3/4中小企业网站有安全漏洞 黑客向企业索要保护费
随着网络的逐渐普及,近年来,越来越多的中小企业建立了自己的网站。然而,由于资金、技术等原因,不少中小企业网站存在安全隐患,这就给黑客留下了可乘之机。一些中小企业网站被黑客植入了木马自己却还蒙在鼓里,少数嚣张的黑客甚至直接篡改网页,或是增加非法链接,更有甚者,利用黑客技术明目张胆地敲诈中小企业。
昨日,江西省计算机用户协会向记者透露,保守估计我省有四分之三中小企业网站存在安全隐患,不少中小企业网站都已经被黑客盯上,被黑克入侵的中小企业网站成逐年上升的趋势。相关专家呼吁,提高中小企业网站的安全性已刻不容缓。
从政府转向中小企业
“我是黑客,你抓不到我。”2007年1月,托管在南昌市信息中心的某政府网站被黑客攻击,黑客很嚣张地留下了这句话。
据江西省计算机用户协会统计数据显示,2006年,江西被黑客攻入网站、篡改网页的案件就达到57起。江西省计算机用户协会秘书长刘斌告诉记者,2006年,我省被黑客攻击的网站九成是政府网站,但是随着政府网站越来越重视网络安全,现在黑客逐渐把目标转向了中小企业。
我省每年有多少中小企业网站被黑客攻击呢?刘斌告诉记者,很难统计出具体的数字。由于担心公司形象被损害等原因,大多数中小企业受到了黑客攻击之后,都是忍气吞声。更令人担忧的是,很多中小企业被黑客攻击了自己却仍然毫不知情。
“一般来说,黑客侵入了中小企业网站之后,都不会破坏网页,而是潜伏在里面,从事盗取商业机密等行为。这就相当于在网站上埋下了一颗定时炸弹,黑客随时都可以将炸弹引爆,让整个网络瘫痪。”刘斌如是说道。
嚣张黑客
明目张胆敲诈企业
据刘斌介绍,除了植入木马盗取商业机密以外,“黑客”攻击手段和目的还有多种:一是增加非法页面、链接或上传非法标识;二是通过其行为,让该网站无法正常运行,然后进行敲诈勒索,这种事情目前还不多,但是有逐年上升的趋势;三是所谓的“红客”行为,他们寻求网络漏洞,发出善意的提醒信息;四是“恶搞”行为,一些未成年人或是在校学生为显示其电脑技术,找到网站的漏洞,在网站上植入木马程序,以便自己随意进出,他们攻击网站,一般只为炫耀自己的技术和增强自己的满足感。
“事实上,大多数黑客的目的都是金钱。有的黑客先是控制了企业的网站或者关键数据,然后把自己的银行账号发给对方,明目张胆地进行敲诈;或者先集中攻击企业的防火墙或网站漏洞,再上门推销自己的所谓‘安全产品’。有时,企业为了求得一时安宁,不得不给对方一笔‘保护费’。”刘斌说道。
“托管网站”
成黑客入侵首选对象
记者了解到,目前,我国有三分之二网站采用的是国外操作系统,只有三分之一采用的是国内操作系统。国外操作系统存在很多安全漏洞,如果不采取严格的防范措施,百分之百都会被侵入。而且,已经建站的企业有四分之三都是请网络公司制作网站,租用网络公司的服务器。“这样不直接管理服务器的‘托管网站’,由于其防止黑客攻击的能力较弱,往往成为黑客勒索的‘首选’。”
据介绍,“托管”是指用户将自己的计算机系统及相关网络设备,委托给拥有机房、带宽等资源的服务商处进行管理。刘斌说,近年来,随着Web2.0概念的流行,带动了大批中小网站的崛起。目前很多的个人网站、中小企业网站均采用这种托管方式,提供服务器的主要有中国网通等几家大公司。由于不直接管理服务器,这种网站一般防止黑客攻击的能力较弱;缺乏相应的防护手段和措施。
