0 引言

隨著政務(wù)信息化的發(fā)展，各級(jí)政府單位均建立了自己的互聯(lián)網(wǎng)網(wǎng)站，并借助網(wǎng)站進(jìn)行信息公開和業(yè)務(wù)辦理等工作，這在一定程度上提高了政府的服務(wù)效率和水平，與此同時(shí)政務(wù)網(wǎng)站面臨的風(fēng)險(xiǎn)也越來越大，針對(duì)政務(wù)網(wǎng)站的攻擊層出不窮，在各類攻擊中以網(wǎng)站篡改事件最為典型。以北京市為例，2014年全年北京市政務(wù)信息安全監(jiān)控預(yù)警系統(tǒng)監(jiān)控發(fā)現(xiàn)政務(wù)網(wǎng)站篡改事件37起，高居網(wǎng)站攻擊類事件之首。

在政務(wù)網(wǎng)站篡改事件中，又以境外黑客組織對(duì)國(guó)內(nèi)政務(wù)網(wǎng)站的篡改事件影響最為惡劣，這些黑客組織通常在政務(wù)網(wǎng)站上張貼反動(dòng)言論，辱罵我國(guó)政府，造成極壞的影響。浮出水面的黑客組織有“匿名者”、“反共黑客”、“阿爾及利亞Barbaros-DZ”等，這些組織頻繁攻擊我國(guó)政務(wù)網(wǎng)站，以“反共黑客”組織為例，從 2012年4月至2014年12月31日共篡改我國(guó)網(wǎng)站330個(gè)，其中政務(wù)網(wǎng)站177個(gè)，占到一半以上，比例最高。

圖1 “反共黑客”組織篡改網(wǎng)站分類統(tǒng)計(jì)

在177個(gè)政務(wù)網(wǎng)站中，北京市所屬政務(wù)網(wǎng)站有7個(gè)，我中心作為北京市政務(wù)信息安全應(yīng)急隊(duì)伍，參與處置了其中的4起事件。本文以“反共黑客”為例，對(duì)境外組織篡改我國(guó)政務(wù)網(wǎng)站的事件進(jìn)行分析和防護(hù)探討。

1 事件分析

“反共黑客”組織的活動(dòng)很有周期性，每周攻擊兩三個(gè)網(wǎng)站，除此之外，在其他方面也有很多共同的特點(diǎn)，下面就以北京市7次政務(wù)網(wǎng)站篡改事件為例進(jìn)行分析。

從幾次事件看，“反共黑客”組織通常篡改網(wǎng)站上的圖片，并在圖片上增加辱罵黨和政府的言論，這種圖片式的篡改方式，很難通過自動(dòng)化網(wǎng)站檢測(cè)手段確認(rèn)，必須人工去核實(shí)，給事件的發(fā)現(xiàn)和確認(rèn)帶來一定難度。篡改圖片上的言論常與當(dāng)前的敏感事件或時(shí)期有關(guān)，如事件G張貼的內(nèi)容與當(dāng)時(shí)正在召開的四中全會(huì)有關(guān)，從篡改時(shí)間上看，篡改均發(fā)生在夜里8點(diǎn)到10點(diǎn)，給事件的發(fā)現(xiàn)和處置帶來了一定困難。

“反共黑客”組織能持續(xù)發(fā)布攻擊案例，說明其已經(jīng)掌握了中國(guó)境內(nèi)大量網(wǎng)站的漏洞，可能采用了預(yù)先植入后門等手段控制了一些網(wǎng)站服務(wù)器以備使用，后面的分析也會(huì)印證這一點(diǎn)。

表2 “反共黑客”篡改北京市政務(wù)網(wǎng)站事件分析表

下面就從幾個(gè)方面對(duì)4起事件進(jìn)行分析。

（1）從攻擊途徑上看，攻擊者通常利用網(wǎng)站漏洞發(fā)布和修復(fù)的時(shí)間差，上傳網(wǎng)站后門以控制網(wǎng)站服務(wù)器，并在一段時(shí)間后的某個(gè)敏感時(shí)期利用后門實(shí)施網(wǎng)站篡改，篡改后刪除日志等攻擊痕跡。以事件A、B、C為例，在Apache Struts2漏洞公布后，攻擊者利用被攻擊網(wǎng)站漏洞修復(fù)前的短暫時(shí)間實(shí)施攻擊上傳后門，并在此后某個(gè)敏感時(shí)期實(shí)施篡改。事件A中攻擊者在7月20日利用漏洞上傳后門；而網(wǎng)站修復(fù)漏洞的時(shí)間是7月24日，即4天以后；事件C中攻擊者在7月22日上傳后門，兩天后網(wǎng)站才修復(fù)漏洞；事件B時(shí)間差更短，攻擊者在7月22日下午上傳后門，而網(wǎng)站漏洞修復(fù)時(shí)間是7月22日晚上，中間僅相差3至4個(gè)小時(shí)時(shí)間。從這些例子可以看出政務(wù)網(wǎng)站在網(wǎng)站漏洞方面存在的兩個(gè)突出問題，一是漏洞修復(fù)周期長(zhǎng)，在幾個(gè)事件中最早修復(fù)此漏洞的網(wǎng)站是7月22日，即5天以后；二是修復(fù)漏洞后不對(duì)網(wǎng)站進(jìn)行安全檢查，幾個(gè)事件中大部分網(wǎng)站均在幾天后修復(fù)了漏洞，但修復(fù)后未進(jìn)行網(wǎng)站安全檢查，未能對(duì)已經(jīng)存在的網(wǎng)站后門進(jìn)行檢查和清除，這也是網(wǎng)站被篡改的重要原因之一。

