吴铭
由于还缺乏足够的重视和维护,政府网站正在成为中国网络安全中最薄弱的一环。同时,由于政府网站不可替代的权威性,对它的攻击严重影响着中国的信息安全。
国家互联网应急中心提供给《瞭望东方周刊》的数据显示,2013年上半年,中国境内被篡改的网站数量增长了63.6%,而被篡改的政府网站数量增长了153.1%。
即便如此,上述结果仍不能完全体现整个形势的严峻性。
“我们掌握的资料显示,每年有几千个政府网站页面被篡改,同样还有相当数量使用‘gov.cn域名的网站被黑客植入‘暗链,或者是广告、或者是点击访问后就会中毒的木马链接。从近两年来直接掌握的资料看,政府网站安全状况值得引起足够的重视。”中国互联网络信息中心国家域名安全中心主任胡安磊对《瞭望东方周刊》说,这只是监测至二级页面的结果。
“gov.cn”为后缀的域名,基本都属于政府系统。对中国政府网站常见的攻击是将网页篡改成钓鱼网站,或者加入一些赌博等“暗链”,其中不乏省部级政府官网。
更深层次的侵袭也屡屡发生。早在2008年,江西省卫生厅考试中心网站资格查询数据库等被攻破,黑客篡改数据库资料,然后伪造、销售假证,造成证书上网可查的假相,从中牟取暴利。
2012年,广东宣判另一起类似案件:13人犯罪团伙攻破180多个政府人事网站,300多万条涉及个人隐私的资料被盗卖,查获3万多人办理各类假证的数据。
来自境外、具有意识形态色彩的浅层攻击也日渐增多。
随着政府信息化建设,中国的政府官网、官微近年来已持续高速增长。但“政府网站被黑了还不知道”的事例在全国各地多次上演,暴露出政府网站高速增长后的深层次问题。
“近五年来基本上没什么提升。”参与相关信息化建设的北京知道创宇信息技术有限公司研究部总监钟晨鸣对《瞭望东方周刊》说,政府网站安全问题源自滞后的运营维护。
中国互联网络信息中心执行主任李晓东则对《瞭望东方周刊》说,“坦白讲,目前部分政府网站的信息化建设有待提升,网站缺乏有效的技术维护和安全管理,这是一个很关键的问题。”
被篡改网站数量成倍增长
“我们从2009年就开始对政府网站首页进行监测。最初每年有几十起涉黄、钓鱼安全事件。2013年9月,我们开始对政府网站进行更深层次的扫描,不仅限于政府网站首页,还包括下面的二级页面。反映在数字上,由原来的每月几个,增加到现在的上百个。”胡安磊说。
国家互联网应急中心运行部主任王明华向《瞭望东方周刊》介绍说,与往年相比,2013年被篡改的政府网站数量有很大增加。
例如江苏,作为东部沿海经济发达省份,其互联网被黑客攻击的频率较高:在2012年该省被篡改的政府网站中,广告链接类型的篡改事件占政府网站篡改事件的75.05%;区县级政府部门网站篡改事件占政府网站篡改事件的59.06%。
王明华说,2013年上半年统计数据显示,境内被篡改网站数量为17500个,其中政府部门网站是1736个;境内被植入后门网站52324个,其中政府部门网站为1342个。
“与2012年同期相比较,2013年上半年被篡改的境内网站数量增长63.6%,被篡改的政府网站数量增长153.1%;被植入后门的境内网站数量增长79.2%,政府网站数量增长4.1%。”他说。
“政府网站容易受到的另一种攻击是拒绝服务攻击。”胡安磊说。
拒绝服务攻击就是让目标服务器停止提供服务,是黑客常用的攻击手段之一。通常攻击者会对被攻击服务器的网络带宽进行消耗,使其无法接受访问。
比较而言,篡改网页是比较浅层的攻击手段。而滞后的网站建设却使它成为攻击政府网站的主要手段之一。
“虽然近年来各级政府逐渐重视信息化建设,很多政府机构都建立了自己的网站。但不少政府机构网站缺乏与政务信息的关联,也没有实时有效地与公众形成互动。”李晓东说,从目前情况来看,相当一大批政府网站目前只是完成了“建设”,公众通过网络找政府办事的还不多。
“黑客侵入网站系统,除了篡改网页、植入木马造成的经济损失之外,还会引起公众对政府公信力的质疑。”他说。
难以确定的攻击者
