新華社北京４月２３日電題：低級(jí)錯(cuò)誤和懶政是這場(chǎng)危機(jī)的重要原因——多地社保系統(tǒng)現(xiàn)信息安全漏洞追蹤

　　新華社記者周蕊,、鄧中豪,、徐博

　　近日,，知名漏洞響應(yīng)平臺(tái)曝光江蘇、陜西,、四川、浙江,、山西等全國(guó)至少１９省份的社保系統(tǒng)存在漏洞,，數(shù)千萬(wàn)用戶的社保信息遭遇泄露危機(jī)。據(jù)“新華視點(diǎn)”記者了解,，目前,，４０％的漏洞已經(jīng)修復(fù),，但仍有涉及超過(guò)千萬(wàn)居民的數(shù)據(jù)漏洞未能修復(fù)。

　　對(duì)此,，人力資源和社會(huì)保障部副部長(zhǎng)胡曉義回應(yīng),，已要求涉事地區(qū)排查隱患。確實(shí)存在漏洞的,，要在第一時(shí)間采取措施,，予以封堵。同時(shí),，從目前的監(jiān)控情況看,，全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)公民個(gè)人信息泄露事件,。

　　記者調(diào)查發(fā)現(xiàn),，低級(jí)錯(cuò)誤和懶政行為是這場(chǎng)危機(jī)的重要原因。

　?。担玻埃叭f(wàn)居民遭遇信息泄露危機(jī)

　　記者從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示,，從２０１４年４月以來(lái)，涉及居民社保信息泄露的報(bào)告達(dá)４６個(gè),，其中高危４４個(gè),，至少涉及江蘇、陜西,、四川,、浙江、山西等１９省份,，涉及人員高達(dá)５２００萬(wàn),。其中超過(guò)千萬(wàn)居民的相關(guān)信息漏洞至今未修復(fù)。

　　補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示,，社保系統(tǒng)里的信息包括居民身份證,、社保、薪酬等敏感信息,。這些信息一旦泄露,，造成的危害不僅是個(gè)人隱私全無(wú)，還會(huì)被犯罪分子利用,。例如,，被用于復(fù)制身份證、盜辦信用卡,、盜刷信用卡等一系列刑事犯罪和經(jīng)濟(jì)犯罪,。

　　記者了解到，截至２２日，多省市社保系統(tǒng)已對(duì)漏洞進(jìn)行修復(fù),。根據(jù)補(bǔ)天平臺(tái)排查的數(shù)據(jù)顯示,，４０％的漏洞已經(jīng)修復(fù)。比如,，涉及８２２萬(wàn)人的遼寧省沈陽(yáng)市社保局某系統(tǒng)ＳＱＬ注入問(wèn)題,、涉及６４３萬(wàn)人的山東省煙臺(tái)市社保網(wǎng)上辦事大廳安全漏洞問(wèn)題、涉及２１３萬(wàn)人的陜西省人力資源和社會(huì)保障廳社保系統(tǒng)漏洞等均已經(jīng)修復(fù),。

　　此外,，還有部分省市社保系統(tǒng)未能修復(fù)。比如,，吉林省長(zhǎng)春市某醫(yī)保系統(tǒng)漏洞,，可導(dǎo)致參保的學(xué)校和企業(yè)單位用戶的醫(yī)保信息泄露，涉及７７２萬(wàn)人,。這個(gè)信息漏洞發(fā)現(xiàn)三個(gè)多月,，至今未能修復(fù)；陜西省銅川市某系統(tǒng)漏洞導(dǎo)致居民信息泄露,，包括個(gè)人企業(yè)信息,、就業(yè)失業(yè)信息、個(gè)人企業(yè)貸款信息,、退休老人管理等,，涉及９０萬(wàn)人。從１月信息漏洞被發(fā)現(xiàn)至今,，仍未修復(fù),。

