“安网2016”网络安全专项治理行动开展第一周(2015年12月14日至2015年12月20日),共扫描检测本省重点网站及重要信息系统293个,发现存在安全问题的网站102个,高危漏洞130个。其中,企业、公众互联网、事业单位网站占问题网站的81.5%,是安全隐患的重灾区;SQL注入、XSS注入、任意文件下载为三类主要漏洞,占总类别的83.7%。
一、开发平台存在漏洞,易引起群体性安全风险
排查发现,大量网站使用某网络建站系统,其中包括某市图书馆、某市信息网络安全协会、广东省某医院、某市公共汽车公司等39家企业门户网站。由于该网络建站系统存在严重文件下载漏洞,攻击者若成功利用该漏洞,即可下载包括系统配置文件等核心数据在内的大量网站文件。
此外,部分单位使用某OA办公系统,因该OA系统本身存在安全漏洞,导致包括广州、深圳等地至少15家单位的办公系统存在严重安全隐患,覆盖医疗卫生、政府、教育、制造业等多个重点行业。
二、系统防护措施薄弱,公民隐私数据存在泄漏风险
在针对某市范围内各类政务网站进行重点检测时发现,该市人民政府、司法局、国土资源局、区人民政府办公室等11个政府类网站存在安全风险,涵盖弱密码、注入漏洞、文件下载漏洞等安全问题,其中涉及到大量与政府、民生工作密切相关的网站和系统,安全形势触目惊心。
其中,某市社保单位信息系统存在高危漏洞,导致该地区过百万社保数据存在泄露危险;某市社保管理单位系统也存在严重问题,已被非法攻击者植入后门,该地区公民社保详细资料有被不发分子窃取的可能。
三、云平台安全隐患突出,容易被黑客利用实施攻击
在近年非常火热的云计算领域,安全隐患同样突出。广东省某云服务平台上部署了涉及政府、交通、物流、教育等领域的多个服务系统,涵盖民生、公共安全等相关核心业务项目。排查发现该云平台存在多个易被攻击的安全漏洞,攻击者可通过漏洞进入云平台,获取多个系统的核心数据,甚至取得部分系统的控制权。
四、工作建议
通过第一周的检测排查,发现部分单位的网络安全问题十分突出,可能对敏感文件、公民隐私和个人财产安全造成损害。公安机关建议:一是各单位建立健全信息安全与信息化同步机制,将信息系统定级、备案、测评和建设整改工作环节纳入信息化建设的全过程,在系统规划、建设、运维过程中同步落实信息安全保护措施,确保不符合要求的信息系统和网站无法上线使用;二是定期组织对系统进行技术扫描和渗透,及时排查安全问题,落实对用户操作(下载和改删)重要敏感信息的严格控制和审计措施,对进出网络的敏感信息进行过滤,重要敏感信息要采用加密的方式进行存储和传输;三是广大网民要养成良好的网络安全意识,拒绝弱口令密码,避免密码重复,并定期修改,同时尽量避免浏览钓鱼网站、防伪冒网站等高风险网站。
公安机关在此呼吁社会各界共同携手打击网络犯罪,切实保护公民隐私,全面推动互联网行业的健康可持续发展,共建和谐网络空间。