Chinadu's Blog

如今内部人员给公司的安全造成的威胁非同小可。近来的一些报告指出，内部人员对公司的损害在 所有的危害事件中已从80%上升为86%,而且超过半数发生在雇员的终端。无疑，拥有访问公司系统权限的内部雇员极有可能被误导到那些欺诈性的或危险的链 接上。而在所有的雇员中，IT工作人员拥有的这种访问权限最多。因此，IT审核应关注从多个方面确认风险。下面我们给出实施有关控制和减少工作人员对管理 员欺诈的方法。

1.IT安全策略

管理人员应该审视那些能够管理特权账户（如域管理员账户、应用程序管理员账户、数据 库管理员）的IT安全策略，要保障安全策略的存在，还要清楚存取访问是如何被处理、验证、证明的，要确保对这些策略定期进行审查。否则，基本上就不存在管 理特权访问的基础了。在没有相关报告的情况下，管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题：口令何时更新、更新失败有 哪些，以及在一个共享账户下，个别用户如何执行任务等等。

制定的策略应具有这样的目标：能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任，从而与IT的安全策略、方法以及与其角色相适应的相关指导等。

阅读全文...

出处:比特网

刚开始看到这个题目可能可能很多人都会产生不解，究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
　　做信息安全的人都知道风险评估，而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题，只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估，而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法，也不谈什么方法好，什么方法不好，因为风险评估工作各家有各家的做法，各人有个人的理解，不同的项目、不同的客户也存在不同的情况，所以针对具体情况选择合适的风险评估方法，化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。

1、风险评估的第一的误区

　　同一套方法，这在很多人看来是没什么奇怪的，我们在项目中做风险评估最关注的几个问题是，一方面，要尽量有效全面的评估出风险，并根据风险制定有效的控制，这是从评估的实用性和为客户带来效果的角度(即项目质量)来说的;另一方面我们还要保证项目的进度，常做评估的人都知道风险评估在资产识别阶段不能做的太细，避免做成CMDB，就是为了控制项目的进度。

　　每家公司或每个人可能都会有一套做信息资产风险评估的最佳放法论，这套方法论通常是多年实践积累、改进而来或从哪里直接借鉴过来的，而通常去给客户做风险的评估的时候也都是拿着这套所谓的最佳实践去做的(尤其是新手居多)。但这就忽略了一个问题，每个客户的实际情况是不同的，项目范围也是不同的，其信息资产的分布和管理方式、以及客户实际的配合力度以及客户是否需要通过认证的情况都是不一样的。在实际实施过程中可能会遇到，客户原本的资产管理就很混乱，缺少集中或统一了解和管理资产的人，人员对资产的熟悉情况太分散，评估的结果是否要与等保和安全域结合，客户是否有充分的人员和时间配合你工作等等情况。

　　因此如果不能够很好的根据客户选择评估的方法有时是会影响项目实施的。所以我们需要根据客户的具体情况适当调整我们评估的方法和实施方式，比如，我们是选择按部门划分评估，还是按资产分类评估，还是按系统分组来评估，资产分类的粒度要到什么程度。也就是说我们可能同时要掌握不只一套风险评估的操作方法，或者说同样的方法不能一成不变的应用到每个项目。当然如果大家不接受我的这个观点恐怕看接下来的内容也意义不大了。

2、前期沟通的重要性

　　这个问题关系到项目售前和项目经理之间的交流，以及最初项目计划的制定工作阶段。

　　我们都知道做风险评估的首要工作就是要明确风险评估的范围，即不能做小了(不全面，反应不了整体情况)，也不能做大了(做了不该做的，影响实施进度)。因此在项目洽谈的初期涉及到制定项目计划的时候就要考虑到这个问题了。首先应当与客户沟通清楚究竟哪些人员、部门或哪些公司要做评估，同时要更详细的了解或预估出在这个范围内可能个会涉及到多少的信息资产，大约需要多大的工作量和多少工时，然后再制定实施计划。千万不能只是初略的约定了哪个哪个部门或哪个哪个公司，就根据自己以往的经验制定计划了，不同客户的人员数量和资产范围那都是不一样的，切戒范经验主义错误。如果等到人员进场之后再去和客户确定这个问题，这时候一旦实际情况超出预计，你的实施计划已经制定好了，再去修改改就比较麻烦了。

　　所以前期的沟通交流一定要做的细致，千万不能马虎，售前与项目经理之间也要做好沟通和交流，尽量不要一味的为了打单子而忽略的后期实施过程中的风险。当然这个问题不单针对风险评估，所有与项目实施相关的工作在前期都应做好工作量的预估。

3、注意与其他标准的结合

　　有的时候在某些项目中我们做完信息资产的风险评估之后可能还要做等级保护实施、信息安全规划或安全域划分等工作，这时候在选择或制定风险评估方法就要注意与这些工作的对应或关联。以结合等级保护或安全域为例，通常这种情况我们使用以资产类别进行划分资产，按照一类资产进行风险评估的方法就不是很适用，因问它不能很好的反映出系统层面的重要性。这时我们可以考虑使用按系统进行资产分组，对系统资产组进行风险评估的方法，这样的操作也能为我们后期进行等级保护或安全域的划分提供帮助。

　　但在采用这种按系统评估的方法时需要注意一些问题。1、系统资产组价值与等保系统级别之间的对应关系，比如我们资产价值打分从1-5或1-3，那么如何对应到等级保护的1-4级别，可能就需要做一些映射关系。2、由于按系统评估评估的方法中对资产的识别粒度相对较细，因此切忌不要陷入CMDB的风险中，只要把系统相关的每个资产需要参与评估的信息识别出来就可以了，千万不要搞的太细了，把什么IP地址或系统间访问关系都搞出来了。(当然不是说这些东西没有用，如果后期做安全域划分还是有用的)但一定牢记根据项目的要求调整评估的方法，否则将影响项目进度。

4、分值与精确度的设计

　　对于分值和精确度的选择我想有经验的顾问都有自己的看法，我这里的建议主要希望为刚接触风险评估的人提供一些帮助。

　　现在主流的风险评估方法都会不同程度的使用数字打分的方式，有1-3的，也有1-5的，不管怎么打分其目的都是为了区分出资产价值的重要程度，明确资产风险的重要性，所以只要你的方法论合理，1-3还是1-5都没有什么区别，我认为都可以，只是1-3分级较粗可能更适合资产少、规模较小的客户，而1-5 分级较细，适合资产多、规模较大的客户。

