熱門文章
行業網站存高危漏洞 筑牢交通網安防線刻不容緩
發布時間:2017-10-10 分類:趨勢研究
5月全球爆發勒索病毒,6月《網絡安全法》正式實施,9月網絡安全宣傳周引發社會關注……2017年,注定是網絡安全工作里程碑式的一年。圍繞當下公眾關注的網絡安全難點、熱點問題,中國交通報特別邀請專家詳細闡述行業網絡安全現狀、網絡技術與內容安全面臨的威脅、行業網絡安全的重點工作,并對網絡安全常見問題進行科普,以期引導交通運輸行業強化網絡安全防范意識,為全社會筑起網絡安全長城。
今年5月,勒索病毒全球肆虐,網絡安全敲響警鐘。這次事件中,交通運輸行業一些政府部門、企事業單位的網絡安全“漏洞”再次暴露:主要領導認知程度不夠、全員安全意識薄弱、投入不足、專業人才缺乏……
交通運輸部科技司司長龐松表示,當前和今后一個時期是交通運輸網絡安全工作攻堅克難的關鍵時期,要牢固樹立“保交通運輸網絡安全就是保行業安全、國家安全”的思想認識,守好行業、服務大局,為智慧交通發展和交通運輸強國建設提供堅強的網絡安全保障。
部分行業網站容易被攻擊
目前,全球正逐漸形成新興的“智能運輸”市場,以自動駕駛車輛、物聯網等新技術為特征,并越來越多地利用個人數據提供定制服務,這給“本身脆弱的”交通運輸網絡增添了復雜性,帶來新的網絡安全威脅。
今年年初,中國交通通信信息中心下屬交通運輸信息安全中心發布《交通運輸行業網站安全風險態勢報告》(簡稱《風險報告》),對2016年交通運輸行業2100個網站進行網絡安全大數據分析和評價,發現普遍存在網站安全事件、安全漏洞風險以及基本運行隱患。
網站易遭受三大攻擊。網站是企事業單位、政府機關的形象窗口,也是對外開展業務、提供服務的重要渠道,頁面篡改不僅帶來重大的網絡內容(意識形態)風險,也成為很多不法分子進行欺詐犯罪活動的主要手段之一。
數據顯示,交通運輸行業網站安全事件類型主要為頁面篡改、被植入后門以及遭遇DDoS(分布式拒絕服務)攻擊三大類。去年,共有7.8%的網站被篡改逾2.3萬次,內容非運營主體所發布是一種現象,也存在用戶明明打開A網站卻發現被鬼使神差地“劫持”到了B網站上的現象,這些網站極易被不法分子利用進行欺詐犯罪等活動。
交通運輸行業174個網站服務器上被發現存在后門或存在過后門,公路行業網站服務器、城市公交網站受影響情況最為嚴重,網站存在后門會導致網站被遠程控制、頁面內容被篡改、流量被劫持、頁面被掛馬,甚至數據被“拖庫”等,直接危害網站主體及訪問者安全。
246個域名主機曾經遭到466次DDoS攻擊,平均每個域名主機遭到攻擊約4.5次,單個域名主機最多遭到攻擊34次,其中公路、水運行業網站受影響超8成;68個域名所在主機遭到過僵尸網絡控制并對外發動DDoS攻擊,不法分子通過控制服務器等,對包括國家骨干網絡、重要網絡設施、政企或個人網站在內的互聯網上任意目標發動攻擊,致使目標停止提供服務。
安全漏洞令人憂。網站存在安全漏洞是被攻擊的直接原因,漏洞的危害程度意味著網站被攻擊的難易程度?!讹L險報告》統計顯示,2100個網站漏洞總數達48.7萬個,其中高危漏洞23萬個,民航、郵政、公路、城市交通等領域機構網站均“上榜”。這些漏洞會導致后臺系統管理權限被獲取、敏感信息被泄露、惡意文件被上傳等危害,嚴重者將直接導致網站主機被不法分子遠程控制。
此外,部分網站未取得工業和信息化部的ICP/IP備案或備案已過期,從運營管理的角度看也存在一定的安全隱患。
共享經濟背后存在信息泄露隱患
我國的城市交通迎來了“網絡時代”,網約車、共享單車讓每位使用者直接獲得了快捷方便實惠的生活感受。
