网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

主页 > 业界资讯 > 网络渗透测试

全國人民代表大會常務委員會執法檢查組關於檢(4)

一是網絡安全態勢感知平台建設滯后。網絡安全風險具有很強的隱蔽性,感知安全態勢是做好網絡安全最基本最基礎的工作。維護網絡安全,首先要知道風險在哪裡,是什麼樣的風險,什麼時候發生風險。但不少省份尚未啟動網絡安全態勢感知平台建設,不能實現對重要信息系統網絡安全風險的全天候實時、動態監測。二是容災備份體系建設總體滯后。不少關系國計民生的關鍵信息基礎設施運營單位沒有按照法律規定對重要數據進行異地容災備份,而僅僅採取了一些簡單的數據備份措施,有的甚至尚未進行過容災備份,不能有效應對重大網絡安全風險。在有些省份,多數重要信息系統未按法律要求進行異地容災備份。三是重要工業控制企業的設備和控制系統國產化程度有待提高。一些重要工控企業對外國技術依賴嚴重,不僅生產控制系統由國外公司建設,配套的網絡及安全設備也採用國外產品,網絡及安全設備的配置由外方人員操控,企業內部人員甚至不掌握安全設備配置和管理權限。在有的省份,重要工控企業的生產控制系統國產化率不足20%。四是應急預案流於形式。有的網絡安全應急預案側重於設備設施障礙的排除,針對網絡攻擊、信息泄露等網絡空間安全事件的內容較少﹔有的應急預案缺乏可操作性﹔有的應急預案長期未修訂,已不能應對當下的網絡安全事件﹔許多單位由於應急演練相關條件不足,未真正舉行過應急演練﹔不少地方和行業用於解決網絡安全問題的經費不足,發現了問題后,往往因經費缺乏不能及時解決。

(三)網絡安全風險和隱患突出

為了解網絡運行情況,執法檢查組委托中國信息安全測評中心對隨機選取的120個關鍵信息基礎設施(60個門戶網站和60個業務系統)進行了遠程滲透測試和漏洞掃描。該中心出具的報告顯示,本次遠程測試的120個關鍵信息基礎設施中,共存在30個安全漏洞,包括高危漏洞13個,其中某省級部門互聯網監管綜合平台存在越權上傳、越權下載、越權刪除文件等3個高危漏洞,嚴重威脅了系統及服務器安全,也存在嚴重的用戶信息泄露風險。遠程檢測還發現,多個設區的市政府門戶網站存在頁面被篡改風險。執法檢查組現場抽查時發現,許多單位沒有依照法律規定留存網絡日志,這可能導致發生網絡安全事件時無法及時進行追溯和處置﹔有的單位從未對重要信息系統進行風險評估,對可能面臨的網絡安全態勢缺乏認知。檢查還發現,在許多單位,內網和專網安全建設沒有引起足夠重視,有的單位對內網系統未部署任何安全防護設施,長期不進行漏洞掃描,存在重大網絡安全隱患。隨著各地區各領域信息化建設的推進,各行業各領域數據化、在線化、遠程化趨勢更加明顯,對網絡安全提出了更高要求。

(四)用戶個人信息保護工作形勢嚴峻

“萬人調查報告”顯示,“一法一決定”關於用戶個人信息保護的多項制度落實得並不理想:有52.1%的受訪者認為,法律關於“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,必須明示收集、使用信息的目的、方式和范圍”的規定執行得不好或者一般﹔有49.6%的受訪者曾遇到過度收集用戶信息現象,其中18.3%的受訪者經常遇到過度採集用戶信息現象﹔有61.2%的人遇到過有關企業利用自己的優勢地位強制收集、使用用戶信息,如果不接受就不能使用該產品或接受服務的“霸王條款”﹔有52.5%的人認為執法部門保護用戶信息的成效一般或者不好,不少人反映,在發現本人信息被泄露或者被濫用后,舉報難、投訴難、立案難現象比較普遍。許多受訪者反映,當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私問題,但幾乎沒有受到任何監管和依法懲處。檢查發現,有的互聯網公司和公共服務部門存儲了大量公民個人信息,但安防技術嚴重滯后,容易被不法分子竊取和盜用。一些單位內控制度不完善或不落實,少數“內鬼”為牟取不法利益鋌而走險,致使用戶信息大批量泄露。當前在一些地方,利用網絡非法採集、竊取、販賣和利用用戶信息已形成黑色產業鏈。從公安部門近期破獲的案件看,用戶信息泄露呈現渠道多、竊取違法行為成本低、追查難度大等特點,而且違法分子使用的手段不斷升級,因用戶信息泄露引發的“精准詐騙”案件增多,給人民群眾財產安全造成嚴重危害。

(五)網絡安全執法體制有待進一步理順

(责任编辑:admin)