政府网站纸糊的? 政务管理安全危机

互联网 | 编辑: 黄蔚 2007-06-22 09:30:00转载 返回原文

年轻的18岁黑客

一些存在安全漏洞的政府网站成了一试身手的黑客们的攻击对象。只用了几秒钟,随州市政府信息网便被18岁的王少伟攻陷了。这位年轻黑客的致命一击,使得随州市电子政务系统在2007年5月15日后的3天里彻底瘫痪。官方认定,王的黑客行为“在社会上造成较为严重的影响”。5月30日,王在呼和浩特市的家中被警方抓获。

王的供述让人吃惊。2006年以来,他先后攻击过2200多个境内外网站,其中攻击的内地网站有黑龙江信息网、随州市政府信息网、呼和浩特市人才网、呼和浩特市财政网等200多个网站,多数为政务网站。

在少年黑客眼中,内地网站漏洞太明显,大多没有入侵检测、身份认证、加密等系统,很容易攻击。

有舆论指出,王少伟一案再次暴露出中国许多政务网站安全管理和防范措施薄弱,极易遭到黑客攻击。

上网“百度”一下,关于政府网站被黑客袭击的案例比比皆是,这不禁让人疑惑:“我们的政府官网怎么了?”

孱弱的网站

“我们没有恶意地检测你们安全,但是看来我进来了,没有什么意思,只是提醒一下,欢迎来我的网站XXX,本人承接各种HK业务……岩子QQ:5656XXXX。”

6月6日这天,当35岁的衡阳市民李燕打开该市的保密局网站时,看到这样一段文字,她立即意识到,网站遭遇黑客了!

李并非第一位发现保密局网站被黑的市民。此前一天,一位叫“qiu751122”的网友,在红网论坛上发表了篇题为《真黑!衡阳多个市直部门网站遭人篡改首页?》的揪错帖,其中写道:“从去年看到今年,衡阳政府不少个市直部门网站首页被篡改,黑客的大段留言也一直悬挂在上面,不知为什么就是这些部门至今还没修复,实在忍不住啦,发一个截图让大家看看。”

这个图文并茂的帖子立即在论坛里掀起轩然大波,跟帖者无数。有网友称“这么差的技术搞啥保密工作呀”,也有网友说“这反映了政府部门工作作风懒散”。

系统管理员被戏耍

该帖很快引起湖南相关省厅官员的重视,6月8日,该网站已被修复。

6月10日凌晨5时39分,千里之外的西安古城。输入一组密码后,“周润发”成功入侵西安市新城区政府信息网后台,并在政府信息区《新城动态》栏目里私自发布一条标题为“我是周润发”的信息,言词颇为调侃:“小生路过。admin(指系统管理员)密码 太简单了。俺随便一试。挖晕,进入后台。by:无赖。”

据多位看到此黑客留言的网友称,在官网《新城动态》栏目里,“周润发”的这条信息排在首条,以下还有“韩森冢违法市场被彻底取缔”、“我区劳动监察大队开展劳动用工情况监督检查活动”、“我区开展流动人口集中清查验证工作”等内容。据了解,该栏目是新城区发布政府信息的专区,政府的主要工作、领导的主要活动都可以在该区了解到。

6月11日上午11时,已在网上挂了近三十个小时的黑客信息,终于从网页上消失。此前,已被近二十人次打开看过。

在黑客面前,政府的官网显得如此孱弱。一个更为极端的例子发生在2005年。这一年的12月17日,吉林市政府网站突遭黑客攻击,一度关闭。事发后,吉林警方如临大敌,公共信息网络安全监察处立即开始侦破,很快找到了入侵者的博客地址和QQ号码。

在这个博客中,存有吉林市人民政府网站原始管理员账号和密码,警方就此认定,这个博客的主人便是一名技法高超的黑客分子。

2006年4月的一天,警方辗转在大庆市找到这个博客的主人时,都大吃一惊,那竟是一名13岁的初二学生。他之所以研究破解出吉林市政府网站的管理员原始密码,是打算报复几位此前与他产生口角的网友,“将他们的名字写进政府网站,出出丑”,但后来并未这样做,于是暂时将破解的官网密码和账号放进了自己的博客中,“不想被人利用来攻击官网了”。

在此之前,这位少年网络高手曾入侵四川省某市教育网站,并在上面留言表示愿意帮助修补漏洞,后来他和该网站的管理员成为好朋友。

“随州一击”而“一举成名”的少年黑客王少伟曾坦言,他攻击的全部是动态网页,而不是静态网页。在他眼里,静态网页的防范能力太低。他每次选定要攻击的网站,都会把这个网站的主页进行保存,然后进行攻击,更换成他的黑客网页。攻击成功后,他还要在网页留下自己的3个QQ号码、一个MSN账号和个人主页,希望被攻击网站通过以上聊天工具与他联系,请他恢复网站。“但是,几乎没有人与我联系!”王少伟说。他认为,与境外网站比较,内地网站漏洞太明显,很容易攻击。

黑客攻击仍在继续

“质”与“量”

