我国网站安全形势分析与对策建议
2012-09-19 11:01:43   来源:   评论:0 点击:

【 摘 要 】 假冒网站、钓鱼网站日益泛滥,严重损害了网络用户的利益,阻碍了网络应用的发展,我国的网站安全形势日益严峻。本文首先介绍了网站分类及安全特点,然后分析了网络安全面临的严峻形势,最后提出...
【 摘 要 】 假冒网站、钓鱼网站日益泛滥,严重损害了网络用户的利益,阻碍了网络应用的发展,我国的网站安全形势日益严峻。本文首先介绍了网站分类及安全特点,然后分析了网络安全面临的严峻形势,最后提出了加强网站安全的应对策略。
  【 关键词 】 网站安全;网络安全;钓鱼网站
  1 网站分类及安全特点分析
  自1993年互联网开始面向社会公众开放以来,用户数量开始爆炸式增长,各种网上服务不断增加,网站种类和数量快速增长。目前,从功能上讲大致可以将网站分为资讯门户类网站、企业品牌类网站、社交类网站、电子商务类网站、政府网站、功能性网站等几大类。资讯门户类网站以提供信息资讯为主要目的,是目前最普遍的网站形式之一。这类网站虽然涵盖的工作类型多,信息量大,访问群体广,但所包含的功能却比较简单。企业品牌网站非常强调创意,对于美工设计要求较高,精美的FLASH 动画是常用的表现形式。电子商务类网站以实现交易为目的,以订单为中心,强调业务模式。社交类网站具有用户数目多、数据量大、信息开放、用户关系难以管理等特点.如何实现用户隐私保护、身份认证和数据访问控制,已成为社交网络中备受关注的安全问题。政府网站利用外部政务网与内部局域办公网络而运行,主要提供多数据源接口,实现业务系统的数据整合,面向社会公众,既可提供办事指南、政策法规、动态信息等,也可提供网上行政业务申报、办理、相关数据查询等。功能性网站是近年来兴起的一种新型网站,Google、Baidu即其典型代表,其主要特征是将一个具有广泛需求的功能扩展开来,开发一套强大的支撑体系,将该功能的实现推向极致。
  网站自出现以来一直都是网络攻击、网络犯罪的重灾区。各类网站功能差异导致安全攻击方式和特点存在很大不同。电子商务类网站作为交易平台日益成为趋利性攻击的首选,社交网站、电子政务网站作为各类敏感信息的资源池越来越遭受以盗窃隐私、重要信息为主要目的的攻击。目前,针对网站的攻击形式多种多样,最主要的形式包括主机入侵、网站篡改、钓鱼网站、DDoS攻击、恶意链接、数据窃取等。社交网站、电子商务网站和政府网站因其功能、积累信息和提供服务等方面各有侧重,因此其安全风险及重点防范内容也有所差异。
  社交类网站具有人气旺、信息传播快的特性已经成为趋利性恶意链接攻击的重要领域。社交类网站是一个便于策动网络攻击的平台,因为它能够使大量信息在相互信任的用户及群体之间迅速广泛流传,这令网络歹徒可以轻而易举散播恶意软件、恶意链接及诈骗攻击。对于黑客来说,社交网站是一个便于策动网络攻击的平台,因为它能够使大量信息在相互信任的用户及群体之间迅速广泛流传,这令网络歹徒可以轻而易举散播恶意软件、恶意链接及诈骗攻击。
  电子商务类网站具有商品买卖、资金往来等功能,已经成为互联网应用中资金诈骗最多发的领域。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。此外,有些用户可能对自己网上的行为进行恶意否认,以推卸自己应承担的责任。
  政府网站作为对公服务的重要渠道和展示窗口,无论对于政府形象,还是对于公众业务办理中沉淀的敏感信息安全都非常重要,常常是一些不法分子的重点攻击对象,政府门户网站一旦被攻击或被篡改,常常会引发较大的影响,很可能会造成经济损失,带来法律纠纷,严重时甚至会影响社会稳定和造成政治事件。
  2 网站安全面临日趋严重的新形势
  2.1 以社交网站为主的网站信息泄露、恶意链接和诈骗攻击事件呈现规模爆发趋势
  社交类网站因为它能够使大量信息在相互信任的用户及群体之间迅速广泛流传,这令网络歹徒可以轻而易举散播恶意软件、恶意链接及诈骗攻击。从社交网站的鼻祖Facebook和Twitter目前的情况来看,每个Facebook用户平均有130个联系人,而Twitter有126个,这为网络犯罪提供了广泛的潜在受害者和可观的点击率。据外ZoneAlarm最近发表的2011年信息安全安全报告指出,Facebook上的垃圾信息问题严重,超过20%的链接为病毒,Facebook目前每月拥有8亿的活跃会员,其中超过400万人会被垃圾信息骚扰,更为严重的是,在Facebook的所有连接中,超过20%的讯息链接是病毒。随着社交网络的快速发展,由于社交网络账户中包含着大量的用户个人信息,其中包含着巨大的商业价值,而使其成为黑客攻击的新重点目标。2011 年12月以来, CSDN、天涯、人人网、世纪佳缘等多家国内网站被曝遭到黑客攻击,包括密码等大量用户数据库被公布在互联网上,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,网站信息安全问题被推向舆论的风口浪尖,引发社会各界的广泛关注。