通過一部手機,就能聯系一個陌生的私家車車主上下班,共享經濟有其獨特的魅力,然而個人信息也在這種“便利”中被泄露。通過對網約車平臺進行一系列安全性檢測,交通運輸信息安全中心發現多個網約車平臺存在一些共性安全問題。
首先,網約車平臺承載了乘客和車主的手機號、出行軌跡、駕駛證、車輛信息、資金賬戶等數據,部分網約車平臺在數據信息采集、傳輸、處理、存儲等過程中未采取嚴密完善的安全防護措施,存在個人信息泄露、被篡改等安全風險。
其次,網約車系統軟件存在缺陷,軟件編碼規則及開發過程不規范,導致系統平臺存在較多安全漏洞,如移動應用登錄憑證可偽造、越權查詢他人賬單、任意修改提現金額等,將對個人信息及財產安全造成直接影響。
同樣,共享單車也存在類似問題。近期,交通運輸信息安全中心聯合國內移動應用安全廠商對729個共享單車應用進行抽樣測評,發現共享單車應用存在任意賬號可登錄的風險,手機用戶登錄僅需提交手機號和短信驗證碼,即可登錄任意手機賬號,存在此隱患的應用占11%,將會威脅到逾百萬人次的賬戶安全。
個人信息泄露隱患是共享單車應用安全漏洞中最為嚴重的一種。在某共享單車應用的業務流程中,可直接通過校驗短信的響應包,越權查看登錄用戶的姓名及身份證號等敏感信息,從而導致個人信息泄露。
加大全要素投入補短板
行業網站網絡安全“堪憂”、移動應用賬戶“不安全”只是交通運輸行業面臨的部分問題。隨著“互聯網+”向各個領域、企業延伸,交通運輸行業的網絡安全形勢更加嚴峻。
龐松表示,應從制度、機制、投入以及人才方面做好網絡安全工作。要加快建立和完善網絡安全相關配套制度,在完善制度、明確責任、加強防護、預警監測、應急處置等重要環節上精準發力,補齊短板。
針對網絡安全專業人才缺乏的問題,龐松表示,要加強對網絡安全相關新理論新技術的學習,清醒認識到“過不了互聯網這一關,就過不了長期執政這一關”,不斷提升領導干部和管理人員的網絡素養,重視全員網絡安全教育,全方位筑牢網絡安全防線。
今年5月,勒索病毒全球肆虐,網絡安全敲響警鐘。這次事件中,交通運輸行業一些政府部門、企事業單位的網絡安全“漏洞”再次暴露:主要領導認知程度不夠、全員安全意識薄弱、投入不足、專業人才缺乏……
交通運輸部科技司司長龐松表示,當前和今后一個時期是交通運輸網絡安全工作攻堅克難的關鍵時期,要牢固樹立“保交通運輸網絡安全就是保行業安全、國家安全”的思想認識,守好行業、服務大局,為智慧交通發展和交通運輸強國建設提供堅強的網絡安全保障。
部分行業網站容易被攻擊
目前,全球正逐漸形成新興的“智能運輸”市場,以自動駕駛車輛、物聯網等新技術為特征,并越來越多地利用個人數據提供定制服務,這給“本身脆弱的”交通運輸網絡增添了復雜性,帶來新的網絡安全威脅。
今年年初,中國交通通信信息中心下屬交通運輸信息安全中心發布《交通運輸行業網站安全風險態勢報告》(簡稱《風險報告》),對2016年交通運輸行業2100個網站進行網絡安全大數據分析和評價,發現普遍存在網站安全事件、安全漏洞風險以及基本運行隱患。
網站易遭受三大攻擊。網站是企事業單位、政府機關的形象窗口,也是對外開展業務、提供服務的重要渠道,頁面篡改不僅帶來重大的網絡內容(意識形態)風險,也成為很多不法分子進行欺詐犯罪活動的主要手段之一。
數據顯示,交通運輸行業網站安全事件類型主要為頁面篡改、被植入后門以及遭遇DDoS(分布式拒絕服務)攻擊三大類。去年,共有7.8%的網站被篡改逾2.3萬次,內容非運營主體所發布是一種現象,也存在用戶明明打開A網站卻發現被鬼使神差地“劫持”到了B網站上的現象,這些網站極易被不法分子利用進行欺詐犯罪等活動。
