大河网讯玩转多种办公软件是新时代打工人的必备技能,但是,所有的办公软件都安全吗?是否会存在风险隐患?近日,商丘市互联网信息办公室在工作中发现,其属地某学校运营的“阅卷系统”存在网络安全漏洞,系统数据有被泄露的风险,商丘市委网信办对该学校作出责令改正,给予警告的行政处罚。
数据远比想象中需要保护
在数字化时代,网络安全和信息安全已成为维护数据完整性、保密性和可用性的关键。
近年来,智能系统也面临着对抗性样本、数据污染等数据安全威胁。
“攻击者会通过添加细微干扰形成的恶意输入样本导致智能系统预测结果出错,造成严重安全隐患。”关心告诉记者,有些“黑客”甚至还通过数据污染,在正常样本数据集中加入一定比例的恶意样本进行训练,导致触发多种智能系统出错,造成安全危害,有些甚至会引发个人隐私受到侵犯以及商业诈骗等问题。
别忽视这些网络安全漏洞
网络安全漏洞是黑客利用的弱点,它们可能存在于软件、硬件或协议中。“案例中所透露的XSS跨站脚本攻击和SQL注入漏洞是常见的网络安全漏洞。”关心告诉记者,比如说XSS能窃取用户数据并发送到攻击者网站,或冒充用户调用目标接口并执行攻击者指定的操作。
“简单打个比方,就像真假孙悟空一样,虽然我不是你,但是我可以变成你,进行转账或窃取隐私信息等危险操作。”关心说,一般的网络“黑客”常常用这种“替身”戏法对系统进行攻击。
“系统有时候会进行网络安全漏洞的风险提示,但很多人不以为意。”关心告诉记者,其实,很多安全事件的发生都与员工的疏忽或者错误操作有关。因此,进行定期的安全培训,有助于提高员工对各种网络威胁的认识以及对网络安全的重视。
无惧“黑客”一起见招拆招
【延伸阅读】
《中华人民共和国网络安全法》
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《中华人民共和国数据安全法》
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。