吳銘

由于還缺乏足夠的重視和維護(hù)，政府網(wǎng)站正在成為中國網(wǎng)絡(luò)安全中最薄弱的一環(huán)。同時，由于政府網(wǎng)站不可替代的權(quán)威性，對它的攻擊嚴(yán)重影響著中國的信息安全。

國家互聯(lián)網(wǎng)應(yīng)急中心提供給《瞭望東方周刊》的數(shù)據(jù)顯示，2013年上半年，中國境內(nèi)被篡改的網(wǎng)站數(shù)量增長了63.6%，而被篡改的政府網(wǎng)站數(shù)量增長了153.1%。

即便如此，上述結(jié)果仍不能完全體現(xiàn)整個形勢的嚴(yán)峻性。

“我們掌握的資料顯示，每年有幾千個政府網(wǎng)站頁面被篡改，同樣還有相當(dāng)數(shù)量使用‘gov.cn域名的網(wǎng)站被黑客植入‘暗鏈，或者是廣告、或者是點(diǎn)擊訪問后就會中毒的木馬鏈接。從近兩年來直接掌握的資料看，政府網(wǎng)站安全狀況值得引起足夠的重視?！敝袊ヂ?lián)網(wǎng)絡(luò)信息中心國家域名安全中心主任胡安磊對《瞭望東方周刊》說，這只是監(jiān)測至二級頁面的結(jié)果。

“gov.cn”為后綴的域名，基本都屬于政府系統(tǒng)。對中國政府網(wǎng)站常見的攻擊是將網(wǎng)頁篡改成釣魚網(wǎng)站，或者加入一些賭博等“暗鏈”，其中不乏省部級政府官網(wǎng)。

更深層次的侵襲也屢屢發(fā)生。早在2008年，江西省衛(wèi)生廳考試中心網(wǎng)站資格查詢數(shù)據(jù)庫等被攻破，黑客篡改數(shù)據(jù)庫資料，然后偽造、銷售假證，造成證書上網(wǎng)可查的假相，從中牟取暴利。

2012年，廣東宣判另一起類似案件：13人犯罪團(tuán)伙攻破180多個政府人事網(wǎng)站，300多萬條涉及個人隱私的資料被盜賣，查獲3萬多人辦理各類假證的數(shù)據(jù)。

來自境外、具有意識形態(tài)色彩的淺層攻擊也日漸增多。

隨著政府信息化建設(shè)，中國的政府官網(wǎng)、官微近年來已持續(xù)高速增長。但“政府網(wǎng)站被黑了還不知道”的事例在全國各地多次上演，暴露出政府網(wǎng)站高速增長后的深層次問題。

“近五年來基本上沒什么提升?！眳⑴c相關(guān)信息化建設(shè)的北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴對《瞭望東方周刊》說，政府網(wǎng)站安全問題源自滯后的運(yùn)營維護(hù)。

中國互聯(lián)網(wǎng)絡(luò)信息中心執(zhí)行主任李曉東則對《瞭望東方周刊》說，“坦白講，目前部分政府網(wǎng)站的信息化建設(shè)有待提升，網(wǎng)站缺乏有效的技術(shù)維護(hù)和安全管理，這是一個很關(guān)鍵的問題?！?/p>

被篡改網(wǎng)站數(shù)量成倍增長

“我們從2009年就開始對政府網(wǎng)站首頁進(jìn)行監(jiān)測。最初每年有幾十起涉黃、釣魚安全事件。2013年9月，我們開始對政府網(wǎng)站進(jìn)行更深層次的掃描，不僅限于政府網(wǎng)站首頁，還包括下面的二級頁面。反映在數(shù)字上，由原來的每月幾個，增加到現(xiàn)在的上百個。”胡安磊說。

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部主任王明華向《瞭望東方周刊》介紹說，與往年相比，2013年被篡改的政府網(wǎng)站數(shù)量有很大增加。

