吳銘

由于還缺乏足夠的重視和維護(hù)，政府網(wǎng)站正在成為中國網(wǎng)絡(luò)安全中最薄弱的一環(huán)。同時(shí)，由于政府網(wǎng)站不可替代的權(quán)威性，對它的攻擊嚴(yán)重影響著中國的信息安全。

國家互聯(lián)網(wǎng)應(yīng)急中心提供給《瞭望東方周刊》的數(shù)據(jù)顯示，2013年上半年，中國境內(nèi)被篡改的網(wǎng)站數(shù)量增長了63.6%，而被篡改的政府網(wǎng)站數(shù)量增長了153.1%。

即便如此，上述結(jié)果仍不能完全體現(xiàn)整個(gè)形勢的嚴(yán)峻性。

“我們掌握的資料顯示，每年有幾千個(gè)政府網(wǎng)站頁面被篡改，同樣還有相當(dāng)數(shù)量使用‘gov.cn域名的網(wǎng)站被黑客植入‘暗鏈，或者是廣告、或者是點(diǎn)擊訪問后就會(huì)中毒的木馬鏈接。從近兩年來直接掌握的資料看，政府網(wǎng)站安全狀況值得引起足夠的重視?！敝袊ヂ?lián)網(wǎng)絡(luò)信息中心國家域名安全中心主任胡安磊對《瞭望東方周刊》說，這只是監(jiān)測至二級頁面的結(jié)果。

“gov.cn”為后綴的域名，基本都屬于政府系統(tǒng)。對中國政府網(wǎng)站常見的攻擊是將網(wǎng)頁篡改成釣魚網(wǎng)站，或者加入一些賭博等“暗鏈”，其中不乏省部級政府官網(wǎng)。

更深層次的侵襲也屢屢發(fā)生。早在2008年，江西省衛(wèi)生廳考試中心網(wǎng)站資格查詢數(shù)據(jù)庫等被攻破，黑客篡改數(shù)據(jù)庫資料，然后偽造、銷售假證，造成證書上網(wǎng)可查的假相，從中牟取暴利。

2012年，廣東宣判另一起類似案件：13人犯罪團(tuán)伙攻破180多個(gè)政府人事網(wǎng)站，300多萬條涉及個(gè)人隱私的資料被盜賣，查獲3萬多人辦理各類假證的數(shù)據(jù)。

來自境外、具有意識形態(tài)色彩的淺層攻擊也日漸增多。

隨著政府信息化建設(shè)，中國的政府官網(wǎng)、官微近年來已持續(xù)高速增長。但“政府網(wǎng)站被黑了還不知道”的事例在全國各地多次上演，暴露出政府網(wǎng)站高速增長后的深層次問題。

“近五年來基本上沒什么提升。”參與相關(guān)信息化建設(shè)的北京知道創(chuàng)宇信息技術(shù)有限公司研究部總監(jiān)鐘晨鳴對《瞭望東方周刊》說，政府網(wǎng)站安全問題源自滯后的運(yùn)營維護(hù)。

中國互聯(lián)網(wǎng)絡(luò)信息中心執(zhí)行主任李曉東則對《瞭望東方周刊》說，“坦白講，目前部分政府網(wǎng)站的信息化建設(shè)有待提升，網(wǎng)站缺乏有效的技術(shù)維護(hù)和安全管理，這是一個(gè)很關(guān)鍵的問題?！?/p>

被篡改網(wǎng)站數(shù)量成倍增長

“我們從2009年就開始對政府網(wǎng)站首頁進(jìn)行監(jiān)測。最初每年有幾十起涉黃、釣魚安全事件。2013年9月，我們開始對政府網(wǎng)站進(jìn)行更深層次的掃描，不僅限于政府網(wǎng)站首頁，還包括下面的二級頁面。反映在數(shù)字上，由原來的每月幾個(gè)，增加到現(xiàn)在的上百個(gè)。”胡安磊說。

國家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部主任王明華向《瞭望東方周刊》介紹說，與往年相比，2013年被篡改的政府網(wǎng)站數(shù)量有很大增加。

