45家企业有108个高中危漏洞 贵州信息通信业网络安全实战攻防验“能耐”

JPG、PNG文件随意上传，这种常规做法看似没问题，实则安全隐患很大。贵州省某工业集团因为对文件上传没有进行格式限制，被黑客攻击上传了木马文件导致数据库泄露……省通信管理局组织的实战攻防显示，贵州不少互联网企业和工业互联网企业相关系统存在大量网络安全隐患问题。

8月16日，在党的二十大网络安全保障暨贵州省信息通信行业“黔网使命2022”网络安全应急演练现场，贵州省通信管理局对全省网络安全实战攻防情况做了通报，并对典型案例进行了分析。

“隐秘”的实战攻防

据悉，贵州省通信管理局组织各基础电信企业、互联网企业、工业互联网企业和网络安全技术支撑单位组建了7支网络安全攻击组，由省通信管理局抽选网络安全专家组成裁判组。为使实战攻防工作顺利开展，省通信管理局制定了网络安全实战攻击操作规则，规范了攻击单位和个人的操作流程，避免对目标系统的业务正常运行造成影响。

为保障本次实战攻防工作的实战效果，检验信息通信业各单位的防护能力，达到查摆安全隐患和问题的目的，省通信管理局要求各参与实战攻防的单位做好保密工作，并签订保密承诺书。

随后，省通信管理局组织四家基础运营商企业、互联网企业、工业互联网企业和多家技术支撑单位于今年7月27日至8月5日开展了为期10天的实战攻防。演练分为攻击方和防守方，攻击方通过对现网目标系统开展漏洞扫描和渗透攻击，获得目标系统存在的安全漏洞和相关权限。防守方通过实时监测网络安全威胁和攻击行为，进行必要阻断和应急响应措施，及时消除系统存在的网络安全威胁问题。

网络安全隐患触目惊心

省通信管理局从行业定级备案系统和ICP网站备案管理系统中随机抽选了211个网络单元作为攻击目标系统，在不提前通知系统主体单位和网络接入单位的前提下发起实战攻击。

据贵州信息通信业安全专家黄超介绍，经过贵州省通信管理局授权，贵州移动渗透团队对贵州省某工业集团开展了渗透测试工作，发现该单位后台登录界面可通过弱口令ad** ******进入，并发现大量入侵痕迹。因为该单位未对文件上传做出任何限制，导致黑客攻击上传木马文件，通过木马文件黑客可查看其他配置页面获得数据库登录名及密码，从而导致该单位数据库泄露。

类似情况还不少见。攻击组对现网211个目标系统开展漏洞扫描和渗透攻击，共提交网络安全漏洞报告162份，经裁判组验证，发现108个中高危网络安全漏洞。其中贵州移动公司和北京国舜公司攻击发现的安全漏洞数排名靠前。

本次实战攻防累计发现45家企业存在108个高中危漏洞，其中高危61个，中危47个。按漏洞所属企业类型划分，发现省内基础电信企业系统漏洞23个，占比21%；互联网企业系统漏洞46个，占比43%，工业互联网企业系统漏洞39个，占比36%。经统计，互联网企业和工业互联网企业相关系统存在大量网络安全隐患问题。

按安全漏洞类型划分，弱口令漏洞36个，未授权访问漏洞29个，注入型漏洞22个，信息泄露类漏洞13个，其他类漏洞8个。经统计分析发现，本次实战攻防发现多个工业企业系统存在弱口令。

据省通信管理局网络安全处处长粟湘表示，省通信管理局组织本次实战攻防旨在对我省基础电信企业、互联网企业以及工业互联网企业的211个互联网暴露面系统集中开展一次风险隐患排查，以实战攻防对抗形式帮助有关企业查摆问题，堵塞漏洞，进一步强化网络与数据安全意识，提升问题发现、应急处置和整改落实的能力。

省通信管理局将对本次实战攻防发现的网络安全问题进行通报并下发整改通知，督导相关单位落实整改，该局将组织网络技术支撑单位对整改结果进行验证；督导省内基础电信企业、互联网企业、工业互联网企业对本单位互联网暴露面资产开展全面清理和自查工作，并于9月底前完成对自查整改。