　　当我们做完资产CIA打分和风险影响、概率打分之后通常都会使用公式计算出资产的价值或风险值，这里我要说明一点的就是对于这个计算出来的分值我们应当尽量保留1位小数(个人感觉保留2位用处不是很大)，由于资产数量众多时，保留整数的分值可能会出现许多同分的情况，为了便于我们后期的分析和整理工作，建议最好先保留1位小数这样重复的概率会降低很多，有利于我们对于资产和风险排序，也让结果变得更加精细。

5、客户规模与评估方法的选择

　　我们公司现在常用的风险评估方法主要有2种，一种是根据不同的部门，按资产分类进行识别，在资产类别层面进行风险评估;另一种是按系统或资产分组的方式划分，对资产组(或系统)进行分类识别，然后针对资产组(或系统)层面进行风险评估。这2种方法可以说是各有利弊。

　　通过在多个项目中分别使用这2种不同的评估方法，我个人感觉第一种方法操作起来相对简单，实施过程较快，而且客户易于掌握和理解，花费时间较短，但最后评估出来的结果实用性较差，需要进行更加细致的风险汇总、归纳和风险分析。第二种方法操作相对复杂，对顾

美国国家标准局（ANSI）和互联网安全联盟（ISA）日前联合发布了一片白皮书 - 网络风险产生的财务影响 -每个CFO都应该问的50个问题。白皮书强调了网络空间的安全对于美国国家和社会经济组织的重大意义。文中认为如何评估认识安全空间的安全风险在组织的财务上面的影响是一个又挑战性的工作。这本白皮书用以帮助CFO来了解和沟通网络空间安全的财务影响。

下面是白皮书中的50个问题，分别针对首席律师(Chief Legal Counsel), 合规性官员(compliance officer), 业务运营和技术团队，外部沟通和危机管理团队，以及公司保险的风险经理。如果对全文感兴趣，请留邮件。

CHAPTER 1
KEY QUESTIONS FOR YOUR CHIEF LEGAL COUNSEL
1.1 Have we analyzed our cyber liabilities?
1.2 What legal rules apply to the information that we maintain or that is kept by vendors, partners and other third parties?
1.3 Have we assessed the potential that we might be named in class action lawsuits?
1.4 Have we assessed the potential for shareholder suits?
1.5 Have we assessed our legal exposure to governmental investigations?
1.6 Have we assessed our exposure to suits by our customers and suppliers?
1.7 Have we protected our company in contracts with vendors?
1.8 What laws apply in different states and countries in which we conduct business?
1.9 Have we assessed our exposure to theft of our trade secrets?
1.10 What can we do to mitigate our legal exposure and how often do we conduct an analysis of it?

CHAPTER 2
KEY QUESTIONS FOR YOUR COMPLIANCE OFFICER
2.1 Have we inventoried what regulations we must comply with?
2.2 Do we understand what regulated data we have, where it exists and in what format?
2.3 Are there valid business reasons for collecting the data, if not required by regulations?
2.4 How do we track and monitor compliance on an ongoing basis?
2.5 Do we have regulatory risk with vendors / companies we do business with?
2.6 Are all of our procedures and policies with respect to our regulatory obligations documented?
2.7 Are there (regulatory) requirements we can or have considered opting out of?
2.8 Are there processes and procedures in place regarding data retention and data destruction?
2.9 Does the organization have processes to review and update privacy policies and disclaimers to customers?
2.10 Are we complying with what our privacy policy says?

CHAPTER 3
KEY QUESTIONS FOR YOUR BUSINESS OPERATIONS AND TECHNOLOGY TEAMS
3.1 What is our biggest single vulnerability from a technology or security point of view?
3.2 How vulnerable are we to attack on the confidentiality, integrity and availability of our data and systems?
3.3 If our system goes down, how long until we are back up and running and are there circumstances where we do NOT want to be back up

quickly?
3.4 Where do we stand with respect to any information security/technology frameworks or standards that apply to us?
3.5 Do we have the proper staffing to reasonably maintain and safeguard our most important assets and processes?
3.6 What is the assessment of physical security controls at each of our sites (data center, home office, field offices, and other sites?)
3.7. How prepared are our incident response and business continuity plans?
3.8 What is our risk exposure of technology or business operations failures at our vendors and service providers?
3.9 What is the maturity of our information classification and management program?
3.10 How often are we re-evaluating our technical exposures?

CHAPTER 4
KEY QUESTIONS FOR YOUR EXTERNAL COMMUNICATIONS AND CRISIS MANAGEMENT TEAMS
4.1 Do we fully understand the overall financial impact of mishandling communications with our key stakeholders following a cyber security

event?
4.2 Have we evaluated the appropriate communication responses to our key stakeholders?
4.3 Do we have a documented, proactive crisis communications plan?
4.4 Have we identified and trained all of the internal resources required to execute the communications plan?
4.5 Do we have a template timeline for executing the communications plan?
4.6 Do we have contacts at specialist crisis communications firms if we need their services?
4.7 In the case of a cyber security event involving personally identifiable information (PII), do we have a system in place to quickly

determine who should be notified, and how?
4.8 Have we considered that, depending on the situation, we may need to craft different messages for different types or levels of clients or

employees?
4.9 Have we implemented improvements as a result of an actual execution (real or mock) of the plan?
4.10 Have we budgeted for a cyber security event?

CHAPTER 5
KEY QUESTIONS FOR YOUR RISK MANAGER FOR CORPORATE INSURANCE
5.1 Doesn’t the company already have insurance coverage for this?
5.2 What does cyber risk insurance cover?
5.3 What types of cyber security events are covered by this insurance and how are our insured losses measured?
5.4 Does the policy specifically cover identity theft issues?
5.5 Is there a Directors’ & Officers’ exposure if we do not purchase the cover?
5.6 Where do we find an insurance broker who can assist in evaluating whether we need this type of insurance?
5.7 How do we know what insurance carrier to consider with respects to this insurance?
5.8 Have there been losses in this area?
5.9 What does a policy cost?
5.10 What are the other benefits of our purchasing a specific cyber risk insurance policy?

