梁惠卿

摘 要：現(xiàn)有檔案網(wǎng)站安全風險的討論多為理論推演，少有實證分析。文章以網(wǎng)絡攻擊為例，通過對攻擊類型、同一黑客使用攻擊類型的數(shù)量、使用同一攻擊類型的黑客數(shù)量、取樣周期內網(wǎng)站受攻擊的次數(shù)、一日內不同時段網(wǎng)站受攻擊的次數(shù)等情況的統(tǒng)計分析，以翔實數(shù)據(jù)描述了一定時期內檔案網(wǎng)站所面對的安全風險。簡要介紹了一些有效易行的應對方法。

關鍵詞：檔案網(wǎng)站；安全風險；網(wǎng)絡攻擊

有關檔案網(wǎng)站面臨的安全風險，據(jù)對知網(wǎng)文獻統(tǒng)計，2004年至今，已有194篇文獻涉及或進行了不同程度的討論。但這些討論中的觀點和論述多來自理論推演或引用他人文獻，少有實證性分析。本文以河南檔案信息網(wǎng)一個月所遭受到的網(wǎng)絡攻擊為例，對檔案網(wǎng)站的安全風險做一些粗淺分析，并簡要介紹一些應對之策。

所謂網(wǎng)絡攻擊，指“計算機網(wǎng)絡攻擊”，即有關網(wǎng)絡使用者利用一方網(wǎng)絡存在的既定漏洞和安全缺陷對其網(wǎng)絡系統(tǒng)和資源進行的入侵和破壞等行為。[1]

1 樣本來源及網(wǎng)站遭受攻擊情況

樣本網(wǎng)站：河南檔案信息網(wǎng)www.hada.gov.cn

取樣周期：2016年3月21日至2016年4月20日

數(shù)據(jù)來源：河南檔案信息網(wǎng)后臺管理系統(tǒng)

分析工具：excel

網(wǎng)站遭受攻擊的總量。從2016年3月21日至2016年4月20日，河南檔案信息網(wǎng)共遭受到各種網(wǎng)絡攻擊83108次，日均2770次，時均115次，每分鐘約2次。

遭遇黑客（攻擊IP）總數(shù)521個。每個黑客月均發(fā)起攻擊160次，日均5次。

攻擊最多的IP為202.192.80.5（廣東省廣州市教育網(wǎng)廣州大學）。

攻擊最高時段發(fā)生在2016年3月22日早上8時。具體情況見圖1：

2 網(wǎng)絡攻擊風險分析

2.1 攻擊類型。從遭受攻擊的類型上看，共遭受到14種不同類型的攻擊，見表1。這些攻擊又可以分為注入攻擊、webshell攻擊和命令攻擊3大類。

2.2 同一攻擊類型黑客人數(shù)量。每一種攻擊類型的黑客各不相同。樣本網(wǎng)站在取樣周期內受到的83108次攻擊，分別來自521個黑客。全部14種攻擊類型平均每種62個。高于平均數(shù)的有4個類型，分別是SQL Injection，有392個，占所有黑客的45.27%。Code Injection Attack，有110個，占所有黑客的12.70%。Webshell BackDoor，有108個，占所有黑客的12.47%。Caidao webshell，有102個，占所有黑客的11.78%。

SQL Injection攻擊黑客數(shù)最多，有392個；Lanker webshell攻擊黑客最少，只有3個，占所有黑客的0.35%；兩者相差近100倍。其他攻擊類型的情況是：Backup File Attack，有49個，占所有黑客的5.66%；Upload Webshell Attack，有31個，占所有黑客的3.58%；Lfi Attack，有21個，占所有黑客的2.42%；Xss Attack，有12個，占所有黑客的1.39%；Command Injection Attack，有11個，占所有黑客的1.27%；Infomation Leak Attack，有10個，占所有黑客的1.15%；System Command Attack，有7個，占所有黑客的0.81%；PHP Injection Attack有6個，占所有黑客的0.69%；Remote Injection Attack，有4個，占所有黑客的0.46%。使用率占比超過10%以上4種攻擊類型是網(wǎng)站面臨的主要網(wǎng)絡攻擊威脅。

