2017年12月全国人大常委会执����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������法检查组关于检查《网络安全法》、《关于����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������加强网络信息保护的决定》实施����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������情况的报告,提请十二届全����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������国人大常委会第三十一次会����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������议审议。为了解网络运行情况����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,执法检查组委托中国信息安全测评中心对随机选取����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ�������的120个关键信息基础设施����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������(60个门户网站和60个业务系统)进����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ������行了远程渗透测试和漏洞扫描。
报告显示,本次远程测试的120个关键信息基础����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������设施中,共存在30个安全漏洞,包括高危漏洞1����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������3个,其中某省级部门互联网监管����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ������综合平台存在越权上传、越权下载、越����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������权删除文件等3个高危漏洞,严重威胁了系统及服����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������务器安全,也存在严重的用户信息泄露风险。����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������远程检测还发现,多个设区的市政府门户网站存����� �������Ƴ����������� �������Ƴ������������ �������Ƴ������������ �������Ƴ�������在页面被篡改风险。
公安部82号令第七条明文规定,联网服务提供者和����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������联网使用单位应当落实以下互联网安全保护技����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������术措施:
1. 防范计算机病毒、网络入侵和攻击破坏����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������等危害网络安全事项或者行为的技����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������术措施;
2. 重要数据库和系统主要设备的冗灾备份措施����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������;
3. 记录并留存用户登录和退出时间、主叫号码����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������、账号、互联网地址或域名、系统维护日����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������志的技术措施;
4. 法律、法规和规章规定应����� �������Ƴ������������ �������Ƴ������������ �������Ƴ����������� �������Ƴ�������当落实的其他安全保护技术措施。
根据IDC的统计当前网络上75%的����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������攻击是针对Web应用的。Web应用的日益增����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������多,Web滥用、病毒泛滥和����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������黑客攻击等安全问题频频发生����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������,导致Web应用被篡改、数据被窃取或丢����� �������Ƴ������������ �������Ƴ������������ �������Ƴ������������ �������Ƴ�������失。
政府机关单位面临的Web安全攻击主����� �������Ƴ������������ �������Ƴ����������� �������Ƴ������������ �������Ƴ������要有以下几种:
1. SQL注入;
3. 跨站XSS;
3. 目录遍历;
4. 网页篡改����� �������Ƴ����������� �������Ƴ����������� �������Ƴ������������ �������Ƴ�������;
5. 敏感数据泄露。