　　随着Internet 网的发展，企业上网在我国也成了一种趋势，虽然企业上网的原因各种各样，有的是政府行为，有的是企业自发的行为，但是不可否认的是几年来企业上网的层次也有所变化。在 Internet发展的初期阶段，企业上网的含义指的是企业有自己的主页，但很快人们发现这种层次对企业深层次的环节如生产、销售、营销并没有什么太大的促进作用，于是企业慢慢地过渡到比较高的层次，建立自己的网站与局域网，并且与 Internet连接，使企业的上下游伙伴及驻地机构、办事处都能实时了解企业的信息，即过渡到了电子商务的初级阶段。企业内部网也打开了通往 Internet的一个窗口，企业在享受 Internet带来的好处的同时，也面临着一定程序的风险，因为 Internet上存在很多的危险。
　　互联网上的危险
　　互联网上存在着各种各样的危险，这种危险要能是恶意的，也可能是非恶意的，如因失误而造成的事故；恶意的危险又分为理智型的 ( 如故意偷取企业机密) 和非理智型的( 如毁坏企业的数据) 。总的说来，比较典型的危险主要包括如下几个方面：
　　1、 软硬件设计故障导致网络瘫痪。
　　如防火墙意外瘫痪而导致失效，以致安全设置形同虚设；由于内外部人员同时访问导致服务器负载过大以致死机、严重者导致数据丢失等等；
　　2、 黑客入侵。
　　一些不坏好意的人强行闯入企业网实施破坏；冒充合法的用户进行企业网内部，偷盗企业机密信息和破坏企业形象等等；
　　3、 敏感信息泄露。
　　企业内部的敏感信息被入侵者偷看，导致这种状况的有几种原因，如寻径错误的电子邮件、配置错误的访问控制列表，没有严格地设置好不同用户的访问权限等等；
　　4、 信息删除。
　　有时网管员对安全权限设置不当，导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等等。
　　也就说互联网上的危险不仅来自于外面，而且有时也来自于内部。虽然在互联网上存在不同程度的危险，但为了企业的业务发展，很多企业不得不把企业的内部网联入互联网，向雇员提供互联网的访问。
　　美国可以说是比较注重网络安全的国家之一，但是根据 IDG 公司的调查报告表明，在所有被调查的公司中，进行常规性安全检查的公司还不到一半，只有 30% 的公司具有跟踪用户访问的能力， 1/3 的公司使用加密技术，其中有60 家左右的公司在三个月内遭受到142 次入侵。美国尚且如此，我们国家的企业网安全现状如何呢？笔者今年年初在北京参加一次安全会议时，有一安全专家对我国企业网的安全状况用“确实应该引起我们警觉”来概括。
　　危险产生的原因
　　互联网之所以存在危险的因素，这主要因为互联网本身存在安全漏洞。互联网在设计之初，根本就没想到会发展到今天这个地步，当时认为互联网只是在比较小的范围内使用，在设计互联网 TCP/IP 协议时，主要考虑的是数据的共享，把数据安全忽略掉了。这就如盖一座楼房地基都没有打好，自然而然危险在当初就种下了，对于危险产生的原因主要有下面几条：
　　1、 不同厂商不同标准的产品集成在网络中引起配置的复杂性。具体说来就是网络安全控制由于各种各样的硬件产品与软件产品的加入使安全配置变得异常复杂， 很容易出现配置错误或失误，以致会导致未经授权的访问；
　　2、 缺乏相应的总体考虑。有些网络在进行系统配置时，无意识地扩大了互联网的访问范围，没有意识到某些互联网服务会被滥用，许多企业网所允许的访问服务类型过多，不能对一些可能会对入侵者有所帮助的网络信息加以访问限制；
　　3、 TCP/IP 协议本身固有的缺陷。如前所述， TCP/IP 本身具有一些缺陷，在设计之初就不是太安全，一些有经验的黑客很容易利用 TCP/IP 的缺陷攻击企业网；
　　4、 大部分的数据没有加密。企业数据在传递的过程中很少有加密的，现在有很多现成的软件都能对此进行半路拦截。
　　上面的四条是主要的四个原因，当然还有其它的原因。知道了不安全的原因，那么我们在考虑企业网安全方案时就有了一个目标，有意识地针对产生危险的原因来设计企业网安全方案。
　　当然在设计企业网安全方案时，不能只从纯技术的角度去考虑，也要考虑到现实情况。今年 8 月份全国召开了一个全融行业网络安全会议，一位曾到德国访问的国内某省行行长讲了这样一件事：他到德国某家银行访问考察他们的网络安全时，发现了有一个漏洞，这个漏洞不是容易发现，他就问这个德国银行的行长为什么不想办法堵住这个漏洞，这个德国银行行长说的话让我们深思不已：这只是一个小小的漏洞，即使别人利用这个漏洞，银行损失也不过几百马克，但是要堵住这个漏洞我们可能要化几百万马克，我有必要堵住这个漏洞吗？所以在考虑设计企业网络安全方案时，要以实际情况而定，不能形而上学。 设计企业网安全方案时要考虑到的问题
　　在设计企业网安全方案之前，需要制定一套完整有效的安全策略。一般情况下，制订安全策略从以下两个方面考虑：网络服务访问策略、防火墙设计策略。
　　所谓网络服务访问策略，就是根据企业的具体业务，明确确定哪些互联网服务要被禁止，哪些互联网服务可以开放。
　　在考虑网络服务访问策略时，要考虑非常细致，否则的话稍不注意，就会留下后患。如我们不想让某个企业网用户使用 Telnet 服务访问互联网，虽然在防火墙上进行了设置，但是有些用户还是可以采用拨号连接获得这项服务。
　　网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也应起到全局的作用，从文件安全到病毒扫描程序，从远程访问到移动存储介质的跟踪等都要考虑到，也就是说网络服务策略一定要具有现实性与完整性，现实性保证在降低网络风险和为用户提供合理的网络资源之间做出一个大家都能接收的平衡，否则的话可能会遭到企业内部用户的抵制，这样以来可能会导致达不到应有的效果。
　　对于防火墙设计策略的制订，在制订之前要充分知道上面的列出的一些危险以及产生危险的原因。从当前来看防火墙的安全策略有以下两种极端情况：
　　1、 除非明确禁止，否则允许。这是一种比较宽松的防火墙安全策略；
　　2、 除非明确允许，否则禁止。这是一种极其严格的防火墙安全策略；
　　当前现实中的防火墙安全策略都以此作为两个极限点，作了不同程度的折衷。至于依据什么进行折衷，下面风险评估会对此有一个详细的说明。总而言之，防火墙是否满足企业网的安全需要，取决于网络安全设计人员能否恰如其分地把握好这个平衡。
　　如何评估风险
　　在制订企业网的安全策略之前，要对企业的实际风险做一个尽可能准确的评估，否则的话就会出现或者本来企业网需要的安全级别高，结果为了省钱，选了一个安全性能不是很高的防火墙；或者本来企业网需要的安全级别不是很高，结果花了相当多的钱买了一个安全性能极高的防火墙，浪费了投资，所以一定要

据本人查证,上海电信在近一个月内对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用上海电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事故在以前曾听过有类似的传言,而以前我个人并未碰到,所以并不在意,但如今我是天天被114这个破烂页面骚扰,于是也不得不仔细找找原因了.

