人社部:全國社保系統(tǒng)平穩(wěn),公民信息未泄露,漏洞將修復(fù)

  全程導(dǎo)醫(yī)網(wǎng) 徐州醫(yī)保信息近日,知名漏洞響應(yīng)平臺(tái)曝光江蘇、陜西、四川、浙江、山西等全國至少9省份的社保信息存在漏洞,數(shù)千萬用戶的社保信息遭遇泄露危機(jī)。據(jù)記者了解,目前,40%的漏洞已經(jīng)修復(fù),但仍有涉及超過千萬居民的數(shù)據(jù)漏洞未能修復(fù)。

  23日,人力資源和社會(huì)保障部副部長(zhǎng)胡曉義對(duì)此回應(yīng),已要求涉事地區(qū)排查隱患。確實(shí)存在漏洞的,要在第一時(shí)間采取措施,予以封堵。同時(shí),從目前的監(jiān)控情況看,全國社保系統(tǒng)總體運(yùn)行平穩(wěn),未發(fā)現(xiàn)公民個(gè)人信息泄露事件。

  記者調(diào)查發(fā)現(xiàn),低級(jí)錯(cuò)誤和懶政行為是這場(chǎng)危機(jī)的重要原因。

  超千萬居民信息漏洞尚未修復(fù)

  記者從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示,從2014年4月以來,涉及居民社保信息泄露的報(bào)告達(dá)46個(gè),其中高危44個(gè),至少涉及江蘇、陜西、四川、浙江、山西等19省份,涉及人員高達(dá)5200萬。其中超過千萬居民的相關(guān)信息漏洞至今未修復(fù)。

  有媒體前日?qǐng)?bào)道稱,據(jù)該平臺(tái)的漏洞信息顯示,陜西省人力資源和社會(huì)保障廳社保系統(tǒng)漏洞可能泄露全省至少213萬農(nóng)村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇,停發(fā)社保金;浙江省永康市社保網(wǎng)上辦事大廳存在漏洞,上萬單位企業(yè)信息或遭泄露,其中包括上百萬員工社保信息;江蘇省省級(jí)機(jī)關(guān)住房資金管理中心系統(tǒng)出現(xiàn)漏洞,可能導(dǎo)致江蘇省2510個(gè)單位10萬公務(wù)員的姓名、身份證、社保信息遭泄漏。

  記者昨日了解到,截至22日,多省市社保系統(tǒng)已對(duì)漏洞進(jìn)行修復(fù),40%的漏洞已經(jīng)修復(fù)。比如,涉及822萬人的遼寧省沈陽市社保局某系統(tǒng)SQL注入問題、涉及643萬人的山東省煙臺(tái)市社保網(wǎng)上辦事大廳安全漏洞問題、涉及213萬人的陜西省人力資源和社會(huì)保障廳社保系統(tǒng)漏洞等均已經(jīng)修復(fù)。

  此外,還與部分省市社保系統(tǒng)未能修復(fù)。比如,吉林省長(zhǎng)春市某醫(yī)保系統(tǒng)漏洞,可導(dǎo)致參保的學(xué)校和企業(yè)單位用戶的醫(yī)保信息泄露,涉及772萬人,這個(gè)信息漏洞發(fā)現(xiàn)三個(gè)多月,至今未能修復(fù)。

  胡曉義昨日說,社保信息系統(tǒng)牽涉廣大群眾的切身利益,人社部高度關(guān)注這一問題,將采取必要的措施進(jìn)行漏洞修補(bǔ),以負(fù)責(zé)任的態(tài)度保障參保人的個(gè)人信息安全和社保基金安全。目前,人社部信息中心已向平臺(tái)了解其所監(jiān)控到的漏洞信息,同時(shí)向多個(gè)地方人社部門了解情況,要求這些地區(qū)對(duì)隱患進(jìn)行排查。確實(shí)存在漏洞的,要在第一時(shí)間采取措施,予以封堵。

  漏洞出現(xiàn)數(shù)月,未采取措施

  補(bǔ)天漏洞響應(yīng)平臺(tái)此次曝光的名單,或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺(tái)---烏云漏洞報(bào)告平臺(tái)負(fù)責(zé)人孟卓向記者介紹,該平臺(tái)從2011年以來提交的社會(huì)保障、醫(yī)保和公積金類的信息泄露名單,數(shù)量高達(dá)近200個(gè),至少涉及20個(gè)省份。

  專家分析,政府網(wǎng)站出現(xiàn)大面積的信息漏洞,一方面是管理人員對(duì)其所采用的系統(tǒng)不夠了解,技術(shù)水平不高,導(dǎo)致存在很多技術(shù)性安全漏洞。但更重要原因,則是相關(guān)管理人員的安全意識(shí)不夠,責(zé)任心不強(qiáng)。

