全程導醫網 徐州醫保信息：近日，知名漏洞響應平臺曝光江蘇、陜西、四川、浙江、山西等全國至少9省份的社保信息存在漏洞，數千萬用戶的社保信息遭遇泄露危機。據記者了解，目前，40%的漏洞已經修復，但仍有涉及超過千萬居民的數據漏洞未能修復。

　　23日，人力資源和社會保障部副部長胡曉義對此回應，已要求涉事地區排查隱患。確實存在漏洞的，要在第一時間采取措施，予以封堵。同時，從目前的監控情況看，全國社保系統總體運行平穩，未發現公民個人信息泄露事件。

　　記者調查發現，低級錯誤和懶政行為是這場危機的重要原因。

　　超千萬居民信息漏洞尚未修復

　　記者從補天漏洞響應平臺獲得的數據顯示，從2014年4月以來，涉及居民社保信息泄露的報告達46個，其中高危44個，至少涉及江蘇、陜西、四川、浙江、山西等19省份，涉及人員高達5200萬。其中超過千萬居民的相關信息漏洞至今未修復。

　　有媒體前日報道稱，據該平臺的漏洞信息顯示，陜西省人力資源和社會保障廳社保系統漏洞可能泄露全省至少213萬農村參與社保人員的信息，黑客可利用漏洞隨意修改社保待遇，停發社保金;浙江省永康市社保網上辦事大廳存在漏洞，上萬單位企業信息或遭泄露，其中包括上百萬員工社保信息;江蘇省省級機關住房資金管理中心系統出現漏洞，可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保信息遭泄漏。

　　記者昨日了解到，截至22日，多省市社保系統已對漏洞進行修復，40%的漏洞已經修復。比如，涉及822萬人的遼寧省沈陽市社保局某系統SQL注入問題、涉及643萬人的山東省煙臺市社保網上辦事大廳安全漏洞問題、涉及213萬人的陜西省人力資源和社會保障廳社保系統漏洞等均已經修復。

　　此外，還與部分省市社保系統未能修復。比如，吉林省長春市某醫保系統漏洞，可導致參保的學校和企業單位用戶的醫保信息泄露，涉及772萬人，這個信息漏洞發現三個多月，至今未能修復。

　　胡曉義昨日說，社保信息系統牽涉廣大群眾的切身利益，人社部高度關注這一問題，將采取必要的措施進行漏洞修補，以負責任的態度保障參保人的個人信息安全和社保基金安全。目前，人社部信息中心已向平臺了解其所監控到的漏洞信息，同時向多個地方人社部門了解情況，要求這些地區對隱患進行排查。確實存在漏洞的，要在第一時間采取措施，予以封堵。

　　漏洞出現數月，未采取措施

　　補天漏洞響應平臺此次曝光的名單，或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺---烏云漏洞報告平臺負責人孟卓向記者介紹，該平臺從2011年以來提交的社會保障、醫保和公積金類的信息泄露名單，數量高達近200個，至少涉及20個省份。

　　專家分析，政府網站出現大面積的信息漏洞，一方面是管理人員對其所采用的系統不夠了解，技術水平不高，導致存在很多技術性安全漏洞。但更重要原因，則是相關管理人員的安全意識不夠，責任心不強。

　　孟卓說，涉及政府部門網站的信息泄露一般分為幾類：弱口令泄露、數據庫與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級失誤。“與互聯網企業相比，政府機構網站的信息安全漏洞都非常低級，不應該出現。”

　　設置非常簡單、容易猜到管理密碼的弱口令泄露，是此次信息安全泄露的重要一類，修改密碼就能解決諸多相關問題。但是，多地社保部門在漏洞發現后的數月間，沒有采取任何行動，有的至今未修復漏洞。孟卓說：“弱口令泄露在技術修復上不存在任何難度，甚至要不了幾分鐘。歷時多月而不修復，往往是管理人員的懶政導致的。”

　　比如，涉及345萬人的湖北省十堰市社保某系統泄露社保信息問題、涉及428萬人的四川省內江市社保某系統泄露參保1398家企業單位的員工社保信息問題，都屬于此類。但從今年1月漏洞被發現至今，均未做任何修復。

　　懶政惰政可見端倪，專家稱應追責

　　專家還說，數據保管不當也是此次信息泄露危機的重要原因。

　　一些地方政府相關部門的懶政惰政，從漏洞報告平臺與之溝通的情況也可見端倪。補天平臺相關負責人告訴記者，該平臺對信息安全漏洞的發布和處理，會經過提交漏洞、確認漏洞、通報機構、機構確認、機構修復五個步驟。漏洞數據將被同步實時通報給公安部、網信辦和國家漏洞庫，相關情況還會反饋給涉事機構。但在實際操作中，如果涉事對象是政府網站，就往往得不到回應。“好一點的雖然不愿意溝通，但至少能悄悄地把漏洞修復了。但還有一些，卻連花幾分鐘修復最簡單的漏洞都不愿意。”

