“安網(wǎng)2016”網(wǎng)絡(luò)安全專(zhuān)項(xiàng)治理行動(dòng)開(kāi)展第一周(2015年12月14日至2015年12月20日)，共掃描檢測(cè)本省重點(diǎn)網(wǎng)站及重要信息系統(tǒng)293個(gè)，發(fā)現(xiàn)存在安全問(wèn)題的網(wǎng)站102個(gè)，高危漏洞130個(gè)。其中，企業(yè)、公眾互聯(lián)網(wǎng)、事業(yè)單位網(wǎng)站占問(wèn)題網(wǎng)站的81.5%，是安全隱患的重災(zāi)區(qū);SQL注入、XSS注入、任意文件下載為三類(lèi)主要漏洞，占總類(lèi)別的83.7%。

[[160364]]

 一、開(kāi)發(fā)平臺(tái)存在漏洞，易引起群體性安全風(fēng)險(xiǎn)

排查發(fā)現(xiàn)，大量網(wǎng)站使用某網(wǎng)絡(luò)建站系統(tǒng)，其中包括某市圖書(shū)館、某市信息網(wǎng)絡(luò)安全協(xié)會(huì)、廣東省某醫(yī)院、某市公共汽車(chē)公司等39家企業(yè)門(mén)戶(hù)網(wǎng)站。由于該網(wǎng)絡(luò)建站系統(tǒng)存在嚴(yán)重文件下載漏洞，攻擊者若成功利用該漏洞，即可下載包括系統(tǒng)配置文件等核心數(shù)據(jù)在內(nèi)的大量網(wǎng)站文件。

此外，部分單位使用某OA辦公系統(tǒng)，因該OA系統(tǒng)本身存在安全漏洞，導(dǎo)致包括廣州、深圳等地至少15家單位的辦公系統(tǒng)存在嚴(yán)重安全隱患，覆蓋醫(yī)療衛(wèi)生、政府、教育、制造業(yè)等多個(gè)重點(diǎn)行業(yè)。

二、系統(tǒng)防護(hù)措施薄弱，公民隱私數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)

在針對(duì)某市范圍內(nèi)各類(lèi)政務(wù)網(wǎng)站進(jìn)行重點(diǎn)檢測(cè)時(shí)發(fā)現(xiàn)，該市人民政府、司法局、國(guó)土資源局、區(qū)人民政府辦公室等11個(gè)政府類(lèi)網(wǎng)站存在安全風(fēng)險(xiǎn)，涵蓋弱密碼、注入漏洞、文件下載漏洞等安全問(wèn)題，其中涉及到大量與政府、民生工作密切相關(guān)的網(wǎng)站和系統(tǒng)，安全形勢(shì)觸目驚心。

其中，某市社保單位信息系統(tǒng)存在高危漏洞，導(dǎo)致該地區(qū)過(guò)百萬(wàn)社保數(shù)據(jù)存在泄露危險(xiǎn);某市社保管理單位系統(tǒng)也存在嚴(yán)重問(wèn)題，已被非法攻擊者植入后門(mén)，該地區(qū)公民社保詳細(xì)資料有被不發(fā)分子竊取的可能。

三、云平臺(tái)安全隱患突出，容易被黑客利用實(shí)施攻擊

在近年非?；馃岬脑朴?jì)算領(lǐng)域，安全隱患同樣突出。廣東省某云服務(wù)平臺(tái)上部署了涉及政府、交通、物流、教育等領(lǐng)域的多個(gè)服務(wù)系統(tǒng)，涵蓋民生、公共安全等相關(guān)核心業(yè)務(wù)項(xiàng)目。排查發(fā)現(xiàn)該云平臺(tái)存在多個(gè)易被攻擊的安全漏洞，攻擊者可通過(guò)漏洞進(jìn)入云平臺(tái)，獲取多個(gè)系統(tǒng)的核心數(shù)據(jù)，甚至取得部分系統(tǒng)的控制權(quán)。

四、工作建議

通過(guò)第一周的檢測(cè)排查，發(fā)現(xiàn)部分單位的網(wǎng)絡(luò)安全問(wèn)題十分突出，可能對(duì)敏感文件、公民隱私和個(gè)人財(cái)產(chǎn)安全造成損害。公安機(jī)關(guān)建議：一是各單位建立健全信息安全與信息化同步機(jī)制，將信息系統(tǒng)定級(jí)、備案、測(cè)評(píng)和建設(shè)整改工作環(huán)節(jié)納入信息化建設(shè)的全過(guò)程，在系統(tǒng)規(guī)劃、建設(shè)、運(yùn)維過(guò)程中同步落實(shí)信息安全保護(hù)措施，確保不符合要求的信息系統(tǒng)和網(wǎng)站無(wú)法上線使用;二是定期組織對(duì)系統(tǒng)進(jìn)行技術(shù)掃描和滲透，及時(shí)排查安全問(wèn)題，落實(shí)對(duì)用戶(hù)操作(下載和改刪)重要敏感信息的嚴(yán)格控制和審計(jì)措施，對(duì)進(jìn)出網(wǎng)絡(luò)的敏感信息進(jìn)行過(guò)濾，重要敏感信息要采用加密的方式進(jìn)行存儲(chǔ)和傳輸;三是廣大網(wǎng)民要養(yǎng)成良好的網(wǎng)絡(luò)安全意識(shí)，拒絕弱口令密碼，避免密碼重復(fù)，并定期修改，同時(shí)盡量避免瀏覽釣魚(yú)網(wǎng)站、防偽冒網(wǎng)站等高風(fēng)險(xiǎn)網(wǎng)站。

公安機(jī)關(guān)在此呼吁社會(huì)各界共同攜手打擊網(wǎng)絡(luò)犯罪，切實(shí)保護(hù)公民隱私，全面推動(dòng)互聯(lián)網(wǎng)行業(yè)的健康可持續(xù)發(fā)展，共建和諧網(wǎng)絡(luò)空間。