檔案網站安全風險分析與應對

梁惠卿

摘 要：現有檔案網站安全風險的討論多為理論推演，少有實證分析。文章以網絡攻擊為例，通過對攻擊類型、同一黑客使用攻擊類型的數量、使用同一攻擊類型的黑客數量、取樣周期內網站受攻擊的次數、一日內不同時段網站受攻擊的次數等情況的統計分析，以翔實數據描述了一定時期內檔案網站所面對的安全風險。簡要介紹了一些有效易行的應對方法。

關鍵詞：檔案網站；安全風險；網絡攻擊

有關檔案網站面臨的安全風險，據對知網文獻統計，2004年至今，已有194篇文獻涉及或進行了不同程度的討論。但這些討論中的觀點和論述多來自理論推演或引用他人文獻，少有實證性分析。本文以河南檔案信息網一個月所遭受到的網絡攻擊為例，對檔案網站的安全風險做一些粗淺分析，并簡要介紹一些應對之策。

所謂網絡攻擊，指“計算機網絡攻擊”，即有關網絡使用者利用一方網絡存在的既定漏洞和安全缺陷對其網絡系統和資源進行的入侵和破壞等行為。[1]

1 樣本來源及網站遭受攻擊情況

樣本網站：河南檔案信息網www.hada.gov.cn

取樣周期：2016年3月21日至2016年4月20日

數據來源：河南檔案信息網后臺管理系統

分析工具：excel

網站遭受攻擊的總量。從2016年3月21日至2016年4月20日，河南檔案信息網共遭受到各種網絡攻擊83108次，日均2770次，時均115次，每分鐘約2次。

遭遇黑客（攻擊IP）總數521個。每個黑客月均發起攻擊160次，日均5次。

攻擊最多的IP為202.192.80.5（廣東省廣州市教育網廣州大學）。

攻擊最高時段發生在2016年3月22日早上8時。具體情況見圖1：

2 網絡攻擊風險分析

2.1 攻擊類型。從遭受攻擊的類型上看，共遭受到14種不同類型的攻擊，見表1。這些攻擊又可以分為注入攻擊、webshell攻擊和命令攻擊3大類。

2.2 同一攻擊類型黑客人數量。每一種攻擊類型的黑客各不相同。樣本網站在取樣周期內受到的83108次攻擊，分別來自521個黑客。全部14種攻擊類型平均每種62個。高于平均數的有4個類型，分別是SQL Injection，有392個，占所有黑客的45.27%。Code Injection Attack，有110個，占所有黑客的12.70%。Webshell BackDoor，有108個，占所有黑客的12.47%。Caidao webshell，有102個，占所有黑客的11.78%。

SQL Injection攻擊黑客數最多，有392個；Lanker webshell攻擊黑客最少，只有3個，占所有黑客的0.35%；兩者相差近100倍。其他攻擊類型的情況是：Backup File Attack，有49個，占所有黑客的5.66%；Upload Webshell Attack，有31個，占所有黑客的3.58%；Lfi Attack，有21個，占所有黑客的2.42%；Xss Attack，有12個，占所有黑客的1.39%；Command Injection Attack，有11個，占所有黑客的1.27%；Infomation Leak Attack，有10個，占所有黑客的1.15%；System Command Attack，有7個，占所有黑客的0.81%；PHP Injection Attack有6個，占所有黑客的0.69%；Remote Injection Attack，有4個，占所有黑客的0.46%。使用率占比超過10%以上4種攻擊類型是網站面臨的主要網絡攻擊威脅。

2.3 同一黑客使用攻擊類型的數量。同一黑客使用的攻擊手段的多少不一。同一黑客最多使用了12種攻擊類型，只有1個IP（黑客）其地址為117.158.142.120（河南省移動）。使用11種攻擊類型有2個IP（黑客），地址分別是222.138.139.251（河南省商丘市聯通）和222.140.6.21（河南省許昌市聯通），使用9種攻擊類型有1個IP（黑客），地址是123.55.131.18（河南省開封市電信），使用8種攻擊類型有1個IP（黑客），地址是125.45.93.195（河南省漯河市聯通），使用7種攻擊類型有1個IP（黑客），地址是115.238.55.18（浙江省杭州市電信），使用6種攻擊類型有1個IP（黑客），地址是218.28.83.34（河南省信陽市聯通）。

使用5種攻擊類型以上的共有10個，使用4種攻擊類型以上的共有40個，只使用1種攻擊類型的共有397個。絕大多數黑客使用的攻擊類型不超過4種。

使用5種及以上攻擊類型的黑客雖然占比數量很少，但危害極大，是我們應當重點防范的對象。

2.4 單日網站遭受攻擊的次數。網站單日遭受攻擊的次數多則數萬次，少則百十次，差距巨大。取樣周期內網站平均每日受到的網絡攻擊多達2770次。工作日遭攻擊64230次，占比77.28%，日均2793；休息日遭攻擊18878次，占比22.72%，日均2360。其中，工作日工作時段（8：00～18：00）所受到的網絡攻擊為29829次，占全部受攻擊數的35.89%。無論是工作日，還是休息日，也無論在工作時段，還是非工作時段，平均遭攻擊數差距不大。表明我們的休息日、休息時，黑客并不休息。從這個角度看，加強休息日、節日、假日及休息時段的管控非常之必要。

2.5 同一域名遭受攻擊的次數。從同一域名在取樣周期內遭受攻擊的次數看，河南檔案信息網共有各級域名216個。共59個域名遭攻擊，其中www.hada.gov.cn主域名遭到的攻擊最多達75193次。2級域名中kf.hada.gov.cn遭攻擊最多3134次。

2.6 同一URL遭受攻擊的次數。從同一URL在取樣周期內遭受攻擊的次數看，遭攻擊的URL共有4894個。每個平均遭受攻擊17個。具體情況限于篇幅不再贅述。

3 應對方法

綜上，我們可以看到檔案網站所面臨的真實網絡攻擊，以及這些攻擊帶來的安全風險。面對這些風險有一些簡便且有效的應對方法：

首先，“技防”是應對網絡攻擊的最有效方法。通過購買使用性價比高的安全軟件，及時升級網站安全系統。這里特別要強調“及時升級”，因為在實際工作中，有些機構雖然購買了很好的安全軟件，但由于工作人員沒有及時升級，導致安全軟件沒能處在最佳狀態，從而導致對新的攻擊缺少防護能力，使攻擊得逞。

其次，定時整理網絡攻擊數據，將危害程度高、頻率高、攻擊范圍寬、非工作時段多發及域外IP（黑客）地址梳理出來。做到心中有數，重點加以應對與防范，通過人工及時處理。能屏蔽的加以屏蔽，不能屏蔽的（有些IP為學校等公共機構公用IP，不能屏蔽）加以特別關注。對新發現的固定IP（黑客），不僅要列入“黑名單”，還應及時“報告”相關機構。

再次，工作時間內隨時監控，發現攻擊及時處理。非工作時間，要做好與工作時間銜接時的重點監控。盡可能實現每天上班前查看，下班前對當天已發現的攻擊進行整理與處理。節假日利用移動設備加強監控，防止黑客的節假日攻擊。

最后，建立同行通報機制。及時的溝通與交流是應對變化多端的網絡攻擊的有效手段之一。

參考文獻：

[1]李伯軍.論網絡戰及戰爭法的適用問題[J].法學評論，2013（04）：58～64.