导读:中国政府网站安全性目前受到挑战,主要源于技术侧。
本周发布的一项安全研究发布。这是由中国五名研究人员检查了全国近 14000 个政府网站,总结并发现了可能导致恶意攻击以及令人担忧的安全隐患。
此论广作者均来自哈尔滨工业大学。他们将这项研究描述为审查“困扰中国政府网络基础设施的安全和依赖性挑战”。他们在论文中声称“可能妨碍政府网络系统的数字功效和安全的重大漏洞”。
https://www.researchsquare.com/article/rs-4275987/v1
研究人员考量了域名解析、第三方库的利用、证书颁发机构 (CA) 服务、内容交付网络 (CDN) 服务、互联网服务提供商 (ISP)、HTTPS 的采用、IPv6 集成、域名系统安全扩展( DNSSEC)实施和网站性能等维度。
其中政府网站使用的域名超过四分之一没有名称服务器 (NS) 记录,这意味着它们可能缺乏有效的 DNS 配置,并且可能不可靠或无法访问。
另一个发现是对五个 DNS 服务提供商的“显著依赖”,如果缺乏多样性可能导致网络基础设施出现单点故障。
研究人员还写道:“如果出现影响这些主要提供商之一的技术问题、网络攻击或监管行动,DNS 基础设施的很大一部分可能会受到损害,从而影响广泛区域的可访问性和安全性。”
此外,有4250 个系统使用的 jQuery JavaScript 库版本容易受到CVE-2020-23064的影响,这意味着它们很容易受到远程攻击。
此外,该团队发现政府网站服务器冗余达不到最佳安全性和可靠性所需的水平。
该团队揭示:“在提供商中,中国移动、中国电信、中国联通和阿里云占了98.29%的市场份额。如果其中一个ISP出现故障或受到攻击,整个网络都可能受到影响。导致大范围的服务中断。”