（2）網(wǎng)站日志方面，4起事件中3家網(wǎng)站日志放在同一臺(tái)服務(wù)器上，且未做任何保護(hù)或備份措施，攻擊者實(shí)施篡改攻擊后立即刪除日志記錄，導(dǎo)致事發(fā)后無法追查。另一家網(wǎng)站做了日志備份，但按周進(jìn)行備份，備份周期過長(zhǎng)，事發(fā)后亟需的近幾天日志被刪除，無法進(jìn)一步追查。這些都暴露出政務(wù)網(wǎng)站在網(wǎng)站日志保護(hù)方面存在的問題。

（3）從應(yīng)用部署上看，事件B和事件E受攻擊服務(wù)器上部署了多個(gè)應(yīng)用。事件E中攻擊者利用同臺(tái)服務(wù)器上其他應(yīng)用存在的漏洞上傳后門，并對(duì)受害網(wǎng)站實(shí)施篡改。這說明某些政務(wù)網(wǎng)站在應(yīng)用部署上未能進(jìn)行合理的切分。

（4）從攻擊時(shí)間和來源看，網(wǎng)站被篡改的時(shí)間均在晚上 8點(diǎn)至10點(diǎn)，能看到的攻擊來源均來自美國(guó)和加拿大，根據(jù)時(shí)差，攻擊者當(dāng)?shù)貢r(shí)間應(yīng)該在上午7點(diǎn)至9點(diǎn)。因攻擊來源數(shù)據(jù)較少未做進(jìn)一步統(tǒng)計(jì)分析。

2 防護(hù)建議

政務(wù)網(wǎng)站安全防護(hù)是一個(gè)系統(tǒng)性的工作，需要政府主管部門、具體責(zé)任單位、相應(yīng)技術(shù)支撐機(jī)構(gòu)、其他級(jí)別政府機(jī)構(gòu)以及社會(huì)技術(shù)力量共同參與，形成有機(jī)的防護(hù)體系。

（1）政務(wù)信息安全主管部門

政務(wù)信息安全主管部門加大政務(wù)網(wǎng)站安全的監(jiān)督檢查力度，督促相關(guān)單位提高信息安全意識(shí)，加大網(wǎng)站安全投入。對(duì)做的好的單位要有獎(jiǎng)勵(lì)措施，另一方面對(duì)屢次發(fā)生問題的單位也要有相應(yīng)的懲罰措施，獎(jiǎng)懲并舉督促各單位做好網(wǎng)站安全工作。

督促配合相關(guān)部門出臺(tái)法律或規(guī)定，從法律上明確各類網(wǎng)絡(luò)攻擊的量刑標(biāo)準(zhǔn)及處罰措施，規(guī)范網(wǎng)絡(luò)空間的秩序；加強(qiáng)國(guó)家與國(guó)家，國(guó)家與地方的合作，聯(lián)合打擊來自國(guó)內(nèi)外的攻擊者，并通過技術(shù)手段不斷清理攻擊者控制的攻擊主機(jī)。

（2）政務(wù)信息安全技術(shù)支撐機(jī)構(gòu)

從技術(shù)上指導(dǎo)具體責(zé)任單位做好網(wǎng)站安全的應(yīng)對(duì)工作，對(duì)篡改事件進(jìn)行全生命周期管理，做好事件的檢測(cè)預(yù)警，事件的及時(shí)發(fā)現(xiàn)和處置，事件的恢復(fù)和總結(jié)等各個(gè)階段的工作。另一方面聯(lián)合社會(huì)技術(shù)力量，整合社會(huì)資源共同應(yīng)對(duì)網(wǎng)站安全問題。

（3）具體責(zé)任單位

加強(qiáng)所屬政務(wù)網(wǎng)站的安全管理，制定相應(yīng)管理制度，明確網(wǎng)站安全的責(zé)任。提高相關(guān)管理、運(yùn)維人員的安全意識(shí)，并通過培訓(xùn)、技術(shù)交流等手段提高人員的安全事件應(yīng)對(duì)能力。

技術(shù)上，分離不同應(yīng)用，根據(jù)應(yīng)用的需求和安全級(jí)別進(jìn)行切分，不同應(yīng)用部署在不同系統(tǒng)中，避免不同應(yīng)用互相影響；及時(shí)修復(fù)漏洞，接收到漏洞信息后立即修復(fù)漏洞，并在修復(fù)漏洞的同時(shí)對(duì)網(wǎng)站及所在服務(wù)器進(jìn)行安全檢查，及時(shí)發(fā)現(xiàn)和清除存在的后門等惡意程序；做好日志的安全存儲(chǔ)工作，網(wǎng)站日志及時(shí)進(jìn)行備份，網(wǎng)站日志與網(wǎng)站應(yīng)隔離存儲(chǔ)，提高日志的安全性。