近日,一则关于清华大学网站被黑的消息在网上引起轩然大波,在被黑的清华新闻网上,黑客捏造了一篇清华大学校长顾秉林接受采访的新闻报道,批评现行教育制度。清华大学作为国内最为知名的教育机构,其网站被黑,自然引起社会的高度关注,而黑客黑掉该网站后,并没有攻破网站,致使网站瘫痪或者采取其他更为严重的手段窃取数据等,而是在新闻网发布了一篇假冒清华大学校长接受采访的文章,这看起来就更加令人匪夷所思,因此,其受到的关注度就更高了。抛开教育制度这个问题不谈,联想到近年来中国移动网站、地震网站、家乐福网站、工行网站等网站纷纷被黑,我们不禁要问,是这些网站太引人注目,树大招风,还是网站本身的安全存在诸多问题,以至于脆弱得不堪一击?为何媒介网站频频被黑?
一、现状:企业、媒介网站频频被黑
企业、媒介网站被黑应该说我们并不陌生,通常这类黑客并不是想获取网站的控制权限,也不是想窃取网站的核心数据,也不是以赢利、赚钱为目的,而是想通过这种安全界独有的形式来唤起大家对某个事件的高度关注:
早在2006年09月11日,中国移动网站被黑,首页显示的不是“移动信息专家”,而是一行涂鸦:“恳请移动的话费能便宜点不……”。这次黑客事件不仅仅涉及到中国移动网站(http://www.chinamobile.com/),同时还包括中国移动旗下品牌动感地带网站(http://www.m-zone.com.cn)也被黑。此次事件后,很多网友开始担忧:“中国移动的网站也会被黑,系统是不是足够安全?”
图1 中国移动网站被黑
2007年年初,工行网站被黑,工行页面被修改得面目全非,诸如“中国工商银行宣布破产”、“用牡丹卡嫖娼享受9.5折优惠!”等字样也屡见不鲜。此次事件后,有不少网民提出质疑:这样的银行上市了又能怎样?不健全的安全体系只能让顾客失望!看来,网站被黑对企业的负面影响是非常大的,尽管那次攻击只是常见的跨站式XSS处理不当造成,微软、雅虎、亚马逊等公司都出现过此类问题,尽管可能工行网银的安全应该不会构成威胁,但带来的负面影响和企业形象的损失都不容低估。
图2 工行网站被黑
今年4月17日,家乐福中国首页曾经被黑,出现“抵制家乐福”的口号。家乐福网站页面上方出现大片白色背景和黑色字体,以诗歌的形式号召中国消费者抵制家乐福。诗歌的大体内容为,“如果你为了看到自己国家的火炬,而被警察扔催泪弹”、“如果桥上的巴黎人都向你扔垃圾”……“如果……你都没有反应,那我无语了。”
图3 家乐福网站被黑
如今,这次黑客攻击已经转向了知名的大学网站,并借此抨击当前的教育制度。
图4 清华大学网站被黑
类似的黑客攻击例子我们不再穷举,从以上几个攻击案例中,我们可以看到很多共同的地方:其一,黑客攻击后通常都是发表一定的言论,以引起社会的关注,没有进行实质性的破坏;其二,黑客选取的网站都是一些公众性的,在社会和网民心中都很有影响力的网站,这些网站要么是企业网站,要么是媒介网站。那么这些网站被攻击除了反映出一定的社会问题外,是否也凸显出这些网站本身的安全性太弱,还是黑客水平太高呢?
二、反思:媒介网站安全亟待提升
企业、媒介网站频频被黑,在笔者看来,更多的是暴露出这些网站对安全不够重视,安全配置本身还存在诸多的漏洞,正是这样的现状,才给了黑客可乘之机。才让这部分黑客有了发泄和展示的平台,因此,要杜绝这类问题,必须首先从网站自身的安全做起。
据调查显示,国内六成企业网络处于高度风险,根据51CTO联合趋势科技的一项安全调查发现:国内企业对互联网危险的防范十分薄弱,在遭受web病毒及其他攻击威胁时,可能导致企业网络陷入不可弥补的灾难性后果。参与调查的企业平均得分仅为52.9分,其中63.6%的企业用户处于“高度风险”级别,而处于“低度风险”保障区内的企业用户只有10%。从这一调查数据,我们不难看到企业以及媒介网站普遍存在的安全性问题。那么企业网站应该从哪些方面下功夫呢?
其一,及时为系统打补丁。
我们都知道,目前很多网站被攻击,都是利用了系统存在的一些漏洞,有的是以前就存在的漏洞,有的则是新发现的一些高危漏洞,比如前段时间的Flash漏洞,再如以前针对论坛的漏洞,一些高危漏洞甚至可能导致你的网站一击毙命,而修复漏洞最好的办法就是打补丁,然而事实上补丁工作大家并没有重视。
调查显示,虽然77.6%国内企业部署了网关防护、防病毒软件等安全设备,但大约4成用户几乎不安装电脑操作系统补丁、不升级安全防护软件。近一半用户从来不对操作系统和安全设备的日志进行分析,而安全产品成为“摆设”的状况在企业内部依旧很普遍。
其二,多处着手,统一管理。
对于各种各样的网络威胁,有的企业并没有进行高效的管理方法,调查显示,70%的企业对内部计算机的软件安装没有进行有效限制和管理。企业用户认为电子邮件、恶意网站、实时通讯、终端移动代码、流媒体使用、P2P 软件、共享数据夹使用等7种上网行为对Web安全影响比较大。其中,21.8%的企业用户对上述7种行为均没有任何管理措施,而有5%的企业对全部7种行为均进行了管理。在进行上网行为管理的企业中,对恶意网站的过滤是实施最多的,超过了一半;对电子邮件过滤则居次席,也超过了1/3;其他各项大都也在 24%~28%之间。但是在安全培训方面,74.9%的企业表示从未或很少举办Web安全相关知识培训或,这一点恰恰将网络安全防范最关键的环节之一。 因此,统一的管理策略非常关键。
其三,健全的网站管理体系。
除了网络管理本身的职能外,我们还呼吁建立健全的网站管理体系。据CNCERT/CC监测,2007年,中国大陆被篡改网站总数累积达 61228个,比前一年增加了1.5倍。中国大陆政府网站被篡改数量达3407个。而2007年中国大陆政府网站被篡改各月累计达4234个。从这里我们也不难看到其中的安全隐患。
2008年4月29日,国务院办公厅发布了“国务院办公厅关于施行《中华人民共和国政府信息公开条例》若干问题的意见”,文中充分体现了政务公开的决心,而政务公开的组要信息渠道是传统的纸媒和政府网站。因此,网站肩负着非常重要的责任,而其中网站站长和政府在安全方面扮演着重要的角色,一方面我们呼吁网站站长高度关注网站安全,构筑网站安全的基本防护能力,降低被“黑客”攻击的风险,另一方面我们呼吁政府关注,积极打击网络黑客犯罪,加强互联网犯罪立法,从制度上保障网站的安全。
总之,透过这几起网站被黑事件,我们看到国内企业和媒介网站存在较为严重的安全隐患,也面临这高度的互联网安全威胁,这次是清华网站被黑,难保下一次不会是某个知名的门户网站被黑,黑客会借助媒体的力量来兴风作浪,因此,只有从源头上堵,真正做好安全配置工作,不再仅仅限于安全产品和技术,而是要实实在在起作用的配置,这才是企业网络当前值得关注的问题,也是亟待提升的重中之重。