人社部：全国社保系统平稳，公民信息未泄露，漏洞将修复

　　全程导医网 徐州医保信息：近日，知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国至少9省份的社保信息存在漏洞，数千万用户的社保信息遭遇泄露危机。据记者了解，目前，40%的漏洞已经修复，但仍有涉及超过千万居民的数据漏洞未能修复。

　　23日，人力资源和社会保障部副部长胡晓义对此回应，已要求涉事地区排查隐患。确实存在漏洞的，要在第一时间采取措施，予以封堵。同时，从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。

　　记者调查发现，低级错误和懒政行为是这场危机的重要原因。

　　超千万居民信息漏洞尚未修复

　　记者从补天漏洞响应平台获得的数据显示，从2014年4月以来，涉及居民社保信息泄露的报告达46个，其中高危44个，至少涉及江苏、陕西、四川、浙江、山西等19省份，涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。

　　有媒体前日报道称，据该平台的漏洞信息显示，陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息，黑客可利用漏洞随意修改社保待遇，停发社保金;浙江省永康市社保网上办事大厅存在漏洞，上万单位企业信息或遭泄露，其中包括上百万员工社保信息;江苏省省级机关住房资金管理中心系统出现漏洞，可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄漏。

　　记者昨日了解到，截至22日，多省市社保系统已对漏洞进行修复，40%的漏洞已经修复。比如，涉及822万人的辽宁省沈阳市社保局某系统SQL注入问题、涉及643万人的山东省烟台市社保网上办事大厅安全漏洞问题、涉及213万人的陕西省人力资源和社会保障厅社保系统漏洞等均已经修复。

　　此外，还与部分省市社保系统未能修复。比如，吉林省长春市某医保系统漏洞，可导致参保的学校和企业单位用户的医保信息泄露，涉及772万人，这个信息漏洞发现三个多月，至今未能修复。

　　胡晓义昨日说，社保信息系统牵涉广大群众的切身利益，人社部高度关注这一问题，将采取必要的措施进行漏洞修补，以负责任的态度保障参保人的个人信息安全和社保基金安全。目前，人社部信息中心已向平台了解其所监控到的漏洞信息，同时向多个地方人社部门了解情况，要求这些地区对隐患进行排查。确实存在漏洞的，要在第一时间采取措施，予以封堵。

　　漏洞出现数月，未采取措施

　　补天漏洞响应平台此次曝光的名单，或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台---乌云漏洞报告平台负责人孟卓向记者介绍，该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单，数量高达近200个，至少涉及20个省份。

　　专家分析，政府网站出现大面积的信息漏洞，一方面是管理人员对其所采用的系统不够了解，技术水平不高，导致存在很多技术性安全漏洞。但更重要原因，则是相关管理人员的安全意识不够，责任心不强。

　　孟卓说，涉及政府部门网站的信息泄露一般分为几类：弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联网企业相比，政府机构网站的信息安全漏洞都非常低级，不应该出现。”

　　设置非常简单、容易猜到管理密码的弱口令泄露，是此次信息安全泄露的重要一类，修改密码就能解决诸多相关问题。但是，多地社保部门在漏洞发现后的数月间，没有采取任何行动，有的至今未修复漏洞。孟卓说：“弱口令泄露在技术修复上不存在任何难度，甚至要不了几分钟。历时多月而不修复，往往是管理人员的懒政导致的。”

　　比如，涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题，都属于此类。但从今年1月漏洞被发现至今，均未做任何修复。

　　懒政惰政可见端倪，专家称应追责

　　专家还说，数据保管不当也是此次信息泄露危机的重要原因。

　　一些地方政府相关部门的懒政惰政，从漏洞报告平台与之沟通的情况也可见端倪。补天平台相关负责人告诉记者，该平台对信息安全漏洞的发布和处理，会经过提交漏洞、确认漏洞、通报机构、机构确认、机构修复五个步骤。漏洞数据将被同步实时通报给公安部、网信办和国家漏洞库，相关情况还会反馈给涉事机构。但在实际操作中，如果涉事对象是政府网站，就往往得不到回应。“好一点的虽然不愿意沟通，但至少能悄悄地把漏洞修复了。但还有一些，却连花几分钟修复最简单的漏洞都不愿意。”