  社交网站信息安全问题多发的主要原因有:一是社交网站攻击者采取的攻击手段日趋复杂,有针对性的、持续性的攻击越来越多,原有的安全防护措施可能不能有效发挥作用;二是社交网站企业在落实国家信息安全等级保护等各项制度过程中存在一定的不足,安全管理和技术保护有不到位的地方;三是社交完整等信息系统采用的软硬件、信息安全产品等之间的融合度不够,各厂商的产品和解决方案还难以实现无缝衔接,不能协调地、有效地应对安全威胁。
  2.2 针对电子商务网站的钓鱼及交易欺诈事件呈现恶化趋势
  大量电子商务类网站被篡改。据CNCERT监测,2012年1月和2月,我国被篡改网站数量为1888个、1853个,其中.com和.com.cn域名类网站(多为商业类网站)被篡改数量最多。2011年6日14时,新余商务网被非法篡改,在网站顶端出现“香港赛马会”、“香港六合彩资料”等13个不良信息网址,这些网址是以文字链接的形式出现,内容都是六合彩内容,这是典型的被“挂马”的案例,导致部分用户个人账户信息泄露。
  网上银行、第三方支付网站面临的钓鱼威胁愈演愈烈。随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。2011 年初,全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。
据 CNCERT监测,2011 年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃, 全年发现针对我国网银的钓鱼网站域名4681个。 CNCERT全年共接收网络钓鱼事件举报 5459件,较 2010 年增长近 2.5 倍,占总接收事件的 35.5%;重点处理网页钓鱼事件1833件,较 2010年增长近两倍。据中国反钓鱼网站联盟,2011年联盟分别处理钓鱼网站9859个、12350个,其中支付交易类、金融证券类钓鱼网站占到近90%的份额,淘宝、工商银行、腾讯、央视等网站是仿冒的主要对象。
  网上交易欺诈现象呈现快速增长态势。随着互联网的普及,网络购物市场呈现高速增长的环境下也带来了网上交易欺诈现象暴增。2011年,315消费电子投诉网共受理网络诈骗方面的投诉36000多宗,远超于上年全年的28000多宗。表现形式主要以网购低价诱骗、订票网站诈骗、团购网站诈骗、货品伪劣以及网络中奖诈骗等方式为主,而且发生问题时由于交易主体身份难确定、交易过程证据难收集等原因导致纠纷解决起来非常困难。据有关统计,以虚假身份交易诈骗和盗取用户名进行行骗已经成为电子商务交易诈骗的最主要手段和方式。
  2.3 以政府网站为主要目标的网络攻击事件频发
  近年来,我国政府网站受攻击次数多,安全隐患日益严重。据构瑞星公司发布《2011年度企业安全报告》显示,2011年有接近20万个网站曾被成功入侵(以页面计算),其中,政府网站占总体数量的15%。由此推算,全年约3万个政府网站页面遭到黑客不同程度地破坏和修改。根据估算,2011年针对高等级涉密网络的攻击至少50万次。此外,国家机关、涉密单位、科研院校、金融单位等涉及国家机密和资金安全的企业和单位,遭到黑客攻击的技术含量、攻击频率都远高于普通企业。对政府网站来说,最大的风险就是攻击者将网站信息修改后,向访问者传递各种形式的虚假信息、反动言论或商业广告。这不仅会造成泄密,对政府公信力也将产生较大的负面影响。从目前的政府网站的安全形势看,暴露了我们在政府网站的安全管理上的以下问题:首先,对政府网站安全缺乏足够认识。许多政府网站的安全体系建设都十分薄弱,职责安排不到位,更没有完备的应急响应预案。其次是部分政府网站尤其是基层政府网站安全漏洞多、安全技术防范薄弱,易于被破解。再次,政府网站安全防护措施重视某些层面,缺乏应用层防护。
  3 提升网站安全的应对策略
  3.1 建立运转顺畅、协调有力、分工合理、责任明确的管理体制,提升我国网站信息安全工作的统筹协调能力