例如江蘇，作為東部沿海經(jīng)濟(jì)發(fā)達(dá)省份，其互聯(lián)網(wǎng)被黑客攻擊的頻率較高：在2012年該省被篡改的政府網(wǎng)站中，廣告鏈接類型的篡改事件占政府網(wǎng)站篡改事件的75.05%；區(qū)縣級政府部門網(wǎng)站篡改事件占政府網(wǎng)站篡改事件的59.06%。

王明華說，2013年上半年統(tǒng)計(jì)數(shù)據(jù)顯示，境內(nèi)被篡改網(wǎng)站數(shù)量為17500個(gè)，其中政府部門網(wǎng)站是1736個(gè)；境內(nèi)被植入后門網(wǎng)站52324個(gè)，其中政府部門網(wǎng)站為1342個(gè)。

“與2012年同期相比較，2013年上半年被篡改的境內(nèi)網(wǎng)站數(shù)量增長63.6%，被篡改的政府網(wǎng)站數(shù)量增長153.1%；被植入后門的境內(nèi)網(wǎng)站數(shù)量增長79.2%，政府網(wǎng)站數(shù)量增長4.1%。”他說。

“政府網(wǎng)站容易受到的另一種攻擊是拒絕服務(wù)攻擊?！焙怖谡f。

拒絕服務(wù)攻擊就是讓目標(biāo)服務(wù)器停止提供服務(wù)，是黑客常用的攻擊手段之一。通常攻擊者會(huì)對被攻擊服務(wù)器的網(wǎng)絡(luò)帶寬進(jìn)行消耗，使其無法接受訪問。

比較而言，篡改網(wǎng)頁是比較淺層的攻擊手段。而滯后的網(wǎng)站建設(shè)卻使它成為攻擊政府網(wǎng)站的主要手段之一。

“雖然近年來各級政府逐漸重視信息化建設(shè)，很多政府機(jī)構(gòu)都建立了自己的網(wǎng)站。但不少政府機(jī)構(gòu)網(wǎng)站缺乏與政務(wù)信息的關(guān)聯(lián)，也沒有實(shí)時(shí)有效地與公眾形成互動(dòng)?！崩顣詵|說，從目前情況來看，相當(dāng)一大批政府網(wǎng)站目前只是完成了“建設(shè)”，公眾通過網(wǎng)絡(luò)找政府辦事的還不多。

“黑客侵入網(wǎng)站系統(tǒng)，除了篡改網(wǎng)頁、植入木馬造成的經(jīng)濟(jì)損失之外，還會(huì)引起公眾對政府公信力的質(zhì)疑?！彼f。

難以確定的攻擊者

“從政府網(wǎng)站受攻擊的情況看，攻擊源分布在全世界，很難確定攻擊方是什么人、什么組織，這是一個(gè)世界性難題。”王明華說，“一些有黑客組織聲明的，或有明顯相同攻擊痕跡的，可以標(biāo)識為黑客組織或個(gè)人攻擊，這些在網(wǎng)頁篡改事件中較為明顯?！?/p>

例如，目前較為知名的“Anonymous”組織，攻擊前會(huì)通過博客、微博等聲明攻擊動(dòng)態(tài)，針對中國的“Anonymous—China”，通常利用漏洞進(jìn)行滲透，以竊取大量網(wǎng)站用戶賬號和私密信息，攻擊動(dòng)機(jī)主要包括政治、宗教，以及一些國際性事件。

另一個(gè)例子是名為“反共黑客”的境外黑客組織。它通過掌握中國境內(nèi)大量網(wǎng)站漏洞，采用預(yù)先植入后門等手段，控制一些網(wǎng)站服務(wù)器，持續(xù)篡改中國境內(nèi)政府和重要信息系統(tǒng)部門、企事業(yè)單位網(wǎng)站，并在篡改頁面上發(fā)布反動(dòng)言論。

2013年7月11日凌晨，中國紅十字基金會(huì)微博被“反共黑客”登錄，并連續(xù)發(fā)布大量反動(dòng)微博。

2013年6月1日至6月7日，“反共黑客”攻擊了長春教育局、武漢理工大學(xué)管理學(xué)院和沈陽房產(chǎn)局的網(wǎng)站。

國家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測結(jié)果顯示，“反共黑客”在這些網(wǎng)站植入了后門。

