首页热门文章
行业网站存高危漏洞 筑牢交通网安防线刻不容缓
发布时间:2017-10-10 分类:趋势研究
5月全球爆发勒索病毒,6月《网络安全法》正式实施,9月网络安全宣传周引发社会关注……2017年,注定是网络安全工作里程碑式的一年。围绕当下公众关注的网络安全难点、热点问题,中国交通报特别邀请专家详细阐述行业网络安全现状、网络技术与内容安全面临的威胁、行业网络安全的重点工作,并对网络安全常见问题进行科普,以期引导交通运输行业强化网络安全防范意识,为全社会筑起网络安全长城。
今年5月,勒索病毒全球肆虐,网络安全敲响警钟。这次事件中,交通运输行业一些政府部门、企事业单位的网络安全“漏洞”再次暴露:主要领导认知程度不够、全员安全意识薄弱、投入不足、专业人才缺乏……
交通运输部科技司司长庞松表示,当前和今后一个时期是交通运输网络安全工作攻坚克难的关键时期,要牢固树立“保交通运输网络安全就是保行业安全、国家安全”的思想认识,守好行业、服务大局,为智慧交通发展和交通运输强国建设提供坚强的网络安全保障。
部分行业网站容易被攻击
目前,全球正逐渐形成新兴的“智能运输”市场,以自动驾驶车辆、物联网等新技术为特征,并越来越多地利用个人数据提供定制服务,这给“本身脆弱的”交通运输网络增添了复杂性,带来新的网络安全威胁。
今年年初,中国交通通信信息中心下属交通运输信息安全中心发布《交通运输行业网站安全风险态势报告》(简称《风险报告》),对2016年交通运输行业2100个网站进行网络安全大数据分析和评价,发现普遍存在网站安全事件、安全漏洞风险以及基本运行隐患。
网站易遭受三大攻击。网站是企事业单位、政府机关的形象窗口,也是对外开展业务、提供服务的重要渠道,页面篡改不仅带来重大的网络内容(意识形态)风险,也成为很多不法分子进行欺诈犯罪活动的主要手段之一。
数据显示,交通运输行业网站安全事件类型主要为页面篡改、被植入后门以及遭遇DDoS(分布式拒绝服务)攻击三大类。去年,共有7.8%的网站被篡改逾2.3万次,内容非运营主体所发布是一种现象,也存在用户明明打开A网站却发现被鬼使神差地“劫持”到了B网站上的现象,这些网站极易被不法分子利用进行欺诈犯罪等活动。
交通运输行业174个网站服务器上被发现存在后门或存在过后门,公路行业网站服务器、城市公交网站受影响情况最为严重,网站存在后门会导致网站被远程控制、页面内容被篡改、流量被劫持、页面被挂马,甚至数据被“拖库”等,直接危害网站主体及访问者安全。
246个域名主机曾经遭到466次DDoS攻击,平均每个域名主机遭到攻击约4.5次,单个域名主机最多遭到攻击34次,其中公路、水运行业网站受影响超8成;68个域名所在主机遭到过僵尸网络控制并对外发动DDoS攻击,不法分子通过控制服务器等,对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任意目标发动攻击,致使目标停止提供服务。
安全漏洞令人忧。网站存在安全漏洞是被攻击的直接原因,漏洞的危害程度意味着网站被攻击的难易程度。《风险报告》统计显示,2100个网站漏洞总数达48.7万个,其中高危漏洞23万个,民航、邮政、公路、城市交通等领域机构网站均“上榜”。这些漏洞会导致后台系统管理权限被获取、敏感信息被泄露、恶意文件被上传等危害,严重者将直接导致网站主机被不法分子远程控制。
此外,部分网站未取得工业和信息化部的ICP/IP备案或备案已过期,从运营管理的角度看也存在一定的安全隐患。
共享经济背后存在信息泄露隐患
我国的城市交通迎来了“网络时代”,网约车、共享单车让每位使用者直接获得了快捷方便实惠的生活感受。
