为打击整治网络安全的突出问题,切实保障公民个人隐私信息和财产安全,维护正常网络秩序,广东省公安厅网警总队决定,自12月14日起至明年6月底,组织开展代号为“安网2016”的网络安全专项治理行动。此通报是本次行动正在实施的“三个一”工作中的重要组成部分——每日一排查。
12月14日,行动正式启动的第一天,广东网警组织对部分重点网络进行了排查,发现102个重要系统和网站存在127个高危漏洞。主要问题如下:
一、安全意识不强,弱口令问题仍然多发。排查发现28个重点网站的管理后台存在只有数字或字母的弱口令问题,黑客可通过简单的暴力破解,直接登陆管理后台,浏览、下载和删改各类信息数据。
安全提醒:一是请相关单位尽快修改密码,将密码改为由“数字+字母+符号”组成,且超过8位。二是调整网站管理后台的访问控制策略,防止未授权的网络访问。
二、开发平台漏洞,引发群体性安全风险。由于一些建站平台自身的安全缺陷,造成基于该平台搭建的网站存在同一高危漏洞,安全风险大面积存在。如本次排查发现基于某平台搭建的高危重点网站就有28个。
安全提醒:建站平台开发者应专门跟踪平台的安全情况,一旦出现安全漏洞,及时向相关单位预警;尽快发布漏洞补丁或修补措施,并通知使用单位修补。
三、网站集中部署,一处漏洞导致多点爆发。某县级市将本地23个重点网站部署在同一服务器上,由于其中1个网站存在高危漏洞,导致其他22个网站都存在安全风险。
安全提醒:网站要安装防篡改软件,定期开展技术漏洞检测,发现问题及时整改。同一服务器建站的,要加强网站之间的访问控制,如采用虚拟机隔离、服务器用户权限控制或使用第三方强访问控制软件等。
四、系统防护薄弱,容易造成个人信息泄露。排查发现某市一医院的信息系统存在严重的高危漏洞,该漏洞会导致在医院就诊的12万多名患者的身份证、生日、住址、联系电话等隐私信息泄露。省内某电视台的内部管理系统也存在严重问题,数据库可被“脱库”,内部员工的账号密码和详细资料一览无余。
安全提醒:一是“进不来”。重要系统上线前要等级测评和风险评估,测评合格方可投入使用;定期组织系统技术扫描和技术渗透,及时排查安全问题。二是“拿不走”。加强对用户操作(下载和改删)重要敏感信息的严格控制和审计,对进出网络的敏感信息进行过滤。三是“看不懂”。重要敏感信息要采用加密的方式进行存储和传输。
在互联网+时代,广东省作为改革前沿地区、建设“一带一路”的排头兵,因其得天独厚的历史地理条件造就了高度发达的互联网产业环境。然而大量披露数据显示,随着广东省大量企事业单位的业务在逐步向互联网迁移,各类安全问题在给企业业务发展形成了巨大阻力的同时,更给全面建设互联网+社会带来了太多的不确定因素,尤其在公民隐私保护和网络安全保障方面,存在重大安全隐患。
此次行动将以“保护公民隐私,保障网络安全”作为年度主题,全面开展覆盖全省368万家企业的网络安全专项治理行动。行动最终将惠及全国6亿网民,并将在未来形成年度性网络安全专项行动,引领全国各地区网络安全工作的开展。
“安网2016”的网络安全专项治理行动背景: