“安網2016”網絡安全專項治理行動開展第一周(2015年12月14日至2015年12月20日)，共掃描檢測本省重點網站及重要信息系統293個，發現存在安全問題的網站102個，高危漏洞130個。其中，企業、公眾互聯網、事業單位網站占問題網站的81.5%，是安全隱患的重災區;SQL注入、XSS注入、任意文件下載為三類主要漏洞，占總類別的83.7%。

[[160364]]

 一、開發平臺存在漏洞，易引起群體性安全風險

排查發現，大量網站使用某網絡建站系統，其中包括某市圖書館、某市信息網絡安全協會、廣東省某醫院、某市公共汽車公司等39家企業門戶網站。由于該網絡建站系統存在嚴重文件下載漏洞，攻擊者若成功利用該漏洞，即可下載包括系統配置文件等核心數據在內的大量網站文件。

此外，部分單位使用某OA辦公系統，因該OA系統本身存在安全漏洞，導致包括廣州、深圳等地至少15家單位的辦公系統存在嚴重安全隱患，覆蓋醫療衛生、政府、教育、制造業等多個重點行業。

二、系統防護措施薄弱，公民隱私數據存在泄漏風險

在針對某市范圍內各類政務網站進行重點檢測時發現，該市人民政府、司法局、國土資源局、區人民政府辦公室等11個政府類網站存在安全風險，涵蓋弱密碼、注入漏洞、文件下載漏洞等安全問題，其中涉及到大量與政府、民生工作密切相關的網站和系統，安全形勢觸目驚心。

其中，某市社保單位信息系統存在高危漏洞，導致該地區過百萬社保數據存在泄露危險;某市社保管理單位系統也存在嚴重問題，已被非法攻擊者植入后門，該地區公民社保詳細資料有被不發分子竊取的可能。

三、云平臺安全隱患突出，容易被黑客利用實施攻擊

在近年非常火熱的云計算領域，安全隱患同樣突出。廣東省某云服務平臺上部署了涉及政府、交通、物流、教育等領域的多個服務系統，涵蓋民生、公共安全等相關核心業務項目。排查發現該云平臺存在多個易被攻擊的安全漏洞，攻擊者可通過漏洞進入云平臺，獲取多個系統的核心數據，甚至取得部分系統的控制權。

四、工作建議

通過第一周的檢測排查，發現部分單位的網絡安全問題十分突出，可能對敏感文件、公民隱私和個人財產安全造成損害。公安機關建議：一是各單位建立健全信息安全與信息化同步機制，將信息系統定級、備案、測評和建設整改工作環節納入信息化建設的全過程，在系統規劃、建設、運維過程中同步落實信息安全保護措施，確保不符合要求的信息系統和網站無法上線使用;二是定期組織對系統進行技術掃描和滲透，及時排查安全問題，落實對用戶操作(下載和改刪)重要敏感信息的嚴格控制和審計措施，對進出網絡的敏感信息進行過濾，重要敏感信息要采用加密的方式進行存儲和傳輸;三是廣大網民要養成良好的網絡安全意識，拒絕弱口令密碼，避免密碼重復，并定期修改，同時盡量避免瀏覽釣魚網站、防偽冒網站等高風險網站。

公安機關在此呼吁社會各界共同攜手打擊網絡犯罪，切實保護公民隱私，全面推動互聯網行業的健康可持續發展，共建和諧網絡空間。