政府和金融網(wǎng)站安全威脅的形式及其應(yīng)對(duì)之策
日前,根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)最新發(fā)布的2010全年互聯(lián)網(wǎng)安全報(bào)告顯示,上一年基礎(chǔ)網(wǎng)絡(luò)運(yùn)行雖然總體平穩(wěn),但是在2010年中國(guó)大陸近3.5萬(wàn)個(gè)被黑客篡改的網(wǎng)站中,政府網(wǎng)站竟高達(dá)4635個(gè),比2009年上升了67.6%,這其中政府網(wǎng)站安全防護(hù)薄弱,金融行業(yè)網(wǎng)站成為不法分子攻擊重點(diǎn)目標(biāo)等現(xiàn)象仍然比較嚴(yán)重!
與一般的商業(yè)性網(wǎng)站相比,政府和金融網(wǎng)站帶有更多的社會(huì)屬性,一旦被黑客攻擊或出現(xiàn)內(nèi)容上的惡意篡改,其帶來(lái)的惡果就不光是經(jīng)濟(jì)損失,而往往還伴隨有公權(quán)機(jī)關(guān)權(quán)威性和社會(huì)公信力的喪失,進(jìn)而又將會(huì)帶來(lái)諸如社會(huì)公平和正義被扭曲等方面的一系列問(wèn)題,試想在一個(gè)地方政府網(wǎng)站如果出現(xiàn)了一則冒名的“政府公告”或一篇莫名其妙的捏造文件,其真實(shí)帶來(lái)的惡劣社會(huì)影響以及給公眾百姓帶來(lái)的消極恐慌有多大?從這個(gè)意義上看,在政府建立“電子政務(wù)”和各金融機(jī)構(gòu)推行“行業(yè)信息化”過(guò)程中,從根本上扭轉(zhuǎn)政府和金融行業(yè)等涉密機(jī)構(gòu)網(wǎng)站遭黑趨勢(shì)大幅上升的被動(dòng)局面,重新建立其堅(jiān)強(qiáng)的安全防御網(wǎng)絡(luò),重塑涉密機(jī)構(gòu)網(wǎng)站的權(quán)威性和社會(huì)公信力,將是今年十二五開(kāi)局乃至今后一年相當(dāng)長(zhǎng)歷史時(shí)期亟待解決的社會(huì)重大問(wèn)題之一。
一、政府和金融網(wǎng)站面臨安全威脅的形式
在電子政務(wù)和行業(yè)信息化蓬勃發(fā)展的今天,政府和金融網(wǎng)站所面臨的各類(lèi)安全威脅依舊非常嚴(yán)峻,由于目前在網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)軟件、應(yīng)用軟件乃至安全防護(hù)產(chǎn)品中普遍存在安全漏洞,黑客借助多種常見(jiàn)的甚至是很基礎(chǔ)的攻擊技術(shù)或攻擊手段都可能入侵得手,這里比如最常見(jiàn)的網(wǎng)站掛馬和DDOS攻擊等。另外網(wǎng)站本身的一些局限性原因,比如重視內(nèi)容建設(shè)而輕視安全防范、網(wǎng)站建設(shè)受制于技術(shù)力量、資金投入、科學(xué)規(guī)范管理以及過(guò)分相信甚至是迷信非專業(yè)性的安全軟硬件產(chǎn)品等,這些或許都是政府和金融網(wǎng)站遭黑趨勢(shì)大幅上升的客觀原因且目前大都普遍存在。
就目前看,政府網(wǎng)站被黑和網(wǎng)站內(nèi)容被篡改的主要形式包括兩種,一為將網(wǎng)站首頁(yè)改為黑客組織頁(yè)面,以此炫技;二是在政府網(wǎng)站中暗藏黑客頁(yè)面,告訴潛在交易方,政府網(wǎng)站的服務(wù)器、帶寬已經(jīng)為黑客控制,可以出租、轉(zhuǎn)讓給不法分子。