　　專家指出，個人信息保護變得越來越重要，要防堵政府網站的個人信息泄露，需要提升意識、引入優秀人才，還要建立問責機制，責任到人，防止“集體負責”變成“無人負責”。

　　安天實驗室首席技術架構師肖新光說，我國互聯網發展速度快，但在信息安全方面的防護能力、防護意識和防護水平都有待提升，尤其是政務信息化安全水平較弱，應在思想意識上提升對信息安全和數據安全重要性的認知。

　　孟卓說，不少政府部門在信息管理方面依然是重建設輕維護。政府機構的網站往往由傳統機構進行維護，有的簡單外包給第三方企業，對系統安全性不夠重視，技術人員對安全的理解也較為老舊，已經不能適應當今信息安全的發展。

　　啟明星辰首席戰略官、中國計算機學會常務理事潘柱廷說，我國現在缺乏對信息安全泄露的問責機制。政府部門里往往沒有人對信息泄露負責，有些“集體負責”實際上是無人負責，有些“一把手負責”實際上也是沒人負責。應在體制機制上進行改革，在社保等重要部門要設立“首席信息安全官”等職位負責信息安全問題，并在經費投入等方面加大支持力度。

　　胡曉義昨天表示，人社部建立了覆蓋全國部、省、市三級的信息安全監控系統，并委托國家網絡安全專業檢測機構，對人社系統的網絡安全性進行實時監控。從目前的監控情況看，全國社保系統總體運行平穩，未發現公民個人信息泄露事件。“歡迎社會各界對社保系統安全提出建議和意見，對于發現的安全漏洞，通過合法渠道向國家有關部門報告，或直接與人社部聯系。“

　　事件焦點：漏洞可能導致哪些危害?

　　就在人們對大數據極力熱捧之時，大數據的安全危機已經逐漸顯露。來自360公司的統計數據顯示，2014年一年中360網站安全監測平臺掃描的網站中有65%的網站存在漏洞。

　　補天漏洞響應平臺安全專家鄧煥表示，補天平臺發現的漏洞大多數是由于網站搭建時期編寫代碼時有缺陷造成的，通過這些缺陷，黑客可能入侵到網站主機，獲取后臺核心數據。

　　鄧煥說，社保系統里的信息包括了居民身份證、社保、薪酬等敏感信息，一旦泄露，用戶首先可能會遇到許多定向廣告、惡意推銷或詐騙。此外，通過社保密碼、生日信息，犯罪分子可能會套出用戶的一些賬戶密碼，也可能利用這些信息復制身份證、盜辦信用卡，給用戶造成經濟損失。

　　據補天漏洞響應平臺對這幾年中國互聯網泄露的數據統計，到目前為止，數據泄露數量達到11.2億，可泄露的數據量已達到23.6億。

　　數據作為“隱形資產“，其價值已被大家公認，而如何保護好大數據就成為政府、企業至個人和全社會首先要考慮的問題。

　　北京郵電大學互聯網治理與法律研究中心主任李欲曉表示，社保系統包含地方人均收入、社保金額等用于政府決策和制定決策的重要基礎信息，“我們許多決策的參考數據是保密的，因為通過對一個地方整體社保數據的關聯分析，可以掌握一個國家或地區的決策模型。“

　　專家建議：政府部門應配專職網絡安全員

　　李欲曉認為，我國互聯網發展速度快、普及廣、應用深，但信息安全方面的防護能力、防護意識和防護水平都存在問題。“我們的信息產業規模是幾萬億甚至是十萬億，但是信息安全市場很小，只有百億規模。這一次社保系統的漏洞反映出互聯網發展中重運營輕維護的問題。“

　　李欲曉建議，有關部門應對已經建成的政府部門信息系統的安全性進行一次全面檢查，摸清真實的安全狀況。同時，依據《國家安全法》的有關規定，相關部門應該制定政府部門信息系統采集、發布信息的安全標準和規范。

　　李欲曉認為，在信息安全方面，國家還因該加大人才培養。“政府部門從中央一級到地市縣，涉及信息系統，都應該有專人負責網絡安全。這已經是一件很緊迫的事了。不能等到出了問題再想到亡羊補牢，而且每一次問題都是別人先發現的。”

       徐州健康熱線：0516-85707122