“安网2016”网络安全专项治理行动开展第二周(2015年12月21日至2015年12月27日),共扫描检测本省重点网站及重要信息系统333个,发现存在安全问题的网站149个,高危漏洞117个,占比78.5%;从风险类别来看,代码执行、XSS注入、设备后门三类漏洞是主要隐患类型,占71.8%。
一、新型Java漏洞危害严重,广东省88家网站存在被攻击威胁
排查发现,大量网站使用某网络建站系统,其中包括某市教育网站、某市水利管理处、某区监督系统、某市发改委等33家与民生民情关系密切的网站平台。由于此漏洞属于新型高危漏洞,攻击者可通过触发该漏洞,对多个Java应用实现恶意攻击。例如广东某交易平台网站包含大量交易信息,个人用户或单位用户姓名、身份证号、联系方式等敏感信息。利用该漏洞可在系统中执行任意命令,例如常见的当前系统账号添加和查询。
其中,多家网站存在未及时修复漏洞补丁,外部、内部系统将被破坏,导致扩大信息泄露影响,因此提示各企业、事业单位重视关注新型漏洞,检查并更新补丁,以免造成不必要恶劣影响。
二、交通系统发现漏洞,服务器与内网纷纷沦陷
近年来,随着市民生活水平的提升,市政交通部门职能越来越突出,相关数据量也与日俱增,市政交通系统数据安全也尤为重要。本周排查发现广东省某交通系统由于使用软件版本过低,存在极易利用的缺陷,攻击者可以此为跳板获得内网权限上传恶意代码,使服务器与内网沦陷,窃取重要信息。
该漏洞由低版本应用产生,建议相关单位提高网络安全意识,立即更换升级系统版本,提高密码复杂度,全面预防遏制网络安全事件发生,规避数据泄露风险,尽职尽责的保障公民隐私。
三、工作建议
通过本周的检测排查,发现各种网络设备与系统的安全问题十分突出,网络基础设施和系统开发平台存在的各类安全隐患让网站的管理者和用户防不胜防,极易造成大批量的敏感文件和公民隐私的泄露,给全社会的稳定发展造成严重隐患。针对本周出现的各类安全问题,公安机关建议:
一是各单位建立健全信息安全与信息化同步机制,将信息系统定级、备案、测评和建设整改工作环节纳入信息化建设的全过程,在系统规划、建设、运维过程中同步落实信息安全保护措施,确保不符合要求的信息系统和网站无法上线使用;
二是定期组织对系统进行技术扫描和渗透,及时排查安全问题,落实对用户操作(下载和改删)重要敏感信息的严格控制和审计措施,对进出网络的敏感信息进行过滤,重要敏感信息要采用加密的方式进行存储和传输;
三是定期组织对各类网络基础设施和系统开发工具进行升级,主动修补老旧版本软件可能出现的各类安全漏洞;同时各单位要建立安全风险应急响应机制,在出现大规模安全风险的第一时间响应、处理相关设备和系统的安全隐患,避免不必要的损失;
四是广大网民要养成良好的上网习惯,提高网络安全意识,杜绝使用过于简单的弱口令密码,在各网站系统中避免使用重复密码,并定期修改,同时尽量避免浏览钓鱼网站、防冒网站、赌博色情网站等高风险站点。