社保系统曝漏洞40%已修复 漏洞太多因管理人懒政

　　人社部：目前未发现个人信息泄露，已要求各地排查隐患，封堵漏洞

　　漫画/王启峰

　　近日，补天漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国至少19省份的社保系统存在漏洞，数千万用户的社保信息遭遇泄露危机。目前，40%的漏洞已经修复。

　　补天漏洞响应平台安全专家邓焕表示，社保系统里的信息包括居民身份证、社保、薪酬等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子用于复制身份证、盗办信用卡、盗刷信用卡等。

　　截至4月22日，多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示，40%的漏洞已经修复。比如，涉及822万人的辽宁省沈阳市社保局某系统SQL注入问题、涉及643万人的山东省烟台市社保网上办事大厅安全漏洞问题、涉及213万人的陕西省人社厅社保系统漏洞等均已经修复。

　　此外，还有部分省市社保系统未能修复。比如，吉林省长春市某医保系统漏洞，可导致参保的学校和企业单位用户的医保信息泄露，涉及772万人。这个信息漏洞发现3个多月，至今未能修复；陕西省铜川市某系统漏洞导致居民信息泄露，包括个人企业信息、就业失业信息、个人企业贷款信息、退休老人管理等，涉及90万人。从1月信息漏洞被发现至今，仍未修复。

　　人社部副部长胡晓义表示，已要求涉事地区排查隐患。确实存在漏洞的，要在第一时间采取措施，予以封堵。从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。

　　两大焦点

　　咋会有这么多漏洞？低级错误和懒政是重要原因

　　另一家同类平台——乌云漏洞报告平台负责人孟卓说，涉及政府部门网站的信息泄露一般分为几类：弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。

　　专家分析，政府网站出现大面积的信息漏洞，一方面是管理人员对其所采用的系统不够了解，技术水平不高，导致存在很多技术性安全漏洞。但更重要原因，则是相关管理人员的安全意识不够，责任心不强。有些漏洞被发现多月后，仍没有得到修复，往往是管理人员的懒政导致。

　　专家还说，数据保管不当也是此次信息泄露危机的重要原因。

　　如何防堵信息泄露？建立问责机制，责任到人

　　孟卓说，政府机构的网站往往由传统机构进行维护，有的简单外包给第三方企业，对系统安全性不够重视，技术人员对安全的理解也较为老旧，已经不能适应当今信息安全的发展。

　　启明星辰首席战略官、中国计算机学会常务理事潘柱廷说，我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责，有些“集体负责”实际上是无人负责，有些“一把手负责”实际上也是没人负责。

　　专家建议，应在体制机制上进行改革，在社保等重要部门要设立“首席信息安全官”等职位负责信息安全问题，并在经费投入等方面加大支持力度。

　　据新华社

编辑：杜明楠