正文

【51test】周边情况解释网络安全法

/ / 阅读

随着中考考试查询的临近,数万家长和考生翘首以待,问如何才能第一时间找到孩子的考试分数。作为今天考生的家长之一,我当然也很感兴趣。今天在一群微信中看到一位热心家长发布了2018年西南高中入学考试查询网站主页,见下图。

从上图可以看出,考试查询有两个网站:陕西南州教育网和无忧考试网。

首先,你能正常访问吗?

(一)无法使用浏览器访问陕西南州教育网,自动跳转到百度查询界面,状态如下:

再次点击百度,黔西南州教育网的百度快照为什么无法访问?职业习惯中最不顺眼的是行不通的。Ping测试黔西南州教育网络网站,发现到达路径,显示网络没有问题,请参见下图:

查询地址归属浙江电信。请参见下图。

由于网络通道没有问题,网站平台有问题,或者提供的域名没有记录,无法说明连接被禁止。因为无法联系网站平台负责人,所以查询了域名记录。请参见下图。

www.gzqxnzedu.cn未注册。使用该域名向外部发布信息,可以从非法百度搜索域名记录的法律法规,获得很多相关信息。

根据中华人民共和国信息产业部第十二次部长会议通过的《非经营性互联网信息服务备案管理办法》精神,在中华人民共和国境内提供非营利性互联网信息服务必须处理文件!没有文件,不得在中华人民共和国境内从事非营利性互联网信息服务。没有记录的网站将被罚款和关闭。

从事互联网信息服务的企业事业单位必须取得互联网信息服务增值电信业务经营许可证或办理备案手续。

互联网信息服务是指通过互联网向互联网用户提供信息的服务活动。非盈利性互联网信息服务可以登录本网站填写表格。经营性互联网信息服务提供商应当到相关通信管理部门申请通信业务经营许可。

非营利性互联网信息服务提供商必须保证填写的信息的真实性。如果填写虚假信息,通信管理部将依法予以处罚。

非营利性互联网信息服务提供者填写的文件信息违反了《电信条例》第57条的规定,通信管理部门可以不办理文件手续。

非营利性互联网信息服务提供商计划从事新闻出版、教育、医疗、药品、医疗器械等互联网信息服务的,在登录本网站履行备案手续前,应当依法经有关主管部门审核同意。

非营利性互联网信息服务提供商办理完文件手续后,必须将文件电子证书放置在指定的网站目录中。国家相关部门没有以此作为是否申报的参考标准。

非经营性互联网信息服务提供者的档案事项变更后,应当及时更新档案信息。如果没有及时变更,通信管理部门将依法处罚。

综上所述,访问www.gzqxnzedu.cn行不通是正常的。如果使用该网站评分,将找不到涉嫌违法、可能面对很多家长的电话咨询。

(b)利用浏览器访问无忧考试网,就能成功。界面如下。

在网站上没有发现检查站的有效入口。Ping无忧域名51将获得IP,如下所示:

idth="558" height="114"/>

查询地址归属地为广东电信

再查询无忧网的备案情况,发现备案号属地为北京

备案地和IP地址归属地不是同一地点,按规定“谁接入,谁负责”北京的接入运营商应当取消无忧网的连接,而广东电信应当要求无忧网在广东重新申请域名备案接入后方能进行接入,因此广东电信涉嫌违规。

从上面两个网站的情况来看,都存在不同的违法违规情况,由于信息的来源渠道不是来自官方,因此也不能贸然断定我州教育部门存在公布违法违规网站情况。带着疑问,通过多方询问,终于找到了州教育局公布的官方查询公告。

二、州教育局公布的官方查询公告

从公告上看 连接为:

IP 归属地为 湖北电信

根据工信部的规定,无域名只有IP的网站 也要用IP进行备案,查询59.175.148.82的备案情况,见下图:

IP未备案。从公告的连接来看

页面上未标注是否采用别的形式是否备案,也无法肯定的断定是否违法。

三、官方公布的网站是否存在漏洞

根据官方提供的连接,用Acunetia Web Vulnerability 10.5 扫描软件对该网站http:// 59.175.148.82:8000/user

和 两个连接进行了安全扫描。

扫描结果如下:

http:// 59.175.148.82:8000/user 扫描结果

发现有1个高危漏洞,12个中危漏洞

扫描结果

公布的查分连接扫描 发现高危漏洞1个 中危漏洞6个。

由于事关千家万户家庭的利益,再次不不便公布漏洞代码。关于漏洞网络安全上有如下规定:

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

四、结论

1、微信群中公布的黔西南州教育网 和无忧考网 非官方公布,因此属于虚假信息。

2、我州中考查分链接还是IP地址 没有域名,从方便广大师生、家长的角度考虑,建议还是申请正规域名并正常备案

3、我州中考查分网站存在中危以上网络漏洞,需要尽快修补,避免造成信息泄露。(作者:中国电信黔西南分公司 李刚)