而在金融機(jī)構(gòu)的網(wǎng)站安全方面,網(wǎng)絡(luò)違法犯罪行為的“趨利化”非常特征明顯,大型電子商務(wù)、金融機(jī)構(gòu)、第三方在線支付網(wǎng)站成為網(wǎng)絡(luò)釣魚(yú)的主要對(duì)象,黑客仿冒上述網(wǎng)站或偽造購(gòu)物網(wǎng)站誘使用戶登陸和交易,竊取用戶賬號(hào)密碼、造成用戶經(jīng)濟(jì)損失。
政府和金融網(wǎng)站所面臨的安全威脅,歸根結(jié)底是一種對(duì)社會(huì)正常秩序以及社會(huì)公平正義的公然破壞,盡管?chē)?guó)家已經(jīng)從立法層面對(duì)黑客的嚴(yán)重攻擊破壞活動(dòng)進(jìn)行了刑法獨(dú)立入罪,但是注重自身的安全防范仍然是根本,政府和金融網(wǎng)站在做好設(shè)備與技術(shù)投入的硬性指標(biāo)同時(shí),立足于自身主觀意識(shí)上的主動(dòng)安全防范,可能同樣非常關(guān)鍵。
二、政府和金融網(wǎng)站安全保障策略的分析
針對(duì)當(dāng)前政府和金融網(wǎng)站所面臨的安全威脅和安全形勢(shì),一些權(quán)威安全機(jī)構(gòu)也給出了很好的應(yīng)對(duì)機(jī)制和安全保障策略:
1.面對(duì)形形色色的網(wǎng)絡(luò)安全威脅,我們要有足夠的憂患意識(shí)和危機(jī)意識(shí),主動(dòng)防范于未然,時(shí)刻繃緊“網(wǎng)絡(luò)安全”這根弦,這是科學(xué)應(yīng)對(duì)政府和金融網(wǎng)站黑客攻擊的首要前提。
2.有效突破網(wǎng)站安全建設(shè)方面的諸如技術(shù)力量、資金投入、科學(xué)規(guī)范管理以及過(guò)分相信甚至是迷信非專業(yè)性的安全軟硬件產(chǎn)品等制約瓶頸,改變信息安全管理滯后于網(wǎng)站內(nèi)容建設(shè)的現(xiàn)狀,確保政府和金融網(wǎng)站運(yùn)行高效且安全保障科學(xué)規(guī)范。
3.努力從管理、制度、技術(shù)各層面建立網(wǎng)站的安全體系,確保網(wǎng)站安全平穩(wěn)的運(yùn)行狀態(tài)。在嚴(yán)格加強(qiáng)對(duì)上網(wǎng)信息的采集、發(fā)布和更新嚴(yán)格執(zhí)行保密規(guī)定的同時(shí),從技術(shù)層面防范病毒侵?jǐn)_和黑客攻擊則非常關(guān)鍵,比如主要從物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、應(yīng)用層、系統(tǒng)層等方面進(jìn)行全面安全設(shè)計(jì),對(duì)機(jī)房和服務(wù)器進(jìn)行標(biāo)準(zhǔn)化改造,安裝硬件防火墻、網(wǎng)絡(luò)殺毒軟件和專業(yè)的防泄密系統(tǒng)等。
事實(shí)上,專業(yè)的防泄密系統(tǒng)部署非常關(guān)鍵,但也是目前政府和金融網(wǎng)站安全防御最薄弱的地方之一,這里我們不妨作為政府和金融網(wǎng)站安全保障策略中一個(gè)較為重點(diǎn)的環(huán)節(jié)進(jìn)行分析一下:國(guó)外的許多安全專家喜歡將專業(yè)防泄密系統(tǒng)稱之為網(wǎng)站安全的“最后一道防線”,也就是說(shuō)當(dāng)網(wǎng)站即便遭到最強(qiáng)勢(shì)的黑客攻擊后,黑客所竊取的機(jī)密電子資料都是被專業(yè)防泄密系統(tǒng)加密過(guò)的,或者根本打不開(kāi),或者經(jīng)過(guò)打開(kāi)后就是一堆雜亂無(wú)用的亂碼。“鐵卷電子文檔安全系統(tǒng)”是一款專門(mén)針對(duì)政府和金融網(wǎng)站等64位超強(qiáng)性能服務(wù)器提供機(jī)密電子文檔保護(hù)的專業(yè)防泄密系統(tǒng),由國(guó)內(nèi)終端與數(shù)據(jù)安全產(chǎn)品的領(lǐng)先企業(yè)深圳大成天下獨(dú)家研發(fā)并以超低廉資費(fèi)的整體產(chǎn)品解決方案推出市場(chǎng)。該套“鐵卷電子文檔安全系統(tǒng)”分別有一個(gè)最大的優(yōu)勢(shì)和技術(shù)特色:
