全市各互联网服务单位和互联网使用单位:
根据国家网络与信息安全信息通报中心信息安全通报的有关情况,针对SSL/HTTPS技术的一种新型攻击技术可能对我国的重要信息系统进行攻击。
SSL/HTTPS在业内被普遍认为是保密强度较高的网络安全防护措施。我国电子政务、电子商务、银行、证券、税务、电力、电信能源等外部网络和内部网络,其身份认证、保密数据传输等大都采用这种加密技术。针对SSL/HTTPS技术的这种新型攻击技术可能对我国信息系统安全构成严重威胁。
一、可能面临的信息安全风险的分析
(一)电子政务系统。我国部分司法部门的网上举报中心、税务部门网上报税系统、部分政府部门网上办公系统采用了SSL安全加密技术,存在被新型攻击技术利用的问题,易造成举报人、纳税人等敏感信息的泄露,或用户邮件系统被非法访问,邮件信息被窃取。
(二)证券基金网上交易系统。系统中的用户登陆账号、密码信息的传输主要采用SSL安全加密,系统的认证方式主要采用账号、口令认证方式,利用新型攻击技术可获取用户账号、密码,攻击者无法对用户资金直接盗取,但可对账户股票基金进行买卖,仍能给用户造成经济损失。
(三)网上银行系统。多数系统对用户的登陆账号、密码信息的传输除采用SSL技术以外,还采用了U盾、本地敏感信息加密、动态口令、绑定手机进行验证等其中一种的双保险方式,就此类网上银行系统使用该攻击技术盗取用户资金的难度很大。但有部分网上银行系统未对网银用户的本地信息进行加密处理,使用新型攻击技术可获取用户账号密码以及身份等信息,利用网银提供的网上支付功能,可对用户资金进行小额度转账。
(四)移动网上营业厅。系统采用了SSL加密对登陆手机号与口令进行加密传输,也可被新型攻击技术利用,攻击者获取非法访问权限,实现对用户短信、通话记录等信息的查看。
二、安全防护建议
为有效防范该安全隐患对我主要信息系统构成的安全威胁,建议有关单位采取以下安全防护措施:一是核查本行业信息系统是否采用SSL/HTTPS技术对重要敏感信息保密传输,及时调整安全策略,提高对重要敏感信息的安全强度。二是攻击方式的特性,主要是利用ARP地址欺骗,因此对办公网络和公共网络影响最大,所以要加强内部网络管理,提高防范ARP欺骗的能力。三是在进行敏感信息传递时,采用先对提交的敏感数据进行加密后传输的处理方式。四是采用双向认证,客户端要能够确认当前浏览的网站为指定网站,并确认指定的网站拥有服务器证书。
三、全市各互联网服务单位和互联网使用单位,尤其是还采用SSL/HTTPS技术的单位,重视提高加强对本单位信息系统安全防护措施的同时,对本单位信息系统的运行情况要进行密切核查和监控。对信息系统运行中发现的异常情况和安全案事件,要及时向公安机关公共信息网络安全监察部门报告。同时将信息系统运行记录、使用日志记录、系统维护日志记录等数据资料进行保存和数据备份。
包头市公安局公共信息网络安全监察支队
二〇〇九年五月十四日
