中国移动浙江公司信息技术部
信息安全通告
目录
一、 安全事件广播.. 3
(一) 浙江下沙出现首例网银“骗中骗”... 3
(二) 中国反钓鱼网站联盟:双 11 小心三类钓鱼网站... 4
(三) 皮尤:2025 年之前很可能发生致命网络攻击... 5
(四) 黑客团队利用旅馆 WiFi 窃取高管隐私数据... 6
二、 互联网大会.. 6
(一) 背景... 6
(二) 工作开展... 7
(三) 创新突破-自助终端安全防护... 8
三、 安全运营广播.. 8
(一) 用户账号安全... 8
(二) 批量业务操作... 9
(三) 客户敏感信息安全... 9
(四) 安全评估及加固... 10
一、 安全事件广播
(一) 浙江下沙出现首例网银“骗中骗”
张先生收到一条中国银行的提示信息:银行卡支出 3 万余元人民币。经过检查,张先生确认自己的银行卡和U盾、手机都在,也没操作过网银,张先生半信半疑地登录网银查看,发现账户内的 3 万余元果然不翼而飞。张先生冷静地报了警,正当民警向他了解事情经过时,陌生电话打了进来,对方称发现张先生的钱转入了其公司的账户,所以好心联系张先生,如果要退款,就按照她的提示进行操作。民警识破是骗局,拨打银行客服咨询,在银行客服的指导下,通过操作很快将张先生的钱款转了回来。
钱被转走是假象,联系受害人退款才是骗局。首先,骗子通过某些途径窃取了持卡人的网银账号和密码等信息,进入网银后,利用网银的默认功能——不需要U盾即可进行贵金属、理财产品交易,用卡里的钱购买这些产品,造成持卡人的钱被转走的假象。由于没有U盾不能转账,骗子再主动联系持卡人,利用持卡人的恐慌心理,谎称退款,指挥持卡人进行所谓的退款操作——其实是退款操作,最终将持卡人的钱转走。
冬冬提醒:
尽量避免在公公场合登录网银,使用完网银后及时退出,开启账号保护功能,并设置安全等级较高的登录密码,开启“登录短信提醒”、“登录短信验证”等功能。
(二) 中国反钓鱼网站联盟:双 11 小心三类钓鱼网站
从中国反钓鱼网站联盟(以下简称“联盟”)获悉,截至 20## 年 10月 31 日,联盟当月已认定并处理了钓鱼网站已逾 3033 个。
该联盟秘书处相关负责人表示,电商及银行网站已成为“双十一”前后钓鱼网站重点仿冒的对象,亟需引起电商、金融行业及广大网民的重视和警惕,注意利用中网“可信网站”验证随时核验购物网站的真实身份,避免误入钓鱼网站的“陷阱”。
据介绍,双十一前后,主要有三类钓鱼网站骗局亟待防范,其一,以天猫等电商网站为仿冒对象,其二,以中行等银行网站为仿冒对象,其三,则是以财付通等第三方支付网站为仿冒对象。
与此同时,钓鱼网站的行骗手法也有三大特点:其一,紧贴主题。不法分子设下的各类骗局或陷阱,无一不是紧贴电商平台打出的各种促销主动的主题,诱惑网民参与;其二,大小兼顾。无论是一线知名的电商平台,还是二线电商平台,只要是双十一期间交易渠道,都是不法分子紧盯与仿冒的重点对象。其三,浑水摸鱼。不法分子制作的仿冒网站从网页内容到宣传口号,都是亦步亦趋紧跟主流电商平台,普通的网民很难辨认真伪。
依依提醒:面对电商的大力促销,不论是常规的价格比拼,还是新兴起的物流速度争夺,亦或是“真的”的表白,大家都要时刻保持高度警惕和重视哦~牢记随时借助中网“可信网站”验证,先验证网站真伪,再参与抢购下单,以免“一朝回到解放前”。。。
(三) 皮尤:2025 年之前很可能发生致命网络攻击
美国皮尤研究中心表示,今后 10 年的网络安全状况很可能会进一步恶化,甚至造成重大伤亡或巨额财产损失。根据皮尤研究中心互联网项目的一份报告,回答调查问卷的 1600名网络安全专家中,有 61%认为今后很可能发生致命网络攻击,导致大规模灾难。
此次问卷调查的项目是,“你是否认为 20## 年以前,大规模的网络攻击会造成广泛的损害?”问题中的“广泛的损害”是指生命造成大量伤亡,或大量财产的丢失被盗或被损害。目前有越来越多的设备连接到互联网,但其中很多设备没有把安全问题放在首位,这让黑客变得有机可乘。
而且未来的联网设备领域将越来越多的关系到人的生命安全。美国宇航局的一位项目经理表示。“当前可以威胁的目标包括网络交易、电力网络和空中交通等。但是未来的攻击目标可以扩大到自动驾驶汽车、无人机以及基础设施建设甚至是强大的人工智能,一旦黑客控制了这些目标每一个都是致命的。”
酱酱听听觉得要改行了呢,网络技术哪家强?
