“網站漏洞”成電信詐騙幫兇 專家呼籲進行“立體防護”

近日，備受關注的山東準大學生徐玉玉遭電信詐騙後死亡案告破。 根據9月10日公安部公布的徐玉玉案詐騙細節，嫌疑人利用技術手段攻破“山東省2016聯考網上報名資訊系統”， 并在網站植入木馬病毒，擷取了網站背景登入權限，盜取了包括徐玉玉在内的大量考生報名資訊。

根據公開報道資訊，2011年至今，已有累計13億條使用者隐私資訊因網站漏洞被洩漏。記者在采訪中獲悉，雖然資訊洩漏事件愈演愈烈，但網站安全問題卻被普遍漠視，很多企業明明知道自己被拖庫，使用者資訊已被洩露，仍然采取“捂蓋子”的方法，隻要沒有被曝光，就睜一隻眼閉一隻眼。

安全專家指出，無處不在的網站漏洞已經成為電信詐騙的幫兇。針對普遍存在的網站漏洞問題，我們亟需采取全方位防護措施，進行“立體防護”。

網站漏洞已成為電信詐騙幫兇

在徐玉玉案件中，黑客利用網站漏洞竊取了考生資訊，這說明教育行業網站漏洞已經成為電信詐騙集團擷取個人資訊的幫兇。更令人擔憂的是教育行業普遍存在的網站漏洞。根據360網際網路安全中心釋出的《中國網際網路安全報告》：基于國内知名漏洞響應平台2015年收錄的漏洞資訊分析，在5995個網站漏洞中，教育教育訓練行業被報漏洞1169個，排名居第二位。

與廣泛存在的網站漏洞形成鮮明對比的是，相關部門對于網站漏洞問題的忽視。根據同一份報告，針對披露的網站漏洞，教育、能源、醫療衛生三個行業的修複情況不容樂觀，修複率僅約為1.8%-3.4%之間。

一方面是廣泛存在的網站漏洞，一方面是對網絡漏洞的忽視或熟視無睹。這意味着今後還有可能發生更多“徐玉玉”事件。改善相關行業的網站安全意識，提升網站的防護水準顯然已經迫在眉睫。

網站安全管理存在三大突出問題

随着網際網路應用的普及，網站已經成為各級政府及其所屬機關履行職能、面向社會提供服務的重要手段和管道，在提高行政效能、提升公信力等方面發揮着重要作用。但與此同時，網站安全管理也存在非常嚴重的問題，基層黨政機關、事業機關和國有企業網站衆多，網站規模小且分散，安全監管和防護能力差。

據360網站安全事業部專家分析，網站安全問題突出表現在以下幾個方面：

一是缺少對安全狀況的監測，無法及時發現網站出現的安全狀況，比如：網站漏洞、網頁挂馬、黑詞黑鍊、網頁篡改等等情況;

二是缺少對出現對以上安全狀況的及時修複機制或者是無力修複;

三是缺少應急響應機制，發現了問題無法提供相應的應急響應，導緻惡劣後果的進一步加大;

而以上各種狀況出現之後，會引起各種無法預知的後果，比如資訊洩露、财産損失、名譽破壞、甚至如徐玉玉事件的發生。

網站安全需要“立體防護”

面對黑客或黑客行為客觀存在的現實，我們所能做的就是通過一些安全監控和防護手段來降低資訊洩露的風險。

360網站安全事業部的專家表示，面對普遍存在的安全漏洞，對于網站安全需要“立體防護”，通過雲端saas服務、硬體盒子的部署、人員安全意識培養、安全制度、監管制度的建立等方式，全面提升網站安全的防護能力。

首先是提升對于網站安全重要性的認識。資料洩露重則引起經濟損失、名譽破壞，以及類似徐玉玉的安全事件。國家已經加強了資訊洩露的問責處罰機制，網站管理者的安全意識需要同步提升。

從網站的開發與營運角度，網站管理者在開發階段就需要利用代碼檢測工具，對第三方開發的網站進行網站源代碼檢查，確定網站開發符合安全流程，降低漏洞存在機率。

在網站營運期，網站管理者需部署必要的安全防護軟體或接入雲防護系統。根據其承載業務的重要性、普遍性、行業性等次元劃分等級，建立基于等保而高于等保的安全标準及響應機制。對網站進行的24小時監測措施的工具，進行網站漏洞掃描、、網頁挂馬監測等監測，以應對黑客的入侵。

此外，針對一旦發現漏洞，能夠有相應的應急處置機制和手段，確定漏洞得到及時修複，将資料洩露的風險降到最低。

本文轉自d1net（轉載）