“網(wǎng)站漏洞”成電信詐騙幫兇 專家呼吁進(jìn)行“立體防護(hù)”

近日，備受關(guān)注的山東準(zhǔn)大學(xué)生徐玉玉遭電信詐騙后死亡案告破。 根據(jù)9月10日公安部公布的徐玉玉案詐騙細(xì)節(jié)，嫌疑人利用技術(shù)手段攻破“山東省2016高考網(wǎng)上報(bào)名信息系統(tǒng)”， 并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺(tái)登錄權(quán)限，盜取了包括徐玉玉在內(nèi)的大量考生報(bào)名信息。

根據(jù)公開報(bào)道信息，2011年至今，已有累計(jì)13億條用戶隱私信息因網(wǎng)站漏洞被泄漏。記者在采訪中獲悉，雖然信息泄漏事件愈演愈烈，但網(wǎng)站安全問題卻被普遍漠視，很多企業(yè)明明知道自己被拖庫，用戶信息已被泄露，仍然采取“捂蓋子”的方法，只要沒有被曝光，就睜一只眼閉一只眼。

安全專家指出，無處不在的網(wǎng)站漏洞已經(jīng)成為電信詐騙的幫兇。針對普遍存在的網(wǎng)站漏洞問題，我們亟需采取全方位防護(hù)措施，進(jìn)行“立體防護(hù)”。

網(wǎng)站漏洞已成為電信詐騙幫兇

在徐玉玉案件中，黑客利用網(wǎng)站漏洞竊取了考生信息，這說明教育行業(yè)網(wǎng)站漏洞已經(jīng)成為電信詐騙集團(tuán)獲取個(gè)人信息的幫兇。更令人擔(dān)憂的是教育行業(yè)普遍存在的網(wǎng)站漏洞。根據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的《中國互聯(lián)網(wǎng)安全報(bào)告》：基于國內(nèi)知名漏洞響應(yīng)平臺(tái)2015年收錄的漏洞信息分析，在5995個(gè)網(wǎng)站漏洞中，教育培訓(xùn)行業(yè)被報(bào)漏洞1169個(gè)，排名居第二位。

與廣泛存在的網(wǎng)站漏洞形成鮮明對比的是，相關(guān)部門對于網(wǎng)站漏洞問題的忽視。根據(jù)同一份報(bào)告，針對披露的網(wǎng)站漏洞，教育、能源、醫(yī)療衛(wèi)生三個(gè)行業(yè)的修復(fù)情況不容樂觀，修復(fù)率僅約為1.8%-3.4%之間。

一方面是廣泛存在的網(wǎng)站漏洞，一方面是對網(wǎng)絡(luò)漏洞的忽視或熟視無睹。這意味著今后還有可能發(fā)生更多“徐玉玉”事件。改善相關(guān)行業(yè)的網(wǎng)站安全意識(shí)，提升網(wǎng)站的防護(hù)水平顯然已經(jīng)迫在眉睫。

網(wǎng)站安全管理存在三大突出問題

隨著互聯(lián)網(wǎng)應(yīng)用的普及，網(wǎng)站已經(jīng)成為各級(jí)政府及其所屬單位履行職能、面向社會(huì)提供服務(wù)的重要手段和渠道，在提高行政效能、提升公信力等方面發(fā)揮著重要作用。但與此同時(shí)，網(wǎng)站安全管理也存在非常嚴(yán)重的問題，基層黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)網(wǎng)站眾多，網(wǎng)站規(guī)模小且分散，安全監(jiān)管和防護(hù)能力差。

據(jù)360網(wǎng)站安全事業(yè)部專家分析，網(wǎng)站安全問題突出表現(xiàn)在以下幾個(gè)方面：

一是缺少對安全狀況的監(jiān)測，無法及時(shí)發(fā)現(xiàn)網(wǎng)站出現(xiàn)的安全狀況，比如：網(wǎng)站漏洞、網(wǎng)頁掛馬、黑詞黑鏈、網(wǎng)頁篡改等等情況;

二是缺少對出現(xiàn)對以上安全狀況的及時(shí)修復(fù)機(jī)制或者是無力修復(fù);

三是缺少應(yīng)急響應(yīng)機(jī)制，發(fā)現(xiàn)了問題無法提供相應(yīng)的應(yīng)急響應(yīng)，導(dǎo)致惡劣后果的進(jìn)一步加大;

而以上各種狀況出現(xiàn)之后，會(huì)引起各種無法預(yù)知的后果，比如信息泄露、財(cái)產(chǎn)損失、名譽(yù)破壞、甚至如徐玉玉事件的發(fā)生。

網(wǎng)站安全需要“立體防護(hù)”

面對黑客或黑客行為客觀存在的現(xiàn)實(shí)，我們所能做的就是通過一些安全監(jiān)控和防護(hù)手段來降低信息泄露的風(fēng)險(xiǎn)。

360網(wǎng)站安全事業(yè)部的專家表示，面對普遍存在的安全漏洞，對于網(wǎng)站安全需要“立體防護(hù)”，通過云端SaaS服務(wù)、硬件盒子的部署、人員安全意識(shí)培養(yǎng)、安全制度、監(jiān)管制度的建立等方式，全面提升網(wǎng)站安全的防護(hù)能力。

首先是提升對于網(wǎng)站安全重要性的認(rèn)識(shí)。數(shù)據(jù)泄露重則引起經(jīng)濟(jì)損失、名譽(yù)破壞，以及類似徐玉玉的安全事件。國家已經(jīng)加強(qiáng)了信息泄露的問責(zé)處罰機(jī)制，網(wǎng)站管理者的安全意識(shí)需要同步提升。

從網(wǎng)站的開發(fā)與運(yùn)營角度，網(wǎng)站管理者在開發(fā)階段就需要利用代碼檢測工具，對第三方開發(fā)的網(wǎng)站進(jìn)行網(wǎng)站源代碼檢查，確保網(wǎng)站開發(fā)符合安全流程，降低漏洞存在機(jī)率。

在網(wǎng)站運(yùn)營期，網(wǎng)站管理者需部署必要的安全防護(hù)軟件或接入云防護(hù)系統(tǒng)。根據(jù)其承載業(yè)務(wù)的重要性、普遍性、行業(yè)性等維度劃分等級(jí)，建立基于等保而高于等保的安全標(biāo)準(zhǔn)及響應(yīng)機(jī)制。對網(wǎng)站進(jìn)行的24小時(shí)監(jiān)測措施的工具，進(jìn)行網(wǎng)站漏洞掃描、、網(wǎng)頁掛馬監(jiān)測等監(jiān)測，以應(yīng)對黑客的入侵。

此外，針對一旦發(fā)現(xiàn)漏洞，能夠有相應(yīng)的應(yīng)急處置機(jī)制和手段，確保漏洞得到及時(shí)修復(fù)，將數(shù)據(jù)泄露的風(fēng)險(xiǎn)降到最低。