公务员工资“被公开” 谁能“治疗”管理漏洞

东莞“三级地震”余威未平，湖南冷水江市公务员工资“被公开”又成功抢得头条。近日，一个含有湖南冷水江市财政统发工资信息网站惨遭网民围观，因其查询密码设置简单，网友可随意查看该市227所政府机关单位公务员工资。

相比黑客篡改政府职能网站网页，机密数据遭遇剽窃的危害要严重的多。虽说此次信息泄露的内容并“不敏感”，但暴露出来的问题绝不是用“疏忽”所能搪塞的。据国内某知名检测平台显示,该网站除了存在“弱口令”漏洞外，还存在网站用户资料泄露、网站敏感文件可被下载、服务器配置信息泄露、网站目录结构暴露、核心数据被非法更改等高危漏洞。这些漏洞早在两个月已检测发现，迟迟未与修复。 

这种落后的防护措施与管理漏洞，如果涉及到非机密文件还好，若涉及到国家机密文件或市场机密文件，那所造成的损失是不可估量的。据《2013年中国网站安全报告》显示，我国网站整体安全形势并不乐观，存在“后门”的网站比例高达33.7%，以目前国内网站数量超过300万个的比例估算，国内已经被黑客植入“后门”的网站数量超过100万个。黑客借助“后门”可轻松远程控制网站，执行如篡改网页内容、挂马、窃取网站注册用户密码数据等的非法攻击。

解决信息泄露，升级系统漏洞必不可少，但人为原因极易造成信息泄露。此次事件，殷鉴不远，政府、企业等部门机构，应该进一步提升自己的安全体系，为防止人为原因泄露，对政府、企业的核心机密文件，采取加密存储的方式，防止机密信息通过截屏、邮件、木马、病毒、移动存储、聊天工具等方式有意识或无意识泄露。

面对越来越严峻的信息环境，单纯凭某个方面的工具或某个人已经不能胜任如此大的工作量和业务紧迫性的要求。若要破解这一难题，必须有一整套的综合系统管理解决方案。为此，清华同方一直以来不遗余力地以信息安全领域的技术和产品研发为己任，紧密依托清华大学一流技术平台，推出了创新的TST2.0安全平台。

TST2.0安全技术平台让每一台计算机都装有可信密码模块，其使用了国家密码局自主开发的高可靠密码对机密数据进行加密，并将密钥储存在模块内。若干台这样的可信计算机再组成授权密网，普通用户对密网的操作权限由授权密网管理员进行管理控制，在管理员的授权下，普通用户可以访问授权密网，并在密网内对数据进行操作，数据文件离开密网，自动加密，进入密网，自动解密。一旦这些信息脱离了授权密网范围，储存的机密信息就会变成密文，这样就算机密文件被窃取，但是因为高强度加密，也不会有任何有用信息丢失。

TST2.0安全平台采用国家自主可控TCM芯片硬件加密，具有国家安全局开发认证的自主加密算法，可以有效防止因外部攻击或内部人员造成的数据外泄。TST2.0安全平台由个人密盘、授权密网、即时备份、行为审计、硬件加密等五大部分组成，通过硬件加密芯片与软件结合，为用户提供专属私密存储区，搭建工作组内部机密信息共享平台，可以封堵任何方式的信息泄露。

政府网站一直属于黑客攻击的首选目标，虽然近些年网站安全级别有所加强，但本次事件，客观反映出政府在信息安全方面需进一步提升。此次公务员工资“被公开”，引起了广泛关注，虽然公务员工资不属于国家机密，但必须对此引以为戒。同方TST2.0安全信息平台，能够充分保证组织内部的文件安全，维系业务系统正常运转，为国家机关的信息安全保驾护航！

责任编辑：wb001

文章来源：http://tech.72177.com/2014/0219/1550077.shtml