■本报见习记者 甘晓
近日,两名大学生黑客侵入沈阳某高校的教学管理系统篡改考试成绩,帮助16名挂科学生顺利“及格”,并以此手段赚取了13.7万元。
对这一罕见的黑客入侵案,辽宁省沈阳经济技术开发区人民法院一审以破坏计算机信息系统罪,对两名被告人判处缓刑。
近年来,随着互联网技术的发展,网络安全预防力度在不断增加,但学校、机关、公司等单位的网络防护系统似乎仍极为薄弱,很容易受到黑客的攻击。
对此,中科院软件研究所信息安全国家重点实验室研究员林东岱对《中国科学报》表示:“机构网络系统安全的核心是风险管理。”
黑客和反黑客间的较量
该实验室主任冯登国告诉记者,在沈阳高校教学管理系统被入侵一案中,最突出的问题应是网站安全,这也是目前关注度较高的问题。
据了解,针对网站的攻击种类繁多,包括拒绝服务攻击、网页挂马、网页篡改等。其中,网页篡改是一种最为常见的攻击。数据显示,仅2010年,中国内地共有近3.5万家网站被黑客篡改。
同时,由僵尸主机消耗目标网站带宽实现的拒绝服务攻击也可造成目标网站瘫痪,网页挂马则能在所有访问目标网站的机器中植入木马。
另外,病毒、木马、蠕虫等恶意代码的传播也对网站安全带来威胁。“这类攻击实现的目标差异较大,可用来窃取用户账户、搜集数据和远程控制等。”冯登国说。
“魔高一尺,道高一丈”常被用于形容黑客技术和反黑客技术之间的较量。
为对付各种网络攻击,杀毒软件、入侵检测系统、防火墙、漏洞扫描系统等防范措施每天都在更新。
但是,林东岱指出,所有防守手段都不能从根本上杜绝网络攻击。
冯登国也表示:“由于攻击技术不断发展,目前仍没有一个万全之策。”
对于从技术上保障机构网络安全,冯登国建议,应对网站的实现代码进行相关的安全测评并加强日常维护。“比如,检测是否存在典型的跨站脚本、SQL注入等安全漏洞,及时对相关系统和软件打补丁。”
代价巨大的安全
去年12月, CSDN、多玩、世纪佳缘、走秀等多家网站的用户数据库被曝光在网络上。
这一被称作“密码泄密门”的事件再次引发公众对网络安全的担忧,许多网民不得不更改密码来保证个人隐私的安全。
一直以来,涉及个人隐私的网络安全事件成为公众关注的焦点。与之相比,机构网络安全似乎坐在“冷板凳”上。
不过,随着网络技术应用越来越广泛,类似侵入学校教学管理系统篡改成绩的案例也越来越多。
那么,对于机构管理者而言,是否应为保证信息安全采用更为先进的技术?
林东岱告诉《中国科学报》,对于机构网络系统而言,并非采取越高级的技术越好。“安全技术都是有代价的,涉及国家机密、银行金融数据等信息价值较高的安全防护,往往受到管理者的重视。”
他认为,花10块钱保证1块钱安全的做法是不划算的。显然,沈阳大学生黑客的涉案金额远远小于金融机构被攻击带来的损失。
而就在今年1月,高达670万美元的金额在南非邮政银行遭入侵后丢失。
对此,林东岱认为,应当用风险管理的思路来处理机构网络安全的问题。“主要应当从管理方面提高安全。”他说。
冯登国也建议:“管理上应做到权责清晰,对网络管理人员、网络用户、不同设备的使用者、不同应用系统的访问都要做到权限最小化。同时,用户的安全意识也应不断加强。”
《中国科学报》 (2012-03-10 B1 综合)