(四) 黑客团队利用旅馆 WiFi 窃取高管隐私数据
想必很多企业高管都喜欢选择有 WiFi 网络的旅馆居住,让移动设备处于联网状态以便于应对各种事情。在过去四年间黑客利用旅馆的 WiFi 网络入侵高管电脑窃取私密数据的事件发生频率越来越高,根据本周一卡巴斯基实验室公布的报告显示多支黑客团队专门在高管入住多的旅馆架设高危 WiFi 网络用于窃取用户数据,包括日本、中国、俄罗斯、韩国在内的多个国家都相继发生过。
在这些黑客团队中最出名的要属“Darkhotel”,那么他们是如何进行攻击的?卡巴斯基实验室解释道:“黑客实施攻击往往会在高管办理完入住手续,并连接到旅馆 WiFi 网络,提交房号和姓氏登录之后。攻击者在看到高管连接到受感染的网络之后,将木马跟随用户的下载文件安装到设备上,假装是某款受信任应用 (比如 Google Toolbar, Adobe Flash 或者 Windows Messenger)的更新在用户设备上植入后门,然后设备就会感染。
蔗蔗:其实蔗蔗也喜欢住有WiFi的房间哦,虽然没有人关注我,不过我也会多加小心的,大家也是哦~
二、 互联网大会
(一) 背景
20##年世界互联网大会于11月19日至21日在浙江省乌镇召开,这是中国首次召开国际互联网大会,以“互联互通,共享共治”为主题,设置了国际互联网治理、移动互联网、网络安全、透过浙江看中国—信息经济论坛等13个分论坛。来自近100个国家的政要、国际组织代表、著名企业高管、网络精英、专家学者等1000多人参加这一全球互联网界的“乌镇峰会”。
为提升中国网络空间的国际话语权,树立网络大国的良好形象,中国国家互联网信息办公室与浙江省人民政府联合主办首届“世界互联网大会”,旨在推动互联网发展成为人类团结和经济进步的全球共享资源。
(二) 工作开展
信息安全部负责大会准备阶段及大会期间保障门户、渠道等信息技术部公网应用及系统安全稳定运行。
大会保障准备阶段开展了安全自评估,包括系统漏洞检测、应用漏洞检测、口令安全性检测、嘉兴乌镇营业厅终端设备评估及弱口令加固。从10月29日至11月18日,进行了为期21天的安全准备。做足充分准备迎接即将到来的世界互联网大会可能会遭受到来自世界各地的黑客攻击行为。
大会期间进行安全保障,从10月29日0时至11月19日0时,共监测并拦截 5734次应用安全攻击及 106087 次系统层攻击。受攻击频率远超同期。
(三) 创新突破-自助终端安全防护
自助终端安全防护由于技术手段及管理能力缺乏,此前尚未开展实施。本次互联网大会,通过微软SteadyState实现了足够的权限访问,包括系统资源访问权限控制、站点访问权限控制,目前正在全省推广。后续,营业厅安装新的自助终端均需进行备案,部署SteadyState并配置相应策略。
三、 安全运营广播
(一) 用户账号安全
n 账号安全管理:10月审计共发现44个不合规账号,主要因为授权不规范及离职账号未回收,均已及时修复。其中,省公司17起,主要因为省公司网络、财务、客户服务、政企等部门涉及账号离职未回收,现已全部发起离职申请进行账号回收。
n 存在问题:
Ø 问题描述:省公司除信息技术部以外,对员工离职,需要发起离职工单意识淡薄,导致员工离职未发起离职工单。
Ø 解决方法:对账号管理制度进行宣贯。
冬冬:连续2个月,衢州账号管理较好,审计未发现不合规现象~其他分公司加油哦!
