电脑网吧的管理漏洞令人震惊,由此形成的安全隐患触目惊心。视线之内、监管之外,由此形成了一个管理真空。
25名学生魂断网吧
引发网吧安全问题热烈讨论的最大事件,莫过于2002年6月16日凌晨发生在北京市海淀区“蓝极速”网吧的火灾事件。
当天凌晨2时43分至3时30分,一场人为的大火使25个年轻人命归黄泉、12人受伤。其中9名死者、3名伤者来自北京科技大学预科班的同一个班级。
“蓝极速”的所在地原来是个“石油粮店”,后来被多次转租。
网吧的大门是铝合金的,镶着毛玻璃,平时并没有引起大家注意。来这里上网的网民,也基本上是附近科技大学、地质大学、华北石油大学的大学生和中学生。他们一般放学后都到这里先玩一个小时网络游戏,然后回家。
“蓝极速”共有两层。一层只有一个小屋,没有电脑。二层的一间大屋有个服务台,剩下的5间小屋里都是上网的电脑,另外还有一间是服务员休息室和一间厕所。从一层到二层的楼梯上、以及二层地面上都铺着地毯。
网吧里平时有3个服务员,一个负责收钱,另外2个随时在网吧里巡视。服务台边上有一个灭火器,但不知道是好是坏。
阻止逃票导致阻止逃生
据熟悉网吧的人说,网吧的老板姓郑,平时并不露面,而是由他的一位姓张的女友管理,大家经常看见她开着一辆桑塔纳来来往往。
每天夜里11时,不“包夜”的网民就必须离开,留在里面的都是“包夜”的网民。这时候网吧老板就会把铁门从外面锁上,因为这些人都是要在里面玩一宿的。
然而正是因为如此,发生火灾时里面的人无法逃出。虽然网吧的3个后窗离地面不到4米高,可是窗户上安装了铁栅栏。本来是防止网民逃票的,没想到最后阻止了他们的逃生之路。
阳光下的地下网吧
北京网吧9成以上是“违法经营”。发生事故的“蓝极速”网吧没有任何营业执照,并且在此之前,这家网吧已经营业了一个多月。在记者采访的所有网吧经营者中,竟没有一人对此表示惊讶,因为“这是北京市目前网吧运营状况的一个缩影。”
按照有关规定,没有相关部门批准文件和经营许可证、没有办理企业登记注册的,互联网接入服务提供者不得向其提供接入服务。但是北京有2200多家黑网吧,每家一条专线的开通,事实证明这一规定形同虚设:只要花费1~10万元不等的费用,就可以轻易接通2~30兆带宽不等的专线。
特殊身份带来的致命隐患
同样形同虚设的还有相关管理部门的管理职责。
按照信息产业部、公安部、文化部、国家工商行政管理总局等4部委2000年4月联合颁发的《互联网上网服务营业场所管理办法》,对“未取得经营许可证,擅自开办互联网上网服务场所,应立即责令关闭营业场所,没收从事违法经营活动的全部设备器材,并处以1万元至3万元不等的罚款”。
但是由于种种原因,一些执法部门和管理人员并没有依法行使监督和处罚的权力,北京的2200多家证照不全的网吧因此顺利坚持到了“蓝极速”网吧发生火灾的那一天。
更令人吃惊的是,这些“黑网吧”并不完全是偷偷摸摸的地下营业,不仅大部分处于管理部门的视线范围以内,而且,相关部门还默许和纵容他们在日常运营上与合法网吧完全一样。
网吧无权从事证券经营业务
网吧顾名思义是上网的地方,然而,有些网吧为了增加收入还开展了其他一系列“多种经营”项目。网民在这些地方从事非法活动,其危险性就显而易见了。
例如,一些网吧未经国家证券监督部门批准,擅自以代理证券交易为名非法吸纳资金、欺骗社会公众。
2001年6月,中国证监会新闻发言人特别指出,中国证监会从来没有核准过网吧等机构从事证券经营业务。
据介绍,合法的法人证券经营机构是指经过中国证监会核准设立,持有中国证监会颁发的《中华人民共和国经营证券业务许可证》,已经办理正式工商登记的证券公司;经过中国人民银行批准设立、持有中国人民银行颁发的《金融机构法人许可证》,营业范围包括证券业务、已办理正式工商登记的信托投资公司。
显然,任何类型的网吧都不可能取得以上两种证件。他们开办的证券经营业务都是非法的。
军人泡网吧风险犹存
随着网络热的兴起,一些网吧除了瞄准学生这个主体市场,还把目光瞄准了军营这一消费市场。
他们纷纷在军营周围开设网吧,甚至打出“拥军爱民”的牌子招徕军人顾客。
在江苏省南京军区某部,仅仅2001年6月不到一个月时间,部队营区周围就开设了13家网吧。不少官兵在周末或休息时间走进一家名叫“星港之夜”的网吧,享受“凭军官证、士兵证一律半价优惠。”
该部政委张明指出,军人上网给部队管理和安全保卫工作带来了一些新问题,特别是有些战士通宵泡网、夜不归宿,严重违反了军队纪律。尤其严重的是,有的战士在聊天交友时为了表示自己的真诚以及炫耀自己而亮出身份,泄漏了部队机密。
网吧倒闭后预付费追讨无门
