首页大河网讯 玩转多种办公软件是新时代打工人的必备技能,但是,所有的办公软件都安全吗?是否会存在风险隐患?近日,商丘市互联网信息办公室在工作中发现,其属地某学校运营的“阅卷系统”存在网络安全漏洞,系统数据有被泄露的风险,商丘市委网信办对该学校作出责令改正,给予警告的行政处罚。
本期e法豫说重点关注办公软件背后的安全问题,继续邀请互联网技术人员探讨如何识别和防范潜在的网络威胁。
数据远比想象中需要保护
在数字化时代,网络安全和信息安全已成为维护数据完整性、保密性和可用性的关键。
“案例中的阅卷系统被攻击,导致数据被泄露,影响的很可能不只是学生的成绩分数。”技术研发工程师关心告诉记者,系统中还存有姓名、班级等大量个人信息,攻击者通过强制访问,可能会超范围收集、存储、共享网络数据,甚至会发生将数据主体的权益“让渡”给非授权机构的情形,从而威胁网络数据处理的安全性。
近年来,智能系统也面临着对抗性样本、数据污染等数据安全威胁。
“攻击者会通过添加细微干扰形成的恶意输入样本导致智能系统预测结果出错,造成严重安全隐患。”关心告诉记者,有些“黑客”甚至还通过数据污染,在正常样本数据集中加入一定比例的恶意样本进行训练,导致触发多种智能系统出错,造成安全危害,有些甚至会引发个人隐私受到侵犯以及商业诈骗等问题。
别忽视这些网络安全漏洞
网络安全漏洞是黑客利用的弱点,它们可能存在于软件、硬件或协议中。“案例中所透露的XSS跨站脚本攻击和SQL注入漏洞是常见的网络安全漏洞。”关心告诉记者,比如说XSS能窃取用户数据并发送到攻击者网站,或冒充用户调用目标接口并执行攻击者指定的操作。
“简单打个比方,就像真假孙悟空一样,虽然我不是你,但是我可以变成你,进行转账或窃取隐私信息等危险操作。”关心说,一般的网络“黑客”常常用这种“替身”戏法对系统进行攻击。
“系统有时候会进行网络安全漏洞的风险提示,但很多人不以为意。”关心告诉记者,其实,很多安全事件的发生都与员工的疏忽或者错误操作有关。因此,进行定期的安全培训,有助于提高员工对各种网络威胁的认识以及对网络安全的重视。
无惧“黑客” 一起见招拆招
“社交媒体、电子商务平台、登录和注册页面以及在线支付等,已成为XSS跨站脚本攻击和SQL注入漏洞的多发场合。此外,还有网络钓鱼、分布式拒绝服务攻击和勒索软件攻击等其他较为常见的网络攻击方式。”关心告诉记者,网络攻击手段虽然多样,但并不是无法避免的。
“平日在固定场所上网时,要注意避免点击可疑链接,尤其是对陌生人发来的消息要多一分警惕。如果在临时场合上网,注意不要在公共Wi-Fi下进行网银登录或在线支付等敏感操作。”关心还补充道,在设置密码时,尽量使用数字、字母、特殊符号等组合强密码和声音、手势等多因素认证来提高账户的安全性;同时,在使用各种软件及系统时,注意及时更新系统和软件版本,修复可能存在的漏洞。
除了使用系统的个人,依据相关法律法规,网络运营者应增强法律意识,严格履行主体责任,完善网络安全防护技术措施,切实维护网络安全和数据安全。“比如,建立数据安全管理制度、组织数据安全教育培训、采取相应技术措施保障数据安全以及对其数据处理活动开展风险监测和定期风险评估。”关心说。(刘思嘉 范弘烨)
【延伸阅读】
《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《中华人民共和国数据安全法》
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。