例如江蘇，作為東部沿海經(jīng)濟(jì)發(fā)達(dá)省份，其互聯(lián)網(wǎng)被黑客攻擊的頻率較高：在2012年該省被篡改的政府網(wǎng)站中，廣告鏈接類型的篡改事件占政府網(wǎng)站篡改事件的75.05%；區(qū)縣級政府部門網(wǎng)站篡改事件占政府網(wǎng)站篡改事件的59.06%。

王明華說，2013年上半年統(tǒng)計數(shù)據(jù)顯示，境內(nèi)被篡改網(wǎng)站數(shù)量為17500個，其中政府部門網(wǎng)站是1736個；境內(nèi)被植入后門網(wǎng)站52324個，其中政府部門網(wǎng)站為1342個。

“與2012年同期相比較，2013年上半年被篡改的境內(nèi)網(wǎng)站數(shù)量增長63.6%，被篡改的政府網(wǎng)站數(shù)量增長153.1%；被植入后門的境內(nèi)網(wǎng)站數(shù)量增長79.2%，政府網(wǎng)站數(shù)量增長4.1%?！彼f。

“政府網(wǎng)站容易受到的另一種攻擊是拒絕服務(wù)攻擊。”胡安磊說。

拒絕服務(wù)攻擊就是讓目標(biāo)服務(wù)器停止提供服務(wù)，是黑客常用的攻擊手段之一。通常攻擊者會對被攻擊服務(wù)器的網(wǎng)絡(luò)帶寬進(jìn)行消耗，使其無法接受訪問。

比較而言，篡改網(wǎng)頁是比較淺層的攻擊手段。而滯后的網(wǎng)站建設(shè)卻使它成為攻擊政府網(wǎng)站的主要手段之一。

“雖然近年來各級政府逐漸重視信息化建設(shè)，很多政府機(jī)構(gòu)都建立了自己的網(wǎng)站。但不少政府機(jī)構(gòu)網(wǎng)站缺乏與政務(wù)信息的關(guān)聯(lián)，也沒有實時有效地與公眾形成互動。”李曉東說，從目前情況來看，相當(dāng)一大批政府網(wǎng)站目前只是完成了“建設(shè)”，公眾通過網(wǎng)絡(luò)找政府辦事的還不多。

“黑客侵入網(wǎng)站系統(tǒng)，除了篡改網(wǎng)頁、植入木馬造成的經(jīng)濟(jì)損失之外，還會引起公眾對政府公信力的質(zhì)疑?！彼f。

難以確定的攻擊者

“從政府網(wǎng)站受攻擊的情況看，攻擊源分布在全世界，很難確定攻擊方是什么人、什么組織，這是一個世界性難題?！蓖趺魅A說，“一些有黑客組織聲明的，或有明顯相同攻擊痕跡的，可以標(biāo)識為黑客組織或個人攻擊，這些在網(wǎng)頁篡改事件中較為明顯?！?/p>

例如，目前較為知名的“Anonymous”組織，攻擊前會通過博客、微博等聲明攻擊動態(tài)，針對中國的“Anonymous—China”，通常利用漏洞進(jìn)行滲透，以竊取大量網(wǎng)站用戶賬號和私密信息，攻擊動機(jī)主要包括政治、宗教，以及一些國際性事件。

另一個例子是名為“反共黑客”的境外黑客組織。它通過掌握中國境內(nèi)大量網(wǎng)站漏洞，采用預(yù)先植入后門等手段，控制一些網(wǎng)站服務(wù)器，持續(xù)篡改中國境內(nèi)政府和重要信息系統(tǒng)部門、企事業(yè)單位網(wǎng)站，并在篡改頁面上發(fā)布反動言論。

2013年7月11日凌晨，中國紅十字基金會微博被“反共黑客”登錄，并連續(xù)發(fā)布大量反動微博。

2013年6月1日至6月7日，“反共黑客”攻擊了長春教育局、武漢理工大學(xué)管理學(xué)院和沈陽房產(chǎn)局的網(wǎng)站。

國家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測結(jié)果顯示，“反共黑客”在這些網(wǎng)站植入了后門。