  孟卓說,涉及政府部門網(wǎng)站的信息泄露一般分為幾類:弱口令泄露、數(shù)據(jù)庫與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級(jí)失誤。“與互聯(lián)網(wǎng)企業(yè)相比,政府機(jī)構(gòu)網(wǎng)站的信息安全漏洞都非常低級(jí),不應(yīng)該出現(xiàn)。”

  設(shè)置非常簡(jiǎn)單、容易猜到管理密碼的弱口令泄露,是此次信息安全泄露的重要一類,修改密碼就能解決諸多相關(guān)問題。但是,多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間,沒有采取任何行動(dòng),有的至今未修復(fù)漏洞。孟卓說:“弱口令泄露在技術(shù)修復(fù)上不存在任何難度,甚至要不了幾分鐘。歷時(shí)多月而不修復(fù),往往是管理人員的懶政導(dǎo)致的。”

  比如,涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題、涉及428萬人的四川省內(nèi)江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題,都屬于此類。但從今年1月漏洞被發(fā)現(xiàn)至今,均未做任何修復(fù)。

  懶政惰政可見端倪,專家稱應(yīng)追責(zé)

  專家還說,數(shù)據(jù)保管不當(dāng)也是此次信息泄露危機(jī)的重要原因。

  一些地方政府相關(guān)部門的懶政惰政,從漏洞報(bào)告平臺(tái)與之溝通的情況也可見端倪。補(bǔ)天平臺(tái)相關(guān)負(fù)責(zé)人告訴記者,該平臺(tái)對(duì)信息安全漏洞的發(fā)布和處理,會(huì)經(jīng)過提交漏洞、確認(rèn)漏洞、通報(bào)機(jī)構(gòu)、機(jī)構(gòu)確認(rèn)、機(jī)構(gòu)修復(fù)五個(gè)步驟。漏洞數(shù)據(jù)將被同步實(shí)時(shí)通報(bào)給公安部、網(wǎng)信辦和國家漏洞庫,相關(guān)情況還會(huì)反饋給涉事機(jī)構(gòu)。但在實(shí)際操作中,如果涉事對(duì)象是政府網(wǎng)站,就往往得不到回應(yīng)。“好一點(diǎn)的雖然不愿意溝通,但至少能悄悄地把漏洞修復(fù)了。但還有一些,卻連花幾分鐘修復(fù)最簡(jiǎn)單的漏洞都不愿意。”

  專家指出,個(gè)人信息保護(hù)變得越來越重要,要防堵政府網(wǎng)站的個(gè)人信息泄露,需要提升意識(shí)、引入優(yōu)秀人才,還要建立問責(zé)機(jī)制,責(zé)任到人,防止“集體負(fù)責(zé)”變成“無人負(fù)責(zé)”。

  安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光說,我國互聯(lián)網(wǎng)發(fā)展速度快,但在信息安全方面的防護(hù)能力、防護(hù)意識(shí)和防護(hù)水平都有待提升,尤其是政務(wù)信息化安全水平較弱,應(yīng)在思想意識(shí)上提升對(duì)信息安全和數(shù)據(jù)安全重要性的認(rèn)知。

  孟卓說,不少政府部門在信息管理方面依然是重建設(shè)輕維護(hù)。政府機(jī)構(gòu)的網(wǎng)站往往由傳統(tǒng)機(jī)構(gòu)進(jìn)行維護(hù),有的簡(jiǎn)單外包給第三方企業(yè),對(duì)系統(tǒng)安全性不夠重視,技術(shù)人員對(duì)安全的理解也較為老舊,已經(jīng)不能適應(yīng)當(dāng)今信息安全的發(fā)展。

  啟明星辰首席戰(zhàn)略官、中國計(jì)算機(jī)學(xué)會(huì)常務(wù)理事潘柱廷說,我國現(xiàn)在缺乏對(duì)信息安全泄露的問責(zé)機(jī)制。政府部門里往往沒有人對(duì)信息泄露負(fù)責(zé),有些“集體負(fù)責(zé)”實(shí)際上是無人負(fù)責(zé),有些“一把手負(fù)責(zé)”實(shí)際上也是沒人負(fù)責(zé)。應(yīng)在體制機(jī)制上進(jìn)行改革,在社保等重要部門要設(shè)立“首席信息安全官”等職位負(fù)責(zé)信息安全問題,并在經(jīng)費(fèi)投入等方面加大支持力度。

  胡曉義昨天表示,人社部建立了覆蓋全國部、省、市三級(jí)的信息安全監(jiān)控系統(tǒng),并委托國家網(wǎng)絡(luò)安全專業(yè)檢測(cè)機(jī)構(gòu),對(duì)人社系統(tǒng)的網(wǎng)絡(luò)安全性進(jìn)行實(shí)時(shí)監(jiān)控。從目前的監(jiān)控情況看,全國社保系統(tǒng)總體運(yùn)行平穩(wěn),未發(fā)現(xiàn)公民個(gè)人信息泄露事件。“歡迎社會(huì)各界對(duì)社保系統(tǒng)安全提出建議和意見,對(duì)于發(fā)現(xiàn)的安全漏洞,通過合法渠道向國家有關(guān)部門報(bào)告,或直接與人社部聯(lián)系。“

  事件焦點(diǎn):漏洞可能導(dǎo)致哪些危害?

