这两天，关于北京两个网站声称被国内另一商业站点所黑一事炒得沸沸扬扬，引起了大家的注意。为了给记者明确一些概念，记者采访了深圳著名的网络安全公司“安络公司”（CNNS.NET）的网络安全专家谢朝霞。请他给大家谈谈黑客入侵的问题。

李学凌：你好，谢朝霞。

谢朝霞：你好。

李学凌：请给我们谈谈，网站的数据库有几种程度的入侵。

谢朝霞：要视情况而定，有的根据ASP的漏洞和web服务器的BUG，获取数据库的密码。

李学凌：如果价格都被清零了，这样的入侵达到了什么程度？

谢朝霞：这就是数据库和文件级别的入侵，入侵者有权限修改数据库或者系统上的文件。

李学凌：这种入侵在数据库入侵中是什么程度的？

谢朝霞：算是仅次于最高级别的入侵。当然如果入侵者是已经窃取了系统的最高权限，他也可以修改、操作数据库。

李学凌：您指的最高级别的入侵是什么？

谢朝霞：最高级别的入侵就是远程获取了系统的管理员权限。他可以在系统上做任何事情。

李学凌：哦。我明白了，那么这种入侵有多大的危害呢？

谢朝霞：如果入侵者已经拿到了修改数据库或者文件的权限，那么他不难设法拿到最高权限。也就是说他更进一步的话，可以彻底控制整个系统，想干什么就可以干什么。入侵的层次可以一步一步地提高。

李学凌：数据库的入侵有多大的危害呢？

谢朝霞：对于电子商务网站来说，如果数据库没有备份，这种破坏是致命的。即使已经有备份，如果这些资料被竞争对手拿到损失也会很大。或者入侵者将这些资料公布在internet上无疑会大大地打击客户对该网站的信心。（李学凌注：如果拿出来当新闻炒，会打击所有电子商务用户的信心。）

李学凌：接下来请讲一讲，一个公司从第一次发现被入侵，到堵住这个漏洞需要多少时间？

谢朝霞：我想这也要视情形而定吧。如果反应快，措施得力，几分钟就可以。对于一般的公司来说，要达到这个要求，可能需要专业的安全公司或者专家来帮助。

李学凌：如果有人职守的情况下呢？能不能发现非法登录的用户？

谢朝霞：一个合格的安全专家是应该能发现非法登录的用户的，但是如果在毫无网络保安措施的情况下，这样来要求一个系统管理员，可能有点苛求。

李学凌：那么现在这 幸桓隼铀担桓鐾景胩熘诒蝗肭至?7次。您觉得是否正常。

谢朝霞：至少从管理的角度来说，这是不正常的如果发现被入侵，应该立即采取手段，如果出于欲擒故纵的策略，让入侵者再次进来是可以理解的，但无论如何被7次入侵，都不正常。

李学凌：那么黑客是不是真的防不胜防呢？网站被入侵，网站是不是没有过错。

谢朝霞：网站被入侵，管理者是有责任的，如果系统被入侵，表明存在严重的安全漏洞 可能是管理上的漏洞，也可能是技术的原因。这和yahoo被DDOS攻击有所区别。DDOS攻击，系统本身并没有漏洞。但遭受入侵，原因就在系统本身了。对于没有安全意识的管理员来说，或者对于安全管理不够重视的网站来说，黑客可以说是防不胜防，但也可以说他们根本没有防。没有安全方面的技术，可以改进，也可以求助于专业公司。但是没有安全方面的管理和考虑，我觉得这是管理人员的失职。

李学凌：多谢你给了我们上了这么好的一课。希望读者也能够从中辨明真像。

谢朝霞：好，谢谢。