2017年12月全國人大常委會執(zhí)法檢查組關于檢查《網(wǎng)絡安全法》、《關于加強網(wǎng)絡信息保護的決定》實施情況的報告,提請十二屆全國人大常委會第三十一次會議審議。為了解網(wǎng)絡運行情況,執(zhí)法檢查組委托中國信息安全測評中心對隨機選取的120個關鍵信息基礎設施(60個門戶網(wǎng)站和60個業(yè)務系統(tǒng))進行了遠程滲透測試和漏洞掃描。
報告顯示,本次遠程測試的120個關鍵信息基礎設施中,共存在30個安全漏洞,包括高危漏洞13個,其中某省級部門互聯(lián)網(wǎng)監(jiān)管綜合平臺存在越權上傳、越權下載、越權刪除文件等3個高危漏洞,嚴重威脅了系統(tǒng)及服務器安全,也存在嚴重的用戶信息泄露風險。遠程檢測還發(fā)現(xiàn),多個設區(qū)的市政府門戶網(wǎng)站存在頁面被篡改風險。
公安部82號令第七條明文規(guī)定,聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用單位應當落實以下互聯(lián)網(wǎng)安全保護技術措施:
1. 防范計算機病毒、網(wǎng)絡入侵和攻擊破壞等危害網(wǎng)絡安全事項或者行為的技術措施;
2. 重要數(shù)據(jù)庫和系統(tǒng)主要設備的冗災備份措施;
3. 記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或域名、系統(tǒng)維護日志的技術措施;
4. 法律、法規(guī)和規(guī)章規(guī)定應當落實的其他安全保護技術措施。
根據(jù)IDC的統(tǒng)計當前網(wǎng)絡上75%的攻擊是針對Web應用的。Web應用的日益增多,Web濫用、病毒泛濫和黑客攻擊等安全問題頻頻發(fā)生,導致Web應用被篡改、數(shù)據(jù)被竊取或丟失。
政府機關單位面臨的Web安全攻擊主要有以下幾種:
1. SQL注入;
3. 跨站XSS;
3. 目錄遍歷;
4. 網(wǎng)頁篡改;
5. 敏感數(shù)據(jù)泄露。