bd半岛官方网站关键信息基础设施安全十大风险隐患有哪些你知道吗？上一期我们介绍了，信息基础设施安全风险隐患的五条。今天我们继续讲五点，把它补充完整，拓宽大家的知识视野。

　　部分单位网络资产边界不清、责任不明，老旧资产、测试系统未及时清理下线，遗留过多有价值的可用信息。此种做法缺乏安全防护措施，容易被有心之人攻击利用而无法察觉。

　　许多重要行业部门和政府单位为便于业务开展，在内外网之间部署了大量VPN通道。攻击者可通过信息搜集、资产测绘发现专网的VPN通道，并通过暴力破解、零日漏洞利用等手段，通过VPN进入单位内网；利用目录访问、弱口令、任意文件上传等组合攻击方式，获得重要业务系统控制权。一旦系统被攻击者关停或清空数据，就会造成业务瘫痪，严重影响经济秩序和经济安全。同时，移动App作为信息发布的重要渠道，其安全性未得到广泛关注，极易被逆向、。

　　长期以来，一些重点单位的网络安全防护工作停留在单点防护、被动防护上，忽视了网络安全的整体性、关联性，使供应链攻击成为屡试不爽的攻击手段。供应链攻击是已知多年的网络攻击类型之一，利用多渠道和高度脆弱的服务进行攻击。这使得供应链攻击难以控制，并导致数十家不同的组织遭受数百万美元的财务损失，并遭受品牌形象丧失的负面影响。可以将供应链攻击分为通过硬件、软件和固件发生的三种类型。

　　大量提供产品供应、安全服务、域名服务的供应商未落实安全责任和安全措施，在产品供应、安全服务、域名服务等供应链安全方面问题突出；重要行业部门对供应商的管理措施缺失，导致供应链成为攻击的跳板。

　　网络安全工作bd半岛，技术和管理要并重。由于一些单位管理不到位、整改不及时，很多漏洞风险被反复利用，给攻击者带来可乘之机。黑客一边通过暴破、非法购买登录口令等方式进入企业网络，一边通过黑客工具进行渗透散播勒索病毒，加密重要数据、文件，索要赎金。

　　尽管大部分部委、央企的弱口令、老旧漏洞问题明显改进，但地市级以下等基层单位安全意识薄弱，安全责任落实差，漏洞修补不及时、弱口令、口令复用等问题仍普遍存在。同时，基层单位对网络安全重视不够，防护措施不到位，成为网络攻击的突破口。建议广大企业用户，对于终端特别是重要服务器，一定要设置超15位数字、随机组合的高强度密码，且不要重复使用，并定期更改。

　　除以信息系统为目标外，针对“重点人”的社会工程学攻击手段危害极大，邮件钓鱼、身份伪装、信息套取等方法层出不穷。社会工程学攻击它是一种利用人的弱点，如人的本能反应、好奇心、信任、贪便宜等人性弱点，进行诸如欺骗、伤害等，以获取自身利益的手段。这是网络安全中最为薄弱的一个环节之一。

　　一些重点单位网络安全管理措施不到位，系统管理员安全意识淡薄，成为黑客的围猎目标，被长期跟踪、重点盯控而毫无察觉，导致“关键人”丢掉了“关键系统”控制权。