交通運輸行業174個網站服務器上被發現存在后門或存在過后門,公路行業網站服務器、城市公交網站受影響情況最為嚴重,網站存在后門會導致網站被遠程控制、頁面內容被篡改、流量被劫持、頁面被掛馬,甚至數據被“拖庫”等,直接危害網站主體及訪問者安全。
246個域名主機曾經遭到466次DDoS攻擊,平均每個域名主機遭到攻擊約4.5次,單個域名主機最多遭到攻擊34次,其中公路、水運行業網站受影響超8成;68個域名所在主機遭到過僵尸網絡控制并對外發動DDoS攻擊,不法分子通過控制服務器等,對包括國家骨干網絡、重要網絡設施、政企或個人網站在內的互聯網上任意目標發動攻擊,致使目標停止提供服務。
安全漏洞令人憂。網站存在安全漏洞是被攻擊的直接原因,漏洞的危害程度意味著網站被攻擊的難易程度?!讹L險報告》統計顯示,2100個網站漏洞總數達48.7萬個,其中高危漏洞23萬個,民航、郵政、公路、城市交通等領域機構網站均“上榜”。這些漏洞會導致后臺系統管理權限被獲取、敏感信息被泄露、惡意文件被上傳等危害,嚴重者將直接導致網站主機被不法分子遠程控制。
此外,部分網站未取得工業和信息化部的ICP/IP備案或備案已過期,從運營管理的角度看也存在一定的安全隱患。
共享經濟背后存在信息泄露隱患
我國的城市交通迎來了“網絡時代”,網約車、共享單車讓每位使用者直接獲得了快捷方便實惠的生活感受。
通過一部手機,就能聯系一個陌生的私家車車主上下班,共享經濟有其獨特的魅力,然而個人信息也在這種“便利”中被泄露。通過對網約車平臺進行一系列安全性檢測,交通運輸信息安全中心發現多個網約車平臺存在一些共性安全問題。
首先,網約車平臺承載了乘客和車主的手機號、出行軌跡、駕駛證、車輛信息、資金賬戶等數據,部分網約車平臺在數據信息采集、傳輸、處理、存儲等過程中未采取嚴密完善的安全防護措施,存在個人信息泄露、被篡改等安全風險。
其次,網約車系統軟件存在缺陷,軟件編碼規則及開發過程不規范,導致系統平臺存在較多安全漏洞,如移動應用登錄憑證可偽造、越權查詢他人賬單、任意修改提現金額等,將對個人信息及財產安全造成直接影響。
同樣,共享單車也存在類似問題。近期,交通運輸信息安全中心聯合國內移動應用安全廠商對729個共享單車應用進行抽樣測評,發現共享單車應用存在任意賬號可登錄的風險,手機用戶登錄僅需提交手機號和短信驗證碼,即可登錄任意手機賬號,存在此隱患的應用占11%,將會威脅到逾百萬人次的賬戶安全。
個人信息泄露隱患是共享單車應用安全漏洞中最為嚴重的一種。在某共享單車應用的業務流程中,可直接通過校驗短信的響應包,越權查看登錄用戶的姓名及身份證號等敏感信息,從而導致個人信息泄露。
加大全要素投入補短板
行業網站網絡安全“堪憂”、移動應用賬戶“不安全”只是交通運輸行業面臨的部分問題。隨著“互聯網+”向各個領域、企業延伸,交通運輸行業的網絡安全形勢更加嚴峻。
龐松表示,應從制度、機制、投入以及人才方面做好網絡安全工作。要加快建立和完善網絡安全相關配套制度,在完善制度、明確責任、加強防護、預警監測、應急處置等重要環節上精準發力,補齊短板。
針對網絡安全專業人才缺乏的問題,龐松表示,要加強對網絡安全相關新理論新技術的學習,清醒認識到“過不了互聯網這一關,就過不了長期執政這一關”,不斷提升領導干部和管理人員的網絡素養,重視全員網絡安全教育,全方位筑牢網絡安全防線。
上一篇:
技術進步與出行難題共推智慧交通提速
下一篇:
交通部加快智慧交通信息服務體系化建設