2019年10月，貴陽某高校網(wǎng)站遭遇黑客攻擊，登錄頁面被非法篡改為違法有害信息。影響惡劣。貴陽網(wǎng)警獲悉后，立即展開調查。

經(jīng)查，該高校網(wǎng)站平臺未留存web訪問日志，服務器系統(tǒng)日志、安全日志留存時間不滿6個月留存時限，未開展網(wǎng)絡安全檢測，平臺內共發(fā)現(xiàn)10余個木馬后門，技術防護措施極為薄弱。

2019年10月19日，觀山湖警方根據(jù)《中華人民共和國網(wǎng)絡安全法》第21條、第59條之規(guī)定，依法對該高校及高校負責人分別處以10萬元和5萬元的行政罰款。

網(wǎng)站被攻擊了，網(wǎng)站負責人還要被處罰，這到底是怎么回事？
實際上，《網(wǎng)絡安全法》規(guī)定，網(wǎng)站運營者應負擔網(wǎng)站網(wǎng)絡安全保護義務。
《中華人民共和國網(wǎng)絡安全法》第二十一條：
國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任；
（二）采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；
（三）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月；
（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務。

《中華人民共和國網(wǎng)絡安全法》第五十九條第一款：
網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。
新網(wǎng)云根據(jù)近幾年被查出漏洞的網(wǎng)站情況，將常見漏洞做了以下整理：
1、跨站腳本XSS
黑客通過“HTML注入”篡改了網(wǎng)頁，插入了惡意腳本，從而在用戶在瀏覽網(wǎng)頁時，實現(xiàn)控制用戶瀏覽器行為的一種攻擊方式。
2、SQL注入
SQL注入是比較常見的網(wǎng)絡攻擊方式之一，它不是利用操作系統(tǒng)的BUG來實現(xiàn)攻擊，而是針對程序員編寫時的疏忽，通過SQL語句，實現(xiàn)無賬號登錄，甚至篡改數(shù)據(jù)庫。
3、WEB服務器漏洞
服務器解析漏洞依然廣泛存在，常見Web服務器的解析漏洞有Apache/Nginx/IIS等。
4、數(shù)據(jù)庫漏洞
常見的數(shù)據(jù)庫漏洞主要有Oracle/MySQL兩大類。內外部黑客會想法利用管理、網(wǎng)絡、主機或數(shù)據(jù)庫的自身漏洞嘗試入侵到數(shù)據(jù)庫中，以達到自身的目的。
5、弱口令
弱口令指的是僅包含簡單數(shù)字和字母的口令，例如“123”、“abc”等，因為這樣的口令很容易被別人破解，通過系統(tǒng)弱口令，可被黑客直接獲得系統(tǒng)控制權限。
6、信息泄漏漏洞

最常見的信息泄漏包含電子郵件地址泄漏、數(shù)據(jù)庫信息泄漏、內網(wǎng)IP地址泄漏、網(wǎng)站路徑泄漏風險，這類漏洞信息泄露可能是不慎泄露的，也有可能是攻擊者通過惡意的交互從網(wǎng)站獲得數(shù)據(jù)。

建議企事業(yè)單位、社會機構盡早進行安全策略的部署，防患于未然。新網(wǎng)云為云上用戶提供基礎的安全策略配置，可有效提升服務器的安全級別；當然也可以聯(lián)系新網(wǎng)安全專家來進行整體加固，防范系統(tǒng)層和應用層的安全風險。http://www.xinnet.com/cs/cs.html