首先解释一下什么是DNS劫持。严格来说上海电信的这种行为不能算是DNS劫持，但似乎除了这个名词也没有更适合的词来形容这种行为了，所以就需要解释一下DNS劫持的来龙去脉，免得有人说我误导初学者。
DNS 劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一目标域名的解析记录控制权，进而修改此域名的解析结果，通过此修改将对此域名的访问由原先的 IP地址转入到自己指定的IP，从而实现窃取资料或者破坏原有正常服务的目的。举个例子，例如 www.sohu.com 原指向1.1.1.1，这个 IP是sohu正常服务的服务器IP。而某黑人拿到了修改 sohu.com 域名解析的权利，将其解析记录修改为2.2.2.2，则修改后对于 www.sohu.com 的访问都会指向2.2.2.2这个IP。此黑人在2.2.2.2这个他自己所有的IP上放了一个完全仿冒的sohu主页，只是将登陆sohu邮箱的这个界面改为把客户填写的邮箱名和密码记录下来。这样普通客户访问 www.sohu.com 时看到的是表面为sohu主页，而实际为假冒页面的李鬼了。此时客户如果继续登陆其sohu邮箱，则其帐户就被黑人拿到了。

回到主题---有关上海电信的DNS劫持行为。在我发现近期浏览网页出现异常的这段时间里，我注意搜索了一下关于这方面的讨论，发现上海电信的这种不道德行为确实是存在的，只是我以前恰好没有入套而已。根据我搜索来的资料，在06年下半年的时间里，上海电信实现了通过IE浏览器搜索功能来推送电信的114 搜索。其具体原理是与IE本身的实现相关。简单来说，IE对于输入的网址，如果无法正常解析其域名或者输入的根本就不是域名的话，会调用它自身定义的搜索引擎来搜索这个地址。这个搜索引擎，默认是MSN（在之前是3721，但06年微软终止了与3721的合同，所以是MSN）。所以此时地址会转向 http://auto.search.msn.com。上海电信为了将这部分流量导入自己的怀里，做了2种小动作：
•第一是在他们的星空XX拨号软件里，只要安装这个软件，就会修改注册表将IE的搜索引擎改为 http://search.114.vnet.cn ，于是这些流量被导入到114，此做法尚可忍受，因为毕竟软件是可以选择的，而修改也是可以改回来的。
•第二就是DNS劫持了，这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在上海电信的几个DNS服务器中作手脚，将对auto.search.msn.com这个域名解析的应答篡改为他们自己的IP地址，这是很容易查出来的：
首先看由Root服务器下来的权威结果，我们用DNSStuff这个在线网站测试，URL为 http://www.dnsstuff.com/tools/lookup.ch?name=auto.search.msn.com&type=A ，可以看到如下结果：

Response:

Domain Type Class TTL Answer
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.38
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.16

NOTE: One or more CNAMEs were encountered. auto.search.msn.com is really a134.g.akamai.net.6528acf.1.cn.akamaitech.net. [auto.search.msn.com->sea.search.msn.com->sea.search.msn.com.nsatc.net->
search.msn.com.edgesuite.net->a134.g.akamai.net->
a134.g.akamai.net.6528acf.1.cn.akamaitech.net]

再来看我们使用了上海热线DNS所解析出来的结果，我这里用BIND提供的dig工具来取结果：

# dig @202.96.209.5 A auto.search.msn.com

; < <>> DiG 9.2.4 < <>> @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

;; QUESTION SECTION:
;auto.search.msn.com. IN A

;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194

;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.

;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133

;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236

可以看到auto.search.msn.com被解析到了218.30.64.194这个IP，这显然是不对的，而本应属于微软的msn域名的NS记录竟然为5个上海热线的域名服务器，很明显猫腻就在这里了。
那我们就顺便查查218.30.64.194这个IP的所有，通过IP whois信息库，查询方法也是通过方便至极的DNSStuff，URL如下： http://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194 ，摘录一下结果：

WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com
Location: China [City: Shenzhen, Guangdong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

很明显这个IP是中国电信的，而msn的域名就是这样被强奸到了中国电信的IP。

以上就是06年中上海电信所做的手脚了，其实对于如此行为我个人还是可以忍受的，因为第一我不会去装什么星空XXX，即使装了我也有办法不用你的东西。第二我不用MSN的搜索，你劫持了它对我没什么影响。然而，从最近一段时间的异常来看，事情显然已经不只是这个地步了，因为我在用各种浏览器各种搜索引擎的时候都碰到了被转向了114的情况，再加上我个人工作所维护的一些邮件服务器最近发现的怪异情况，我有理由怀疑上海电信在DNS上做了更令人不齿的行为。很不幸，我只是简单测试了一下，就发现确实如此，这次的行为可谓明刀明枪的抢劫了：

C:>ping notpresentxxxxxxxxxx.cn

Pinging notpresentxxxxxxxxxx.cn [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=124ms TTL=242
Reply from 218.83.175.154: bytes=32 time=122ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:>ping dsfsdofhetfowefuwdf.com

Pinging dsfsdofhetfowefuwdf.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=126ms TTL=242
Reply from 218.83.175.154: bytes=32 time=125ms TTL=242
Reply from 218.83.175.154: bytes=32 time=116ms TTL=242
Reply from 218.83.175.154: bytes=32 time=118ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms

C:>ping gherogfhgnewlffefh.com

Pinging gherogfhgnewlffefh.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=674ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1007ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1002ms TTL=242
Reply from 218.83.175.154: bytes=32 time=812ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms

相信会用ping命令的网友们自然能看得懂这段输出的意思，简单来说，我ping了3个根本不存在的域名，本应出现找不到域名错误(hostname not found)，然而这显然不存在的3个域名竟然能得到解析结果，而无一例外的指向同一个IP----218.83.175.154。这个IP是什么我想大家应该也会非常有兴趣知道，点一下看看吧http://218.83.175.154。照样不能忘记把这个IP的whois信息拿出来作证据： http://www.dnsstuff.com/tools/whois.ch?ip=218.83.175.154 ，顺便贴出来：

WHOIS results for 218.83.175.154
Generated by www.DNSstuff.com
Location: China [City: Shanghai, Shandong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.78.0.0 - 218.83.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: **********@apnic.net 20060427
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ********@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ********@mail.online.sh.cn 20010510
source: APNIC

铁证如山，看你上海电信还如何抵赖，目前我自己发现的出现问题的DNS服务器有202.96.209.5，202.96.209.6， 202.96.209.133，202.96.209.134，都为上海电信ADSL的DHCP默认指派的DNS，应该还有数个服务器应该也是类似，只是我没有去求证。

做为中国最大的ISP，发布广告无可厚非，但却打着官方的旗号公然破坏互联网基础设施，公然违反互联网RFC，真可谓给国内各大企业带了个好头，再加上CNNIC的流氓行为，中国互联网还有什么前途？！我作为IT网络业界的一个普通技术人员，对此现状真的感到深深的悲哀。

现在唯一还能让我高兴起来的事情，就是似乎这个转入到114查询的关键字似乎是随机选取的，经常会出现让人哭笑不得的结果，莫非电信的技术们也开始学习玩无厘头风格了？

互联网大会三天，新网、宝洁、反黑客官方网站相继被黑，再次把黑客推向前台。在黑客工具日益泛滥，黑客攻击频繁的被利用成为市场竞争手段的今天，黑客未来的走向越来越受到社会各界的强烈关注，顶尖黑客做客南方IT沙龙，网易科技为你独家解密。
[最新消息]
中国万网9月29日晚遭黑客大规模攻击

[近期黑客事件回顾]

宝洁中国网站被黑客攻破 留言要求SK-II滚出中国

域名服务商新网遭黑客攻击 约20%中国网站瘫痪

黑客公然叫嚣"黑客在此" 百度新网不是最后一个

百度遭史上最大规模黑客攻击 搜索报障30分钟

嘉宾：
谢朝霞 深圳安络科技副总裁
陈三堰 广州易城科技总经理
主持人：
网易财富中心总监：刘红鹰
网易科技：古丰

提醒：网友可以点击这里 到南方IT沙龙论坛与嘉宾互动和交流

比尔.盖茨也算得上黑客
古丰：最近黑客话题很火爆，在刚结束的2006中国互联网大会期间，三天内新网、宝洁、反黑论坛接连被黑了，为什么最近会出现这么多黑客行动呢？今天南方IT沙龙第六期非常荣幸请来了中国第一第二代的“黑客代表性人物”谢朝霞和陈三堰，当然了，黑客早年是爱国主义、网络高手的代名词，现在黑客往往被赋予更多负面的含义，今天两位嘉宾也早已经告别的所谓的黑客生涯，并在各自领域上有自己的成就，但相信两位对最近频频爆发的黑客事件有比较深刻的理解，我们先让两位简单介绍下自己。
谢朝霞：今天来广州首先感谢网易科技给我这个平台，我首先发表下声明，在中国，黑客这词已经被滥用，相信现在我已经可以作为为网络安全代表方来谈黑客这个话题。在2001年网络泡沫破裂后，一度出现很困难的情况，我们坚持下来把网络安全作为主营业务。现在困难已经过去，产业的前景不错。
刘红鹰：谢朝霞以前在江湖上的名号叫什么？
谢朝霞：老毒物是我早期聊天室的网名，后来传开了成为我的代号。
陈三堰：我来自第八军团，99年创办，感谢网易科技今天提供的机会。关于黑客，这个词已经被滥用了，我深有同感，现在也不想提到这个词语，一般人认为黑客是很神秘的人物，偷QQ，黑网站等，实际上真正的黑客不会这样做的。我的网名是陈三公子，99年华南理工大学毕业，之后做过老师，后来由于崇拜电脑报里的陈三公子，取这个名字也是因为崇拜，目前主要从事网络安全行业。
刘红鹰：很有个性的两位家宾，从你们的个人经历开始向我们的网友讲解下如何？
谢朝霞： 很有必要在开始讨论前，对黑客这个词做个定义和划分，HACKER本意是做一件漂亮事件的人。公认为互联网最早的HACKER是写操作系统的人，包括比尔.盖茨等人，他们是最早对互联网做出贡献的人，也能称得上黑客。目前黑客有三种类型是公认的，一是对网络有贡献的人，二是发现漏洞的人，三是利用攻击手段的人。白帽子是做兵器的，黑帽子是用兵器去杀人的。还有介于中间的灰帽子。网络安全公司里有很多曾经被称为黑客的人，他们不是金盆洗手，他们是把自己的技术应用在对社会有益的地方。他们是白帽子。还有发现漏洞，促使厂商发布补丁的也是正义的黑客。
陈三堰：对于谢朝霞对黑客的定义，我基本认同。刚才说的，黑客注重工具，这点实际上很多黑客也非常注意对于漏洞的研究及工具的制作,可能对于骇客来讲对于黑客工具的依赖会比较强.
刘红鹰：今天很有意思的细节是，二位被称为黑客，却都穿着白衣服，是不是有意告诉别人你们不是黑客？如果现在叫你们黑客，你们愿意么？
陈三堰：实际上我更欣赏的是黑客的学习态度及研究的精神.但是并不因此就可以称之为黑客,我们也是在经历一个学习的过程,别人认为我们是黑客,而自己感觉可能离心目中的黑客距离还很远,这与每个人心中对黑客的理解有关。