王明華說，事發(fā)幾周前，國家互聯(lián)網(wǎng)應(yīng)急中心就通過遼寧分中心向沈陽市房產(chǎn)局發(fā)出過風(fēng)險預(yù)警。

2012年中共十八大前夕，一個名為”反共黑客粉絲團(tuán)”的非法網(wǎng)絡(luò)黑客組織對中國境內(nèi)的各大政府、高校門戶網(wǎng)站實施了持續(xù)性定點(diǎn)滲透。它在成功滲透之后，惡意篡改網(wǎng)站頁面，打上反動標(biāo)語，惡意中傷造謠，并散播反黨反國家言論。endprint

被攻陷的也包括部分地方政法委、網(wǎng)警、電信部門官網(wǎng)。

而北京知道創(chuàng)宇信息技術(shù)有限公司的監(jiān)測顯示，每天都有來自全球各地針對中國政府網(wǎng)站的持續(xù)攻擊。

“黑客會有針對性地進(jìn)行快速全球掃描，當(dāng)發(fā)現(xiàn)未公布或剛公布的漏洞，就進(jìn)行入侵。比如有一批專門針對中國政府網(wǎng)站的黑客，他們有針對性地檢測與中國政府有關(guān)系的相關(guān)網(wǎng)站，只要發(fā)現(xiàn)問題就實施攻擊?！辩姵盔Q說。

攻擊目的各有不同

“在應(yīng)用層面、域名層面、基礎(chǔ)設(shè)施等三個層面，都可能產(chǎn)生滲透和攻擊。實際上，最危險的、最大的，是中間這個層面——域名層面。域名系統(tǒng)層面是互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，政府網(wǎng)站安全和域名安全是息息相關(guān)的?！崩顣詵|說。

監(jiān)測結(jié)果顯示，對中國政府網(wǎng)站的攻擊主要來自境外。胡安磊認(rèn)為它們主要有兩種來源。

第一種是出于政治或經(jīng)濟(jì)利益。這些大多是一些黑客團(tuán)體，譬如“匿名者”組織，由于價值觀不同或出于政治目的，經(jīng)常聲稱攻擊中國政府網(wǎng)站。

王明華說，這種情況可以根據(jù)攻擊后留下的標(biāo)語發(fā)現(xiàn)。對“反共黑客”長時間的追蹤發(fā)現(xiàn)，每次攻擊中國政府網(wǎng)站的IP地址都來自加拿大、美國等境外國家，“再比如，攻擊后留下旗幟標(biāo)識，大多數(shù)和分裂勢力、極端宗教勢力有關(guān)?！?/p>

胡安磊說，還有一種是威脅性更大的、有組織的入侵行為。許多國家都會有一些專業(yè)組織，進(jìn)行更有強(qiáng)潛伏性和持續(xù)性的攻擊，目標(biāo)往往針對特定政府或大企業(yè)，也就是網(wǎng)絡(luò)安全界所說的“高級持續(xù)性威脅”。

事實上，王明華認(rèn)為，目前黑客攻擊網(wǎng)站的趨利性目的更為明顯?！耙源鄹臑槔?013年上半年政府網(wǎng)站被篡改的數(shù)量較同期有較大增長，主要是因為被植入廣告黑鏈的政府網(wǎng)站數(shù)量有較大增幅。在政府網(wǎng)站首頁植入黑鏈，有利于一些網(wǎng)站提升搜索引擎排名。有這方面需求的黑鏈網(wǎng)站，往往都是一些游戲私服、地下博彩、制售國家違禁品以及產(chǎn)品銷售類網(wǎng)站?！?/p>

再比如，不久前一批境外黑客把與高利貸擔(dān)保有關(guān)的鏈接植入有漏洞的網(wǎng)站，從而提升這些高利貸擔(dān)保網(wǎng)站在搜索網(wǎng)站中的排名，“他們目的很明確，就是提升排名?！辩姵盔Q說。

