久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

4月28日下午，一名網(wǎng)絡安全專家當著《IT時報》記者的面，打開某知名醫(yī)療網(wǎng)站，在沒有任何賬號的情況下，僅在用戶名處輸入一串簡單代碼，并在密碼欄隨意鍵入幾個字母之后，他便以超級管理員的身份進入了該醫(yī)療網(wǎng)站的系統(tǒng)后臺。整個過程甚至不足1分鐘，該醫(yī)療網(wǎng)站內所有的醫(yī)生信息、患者姓名、性別、聯(lián)系方式等核心數(shù)據(jù)均暴露在這位技術專家面前。

為什么這么快?該網(wǎng)絡安全專家對記者表示，是因為他已經(jīng)得知該醫(yī)療網(wǎng)站的漏洞。“如今在互聯(lián)網(wǎng)上，可以隨意下載到檢測網(wǎng)站漏洞的工具，2個小時后，便能告訴攻擊者網(wǎng)站有何種漏洞，黑客便可有的放矢地攻擊了。”

更可怕的是，技術專家告訴《IT時報》記者，這個網(wǎng)站安全級別甚至還要高于近期被補天漏洞響應平臺曝光的多省份的社保系統(tǒng)。難道我們的社保系統(tǒng)的網(wǎng)絡安全性如此不堪!

低級漏洞讓社保系統(tǒng)“不設防”

這種網(wǎng)站系統(tǒng)漏洞的學名叫“SQL注入漏洞”。

從2014年5月開始，在補天漏洞響應平臺上，涉及居民社保信息泄露的漏洞報告達64個，不僅范圍囊括了浙江、安徽、江蘇、山西等19省份，涉及居民也已經(jīng)達到了5000萬多。而讓人意外的是，這些高危漏洞很大一部分都是共性的低級漏洞錯誤，這次浙江、廣東、湖北5市等地曝出的SQL注入漏洞為最常見的低級漏洞。

王佳煜，上海理想信息產(chǎn)業(yè)公司iSec信息安全服務中心主任，他告訴記者：“黑客能夠探測到數(shù)據(jù)庫的類型、結構、表格數(shù)目，以及對表格字段進行猜解，然后通過構造語句，將黑客所需要用的姓名、身份證號、聯(lián)系方式等抽取，拖庫到本地(指通過非法手段獲取網(wǎng)站的數(shù)據(jù)庫)。”

事實上，社保系統(tǒng)中出現(xiàn)的許多漏洞都很低級。如去年曝出的四川省、石家莊市社保局等系統(tǒng)漏洞，均是由“弱口令”導致的。“111111、123456、888888，這些便于記憶的密碼對社保系統(tǒng)來說安全系數(shù)太低，但是地方管理人員并沒有意識到這是一個重要的安全問題。”

王佳煜曾經(jīng)進行過統(tǒng)計，常見的網(wǎng)站安全漏洞有12種，除SQL注入和弱口令漏洞外，越權漏洞、框架漏洞缺陷、業(yè)務邏輯缺陷等都是常見的安全隱患。

今年1月媒體曝出，個人可繞過某市人力資源和社會保障局網(wǎng)站密碼驗證、查詢他人社保信息，屬于越權漏洞;蘇州市社?；鸸芾碇行木W(wǎng)站可被拖庫查詢所有社保人員信息則是框架漏洞。

安全性常常被犧牲

之所以社保系統(tǒng)容易大面積出現(xiàn)此類漏洞，王佳煜認為：“他們的社保系統(tǒng)通常都交給第三方公司做，而第三方開發(fā)公司重點考慮的是功能而不是安全。前些年，軟件開發(fā)者的安全意識普遍不強，如果功能的實現(xiàn)和安全性有沖突，常常以犧牲安全性為代價，保證功能。另外，為了趕工程期，他們并不會對系統(tǒng)進行充分的安全測試。”

另外一個常見情況是，當初建立的防火墻、入侵檢測、服務器安全軟件等傳統(tǒng)的安全防護措施已經(jīng)不能夠適應當前的安全需要。如樂山市社會保險信息查詢中心可拖庫查詢樂山市所有社保人信息的漏洞原因就是框架太老。“目前黑客采用的都是新型網(wǎng)絡攻擊方式，而傳統(tǒng)的基于網(wǎng)絡層防護的安全設備，很容易被黑客繞過，從而發(fā)起對用戶Web應用層服務和Web內容的惡意攻擊”，王佳煜說。

部分社保部門對漏洞視而不見

“之前已經(jīng)提交過一次，仍未修復，公民的信息真的不值錢嗎?”補天上，一位白帽子(正面的黑客，不會惡意利用網(wǎng)絡漏洞，而是幫助完善網(wǎng)絡安全性)發(fā)現(xiàn)自己提交的漏洞至今未被涉及網(wǎng)站——新鄉(xiāng)市社保局修復，在再次提交漏洞描述的過程中，他如此寫道。

今年4月，在媒體曝光后，雖然多個省市社保部門進行了回復，但是從補天漏洞響應平臺的數(shù)據(jù)來看，近一半以上的漏洞仍然懸而未決，陜西省社保系統(tǒng)泄露全省至少213萬參與農村社保人員的信息，可隨意修改社保待遇，停發(fā)社保金，問題發(fā)現(xiàn)3個多月，至今未能修復;新鄉(xiāng)市社保局網(wǎng)站被入侵，泄露百萬社保信息，白帽子提交多次漏洞，至今仍未修復。

據(jù)了解，一般漏洞響應平臺流程是，白帽子提交漏洞、漏洞確認、通報廠商、廠商確認、廠商修復五個步驟。但社保部門的漏洞處理一般進行到第三步、第四步就停滯不前了。

誰來為“安全”買單

為什么社保部門不積極解決?劉濤(化名)，長期為政府和企業(yè)網(wǎng)站進行安全服務，他判斷，除了安全意識不夠強之外，社保系統(tǒng)代碼“牽一發(fā)而動全身”的屬性也可能是造成社保部門懈怠的原因，“升級網(wǎng)絡安全系統(tǒng)，就要帶來巨大的工作量，很多部門因此選擇不升級。”

劉濤給出的解決方案是定期維護。“安全意識強的客戶每個月都會要求我們進行常規(guī)的安全測試甚至是滲透測試(模擬黑客攻擊)。”劉濤表示他們的客戶群中，政府服務進行滲透測試的頻次要低很多，不僅如此，更多的類似社保等掌握大量用戶信息的部門依舊缺乏安全意識。

劉濤坦承，由于業(yè)務的附加值高，這種維護的成本水平并不低。這個行業(yè)人才缺乏，沒有統(tǒng)一收費標準，劉濤所在部門的普通安全分析員的收費在5000元/天以上，高級安全分析員則要上萬。而正常的一次維護周期是一個星期，可見費用之高。

另一個解決方案是為數(shù)據(jù)加密。明朝萬達總裁王志海告訴《IT時報》記者，因為不斷會有新的漏洞出現(xiàn)，事后的定期漏洞修復不能從根本解決問題，所以他們業(yè)務的著力點是在為政府或企業(yè)的數(shù)據(jù)進行加密。“這樣一來，即使黑客盜取了數(shù)據(jù)庫，但是因為加密，看到的將是一串亂碼。”

明朝萬達提供給政府或企業(yè)的解決方案是一次性的，不過他們的收費水平更高，據(jù)透露他們?yōu)橹袊畴娦胚\營商提供的數(shù)據(jù)加密服務的收費高達200萬元。

該不該花大價錢為安全買單，仍是擺在政府網(wǎng)站們面前的艱難選擇題。