境外黑客組織篡改政務網站的事件分析

0 引言

隨著政務信息化的發展，各級政府單位均建立了自己的互聯網網站，并借助網站進行信息公開和業務辦理等工作，這在一定程度上提高了政府的服務效率和水平，與此同時政務網站面臨的風險也越來越大，針對政務網站的攻擊層出不窮，在各類攻擊中以網站篡改事件最為典型。以北京市為例，2014年全年北京市政務信息安全監控預警系統監控發現政務網站篡改事件37起，高居網站攻擊類事件之首。

在政務網站篡改事件中，又以境外黑客組織對國內政務網站的篡改事件影響最為惡劣，這些黑客組織通常在政務網站上張貼反動言論，辱罵我國政府，造成極壞的影響。浮出水面的黑客組織有“匿名者”、“反共黑客”、“阿爾及利亞Barbaros-DZ”等，這些組織頻繁攻擊我國政務網站，以“反共黑客”組織為例，從 2012年4月至2014年12月31日共篡改我國網站330個，其中政務網站177個，占到一半以上，比例最高。

圖1 “反共黑客”組織篡改網站分類統計

在177個政務網站中，北京市所屬政務網站有7個，我中心作為北京市政務信息安全應急隊伍，參與處置了其中的4起事件。本文以“反共黑客”為例，對境外組織篡改我國政務網站的事件進行分析和防護探討。

1 事件分析

“反共黑客”組織的活動很有周期性，每周攻擊兩三個網站，除此之外，在其他方面也有很多共同的特點，下面就以北京市7次政務網站篡改事件為例進行分析。

從幾次事件看，“反共黑客”組織通常篡改網站上的圖片，并在圖片上增加辱罵黨和政府的言論，這種圖片式的篡改方式，很難通過自動化網站檢測手段確認，必須人工去核實，給事件的發現和確認帶來一定難度。篡改圖片上的言論常與當前的敏感事件或時期有關，如事件G張貼的內容與當時正在召開的四中全會有關，從篡改時間上看，篡改均發生在夜里8點到10點，給事件的發現和處置帶來了一定困難。

“反共黑客”組織能持續發布攻擊案例，說明其已經掌握了中國境內大量網站的漏洞，可能采用了預先植入后門等手段控制了一些網站服務器以備使用，后面的分析也會印證這一點。

表2 “反共黑客”篡改北京市政務網站事件分析表

下面就從幾個方面對4起事件進行分析。

（1）從攻擊途徑上看，攻擊者通常利用網站漏洞發布和修復的時間差，上傳網站后門以控制網站服務器，并在一段時間后的某個敏感時期利用后門實施網站篡改，篡改后刪除日志等攻擊痕跡。以事件A、B、C為例，在Apache Struts2漏洞公布后，攻擊者利用被攻擊網站漏洞修復前的短暫時間實施攻擊上傳后門，并在此后某個敏感時期實施篡改。事件A中攻擊者在7月20日利用漏洞上傳后門；而網站修復漏洞的時間是7月24日，即4天以后；事件C中攻擊者在7月22日上傳后門，兩天后網站才修復漏洞；事件B時間差更短，攻擊者在7月22日下午上傳后門，而網站漏洞修復時間是7月22日晚上，中間僅相差3至4個小時時間。從這些例子可以看出政務網站在網站漏洞方面存在的兩個突出問題，一是漏洞修復周期長，在幾個事件中最早修復此漏洞的網站是7月22日，即5天以后；二是修復漏洞后不對網站進行安全檢查，幾個事件中大部分網站均在幾天后修復了漏洞，但修復后未進行網站安全檢查，未能對已經存在的網站后門進行檢查和清除，這也是網站被篡改的重要原因之一。

（2）網站日志方面，4起事件中3家網站日志放在同一臺服務器上，且未做任何保護或備份措施，攻擊者實施篡改攻擊后立即刪除日志記錄，導致事發后無法追查。另一家網站做了日志備份，但按周進行備份，備份周期過長，事發后亟需的近幾天日志被刪除，無法進一步追查。這些都暴露出政務網站在網站日志保護方面存在的問題。

（3）從應用部署上看，事件B和事件E受攻擊服務器上部署了多個應用。事件E中攻擊者利用同臺服務器上其他應用存在的漏洞上傳后門，并對受害網站實施篡改。這說明某些政務網站在應用部署上未能進行合理的切分。

（4）從攻擊時間和來源看，網站被篡改的時間均在晚上 8點至10點，能看到的攻擊來源均來自美國和加拿大，根據時差，攻擊者當地時間應該在上午7點至9點。因攻擊來源數據較少未做進一步統計分析。

2 防護建議

政務網站安全防護是一個系統性的工作，需要政府主管部門、具體責任單位、相應技術支撐機構、其他級別政府機構以及社會技術力量共同參與，形成有機的防護體系。

（1）政務信息安全主管部門

政務信息安全主管部門加大政務網站安全的監督檢查力度，督促相關單位提高信息安全意識，加大網站安全投入。對做的好的單位要有獎勵措施，另一方面對屢次發生問題的單位也要有相應的懲罰措施，獎懲并舉督促各單位做好網站安全工作。

督促配合相關部門出臺法律或規定，從法律上明確各類網絡攻擊的量刑標準及處罰措施，規范網絡空間的秩序；加強國家與國家，國家與地方的合作，聯合打擊來自國內外的攻擊者，并通過技術手段不斷清理攻擊者控制的攻擊主機。

（2）政務信息安全技術支撐機構

從技術上指導具體責任單位做好網站安全的應對工作，對篡改事件進行全生命周期管理，做好事件的檢測預警，事件的及時發現和處置，事件的恢復和總結等各個階段的工作。另一方面聯合社會技術力量，整合社會資源共同應對網站安全問題。

（3）具體責任單位

加強所屬政務網站的安全管理，制定相應管理制度，明確網站安全的責任。提高相關管理、運維人員的安全意識，并通過培訓、技術交流等手段提高人員的安全事件應對能力。

技術上，分離不同應用，根據應用的需求和安全級別進行切分，不同應用部署在不同系統中，避免不同應用互相影響；及時修復漏洞，接收到漏洞信息后立即修復漏洞，并在修復漏洞的同時對網站及所在服務器進行安全檢查，及時發現和清除存在的后門等惡意程序；做好日志的安全存儲工作，網站日志及時進行備份，網站日志與網站應隔離存儲，提高日志的安全性。