(二) 批量业务操作
10月份,审计发现不规范的批量操作15起。主要因为丽水、衢州、嘉兴、舟山、宁波等地市业务操作人员凭据填写不合规,绍兴操作人员未走电子工单流程进行操作等。
(三) 客户敏感信息安全
深入分析、定位客户资料泄露途径,对关键途径部署监控审计,点面结合,主动采集并处置外部威胁。
n 监控审计:10月份,客户敏感信息流转审计发现异常71起。其中,详单查询无凭据54起,主要因为金华、湖州操作员查询号码时备注漏填或误填导致,已实施整改。CBOSS访问异常12起,主要因为宁波、嘉兴、台州、温州等地市操作员违规操作,使用员工工号外借等方式大量查询用户号码且无充值,疑似批量导出客户信息,已实施整改。但由于目前CRM系统模糊化比较成熟,此种方式无法获取客户敏感信息,已经不同程度的进行内部警告或通报。操作与工单不符5起,因为台州及省公司世导操作人员误操作导致,已实施整改。
n 网络钓鱼: 10月,共开展网络钓鱼248起,成功1起,均价50元。淘宝卖家通过浙江省农行查询操作获取到姓名的第一个字和余额信息,通过支付宝转账页面获取到客户的名,然后两边拼凑获得客户的全名和余额信息。
(四) 安全评估及加固
10月份,完成152套Oracle漏洞检测以及全网1969台主机密码文件提取并完成口令破解系统准备。
n 新业务:10月份,CRM/经分域新业务上线变更11次,其中紧急上线7次,首次上线2次,二次上线2次,共发现中高危漏洞1536个未修复(安全检测系统升级导致本月暴露的漏洞数量增加)。账务运维管控、ESOP、合作式渠道计划11月1次上线解决,客服接入、客服外呼、客服系统、集团SA网厅计划11月2次上线解决。CRM、客服系统POST跨站脚本漏洞,因技术难点及现网业务影响,需后续研讨确定解决方案。
n 新项目:10月份,新项目变更7次,发现存量客户维系二期,呼叫中心一期项目服务策略平台,市场经营管理系统,账单云项目,数据稽核项目,新客服接入项目,基础能力项目内容管理、即时通讯、搜索组件存在中高危漏洞32个。
n 月度安全评估:10月份,在线系统安全评估系统有:CRM:无纸化、统一产品;经分:校园运营管理平台、经分主系统;BOMC域:资源管理平台CMDB、需求开发管理平台;安全域:数据迁移审计平台、IAM;管信域:投资项目管理系统、TDERP系统。共发现134个漏洞,其中系统漏洞128个,由技术保障部纳入安全加固专项工作进行加固,弱口令2个、应用漏洞4个,已完成加固。
第二篇:安全精灵小广播第一期
安全精灵小广播
1 中国移动浙江公司信息技术部
目录
一、 安全事件广播 ...................................................................................... 3 (一)
(二)
(三)
(四)
(五) 苹果承认 iOS 系统存在后门 ..................................................... 3 报告:黑客可借漏洞攻击手机银行客户端 ............................. 4 调查显示信息安全在企业中普遍缺乏应有的尊重和地位 .. 5 欧洲中央银行承认存在安全漏洞 有个人资料被盗 ............. 7 俄罗斯黑客盗窃的12亿密码在黑市上或价值数十亿美元 8
二、 安全运营广播 ...................................................................................... 9 (一)
(二)
(三)
(四)