胡安磊說，傳統(tǒng)上以炫耀技術(shù)為目的攻擊越來越少，“大多出于經(jīng)濟(jì)目的，主要攻擊商業(yè)網(wǎng)站，政府網(wǎng)站不是他們攻擊的重點(diǎn)?！?/p>

王明華稱，對政府網(wǎng)站的攻擊往往從漏洞滲透開始，通過技術(shù)分析得到網(wǎng)站漏洞，再取得網(wǎng)站服務(wù)器控制期限，進(jìn)而植入網(wǎng)站后門達(dá)到長期控制的目的?！皢蝹€網(wǎng)站的滲透費(fèi)工夫，為省時省力，黑客自編掃描器或開發(fā)工具，可以批量檢測或批量攻擊?！?/p>

被稱為APT的“高級持續(xù)性威脅”，一般是指有政府背景的組織或者小團(tuán)體利用先進(jìn)的攻擊手段，對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的形式。

“這種攻擊很難命名，只能根據(jù)它的特征起個代號，被曝光的只是冰山一角，有很多APT攻擊每時每刻都在進(jìn)行?！辩姵盔Q介紹說，隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域也出現(xiàn)了新的入侵技巧，比如跨站攻擊，是指在郵件內(nèi)植入代碼，打開郵件的同時郵箱里的信息就外泄了。

從地域上看，我國東部經(jīng)濟(jì)發(fā)達(dá)地區(qū)政府網(wǎng)站安全事件較多。

胡安磊說，從層級上看，縣市級政府網(wǎng)站被攻陷的次數(shù)較多，中央、省部級網(wǎng)站雖然被攻擊情況也很多，但被攻陷的情況相對較少。

鐘晨鳴認(rèn)為，政府網(wǎng)站安全性與投入力度有相當(dāng)大的關(guān)系：中央、省部級網(wǎng)站往往會有專人負(fù)責(zé)網(wǎng)站漏洞的修復(fù)與維護(hù)，甚至負(fù)責(zé)網(wǎng)站安全類的產(chǎn)品采購，防御措施較好；一些縣市，甚至鄉(xiāng)鎮(zhèn)的政府網(wǎng)站投入資金較少，基本上沒有什么維護(hù)，只是簡單地發(fā)些新聞，根本不考慮網(wǎng)站安全性?！拔覀兘o各個層次的政府網(wǎng)站提供網(wǎng)絡(luò)安全方面的服務(wù)，各級政府給我們的回報差別還是很明顯的?！?/p>

在李曉東看來，被黑客攻陷的政府網(wǎng)站日益增多，主要是因為重視還不夠，安全保護(hù)措施不足。

管理水平參差不齊

王明華舉例說，2013年夏天，國家互聯(lián)網(wǎng)應(yīng)急中心曾對江蘇省國資委網(wǎng)站發(fā)出預(yù)警，但當(dāng)天沒有找到江蘇省國資委的相關(guān)人員，打電話也沒人接。當(dāng)天晚上，該政府網(wǎng)站就被“反共黑客”篡改。

他說，目前國家互聯(lián)網(wǎng)應(yīng)急中心將全國超過150萬備案網(wǎng)站列入日常巡檢列表，并對其中5萬多個政府網(wǎng)站進(jìn)行重點(diǎn)監(jiān)測；其次，緊密跟蹤國內(nèi)外黑客的活動情況，比如“反共黑客”、“匿名者”黑客組織，記錄其攻擊方法、習(xí)慣、傾向等攻擊特征，及時產(chǎn)生預(yù)警；再者，聯(lián)合國內(nèi)其他安全組織，做好政府部門網(wǎng)站漏洞風(fēng)險事件的檢查和驗證工作。

