近日,備受關(guān)注的山東準大學(xué)生徐玉玉遭電信詐騙后死亡案告破。 根據(jù)9月10日公安部公布的徐玉玉案詐騙細節(jié),嫌疑人利用技術(shù)手段攻破“山東省2016高考網(wǎng)上報名信息系統(tǒng)”, 并在網(wǎng)站植入木馬病毒,獲取了網(wǎng)站后臺登錄權(quán)限,盜取了包括徐玉玉在內(nèi)的大量考生報名信息。
根據(jù)公開報道信息,2011年至今,已有累計13億條用戶隱私信息因網(wǎng)站漏洞被泄漏。記者在采訪中獲悉,雖然信息泄漏事件愈演愈烈,但網(wǎng)站安全問題卻被普遍漠視,很多企業(yè)明明知道自己被拖庫,用戶信息已被泄露,仍然采取“捂蓋子”的方法,只要沒有被曝光,就睜一只眼閉一只眼。
安全專家指出,無處不在的網(wǎng)站漏洞已經(jīng)成為電信詐騙的幫兇。針對普遍存在的網(wǎng)站漏洞問題,我們亟需采取全方位防護措施,進行“立體防護”。
網(wǎng)站漏洞已成為電信詐騙幫兇
在徐玉玉案件中,黑客利用網(wǎng)站漏洞竊取了考生信息,這說明教育行業(yè)網(wǎng)站漏洞已經(jīng)成為電信詐騙集團獲取個人信息的幫兇。更令人擔憂的是教育行業(yè)普遍存在的網(wǎng)站漏洞。根據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的《中國互聯(lián)網(wǎng)安全報告》:基于國內(nèi)知名漏洞響應(yīng)平臺2015年收錄的漏洞信息分析,在5995個網(wǎng)站漏洞中,教育培訓(xùn)行業(yè)被報漏洞1169個,排名居第二位。
與廣泛存在的網(wǎng)站漏洞形成鮮明對比的是,相關(guān)部門對于網(wǎng)站漏洞問題的忽視。根據(jù)同一份報告,針對披露的網(wǎng)站漏洞,教育、能源、醫(yī)療衛(wèi)生三個行業(yè)的修復(fù)情況不容樂觀,修復(fù)率僅約為1.8%-3.4%之間。
一方面是廣泛存在的網(wǎng)站漏洞,一方面是對網(wǎng)絡(luò)漏洞的忽視或熟視無睹。這意味著今后還有可能發(fā)生更多“徐玉玉”事件。改善相關(guān)行業(yè)的網(wǎng)站安全意識,提升網(wǎng)站的防護水平顯然已經(jīng)迫在眉睫。
網(wǎng)站安全管理存在三大突出問題
隨著互聯(lián)網(wǎng)應(yīng)用的普及,網(wǎng)站已經(jīng)成為各級政府及其所屬單位履行職能、面向社會提供服務(wù)的重要手段和渠道,在提高行政效能、提升公信力等方面發(fā)揮著重要作用。但與此同時,網(wǎng)站安全管理也存在非常嚴重的問題,基層黨政機關(guān)、事業(yè)單位和國有企業(yè)網(wǎng)站眾多,網(wǎng)站規(guī)模小且分散,安全監(jiān)管和防護能力差。
據(jù)360網(wǎng)站安全事業(yè)部專家分析,網(wǎng)站安全問題突出表現(xiàn)在以下幾個方面:
一是缺少對安全狀況的監(jiān)測,無法及時發(fā)現(xiàn)網(wǎng)站出現(xiàn)的安全狀況,比如:網(wǎng)站漏洞、網(wǎng)頁掛馬、黑詞黑鏈、網(wǎng)頁篡改等等情況;
二是缺少對出現(xiàn)對以上安全狀況的及時修復(fù)機制或者是無力修復(fù);
三是缺少應(yīng)急響應(yīng)機制,發(fā)現(xiàn)了問題無法提供相應(yīng)的應(yīng)急響應(yīng),導(dǎo)致惡劣后果的進一步加大;
而以上各種狀況出現(xiàn)之后,會引起各種無法預(yù)知的后果,比如信息泄露、財產(chǎn)損失、名譽破壞、甚至如徐玉玉事件的發(fā)生。
網(wǎng)站安全需要“立體防護”
面對黑客或黑客行為客觀存在的現(xiàn)實,我們所能做的就是通過一些安全監(jiān)控和防護手段來降低信息泄露的風險。
360網(wǎng)站安全事業(yè)部的專家表示,面對普遍存在的安全漏洞,對于網(wǎng)站安全需要“立體防護”,通過云端SaaS服務(wù)、硬件盒子的部署、人員安全意識培養(yǎng)、安全制度、監(jiān)管制度的建立等方式,全面提升網(wǎng)站安全的防護能力。
首先是提升對于網(wǎng)站安全重要性的認識。數(shù)據(jù)泄露重則引起經(jīng)濟損失、名譽破壞,以及類似徐玉玉的安全事件。國家已經(jīng)加強了信息泄露的問責處罰機制,網(wǎng)站管理者的安全意識需要同步提升。
從網(wǎng)站的開發(fā)與運營角度,網(wǎng)站管理者在開發(fā)階段就需要利用代碼檢測工具,對第三方開發(fā)的網(wǎng)站進行網(wǎng)站源代碼檢查,確保網(wǎng)站開發(fā)符合安全流程,降低漏洞存在機率。
在網(wǎng)站運營期,網(wǎng)站管理者需部署必要的安全防護軟件或接入云防護系統(tǒng)。根據(jù)其承載業(yè)務(wù)的重要性、普遍性、行業(yè)性等維度劃分等級,建立基于等保而高于等保的安全標準及響應(yīng)機制。對網(wǎng)站進行的24小時監(jiān)測措施的工具,進行網(wǎng)站漏洞掃描、、網(wǎng)頁掛馬監(jiān)測等監(jiān)測,以應(yīng)對黑客的入侵。
此外,針對一旦發(fā)現(xiàn)漏洞,能夠有相應(yīng)的應(yīng)急處置機制和手段,確保漏洞得到及時修復(fù),將數(shù)據(jù)泄露的風險降到最低。