总社各直属单位、各主管社团,供销集团各成员企业:
根据《中华人民共和国网络安全法》和网络安全等级保护制度2.0新制度的要求,结合近期落实审计署网络安全建设和绩效方面整改的意见,总社办公厅、信息中心委托第三方网络安全检测机构于2019年12月23日至12月30日期间对系统内32家企事业单位门户网站进行了网络安全摸底检查。
此次网络安全检测针对网站安全漏洞、网站是否被挂马、是否有暗链、钓鱼检测、全站敏感关键字检测、页面是否被篡改、是否可访问等关键信息。共检测出高危漏洞102个、中危漏洞58个、低危漏洞1655个、外漏信息3336条,挂马和暗链136条。被检测到的安全漏洞主要集中在电话号码、Email地址泄露,可对页面表单中的隐藏字段进行操纵,密码自动填充,网站物理路径泄露,网站存在暗链与网页木马,网站源码中存在用户名或者密码信息泄露,管理后台登录入口泄露等。
其中北京全国棉花交易市场有限公司(www.cottonchina.org.cn)、中华棉花集团有限公司(www.chncc.com)存在多处SQL注入、链接注入、跨站脚本、框架注入等高危漏洞,网站处于非常危险的等级;中国合作贸易企业协会(www.ccoop.org.cn)、中国畜产品流通协会(www.chinacapma.org)存在多处网马和暗链,可能的网站物理路径泄露、密码自动填充等低危漏洞,网站处于比较危险的等级。
请各单位针对存在的安全问题积极进行整改修复,进一步提高网络安全意识,加强网络安全防范措施,提升系统整体网络安全事件应对能力。
关于各单位具体网络安全统计情况和详细的检测报告可咨询信息中心。
(联系人:张晓远 电话:66050104)
总社办公厅、信息中心
2020年1月13日
