广东网警发布“安网2016”第一期周报

安网2016

       “安网2016”网络安全专项治理行动开展第一周（2015年12月14日至2015年12月20日），共扫描检测本省重点网站及重要信息系统293个，发现存在安全问题的网站102个，高危漏洞130个。其中，企业、公众互联网、事业单位网站占问题网站的81.5%，是安全隐患的重灾区；SQL注入、XSS注入、任意文件下载为三类主要漏洞，占总类别的83.7%。
       一、开发平台存在漏洞，易引起群体性安全风险
       查发现，大量网站使用某网络建站系统，其中包括某市图书馆、某市信息网络安全协会、广东省某医院、某市公共汽车公司等39家企业门户网站。由于该网络建站系统存在严重文件下载漏洞，攻击者若成功利用该漏洞，即可下载包括系统配置文件等核心数据在内的大量网站文件。
此外，部分单位使用某OA办公系统，因该OA系统本身存在安全漏洞，导致包括广州、深圳等地至少15家单位的办公系统存在严重安全隐患，覆盖医疗卫生、政府、教育、制造业等多个重点行业。
       二、系统防护措施薄弱，公民隐私数据存在泄漏风险
       在针对某市范围内各类政务网站进行重点检测时发现，该市人民政府、司法局、国土资源局、区人民政府办公室等11个政府类网站存在安全风险，涵盖弱密码、注入漏洞、文件下载漏洞等安全问题，其中涉及到大量与政府、民生工作密切相关的网站和系统，安全形势触目惊心。
其中，某市社保单位信息系统存在高危漏洞，导致该地区过百万社保数据存在泄露危险；某市社保管理单位系统也存在严重问题，已被非法攻击者植入后门，该地区公民社保详细资料有被不发分子窃取的可能。
       三、云平台安全隐患突出，容易被黑客利用实施攻击
       在近年非常火热的云计算领域，安全隐患同样突出。广东省某云服务平台上部署了涉及政府、交通、物流、教育等领域的多个服务系统，涵盖民生、公共安全等相关核心业务项目。排查发现该云平台存在多个易被攻击的安全漏洞，攻击者可通过漏洞进入云平台，获取多个系统的核心数据，甚至取得部分系统的控制权。
       四、工作建议
       通过第一周的检测排查，发现部分单位的网络安全问题十分突出，可能对敏感文件、公民隐私和个人财产安全造成损害。公安机关建议：一是各单位建立健全信息安全与信息化同步机制，将信息系统定级、备案、测评和建设整改工作环节纳入信息化建设的全过程，在系统规划、建设、运维过程中同步落实信息安全保护措施，确保不符合要求的信息系统和网站无法上线使用；二是定期组织对系统进行技术扫描和渗透，及时排查安全问题，落实对用户操作（下载和改删）重要敏感信息的严格控制和审计措施，对进出网络的敏感信息进行过滤，重要敏感信息要采用加密的方式进行存储和传输；三是广大网民要养成良好的网络安全意识，拒绝弱口令密码，避免密码重复，并定期修改，同时尽量避免浏览钓鱼网站、防伪冒网站等高风险网站。
公安机关在此呼吁社会各界共同携手打击网络犯罪，切实保护公民隐私，全面推动互联网行业的健康可持续发展，共建和谐网络空间。

（平安南粤网 编辑：雨寒）