(五) 用户账号安全 ................................................................................... 9 批量业务操作 ................................................................................. 10 客户敏感信息安全 ........................................................................ 11 等保两部委迎检 ............................................................................ 12 客户信息安全防护 ........................................................................ 14
2
一、 安全事件广播
(一) 苹果iOS 系统存在后门
事件描述
据国外媒体报道,不久前知名 iOS 黑客乔纳森?扎德尔斯基(JonathanZdziarski)披露 iOS 存在若干后门,在特定的情况下可以获取到用户的个人信息,苹果日前简介承认了这一点,表示 iPhone 与 iPad 等产品预装的 iOS 操作系统存在若干之前并未泄露的“诊断功能”,同时公布了这三个后门的相关信息。
乔纳森?扎德尔斯基曾经是 iOS 越狱团队的一员,也出版过多部有关 iOS开发的书籍。上周末扎德尔斯基正式公布了他的这一发现。 扎德尔斯基披露的这三个后门存在于6亿台 iPhone 和 iPad 的操作系统内,通过这些后门可以获取到大量的用户个人信息,然后可以将这些信息传输到在手机信任列表里的设备,例如不少用户会将iPhone 用数据线连接到电脑,而这些电脑就是“可信任设备”。尽管这些后门只有通过这些可信任设备来进入,一定程度上降低了信息泄露的可能性,但手段高超的攻击者依然可以通过这一信任机制来获取到这些信息。
苹果之前从来没有对公众提及这些 iOS 服务。扎德尔斯基表示,这些服务在获取用户个人信息时不会通知用户,也不需要获得用户的许可,更无法被用户关闭。
3
这样都可以 ???作为苹果资深粉的大家还能忍?,
冬冬决定了,从今天开始。。。还是继续用苹果,但是,小精灵呼吁专研安全防御技术的专家们,与黑客斗争到底!!!
(二) 黑客借漏洞攻击手机银行客户端
事件描述
安卓系统安全问题一直以来被业界所诟病。近日有安全报告指出,安卓手机系统漏洞严重威胁网民支付安全。利用安卓系统漏洞,黑客可以对手机银行客户端实施注入攻击,截获用户银行账号密码,造成财产损失。
据中国互联网络信息中心(cnnic)的数据显示,由于中国手机支付用户规模成倍增长(同比增长126.9%),截止20xx年12月已达1.25亿,移动支付成为大趋势。
而伴随这一趋势产生的移动支付安全问题也“水涨船高”。近年来,由于遭受木马、恶意插件等恶意程序入侵导致的网银、支付账户被盗案件频频发生,网民移动支付安全受到严重威胁。
为了检验手机银行客户端的安全性,本次报告针对当前世面上最流行的16家银行的手机银行客户端应用进行了一次全面的安全性测评。结果显示,在防范进程注入测试(利用安卓系统漏洞对应用恶意注入)中,所有16款手机银行客户端的表现不佳,没有任何一款银行客户端能够对这类攻击进行防护。
4
“相比于单个应用程序的漏洞,安卓系统和 linux 内核的漏洞往往影响更加广泛,恶意程序利用内核漏洞可以攻击不同厂商生产的多种机型。”安全专家指出,恶意程序的制作者往往倾向于使用系统内核漏洞进行攻击。但实际上,对开源的安卓系统而言,由手机厂商在源码基础上再开发所引入的漏洞往往更多。
