近日，備受關注的山東準大學生徐玉玉遭電信詐騙后死亡案告破。 根據9月10日公安部公布的徐玉玉案詐騙細節，嫌疑人利用技術手段攻破“山東省2016高考網上報名信息系統”， 并在網站植入木馬病毒，獲取了網站后臺登錄權限，盜取了包括徐玉玉在內的大量考生報名信息。

根據公開報道信息，2011年至今，已有累計13億條用戶隱私信息因網站漏洞被泄漏。記者在采訪中獲悉，雖然信息泄漏事件愈演愈烈，但網站安全問題卻被普遍漠視，很多企業明明知道自己被拖庫，用戶信息已被泄露，仍然采取“捂蓋子”的方法，只要沒有被曝光，就睜一只眼閉一只眼。

安全專家指出，無處不在的網站漏洞已經成為電信詐騙的幫兇。針對普遍存在的網站漏洞問題，我們亟需采取全方位防護措施，進行“立體防護”。

網站漏洞已成為電信詐騙幫兇

在徐玉玉案件中，黑客利用網站漏洞竊取了考生信息，這說明教育行業網站漏洞已經成為電信詐騙集團獲取個人信息的幫兇。更令人擔憂的是教育行業普遍存在的網站漏洞。根據360互聯網安全中心發布的《中國互聯網安全報告》：基于國內知名漏洞響應平臺2015年收錄的漏洞信息分析，在5995個網站漏洞中，教育培訓行業被報漏洞1169個，排名居第二位。

與廣泛存在的網站漏洞形成鮮明對比的是，相關部門對于網站漏洞問題的忽視。根據同一份報告，針對披露的網站漏洞，教育、能源、醫療衛生三個行業的修復情況不容樂觀，修復率僅約為1.8%-3.4%之間。

一方面是廣泛存在的網站漏洞，一方面是對網絡漏洞的忽視或熟視無睹。這意味著今后還有可能發生更多“徐玉玉”事件。改善相關行業的網站安全意識，提升網站的防護水平顯然已經迫在眉睫。

網站安全管理存在三大突出問題

隨著互聯網應用的普及，網站已經成為各級政府及其所屬單位履行職能、面向社會提供服務的重要手段和渠道，在提高行政效能、提升公信力等方面發揮著重要作用。但與此同時，網站安全管理也存在非常嚴重的問題，基層黨政機關、事業單位和國有企業網站眾多，網站規模小且分散，安全監管和防護能力差。

據360網站安全事業部專家分析，網站安全問題突出表現在以下幾個方面：

一是缺少對安全狀況的監測，無法及時發現網站出現的安全狀況，比如：網站漏洞、網頁掛馬、黑詞黑鏈、網頁篡改等等情況;

二是缺少對出現對以上安全狀況的及時修復機制或者是無力修復;

三是缺少應急響應機制，發現了問題無法提供相應的應急響應，導致惡劣后果的進一步加大;

而以上各種狀況出現之后，會引起各種無法預知的后果，比如信息泄露、財產損失、名譽破壞、甚至如徐玉玉事件的發生。

網站安全需要“立體防護”

面對黑客或黑客行為客觀存在的現實，我們所能做的就是通過一些安全監控和防護手段來降低信息泄露的風險。

360網站安全事業部的專家表示，面對普遍存在的安全漏洞，對于網站安全需要“立體防護”，通過云端SaaS服務、硬件盒子的部署、人員安全意識培養、安全制度、監管制度的建立等方式，全面提升網站安全的防護能力。

首先是提升對于網站安全重要性的認識。數據泄露重則引起經濟損失、名譽破壞，以及類似徐玉玉的安全事件。國家已經加強了信息泄露的問責處罰機制，網站管理者的安全意識需要同步提升。

從網站的開發與運營角度，網站管理者在開發階段就需要利用代碼檢測工具，對第三方開發的網站進行網站源代碼檢查，確保網站開發符合安全流程，降低漏洞存在機率。

在網站運營期，網站管理者需部署必要的安全防護軟件或接入云防護系統。根據其承載業務的重要性、普遍性、行業性等維度劃分等級，建立基于等保而高于等保的安全標準及響應機制。對網站進行的24小時監測措施的工具，進行網站漏洞掃描、、網頁掛馬監測等監測，以應對黑客的入侵。

此外，針對一旦發現漏洞，能夠有相應的應急處置機制和手段，確保漏洞得到及時修復，將數據泄露的風險降到最低。