9月18日,为期3天的经开区网络安全攻防演习落下帷幕。这是经开区第一次组织网络安全实战演习,也是国家网络安全宣传周系列活动的重要内容之一。
本次攻防演习采取模拟黑客网络渗透的实战演练,进一步检验属地重点互联网企业的防护能力,深度排查网络安全隐患和问题。经开区网信办在演习前分别指导守方单位做好了数据备份等保护措施,制定了攻防演习工作方案。
此次演练邀请专业网络安全企业技术团队作为攻击队伍,以发现安全问题并提供加固方案和修复建议为目标,依据《信息安全技术 信息安全风险评估规范》以及最佳实践,遵循规范性、可控性、整体性、保密性、最小影响的原则对参演单位的信息系统进行网络深度渗透攻击,同时对经开区整体网络安全环境进行全面监测。
演习过程中共发现测试接口地址泄露、用户弱口令、任意文件上传、敏感信息泄露、平行越权访问、后台地址泄露、敏感信息泄露等漏洞和风险隐患近110个。造成漏洞隐患的主要原因有安全、运维、开发人员等相关人员的网络安全意识疏忽薄弱,业务系统上线前应未进行安全检测以及安全防护能力以及安全检测能力弱。
后续经开区网信办将向参加演习单位反馈并指导整改发现的网络信息系统安全隐患和问题,促使相关责任单位提高网络信息安全意识和应急处置水平。通过本次网络安全攻防演习,达到以演促改、以演促管、以演促建的目的,促进了经开区网络安全事件应急处置综合能力水平的提升,加强了经开区属地企业的网络安全防护能力。
