政府網(wǎng)站安全拷問(wèn)互聯(lián)網(wǎng)產(chǎn)業(yè)現(xiàn)狀 |
發(fā)布時(shí)間: 2012/7/11 10:28:43 |
政府網(wǎng)站作為市民獲取政府信息和服務(wù)的主要接入渠道和信息發(fā)布平臺(tái),自然成為我市電子政務(wù)的信息安全防護(hù)體系中重要組成部分,受到市、區(qū)、縣各級(jí)政府機(jī)構(gòu)的高度重視。然而在電子政務(wù)網(wǎng)站的實(shí)際運(yùn)行過(guò)程中,或技術(shù)防護(hù)手段先進(jìn)性差,或缺乏與之向輔的信息安全的制度保障,卻是總是存在木桶短板,安全形式不容樂觀。
案例一 漢中日?qǐng)?bào)官方網(wǎng)站被黑客篡改 表面上看起來(lái)毫無(wú)問(wèn)題,但是通過(guò)搜索蜘蛛、機(jī)器人模擬工具可以發(fā)現(xiàn)網(wǎng)頁(yè)的標(biāo)題、關(guān)鍵詞、描述被篡改成如下非法內(nèi)容 以上網(wǎng)頁(yè)被篡改的基本手段筆者可以斷定是通過(guò)服務(wù)器文件被注入實(shí)現(xiàn)的;驹硎菍(duì)搜索引擎蜘蛛和正常訪問(wèn)來(lái)源進(jìn)行判斷,若訪問(wèn)者是蜘蛛就輸出非法內(nèi)容,正常用戶不受影響。 有此可以看出該網(wǎng)站安全方面的脆弱,兩周前筆者試圖聯(lián)系該網(wǎng)站的主辦方告知其問(wèn)題,但苦于無(wú)法通過(guò)正常渠道告知,最后將問(wèn)題提交至該網(wǎng)站開發(fā)方陜西錦華科技,卻被該公司客服人員敷衍。 案例二 南鄭縣人民政府門戶網(wǎng)站被黑客篡改 筆者通過(guò)google搜索漢中市南鄭縣政府網(wǎng)站時(shí)發(fā)現(xiàn)google提示該網(wǎng)站可能遭到了攻擊,隨即筆者通過(guò)搜索蜘蛛、機(jī)器人模擬工具檢測(cè)發(fā)現(xiàn)該網(wǎng)站被入侵的手段同漢中日?qǐng)?bào)官方網(wǎng)站如出一轍。 由以上兩個(gè)案例可以看出,目前新形勢(shì)下的政府網(wǎng)絡(luò)安全,幾個(gè)主要的攻擊趨勢(shì)將對(duì)Web應(yīng)用安全產(chǎn)生重要影響。 1、攻擊者攻擊手段的隱蔽性:根據(jù)McAfee Avert Labs的最新報(bào)告“Top 10 Threat Predictions for 2008”,網(wǎng)絡(luò)罪犯已經(jīng)逐漸意識(shí)到攻擊一些頂級(jí)網(wǎng)站的高風(fēng)險(xiǎn)性和高成本。他們將會(huì)選取一些知名、響應(yīng)不夠及時(shí)的網(wǎng)站,作為第一攻擊目標(biāo)。而后利用從第一 攻擊目標(biāo)上獲得的信息再去訪問(wèn)最終的攻擊目標(biāo),如政府門戶網(wǎng)站等。這樣攻擊將具備更強(qiáng)的隱蔽性,造成防范極大的困難。 2、攻擊者逐漸從網(wǎng)絡(luò)層攻擊轉(zhuǎn)向應(yīng)用層滲透和攻擊,未來(lái)應(yīng)用層將是攻擊防護(hù)的主戰(zhàn)場(chǎng),對(duì)Web應(yīng)用防護(hù)必將提出更為嚴(yán)峻的挑戰(zhàn),F(xiàn)階段的網(wǎng)站安全解決方案無(wú)一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面,致使面臨應(yīng)用層攻擊(如:針對(duì)WEB應(yīng)用的SQL注入攻擊、跨站腳本攻擊等)發(fā)生時(shí),傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS等安全產(chǎn)品對(duì)此類攻擊的防御幾乎不起作用。 3、攻擊者的動(dòng)機(jī)從個(gè)人愛好或是揚(yáng)名到追求經(jīng)濟(jì)獲利的重大轉(zhuǎn)變。黑色產(chǎn)業(yè)鏈的形成與逐漸壯大已經(jīng)成為網(wǎng)絡(luò)安全必須面對(duì)的問(wèn)題,根據(jù)Symantec最新互聯(lián)網(wǎng)安全威脅調(diào)研表明,這種趨勢(shì)在不斷升級(jí)。如:部分政府網(wǎng)站提供成績(jī)查詢、資格證書編號(hào)驗(yàn)證等便民服務(wù),部分不法分子為實(shí)現(xiàn)非法目的,不惜高價(jià)雇傭黑客修改、添加、刪除私人信息,使得此類政府網(wǎng)站易于成為黑客攻擊的對(duì)象。 本文出自:億恩科技【www.allwellnessguide.com】 服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |