，对安全事件进行连续监测和报告的机制;全面的事件应急响应预案等等。一旦完成了安全措施的部署，进行渗透测试就是完善现场保护模式，发现并消除漏洞必不可少的步骤。

　　教育和培训

　　一些专家预测，在今后几年中，应对网络恐怖主义可能是信息技术领域中非常有前途的发展方向。

　　很多大学都为企业和政府人员提供了反网络恐怖主义方面的培训。其中的很多项目都是由联邦政府提供部分或者全部资金。如果希望在关键基础设施的管理和监控系统领域工作的话，网络恐怖主义防务分析中心提供了国土安全部(DHS)人才认证培训方面的免费课程。

　　社交网络正在从根本上改变我们互动、沟通、组织、形成意见甚至购物的方式；它消除边界、增加透明度并让我们更加顺畅地做事情。无论大小，各种类型的企业都不能再忽视或试图阻挡社交网络。它是我们目前学习、娱乐和工作的一部分。现实是，你需要去目标用户所在的地方——与任何其他场所相比，人们越来越喜欢参加社交媒体论坛。客户、合作伙伴和员工也希望通过社交媒体与你互动——它是保持互联、收集反馈信息、招聘员工以及协作的方式。因此，需要在环境中支持社交媒体以尽心创新、提高生产力并加快业务成长。

　　社交网络的风险

　　让社交媒体如此具有吸引力的各种原因——个性化、易于分享信息以及实时性——给你的企业带来重大风险。下面是社交网络所带来的四大风险：

　　1. 恶意软件：2010年，社交媒体成为用户最喜欢的沟通媒介。仅在Facebook上，用户每周就要花费超过7000亿分钟，这让社交网站用户成为恶意软件的理想目标。根据Sophos，40%的用户通过社交网站感染了恶意软件。典型的攻击利用了用户之间信任关系。他们试图诱骗用户的信息，并用于获得金钱收益。一些在社交媒体上特别成功的恶意软件的例子是：

　　钓鱼：利用越来越精妙的技术，攻击者假装成用户合法的社交网络连接之一，并试图引诱用户提供登录信息等敏感信息。对于所有账户，大多数人倾向于使用相同的密码。因此，他们就可以利用所获得的用户名和密码登录用户的银行、财务和其他在线账户。

　　对于财务账户，多数用户的警惕性都很高，但对社交网络站点的登录却未给予足够的重视，这就给网络罪犯盗取在线资产打开了大门。这就是为什么越来越多的钓鱼攻击盯上了看似“无关”的在线用户账号。

　　点击劫持：攻击者诱骗你点击某个链接，或许贴在你的空间中，然后让你的好友“看一下”或“查看我的照片”。当有人点击此链接时就会无意中安装恶意软件（代码或脚本），后者即可用于盗窃信息或控制用户的计算机。点击劫持利用了社交网络的动态特性以及用户愿意点击来自好友（甚至不认识的人）的链接，从而快速触及广泛的人群，诱骗用户透露私人信息，收集点击量来获取广告收入，并最终影响你的整个社交网络。

　　2. 数据丢失：用户通过社交网络建立联系并分享经验和信息，但用户可能不希望公开这些信息。用户无意中张贴机密信息是很常见的事情——“嗨，我刚刚见到了XXX。我很快就能获得一大笔佣金了”或者“我的头发都快被我抓光了，如果再不能很快修复这个软件缺陷，我就没法睡觉了”。这些都会泄露“内部信息”。曾经有人在社交网站上贴出了专有软件的代码，泄露了敏感的知识产权。这些无意中的行为可能会违反行业规章制度，影响你的声誉或让你在竞争中处于不利的位置。

　　3. 带宽消耗：高达40%的员工表示他们在工作时上社交网站，这会消耗带宽，损害其他业务应用。去年，当美国政府批准开放对社交网络的访问时，网络流量增加了25%。仅仅视频就会让很多网络不堪重负。一个视频通常会消耗500k到1.2Mpbs的带宽（高清视频甚至会消耗4到7Mbps），当有数十个或数百个人访问视频时，很容易就会造成整体网络性能大幅下降。

　　4. 生产力损失：社交网站正在成为用户上网的目的地，让用户能够发表和阅读消息、约会、购物、上传或看视频以及玩游戏。这让社交网站越来越便捷并吸引用户的参与，而用户也会在社交网站上花费越来越多的时间，这给企业进行合理的控制带来了越来越高的挑战。如果不进行控制，用户上社交网站会影响生产力，因为员工在办公时间花费更多的时间玩偷菜等游戏。

　　保持企业安全的新要求

　　虽然在当今的全球经济中使用社交媒体进行竞争并成长已经不可避免，但你不需要把企业置于危险之中。有很多方式可以防御和降低社交网站带来的风险。具体来说，你的解决方案需要提供：

　　实时网络防御——社交网络不停地改变，就像攻击者采用的战术一样。因此，你的解决方案需要随时分析网络流量并发现隐藏的威胁。实时分析动态变化的链接提供风险分析和及时的保护以保持社交媒体安全。当你看到“嗨，你该看看这个”，你就可以根据它的潜在风险选择允许或拒绝。

　　选择性的社交网站控制——为防止数据丢失并遵守行业规定，你需要能够管理员工在社交网站上的行为。例如，你可能希望防止员工向社交网站上传附件、照片或视频，从避免造成数据丢失或损害公司的声誉。其中的关键就是精细地控制可以在社交网站上做哪些事情。这要求解决方案不仅查看最初流量的来源，而且了解在此应用中做的事情。

　　缓存——不能让社交媒体在你的网络上泛滥并对关键业务应用造成不利影响。但是，由于社交网络越来越成为企业不可或缺的一部分，你不能简单地阻止它。你能做的是通过缓存抵消任何潜在性能降低。通过缓存，你可以在首次下载后，在本地存储数据和视频文件，并提供给随后访问它们的用户。通过这种方式，你可以允许对社交网络的访问而不影响网络上其他流量的性能。

　　政策灵活性——为了管理生产力，你需要能够在社交媒体内设置可接受的使用政策。例如，你可以选择阻止在上班时访问偷菜等应用;或者允许访问，但优先级别较低，以便不影响关键的业务应用。通过灵活的政策框架，你可以对允许或禁止的活动设定优先级和管理。详细描绘社交网站和具体应用或这些网站内的内容的能力对于设置高效、可接受的政策至关重要。因此，如果你选择阻止游戏，你可以阻止单个游戏，以及社交网站内的所有游戏。

　　认识到社交网络已经不再肯定是企业的潜在威胁。利用社交媒体仅仅需要采取合适的安全措施。