圖1 中國(guó)移動(dòng)網(wǎng)站被黑
2007年年初,工行網(wǎng)站被黑,工行頁面被修改得面目全非����,諸如“中國(guó)工商銀行宣布破產(chǎn)”�、“用牡丹卡嫖娼享受9.5折優(yōu)惠!”等字樣也屢見不鮮�。此次事件后,有不少網(wǎng)民提出質(zhì)疑:這樣的銀行上市了又能怎樣?不健全的安全體系只能讓顧客失望!看來�����,網(wǎng)站被黑對(duì)企業(yè)的負(fù)面影響是非常大的�,盡管那次攻擊只是常見的跨站式XSS處理不當(dāng)造成,微軟��、雅虎����、亞馬遜等公司都出現(xiàn)過此類問題,盡管可能工行網(wǎng)銀的安全應(yīng)該不會(huì)構(gòu)成威脅�����,但帶來的負(fù)面影響和企業(yè)形象的損失都不容低估����。
圖2 工行網(wǎng)站被黑
今年4月17日,家樂福中國(guó)首頁曾經(jīng)被黑���,出現(xiàn)“抵制家樂福”的口號(hào)��。家樂福網(wǎng)站頁面上方出現(xiàn)大片白色背景和黑色字體����,以詩歌的形式號(hào)召中國(guó)消費(fèi)者抵制家樂福。詩歌的大體內(nèi)容為�,“如果你為了看到自己國(guó)家的火炬,而被警察扔催淚彈”�����、“如果橋上的巴黎人都向你扔垃圾”……“如果……你都沒有反應(yīng)����,那我無語了。”
圖3 家樂福網(wǎng)站被黑
如今�����,這次黑客攻擊已經(jīng)轉(zhuǎn)向了知名的大學(xué)網(wǎng)站�����,并借此抨擊當(dāng)前的教育制度����。
圖4 清華大學(xué)網(wǎng)站被黑
類似的黑客攻擊例子我們不再窮舉,從以上幾個(gè)攻擊案例中����,我們可以看到很多共同的地方:其一,黑客攻擊后通常都是發(fā)表一定的言論�����,以引起社會(huì)的關(guān)注��,沒有進(jìn)行實(shí)質(zhì)性的破壞;其二�����,黑客選取的網(wǎng)站都是一些公眾性的�,在社會(huì)和網(wǎng)民心中都很有影響力的網(wǎng)站,這些網(wǎng)站要么是企業(yè)網(wǎng)站���,要么是媒介網(wǎng)站���。那么這些網(wǎng)站被攻擊除了反映出一定的社會(huì)問題外,是否也凸顯出這些網(wǎng)站本身的安全性太弱�,還是黑客水平太高呢?
二、反思:媒介網(wǎng)站安全亟待提升
企業(yè)��、媒介網(wǎng)站頻頻被黑�����,在筆者看來,更多的是暴露出這些網(wǎng)站對(duì)安全不夠重視�����,安全配置本身還存在諸多的漏洞�����,正是這樣的現(xiàn)狀�����,才給了黑客可乘之機(jī)�。才讓這部分黑客有了發(fā)泄和展示的平臺(tái),因此�����,要杜絕這類問題���,必須首先從網(wǎng)站自身的安全做起�。
據(jù)調(diào)查顯示,國(guó)內(nèi)六成企業(yè)網(wǎng)絡(luò)處于高度風(fēng)險(xiǎn)���,根據(jù)51CTO聯(lián)合趨勢(shì)科技的一項(xiàng)安全調(diào)查發(fā)現(xiàn):國(guó)內(nèi)企業(yè)對(duì)互聯(lián)網(wǎng)危險(xiǎn)的防范十分薄弱���,在遭受web病毒及其他攻擊威脅時(shí),可能導(dǎo)致企業(yè)網(wǎng)絡(luò)陷入不可彌補(bǔ)的災(zāi)難性后果��。參與調(diào)查的企業(yè)平均得分僅為52.9分�,其中63.6%的企業(yè)用戶處于“高度風(fēng)險(xiǎn)”級(jí)別���,而處于“低度風(fēng)險(xiǎn)”保障區(qū)內(nèi)的企業(yè)用戶只有10%��。從這一調(diào)查數(shù)據(jù)��,我們不難看到企業(yè)以及媒介網(wǎng)站普遍存在的安全性問題�。那么企業(yè)網(wǎng)站應(yīng)該從哪些方面下功夫呢?
