原標題：多地社保系統(tǒng)現(xiàn)信息漏洞：超千萬居民數(shù)據(jù)未修復

　　低級錯誤和懶政是這場危機的重要原因——多地社保系統(tǒng)現(xiàn)信息安全漏洞追蹤

　　近日，知名漏洞響應平臺曝光江蘇,、陜西、四川,、浙江、山西等全國至少19省份的社保系統(tǒng)存在漏洞,，數(shù)千萬用戶的社保信息遭遇泄露危機,。據(jù)“新華視點”記者了解,，目前，40%的漏洞已經(jīng)修復,，但仍有涉及超過千萬居民的數(shù)據(jù)漏洞未能修復,。

　　對此，人力資源和社會保障部副部長胡曉義回應,，已要求涉事地區(qū)排查隱患,。確實存在漏洞的，要在第一時間采取措施,，予以封堵,。同時，從目前的監(jiān)控情況看,，全國社保系統(tǒng)總體運行平穩(wěn),，未發(fā)現(xiàn)公民個人信息泄露事件。

　　記者調(diào)查發(fā)現(xiàn),，低級錯誤和懶政行為是這場危機的重要原因,。

　　5200萬居民遭遇信息泄露危機

　　記者從補天漏洞響應平臺獲得的數(shù)據(jù)顯示，從2014年4月以來,，涉及居民社保信息泄露的報告達46個,，其中高危44個，至少涉及江蘇,、陜西,、四川、浙江,、山西等19省份，涉及人員高達5200萬,。其中超過千萬居民的相關信息漏洞至今未修復,。

　　補天漏洞響應平臺安全專家鄧煥表示，社保系統(tǒng)里的信息包括居民身份證,、社保,、薪酬等敏感信息。這些信息一旦泄露,，造成的危害不僅是個人隱私全無,，還會被犯罪分子利用。例如,，被用于復制身份證,、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經(jīng)濟犯罪,。

　　記者了解到,，截至22日,，多省市社保系統(tǒng)已對漏洞進行修復。根據(jù)補天平臺排查的數(shù)據(jù)顯示,，40%的漏洞已經(jīng)修復,。比如，涉及822萬人的遼寧省沈陽市社保局某系統(tǒng)SQL注入問題,、涉及643萬人的山東省煙臺市社保網(wǎng)上辦事大廳安全漏洞問題,、涉及213萬人的陜西省人力資源和社會保障廳社保系統(tǒng)漏洞等均已經(jīng)修復。

　　此外,，還有部分省市社保系統(tǒng)未能修復,。比如，吉林省長春市某醫(yī)保系統(tǒng)漏洞,，可導致參保的學校和企業(yè)單位用戶的醫(yī)保信息泄露,，涉及772萬人。這個信息漏洞發(fā)現(xiàn)三個多月,，至今未能修復,；陜西省銅川市某系統(tǒng)漏洞導致居民信息泄露，包括個人企業(yè)信息,、就業(yè)失業(yè)信息,、個人企業(yè)貸款信息、退休老人管理等,，涉及90萬人,。從1月信息漏洞被發(fā)現(xiàn)至今，仍未修復,。

　　胡曉義說,，社保信息系統(tǒng)牽涉廣大群眾的切身利益，人社部高度關注這一問題,，將采取必要的措施進行漏洞修補,，以負責任的態(tài)度保障參保人的個人信息安全和社保基金安全,。目前,，人社部信息中心已向平臺了解其所監(jiān)控到的漏洞信息，同時向多個地方人社部門了解情況,，要求這些地區(qū)對隱患進行排查,。確實存在漏洞的，要在第一時間采取措施,，予以封堵,。

　　多地社保部門在平臺漏洞出現(xiàn)數(shù)月間沒有采取措施

　　補天漏洞響應平臺此次曝光的名單，或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺——烏云漏洞報告平臺負責人孟卓向記者介紹,，該平臺從2011年以來提交的社會保障,、醫(yī)保和公積金類的信息泄露名單，數(shù)量高達近200個,，至少涉及20個省份,。

　　專家分析，政府網(wǎng)站出現(xiàn)大面積的信息漏洞,，一方面是管理人員對其所采用的系統(tǒng)不夠了解,，技術水平不高，導致存在很多技術性安全漏洞,。但更重要原因,，則是相關管理人員的安全意識不夠，責任心不強,。