2.3 同一黑客使用攻擊類型的數(shù)量。同一黑客使用的攻擊手段的多少不一。同一黑客最多使用了12種攻擊類型，只有1個IP（黑客）其地址為117.158.142.120（河南省移動）。使用11種攻擊類型有2個IP（黑客），地址分別是222.138.139.251（河南省商丘市聯(lián)通）和222.140.6.21（河南省許昌市聯(lián)通），使用9種攻擊類型有1個IP（黑客），地址是123.55.131.18（河南省開封市電信），使用8種攻擊類型有1個IP（黑客），地址是125.45.93.195（河南省漯河市聯(lián)通），使用7種攻擊類型有1個IP（黑客），地址是115.238.55.18（浙江省杭州市電信），使用6種攻擊類型有1個IP（黑客），地址是218.28.83.34（河南省信陽市聯(lián)通）。

使用5種攻擊類型以上的共有10個，使用4種攻擊類型以上的共有40個，只使用1種攻擊類型的共有397個。絕大多數(shù)黑客使用的攻擊類型不超過4種。

使用5種及以上攻擊類型的黑客雖然占比數(shù)量很少，但危害極大，是我們應當重點防范的對象。

2.4 單日網(wǎng)站遭受攻擊的次數(shù)。網(wǎng)站單日遭受攻擊的次數(shù)多則數(shù)萬次，少則百十次，差距巨大。取樣周期內網(wǎng)站平均每日受到的網(wǎng)絡攻擊多達2770次。工作日遭攻擊64230次，占比77.28%，日均2793；休息日遭攻擊18878次，占比22.72%，日均2360。其中，工作日工作時段（8：00～18：00）所受到的網(wǎng)絡攻擊為29829次，占全部受攻擊數(shù)的35.89%。無論是工作日，還是休息日，也無論在工作時段，還是非工作時段，平均遭攻擊數(shù)差距不大。表明我們的休息日、休息時，黑客并不休息。從這個角度看，加強休息日、節(jié)日、假日及休息時段的管控非常之必要。

2.5 同一域名遭受攻擊的次數(shù)。從同一域名在取樣周期內遭受攻擊的次數(shù)看，河南檔案信息網(wǎng)共有各級域名216個。共59個域名遭攻擊，其中www.hada.gov.cn主域名遭到的攻擊最多達75193次。2級域名中kf.hada.gov.cn遭攻擊最多3134次。

2.6 同一URL遭受攻擊的次數(shù)。從同一URL在取樣周期內遭受攻擊的次數(shù)看，遭攻擊的URL共有4894個。每個平均遭受攻擊17個。具體情況限于篇幅不再贅述。

3 應對方法

綜上，我們可以看到檔案網(wǎng)站所面臨的真實網(wǎng)絡攻擊，以及這些攻擊帶來的安全風險。面對這些風險有一些簡便且有效的應對方法：

首先，“技防”是應對網(wǎng)絡攻擊的最有效方法。通過購買使用性價比高的安全軟件，及時升級網(wǎng)站安全系統(tǒng)。這里特別要強調“及時升級”，因為在實際工作中，有些機構雖然購買了很好的安全軟件，但由于工作人員沒有及時升級，導致安全軟件沒能處在最佳狀態(tài)，從而導致對新的攻擊缺少防護能力，使攻擊得逞。

其次，定時整理網(wǎng)絡攻擊數(shù)據(jù)，將危害程度高、頻率高、攻擊范圍寬、非工作時段多發(fā)及域外IP（黑客）地址梳理出來。做到心中有數(shù)，重點加以應對與防范，通過人工及時處理。能屏蔽的加以屏蔽，不能屏蔽的（有些IP為學校等公共機構公用IP，不能屏蔽）加以特別關注。對新發(fā)現(xiàn)的固定IP（黑客），不僅要列入“黑名單”，還應及時“報告”相關機構。

再次，工作時間內隨時監(jiān)控，發(fā)現(xiàn)攻擊及時處理。非工作時間，要做好與工作時間銜接時的重點監(jiān)控。盡可能實現(xiàn)每天上班前查看，下班前對當天已發(fā)現(xiàn)的攻擊進行整理與處理。節(jié)假日利用移動設備加強監(jiān)控，防止黑客的節(jié)假日攻擊。

最后，建立同行通報機制。及時的溝通與交流是應對變化多端的網(wǎng)絡攻擊的有效手段之一。

參考文獻：

[1]李伯軍.論網(wǎng)絡戰(zhàn)及戰(zhàn)爭法的適用問題[J].法學評論，2013（04）：58～64.