政府和金融網站安全威脅的形式及其應對之策

      日前，根據國家互聯網應急中心(CNCERT)最新發布的2010全年互聯網安全報告顯示，上一年基礎網絡運行雖然總體平穩，但是在2010年中國大陸近3.5萬個被黑客篡改的網站中，政府網站竟高達4635個，比2009年上升了67.6%，這其中政府網站安全防護薄弱，金融行業網站成為不法分子攻擊重點目標等現象仍然比較嚴重！

　　與一般的商業性網站相比，政府和金融網站帶有更多的社會屬性，一旦被黑客攻擊或出現內容上的惡意篡改，其帶來的惡果就不光是經濟損失，而往往還伴隨有公權機關權威性和社會公信力的喪失，進而又將會帶來諸如社會公平和正義被扭曲等方面的一系列問題，試想在一個地方政府網站如果出現了一則冒名的“政府公告”或一篇莫名其妙的捏造文件，其真實帶來的惡劣社會影響以及給公眾百姓帶來的消極恐慌有多大？從這個意義上看，在政府建立“電子政務”和各金融機構推行“行業信息化”過程中，從根本上扭轉政府和金融行業等涉密機構網站遭黑趨勢大幅上升的被動局面，重新建立其堅強的安全防御網絡，重塑涉密機構網站的權威性和社會公信力，將是今年十二五開局乃至今后一年相當長歷史時期亟待解決的社會重大問題之一。

　　一、政府和金融網站面臨安全威脅的形式
　　在電子政務和行業信息化蓬勃發展的今天，政府和金融網站所面臨的各類安全威脅依舊非常嚴峻，由于目前在網絡設備、服務器系統、操作系統、數據庫軟件、應用軟件乃至安全防護產品中普遍存在安全漏洞，黑客借助多種常見的甚至是很基礎的攻擊技術或攻擊手段都可能入侵得手，這里比如最常見的網站掛馬和DDOS攻擊等。另外網站本身的一些局限性原因，比如重視內容建設而輕視安全防范、網站建設受制于技術力量、資金投入、科學規范管理以及過分相信甚至是迷信非專業性的安全軟硬件產品等，這些或許都是政府和金融網站遭黑趨勢大幅上升的客觀原因且目前大都普遍存在。

　　就目前看，政府網站被黑和網站內容被篡改的主要形式包括兩種，一為將網站首頁改為黑客組織頁面，以此炫技；二是在政府網站中暗藏黑客頁面，告訴潛在交易方，政府網站的服務器、帶寬已經為黑客控制，可以出租、轉讓給不法分子。

　　而在金融機構的網站安全方面，網絡違法犯罪行為的“趨利化”非常特征明顯，大型電子商務、金融機構、第三方在線支付網站成為網絡釣魚的主要對象，黑客仿冒上述網站或偽造購物網站誘使用戶登陸和交易，竊取用戶賬號密碼、造成用戶經濟損失。

　　政府和金融網站所面臨的安全威脅，歸根結底是一種對社會正常秩序以及社會公平正義的公然破壞，盡管國家已經從立法層面對黑客的嚴重攻擊破壞活動進行了刑法獨立入罪，但是注重自身的安全防范仍然是根本，政府和金融網站在做好設備與技術投入的硬性指標同時，立足于自身主觀意識上的主動安全防范，可能同樣非常關鍵。
　　　　二、政府和金融網站安全保障策略的分析

　　針對當前政府和金融網站所面臨的安全威脅和安全形勢，一些權威安全機構也給出了很好的應對機制和安全保障策略：
　　
　　1.面對形形色色的網絡安全威脅，我們要有足夠的憂患意識和危機意識，主動防范于未然，時刻繃緊“網絡安全”這根弦，這是科學應對政府和金融網站黑客攻擊的首要前提。

