2017年12月全国人大常委会执法检查组关于检查《网络安全法》、《关于加强网络信息保护的决定》实施情况的报告,提请十二届全国人大常委会第三十一次会议审议。为了解网络运行情况,执法检查组委托中国信息安全测评中心对随机选取的120个关键信息基础设施(60个门户网站和60个业务系统)进行了远程渗透测试和漏洞扫描。
报告显示,本次远程测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个,其中某省级部门互联网监管综合平台存在越权上传、越权下载、越权删除文件等3个高危漏洞,严重威胁了系统及服务器安全,也存在严重的用户信息泄露风险。远程检测还发现,多个设区的市政府门户网站存在页面被篡改风险。
公安部82号令第七条明文规定,联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:
1. 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;
2. 重要数据库和系统主要设备的冗灾备份措施;
3. 记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;
4. 法律、法规和规章规定应当落实的其他安全保护技术措施。
根据IDC的统计当前网络上75%的攻击是针对Web应用的。Web应用的日益增多,Web滥用、病毒泛滥和黑客攻击等安全问题频频发生,导致Web应用被篡改、数据被窃取或丢失。
政府机关单位面临的Web安全攻击主要有以下几种:
1. SQL注入;
3. 跨站XSS;
3. 目录遍历;
4. 网页篡改;
5. 敏感数据泄露。