梁惠卿

摘 要：現(xiàn)有檔案網(wǎng)站安全風(fēng)險(xiǎn)的討論多為理論推演，少有實(shí)證分析。文章以網(wǎng)絡(luò)攻擊為例，通過對(duì)攻擊類型、同一黑客使用攻擊類型的數(shù)量、使用同一攻擊類型的黑客數(shù)量、取樣周期內(nèi)網(wǎng)站受攻擊的次數(shù)、一日內(nèi)不同時(shí)段網(wǎng)站受攻擊的次數(shù)等情況的統(tǒng)計(jì)分析，以翔實(shí)數(shù)據(jù)描述了一定時(shí)期內(nèi)檔案網(wǎng)站所面對(duì)的安全風(fēng)險(xiǎn)。簡要介紹了一些有效易行的應(yīng)對(duì)方法。

關(guān)鍵詞：檔案網(wǎng)站；安全風(fēng)險(xiǎn)；網(wǎng)絡(luò)攻擊

有關(guān)檔案網(wǎng)站面臨的安全風(fēng)險(xiǎn)，據(jù)對(duì)知網(wǎng)文獻(xiàn)統(tǒng)計(jì)，2004年至今，已有194篇文獻(xiàn)涉及或進(jìn)行了不同程度的討論。但這些討論中的觀點(diǎn)和論述多來自理論推演或引用他人文獻(xiàn)，少有實(shí)證性分析。本文以河南檔案信息網(wǎng)一個(gè)月所遭受到的網(wǎng)絡(luò)攻擊為例，對(duì)檔案網(wǎng)站的安全風(fēng)險(xiǎn)做一些粗淺分析，并簡要介紹一些應(yīng)對(duì)之策。

所謂網(wǎng)絡(luò)攻擊，指“計(jì)算機(jī)網(wǎng)絡(luò)攻擊”，即有關(guān)網(wǎng)絡(luò)使用者利用一方網(wǎng)絡(luò)存在的既定漏洞和安全缺陷對(duì)其網(wǎng)絡(luò)系統(tǒng)和資源進(jìn)行的入侵和破壞等行為。[1]

1 樣本來源及網(wǎng)站遭受攻擊情況

樣本網(wǎng)站：河南檔案信息網(wǎng)www.hada.gov.cn

取樣周期：2016年3月21日至2016年4月20日

數(shù)據(jù)來源：河南檔案信息網(wǎng)后臺(tái)管理系統(tǒng)

分析工具：excel

網(wǎng)站遭受攻擊的總量。從2016年3月21日至2016年4月20日，河南檔案信息網(wǎng)共遭受到各種網(wǎng)絡(luò)攻擊83108次，日均2770次，時(shí)均115次，每分鐘約2次。

遭遇黑客（攻擊IP）總數(shù)521個(gè)。每個(gè)黑客月均發(fā)起攻擊160次，日均5次。

攻擊最多的IP為202.192.80.5（廣東省廣州市教育網(wǎng)廣州大學(xué)）。

攻擊最高時(shí)段發(fā)生在2016年3月22日早上8時(shí)。具體情況見圖1：

2 網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)分析

2.1 攻擊類型。從遭受攻擊的類型上看，共遭受到14種不同類型的攻擊，見表1。這些攻擊又可以分為注入攻擊、webshell攻擊和命令攻擊3大類。

2.2 同一攻擊類型黑客人數(shù)量。每一種攻擊類型的黑客各不相同。樣本網(wǎng)站在取樣周期內(nèi)受到的83108次攻擊，分別來自521個(gè)黑客。全部14種攻擊類型平均每種62個(gè)。高于平均數(shù)的有4個(gè)類型，分別是SQL Injection，有392個(gè)，占所有黑客的45.27%。Code Injection Attack，有110個(gè)，占所有黑客的12.70%。Webshell BackDoor，有108個(gè)，占所有黑客的12.47%。Caidao webshell，有102個(gè)，占所有黑客的11.78%。

SQL Injection攻擊黑客數(shù)最多，有392個(gè)；Lanker webshell攻擊黑客最少，只有3個(gè)，占所有黑客的0.35%；兩者相差近100倍。其他攻擊類型的情況是：Backup File Attack，有49個(gè)，占所有黑客的5.66%；Upload Webshell Attack，有31個(gè)，占所有黑客的3.58%；Lfi Attack，有21個(gè)，占所有黑客的2.42%；Xss Attack，有12個(gè)，占所有黑客的1.39%；Command Injection Attack，有11個(gè)，占所有黑客的1.27%；Infomation Leak Attack，有10個(gè)，占所有黑客的1.15%；System Command Attack，有7個(gè)，占所有黑客的0.81%；PHP Injection Attack有6個(gè)，占所有黑客的0.69%；Remote Injection Attack，有4個(gè)，占所有黑客的0.46%。使用率占比超過10%以上4種攻擊類型是網(wǎng)站面臨的主要網(wǎng)絡(luò)攻擊威脅。