　　2.有效突破網站安全建設方面的諸如技術力量、資金投入、科學規范管理以及過分相信甚至是迷信非專業性的安全軟硬件產品等制約瓶頸，改變信息安全管理滯后于網站內容建設的現狀，確保政府和金融網站運行高效且安全保障科學規范。

　　3.努力從管理、制度、技術各層面建立網站的安全體系，確保網站安全平穩的運行狀態。在嚴格加強對上網信息的采集、發布和更新嚴格執行保密規定的同時，從技術層面防范病毒侵擾和黑客攻擊則非常關鍵，比如主要從物理層、數據鏈路層、網絡層、應用層、系統層等方面進行全面安全設計，對機房和服務器進行標準化改造，安裝硬件防火墻、網絡殺毒軟件和專業的防泄密系統等。

　　事實上，專業的防泄密系統部署非常關鍵，但也是目前政府和金融網站安全防御最薄弱的地方之一，這里我們不妨作為政府和金融網站安全保障策略中一個較為重點的環節進行分析一下：國外的許多安全專家喜歡將專業防泄密系統稱之為網站安全的“最后一道防線”，也就是說當網站即便遭到最強勢的黑客攻擊后，黑客所竊取的機密電子資料都是被專業防泄密系統加密過的，或者根本打不開，或者經過打開后就是一堆雜亂無用的亂碼。“鐵卷電子文檔安全系統”是一款專門針對政府和金融網站等64位超強性能服務器提供機密電子文檔保護的專業防泄密系統，由國內終端與數據安全產品的領先企業深圳大成天下獨家研發并以超低廉資費的整體產品解決方案推出市場。該套“鐵卷電子文檔安全系統”分別有一個最大的優勢和技術特色：

　　優勢是率先在整個行業集成64位操作系統的文檔透明加密技術，成功突破傳統同類產品中國外同類產品價格奇高、本土化服務先天欠缺、受制于政府對相關信息安全產品的部分準入政策等制約瓶頸，眾所周知，對于應用可伸縮性更高、安全防御性能更強、企業級應用越來越廣泛的64位操作系統，64位文檔透明加密技術前景也將更加廣闊；

　　技術特色是能夠在不改變用戶任何原有操作習慣的前提下，讓脫離網站服務器的所有機密電子文檔自動無法使用，它并不是依托容易被廣泛破解的密碼來加密和保護電子文檔，而是依托特定的環境（如網站服務器及所有聯網服務器集群）來對機密電子文檔進行無形加密和保護，從而可以使所有機密電子文檔在脫離特定環境下瞬間變成一堆毫無用處的亂碼。另外“鐵卷電子文檔安全系統”還會主動對經過加密保護的機密電子文檔有選擇的限制其瀏覽、打印輸出、復制、屏幕拷貝、可查閱的有效期限范圍和打開密碼等多項控制權限，由“管理中心”統一進行實時監管。作為目前國內最具品牌影響力的終端與數據安全專家，“鐵卷電子文檔安全系統”同時擁有很好的產品兼容性，這些兼容性包括提供70多種應用程序及Office、PDF、wps、AutoCAD、Pro/E、SolidWork等上百種主流電子文檔格式支持等。

　　三、一些心得
　　事實上針對政府和金融網站所面臨的安全威脅，除了以上介紹的安全保障策略外，以下三方面的對策也應該引起足夠重視：一是注意對政府和金融網站程序漏洞的及時修補，加強安全意識，注意防止注入漏洞、上傳漏洞等問題；二是尋求技術實力強、安全系數高、能主動幫客戶解決安全的服務商進行網站服務器托管；三是部署專業防泄密系統的網站“最后一道防線”，據悉“鐵卷電子文檔安全系統”已經與哈爾濱市政辦公廳、中國保險監管委員會、常州公安局、沈陽海關、河南省技監局、江蘇泰州紀委、招商銀行、中國移動、深圳周大生珠寶等上百家政府、金融機構和行業網站建立了長期穩定的戰略合作，是一款非常成熟的高性價比專業防泄密系統。