  就在人們對(duì)大數(shù)據(jù)極力熱捧之時(shí),大數(shù)據(jù)的安全危機(jī)已經(jīng)逐漸顯露。來自360公司的統(tǒng)計(jì)數(shù)據(jù)顯示,2014年一年中360網(wǎng)站安全監(jiān)測(cè)平臺(tái)掃描的網(wǎng)站中有65%的網(wǎng)站存在漏洞。

  補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示,補(bǔ)天平臺(tái)發(fā)現(xiàn)的漏洞大多數(shù)是由于網(wǎng)站搭建時(shí)期編寫代碼時(shí)有缺陷造成的,通過這些缺陷,黑客可能入侵到網(wǎng)站主機(jī),獲取后臺(tái)核心數(shù)據(jù)。

  鄧煥說,社保系統(tǒng)里的信息包括了居民身份證、社保、薪酬等敏感信息,一旦泄露,用戶首先可能會(huì)遇到許多定向廣告、惡意推銷或詐騙。此外,通過社保密碼、生日信息,犯罪分子可能會(huì)套出用戶的一些賬戶密碼,也可能利用這些信息復(fù)制身份證、盜辦信用卡,給用戶造成經(jīng)濟(jì)損失。

  據(jù)補(bǔ)天漏洞響應(yīng)平臺(tái)對(duì)這幾年中國互聯(lián)網(wǎng)泄露的數(shù)據(jù)統(tǒng)計(jì),到目前為止,數(shù)據(jù)泄露數(shù)量達(dá)到11.2億,可泄露的數(shù)據(jù)量已達(dá)到23.6億。

  數(shù)據(jù)作為“隱形資產(chǎn)“,其價(jià)值已被大家公認(rèn),而如何保護(hù)好大數(shù)據(jù)就成為政府、企業(yè)至個(gè)人和全社會(huì)首先要考慮的問題。

  北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉表示,社保系統(tǒng)包含地方人均收入、社保金額等用于政府決策和制定決策的重要基礎(chǔ)信息,“我們?cè)S多決策的參考數(shù)據(jù)是保密的,因?yàn)橥ㄟ^對(duì)一個(gè)地方整體社保數(shù)據(jù)的關(guān)聯(lián)分析,可以掌握一個(gè)國家或地區(qū)的決策模型。“

  專家建議:政府部門應(yīng)配專職網(wǎng)絡(luò)安全員

  李欲曉認(rèn)為,我國互聯(lián)網(wǎng)發(fā)展速度快、普及廣、應(yīng)用深,但信息安全方面的防護(hù)能力、防護(hù)意識(shí)和防護(hù)水平都存在問題。“我們的信息產(chǎn)業(yè)規(guī)模是幾萬億甚至是十萬億,但是信息安全市場(chǎng)很小,只有百億規(guī)模。這一次社保系統(tǒng)的漏洞反映出互聯(lián)網(wǎng)發(fā)展中重運(yùn)營輕維護(hù)的問題。“

  李欲曉建議,有關(guān)部門應(yīng)對(duì)已經(jīng)建成的政府部門信息系統(tǒng)的安全性進(jìn)行一次全面檢查,摸清真實(shí)的安全狀況。同時(shí),依據(jù)《國家安全法》的有關(guān)規(guī)定,相關(guān)部門應(yīng)該制定政府部門信息系統(tǒng)采集、發(fā)布信息的安全標(biāo)準(zhǔn)和規(guī)范。

  李欲曉認(rèn)為,在信息安全方面,國家還因該加大人才培養(yǎng)。“政府部門從中央一級(jí)到地市縣,涉及信息系統(tǒng),都應(yīng)該有專人負(fù)責(zé)網(wǎng)絡(luò)安全。這已經(jīng)是一件很緊迫的事了。不能等到出了問題再想到亡羊補(bǔ)牢,而且每一次問題都是別人先發(fā)現(xiàn)的。”

       徐州健康熱線:0516-85707122

亚洲无码一二三区免费影视,亚洲v无码专区国产乱码一区二区,欧美日韩国产色综合一,欧美成人亚洲高清在线观看 亚洲AV无码成人网站国产网站