“从政府网站受攻击的情况看,攻击源分布在全世界,很难确定攻击方是什么人、什么组织,这是一个世界性难题。”王明华说,“一些有黑客组织声明的,或有明显相同攻击痕迹的,可以标识为黑客组织或个人攻击,这些在网页篡改事件中较为明显。”
例如,目前较为知名的“Anonymous”组织,攻击前会通过博客、微博等声明攻击动态,针对中国的“Anonymous—China”,通常利用漏洞进行渗透,以窃取大量网站用户账号和私密信息,攻击动机主要包括政治、宗教,以及一些国际性事件。
另一个例子是名为“反共黑客”的境外黑客组织。它通过掌握中国境内大量网站漏洞,采用预先植入后门等手段,控制一些网站服务器,持续篡改中国境内政府和重要信息系统部门、企事业单位网站,并在篡改页面上发布反动言论。
2013年7月11日凌晨,中国红十字基金会微博被“反共黑客”登录,并连续发布大量反动微博。
2013年6月1日至6月7日,“反共黑客”攻击了长春教育局、武汉理工大学管理学院和沈阳房产局的网站。
国家互联网应急中心的监测结果显示,“反共黑客”在这些网站植入了后门。
王明华说,事发几周前,国家互联网应急中心就通过辽宁分中心向沈阳市房产局发出过风险预警。
2012年中共十八大前夕,一个名为”反共黑客粉丝团”的非法网络黑客组织对中国境内的各大政府、高校门户网站实施了持续性定点渗透。它在成功渗透之后,恶意篡改网站页面,打上反动标语,恶意中伤造谣,并散播反党反国家言论。endprint
被攻陷的也包括部分地方政法委、网警、电信部门官网。
而北京知道创宇信息技术有限公司的监测显示,每天都有来自全球各地针对中国政府网站的持续攻击。
“黑客会有针对性地进行快速全球扫描,当发现未公布或刚公布的漏洞,就进行入侵。比如有一批专门针对中国政府网站的黑客,他们有针对性地检测与中国政府有关系的相关网站,只要发现问题就实施攻击。”钟晨鸣说。
攻击目的各有不同
“在应用层面、域名层面、基础设施等三个层面,都可能产生渗透和攻击。实际上,最危险的、最大的,是中间这个层面——域名层面。域名系统层面是互联网的神经系统,政府网站安全和域名安全是息息相关的。”李晓东说。
监测结果显示,对中国政府网站的攻击主要来自境外。胡安磊认为它们主要有两种来源。
第一种是出于政治或经济利益。这些大多是一些黑客团体,譬如“匿名者”组织,由于价值观不同或出于政治目的,经常声称攻击中国政府网站。
王明华说,这种情况可以根据攻击后留下的标语发现。对“反共黑客”长时间的追踪发现,每次攻击中国政府网站的IP地址都来自加拿大、美国等境外国家,“再比如,攻击后留下旗帜标识,大多数和分裂势力、极端宗教势力有关。”
胡安磊说,还有一种是威胁性更大的、有组织的入侵行为。许多国家都会有一些专业组织,进行更有强潜伏性和持续性的攻击,目标往往针对特定政府或大企业,也就是网络安全界所说的“高级持续性威胁”。
事实上,王明华认为,目前黑客攻击网站的趋利性目的更为明显。“以篡改为例,2013年上半年政府网站被篡改的数量较同期有较大增长,主要是因为被植入广告黑链的政府网站数量有较大增幅。在政府网站首页植入黑链,有利于一些网站提升搜索引擎排名。有这方面需求的黑链网站,往往都是一些游戏私服、地下博彩、制售国家违禁品以及产品销售类网站。”
再比如,不久前一批境外黑客把与高利贷担保有关的链接植入有漏洞的网站,从而提升这些高利贷担保网站在搜索网站中的排名,“他们目的很明确,就是提升排名。”钟晨鸣说。
胡安磊说,传统上以炫耀技术为目的攻击越来越少,“大多出于经济目的,主要攻击商业网站,政府网站不是他们攻击的重点。”
王明华称,对政府网站的攻击往往从漏洞渗透开始,通过技术分析得到网站漏洞,再取得网站服务器控制期限,进而植入网站后门达到长期控制的目的。“单个网站的渗透费工夫,为省时省力,黑客自编扫描器或开发工具,可以批量检测或批量攻击。”
被称为APT的“高级持续性威胁”,一般是指有政府背景的组织或者小团体利用先进的攻击手段,对特定目标进行长期持续性网络攻击的形式。
