政府和金融网站安全威胁的形式及其应对之策

作者: 专题 2011/3/17 17:37:14

      日前,根据国家互联网应急中心(CNCERT)最新发布的2010全年互联网安全报告显示,上一年基础网络运行虽然总体平稳,但是在2010年中国大陆近3.5万个被黑客篡改的网站中,政府网站竟高达4635个,比2009年上升了67.6%,这其中政府网站安全防护薄弱,金融行业网站成为不法分子攻击重点目标等现象仍然比较严重!

  与一般的商业性网站相比,政府和金融网站带有更多的社会属性,一旦被黑客攻击或出现内容上的恶意篡改,其带来的恶果就不光是经济损失,而往往还伴随有公权机关权威性和社会公信力的丧失,进而又将会带来诸如社会公平和正义被扭曲等方面的一系列问题,试想在一个地方政府网站如果出现了一则冒名的“政府公告”或一篇莫名其妙的捏造文件,其真实带来的恶劣社会影响以及给公众百姓带来的消极恐慌有多大?从这个意义上看,在政府建立“电子政务”和各金融机构推行“行业信息化”过程中,从根本上扭转政府和金融行业等涉密机构网站遭黑趋势大幅上升的被动局面,重新建立其坚强的安全防御网络,重塑涉密机构网站的权威性和社会公信力,将是今年十二五开局乃至今后一年相当长历史时期亟待解决的社会重大问题之一。

  一、政府和金融网站面临安全威胁的形式
  在电子政务和行业信息化蓬勃发展的今天,政府和金融网站所面临的各类安全威胁依旧非常严峻,由于目前在网络设备服务器系统、操作系统、数据库软件、应用软件乃至安全防护产品中普遍存在安全漏洞,黑客借助多种常见的甚至是很基础的攻击技术或攻击手段都可能入侵得手,这里比如最常见的网站挂马和DDOS攻击等。另外网站本身的一些局限性原因,比如重视内容建设而轻视安全防范、网站建设受制于技术力量、资金投入、科学规范管理以及过分相信甚至是迷信非专业性的安全软硬件产品等,这些或许都是政府和金融网站遭黑趋势大幅上升的客观原因且目前大都普遍存在。

  就目前看,政府网站被黑和网站内容被篡改的主要形式包括两种,一为将网站首页改为黑客组织页面,以此炫技;二是在政府网站中暗藏黑客页面,告诉潜在交易方,政府网站的服务器、带宽已经为黑客控制,可以出租、转让给不法分子。

  而在金融机构的网站安全方面,网络违法犯罪行为的“趋利化”非常特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易,窃取用户账号密码、造成用户经济损失。

  政府和金融网站所面临的安全威胁,归根结底是一种对社会正常秩序以及社会公平正义的公然破坏,尽管国家已经从立法层面对黑客的严重攻击破坏活动进行了刑法独立入罪,但是注重自身的安全防范仍然是根本,政府和金融网站在做好设备与技术投入的硬性指标同时,立足于自身主观意识上的主动安全防范,可能同样非常关键。
    二、政府和金融网站安全保障策略的分析

  针对当前政府和金融网站所面临的安全威胁和安全形势,一些权威安全机构也给出了很好的应对机制和安全保障策略:
  
  1.面对形形色色的网络安全威胁,我们要有足够的忧患意识和危机意识,主动防范于未然,时刻绷紧“网络安全”这根弦,这是科学应对政府和金融网站黑客攻击的首要前提。

  2.有效突破网站安全建设方面的诸如技术力量、资金投入、科学规范管理以及过分相信甚至是迷信非专业性的安全软硬件产品等制约瓶颈,改变信息安全管理滞后于网站内容建设的现状,确保政府和金融网站运行高效且安全保障科学规范。

  3.努力从管理、制度、技术各层面建立网站的安全体系,确保网站安全平稳的运行状态。在严格加强对上网信息的采集、发布和更新严格执行保密规定的同时,从技术层面防范病毒侵扰和黑客攻击则非常关键,比如主要从物理层、数据链路层、网络层、应用层、系统层等方面进行全面安全设计,对机房和服务器进行标准化改造,安装硬件防火墙、网络杀毒软件和专业的防泄密系统等。

  事实上,专业的防泄密系统部署非常关键,但也是目前政府和金融网站安全防御最薄弱的地方之一,这里我们不妨作为政府和金融网站安全保障策略中一个较为重点的环节进行分析一下:国外的许多安全专家喜欢将专业防泄密系统称之为网站安全的“最后一道防线”,也就是说当网站即便遭到最强势的黑客攻击后,黑客所窃取的机密电子资料都是被专业防泄密系统加密过的,或者根本打不开,或者经过打开后就是一堆杂乱无用的乱码。“铁卷电子文档安全系统”是一款专门针对政府和金融网站等64位超强性能服务器提供机密电子文档保护的专业防泄密系统,由国内终端与数据安全产品的领先企业深圳大成天下独家研发并以超低廉资费的整体产品解决方案推出市场。该套“铁卷电子文档安全系统”分别有一个最大的优势和技术特色:

  优势是率先在整个行业集成64位操作系统的文档透明加密技术,成功突破传统同类产品中国外同类产品价格奇高、本土化服务先天欠缺、受制于政府对相关信息安全产品的部分准入政策等制约瓶颈,众所周知,对于应用可伸缩性更高、安全防御性能更强、企业级应用越来越广泛的64位操作系统,64位文档透明加密技术前景也将更加广阔;

  技术特色是能够在不改变用户任何原有操作习惯的前提下,让脱离网站服务器的所有机密电子文档自动无法使用,它并不是依托容易被广泛破解的密码来加密和保护电子文档,而是依托特定的环境(如网站服务器及所有联网服务器集群)来对机密电子文档进行无形加密和保护,从而可以使所有机密电子文档在脱离特定环境下瞬间变成一堆毫无用处的乱码。另外“铁卷电子文档安全系统”还会主动对经过加密保护的机密电子文档有选择的限制其浏览、打印输出、复制、屏幕拷贝、可查阅的有效期限范围和打开密码等多项控制权限,由“管理中心”统一进行实时监管。作为目前国内最具品牌影响力的终端与数据安全专家,“铁卷电子文档安全系统”同时拥有很好的产品兼容性,这些兼容性包括提供70多种应用程序及Office、PDF、wps、AutoCAD、Pro/E、SolidWork等上百种主流电子文档格式支持等。

  三、一些心得
  事实上针对政府和金融网站所面临的安全威胁,除了以上介绍的安全保障策略外,以下三方面的对策也应该引起足够重视:一是注意对政府和金融网站程序漏洞的及时修补,加强安全意识,注意防止注入漏洞、上传漏洞等问题;二是寻求技术实力强、安全系数高、能主动帮客户解决安全的服务商进行网站服务器托管;三是部署专业防泄密系统的网站“最后一道防线”,据悉“铁卷电子文档安全系统”已经与哈尔滨市政办公厅、中国保险监管委员会、常州公安局、沈阳海关、河南省技监局、江苏泰州纪委、招商银行中国移动、深圳周大生珠宝等上百家政府、金融机构和行业网站建立了长期稳定的战略合作,是一款非常成熟的高性价比专业防泄密系统。

特别推荐

玩家留言 跟帖评论
查看更多评论