　　胡曉義說(shuō)，社保信息系統(tǒng)牽涉廣大群眾的切身利益,，人社部高度關(guān)注這一問(wèn)題,，將采取必要的措施進(jìn)行漏洞修補(bǔ)，以負(fù)責(zé)任的態(tài)度保障參保人的個(gè)人信息安全和社?；鸢踩?。目前,，人社部信息中心已向平臺(tái)了解其所監(jiān)控到的漏洞信息,，同時(shí)向多個(gè)地方人社部門了解情況，要求這些地區(qū)對(duì)隱患進(jìn)行排查,。確實(shí)存在漏洞的,，要在第一時(shí)間采取措施，予以封堵,。

　　多地社保部門在平臺(tái)漏洞出現(xiàn)數(shù)月間沒(méi)有采取措施

　　補(bǔ)天漏洞響應(yīng)平臺(tái)此次曝光的名單,，或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺(tái)——烏云漏洞報(bào)告平臺(tái)負(fù)責(zé)人孟卓向記者介紹,，該平臺(tái)從２０１１年以來(lái)提交的社會(huì)保障,、醫(yī)保和公積金類的信息泄露名單,，數(shù)量高達(dá)近２００個(gè)，至少涉及２０個(gè)省份,。

　　專家分析,，政府網(wǎng)站出現(xiàn)大面積的信息漏洞，一方面是管理人員對(duì)其所采用的系統(tǒng)不夠了解,，技術(shù)水平不高,，導(dǎo)致存在很多技術(shù)性安全漏洞。但更重要原因,，則是相關(guān)管理人員的安全意識(shí)不夠,，責(zé)任心不強(qiáng)。

　　孟卓說(shuō),，涉及政府部門網(wǎng)站的信息泄露一般分為幾類：弱口令泄露,、數(shù)據(jù)庫(kù)與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級(jí)失誤,。“與互聯(lián)網(wǎng)企業(yè)相比,，政府機(jī)構(gòu)網(wǎng)站的信息安全漏洞都非常低級(jí)，不應(yīng)該出現(xiàn),。”

　　設(shè)置非常簡(jiǎn)單,、容易猜到管理密碼的弱口令泄露，是此次信息安全泄露的重要一類,，修改密碼就能解決諸多相關(guān)問(wèn)題,。但是，多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間,，沒(méi)有采取任何行動(dòng),，有的至今未修復(fù)漏洞。孟卓說(shuō)：“弱口令泄露在技術(shù)修復(fù)上不存在任何難度,，甚至要不了幾分鐘,。歷時(shí)多月而不修復(fù)，往往是管理人員的懶政導(dǎo)致的,。”

　　比如,，涉及３４５萬(wàn)人的湖北省十堰市社保某系統(tǒng)泄露社保信息問(wèn)題、涉及４２８萬(wàn)人的四川省內(nèi)江市社保某系統(tǒng)泄露參保１３９８家企業(yè)單位的員工社保信息問(wèn)題,，都屬于通過(guò)簡(jiǎn)單操作就能修復(fù),。但從今年１月漏洞被發(fā)現(xiàn)至今，均未做任何修復(fù),。

　　專家還說(shuō),，數(shù)據(jù)保管不當(dāng)也是此次信息泄露危機(jī)的重要原因。

　　一些地方政府相關(guān)部門的懶政惰政，從漏洞報(bào)告平臺(tái)與之溝通的情況也可見(jiàn)端倪,。補(bǔ)天平臺(tái)相關(guān)負(fù)責(zé)人告訴記者,，該平臺(tái)對(duì)信息安全漏洞的發(fā)布和處理，會(huì)經(jīng)過(guò)提交漏洞,、確認(rèn)漏洞,、通報(bào)機(jī)構(gòu)、機(jī)構(gòu)確認(rèn),、機(jī)構(gòu)修復(fù)五個(gè)步驟,。漏洞數(shù)據(jù)將被同步實(shí)時(shí)通報(bào)給公安部、網(wǎng)信辦和國(guó)家漏洞庫(kù),，相關(guān)情況還會(huì)反饋給涉事機(jī)構(gòu),。但在實(shí)際操作中，如果涉事對(duì)象是政府網(wǎng)站,，就往往得不到回應(yīng),。“好一點(diǎn)的雖然不愿意溝通，但至少能悄悄地把漏洞修復(fù)了,。但還有一些,，卻連花幾分鐘修復(fù)最簡(jiǎn)單的漏洞都不愿意。”

