历时五个月的上海市电信和互联网行业网络安全检查圆满结束,检查结果显示,上海市基础电信企业及互联网企业网络完全总体情况良好。“2018年电信和互联网行业网络安全检查总结大会”今天上午举行,会上,上海市通信管理局相关负责人通报了本年度电信和互联网行业网络安全检查的总体情况,分析通报了当前上海公共互联网的网络安全态势。
为维护上海市公共互联网安全稳定运行,保障首届中国国际进口博览会胜利举办,上海市通信管理局于今年5月至9月组织开展了上海市电信和互联网行业网络安全检查工作。检查期间,各企业积极开展安全自查工作,累计摸排了428个网站平台、162款APP应用以及703个信息系统的安全状况;梳理了为社会公众提供信息服务的300项互联网业务;整理上报了268项互联网服务的用户个人信息收集和使用情况。与此同时,结合行业网络安全自查上报情况,市通管局组建专门工作机构,对全市4050个互联网站点开展了远程网络安全检查,并对电商、车联网、社交传媒、信息服务等细分行业的54款移动APP应用开展了安全抽测。
检查结果显示,目前上海的电信及互联网企业网络安全总体情况良好,大部分企业在网络安全方面具备较强的防范意识,在企业整体安全管理方面有明显成效;各企业进一步完善了内部网络安全信息通报工作机制,定期上报网络安全事件信息,促进行业网络安全信息共享,提高网络安全预警、防范和应急水平;各企业建立了网络安全相关威胁监测手段,配置了网络安全防护设备及安全服务,整体网络安全防护能力较往年有所提升。
检查过程中,工作组也发现各企业在网络安全上的问题和隐患。主要表现在以下几个方面:首先,企业信息系统资产梳理不清晰,不少互联网企业对本单位网络信息系统的掌握程度存在明显不足,其中不乏一些用户量大的、具有一定社会影响的企业,对自身所属的网站系统情况、对网络安全风险的存在位置掌握不够,可能对公共互联网安全带来威胁。其次,用户信息保护工作落实不到位。检查期间,相关部门对全市89家企业的268项互联网业务进行了用户信息收集情况审查和用户账号注销情况抽测。检查结果显示,有36项互联网业务在用户信息收集方面存在问题,主要表现在收集个人信息但未上报、读取通讯录、短/彩信但未上报等方面。第三,企业网络安全技术防护工作有待继续加强,网络安全隐患依然存在。检查发现,各受检单位的信息系统均不同程度暴露出安全问题,例如:多个信息系统使用易被猜解的弱口令;服务器应用未及时升级至最新版本,部分系统存在“永恒之蓝”等高危漏洞,这些漏洞一旦遭利用,容易造成影响程度较大的网络安全事件。
作为本年度安全检查的重要内容,本次检查期间,市通管局还对电商、车联网、社交传媒、信息服务等行业的54款移动APP应用的安全状况开展了抽测,检查结果显示,部分企业的APP应用的加固保护薄弱,存在源代码反编译和二次打包风险,攻击者可以反编译得到应用源代码,插入恶意代码后二次打包生成恶意应用,从而窃取客户端的敏感数据、截获与服务器之间的通信数据、篡改用户账号信息等。对此,市通管局针对安全隐患较为严重的12款APP应用进行了网络安全威胁通报,要求相关运营单位立即落实整改并进一步重视网络安全管理,加强网络信息系统的网络安全防护工作。
会议还对国家计算机网络应急技术处理协调中心上海分中心、上海电信、上海移动、上海联通、东方网、大申网、趣头条等20个公共互联网网络安全工作先进集体进行了通报表彰。
作者:朱伟
编辑:孙华
责任编辑:戎兵
*文汇独家稿件,转载请注明出处。