根据在20xx年的一项研究显示,70%的手机安全漏洞是由厂商定制所引起的。一些中小手机厂商对此并不重视,甚至没有能力修补自身系统中存在的安全漏洞。
由于这些漏洞得不到及时修复,木马程序有机会借助这些漏洞提升 root 权限,完成对银行客户端的注入。一旦木马注入到客户端进程中,将可轻而易举的获取用户账号和密码,造成网民银行账户信息泄漏和直接财产损失。
冬冬提醒:谨慎下载手机应用,避免恶意程序盗取
个人信息和财产哦~
(三) 信息安全在企业中普遍缺乏应有的尊重和地位
事件描述
尽管当下企业对于信息安全工作的重视程度不断提高,但各位首席信息安全官(CISO)们仍然需要经历一个漫长而又艰难的时间才能赢得其他各位“首席”高管们的尊重。在一项对美国企业203位首
5
席执行官、首席信息安全官和首席财务官以及其他企业高管的调查中,有74%的受访者表示首席信息安全官没有资格在企业领导层中获得一席之地。
有超过六成的受访者则认为首席信息安全官在企业非信息安全的领导岗位上能够取得成绩。另有44%的受访高管表示首席信息安全官应该对企业信息数据遭到攻击而负责。与此同时,有超过一半的受访者不相信负责信息安全的高级管理人员应该对企业遭遇网络攻击而负责。上述调查由市场调查机构 OpinionMatters 代表信息安全公司 ThreatTrack Security 于今年6月至7月间发起。
有分析人士指出,上述调查结果显示出企业的首席信息安全官们距离赢得其他高管尊重的目标上还有相当长的一段奋斗之路。事实上,包括许多巨头企业在内对于任命首席信息安全官的问题并不十分重视,比如美国零售商塔吉特公司和内曼-马库斯百货公司都是在自身遭遇到数据攻击之后才任命了各自的首位首席信息安全官。尽管表面上戴着“首席”的光环,但许多企业的首席信息安全官同“高管”的身份并无太大的关系,企业更多的时候把他们摆在了“救火队员”的位臵上,在遭遇到信息安全威胁时才会想到他们。过去很多年里,首席信息安全官们经常抱怨他们在自己所在的企业中并无太大的话语权,企业也并没有在他们的建议下在保护网络技术安全方面做出实质性的改变。
6
看到这份报道,酱酱心情好沉重哦,相信大家也一
样吧,就让我们一起努力改变现状吧,让CEO和各种“O”们也见识见识咱CISO的厉害,跟志玲姐姐学习“加油!加油!加油!”:)
(四) 欧洲中央银行存在安全漏洞导致个人资料被盗
事件描述
欧洲央行(ECB)承认,系统安全漏洞导致个人资料被窃取。欧洲央行宣布一个链接到它的公共网站数据库被入侵,导致相关个人资料被盗。网络罪犯能够在用户注册、访问银行网站和其他活动过程中,抓住一个数据库存储的细节,进行信息盗取,幸运的是这个数据库与欧洲央行内部系统数据库存储硬盘是独立的。
欧洲央行称,“没有内部系统或市场敏感数据被破坏,然而电子邮件地址,物理地址和电话号码都被偷了。”
欧洲央行表示,大部分的数据是加密的,但注册者的联系信息是明文的。据英国广播公司(BBC),大约20000个电子邮件地址和较少的电话号码和物理地址也被盗取。盗窃曝光后,欧元央行收到一封匿名电子邮件,告诉欧洲央行用钱交换数据。央行现在联络那些电子邮件地址或其他数据可能被盗取的用户,同时作为防范措施,系统上的所有密码已经改变了。
“欧洲央行非常重视数据安全,”该组织表示,“德国警方以收到盗窃报警,并已经开始调查。”
7
哈哈,看到这个大家是不是在为生活在中国暗自窃喜
呢?但是,酱酱温馨提示:祖国是伟大的,但免不了养活几个捣乱的,大家需谨慎填写个人资料哦:)
(五) 俄罗斯黑客盗窃12亿密码,价值数10亿美元
事件描述