　　不少政府部門的信息系統(tǒng)重建設(shè)輕維護(hù),，專家稱應(yīng)對(duì)信息泄露追責(zé)

　　專家指出,，個(gè)人信息保護(hù)變得越來(lái)越重要，要防堵政府網(wǎng)站的個(gè)人信息泄露,，需要提升意識(shí),、引入優(yōu)秀人才，還要建立問(wèn)責(zé)機(jī)制,，責(zé)任到人,，防止“集體負(fù)責(zé)”變成“無(wú)人負(fù)責(zé)”。

　　公安部相關(guān)信息安全專家指出,，隨著社會(huì)保障體系的建設(shè)加快,，機(jī)構(gòu)管理與公民的互動(dòng)日益加強(qiáng)，這使公民信息的類別,、屬性變得更加敏感,，相關(guān)信息安全管理也變得越來(lái)越重要。

　　安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師肖新光說(shuō),，我國(guó)互聯(lián)網(wǎng)發(fā)展速度快,，但在信息安全方面的防護(hù)能力、防護(hù)意識(shí)和防護(hù)水平都有待提升,，尤其是政務(wù)信息化安全水平較弱，應(yīng)在思想意識(shí)上提升對(duì)信息安全和數(shù)據(jù)安全重要性的認(rèn)知。

　　孟卓說(shuō),，不少政府部門在信息管理方面依然是重建設(shè)輕維護(hù),。政府機(jī)構(gòu)的網(wǎng)站往往由傳統(tǒng)機(jī)構(gòu)進(jìn)行維護(hù)，有的簡(jiǎn)單外包給第三方企業(yè),，對(duì)系統(tǒng)安全性不夠重視,，技術(shù)人員對(duì)安全的理解也較為老舊，已經(jīng)不能適應(yīng)當(dāng)今信息安全的發(fā)展,。

　　啟明星辰首席戰(zhàn)略官,、中國(guó)計(jì)算機(jī)學(xué)會(huì)常務(wù)理事潘柱廷說(shuō)，我國(guó)現(xiàn)在缺乏對(duì)信息安全泄露的問(wèn)責(zé)機(jī)制,。政府部門里往往沒(méi)有人對(duì)信息泄露負(fù)責(zé),，有些“集體負(fù)責(zé)”實(shí)際上是無(wú)人負(fù)責(zé)，有些“一把手負(fù)責(zé)”實(shí)際上也是沒(méi)人負(fù)責(zé),。應(yīng)在體制機(jī)制上進(jìn)行改革,，在社保等重要部門要設(shè)立“首席信息安全官”等職位負(fù)責(zé)信息安全問(wèn)題，并在經(jīng)費(fèi)投入等方面加大支持力度,。

　　胡曉義表示,，人社部建立了覆蓋全國(guó)部、省,、市三級(jí)的信息安全監(jiān)控體系,，并委托國(guó)家網(wǎng)絡(luò)安全專業(yè)檢測(cè)機(jī)構(gòu)，對(duì)人社系統(tǒng)的網(wǎng)絡(luò)安全性進(jìn)行實(shí)時(shí)監(jiān)控,。從目前的監(jiān)控情況看,，全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)公民個(gè)人信息泄露事件,。“歡迎社會(huì)各界對(duì)社保系統(tǒng)安全提出建議和意見(jiàn),，對(duì)于發(fā)現(xiàn)的安全漏洞，通過(guò)合法渠道向國(guó)家有關(guān)部門報(bào)告,，或直接與人社部聯(lián)系,。”