　　孟卓說,，涉及政府部門網(wǎng)站的信息泄露一般分為幾類：弱口令泄露、數(shù)據(jù)庫與敏感信息記錄文件直接泄露,、密碼的暴力破解等諸多低級失誤,。“與互聯(lián)網(wǎng)企業(yè)相比，政府機構網(wǎng)站的信息安全漏洞都非常低級,，不應該出現(xiàn),。”

　　設置非常簡單、容易猜到管理密碼的弱口令泄露,，是此次信息安全泄露的重要一類,，修改密碼就能解決諸多相關問題。但是,，多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間,，沒有采取任何行動，有的至今未修復漏洞,。孟卓說：“弱口令泄露在技術修復上不存在任何難度,，甚至要不了幾分鐘。歷時多月而不修復,，往往是管理人員的懶政導致的,。”

　　比如,，涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題,、涉及428萬人的四川省內(nèi)江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題，都屬于通過簡單操作就能修復,。但從今年1月漏洞被發(fā)現(xiàn)至今,，均未做任何修復。

　　專家還說,，數(shù)據(jù)保管不當也是此次信息泄露危機的重要原因,。

　　一些地方政府相關部門的懶政惰政,，從漏洞報告平臺與之溝通的情況也可見端倪。補天平臺相關負責人告訴記者,，該平臺對信息安全漏洞的發(fā)布和處理,，會經(jīng)過提交漏洞、確認漏洞,、通報機構,、機構確認、機構修復五個步驟,。漏洞數(shù)據(jù)將被同步實時通報給公安部,、網(wǎng)信辦和國家漏洞庫，相關情況還會反饋給涉事機構,。但在實際操作中,，如果涉事對象是政府網(wǎng)站，就往往得不到回應,。“好一點的雖然不愿意溝通,，但至少能悄悄地把漏洞修復了。但還有一些,，卻連花幾分鐘修復最簡單的漏洞都不愿意,。”

　　不少政府部門的信息系統(tǒng)重建設輕維護，專家稱應對信息泄露追責

　　專家指出,，個人信息保護變得越來越重要,，要防堵政府網(wǎng)站的個人信息泄露，需要提升意識,、引入優(yōu)秀人才,，還要建立問責機制，責任到人,，防止“集體負責”變成“無人負責”,。

　　公安部相關信息安全專家指出，隨著社會保障體系的建設加快,，機構管理與公民的互動日益加強,，這使公民信息的類別、屬性變得更加敏感,，相關信息安全管理也變得越來越重要,。

　　安天實驗室首席技術架構師肖新光說，我國互聯(lián)網(wǎng)發(fā)展速度快,，但在信息安全方面的防護能力,、防護意識和防護水平都有待提升，尤其是政務信息化安全水平較弱，應在思想意識上提升對信息安全和數(shù)據(jù)安全重要性的認知,。

　　孟卓說,，不少政府部門在信息管理方面依然是重建設輕維護。政府機構的網(wǎng)站往往由傳統(tǒng)機構進行維護,，有的簡單外包給第三方企業(yè),，對系統(tǒng)安全性不夠重視，技術人員對安全的理解也較為老舊,，已經(jīng)不能適應當今信息安全的發(fā)展,。

　　啟明星辰首席戰(zhàn)略官、中國計算機學會常務理事潘柱廷說,，我國現(xiàn)在缺乏對信息安全泄露的問責機制,。政府部門里往往沒有人對信息泄露負責，有些“集體負責”實際上是無人負責,，有些“一把手負責”實際上也是沒人負責,。應在體制機制上進行改革，在社保等重要部門要設立“首席信息安全官”等職位負責信息安全問題,，并在經(jīng)費投入等方面加大支持力度,。

　　胡曉義表示，人社部建立了覆蓋全國部,、省,、市三級的信息安全監(jiān)控體系，并委托國家網(wǎng)絡安全專業(yè)檢測機構,，對人社系統(tǒng)的網(wǎng)絡安全性進行實時監(jiān)控,。從目前的監(jiān)控情況看，全國社保系統(tǒng)總體運行平穩(wěn),，未發(fā)現(xiàn)公民個人信息泄露事件,。“歡迎社會各界對社保系統(tǒng)安全提出建議和意見，對于發(fā)現(xiàn)的安全漏洞,，通過合法渠道向國家有關部門報告,，或直接與人社部聯(lián)系。”(記者周蕊 鄧中豪 徐博)