据外媒报道,数据安全公司 FireEye 首席执行官戴维?德沃尔特(DavidDeWalt)称,俄罗斯一群黑客据传从42万家网站窃取到12亿个用户名密码,这些密码在黑市上或价值数十亿美元。每个用户名或账户都可以卖出数美元。 德沃尔特说:“黑客们在网络黑市上出售这些被窃取的用户名密码,很多时候实际上都卖给了公司,特别是那些发送垃圾邮件或广告的公司。
但是这些信息非常重要,特别是掌握了10
亿以上的用户名密码后,
8
它们就会变得非常有价值。”
德沃尔特还称,实际上,公司才是最容易遭黑客袭击的目标,而非公民个人。FireEye 近来一项研究显示,接受研究的公司中,约有97%都曾遇到过数据被窃的经历。德沃尔特说:“我们发现许多大零售商、大银行定期会遭到黑客袭击。对于俄罗斯黑客来说,大公司的核心基础设施才是最有价值的袭击目标。”德沃尔特说,他对近来的袭击并不感到惊讶。尽管他没有透露太多细节,但称对于美国执法机构来说,阻止外国黑客入侵很难。德沃尔特说:“在我们建立更好的管理模式、更好的公司之前,我们将继续看到这些犯罪组织不断发动袭击。”
依依提醒:大家要妥善使用并保管好个人账号密码哦~
二、 安全运营广播
(一) 用户账号安全
本月,安全小精灵从管理、修复和考核三方面,开展了用户账号安全的提升工作。
? 账号管理:本月修订并发布账号权限管理细则5.0:重点优化人员离职、组织变更或岗位变动时帐号权限变更流程;进一步明确系统开发岗位与系统移植、维护岗位的职责分离;完善了新上线系统菜单权限矩阵审批路径的制定流程。
9
? 账号修复:双选后截止本月共修复45个行政组织,133个账号的行政组织信息,12个CRM账号归属组织信息。
? 考核情况:存在不合规问题173个,主要集中在省公司和杭州,多为账号不合规及账号授权不规范,共计80起。
小精灵提醒:用户账号安全是安全管理工作的重点,涉及账号授权和使用不合规的操作,均会提交至运管部门进行日常考核,大家要多多重视哦。
(二) 批量业务操作
根据SOX信息技术控制要求,针对批量业务操作进行日志审计分析,发现异常行为,提出纠正及预防措施,规范日常操作行为。 安全小精灵本月审计发现不规范的批量操作54起,其中舟山问题最突出,操作无凭据43起,占比80%,嘉兴、金华、温州、杭州也有少量异常数据。主要异常原因为业务操作人员凭据填写不合规,未走电子工单流程进行操作等。已经将相关数据提交运管进行考核。
10
(三) 客户敏感信息安全
安全小精灵定期对客户敏感信息进行深入分析、定位客户资料泄露途径,通过监控审计、网络钓鱼、采集分析等方式对关途径,主动采集并处臵外部威胁。
? 监控审计:本月,客户敏感信息审计发现异常94起。其中,
详单查询不规范86起,主要因为金华、省公司、湖州、台州等CRM操作员操作不合规漏填或误填工单号导致;CBOSS访问异常4起,主要原因为杭州、嘉兴、宁波、温州等地市操作员违规操作,使用外挂、员工工号外借等方式大量查询用户号码且无充值,疑似批量导出客户资料,已经对相关账号关停,此情况需要需求管理部协助尽快上线渠道防外挂方案;详单查询与工单不符3起,因为省公司世导员工查询详单内容与工单申请不一致,已经纳入合作伙伴考核。客户信息流转不合规1起,因为温州分公司遇紧急刑事案件配合公安机关查询详单,未经加密拷贝客户资料,已对当事人进行了惩罚并对安保进行了制度宣贯,考虑特殊情况,本月未扣分。
11
小精灵提醒:温州本月由于特殊情况未扣分,但是温州承诺再有下次,双倍扣分,请大家引以为戒,做好安全意识宣贯工作哦~
? 网络钓鱼:本月,共开展网络钓鱼76起,成功2起。
? 采集分析:对10086升级投诉进行分析,共分析22起,通过排查,有3起需要深入调查,进行调查后未发现重大安全隐患。
