首頁 / 資訊中心 / 趨勢研究/行業(yè)網(wǎng)站存高危漏洞 筑牢交通網(wǎng)安防線刻不容緩

行業(yè)網(wǎng)站存高危漏洞 筑牢交通網(wǎng)安防線刻不容緩

發(fā)布時間:2017-10-10 分類:趨勢研究

5月全球爆發(fā)勒索病毒,6月《網(wǎng)絡安全法》正式實施,9月網(wǎng)絡安全宣傳周引發(fā)社會關注……2017年,注定是網(wǎng)絡安全工作里程碑式的一年。圍繞當下公眾關注的網(wǎng)絡安全難點、熱點問題,中國交通報特別邀請專家詳細闡述行業(yè)網(wǎng)絡安全現(xiàn)狀、網(wǎng)絡技術與內(nèi)容安全面臨的威脅、行業(yè)網(wǎng)絡安全的重點工作,并對網(wǎng)絡安全常見問題進行科普,以期引導交通運輸行業(yè)強化網(wǎng)絡安全防范意識,為全社會筑起網(wǎng)絡安全長城。
 
今年5月,勒索病毒全球肆虐,網(wǎng)絡安全敲響警鐘。這次事件中,交通運輸行業(yè)一些政府部門、企事業(yè)單位的網(wǎng)絡安全“漏洞”再次暴露:主要領導認知程度不夠、全員安全意識薄弱、投入不足、專業(yè)人才缺乏……
 
交通運輸部科技司司長龐松表示,當前和今后一個時期是交通運輸網(wǎng)絡安全工作攻堅克難的關鍵時期,要牢固樹立“保交通運輸網(wǎng)絡安全就是保行業(yè)安全、國家安全”的思想認識,守好行業(yè)、服務大局,為智慧交通發(fā)展和交通運輸強國建設提供堅強的網(wǎng)絡安全保障。
 
部分行業(yè)網(wǎng)站容易被攻擊
 
目前,全球正逐漸形成新興的“智能運輸”市場,以自動駕駛車輛、物聯(lián)網(wǎng)等新技術為特征,并越來越多地利用個人數(shù)據(jù)提供定制服務,這給“本身脆弱的”交通運輸網(wǎng)絡增添了復雜性,帶來新的網(wǎng)絡安全威脅。
 
今年年初,中國交通通信信息中心下屬交通運輸信息安全中心發(fā)布《交通運輸行業(yè)網(wǎng)站安全風險態(tài)勢報告》(簡稱《風險報告》),對2016年交通運輸行業(yè)2100個網(wǎng)站進行網(wǎng)絡安全大數(shù)據(jù)分析和評價,發(fā)現(xiàn)普遍存在網(wǎng)站安全事件、安全漏洞風險以及基本運行隱患。
 
網(wǎng)站易遭受三大攻擊。網(wǎng)站是企事業(yè)單位、政府機關的形象窗口,也是對外開展業(yè)務、提供服務的重要渠道,頁面篡改不僅帶來重大的網(wǎng)絡內(nèi)容(意識形態(tài))風險,也成為很多不法分子進行欺詐犯罪活動的主要手段之一。
 
數(shù)據(jù)顯示,交通運輸行業(yè)網(wǎng)站安全事件類型主要為頁面篡改、被植入后門以及遭遇DDoS(分布式拒絕服務)攻擊三大類。去年,共有7.8%的網(wǎng)站被篡改逾2.3萬次,內(nèi)容非運營主體所發(fā)布是一種現(xiàn)象,也存在用戶明明打開A網(wǎng)站卻發(fā)現(xiàn)被鬼使神差地“劫持”到了B網(wǎng)站上的現(xiàn)象,這些網(wǎng)站極易被不法分子利用進行欺詐犯罪等活動。
 
交通運輸行業(yè)174個網(wǎng)站服務器上被發(fā)現(xiàn)存在后門或存在過后門,公路行業(yè)網(wǎng)站服務器、城市公交網(wǎng)站受影響情況最為嚴重,網(wǎng)站存在后門會導致網(wǎng)站被遠程控制、頁面內(nèi)容被篡改、流量被劫持、頁面被掛馬,甚至數(shù)據(jù)被“拖庫”等,直接危害網(wǎng)站主體及訪問者安全。
 