通过一部手机,就能联系一个陌生的私家车车主上下班,共享经济有其独特的魅力,然而个人信息也在这种“便利”中被泄露。通过对网约车平台进行一系列安全性检测,交通运输信息安全中心发现多个网约车平台存在一些共性安全问题。
首先,网约车平台承载了乘客和车主的手机号、出行轨迹、驾驶证、车辆信息、资金账户等数据,部分网约车平台在数据信息采集、传输、处理、存储等过程中未采取严密完善的安全防护措施,存在个人信息泄露、被篡改等安全风险。
其次,网约车系统软件存在缺陷,软件编码规则及开发过程不规范,导致系统平台存在较多安全漏洞,如移动应用登录凭证可伪造、越权查询他人账单、任意修改提现金额等,将对个人信息及财产安全造成直接影响。
同样,共享单车也存在类似问题。近期,交通运输信息安全中心联合国内移动应用安全厂商对729个共享单车应用进行抽样测评,发现共享单车应用存在任意账号可登录的风险,手机用户登录仅需提交手机号和短信验证码,即可登录任意手机账号,存在此隐患的应用占11%,将会威胁到逾百万人次的账户安全。
个人信息泄露隐患是共享单车应用安全漏洞中最为严重的一种。在某共享单车应用的业务流程中,可直接通过校验短信的响应包,越权查看登录用户的姓名及身份证号等敏感信息,从而导致个人信息泄露。
加大全要素投入补短板
行业网站网络安全“堪忧”、移动应用账户“不安全”只是交通运输行业面临的部分问题。随着“互联网+”向各个领域、企业延伸,交通运输行业的网络安全形势更加严峻。
庞松表示,应从制度、机制、投入以及人才方面做好网络安全工作。要加快建立和完善网络安全相关配套制度,在完善制度、明确责任、加强防护、预警监测、应急处置等重要环节上精准发力,补齐短板。
针对网络安全专业人才缺乏的问题,庞松表示,要加强对网络安全相关新理论新技术的学习,清醒认识到“过不了互联网这一关,就过不了长期执政这一关”,不断提升领导干部和管理人员的网络素养,重视全员网络安全教育,全方位筑牢网络安全防线。
今年5月,勒索病毒全球肆虐,网络安全敲响警钟。这次事件中,交通运输行业一些政府部门、企事业单位的网络安全“漏洞”再次暴露:主要领导认知程度不够、全员安全意识薄弱、投入不足、专业人才缺乏……
交通运输部科技司司长庞松表示,当前和今后一个时期是交通运输网络安全工作攻坚克难的关键时期,要牢固树立“保交通运输网络安全就是保行业安全、国家安全”的思想认识,守好行业、服务大局,为智慧交通发展和交通运输强国建设提供坚强的网络安全保障。
部分行业网站容易被攻击
目前,全球正逐渐形成新兴的“智能运输”市场,以自动驾驶车辆、物联网等新技术为特征,并越来越多地利用个人数据提供定制服务,这给“本身脆弱的”交通运输网络增添了复杂性,带来新的网络安全威胁。
今年年初,中国交通通信信息中心下属交通运输信息安全中心发布《交通运输行业网站安全风险态势报告》(简称《风险报告》),对2016年交通运输行业2100个网站进行网络安全大数据分析和评价,发现普遍存在网站安全事件、安全漏洞风险以及基本运行隐患。
网站易遭受三大攻击。网站是企事业单位、政府机关的形象窗口,也是对外开展业务、提供服务的重要渠道,页面篡改不仅带来重大的网络内容(意识形态)风险,也成为很多不法分子进行欺诈犯罪活动的主要手段之一。
数据显示,交通运输行业网站安全事件类型主要为页面篡改、被植入后门以及遭遇DDoS(分布式拒绝服务)攻击三大类。去年,共有7.8%的网站被篡改逾2.3万次,内容非运营主体所发布是一种现象,也存在用户明明打开A网站却发现被鬼使神差地“劫持”到了B网站上的现象,这些网站极易被不法分子利用进行欺诈犯罪等活动。
