作者: 王虎 吴凡   

党的十七大已经来临，在此期间各个组织、机构的外网、内网的网站、Web服务的安全不容忽视。一些别有用心的人往往选择这个时期发动攻击，以期达到制造事端、扩大影响的目的；甚至有些敏感单位的Web服务被攻击不光产生经济损失，更重要的是会产生严重的政治影响，给本部门、本单位甚至国家的声誉造成恶劣影响，因此，十七大期间网站安全建设不容忽视。

一、上半年网络安全状况概述

根据CNCERT/CC今年上半年接收和处理的网络安全事件统计可以看出，目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。半年时间内，CNCERT/CC 接收的网络仿冒事件和网页恶意代码事件，已分别超出去年全年总数的14.6%和12.5%。内地地区被植入木马的主机IP 远远超过去年全年，增幅达21 倍；内地被篡改网站数量比去年同期增加了4 倍，比去年全年增加了近16%。

从CNCERT/CC 掌握的上半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻击手段，且攻击行为趋利化特点表现明显。

对政府类和安全管理相关类网站主要采用篡改网页的攻击形式，以达到泄愤和炫耀的目的，也不排除放置恶意代码的可能，导致政府类网站可能存在安全隐患。

对中小企业，尤其是以网络为核心业务的企业，采用有组织的分布式拒绝服务攻击（DDoS）攻击等手段进行勒索，从而迫使企业接受相应条件，影响企业正常业务的开展。

对于个人用户，攻击者更多的是通过用户身份窃取等手段，偷取该用户游戏账号、银行账号、密码等，窃取用户的私有财产。如利用网络钓鱼（Phishing）和网址嫁接（Pharming）等对金融机构、网上交易等站点进行网络仿冒，在线盗用用户身份和密码；通过恶意网页、社交工程、电子邮件和信息系统漏洞等方式传播恶意代码；利用间谍软件（spyware）和木马程序窃取用户的私有信息，严重的可导致财产损失。

上半年我国内地被植入木马的主机数量大幅攀升的现象，反映出国内网络安全状况中木马产业链的猖獗，是泄密、网银账号被窃事件频发的重要原因。

二、近期各机构Web服务出现的问题

首先让我们关注近期的几起网站运维事件，都是和网站运营维护有关的。

1.某国内著名门户网站首页被挂马事件

6 月14 日，某国内著名门户网站首页于6月14 日凌晨被“挂马”（页面被嵌入恶意代码）数小时。CNCERT/CC 接到报告后，立即对事件进行了监测，发现包含该网站在内的国内多个网站，在6 月15 日凌晨再次被挂马数小时，而且被挂马网站均将用户访问跳转到http://6688.89111.cn/m42.htm，导致用户从域名89111.cn 之下多个恶意链接中下载恶意代码。CNCERT/CC 立即联系被挂马的重要网站，告知其事件有关的详细情况和分析，建议其做好安全防范工作。与此同时，因 89111.cn 域名注册人所登记的信息及联系方式都是虚假信息，CNCERT/CC 与域名注册单位取得联系，得到对方的积极支持和快速响应，按照国家有关规定关闭了该恶意域名。

2.北京联众遭分布式拒绝服务攻击

在CNCERT/CC 的协助与支持下，北京市网监处成功破获北京联众公司遭受分布式拒绝服务攻击案。5 月11 日，北京联众公司向北京市网监处报案称：该公司自4 月26日以来，托管在上海、石家庄IDC 机房的13 台服务器分别遭受到大流量的DDoS 拒绝服务攻击，攻击一直从4 月26 日持续到5 月5 日，其攻击最高流量达到瞬时700M/s，致使服务器全部瘫痪，在此服务器上运行的其经营的网络游戏被迫停止服务，经初步估算经济损失为3460 万人民币。在CNCERT/CC 的支持与配合下，北京市网监处成功获取了犯罪团伙实施DDoS 攻击的证据，并及时将4 名犯罪嫌疑人一举抓获。

除此之外，还有一些民间组织、机构报告的安全事件，以下列举几个：

8月9日云网主站点不可访问，据分析可能和遭受黑客攻击有关。

8月15到16日，国内某大型银行的个人银行服务出现故障。据说是“由于15日是存款利息税下调、系统升级改造、新基金发行和拆分、养老金和工资的发放等业务集中所致”，真正原因未透漏。

国内某大型网上购书网的官方网站数据库账户泄漏事件。令人感到震惊的是程序出错页面里面甚至把数据库连接串和密码都打印出来了，该网使用的是 SQL Server。

8月11日，某国内网络安全组织发现中国某大型家电企业官方网站被挂上了木马，经过一系列的协调和处理，终于解决。

如上的例子还有很多，网站的运维是个高精度、高复杂度的事情，机器不能解决一切问题。当然类似的事情也不止国内有，Facebook 也出现了源代码泄漏事故。