  网站信息安全建设是一项系统工程,需要运转顺畅、协调有力、分工合理、责任明确的网站信息安全管理体制和信息安全立法、投资的集中统一协调机制。应参照美国等发达国家加强网站信息安全统一和集中管理的具体做法,逐步建立健全统一的国家网站信息安全领导机构,统一管理我国网站信息安全。
  3.2 完善网站安全相关政策法规,营造良好政策环境
  继续完善信息安全法律体系,加快修订和制订包括个人隐私保护、政府信息安全条例等在内的网站安全相关法律法规,明确社会各方面的权利、责任和义务,保障基础信息网络和信息内容安全,维护广大网名的合法权益。加快建立信息发布审核登记制度、网站备份制度、账号使用登记和操作权限管理制度等多项网站安全相关的安全检查制度,对大面积采集和掌握用户信息、监控用户行为,以及收集国家基础数据、企业和组织重要商业数据等作出规定,明确应当承担的法律责任和义务,加强政府监管。
  3.3 提高网站安全投入,增强网站安全防护能力
  整合国家各部委资源,形成合力,联合推进具自主知识产权的信息安全产业生态体系发展;聚焦支持影响产业发展的安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品,实现信息安全产业关键技术和产品的技术突破;逐渐形成包含信息安全技术、产品、服务和标准等在内的我国信息安全产业生态体系,为网站安全奠定产业基础。
  对于网站运营单位来讲,也应该加强安全相关的投入,重点加强专业安全运维团队的建设。国内各网站和互联网企业都应该大幅提高信息安全支出在整体IT支出中的比例,一方面增加网站安全软硬件设备的投入,另一方面加强专业安全运维团队的建设,确保网站涉及的系统机器及其外设不遭受各种物理破坏以及网站有关系统及数据的完整性、保密性和可用性。
  3.4 加快建设网络主体身份认证服务体系,确保网络主体身份可信、行为可追溯
  网络主体身份真实、网络行为可追溯是解决网站钓鱼、网络交易欺诈等问题的根本。率先推动基于数字证书和信息比对两种方式的网站可信身份认证服务,对网站身份提供认证服务,确保网站身份真实、可靠,逐步杜绝假冒网站、钓鱼网站的出现。逐步推广个人、企业法人、设备等网络主体的身份证书,提供各网络主体的身份认证服务,确保其提供的身份真实、可信,其网络行为可追溯,避免网络交易欺诈现象发生。

相关热词搜索:我国 网站 安全形势

上一篇:基于GPRS家庭安防系统驱动模块的分析与设计
下一篇:试析网络协议分析软件在网络维护中的运用

分享到: function postToWb(){ var _t = encodeURI(document.title); var _url = encodeURIComponent(document.location); var _appkey = encodeURI("cba3558104094dbaa4148d8caa436a0b"); var _pic = encodeURI(''); var _site = ''; var _u = 'http://v.t.qq.com/share/share.php?url='+_url+'&appkey;='+_appkey+'&site;='+_site+'&pic;='+_pic+'&title;='+_t; window.open( _u,'', 'width=700, height=680, top=0, left=0, toolbar=no, menubar=no, scrollbars=no, location=yes, resizable=no, status=no' ); } document.write(' '); document.write(' '); document.write(' '); document.write(' '); document.write(' '); 收藏
相关论文
$(function(){ $(".picbig").each(function(i){ var cur = $(this).find('.img-wrap').eq(0); var w = cur.width(); var h = cur.height(); $(this).find('.img-wrap img').LoadImage(true, w, h,'http://www.beikangshu.com/statics/images/msg_img/loading.gif'); }); })