交通运输行业174个网站服务器上被发现存在后门或存在过后门,公路行业网站服务器、城市公交网站受影响情况最为严重,网站存在后门会导致网站被远程控制、页面内容被篡改、流量被劫持、页面被挂马,甚至数据被“拖库”等,直接危害网站主体及访问者安全。
246个域名主机曾经遭到466次DDoS攻击,平均每个域名主机遭到攻击约4.5次,单个域名主机最多遭到攻击34次,其中公路、水运行业网站受影响超8成;68个域名所在主机遭到过僵尸网络控制并对外发动DDoS攻击,不法分子通过控制服务器等,对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任意目标发动攻击,致使目标停止提供服务。
安全漏洞令人忧。网站存在安全漏洞是被攻击的直接原因,漏洞的危害程度意味着网站被攻击的难易程度。《风险报告》统计显示,2100个网站漏洞总数达48.7万个,其中高危漏洞23万个,民航、邮政、公路、城市交通等领域机构网站均“上榜”。这些漏洞会导致后台系统管理权限被获取、敏感信息被泄露、恶意文件被上传等危害,严重者将直接导致网站主机被不法分子远程控制。
此外,部分网站未取得工业和信息化部的ICP/IP备案或备案已过期,从运营管理的角度看也存在一定的安全隐患。
共享经济背后存在信息泄露隐患
我国的城市交通迎来了“网络时代”,网约车、共享单车让每位使用者直接获得了快捷方便实惠的生活感受。
通过一部手机,就能联系一个陌生的私家车车主上下班,共享经济有其独特的魅力,然而个人信息也在这种“便利”中被泄露。通过对网约车平台进行一系列安全性检测,交通运输信息安全中心发现多个网约车平台存在一些共性安全问题。
首先,网约车平台承载了乘客和车主的手机号、出行轨迹、驾驶证、车辆信息、资金账户等数据,部分网约车平台在数据信息采集、传输、处理、存储等过程中未采取严密完善的安全防护措施,存在个人信息泄露、被篡改等安全风险。
其次,网约车系统软件存在缺陷,软件编码规则及开发过程不规范,导致系统平台存在较多安全漏洞,如移动应用登录凭证可伪造、越权查询他人账单、任意修改提现金额等,将对个人信息及财产安全造成直接影响。
同样,共享单车也存在类似问题。近期,交通运输信息安全中心联合国内移动应用安全厂商对729个共享单车应用进行抽样测评,发现共享单车应用存在任意账号可登录的风险,手机用户登录仅需提交手机号和短信验证码,即可登录任意手机账号,存在此隐患的应用占11%,将会威胁到逾百万人次的账户安全。
个人信息泄露隐患是共享单车应用安全漏洞中最为严重的一种。在某共享单车应用的业务流程中,可直接通过校验短信的响应包,越权查看登录用户的姓名及身份证号等敏感信息,从而导致个人信息泄露。
加大全要素投入补短板
行业网站网络安全“堪忧”、移动应用账户“不安全”只是交通运输行业面临的部分问题。随着“互联网+”向各个领域、企业延伸,交通运输行业的网络安全形势更加严峻。
庞松表示,应从制度、机制、投入以及人才方面做好网络安全工作。要加快建立和完善网络安全相关配套制度,在完善制度、明确责任、加强防护、预警监测、应急处置等重要环节上精准发力,补齐短板。
针对网络安全专业人才缺乏的问题,庞松表示,要加强对网络安全相关新理论新技术的学习,清醒认识到“过不了互联网这一关,就过不了长期执政这一关”,不断提升领导干部和管理人员的网络素养,重视全员网络安全教育,全方位筑牢网络安全防线。
上一篇:
技术进步与出行难题共推智慧交通提速
下一篇:
交通部加快智慧交通信息服务体系化建设
