近日，兩名大學生黑客侵入沈陽某高校的教學管理系統篡改考試成績，幫助16名掛科學生順利“及格”，并以此手段賺取了13.7萬元。
 
對這一罕見的黑客入侵案，遼寧省沈陽經濟技術開發區人民法院一審以破壞計算機信息系統罪，對兩名被告人判處緩刑。
 
近年來，隨著互聯網技術的發展，網絡安全預防力度在不斷增加，但學校、機關、公司等單位的網絡防護系統似乎仍極為薄弱，很容易受到黑客的攻擊。
 
對此，中科院軟件研究所信息安全國家重點實驗室研究員林東岱對表示：“機構網絡系統安全的核心是風險管理。”
 
黑客和反黑客間的較量
 
該實驗室主任馮登國告訴記者，在沈陽高校教學管理系統被入侵一案中，最突出的問題應是網站安全，這也是目前關注度較高的問題。
 
據了解，針對網站的攻擊種類繁多，包括拒絕服務攻擊、網頁掛馬、網頁篡改等。其中，網頁篡改是一種最為常見的攻擊。數據顯示，僅2010年，中國內地共有近3.5萬家網站被黑客篡改。
 
同時，由僵尸主機消耗目標網站帶寬實現的拒絕服務攻擊也可造成目標網站癱瘓，網頁掛馬則能在所有訪問目標網站的機器中植入木馬。
 
另外，病毒、木馬、蠕蟲等惡意代碼的傳播也對網站安全帶來威脅。“這類攻擊實現的目標差異較大，可用來竊取用戶賬戶、搜集數據和遠程控制等。”馮登國說。
 
“魔高一尺，道高一丈”常被用于形容黑客技術和反黑客技術之間的較量。
 
為對付各種網絡攻擊，殺毒軟件、入侵檢測系統、防火墻、漏洞掃描系統等防范措施每天都在更新。
 
但是，林東岱指出，所有防守手段都不能從根本上杜絕網絡攻擊。
 
馮登國也表示：“由于攻擊技術不斷發展，目前仍沒有一個萬全之策。”
 
對于從技術上保障機構網絡安全，馮登國建議，應對網站的實現代碼進行相關的安全測評并加強日常維護。“比如，檢測是否存在典型的跨站腳本、SQL注入等安全漏洞，及時對相關系統和軟件打補丁。”
 
代價巨大的安全
 
去年12月， CSDN、多玩、世紀佳緣、走秀等多家網站的用戶數據庫被曝光在網絡上。
 
這一被稱作“密碼泄密門”的事件再次引發公眾對網絡安全的擔憂，許多網民不得不更改密碼來保證個人隱私的安全。
 
一直以來，涉及個人隱私的網絡安全事件成為公眾關注的焦點。與之相比，機構網絡安全似乎坐在“冷板凳”上。
 
不過，隨著網絡技術應用越來越廣泛，類似侵入學校教學管理系統篡改成績的案例也越來越多。
 
那么，對于機構管理者而言，是否應為保證信息安全采用更為先進的技術？
 
林東岱說，對于機構網絡系統而言，并非采取越高級的技術越好。“安全技術都是有代價的，涉及國家機密、銀行金融數據等信息價值較高的安全防護，往往受到管理者的重視。”
 
他認為，花10塊錢保證1塊錢安全的做法是不劃算的。顯然，沈陽大學生黑客的涉案金額遠遠小于金融機構被攻擊帶來的損失。
 
而就在今年1月，高達670萬美元的金額在南非郵政銀行遭入侵后丟失。
 
對此，林東岱認為，應當用風險管理的思路來處理機構網絡安全的問題。“主要應當從管理方面提高安全。”他說。
 
馮登國也建議：“管理上應做到權責清晰，對網絡管理人員、網絡用戶、不同設備的使用者、不同應用系統的訪問都要做到權限最小化。同時，用戶的安全意識也應不斷加強。”