1999年1月,由中国国家经贸委和中国电信牵头,联合40多家部委倡议发起了“政府上网”工程,揭开了中国“政府上网”的帷幕,政府网站建设经历了第一个快速发展期。

2002年国家信息化领导小组提出了关于中国电子政务建设的指导意见,政府网站建设进入第二个快速发展期。

由中国国家信息中心组织编撰的2007年电子政务蓝皮书《中国电子政务发展报告NO.4》指出,到2006年底,中国各级政府网站平均拥有率达到85.6%。

郑州大学公共管理学院杨朝聚教授认为,政府网站是服务政府的窗口,也是提高服务质量的一个有益补充,在方便老百姓办事的同时,也为老百姓监督政府提供了一个阵地,因此,网上办公是大势所趋。

“数量是在增加,质量也需要跟着提高,否则也是白搭!”有网友如此说道。一位自称平时和政府信息网络部门有联系的网友“monsoon”说:“政府部门里懂计算机技术的人的确不多,科班出身的更少,除了公安、工商、税务、信息、规划、统计方面的,其他政府部门有很大一部分部门没专门的计算机管理人员,好多都是由稍为懂点计算机的人兼管。出现这种情况,原因是多方面的。说来说去,又得扯上体制了。网络这几年快速发展,所以,根据上面要求,大多的部门都建立了自己的网站。好多网站只是把网站搭建起来了,有限的资金都用在了服务器等方面,在网络安全方面花的钱很少,甚至没有。网站建立时安全性就差,计算机技术发展又快,安全性方面的漏洞越来越多,自然政府部门被黑的网站也很多。”

电子政务之危

网友“qiu751122”在帖子里说:“衡阳政府门户网站上有不少死链接的问题,至今尚未修正。”为了能充分证明衡阳政府不少市直部门网站的纰漏,网友“qiu751122”还在帖子中指出,“衡阳反腐网上,有6个栏目,整个网站,竟然只有三篇文章”。

很快,红网网友掀起了对各自所在市州县政府网站的揪错热潮。

有网友指出益阳政府门户网站上,左下角是死链接,“还有,益阳劳动社会保障局网站怎么指向了一个全英文的外国网站?”还有网友指出,湘潭政府网右上角市委、市人大、市政府的地方点不开,也是死链接。政府网站存在这么多粗陋之处,从一个层面正好说明了为什么它会成为黑客刀下的鱼肉。

被攻击数量与日俱增

据国家计算机网络应急技术处理协调中心的一项统计数据,去年发生在国内的篡改网站事件达24000多次,其中1/5攻击的对象是政府网站。在今年4月召开的“2007中国计算机网络安全应急年会”上,国家计算机网络应急技术处理协调中心副总工程师杜跃进博士表示,频频发生的黑客攻击政府网站,已对电子政务构成严重威胁。

“服务意识不强,责任意识自然也不会好到哪里去,被‘黑’也是情理之中。网站用来充门面,这是一些地方政府网站的通病。”长期从事网站建设工作的郑州市科技市场网络部经理陈工兵说。

“其实,来自黑客的很多网络袭击都是可以防御的,我们应该未雨绸缪。”南京大学计算机科学与技术系教授王崇峻说,100%的安全是不可能存在的,黑客的出击没有固定时间点和规律性可循,偶发性和随意性较大,这就要求政府网站平日做好足够的应急预案,并形成体系化运作,如此可以将损失减少到最低,将黑客的攻击在第一时间化解。保证市民正常享受政府提供的网络服务。

“强身健体”防黑客

“建好一个网站不容易,少说也要投入几万元。据不完全统计,中国在电子政务建设上的投入很有可能突破2000亿元,花了那么多钱办网站,如果形同虚设,怎么向人民群众、向国家交代呢?”

郑州大学计算机应用研究所的一名教授说。

去年,“全国电子政务工作座谈会”召开,会议提出了“十一五”电子政务建设的目标。该目标明确提出,“到2010年,政府门户网站成为政府信息公开的重要渠道,50%以上的行政许可项目能够实现在线处理”。值得注意的是,这是所有目标中唯一一个给出具体量化的指标。在这样的目标牵引下,可以预见,新一轮的政府门户网站将在未来3年内拉开大幕。

如何从根本上避免被黑客轻易攻陷呢?有专家认为,政府官方网站需要“强身健体”。

北京大学计算机科学研究所研究员郭宗明介绍说,现在的政府网站基本可以分为三类:第一类是中央政府的门户网站,中央各部委(局办)网站;第二类是地方政府门户网站;第三类则是地方政府职能部门网站。不同的政府门户网站建设的主体大不一样,有的是主管信息的部门主管,有的是政府办公厅(室)主管。

“中国上海”政府门户网孙松涛主任认为,“国家应该尽快在中央和各级政府成立集中的管理部门,统一实现对电子政务规划发展、建设、管理运行和绩效考核等职能。而安全问题可从三个方面解决:一是从管理方面,建立政府网站网络安全管理机构,随时对网站安全进行监测;二是从技术方面,对门户网站的安全进行总体的设计规划;三是从制度方面,国家和地方要建立相关的网站安全标准及安全管理制度。”

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