广东网警发布“安网2016”第七期周报
04.02.2016 15:52
本文来源: 公安厅
“安网2016”网络安全专项治理行动开展第七周(2016年1月25日至2016年2月2日),共扫描检测全省重点网站和信息系统26个,共计发现35处安全隐患,其中的中高危漏洞16个,占全部漏洞比重的45.7%,从风险类别来看,XSS注入、SQL注入、命令执行类漏洞是主要隐患类型,占总类别的68.6%。以上问题已通报相关单位和企业整改。
从本期情况来看,部分网站漏洞百出,问题严重,存在多个高危隐患,极易被攻击者攻破,安全风险极大。如检查发现某市属单位网站存在SQL注入、后台任意登录、系统本地权限提升、任意文件上传等一系列高危漏洞。黑客利用其中任意一个高危漏洞,均可轻易盗取、篡改、添加、删除数据库中的数十万条重要敏感数据信息。还发现由于网站自身的安全问题,给整个单位内部网络和数据带来极大的风险。如广东某市级行业协会服务器,核查显示2014年即被入侵,网站系统包括域管理系统彻底沦陷;经过分析攻击者留下来的攻击软件残留,可发现攻击者已拿到部分远程登录信息,并且在当前的系统环境下,内网所有数据均可轻易被"爆",潜在危害巨大。
公安机关建议:一是各单位必须建立定期技术扫描和渗透测试机制,及时修补安全漏洞,消除安全风险。二是针对内外网边界接入问题,要调整防火墙防护策略,加强访问控制,及时屏蔽非法访问。有必要时,要实施内外网物理隔离,降低黑客通过互联网对内网的核心网络和重要数据实施攻击风险。三是对于发现被黑客攻击的,要及时向当地公安机关报警。
(粤公宣 编辑:牧羊)
本文来源: 公安厅
04.02.2016 15:52