工业和信息化部主管 中国电子报社主办
收藏本站投稿

互联网应用

多地社保系统存低级漏洞 曝光后仍不见修复

4月28日下午,一名网络安全专家当着《IT时报》记者的面,打开某知名医疗网站,在没有任何账号的情况下,仅在用户名处输入一串简单代码,并在密码栏随意键入几个字母之后,他便以超级管理员的身份进入了该医疗网站的系统后台。整个过程甚至不足1分钟,该医疗网站内所有的医生信息、患者姓名、性别、联系方式等核心数据均暴露在这位技术专家面前。

为什么这么快?该网络安全专家对记者表示,是因为他已经得知该医疗网站的漏洞。“如今在互联网上,可以随意下载到检测网站漏洞的工具,2个小时后,便能告诉攻击者网站有何种漏洞,黑客便可有的放矢地攻击了。”

更可怕的是,技术专家告诉《IT时报》记者,这个网站安全级别甚至还要高于近期被补天漏洞响应平台曝光的多省份的社保系统。难道我们的社保系统的网络安全性如此不堪!

低级漏洞让社保系统“不设防”

这种网站系统漏洞的学名叫“SQL注入漏洞”。

从2014年5月开始,在补天漏洞响应平台上,涉及居民社保信息泄露的漏洞报告达64个,不仅范围囊括了浙江、安徽、江苏、山西等19省份,涉及居民也已经达到了5000万多。而让人意外的是,这些高危漏洞很大一部分都是共性的低级漏洞错误,这次浙江、广东、湖北5市等地曝出的SQL注入漏洞为最常见的低级漏洞。

王佳煜,上海理想信息产业公司iSec信息安全服务中心主任,他告诉记者:“黑客能够探测到数据库的类型、结构、表格数目,以及对表格字段进行猜解,然后通过构造语句,将黑客所需要用的姓名、身份证号、联系方式等抽取,拖库到本地(指通过非法手段获取网站的数据库)。”

事实上,社保系统中出现的许多漏洞都很低级。如去年曝出的四川省、石家庄市社保局等系统漏洞,均是由“弱口令”导致的。“111111、123456、888888,这些便于记忆的密码对社保系统来说安全系数太低,但是地方管理人员并没有意识到这是一个重要的安全问题。”

王佳煜曾经进行过统计,常见的网站安全漏洞有12种,除SQL注入和弱口令漏洞外,越权漏洞、框架漏洞缺陷、业务逻辑缺陷等都是常见的安全隐患。

今年1月媒体曝出,个人可绕过某市人力资源和社会保障局网站密码验证、查询他人社保信息,属于越权漏洞;苏州市社保基金管理中心网站可被拖库查询所有社保人员信息则是框架漏洞。

安全性常常被牺牲

之所以社保系统容易大面积出现此类漏洞,王佳煜认为:“他们的社保系统通常都交给第三方公司做,而第三方开发公司重点考虑的是功能而不是安全。前些年,软件开发者的安全意识普遍不强,如果功能的实现和安全性有冲突,常常以牺牲安全性为代价,保证功能。另外,为了赶工程期,他们并不会对系统进行充分的安全测试。”

另外一个常见情况是,当初建立的防火墙、入侵检测、服务器安全软件等传统的安全防护措施已经不能够适应当前的安全需要。如乐山市社会保险信息查询中心可拖库查询乐山市所有社保人信息的漏洞原因就是框架太老。“目前黑客采用的都是新型网络攻击方式,而传统的基于网络层防护的安全设备,很容易被黑客绕过,从而发起对用户Web应用层服务和Web内容的恶意攻击”,王佳煜说。

部分社保部门对漏洞视而不见

“之前已经提交过一次,仍未修复,公民的信息真的不值钱吗?”补天上,一位白帽子(正面的黑客,不会恶意利用网络漏洞,而是帮助完善网络安全性)发现自己提交的漏洞至今未被涉及网站——新乡市社保局修复,在再次提交漏洞描述的过程中,他如此写道。

今年4月,在媒体曝光后,虽然多个省市社保部门进行了回复,但是从补天漏洞响应平台的数据来看,近一半以上的漏洞仍然悬而未决,陕西省社保系统泄露全省至少213万参与农村社保人员的信息,可随意修改社保待遇,停发社保金,问题发现3个多月,至今未能修复;新乡市社保局网站被入侵,泄露百万社保信息,白帽子提交多次漏洞,至今仍未修复。

据了解,一般漏洞响应平台流程是,白帽子提交漏洞、漏洞确认、通报厂商、厂商确认、厂商修复五个步骤。但社保部门的漏洞处理一般进行到第三步、第四步就停滞不前了。

谁来为“安全”买单

为什么社保部门不积极解决?刘涛(化名),长期为政府和企业网站进行安全服务,他判断,除了安全意识不够强之外,社保系统代码“牵一发而动全身”的属性也可能是造成社保部门懈怠的原因,“升级网络安全系统,就要带来巨大的工作量,很多部门因此选择不升级。”

刘涛给出的解决方案是定期维护。“安全意识强的客户每个月都会要求我们进行常规的安全测试甚至是渗透测试(模拟黑客攻击)。”刘涛表示他们的客户群中,政府服务进行渗透测试的频次要低很多,不仅如此,更多的类似社保等掌握大量用户信息的部门依旧缺乏安全意识。

刘涛坦承,由于业务的附加值高,这种维护的成本水平并不低。这个行业人才缺乏,没有统一收费标准,刘涛所在部门的普通安全分析员的收费在5000元/天以上,高级安全分析员则要上万。而正常的一次维护周期是一个星期,可见费用之高。

另一个解决方案是为数据加密。明朝万达总裁王志海告诉《IT时报》记者,因为不断会有新的漏洞出现,事后的定期漏洞修复不能从根本解决问题,所以他们业务的着力点是在为政府或企业的数据进行加密。“这样一来,即使黑客盗取了数据库,但是因为加密,看到的将是一串乱码。”

明朝万达提供给政府或企业的解决方案是一次性的,不过他们的收费水平更高,据透露他们为中国某电信运营商提供的数据加密服务的收费高达200万元。

该不该花大价钱为安全买单,仍是摆在政府网站们面前的艰难选择题。

责任编辑:闵杰


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

聚焦2021年全国两会

3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。

2021年全国工业和信息化工作会议

12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。

2020年中国家电市场报告

3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。

世界超高清视频(4K/8K)产业发展大会

会议

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。

2020世界VR产业大会云峰会

10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。

世界显示产业大会

本周排行