中国有500万黑客 攻击百度小孩也能做到
刘红鹰：在普通网友心目中，黑客更多的是攻击者，拿到数据的和黑帮等，可能这些人的行为会被认为在现实社会中的所不能表达的抗议的行为，在中国，这些情绪，生存的压抑，未来的走向，二位是不是可以描述下中国的黑客的发展历史经历了或正经历着什么变化？
陈三堰：中国的黑客出现在95年，那时才是真正意义上的黑客，后来可能又出现了为体现技术的黑客，最近居然出现了犯罪的黑帮，给你发邮件，恐吓你。社会的发展，导致黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。当然也有最近的事件，是没有任何目的的趋势。黑客现在缺少正确的引导，网络上很多工具，普通人都可以学会相关教程，黑客工具如果被小孩子们学会，如果没有正确的引导，这部分群体就会走向极端。目前我们所看到的，基本都是小孩子们在玩游戏，黑掉网站，挂上自己的QQ，我们看来，这样的行为很搞笑
古丰：您觉得百度、新网是小孩子们能黑的吗？
陈三堰：有些小孩子们可以完成，有很多小孩子手上有很多肉鸡，他们利用很多“肉鸡”发起拒绝服务攻击。前几天反黑官方网站被黑，就是一个小孩子做的，他给我发过图片显示过他的成果,“拥有肉鸡近三千台”，他觉得很有成就感。
古丰：为什么会在2006中国互联网大会三天每天就有一个网站受到黑客攻击呢？会不会是一种有计划有预谋的集中攻击行为？
陈三堰： 新网被黑我不大清楚具体细节，关于为啥选择再大会期间发动密集的攻击行为，可能有人是为了故意制造新闻，这样才能广受关注。
谢朝霞：关于具体事实和情况我不大清楚。从我的经验来看，攻击每时刻都在发生，我觉得互联网大会期间巧合的可能性更大。
刘红鹰：您们被江湖中称为第一代第二代的黑客，你什么时候被称为黑客的，从你的经历来看，黑客会往什么方向发展？
谢朝霞：我不清楚谁给我封上南帝的封号，我唯一的特点可能是从事业内的人中年龄大点。从事安全行业，不可能不对攻击有所了解。我说过黑客分三种。只说白帽、灰帽、黑帽。白帽子黑客的发展将来更多的会在技术上和产品上提供价值。白帽子完全有能力去银行调动数据库，但这是违法的，用同样的能力不如把自己的公司做大。我相信网络安全这个行业会越来越重要，比如电子政务，网上银行，网络游戏，对于网络安全要求很大，因此白帽子的利润空间很大。目前来讲，全球具备攻击能力的人有2000万，按3％－5％比例来算，中国黑客数量也差不多有300-500万。
刘红鹰：一般的攻击手段很多，都有什么，怎么防范？
陈三堰一般设备上有，操作系统，还有第三方软件都有漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段可能是拒绝服务，这个是缺陷，可修改为:网络设备漏洞，操作系统漏洞，还有第三方软件漏洞，或者服务器上放置的程序都有漏洞，都可以被攻击，一般常用的手段
可能是拒绝服务，这个是网络协议本身的缺陷。中国的网站很脆弱，目前包括电子政务方面，安全意识很差。而另一方面来说，一些黑客，会在发展遇到障碍的时候，会转行做其他。
有钱的企业最容易受到攻击
刘红鹰：继百度、新网之后，谁最可能成为下一个被攻击的目标？
谢朝霞：有钱的网站和有钱的公司。
刘红鹰：是原生态的人做的还是公司的人做的？
谢朝霞：按目前安全状况来说，因此攻击的成本会越来越高，目的性越来越强。将来从底层攻击的难度会加大，从应用层攻击的会更多，邮件，应用程序，脚本等等方面。面对应用，就要对应用进行研究。因此攻击的成本会很过，目的性更高。
古丰：百度被黑的成本多高？如果你是百度的CTO你会怎么应对？
谢朝霞：更准确说，百度事件是堵塞，这个成本并不是很大的。百度对一般的拒绝服务攻击应该可以化解的。他们有财力。我们安全服务中有这样的服务。如果我百度CTO，一我要加大对主机和安全的投入，二要做好应急措施。这样的攻击是消耗战，你有不同的预案，是可以防范的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家、个人、组织去下手。
黑客攻击是行侠仗义还是利益驱动
刘红鹰：百度被黑的事情，大家都觉得是正义的表现，二位觉得中国的黑客这样的行为更多的是正义的行为还是经济上的目的？

陈三堰： 对百度的了解来说，从前段裁员说，很多人觉得是值得同情的，应该发泄，SK-II也是这样被黑，可能有些高手会表达这样的愤怒的心情。大部分来说，很多高手都有正义感的，但有些事情不是一般小黑客能做的。当然，也越来越多黑客不再象以往那样单纯以技术为目的，而更多的是为了金钱来行动。
谢朝霞： 我认为百度被攻击的事件，从目前法律定义来看，国际上是被定义为恐怖行为的，中国已经加入这个协定的，有义务要进行调查的。对于黑帽子，肯定越来也越多，因为网络应用和空间越大，更多的利益会促使更多的黑帽子发起对商家，个人，组织去下手。无论什么原因，去攻击一个网站，这个做法是不可取的，目前我国对攻击网站等黑客行为的查处和打击力度在加大，有攻击能力的其行为稍有不慎可能会成为公安部门的查处对象。如果被攻击方足够有钱，愿意花代价的话，即使拒绝服务攻击，也是甚至可以查出来的。
黑客攻击成为市场竞争手段
观众提问：前段时间各大网站被黑事件，我个人认为有炒作的原因。我所了解，很多做网站的人都被攻击的话，被攻击的流量很大，这样的攻击是机房控制呢还是肉鸡比较多呢？
谢朝霞： 您讲的这个情况，我们有过了解。这样的行为往往是网站经营者之间互相攻击的，办网站的人有很好的带宽，甚至会花钱去攻击他们的竞争对手。可能是有组织的，起因还是商业竞争。
观众：如果是竞争对手攻击，现在新浪、搜狐、网易三大门户也好，搜索巨头百度、google等竞争对手很多，他们应如何面对黑客威胁？
谢朝霞： 我的亲身经历，2000初，我正在融资，那天就有人攻击我，我正演示给投资商看的时候就被攻击，后来我恢复后，攻击持续了一个月后停止，由此，我认为只要被自己的防范做好，就可以了。攻击时间太长长，就容易被查出来。

