长江网讯(记者朱艳琳) 5月31日,中国网络空间安全协会副秘书长张健在“网聚滨海智慧新城”——2018互联网信息安全研讨会上就“重点新闻网站贯彻实施网络安全法检查”存在的问题进行了分析。
张健说:“首先,我想说的是安全管理机构和制度不健全这个方面,有的网站未成立专门的网络安全管理机构,也没有建立网络安全责任制度,或是制定网络安全管理制度的程序不规范,缺少用户信息保护制度。此外,有的网站也没有做到网站设计、建设与安全措施三同步要求。”
其次,落实岗位责任制不到位也是一个重要因素。张健解释:“有的网站没有和离职人员签订安全保密承诺书,或者与重点岗位的计算机使用和管理人员签订保密协议的内容不规范,也没有对安全管理机构负责人和关键岗位人员进行安全背景审查,对从业人员无定期培训和考核。此外,移动存储介质管理不到位,没有对终端计算机进行统一管理,对用户权限没有做统一检测,缺少对外包产品和服务的测试都是岗位责任制落实不到位的情况。”
在谈到“安全防护和保障措施不到位”这一问题时,张健表示,这一问题主要存在于:有的网站没有网络安全边界防护措施,口令设置不符合相关要求,也没有按规定安装和使用防病毒、攻击、入侵安全产品,或者未按规定使用国产网络安全设备和产品、留存网络日志以及对网络日志进行汇总分析,还有像漏洞检测不符合要求,未按规定进行人工渗透测试、数据加密和备份,网络应急预案不完善,应急队伍与资源不到位等。
除此之外,存在安全漏洞也成为重点新闻网站的一个重要安全隐患。比如有的网站大量用户存在弱口令“123456”,XSS漏洞以及数据库弱口令。还比如检查过程中发现一些网站没有按照规定要求用户提供真实身份信息,机房存在安全隐患,像监控存在盲区,UPS存放间有杂物,机房未按规定做防水处理,机柜未按规定做防静电处理,保密设备与其他设备共处,防盗门和防盗窗不符合要求等。