　　专家指出，个人信息保护变得越来越重要，要防堵政府网站的个人信息泄露，需要提升意识、引入优秀人才，还要建立问责机制，责任到人，防止“集体负责”变成“无人负责”。

　　安天实验室首席技术架构师肖新光说，我国互联网发展速度快，但在信息安全方面的防护能力、防护意识和防护水平都有待提升，尤其是政务信息化安全水平较弱，应在思想意识上提升对信息安全和数据安全重要性的认知。

　　孟卓说，不少政府部门在信息管理方面依然是重建设轻维护。政府机构的网站往往由传统机构进行维护，有的简单外包给第三方企业，对系统安全性不够重视，技术人员对安全的理解也较为老旧，已经不能适应当今信息安全的发展。

　　启明星辰首席战略官、中国计算机学会常务理事潘柱廷说，我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责，有些“集体负责”实际上是无人负责，有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革，在社保等重要部门要设立“首席信息安全官”等职位负责信息安全问题，并在经费投入等方面加大支持力度。

　　胡晓义昨天表示，人社部建立了覆盖全国部、省、市三级的信息安全监控系统，并委托国家网络安全专业检测机构，对人社系统的网络安全性进行实时监控。从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。“欢迎社会各界对社保系统安全提出建议和意见，对于发现的安全漏洞，通过合法渠道向国家有关部门报告，或直接与人社部联系。“

　　事件焦点：漏洞可能导致哪些危害?

　　就在人们对大数据极力热捧之时，大数据的安全危机已经逐渐显露。来自360公司的统计数据显示，2014年一年中360网站安全监测平台扫描的网站中有65%的网站存在漏洞。

　　补天漏洞响应平台安全专家邓焕表示，补天平台发现的漏洞大多数是由于网站搭建时期编写代码时有缺陷造成的，通过这些缺陷，黑客可能入侵到网站主机，获取后台核心数据。

　　邓焕说，社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息，一旦泄露，用户首先可能会遇到许多定向广告、恶意推销或诈骗。此外，通过社保密码、生日信息，犯罪分子可能会套出用户的一些账户密码，也可能利用这些信息复制身份证、盗办信用卡，给用户造成经济损失。

　　据补天漏洞响应平台对这几年中国互联网泄露的数据统计，到目前为止，数据泄露数量达到11.2亿，可泄露的数据量已达到23.6亿。

　　数据作为“隐形资产“，其价值已被大家公认，而如何保护好大数据就成为政府、企业至个人和全社会首先要考虑的问题。

　　北京邮电大学互联网治理与法律研究中心主任李欲晓表示，社保系统包含地方人均收入、社保金额等用于政府决策和制定决策的重要基础信息，“我们许多决策的参考数据是保密的，因为通过对一个地方整体社保数据的关联分析，可以掌握一个国家或地区的决策模型。“

　　专家建议：政府部门应配专职网络安全员

　　李欲晓认为，我国互联网发展速度快、普及广、应用深，但信息安全方面的防护能力、防护意识和防护水平都存在问题。“我们的信息产业规模是几万亿甚至是十万亿，但是信息安全市场很小，只有百亿规模。这一次社保系统的漏洞反映出互联网发展中重运营轻维护的问题。“

　　李欲晓建议，有关部门应对已经建成的政府部门信息系统的安全性进行一次全面检查，摸清真实的安全状况。同时，依据《国家安全法》的有关规定，相关部门应该制定政府部门信息系统采集、发布信息的安全标准和规范。

　　李欲晓认为，在信息安全方面，国家还因该加大人才培养。“政府部门从中央一级到地市县，涉及信息系统，都应该有专人负责网络安全。这已经是一件很紧迫的事了。不能等到出了问题再想到亡羊补牢，而且每一次问题都是别人先发现的。”

       徐州健康热线：0516-85707122