2.3 同一黑客使用攻擊類型的數(shù)量。同一黑客使用的攻擊手段的多少不一。同一黑客最多使用了12種攻擊類型，只有1個(gè)IP（黑客）其地址為117.158.142.120（河南省移動(dòng)）。使用11種攻擊類型有2個(gè)IP（黑客），地址分別是222.138.139.251（河南省商丘市聯(lián)通）和222.140.6.21（河南省許昌市聯(lián)通），使用9種攻擊類型有1個(gè)IP（黑客），地址是123.55.131.18（河南省開封市電信），使用8種攻擊類型有1個(gè)IP（黑客），地址是125.45.93.195（河南省漯河市聯(lián)通），使用7種攻擊類型有1個(gè)IP（黑客），地址是115.238.55.18（浙江省杭州市電信），使用6種攻擊類型有1個(gè)IP（黑客），地址是218.28.83.34（河南省信陽市聯(lián)通）。

使用5種攻擊類型以上的共有10個(gè)，使用4種攻擊類型以上的共有40個(gè)，只使用1種攻擊類型的共有397個(gè)。絕大多數(shù)黑客使用的攻擊類型不超過4種。

使用5種及以上攻擊類型的黑客雖然占比數(shù)量很少，但危害極大，是我們應(yīng)當(dāng)重點(diǎn)防范的對(duì)象。

2.4 單日網(wǎng)站遭受攻擊的次數(shù)。網(wǎng)站單日遭受攻擊的次數(shù)多則數(shù)萬次，少則百十次，差距巨大。取樣周期內(nèi)網(wǎng)站平均每日受到的網(wǎng)絡(luò)攻擊多達(dá)2770次。工作日遭攻擊64230次，占比77.28%，日均2793；休息日遭攻擊18878次，占比22.72%，日均2360。其中，工作日工作時(shí)段（8：00～18：00）所受到的網(wǎng)絡(luò)攻擊為29829次，占全部受攻擊數(shù)的35.89%。無論是工作日，還是休息日，也無論在工作時(shí)段，還是非工作時(shí)段，平均遭攻擊數(shù)差距不大。表明我們的休息日、休息時(shí)，黑客并不休息。從這個(gè)角度看，加強(qiáng)休息日、節(jié)日、假日及休息時(shí)段的管控非常之必要。

2.5 同一域名遭受攻擊的次數(shù)。從同一域名在取樣周期內(nèi)遭受攻擊的次數(shù)看，河南檔案信息網(wǎng)共有各級(jí)域名216個(gè)。共59個(gè)域名遭攻擊，其中www.hada.gov.cn主域名遭到的攻擊最多達(dá)75193次。2級(jí)域名中kf.hada.gov.cn遭攻擊最多3134次。

2.6 同一URL遭受攻擊的次數(shù)。從同一URL在取樣周期內(nèi)遭受攻擊的次數(shù)看，遭攻擊的URL共有4894個(gè)。每個(gè)平均遭受攻擊17個(gè)。具體情況限于篇幅不再贅述。

3 應(yīng)對(duì)方法

綜上，我們可以看到檔案網(wǎng)站所面臨的真實(shí)網(wǎng)絡(luò)攻擊，以及這些攻擊帶來的安全風(fēng)險(xiǎn)。面對(duì)這些風(fēng)險(xiǎn)有一些簡便且有效的應(yīng)對(duì)方法：

首先，“技防”是應(yīng)對(duì)網(wǎng)絡(luò)攻擊的最有效方法。通過購買使用性價(jià)比高的安全軟件，及時(shí)升級(jí)網(wǎng)站安全系統(tǒng)。這里特別要強(qiáng)調(diào)“及時(shí)升級(jí)”，因?yàn)樵趯?shí)際工作中，有些機(jī)構(gòu)雖然購買了很好的安全軟件，但由于工作人員沒有及時(shí)升級(jí)，導(dǎo)致安全軟件沒能處在最佳狀態(tài)，從而導(dǎo)致對(duì)新的攻擊缺少防護(hù)能力，使攻擊得逞。

其次，定時(shí)整理網(wǎng)絡(luò)攻擊數(shù)據(jù)，將危害程度高、頻率高、攻擊范圍寬、非工作時(shí)段多發(fā)及域外IP（黑客）地址梳理出來。做到心中有數(shù)，重點(diǎn)加以應(yīng)對(duì)與防范，通過人工及時(shí)處理。能屏蔽的加以屏蔽，不能屏蔽的（有些IP為學(xué)校等公共機(jī)構(gòu)公用IP，不能屏蔽）加以特別關(guān)注。對(duì)新發(fā)現(xiàn)的固定IP（黑客），不僅要列入“黑名單”，還應(yīng)及時(shí)“報(bào)告”相關(guān)機(jī)構(gòu)。

再次，工作時(shí)間內(nèi)隨時(shí)監(jiān)控，發(fā)現(xiàn)攻擊及時(shí)處理。非工作時(shí)間，要做好與工作時(shí)間銜接時(shí)的重點(diǎn)監(jiān)控。盡可能實(shí)現(xiàn)每天上班前查看，下班前對(duì)當(dāng)天已發(fā)現(xiàn)的攻擊進(jìn)行整理與處理。節(jié)假日利用移動(dòng)設(shè)備加強(qiáng)監(jiān)控，防止黑客的節(jié)假日攻擊。

最后，建立同行通報(bào)機(jī)制。及時(shí)的溝通與交流是應(yīng)對(duì)變化多端的網(wǎng)絡(luò)攻擊的有效手段之一。

參考文獻(xiàn)：

[1]李伯軍.論網(wǎng)絡(luò)戰(zhàn)及戰(zhàn)爭法的適用問題[J].法學(xué)評(píng)論，2013（04）：58～64.