档案网站安全风险分析与应对

    梁惠卿

    摘 要:现有档案网站安全风险的讨论多为理论推演,少有实证分析。文章以网络攻击为例,通过对攻击类型、同一黑客使用攻击类型的数量、使用同一攻击类型的黑客数量、取样周期内网站受攻击的次数、一日内不同时段网站受攻击的次数等情况的统计分析,以翔实数据描述了一定时期内档案网站所面对的安全风险。简要介绍了一些有效易行的应对方法。

    关键词:档案网站;安全风险;网络攻击

    有关档案网站面临的安全风险,据对知网文献统计,2004年至今,已有194篇文献涉及或进行了不同程度的讨论。但这些讨论中的观点和论述多来自理论推演或引用他人文献,少有实证性分析。本文以河南档案信息网一个月所遭受到的网络攻击为例,对档案网站的安全风险做一些粗浅分析,并简要介绍一些应对之策。

    所谓网络攻击,指“计算机网络攻击”,即有关网络使用者利用一方网络存在的既定漏洞和安全缺陷对其网络系统和资源进行的入侵和破坏等行为。[1]

    1 样本来源及网站遭受攻击情况

    样本网站:河南档案信息网www.hada.gov.cn

    取样周期:2016年3月21日至2016年4月20日

    数据来源:河南档案信息网后台管理系统

    分析工具:excel

    网站遭受攻击的总量。从2016年3月21日至2016年4月20日,河南档案信息网共遭受到各种网络攻击83108次,日均2770次,时均115次,每分钟约2次。

    遭遇黑客(攻击IP)总数521个。每个黑客月均发起攻击160次,日均5次。

    攻击最多的IP为202.192.80.5(广东省广州市教育网广州大学)。

    攻击最高时段发生在2016年3月22日早上8时。具体情况见图1:

    2 网络攻击风险分析

    2.1 攻击类型。从遭受攻击的类型上看,共遭受到14种不同类型的攻击,见表1。这些攻击又可以分为注入攻击、webshell攻击和命令攻击3大类。

    2.2 同一攻击类型黑客人数量。每一种攻击类型的黑客各不相同。样本网站在取样周期内受到的83108次攻击,分别来自521个黑客。全部14种攻击类型平均每种62个。高于平均数的有4个类型,分别是SQL Injection,有392个,占所有黑客的45.27%。Code Injection Attack,有110个,占所有黑客的12.70%。Webshell BackDoor,有108个,占所有黑客的12.47%。Caidao webshell,有102个,占所有黑客的11.78%。

    SQL Injection攻击黑客数最多,有392个;Lanker webshell攻击黑客最少,只有3个,占所有黑客的0.35%;两者相差近100倍。其他攻击类型的情况是:Backup File Attack,有49个,占所有黑客的5.66%;Upload Webshell Attack,有31个,占所有黑客的3.58%;Lfi Attack,有21个,占所有黑客的2.42%;Xss Attack,有12个,占所有黑客的1.39%;Command Injection Attack,有11个,占所有黑客的1.27%;Infomation Leak Attack,有10个,占所有黑客的1.15%;System Command Attack,有7个,占所有黑客的0.81%;PHP Injection Attack有6个,占所有黑客的0.69%;Remote Injection Attack,有4个,占所有黑客的0.46%。使用率占比超过10%以上4种攻击类型是网站面临的主要网络攻击威胁。

    2.3 同一黑客使用攻击类型的数量。同一黑客使用的攻击手段的多少不一。同一黑客最多使用了12种攻击类型,只有1个IP(黑客)其地址为117.158.142.120(河南省移动)。使用11种攻击类型有2个IP(黑客),地址分别是222.138.139.251(河南省商丘市联通)和222.140.6.21(河南省许昌市联通),使用9种攻击类型有1个IP(黑客),地址是123.55.131.18(河南省开封市电信),使用8种攻击类型有1个IP(黑客),地址是125.45.93.195(河南省漯河市联通),使用7种攻击类型有1个IP(黑客),地址是115.238.55.18(浙江省杭州市电信),使用6种攻击类型有1个IP(黑客),地址是218.28.83.34(河南省信阳市联通)。

    使用5种攻击类型以上的共有10个,使用4种攻击类型以上的共有40个,只使用1种攻击类型的共有397个。绝大多数黑客使用的攻击类型不超过4种。

    使用5种及以上攻击类型的黑客虽然占比数量很少,但危害极大,是我们应当重点防范的对象。

    2.4 单日网站遭受攻击的次数。网站单日遭受攻击的次数多则数万次,少则百十次,差距巨大。取样周期内网站平均每日受到的网络攻击多达2770次。工作日遭攻击64230次,占比77.28%,日均2793;休息日遭攻击18878次,占比22.72%,日均2360。其中,工作日工作时段(8:00~18:00)所受到的网络攻击为29829次,占全部受攻击数的35.89%。无论是工作日,还是休息日,也无论在工作时段,还是非工作时段,平均遭攻击数差距不大。表明我们的休息日、休息时,黑客并不休息。从这个角度看,加强休息日、节日、假日及休息时段的管控非常之必要。

    2.5 同一域名遭受攻击的次数。从同一域名在取样周期内遭受攻击的次数看,河南档案信息网共有各级域名216个。共59个域名遭攻击,其中www.hada.gov.cn主域名遭到的攻击最多达75193次。2级域名中kf.hada.gov.cn遭攻击最多3134次。

    2.6 同一URL遭受攻击的次数。从同一URL在取样周期内遭受攻击的次数看,遭攻击的URL共有4894个。每个平均遭受攻击17个。具体情况限于篇幅不再赘述。

    3 应对方法

    综上,我们可以看到档案网站所面临的真实网络攻击,以及这些攻击带来的安全风险。面对这些风险有一些简便且有效的应对方法:

    首先,“技防”是应对网络攻击的最有效方法。通过购买使用性价比高的安全软件,及时升级网站安全系统。这里特别要强调“及时升级”,因为在实际工作中,有些机构虽然购买了很好的安全软件,但由于工作人员没有及时升级,导致安全软件没能处在最佳状态,从而导致对新的攻击缺少防护能力,使攻击得逞。

    其次,定时整理网络攻击数据,将危害程度高、频率高、攻击范围宽、非工作时段多发及域外IP(黑客)地址梳理出来。做到心中有数,重点加以应对与防范,通过人工及时处理。能屏蔽的加以屏蔽,不能屏蔽的(有些IP为学校等公共机构公用IP,不能屏蔽)加以特别关注。对新发现的固定IP(黑客),不仅要列入“黑名单”,还应及时“报告”相关机构。

    再次,工作时间内随时监控,发现攻击及时处理。非工作时间,要做好与工作时间衔接时的重点监控。尽可能实现每天上班前查看,下班前对当天已发现的攻击进行整理与处理。节假日利用移动设备加强监控,防止黑客的节假日攻击。

    最后,建立同行通报机制。及时的沟通与交流是应对变化多端的网络攻击的有效手段之一。

    参考文献:

    [1]李伯军.论网络战及战争法的适用问题[J].法学评论,2013(04):58~64.