王明華說，事發(fā)幾周前，國家互聯(lián)網(wǎng)應(yīng)急中心就通過遼寧分中心向沈陽市房產(chǎn)局發(fā)出過風(fēng)險(xiǎn)預(yù)警。

2012年中共十八大前夕，一個(gè)名為”反共黑客粉絲團(tuán)”的非法網(wǎng)絡(luò)黑客組織對中國境內(nèi)的各大政府、高校門戶網(wǎng)站實(shí)施了持續(xù)性定點(diǎn)滲透。它在成功滲透之后，惡意篡改網(wǎng)站頁面，打上反動(dòng)標(biāo)語，惡意中傷造謠，并散播反黨反國家言論。endprint

被攻陷的也包括部分地方政法委、網(wǎng)警、電信部門官網(wǎng)。

而北京知道創(chuàng)宇信息技術(shù)有限公司的監(jiān)測顯示，每天都有來自全球各地針對中國政府網(wǎng)站的持續(xù)攻擊。

“黑客會(huì)有針對性地進(jìn)行快速全球掃描，當(dāng)發(fā)現(xiàn)未公布或剛公布的漏洞，就進(jìn)行入侵。比如有一批專門針對中國政府網(wǎng)站的黑客，他們有針對性地檢測與中國政府有關(guān)系的相關(guān)網(wǎng)站，只要發(fā)現(xiàn)問題就實(shí)施攻擊?！辩姵盔Q說。

攻擊目的各有不同

“在應(yīng)用層面、域名層面、基礎(chǔ)設(shè)施等三個(gè)層面，都可能產(chǎn)生滲透和攻擊。實(shí)際上，最危險(xiǎn)的、最大的，是中間這個(gè)層面——域名層面。域名系統(tǒng)層面是互聯(lián)網(wǎng)的神經(jīng)系統(tǒng)，政府網(wǎng)站安全和域名安全是息息相關(guān)的?！崩顣詵|說。

監(jiān)測結(jié)果顯示，對中國政府網(wǎng)站的攻擊主要來自境外。胡安磊認(rèn)為它們主要有兩種來源。

第一種是出于政治或經(jīng)濟(jì)利益。這些大多是一些黑客團(tuán)體，譬如“匿名者”組織，由于價(jià)值觀不同或出于政治目的，經(jīng)常聲稱攻擊中國政府網(wǎng)站。

王明華說，這種情況可以根據(jù)攻擊后留下的標(biāo)語發(fā)現(xiàn)。對“反共黑客”長時(shí)間的追蹤發(fā)現(xiàn)，每次攻擊中國政府網(wǎng)站的IP地址都來自加拿大、美國等境外國家，“再比如，攻擊后留下旗幟標(biāo)識，大多數(shù)和分裂勢力、極端宗教勢力有關(guān)?！?/p>

胡安磊說，還有一種是威脅性更大的、有組織的入侵行為。許多國家都會(huì)有一些專業(yè)組織，進(jìn)行更有強(qiáng)潛伏性和持續(xù)性的攻擊，目標(biāo)往往針對特定政府或大企業(yè)，也就是網(wǎng)絡(luò)安全界所說的“高級持續(xù)性威脅”。

事實(shí)上，王明華認(rèn)為，目前黑客攻擊網(wǎng)站的趨利性目的更為明顯?！耙源鄹臑槔?013年上半年政府網(wǎng)站被篡改的數(shù)量較同期有較大增長，主要是因?yàn)楸恢踩霃V告黑鏈的政府網(wǎng)站數(shù)量有較大增幅。在政府網(wǎng)站首頁植入黑鏈，有利于一些網(wǎng)站提升搜索引擎排名。有這方面需求的黑鏈網(wǎng)站，往往都是一些游戲私服、地下博彩、制售國家違禁品以及產(chǎn)品銷售類網(wǎng)站?！?/p>