刘斌告诉记者,那些攻击网站、实施诈骗的黑客,首先要挑选出那些“值得攻击”的网站,“值得”的指标如人气旺、流量大、在业内具有一定知名度等;选定目标后,研究该网站的漏洞所在,制定攻击策略,发动攻击。通常,这种攻击并不需要很高的技术。
网站制作公司
对“防黑”闪烁其词
为了了解网络公司为企业建站的安全性等情况,昨日下午,记者以某家具公司负责人的名义,联系了专门为中小企业和个人制作网站的北京狼烟网络科技有限公司江西代理商(以下简称“狼烟网络”)。
在“狼烟网络”网站上记者发现,该公司制作的网页分为基础版、专业版、高级版等三种。其中,高级版空间大小为1000MB,价格为1680元/年。该公司一位徐姓工作人员告诉记者,高级版网站具有电子商务等功能,同时,他们也可以为公司制作个性化网站,收费为2500元/年。无论客户选择什么版本,他们都会免费赠送空间域名,并且免费让客户挂靠公司的服务器,而且,会免费教客户进行网站日常维护。“只要一两个工作日就可以学会,很简单。”该工作人员说道。
“如果网站遇到了黑客攻击怎么办呢?”当记者表示特别担心网站的安全性时,该工作人员表示,他们做的网站绝对安全,已经有不少企业在他们公司做了网站。然而,几分钟后该工作人员又补充说道:“如果被黑了,可以为你们重新制作网页。”自始至终,该工作人员都没有告诉记者怎么去防范黑客攻击,只是含糊地表示,协议里会有相关说明。
部分网络公司
摇身一变成黑客
一位不肯透露姓名的计算机专家告诉记者,建网站对于普通中小企业仍属外行领域,而企业由于对域名注册、网站存储空间、网站后台管理系统开发、前台网页的设计、后期维护等概念不了解,非常容易掉到个别建站公司的陷阱里。
据介绍,在企业建站市场,目前主流方式包括传统手工建站,以及模版化自助建站两种形式。对技术普遍存在畏惧心理的中小企业之前大多选择传统手工建站方式,此方式的优点在于可以提供个性化服务,但由于对IT不了解,市场价格的不透明性,企业客户要承担被建站公司的“专业化”所蒙蔽的风险;同时,市场上逐渐开始流行的一些自助建站产品也同样无法满足企业需求,这类方式虽然有价格优势,但使用起来却不够方便,令大多数中小企业客户望而却步。
“请网络公司制作网站,一定要记得不要把公司的一些核心数据告诉网络公司。”该专家特别提醒道,一些网络公司帮中小企业做好网站后,马上又化身黑客侵入网站。
■相关点评
我省企业网站重建设轻维护
江西省计算机用户协会有关专家认为,造成中小企业网站遭攻击很大一方面是由于疏于管理,网站和信息系统漏洞较多,软件补丁更新不及时,防病毒软件部署不规范,甚至有些使用单机版、盗版防病毒软件,系统没有安全审计和日志留存功能,导致易受黑客攻击。多数企业网站都没有安装有害信息自动发现报警和过滤封堵安全管理软件,没有防篡改和网页恢复功能。
据介绍,目前,江西大多数中小企业网站都还停留在展示产品及公司信息的阶段,实现了电子商务、电子支付的还比较少。一些企业追求时髦建立了网站之后,很少对网站进行日常维护,往往一两个星期都不更新一次。即使请了人来专门维护,请的人也不一定很专业。网站被“黑客”攻击后,一些中小企业只是简单地修改密码或重装系统,却没有找出真正的漏洞所在。目前,“黑客”的入侵程序和手段每日更新,中小企业网站的维护人员很难跟上潮流,进行防范。
为了抵御黑客,中小企业就必须自行配置防火墙、黑洞及备份等重要软硬件防护设施,或者聘请专业的维护人员。因此,中小企业就必须在网站上加大投入,而资金之困,往往成为中小企业抵御黑客的首要难题。据江西省计算机用户协会相关专家介绍,目前已经有防网页篡改技术,但这种技术需要花费近20万元。(