一些地下网吧“东打一枪、西打一枪”,开业、停业搞得人眼花缭乱。遇到这种情况,原来预付会员费的网民就很可能追讨不到剩下的余款而成为冤大头。
在广东省汕头市,绝大多数电脑网吧都采用会员制的消费方式。2001年4月该市开展了对全市所有网吧的清理整顿,一大批证照不全或根本就没有证照的地下网吧纷纷关张大吉,随之而来倒霉的就是那些上网前已经预交给经营者预付费的网民了。老板“下落不明”,没有用完的预付费当然也就追讨无门。
单单在汕头市金园区某花园网吧,办理领证的上网者就达2000多人,其中大多数是居住在网吧附近的在校中小学小,其损失之大可想而知。
网吧管理软件存在漏洞
几乎所有的网吧都采用了网吧管理软件,例如《网吧管理专家》、《美萍网管》等。
使用网吧管理软件的主要目的是计时收费、防止人为修改和破坏电脑系统、禁止并过滤黄色网站、动态监视每台上网电脑等。然而,由于这些管理软件本身存在许多漏洞,所以在安全方面仍然存在着隐患。
网吧电脑的基本特点
网吧电脑的硬盘一般分为C、D、E三个区域。C盘用作系统盘,D盘用作备份盘,E盘和软驱A则用来提供给网民使用,例如从网上下载软件、音乐、资料等。
打开电脑一进入Windows后就会自动启动网吧管理软件,整个界面被网吧管理软件所代替。既不能使用注册表编辑器,也不能使用IE的Internet选项,更不能在IE的地址栏内输入C或D访问系统和备份盘。除此以外,不能控制面板运行、不能显示属性的调整、不能开关机、不能使用开机后的F8键及Windows的安全模式运行。
总之一句话,只能按照网吧管理软件所指定的应用程序进行操作。其目的就是保证网民使用电脑的安全性。
道高一尺,魔高一丈
然而,网吧管理员屏蔽了C盘和D盘后,并不预示着万事大吉了。因为你有政策、我有对策。管理员想尽量减少漏洞,网民则可以发挥自己的“聪明才智”制造漏洞。
例如,网民可以通过新建一个文件对系统进行修改、从而轻松获得原本属于系统管理员才有的权限。
假设这个文件名是如aa。reg,文件内容是REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=dword:00000000
双击这个文件,将此信息添加到注册表,就可以使用注册表编辑器了。这样做的目的,就是为了使用Windows下的所有资源。
也许,这个方法对于一般网民来说难度大了一些,但是除此以外还有许多种更简单的方法,同样可以达到这个目的。例如,最简单的方法是,把网上下载的Windows修改工具之类的软件安装到E盘并运行,根据自己的需要进行修改。
对付网民擅自修改的办法
为了把网民的权力限定在浏览网页、查找资料、聆听音乐等方面,网吧应当尽量禁止这些功能之外的设置,同时加强管理。这方面可以采取的主要方法有:
系统内部禁止REG文件的导入;
禁止系统内部显示隐藏文件,以免修改和删除开机文件、系统文件;
禁止网上下载的EXE文件直接运行,这是最大隐患;
禁止各类压缩软件从工具栏输入C:来进入系统盘进行修改。因为很多网吧的电脑都安装了WinZip等压缩工具软件;
禁止其它类的浏览器在地址栏输入C:来进入系统盘进行修改。
假文凭也能顺利通过网络查询
为了打击假文凭泛滥、保护广大高等学校毕业生的合法权益,教育部决定全面实行高等教育学历证书电子注册、网上查询制度。经过注册的学历证书,由教育行政部门审核备案后,进入全国高等教育学历证书电子档案数据库,通过“中国大学生网”提供给社会查询。然而,由于电脑网络的不安全因素,这项制度形同虚设。
2001年12月30日下午3时,在离北京大学南门不远的一个网吧里,一位湖南农民熟练地进入“中国大学生网”后,点击,输入伪造的假证编号、姓名、出生年月,然后按回车键。
一连串的动作之后,仅仅开通11天的“全国高等教育学历网络查询系统”,立刻显示出了那张刚刚成交的假毕业证书原主的信息:北京大学中文系本科毕业生刘××。
一份假文凭就这样顺利地通过了系统查证。
专家介绍,之所以会出现这种情形,是因为在学历证书查询系统中,只能显示文凭上的文字信息,而没有图片信息。
伪造者正是利用这个漏洞,首先查明某一真学历证书的内容如姓名、出生年月、学习时间和所学专业、证书编号等,然后在伪造的学历证书上填列完全相同的内容,贴上其他照片。这样,所得到的查询结果当然就畅通无阻了。
文凭贩子“幸福”地说:“这个网络的开通,帮了我们一个大忙。以前来买证的人至少还心有余悸,怕被人看出来是假的,因此要和我们讨价还价。现在倒好,我们做的证书和真证一样能够通过政府的查询,反而提高了我们的‘信誉’,假证生意越来越好做了。”