陈三堰： 我们的防火墙每秒都被人检测入侵，我们不知道是谁，只能自己采取措施去防范，往往有时候攻击也就持续一个月就会停掉。有客户找我们，有损失的，但是对于拒绝服务方面还是办法很少。我们有句话是，只有绝对的不安全，没有绝对的安全。
黑客还会为爱国挺身而出吗？
观众提问：政府如果需要黑客们保家卫国，黑客还会不会像中美黑客大战那样站出来？
谢朝霞： 从我们公司来讲，我们只是做到培训，防范，分析，技术发现。我觉得做到这一点，已经足够了，我们提供了防范手段，告诉了客户用途和手段。个人来讲，我也只会做到培训。
陈三堰：个人来说，特殊时期，你年轻的时候，可能会做些，成年时，除非特别需要，可能会考虑协助。这个问题有些尖锐，私聊更合适。对于爱国情感，每个人都会有的。
谢朝霞： 我要补充，您的问题有猜测。据我了解，只要国家不打仗，就没有网络上的行为。所有的目前的行为，都是个人行为。和平时期，做攻击行为的法律我国与其他国家一样，是有规定的，不可能有组织的。一般的攻击都是个人行为。
网络安全太昂贵 中小企业怎么保护自己
观众提问：我对黑客没认识，没兴趣，但我有个问题，二位多在网络安全方面的公司，网络安全只给国家，给能出得起钱的企业做，但对我们小企业来说，成本太高了，二位你们经营的企业，你们的客户群是怎样定位，我们没有财力的公司，能提供给我们什么服务，给我们什么建议？
谢朝霞： 安全是要成本的，先问你，你能出多少钱？
观众提问：需要看我们付出安全的成本与我们不做安全付出的代价哪个高？你们的服务适合什么人群？
谢朝霞： 您愿不愿意投入您的成本的10-15%来做网络安全。
观众：初期不会，发展大了会，正如正版软件一样，开始不会，公司大了不得不用。
谢朝霞： 我们的服务里有为中小企业服务的，一个月不会超过几百块，基本上满足中小企业的安全需求。行业运营的平台，也差不多可以做的。服务有软件加重大事件上门服务，一般事件的电话支持。
刘红鹰：有一个安全成本的问题，到底一个企业要多少安全成本可以得到安全保障？
陈三堰：很多创业型企业需要考虑很多，公司小的时候，觉得安全成本过高不愿做，大了就不会选择我们这些较小规模的网络安全公司。国内有300多家安全企业走的高端路线，低端服务走的还是很少，可能跟利润少有关系。对于安全厂商，确实很不好做。
刘红鹰：中国安全产业的市场有多大？
陈三堰： 据CNNIC最新公布的调查数据，截止2008年，中国安全市场达105亿。
刘红鹰：转型做安全工作以后，你们现在活得好么？
谢朝霞：现在企业投入的都不一样，很多小企业很少甚至没有，而很多大企业的投入很大甚至浪费。但总体来说，安全市场我们追求的是IT市场5%-10%。
刘红鹰：有黑客放出话，国内几大网站一夜间会被黑掉，有可能吗？
陈三堰：如果说用比较高级拒绝服务来实现或许有可能，这会考虑到"黑"到一个什么样的度,而局部一个小程序，可能是会找到漏洞，但整体被黑掉，是很难的。整个互联网还是很脆弱的，美国科学家的一项研究表明，似乎无所不能的互联网，却有着"阿克琉斯之踵"，只要几个关键环节被破坏，整个互联网将在瞬间瘫痪。[阿克琉斯是希腊神话里的无敌英雄，可一旦被射中右脚后跟，就会訇然倒地，软弱无力。]新网这次就是一个典型案例。
谢朝霞： 网络应用和网络安全一定要投入成本，安全是可以得到很大保

中国被黑站点统计系统 2006年9月分析报告
[ Zone-H.Com.Cn ] Analytical report in September 2006

来源：中国被黑站点统计系统[http://www.zone-h.com.cn]
amxku[amxku_at_msn.com]
自在轮回[zizailunhui_at_msn.com]
wayking[wayking_at_hotmail.com]
目录
0- 总述
1- 分析
2- 相关防护
3- 总结

0- 总述

根据我们对中国被黑站点统计系统所有数据的分析，截至2006年9月19日0时，被篡改网站数量已达13000多个（其中有很多网站是多次被篡改），平均每天约有25个站点被篡改且被举报；又据CNCERT/CC（国家计算机网络应急技术处理协调中心）统计，2006年3月，全球被篡改网站数量超过3万个，平均每1.5分钟，就有一个网站被篡改…… 这些数目不是危言耸听。
网站篡改就发生在我们身边：
2006年03月12日，河北省政府采购网被篡改；
2006年03月18日，广州外事办网被篡改；
2006年03月11日，洛阳大学网站被篡改；
2006年04月13日，大冶政府网被篡改；
2006年04月10日，搜狐CS站被篡改；
2006年05月09日，网易社区被篡改；
2006年07月03日，雅虎中国被篡改；
2006年07月03日，163竟价广告联盟被篡改；
2006年07月11日，网易2006 世界杯足球公园被篡改；
2006年07月22日，天津中医药大学网站被篡改；
2006年09月14日，TCL通讯科技控股有限公司网站被篡改；
2006年09月16日，蒙牛、伊利两大国内牛奶集团官方网站被篡改；
…………
其间，国内有多个网络安全站点、组织也难逃厄运。被篡改的网站多为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站……，且不论黑客攻击的动机，仅在后果上，这些网站可谓遭遇了不同程度的尴尬。在众多被篡改的网站中，政府网站成了重灾区。在今年召开的中国计算机网络安全应急年会上，国家计算机网络应急技术处理协调中心副总工程师杜跃进博士谈到，“根据中心统计，网页篡改去年在大陆发生13000多次，其中六分之一攻击对象是政府网站，对电子政务构成严重威胁” 。频频发生的攻击能否给政府网站网络安全敲响一次“警钟”。

1- 分析

经过对统计数据的分析，对被篡改的主要原因做以下诠释：
1、网站脚本程序安全问题；
2、服务器设置问题；
3、社会工程学；
4、不可预见的问题。

网站脚本程序安全问题
网站脚本程序安全问题，网站管理员对脚本程序没有做任何处理，表现在网站的默认数据库，默认管理帐号，如admin，root，manager等
网站程序设计存在安全问题，网站程序设计者在编写时，对相关的安全问题，没有做适当的处理，诸如SQL注入，上传，跨站等。
服务器设置问题
服务器设置问题导致被入侵，如系统安装优化与补丁，0day，策略问题，权限，Serv-U，SQL Server，PCangwhere 等相关设置。

社会工程学
现在管理员素质参差不齐，作好对员工自身素质的培训与内部协调，培养员工的保密意识和安全意识。制订完善的保密制度和保密机制，对不同级别的信息保密级别，设置不同的保密应急机制。

