近日,备受关注的山东准大学生徐玉玉遭电信诈骗后死亡案告破。 根据9月10日公安部公布的徐玉玉案诈骗细节,嫌疑人利用技术手段攻破“山东省2016高考网上报名信息系统”, 并在网站植入木马病毒,获取了网站后台登录权限,盗取了包括徐玉玉在内的大量考生报名信息。
根据公开报道信息,2011年至今,已有累计13亿条用户隐私信息因网站漏洞被泄漏。记者在采访中获悉,虽然信息泄漏事件愈演愈烈,但网站安全问题却被普遍漠视,很多企业明明知道自己被拖库,用户信息已被泄露,仍然采取“捂盖子”的方法,只要没有被曝光,就睁一只眼闭一只眼。
安全专家指出,无处不在的网站漏洞已经成为电信诈骗的帮凶。针对普遍存在的网站漏洞问题,我们亟需采取全方位防护措施,进行“立体防护”。
网站漏洞已成为电信诈骗帮凶
在徐玉玉案件中,黑客利用网站漏洞窃取了考生信息,这说明教育行业网站漏洞已经成为电信诈骗集团获取个人信息的帮凶。更令人担忧的是教育行业普遍存在的网站漏洞。根据360互联网安全中心发布的《中国互联网安全报告》:基于国内知名漏洞响应平台2015年收录的漏洞信息分析,在5995个网站漏洞中,教育培训行业被报漏洞1169个,排名居第二位。
与广泛存在的网站漏洞形成鲜明对比的是,相关部门对于网站漏洞问题的忽视。根据同一份报告,针对披露的网站漏洞,教育、能源、医疗卫生三个行业的修复情况不容乐观,修复率仅约为1.8%-3.4%之间。
一方面是广泛存在的网站漏洞,一方面是对网络漏洞的忽视或熟视无睹。这意味着今后还有可能发生更多“徐玉玉”事件。改善相关行业的网站安全意识,提升网站的防护水平显然已经迫在眉睫。
网站安全管理存在三大突出问题
随着互联网应用的普及,网站已经成为各级政府及其所属单位履行职能、面向社会提供服务的重要手段和渠道,在提高行政效能、提升公信力等方面发挥着重要作用。但与此同时,网站安全管理也存在非常严重的问题,基层党政机关、事业单位和国有企业网站众多,网站规模小且分散,安全监管和防护能力差。
据360网站安全事业部专家分析,网站安全问题突出表现在以下几个方面:
一是缺少对安全状况的监测,无法及时发现网站出现的安全状况,比如:网站漏洞、网页挂马、黑词黑链、网页篡改等等情况;
二是缺少对出现对以上安全状况的及时修复机制或者是无力修复;
三是缺少应急响应机制,发现了问题无法提供相应的应急响应,导致恶劣后果的进一步加大;
而以上各种状况出现之后,会引起各种无法预知的后果,比如信息泄露、财产损失、名誉破坏、甚至如徐玉玉事件的发生。
网站安全需要“立体防护”
面对黑客或黑客行为客观存在的现实,我们所能做的就是通过一些安全监控和防护手段来降低信息泄露的风险。
360网站安全事业部的专家表示,面对普遍存在的安全漏洞,对于网站安全需要“立体防护”,通过云端SaaS服务、硬件盒子的部署、人员安全意识培养、安全制度、监管制度的建立等方式,全面提升网站安全的防护能力。
首先是提升对于网站安全重要性的认识。数据泄露重则引起经济损失、名誉破坏,以及类似徐玉玉的安全事件。国家已经加强了信息泄露的问责处罚机制,网站管理者的安全意识需要同步提升。
从网站的开发与运营角度,网站管理者在开发阶段就需要利用代码检测工具,对第三方开发的网站进行网站源代码检查,确保网站开发符合安全流程,降低漏洞存在机率。
在网站运营期,网站管理者需部署必要的安全防护软件或接入云防护系统。根据其承载业务的重要性、普遍性、行业性等维度划分等级,建立基于等保而高于等保的安全标准及响应机制。对网站进行的24小时监测措施的工具,进行网站漏洞扫描、、网页挂马监测等监测,以应对黑客的入侵。
此外,针对一旦发现漏洞,能够有相应的应急处置机制和手段,确保漏洞得到及时修复,将数据泄露的风险降到最低。
本文转自d1net(转载)