其一����,及時(shí)為系統(tǒng)打補(bǔ)丁。
我們都知道��,目前很多網(wǎng)站被攻擊�,都是利用了系統(tǒng)存在的一些漏洞,有的是以前就存在的漏洞,有的則是新發(fā)現(xiàn)的一些高危漏洞����,比如前段時(shí)間的Flash漏洞,再如以前針對(duì)論壇的漏洞�����,一些高危漏洞甚至可能導(dǎo)致你的網(wǎng)站一擊斃命���,而修復(fù)漏洞最好的辦法就是打補(bǔ)丁����,然而事實(shí)上補(bǔ)丁工作大家并沒有重視���。
調(diào)查顯示�����,雖然77.6%國(guó)內(nèi)企業(yè)部署了網(wǎng)關(guān)防護(hù)��、防病毒軟件等安全設(shè)備���,但大約4成用戶幾乎不安裝電腦操作系統(tǒng)補(bǔ)丁�、不升級(jí)安全防護(hù)軟件��。近一半用戶從來不對(duì)操作系統(tǒng)和安全設(shè)備的日志進(jìn)行分析��,而安全產(chǎn)品成為“擺設(shè)”的狀況在企業(yè)內(nèi)部依舊很普遍�。
其二,多處著手���,統(tǒng)一管理�����。
對(duì)于各種各樣的網(wǎng)絡(luò)威脅,有的企業(yè)并沒有進(jìn)行高效的管理方法�,調(diào)查顯示,70%的企業(yè)對(duì)內(nèi)部計(jì)算機(jī)的軟件安裝沒有進(jìn)行有效限制和管理�����。企業(yè)用戶認(rèn)為電子郵件��、惡意網(wǎng)站�����、實(shí)時(shí)通訊、終端移動(dòng)代碼��、流媒體使用��、P2P 軟件����、共享數(shù)據(jù)夾使用等7種上網(wǎng)行為對(duì)Web安全影響比較大。其中�,21.8%的企業(yè)用戶對(duì)上述7種行為均沒有任何管理措施,而有5%的企業(yè)對(duì)全部7種行為均進(jìn)行了管理����。在進(jìn)行上網(wǎng)行為管理的企業(yè)中,對(duì)惡意網(wǎng)站的過濾是實(shí)施最多的�����,超過了一半;對(duì)電子郵件過濾則居次席�,也超過了1/3;其他各項(xiàng)大都也在 24%~28%之間。但是在安全培訓(xùn)方面�����,74.9%的企業(yè)表示從未或很少舉辦Web安全相關(guān)知識(shí)培訓(xùn)或���,這一點(diǎn)恰恰將網(wǎng)絡(luò)安全防范最關(guān)鍵的環(huán)節(jié)之一�����。 因此���,統(tǒng)一的管理策略非常關(guān)鍵���。
其三,健全的網(wǎng)站管理體系���。
除了網(wǎng)絡(luò)管理本身的職能外�����,我們還呼吁建立健全的網(wǎng)站管理體系。據(jù)CNCERT/CC監(jiān)測(cè)����,2007年,中國(guó)大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228個(gè)��,比前一年增加了1.5倍��。中國(guó)大陸政府網(wǎng)站被篡改數(shù)量達(dá)3407個(gè)。而2007年中國(guó)大陸政府網(wǎng)站被篡改各月累計(jì)達(dá)4234個(gè)����。從這里我們也不難看到其中的安全隱患。
2008年4月29日�,國(guó)務(wù)院辦公廳發(fā)布了“國(guó)務(wù)院辦公廳關(guān)于施行《中華人民共和國(guó)政府信息公開條例》若干問題的意見”,文中充分體現(xiàn)了政務(wù)公開的決心��,而政務(wù)公開的組要信息渠道是傳統(tǒng)的紙媒和政府網(wǎng)站��。因此�,網(wǎng)站肩負(fù)著非常重要的責(zé)任,而其中網(wǎng)站站長(zhǎng)和政府在安全方面扮演著重要的角色����,一方面我們呼吁網(wǎng)站站長(zhǎng)高度關(guān)注網(wǎng)站安全,構(gòu)筑網(wǎng)站安全的基本防護(hù)能力��,降低被“黑客”攻擊的風(fēng)險(xiǎn)�����,另一方面我們呼吁政府關(guān)注����,積極打擊網(wǎng)絡(luò)黑客犯罪��,加強(qiáng)互聯(lián)網(wǎng)犯罪立法��,從制度上保障網(wǎng)站的安全�����。
總之���,透過這幾起網(wǎng)站被黑事件,我們看到國(guó)內(nèi)企業(yè)和媒介網(wǎng)站存在較為嚴(yán)重的安全隱患�����,也面臨這高度的互聯(lián)網(wǎng)安全威脅�����,這次是清華網(wǎng)站被黑��,難保下一次不會(huì)是某個(gè)知名的門戶網(wǎng)站被黑�����,黑客會(huì)借助媒體的力量來興風(fēng)作浪����,因此,只有從源頭上堵����,真正做好安全配置工作,不再僅僅限于安全產(chǎn)品和技術(shù)�����,而是要實(shí)實(shí)在在起作用的配置�����,這才是企業(yè)網(wǎng)絡(luò)當(dāng)前值得關(guān)注的問題���,也是亟待提升的重中之重�。
