黑客頻繁攻擊網站 安全標準缺失成為主因

6月23日消息，據某媒體報道：5月18日，犯罪嫌疑人楊某非法侵入昆山紅十字會網站，在消息中填寫自己擁有的銀行卡卡號和戶名，企圖以賑災募捐名義斂取錢財；5月25日，湖南省紅十字會透露，一些網絡黑客偷偷地潛入了省紅十字會網站，將上面的慈善賬號改為了詐騙的銀行賬號，現在6名涉案人員已經全部被抓獲。這是繼地震網站被黑之后，又一次在社會上造成惡劣影響的公益網站被黑客攻擊事件。

我們在拷問黑客們社會良知的同時，禁不住追問，我們的網站為什么頻繁的遭受黑客們攻擊？據相關數據顯示，2007年，我國共有49，652，557臺計算機感染病毒，互聯網用戶遭受過病毒攻擊的比例占90.56%。其中全球被蠅蛆影響的電腦就有26%在中國，高于其它任何一個國家，如此高密度的病毒感染，其背后的原因是什么？帶著這些疑問記者走訪了相關機構和專家，得到的答案是，中國的網站安全問題主要體現在兩個方面，一方面是安全意識淡薄，另一方面是安全標準缺失，存在一些灰色地帶。

安全意識淡薄導致中小型網站頻繁遭到“黑客”攻擊

堂堂的官方網站在“黑客”面前如此的不堪一擊，無論是地震網站被黑還是紅十字網站被攻擊，其黑客的水平并不高，也不是什么黑客高手，有的只是十幾歲的學生，為了好玩兒而攻擊網站，這些網站卻一攻即破，且近年來，類似的事情比比皆是，業內有關人士指出，主要原因是從上到下重視程度不夠，安全意識淡薄。

政府網站如此，那么中小型企業網站又是什么情況呢？據CNCERT/CC楊海軍博士向記者介紹，目前受網絡攻擊比較嚴重的企業多在金融行業或者與互聯網關系密切的企業，銀行、證券等的網絡欺詐事件，網游公司的木馬盜號事件時有發生，而遇到最多的問題分別是：惡意代碼、安全漏洞、流量異常、垃圾郵件、拒絕訪問，占總攻擊的95%，木馬病毒、黑客技術、惡意代碼，網絡攻擊手段的日新月異，使得網絡安全危機四伏。

麥當勞網站被攻擊，農業銀行網上銀行帳號被盜等等，我們不懷疑這些網站的硬件設施和軟件建設的實力，但卻又頻繁的爆出被黑客攻擊。據了解，面對不容樂觀的網絡安全形勢，不少企業和政府仍然缺乏網絡安全意識，甚至連簡單的網絡安全規范都做不到，這讓眾多的網絡安全專家非常擔心。他們認為當務之急是提高企業和政府的網絡安全意識，“全民參戰”。

“黑客”惹禍的關鍵，安全標準缺失

在網站頻繁遭到黑客攻擊造成巨大損失的同時，業內有關人士指出，互聯網安全標準的缺失才是黑客頻繁惹禍的關鍵，由于缺失安全標準，造成了互聯網安全方面存在一些灰色地帶，而巨大的黑色產業鏈條的利益誘惑，又使得在一定程度上刺激黑客產業的發展，互聯網各上、中、下游企業，沒有形成統一的標準和規劃，致使在安全方面無法形成合力，阻擊黑客攻擊。

“目前，在阻擊黑客攻擊方面存在巨大的安全隱患，產品標準缺失是主因。在軟件方面，如殺毒軟件測試就缺乏統一的國家標準，這帶來了殺毒軟件的誤殺和其它的一些安全問題；通過CMS系統（網站內容管理系統）的安全漏洞攻擊網站卻是黑客最主要的攻擊手段，但CMS同樣也沒有統一的國家標準和行業標準，往往一個CMS系統就有成百上千、甚至有數十萬的網站在使用，一旦暴露安全漏洞，對我國的互聯網安全將可能帶來重大的影響！而目前，部分CMS系統提供商對安全問題不夠重視或技術實力不夠，導致其CMS產品中有許多漏洞，這也是安全隱患的原因之一。而在硬件服務器方面雖然有一份由國家標準化委員會發布的《服務器安全技術要求》，但在其它領域仍然是缺少標準，如防火墻目前還沒有國家標準和行業標準，而廠商依據的是企業標準�！眲右拙W絡安全專家對記者說。

而在整個阻擊網站黑客攻擊的安全防范工作里，其難點還在于軟件方面，對此問題，記者進一步向國內目前CMS領域市場占有率第一的動易網絡的安全專家了解道，相比于殺毒軟件現已得到了有關方面的重視，在CMS 領域，安全標準仍是一個很大的空白。由于標準缺失，用戶無法判斷哪個CMS產品是否安全，只能聽從廠商的宣傳，而任何一個廠商都會宣傳自己的產品是安全的。所以從用戶角度來說，不能只看廠商宣傳有多少，而是要看他具體做了哪些工作，比如聘請安全廠商進行安全審計，到網上搜索一下漏洞記錄，看有沒有及時修復已經發現的漏洞，有能力的還可以自己查看源代碼找一找漏洞，這樣才能在標準的缺失下，真正選擇到一款安全的系統，從而提高網站抵抗黑客攻擊的能力。

另據記者了解，目前各CMS廠商依據的是企業標準進行檢測，而動易公司則除了在研發過程中注重產品安全外，還特別地將安全審計工作外包給專業的安全廠商、組織進行負責，聘請外腦，以確保動易產品擁有出色的安全性。此外，動易產品還建立了極為嚴謹的產品安全維護及更新機制，與國內知名的各安全組織建立了長期合作，一旦發現最新產品漏洞，將在24小時內發布漏洞補丁并以短信方式通知所有客戶，以確�？蛻艟W站安全，這不失為標準缺失下的為用戶安全負責的一個最佳途徑。

目前，網絡安全與信息方面的標準工作已經啟動，國內的安全標準組織主要有信息技術安全標準化技術委員會(CITS)以及中國通信標準化協會(CCSA)下轄的網絡與信息安全技術工作委員會，但我國網絡與信息安全的主要標準化組織CCSA相對而言比較年輕，研究工作才剛剛起步，未來的路還很漫長，還需要各廠商同心協力，相互合作。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: 攻擊 黑客 缺失 主因 安全標準