2019年10月，貴陽(yáng)某高校網(wǎng)站遭遇黑客攻擊，登錄頁(yè)面被非法篡改為違法有害信息。影響惡劣。貴陽(yáng)網(wǎng)警獲悉后，立即展開調(diào)查。

經(jīng)查，該高校網(wǎng)站平臺(tái)未留存web訪問(wèn)日志，服務(wù)器系統(tǒng)日志、安全日志留存時(shí)間不滿6個(gè)月留存時(shí)限，未開展網(wǎng)絡(luò)安全檢測(cè)，平臺(tái)內(nèi)共發(fā)現(xiàn)10余個(gè)木馬后門，技術(shù)防護(hù)措施極為薄弱。

2019年10月19日，觀山湖警方根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第21條、第59條之規(guī)定，依法對(duì)該高校及高校負(fù)責(zé)人分別處以10萬(wàn)元和5萬(wàn)元的行政罰款。

網(wǎng)站被攻擊了，網(wǎng)站負(fù)責(zé)人還要被處罰，這到底是怎么回事？
實(shí)際上，《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)站運(yùn)營(yíng)者應(yīng)負(fù)擔(dān)網(wǎng)站網(wǎng)絡(luò)安全保護(hù)義務(wù)。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條：
國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：
（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；
（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；
（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；
（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條第一款：
網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。
新網(wǎng)云根據(jù)近幾年被查出漏洞的網(wǎng)站情況，將常見漏洞做了以下整理：
1、跨站腳本XSS
黑客通過(guò)“HTML注入”篡改了網(wǎng)頁(yè)，插入了惡意腳本，從而在用戶在瀏覽網(wǎng)頁(yè)時(shí)，實(shí)現(xiàn)控制用戶瀏覽器行為的一種攻擊方式。
2、SQL注入
SQL注入是比較常見的網(wǎng)絡(luò)攻擊方式之一，它不是利用操作系統(tǒng)的BUG來(lái)實(shí)現(xiàn)攻擊，而是針對(duì)程序員編寫時(shí)的疏忽，通過(guò)SQL語(yǔ)句，實(shí)現(xiàn)無(wú)賬號(hào)登錄，甚至篡改數(shù)據(jù)庫(kù)。
3、WEB服務(wù)器漏洞
服務(wù)器解析漏洞依然廣泛存在，常見Web服務(wù)器的解析漏洞有Apache/Nginx/IIS等。
4、數(shù)據(jù)庫(kù)漏洞
常見的數(shù)據(jù)庫(kù)漏洞主要有Oracle/MySQL兩大類。內(nèi)外部黑客會(huì)想法利用管理、網(wǎng)絡(luò)、主機(jī)或數(shù)據(jù)庫(kù)的自身漏洞嘗試入侵到數(shù)據(jù)庫(kù)中，以達(dá)到自身的目的。
5、弱口令
弱口令指的是僅包含簡(jiǎn)單數(shù)字和字母的口令，例如“123”、“abc”等，因?yàn)檫@樣的口令很容易被別人破解，通過(guò)系統(tǒng)弱口令，可被黑客直接獲得系統(tǒng)控制權(quán)限。
6、信息泄漏漏洞

最常見的信息泄漏包含電子郵件地址泄漏、數(shù)據(jù)庫(kù)信息泄漏、內(nèi)網(wǎng)IP地址泄漏、網(wǎng)站路徑泄漏風(fēng)險(xiǎn)，這類漏洞信息泄露可能是不慎泄露的，也有可能是攻擊者通過(guò)惡意的交互從網(wǎng)站獲得數(shù)據(jù)。

建議企事業(yè)單位、社會(huì)機(jī)構(gòu)盡早進(jìn)行安全策略的部署，防患于未然。新網(wǎng)云為云上用戶提供基礎(chǔ)的安全策略配置，可有效提升服務(wù)器的安全級(jí)別；當(dāng)然也可以聯(lián)系新網(wǎng)安全專家來(lái)進(jìn)行整體加固，防范系統(tǒng)層和應(yīng)用層的安全風(fēng)險(xiǎn)。http://www.xinnet.com/cs/cs.html