“这种攻击很难命名,只能根据它的特征起个代号,被曝光的只是冰山一角,有很多APT攻击每时每刻都在进行。”钟晨鸣介绍说,随着技术的发展,网络安全领域也出现了新的入侵技巧,比如跨站攻击,是指在邮件内植入代码,打开邮件的同时邮箱里的信息就外泄了。
从地域上看,我国东部经济发达地区政府网站安全事件较多。
胡安磊说,从层级上看,县市级政府网站被攻陷的次数较多,中央、省部级网站虽然被攻击情况也很多,但被攻陷的情况相对较少。
钟晨鸣认为,政府网站安全性与投入力度有相当大的关系:中央、省部级网站往往会有专人负责网站漏洞的修复与维护,甚至负责网站安全类的产品采购,防御措施较好;一些县市,甚至乡镇的政府网站投入资金较少,基本上没有什么维护,只是简单地发些新闻,根本不考虑网站安全性。“我们给各个层次的政府网站提供网络安全方面的服务,各级政府给我们的回报差别还是很明显的。”
在李晓东看来,被黑客攻陷的政府网站日益增多,主要是因为重视还不够,安全保护措施不足。
管理水平参差不齐
王明华举例说,2013年夏天,国家互联网应急中心曾对江苏省国资委网站发出预警,但当天没有找到江苏省国资委的相关人员,打电话也没人接。当天晚上,该政府网站就被“反共黑客”篡改。
他说,目前国家互联网应急中心将全国超过150万备案网站列入日常巡检列表,并对其中5万多个政府网站进行重点监测;其次,紧密跟踪国内外黑客的活动情况,比如“反共黑客”、“匿名者”黑客组织,记录其攻击方法、习惯、倾向等攻击特征,及时产生预警;再者,联合国内其他安全组织,做好政府部门网站漏洞风险事件的检查和验证工作。
在2013年的大检查中,国家互联网应急中心发现了上百个安全隐患。
“2012年,交通部、水利部、国土资源部等多个政府网站存在的未知漏洞被发现后,一夜之间多个网站被同一个黑客攻破。这样的事情在2013年没有出现,说明这两年国家对中央部委网站大检查等互联网防护还是很有成效的,尤其是对部委网站。”王明华说。
中国互联网络信息中心作为国家顶级域名“.cn”域名的注册管理机构,会对一些重要政府网站的域名解析进行监测,如果域名被黑客劫持,会在第一时间直接联系政府网站域名注册联系人,从而及时解决问题。
此外,该机构也对重要政府网站开展安全方面的远程扫描和评价等工作。
胡安磊说,有些部委安排人员专门管理自己的网站,有些部委则托管给了从事网站管理方面的公司,“有些部委的一些业务或管理工作需要在网上开展,他们可能就较为重视本单位网站安全。政府网站管理方面的水平参差不齐,有些网站做得很好,有些网站做得较差,整体情况不容乐观。”
钟晨鸣分析说,由于立法打击等措施,目前“挂马”整体呈下降趋势,但是暗链却明显增多,“无论是政府网站,还是其他性质网站,暗链数量都很多。”
所谓“挂马”,就是黑客在被攻击网页植入恶意转向代码。当访问这个网页时,就会自动转向其他网址或下载病毒。
究其原因,钟晨鸣认为,首先是此类网络安全事件不会导致网站出现系统性破坏,而政府网站维修成本较高,或者有些政府网站出错了,自己也不修改;第二类是和搜索引擎欺骗有关系,比如通过百度跳转过去的可能变成博彩、色情网站,这种手段非常多。“在百度搜索栏输入‘六合彩 set:gov.cn,就能看到一些网站的后面标注有‘风险。有些相对来说比较隐蔽,而且没有‘挂马危害大,所以政府网站解决力度很低。”
钟晨鸣说,“国内黑客对政府网站的‘挂马,完全属于不小心。他们目的很明确,不是攻击政府网站,而是与网游有关系,盗取游戏账号。他们只是对类似于QQ业务有关的虚拟交易感兴趣。”
李晓东强调,随着电子政务的范围日益广泛、政务信息上网日渐增多,政府网站的安全一定要引起足够的重视。
王明华认为,现在电子政务越来越多,网站成为一个政务公开的重要窗口,随着重要性增加,黑客攻击引发的后果也将越来越大。“这是政府开始花费较大精力着手管理网站安全的一个重要原因。当然,现在政府在网站安全方面投入的经费还远远不够。”endprint