2017年12月全國人大(dà)常委會(huì)執法檢查組關于檢查《網絡安全法》、《關于加強網絡信息保護的決定》實施情況的報(bào)告,提請(qǐng)十二屆全國人大(dà)常委會(huì)第三十一次會(huì)議(yì)審議(yì)。爲了(le)解網絡運行情況,執法檢查組委托中國信息安全測評中心對(duì)随機選取的120個關鍵信息基礎設施(60個門(mén)戶網站(zhàn)和(hé)60個業務系統)進行了(le)遠程滲透測試和(hé)漏洞掃描。
報(bào)告顯示,本次遠程測試的120個關鍵信息基礎設施中,共存在30個安全漏洞,包括高(gāo)危漏洞13個,其中某省級部門(mén)互聯網監管綜合平台存在越權上(shàng)傳、越權下(xià)載、越權删除文(wén)件等3個高(gāo)危漏洞,嚴重威脅了(le)系統及服務器安全,也(yě)存在嚴重的用(yòng)戶信息洩露風(fēng)險。遠程檢測還發現(xiàn),多個設區(qū)的市政府門(mén)戶網站(zhàn)存在頁面被篡改風(fēng)險。
公安部82号令第七條明(míng)文(wén)規定,聯網服務提供者和(hé)聯網使用(yòng)單位應當落實以下(xià)互聯網安全保護技術措施:
1. 防範計(jì)算(suàn)機病毒、網絡入侵和(hé)攻擊破壞等危害網絡安全事(shì)項或者行爲的技術措施;
2. 重要數據庫和(hé)系統主要設備的冗災備份措施;
3. 記錄并留存用(yòng)戶登錄和(hé)退出時(shí)間、主叫号碼、賬号、互聯網地址或域名、系統維護日志的技術措施;
4. 法律、法規和(hé)規章規定應當落實的其他(tā)安全保護技術措施。
根據IDC的統計(jì)當前網絡上(shàng)75%的攻擊是針對(duì)Web應用(yòng)的。Web應用(yòng)的日益增多,Web濫用(yòng)、病毒泛濫和(hé)黑客攻擊等安全問題頻頻發生,導緻Web應用(yòng)被篡改、數據被竊取或丢失。
政府機關單位面臨的Web安全攻擊主要有以下(xià)幾種:
1. SQL注入;
3. 跨站(zhàn)XSS;
3. 目錄遍曆;
4. 網頁篡改;
5. 敏感數據洩露。