作者: 玉君, 出处:IT专家网, 责任编辑: 张琰珺, 2008-06-25 05:00
中国的网站安全问题主要体现在两个方面,一方面是安全意识淡薄,另一方面是安全标准缺失,存在一些灰色地带。
据某媒体报道:5月18日,犯罪嫌疑人杨某非法侵入昆山红十字会网站,在消息中填写自己拥有的银行卡卡号和户名,企图以赈灾募捐名义敛取钱财;5月25日,湖南省红十字会透露,一些网络黑客偷偷地潜入了省红十字会网站,将上面的慈善账号改为了诈骗的银行账号,现在6名涉案人员已经全部被抓获。这是继地震网站被黑之后,又一次在社会上造成恶劣影响的公益网站被黑客攻击事件。
我们在拷问黑客们社会良知的同时,禁不住追问,我们的网站为什么频繁的遭受黑客们攻击?据相关数据显示,2007年,我国共有49,652,557台计算机感染病毒,互联网用户遭受过病毒攻击的比例占90.56%。其中全球被蝇蛆影响的电脑就有26%在中国,高于其它任何一个国家,如此高密度的病毒感染,其背后的原因是什么?带着这些疑问记者走访了相关机构和专家,得到的答案是,中国的网站安全问题主要体现在两个方面,一方面是安全意识淡薄,另一方面是安全标准缺失,存在一些灰色地带。
安全意识淡薄导致中小型网站频繁遭到“黑客”攻击
堂堂的官方网站在“黑客”面前如此的不堪一击,无论是地震网站被黑还是红十字网站被攻击,其黑客的水平并不高,也不是什么黑客高手,有的只是十几岁的学生,为了好玩儿而攻击网站,这些网站却一攻击破,且近年来,类似的事情比比皆是,业内有关人士指出,主要原因是从上到下重视程度不够,安全意识淡薄。
政府网站如此,那么中小型企业网站又是什么情况呢?据CNCERT/CC杨海军博士向记者介绍,目前受网络攻击比较严重的企业多在金融行业或者与互联网关系密切的企业,银行、证券等的网络欺诈事件,网游公司的木马盗号事件时有发生,而遇到最多的问题分别是:恶意代码、安全漏洞、流量异常、垃圾邮件、拒绝访问,占总攻击的95%,木马病毒、黑客技术、恶意代码,网络攻击手段的日新月异,使得网络安全危机四伏。
麦当劳网站被攻击,农业银行网上银行帐号被盗等等,我们不怀疑这些网站的硬件设施和软件建设的实力,但却又频繁的爆出被黑客攻击。据了解,面对不容乐观的网络安全形势,不少企业和政府仍然缺乏网络安全意识,甚至连简单的网络安全规范都做不到,这让众多的网络安全专家非常担心。他们认为当务之急是提高企业和政府的网络安全意识,“全民参战”。
“黑客”惹祸的关键,安全标准缺失
在网站频繁遭到黑客攻击造成巨大损失的同时,业内有关人士指出,互联网安全标准的缺失才是黑客频繁惹祸的关键,由于缺失安全标准,造成了互联网安全方面存在一些灰色地带,而巨大的黑色产业链条的利益诱惑,又使得在一定程度上刺激黑客产业的发展,互联网各上、中、下游企业,没有形成统一的标准和规划,致使在安全方面无法形成合力,阻击黑客攻击。
“目前,在阻击黑客攻击方面存在巨大的安全隐患,产品标准缺失是主因。在软件方面,如杀毒软件测试就缺乏统一的国家标准,这带来了杀毒软件的误杀和其它的一些安全问题;通过CMS系统(网站内容管理系统)的安全漏洞攻击网站却是黑客最主要的攻击手段,但CMS同样也没有统一的国家标准和行业标准,往往一个CMS系统就有成百上千、甚至有数十万的网站在使用,一旦暴露安全漏洞,对我国的互联网安全将可能带来重大的影响!而目前,部分CMS系统提供商对安全问题不够重视或技术实力不够,导致其CMS产品中有许多漏洞,这也是安全隐患的原因之一。而在硬件服务器方面虽然有一份由国家标准化委员会发布的《服务器安全技术要求》,但在其它领域仍然是缺少标准,如防火墙目前还没有国家标准和行业标准,而厂商依据的是企业标准。”动易网络安全专家对记者说。
而在整个阻击网站黑客攻击的安全防范工作里,其难点还在于软件方面,对此问题,记者进一步向国内目前CMS领域市场占有率第一的动易网络的安全专家了解道,相比于杀毒软件现已得到了有关方面的重视,在CMS 领域,安全标准仍是一个很大的空白。由于标准缺失,用户无法判断哪个CMS产品是否安全,只能听从厂商的宣传,而任何一个厂商都会宣传自己的产品是安全的。所以从用户角度来说,不能只看厂商宣传有多少,而是要看他具体做了哪些工作,比如聘请安全厂商进行安全审计,到网上搜索一下漏洞记录,看有没有及时修复已经发现的漏洞,有能力的还可以自己查看源代码找一找漏洞,这样才能在标准的缺失下,真正选择到一款安全的系统,从而提高网站抵抗黑客攻击的能力。
另据记者了解,目前各CMS厂商依据的是企业标准进行检测,而动易公司则除了在研发过程中注重产品安全外,还特别地将安全审计工作外包给专业的安全厂商、组织进行负责,聘请外脑,以确保动易产品拥有出色的安全性。此外,动易产品还建立了极为严谨的产品安全维护及更新机制,与国内知名的各安全组织建立了长期合作,一旦发现最新产品漏洞,将在24小时内发布漏洞补丁并以短信方式通知所有客户,以确保客户网站安全,这不失为标准缺失下的为用户安全负责的一个最佳途径。
目前,网络安全与信息方面的标准工作已经启动,国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会,但我国网络与信息安全的主要标准化组织CCSA相对而言比较年轻,研究工作才刚刚起步,未来的路还很漫长,还需要各厂商同心协力,相互合作。