(四) 等保两部委迎检
根据等级保护要求,安全小精灵从新业务新项目在线应用安全三方面定期开展安全评估和加固,提高系统风险防范能力。
? 新业务:截至5月,小精灵已经向所有部室提供Web扫描工具,
12
开展了安全工具使用培训。本月,CRM/经分域新业务上线变更8次,发现中高危漏洞3个,均已完成加固。
? 新项目:本月,新项目在线变更10次,发现管信域统一信息平台业务库/系统日志分析平台存在中高危漏洞37个, CRM域呼叫中心一期CTIPOOL/短厅双中心项目存在中高危漏洞14个,经分域存在中高危漏洞5个,BASS域存在中高危漏洞3个,均已完成加固。
? 在线安全评估:为迎接本次工信部等保检查,小精灵从系统漏洞、应用漏洞、弱口令、终端安全、客户信息防护等几方面,开展安全评估及加固工作。
? 系统漏洞加固:截止目前,共发现系统漏洞77331个,确定可以常规方案进行加固的漏洞53677个,已完成加固51731个,暂无法加固的漏洞计划采取DS方式进行加固或采用在服务器后端部署IPS的方式规避扫描发现。在测试环境收集同样的漏洞类型,并同步统计DS可加固的漏洞类型,在测试环境测试DS加固的有效性并实施于生产环境。
? 应用漏洞加固:截止目前,共发现应用漏洞1021个,已全部完成加固。为避免检查时对过多站点扫描发现代码安全漏洞,对检查组可以漏扫的WEB站点进行限制。由信息安全部协调各科室明确站点数量及关联URL,仅保留必须提供的WEB站点,在此基础上,由技术保障部在检查网段设
13
臵网络访问策略。
? 弱口令加固:截止目前,共发现弱口令5527个,完成加固2995个。由于2000余个弱口令整改影响业务连续性,采用技术手段确定弱口令所属科室责任人,由响应责任人确认账号、进程所对应的应用、服务及可能的外部接口,再进行弱口令修改。
? 终端安全加固:截止目前,地市上报的终端总数为23591台,完成加固的终端14835台。宁波、台州加固情况最好,其余地市相对缓慢,尤其是舟山在安全加固方面的工作还需要多多努力。
(五) 客户信息安全防护
根据等级保护要求,组织开展CRM系统敏感信息泄露风险问题自查,通过对CRM系统全量检测,发现并整改风险,具体情况如下:
? SQL注入漏洞 & XSS脚本漏洞:抽样检测了CRM系统,有38个菜单存在SQL注入漏洞,134个菜单存在XSS漏洞,对于SQL注入漏洞,厂商计划直接下线页面,截止8月11日抽查还未下线,对于XSS漏洞,已经通过转义处理修复。
? 金库模块泄露用户帐号密码:菜单模块在金库验证过程中,会返回用户帐号密码,可导致系统全量用户敏感信息泄露,厂商计划禁止反馈账号信息数据,截止目前已经修复。
? 客户资料查询验证功能绕过:执行客户资料查询操作时,可无
14
需知道客户证件信息即可任意查询客户资料等敏感信息,厂商计划以验证在服务器端执行,不返回具体信息,目前已经修复。 ? DWR框架所有类可直接访问:可导致直接对系统任意数据信息进行增、删、改、查的操作,厂商计划对此类方法调用页面进行访问控制,目前还未修复。
? 客户信息未模糊化以及越权查询客户信息:有7个菜单模块查询到的客户信息仍然未进行模糊化处理,有11个业务URL可以进行越权访问,并且其查询结果的客户信息未进行模糊化处理,有5个业务URL可以无需身份证验证进行批量客户信息(未模糊化)查询,存在有16个业务URL可以无认证访问,并进行相关信息查询或业务操作,截止目前均未整改完成。
? 党政军信息:对业支中心的ORACLE、DB2和TERADATA三类数据库,共计273个数据库进行敏感信息扫描。检测到涉及党政军信息的数据表3613张,总记录数6808212条。
15