246個域名主機曾經(jīng)遭到466次DDoS攻擊,平均每個域名主機遭到攻擊約4.5次,單個域名主機最多遭到攻擊34次,其中公路、水運行業(yè)網(wǎng)站受影響超8成;68個域名所在主機遭到過僵尸網(wǎng)絡控制并對外發(fā)動DDoS攻擊,不法分子通過控制服務器等,對包括國家骨干網(wǎng)絡、重要網(wǎng)絡設施、政企或個人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任意目標發(fā)動攻擊,致使目標停止提供服務。
 
安全漏洞令人憂。網(wǎng)站存在安全漏洞是被攻擊的直接原因,漏洞的危害程度意味著網(wǎng)站被攻擊的難易程度。《風險報告》統(tǒng)計顯示,2100個網(wǎng)站漏洞總數(shù)達48.7萬個,其中高危漏洞23萬個,民航、郵政、公路、城市交通等領域機構網(wǎng)站均“上榜”。這些漏洞會導致后臺系統(tǒng)管理權限被獲取、敏感信息被泄露、惡意文件被上傳等危害,嚴重者將直接導致網(wǎng)站主機被不法分子遠程控制。
 
此外,部分網(wǎng)站未取得工業(yè)和信息化部的ICP/IP備案或備案已過期,從運營管理的角度看也存在一定的安全隱患。
 
共享經(jīng)濟背后存在信息泄露隱患
 
我國的城市交通迎來了“網(wǎng)絡時代”,網(wǎng)約車、共享單車讓每位使用者直接獲得了快捷方便實惠的生活感受。
 
通過一部手機,就能聯(lián)系一個陌生的私家車車主上下班,共享經(jīng)濟有其獨特的魅力,然而個人信息也在這種“便利”中被泄露。通過對網(wǎng)約車平臺進行一系列安全性檢測,交通運輸信息安全中心發(fā)現(xiàn)多個網(wǎng)約車平臺存在一些共性安全問題。
 
首先,網(wǎng)約車平臺承載了乘客和車主的手機號、出行軌跡、駕駛證、車輛信息、資金賬戶等數(shù)據(jù),部分網(wǎng)約車平臺在數(shù)據(jù)信息采集、傳輸、處理、存儲等過程中未采取嚴密完善的安全防護措施,存在個人信息泄露、被篡改等安全風險。
 
其次,網(wǎng)約車系統(tǒng)軟件存在缺陷,軟件編碼規(guī)則及開發(fā)過程不規(guī)范,導致系統(tǒng)平臺存在較多安全漏洞,如移動應用登錄憑證可偽造、越權查詢他人賬單、任意修改提現(xiàn)金額等,將對個人信息及財產(chǎn)安全造成直接影響。
 
同樣,共享單車也存在類似問題。近期,交通運輸信息安全中心聯(lián)合國內(nèi)移動應用安全廠商對729個共享單車應用進行抽樣測評,發(fā)現(xiàn)共享單車應用存在任意賬號可登錄的風險,手機用戶登錄僅需提交手機號和短信驗證碼,即可登錄任意手機賬號,存在此隱患的應用占11%,將會威脅到逾百萬人次的賬戶安全。
 
個人信息泄露隱患是共享單車應用安全漏洞中最為嚴重的一種。在某共享單車應用的業(yè)務流程中,可直接通過校驗短信的響應包,越權查看登錄用戶的姓名及身份證號等敏感信息,從而導致個人信息泄露。
 
加大全要素投入補短板
 
行業(yè)網(wǎng)站網(wǎng)絡安全“堪憂”、移動應用賬戶“不安全”只是交通運輸行業(yè)面臨的部分問題。隨著“互聯(lián)網(wǎng)+”向各個領域、企業(yè)延伸,交通運輸行業(yè)的網(wǎng)絡安全形勢更加嚴峻。
 
龐松表示,應從制度、機制、投入以及人才方面做好網(wǎng)絡安全工作。要加快建立和完善網(wǎng)絡安全相關配套制度,在完善制度、明確責任、加強防護、預警監(jiān)測、應急處置等重要環(huán)節(jié)上精準發(fā)力,補齊短板。
 
針對網(wǎng)絡安全專業(yè)人才缺乏的問題,龐松表示,要加強對網(wǎng)絡安全相關新理論新技術的學習,清醒認識到“過不了互聯(lián)網(wǎng)這一關,就過不了長期執(zhí)政這一關”,不斷提升領導干部和管理人員的網(wǎng)絡素養(yǎng),重視全員網(wǎng)絡安全教育,全方位筑牢網(wǎng)絡安全防線。