再比如，不久前一批境外黑客把與高利貸擔(dān)保有關(guān)的鏈接植入有漏洞的網(wǎng)站，從而提升這些高利貸擔(dān)保網(wǎng)站在搜索網(wǎng)站中的排名，“他們目的很明確，就是提升排名?！辩姵盔Q說。

胡安磊說，傳統(tǒng)上以炫耀技術(shù)為目的攻擊越來越少，“大多出于經(jīng)濟(jì)目的，主要攻擊商業(yè)網(wǎng)站，政府網(wǎng)站不是他們攻擊的重點(diǎn)?！?/p>

王明華稱，對政府網(wǎng)站的攻擊往往從漏洞滲透開始，通過技術(shù)分析得到網(wǎng)站漏洞，再取得網(wǎng)站服務(wù)器控制期限，進(jìn)而植入網(wǎng)站后門達(dá)到長期控制的目的。“單個(gè)網(wǎng)站的滲透費(fèi)工夫，為省時(shí)省力，黑客自編掃描器或開發(fā)工具，可以批量檢測或批量攻擊。”

被稱為APT的“高級持續(xù)性威脅”，一般是指有政府背景的組織或者小團(tuán)體利用先進(jìn)的攻擊手段，對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的形式。

“這種攻擊很難命名，只能根據(jù)它的特征起個(gè)代號，被曝光的只是冰山一角，有很多APT攻擊每時(shí)每刻都在進(jìn)行?！辩姵盔Q介紹說，隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域也出現(xiàn)了新的入侵技巧，比如跨站攻擊，是指在郵件內(nèi)植入代碼，打開郵件的同時(shí)郵箱里的信息就外泄了。

從地域上看，我國東部經(jīng)濟(jì)發(fā)達(dá)地區(qū)政府網(wǎng)站安全事件較多。

胡安磊說，從層級上看，縣市級政府網(wǎng)站被攻陷的次數(shù)較多，中央、省部級網(wǎng)站雖然被攻擊情況也很多，但被攻陷的情況相對較少。

鐘晨鳴認(rèn)為，政府網(wǎng)站安全性與投入力度有相當(dāng)大的關(guān)系：中央、省部級網(wǎng)站往往會(huì)有專人負(fù)責(zé)網(wǎng)站漏洞的修復(fù)與維護(hù)，甚至負(fù)責(zé)網(wǎng)站安全類的產(chǎn)品采購，防御措施較好；一些縣市，甚至鄉(xiāng)鎮(zhèn)的政府網(wǎng)站投入資金較少，基本上沒有什么維護(hù)，只是簡單地發(fā)些新聞，根本不考慮網(wǎng)站安全性?！拔覀兘o各個(gè)層次的政府網(wǎng)站提供網(wǎng)絡(luò)安全方面的服務(wù)，各級政府給我們的回報(bào)差別還是很明顯的。”

在李曉東看來，被黑客攻陷的政府網(wǎng)站日益增多，主要是因?yàn)橹匾曔€不夠，安全保護(hù)措施不足。

管理水平參差不齊

王明華舉例說，2013年夏天，國家互聯(lián)網(wǎng)應(yīng)急中心曾對江蘇省國資委網(wǎng)站發(fā)出預(yù)警，但當(dāng)天沒有找到江蘇省國資委的相關(guān)人員，打電話也沒人接。當(dāng)天晚上，該政府網(wǎng)站就被“反共黑客”篡改。

他說，目前國家互聯(lián)網(wǎng)應(yīng)急中心將全國超過150萬備案網(wǎng)站列入日常巡檢列表，并對其中5萬多個(gè)政府網(wǎng)站進(jìn)行重點(diǎn)監(jiān)測；其次，緊密跟蹤國內(nèi)外黑客的活動(dòng)情況，比如“反共黑客”、“匿名者”黑客組織，記錄其攻擊方法、習(xí)慣、傾向等攻擊特征，及時(shí)產(chǎn)生預(yù)警；再者，聯(lián)合國內(nèi)其他安全組織，做好政府部門網(wǎng)站漏洞風(fēng)險(xiǎn)事件的檢查和驗(yàn)證工作。