優(yōu)勢(shì)是率先在整個(gè)行業(yè)集成64位操作系統(tǒng)的文檔透明加密技術(shù),成功突破傳統(tǒng)同類(lèi)產(chǎn)品中國(guó)外同類(lèi)產(chǎn)品價(jià)格奇高、本土化服務(wù)先天欠缺、受制于政府對(duì)相關(guān)信息安全產(chǎn)品的部分準(zhǔn)入政策等制約瓶頸,眾所周知,對(duì)于應(yīng)用可伸縮性更高、安全防御性能更強(qiáng)、企業(yè)級(jí)應(yīng)用越來(lái)越廣泛的64位操作系統(tǒng),64位文檔透明加密技術(shù)前景也將更加廣闊;
技術(shù)特色是能夠在不改變用戶任何原有操作習(xí)慣的前提下,讓脫離網(wǎng)站服務(wù)器的所有機(jī)密電子文檔自動(dòng)無(wú)法使用,它并不是依托容易被廣泛破解的密碼來(lái)加密和保護(hù)電子文檔,而是依托特定的環(huán)境(如網(wǎng)站服務(wù)器及所有聯(lián)網(wǎng)服務(wù)器集群)來(lái)對(duì)機(jī)密電子文檔進(jìn)行無(wú)形加密和保護(hù),從而可以使所有機(jī)密電子文檔在脫離特定環(huán)境下瞬間變成一堆毫無(wú)用處的亂碼。另外“鐵卷電子文檔安全系統(tǒng)”還會(huì)主動(dòng)對(duì)經(jīng)過(guò)加密保護(hù)的機(jī)密電子文檔有選擇的限制其瀏覽、打印輸出、復(fù)制、屏幕拷貝、可查閱的有效期限范圍和打開(kāi)密碼等多項(xiàng)控制權(quán)限,由“管理中心”統(tǒng)一進(jìn)行實(shí)時(shí)監(jiān)管。作為目前國(guó)內(nèi)最具品牌影響力的終端與數(shù)據(jù)安全專家,“鐵卷電子文檔安全系統(tǒng)”同時(shí)擁有很好的產(chǎn)品兼容性,這些兼容性包括提供70多種應(yīng)用程序及Office、PDF、wps、AutoCAD、Pro/E、SolidWork等上百種主流電子文檔格式支持等。
三、一些心得
事實(shí)上針對(duì)政府和金融網(wǎng)站所面臨的安全威脅,除了以上介紹的安全保障策略外,以下三方面的對(duì)策也應(yīng)該引起足夠重視:一是注意對(duì)政府和金融網(wǎng)站程序漏洞的及時(shí)修補(bǔ),加強(qiáng)安全意識(shí),注意防止注入漏洞、上傳漏洞等問(wèn)題;二是尋求技術(shù)實(shí)力強(qiáng)、安全系數(shù)高、能主動(dòng)幫客戶解決安全的服務(wù)商進(jìn)行網(wǎng)站服務(wù)器托管;三是部署專業(yè)防泄密系統(tǒng)的網(wǎng)站“最后一道防線”,據(jù)悉“鐵卷電子文檔安全系統(tǒng)”已經(jīng)與哈爾濱市政辦公廳、中國(guó)保險(xiǎn)監(jiān)管委員會(huì)、常州公安局、沈陽(yáng)海關(guān)、河南省技監(jiān)局、江蘇泰州紀(jì)委、招商銀行、中國(guó)移動(dòng)、深圳周大生珠寶等上百家政府、金融機(jī)構(gòu)和行業(yè)網(wǎng)站建立了長(zhǎng)期穩(wěn)定的戰(zhàn)略合作,是一款非常成熟的高性價(jià)比專業(yè)防泄密系統(tǒng)。