不可预见的问题
未知漏洞，本人能力有限，对此不做描述。

2- 相关防护

1. 系统问题
对于系统设置方面这里不做过多介绍。
补丁问题，这个是比较重要的问题，一般服务器需要开的服务，排除第三个程序，关闭不用的一些服务。微软的自动更新功能，另外有一个重要的地方就是，微软的补丁只不是一处，还有很多管理员经常忽略某些方面，比如OFFICE等等，几年前的溢出，时至今日还依然有效。这里不得不提醒一下管理员，想问题要从总体上来考虑，不要局限于某个细节，有个全局观。

2. 策略问题

这里包括密码策略，账户策略等等。这里对于密码，可以采用策略，密码定期更改，密码长度限制，更改默认的用户组等等。同时采用TCP/IP策略对没有端口进行限制，还有IPSEC对特定端口进行身份验证。
一般情况下，比较好的方法是对外只开两个端口，一个是80端口，一个是代理端口。代理端口加上高强度的密码，对于FTP，其它等端口，可以采用连接上代理后，用SockCap等工具来连接；对于Serv-U可以更改本地密码，端口，改更启动权限等。这样可以一定程度上防范一些来自0day的攻击，如Serv-U溢出等。当然，这里所谓的策略并不只是这么几个，需要管理员灵活利用。
设置屏幕保护密码，很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。
系统所能提供的安全机制，对于防范系统有着很重要的意义。

3. 权限问题

一个是目录权限问题，一个是系统自带的程序权限问题。
目录权限，要注意的是系统盘有些默认是执行权限的，所以需要设置成没有执行权限。程序主要是对cmd.exe，cacls.exe，ftp.exe，net.exe，net1.exe，tftp.exe，tftpd.exe，cscript.exe……等等，所以可能用到的东西都进行设置，另外要注意完整性，例如net.exe，最好用dir /s net*.exe，系统自带的有好多个，如果你只限制一个的话，其它的照样可以用，这样一来还是会影响到系统的安全。具体设置请参见相关的文档。
SQL Server 可以删除一些危险的内置存储过程； 以下列出危险的内置存储过程：
xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite
ActiveX自动脚本：
sp_OACreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop
限制SQL用户的权限，防止被列目录 等。

4. WEB安全问题

为每个站点设置单独的启动用户，删除不常用到的ISAPI的类型，采用iis防火墙做相关的限制等。
常见的攻击，诸如注入，暴库这类问题，可以在每个网页写个发邮件的脚本，当有出现500，403错误时，自动向管理员信箱里放送一封邮件，这样可以有针对性的对寻找对应网页，目录等启到一定的防护，同时对一些常见的页面，采用屏换的方式，这样一来可以解决一些来自暴力破解和注射时提供的一些敏感信息。
不要忽略了默认数据库等这类低级错误。
对于SQL注入可以加防注入系统，过滤特殊字符等，可以起到一定的防护作用。
跨站相关防护处理，转义相关字符，如
A
SP
str=replace(str,"&","&")
str=replace(str,":","：")
str=replace(str,"=","=")
str=replace(str,"< ","<")
str=replace(str,">",">")
str=replace(str," "," ")
str=Replace(Str,"""",""")
PHP
str_replace("\n", "
", $content);
str_replace("\t", "    ", $content);
str_replace("", "", $content);
str_replace("< ","<", $content);
str_replace(">",">", $content);
str_replace("\t", '    ', $content);
str_replace("chr(10)","", $content);
………………
对于后台最好做身份限制，另外对上传目录做没有执行权限设置，这里要注意的就是不要忽略了其它脚本语言的支持，对于Access数据库，我们建议，把数据库放在web根目录的上方，这样，即使插了马也没法提交shell。
对于web还有一个比较重要的地方就是对组件的选择性控制，FSO,Shell.Application等组件，可以采用选择性的删除或改名，例如FSO，如果不是虚拟机的话，个人认为可以选择删掉。
如果是PHP的站点的话，在条件允许的情况下，开启安全模式。
总之，要根据具体情况而定，管理员可以随机应变。

5. 0day的攻击

对于0day的攻击，目前来说我们能做的东西很少，可以选择采用监控的方式来对系统进行控制，对于日志文件，请不要给于删除的权限，这样可以从一定程度上得到被入侵后的相关信息，以便日后追击入侵者等。

6. ARP(地址转发协议)欺骗

利用协议的不足，在交换网络的混杂模式下，通过嗅探可以到一些很重要的数据，诸如明文的SQL Server密码，http数据包，SMTP，FTP等等。通常我们可以采用将MAC卡和IP绑定，但是在真实网络环境，有好多管理员并没有把mac卡和ip真正绑定好。或改用HTTPS方式访问，可以对ARP欺骗启到一定的限制。详情可以参考相关文档。

7. 社会工程学、钓鱼

举一个例子(此例来源linzi[B.C.T])说明:
有一天有一个人收到了一个信息，说他中了QQ的大奖，将一个QQ号1234567，密码是1234567，然后叫中奖者速修改密码，从这里，如果我是中奖者一般不会怀疑什么，因为他没有从我身上得到些什么，但，当中奖者把密码改完后，发现自己QQ被盗了，究其原因，钓鱼者利用了，很多人的一个弱点，就是使用同一个密码的习惯，当中奖者将密码改完后，钓鱼者去官方去查改后的密码，再用改后的密码去试中奖者的QQ，成功的话，用户的很多隐私被窃取，虚拟财产受侵犯.当然现在的QQ没法查改后的密码，我这里主要是提出一种思路.转到社工，问问你自己，是否在很多论谈使用差不多相同的ID，是否密码只有三个以内，你的ID是不是可以被google搜出来，攻击者可以攻入你注册过的站点，收集到你一定的密码档，然后，通过已收集的资料，做成一个字典，再对你进行暴破.个人建议自己的密码最好能弄进算法，个个密码都做到不同，这样一来，不只是对自己的隐私起保护作用，同时也保护了站点，域等的安全性。

3 总结
这里我们可以看出很多的安全问题，都出于管理员对网络安全没有深入的认识。
建议网站管理员，多关注网络安全相关动态，了解入侵者常用的入侵手段，以做好即时防护措施，把风险降到最低。
这里我们只是对当前统计得到的数据做了简单的分析，并不通用，具体情况及实施办法请参见相关技术文档。

由于本人的水平有限，有不妥之处还望斧正。