在2013年的大檢查中，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)了上百個(gè)安全隱患。

“2012年，交通部、水利部、國土資源部等多個(gè)政府網(wǎng)站存在的未知漏洞被發(fā)現(xiàn)后，一夜之間多個(gè)網(wǎng)站被同一個(gè)黑客攻破。這樣的事情在2013年沒有出現(xiàn)，說明這兩年國家對中央部委網(wǎng)站大檢查等互聯(lián)網(wǎng)防護(hù)還是很有成效的，尤其是對部委網(wǎng)站?！蓖趺魅A說。

中國互聯(lián)網(wǎng)絡(luò)信息中心作為國家頂級域名“.cn”域名的注冊管理機(jī)構(gòu)，會(huì)對一些重要政府網(wǎng)站的域名解析進(jìn)行監(jiān)測，如果域名被黑客劫持，會(huì)在第一時(shí)間直接聯(lián)系政府網(wǎng)站域名注冊聯(lián)系人，從而及時(shí)解決問題。

此外，該機(jī)構(gòu)也對重要政府網(wǎng)站開展安全方面的遠(yuǎn)程掃描和評價(jià)等工作。

胡安磊說，有些部委安排人員專門管理自己的網(wǎng)站，有些部委則托管給了從事網(wǎng)站管理方面的公司，“有些部委的一些業(yè)務(wù)或管理工作需要在網(wǎng)上開展，他們可能就較為重視本單位網(wǎng)站安全。政府網(wǎng)站管理方面的水平參差不齊，有些網(wǎng)站做得很好，有些網(wǎng)站做得較差，整體情況不容樂觀?！?/p>

鐘晨鳴分析說，由于立法打擊等措施，目前“掛馬”整體呈下降趨勢，但是暗鏈卻明顯增多，“無論是政府網(wǎng)站，還是其他性質(zhì)網(wǎng)站，暗鏈數(shù)量都很多?！?/p>

所謂“掛馬”，就是黑客在被攻擊網(wǎng)頁植入惡意轉(zhuǎn)向代碼。當(dāng)訪問這個(gè)網(wǎng)頁時(shí)，就會(huì)自動(dòng)轉(zhuǎn)向其他網(wǎng)址或下載病毒。

究其原因，鐘晨鳴認(rèn)為，首先是此類網(wǎng)絡(luò)安全事件不會(huì)導(dǎo)致網(wǎng)站出現(xiàn)系統(tǒng)性破壞，而政府網(wǎng)站維修成本較高，或者有些政府網(wǎng)站出錯(cuò)了，自己也不修改；第二類是和搜索引擎欺騙有關(guān)系，比如通過百度跳轉(zhuǎn)過去的可能變成博彩、色情網(wǎng)站，這種手段非常多。“在百度搜索欄輸入‘六合彩 set：gov.cn，就能看到一些網(wǎng)站的后面標(biāo)注有‘風(fēng)險(xiǎn)。有些相對來說比較隱蔽，而且沒有‘掛馬危害大，所以政府網(wǎng)站解決力度很低。”

鐘晨鳴說，“國內(nèi)黑客對政府網(wǎng)站的‘掛馬，完全屬于不小心。他們目的很明確，不是攻擊政府網(wǎng)站，而是與網(wǎng)游有關(guān)系，盜取游戲賬號。他們只是對類似于QQ業(yè)務(wù)有關(guān)的虛擬交易感興趣?！?/p>

李曉東強(qiáng)調(diào)，隨著電子政務(wù)的范圍日益廣泛、政務(wù)信息上網(wǎng)日漸增多，政府網(wǎng)站的安全一定要引起足夠的重視。

王明華認(rèn)為，現(xiàn)在電子政務(wù)越來越多，網(wǎng)站成為一個(gè)政務(wù)公開的重要窗口，隨著重要性增加，黑客攻擊引發(fā)的后果也將越來越大。“這是政府開始花費(fèi)較大精力著手管理網(wǎng)站安全的一個(gè)重要原因。當(dāng)然，現(xiàn)在政府在網(wǎng)站安全方面投入的經(jīng)費(fèi)還遠(yuǎn)遠(yuǎn)不夠?！眅ndprint