“安網2016”網絡安全專項治理行動開展第二周(2015年12月21日至2015年12月27日)，共掃描檢測本省重點網站及重要信息系統333個，發現存在安全問題的網站149個，高危漏洞117個，占比78.5%;從風險類別來看，代碼執行、XSS注入、設備后門三類漏洞是主要隱患類型，占71.8%。

一、新型Java漏洞危害嚴重，廣東省88家網站存在被攻擊威脅

排查發現，大量網站使用某網絡建站系統，其中包括某市教育網站、某市水利管理處、某區監督系統、某市發改委等33家與民生民情關系密切的網站平臺。由于此漏洞屬于新型高危漏洞，攻擊者可通過觸發該漏洞，對多個Java應用實現惡意攻擊。例如廣東某交易平臺網站包含大量交易信息，個人用戶或單位用戶姓名、身份證號、聯系方式等敏感信息。利用該漏洞可在系統中執行任意命令，例如常見的當前系統賬號添加和查詢。

其中，多家網站存在未及時修復漏洞補丁，外部、內部系統將被破壞，導致擴大信息泄露影響，因此提示各企業、事業單位重視關注新型漏洞，檢查并更新補丁，以免造成不必要惡劣影響。

二、交通系統發現漏洞，服務器與內網紛紛淪陷

近年來，隨著市民生活水平的提升，市政交通部門職能越來越突出，相關數據量也與日俱增，市政交通系統數據安全也尤為重要。本周排查發現廣東省某交通系統由于使用軟件版本過低，存在極易利用的缺陷，攻擊者可以此為跳板獲得內網權限上傳惡意代碼，使服務器與內網淪陷,竊取重要信息。

該漏洞由低版本應用產生，建議相關單位提高網絡安全意識，立即更換升級系統版本，提高密碼復雜度，全面預防遏制網絡安全事件發生，規避數據泄露風險，盡職盡責的保障公民隱私。

三、工作建議

通過本周的檢測排查，發現各種網絡設備與系統的安全問題十分突出，網絡基礎設施和系統開發平臺存在的各類安全隱患讓網站的管理者和用戶防不勝防，極易造成大批量的敏感文件和公民隱私的泄露，給全社會的穩定發展造成嚴重隱患。針對本周出現的各類安全問題，公安機關建議：

一是各單位建立健全信息安全與信息化同步機制，將信息系統定級、備案、測評和建設整改工作環節納入信息化建設的全過程，在系統規劃、建設、運維過程中同步落實信息安全保護措施，確保不符合要求的信息系統和網站無法上線使用;

二是定期組織對系統進行技術掃描和滲透，及時排查安全問題，落實對用戶操作(下載和改刪)重要敏感信息的嚴格控制和審計措施，對進出網絡的敏感信息進行過濾，重要敏感信息要采用加密的方式進行存儲和傳輸;

三是定期組織對各類網絡基礎設施和系統開發工具進行升級，主動修補老舊版本軟件可能出現的各類安全漏洞;同時各單位要建立安全風險應急響應機制，在出現大規模安全風險的第一時間響應、處理相關設備和系統的安全隱患，避免不必要的損失;

四是廣大網民要養成良好的上網習慣，提高網絡安全意識，杜絕使用過于簡單的弱口令密碼，在各網站系統中避免使用重復密碼，并定期修改，同時盡量避免瀏覽釣魚網站、防冒網站、賭博色情網站等高風險站點。