在2013年的大檢查中，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)了上百個安全隱患。

“2012年，交通部、水利部、國土資源部等多個政府網(wǎng)站存在的未知漏洞被發(fā)現(xiàn)后，一夜之間多個網(wǎng)站被同一個黑客攻破。這樣的事情在2013年沒有出現(xiàn)，說明這兩年國家對中央部委網(wǎng)站大檢查等互聯(lián)網(wǎng)防護(hù)還是很有成效的，尤其是對部委網(wǎng)站?！蓖趺魅A說。

中國互聯(lián)網(wǎng)絡(luò)信息中心作為國家頂級域名“.cn”域名的注冊管理機(jī)構(gòu)，會對一些重要政府網(wǎng)站的域名解析進(jìn)行監(jiān)測，如果域名被黑客劫持，會在第一時間直接聯(lián)系政府網(wǎng)站域名注冊聯(lián)系人，從而及時解決問題。

此外，該機(jī)構(gòu)也對重要政府網(wǎng)站開展安全方面的遠(yuǎn)程掃描和評價等工作。

胡安磊說，有些部委安排人員專門管理自己的網(wǎng)站，有些部委則托管給了從事網(wǎng)站管理方面的公司，“有些部委的一些業(yè)務(wù)或管理工作需要在網(wǎng)上開展，他們可能就較為重視本單位網(wǎng)站安全。政府網(wǎng)站管理方面的水平參差不齊，有些網(wǎng)站做得很好，有些網(wǎng)站做得較差，整體情況不容樂觀?！?/p>

鐘晨鳴分析說，由于立法打擊等措施，目前“掛馬”整體呈下降趨勢，但是暗鏈卻明顯增多，“無論是政府網(wǎng)站，還是其他性質(zhì)網(wǎng)站，暗鏈數(shù)量都很多?！?/p>

所謂“掛馬”，就是黑客在被攻擊網(wǎng)頁植入惡意轉(zhuǎn)向代碼。當(dāng)訪問這個網(wǎng)頁時，就會自動轉(zhuǎn)向其他網(wǎng)址或下載病毒。

究其原因，鐘晨鳴認(rèn)為，首先是此類網(wǎng)絡(luò)安全事件不會導(dǎo)致網(wǎng)站出現(xiàn)系統(tǒng)性破壞，而政府網(wǎng)站維修成本較高，或者有些政府網(wǎng)站出錯了，自己也不修改；第二類是和搜索引擎欺騙有關(guān)系，比如通過百度跳轉(zhuǎn)過去的可能變成博彩、色情網(wǎng)站，這種手段非常多?！霸诎俣人阉鳈谳斎搿喜?set：gov.cn，就能看到一些網(wǎng)站的后面標(biāo)注有‘風(fēng)險。有些相對來說比較隱蔽，而且沒有‘掛馬危害大，所以政府網(wǎng)站解決力度很低?！?/p>

鐘晨鳴說，“國內(nèi)黑客對政府網(wǎng)站的‘掛馬，完全屬于不小心。他們目的很明確，不是攻擊政府網(wǎng)站，而是與網(wǎng)游有關(guān)系，盜取游戲賬號。他們只是對類似于QQ業(yè)務(wù)有關(guān)的虛擬交易感興趣?！?/p>

李曉東強(qiáng)調(diào)，隨著電子政務(wù)的范圍日益廣泛、政務(wù)信息上網(wǎng)日漸增多，政府網(wǎng)站的安全一定要引起足夠的重視。

王明華認(rèn)為，現(xiàn)在電子政務(wù)越來越多，網(wǎng)站成為一個政務(wù)公開的重要窗口，隨著重要性增加，黑客攻擊引發(fā)的后果也將越來越大?！斑@是政府開始花費(fèi)較大精力著手管理網(wǎng)站安全的一個重要原因。當(dāng)然，現(xiàn)在政府在網(wǎng)站安全方面投入的經(jīng)費(fèi)還遠(yuǎn)遠(yuǎn)不夠?！眅ndprint