各镇、街道，区委、区政府各部、委、办、局，各区级机关、人民团体、直属事业单位、区级公司：

2017年第三季度本区电子政务网络与信息安全状况保持平稳，全区未发生有影响的重大信息安全案（事）件。

一、互联网网络与信息安全预警

当前互联网环境中出现的新型病毒及漏洞提示：

1.勒索病毒Locky“变装”再扩散，慎点“发票”邮件

2017年9月19日以来，一种新型勒索病毒变种“.YKCOL”开始在世界范围内传播。安全反病毒实验室分析发现，该病毒的传播者利用僵尸网络发送垃圾邮件，并编造“发票”等邮件主题诱导使用者打开。病毒在电脑上运行后，会加密文档并将文件后缀名改为“.YKCOL”，并向受害者索取0.25个比特币作为赎金。 

在安全反病毒实验室的持续跟踪中发现，YKCOL病毒出现至今发生了两波传播高峰，受影响的用户主要集中在珠三角和长三角地区，在国内互联网上逐渐有受害者反馈中了此类病毒。建议广大用户及时更新Windows已发布的安全补丁更新，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：

（1）不要轻易打开来源不明的电子邮件；

（2）及时更新操作系统补丁；

（3）养成定期杀毒的良好习惯；

（4）下载腾讯、360等安全厂商发布的腾讯电脑管家、360急救箱等工具，同时开启文件保护功能。

2.异鬼Ⅱ（恶性Bootkit木马）

2017年7月29日，CNCERT（国家互联网应急中心）收到腾讯公司关于一款名为“异鬼II”的bootkit病毒在互联网上大量传播的情况报告。CNCERT及时开展监测分析，发现我国境内已有大量用户感染，对我国互联网安全构成一定的威胁。现将情况通报如下：

2.1基本情况

综合CNCERT和腾讯公司已获知的样本情况和分析结果，“异鬼Ⅱ”病毒通过国内高速下载器推广，并且能够兼容XP、Win7、Win10等主流操作系统。“异鬼Ⅱ”病毒隐藏在多款正规刷机软件中，带有官方数字签名。该病毒通过一系列复杂技术潜伏在用户电脑中，具有静默安装、云端控制、隐蔽性强、难以查杀等特点。该病毒通过修改VBR（卷引导记录）长期驻留在系统中，并从云端下发功能模块到受害者电脑执行恶意行为，目前下发的模块功能主要是篡改浏览器主页、劫持导航网站、后台刷流量等，具备互联网黑客盈利特性。

2.2处置建议

根据“异鬼II”的传播与感染特性，CNCERT建议用户近期采取积极的安全防范措施：

2.2.1中毒检测方法：

  a）检查电脑的以下目录是否存在.wav文件 C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

C:\Users\用户名\AppData\Local\Microsoft\Media

b）检查是否存在C:\windows\system32\usbsapi.dll文件

c）检查注册表是否存在以下键值{FC70EFDD-2741-495C-9A93-42408F6878D9}\un

d）注册表存在以下键值，说明已感染HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 值：1

2.2.2不要通过下载站下载软件，如果一定要用到高速下载器，不要选择安装捆绑在下载器中的软件。

2.2.3下载腾讯、360等安全厂商发布的腾讯电脑管家、360急救箱等工具进行“异鬼II”的查杀。

二、本区电子政务重要网络与信息系统安全情况

（一）本区主要网络与信息安全漏洞发现情况

三季度本区网络与信息安全漏洞主要集中在跨站脚本、SQL注入两种类型上。

1.跨站脚本

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定Web站点交互时假冒这位用户。攻击者诱惑合法用户点击攻击者生成的链接，用户点击该链接时，便会生成对于Web站点的请求，其中的参数值含有恶意的JavaScript代码。如果Web站点将这个参数值嵌入在相应的HTML页面中（这正是站点问题的本质所在），恶意代码便会在用户浏览器中运行。

2.SQL注入

Web应用程序通常在后端使用数据库，与数据库交互，查询数据库的标准语言是SQL（各大数据库供应商都有不同版本）。Web应用程序通常会获取用户输入（取自HTTP请求），将它并入SQL查询中，然后发送到后端数据库，接着应用程序便处理查询结果，并向用户显示结果。

如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入SQL查询中时，就将查询的原始语法更改掉。例如，如果应用程序使用用户输入（如用户名和密码）来查询帐户的数据库表以认证用户，而攻击者能够将恶意数据注入查询的用户名及密码部分，查询便可能更改成完全不同的数据复制查询，可能修改数据库的查询，或在数据库服务器上运行Shell命令的查询。

（二）本区互联网网站区域安全检测情况

本季度重点对本区党政机关、事业单位和国有企业等63家单位的175个互联网网站开展了远程及人工渗透安全检测工作，共发现高、中、低安全漏洞965处（7月份发现347处，8月份发现222处，9月份发现396处），其中6家单位的互联网网站存在高危漏洞70处，占检测网站安全漏洞总数的7.25%，涉及的网站高危漏洞类型主要为跨站脚本、SQL注入。

同时对本区电子政务核心机房内互联网网站服务器开展了实地安全检测工作，涵盖57家单位的130台服务器，共发现高、中、低安全漏洞1070处（７月份发现426处，８月份发现326处，9月份发现318处），其中４家单位的互联网网站服务器存在高危漏洞36处，占检测服务器安全漏洞总数的3.36%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（三）本区政务外网区域安全检测情况

本季度重点对本区电子政务核心机房内政务外网核心应用服务器开展了实地安全检测工作，涵盖22家单位的255台服务器，共发现高、中、低安全漏洞5451处（7月份发现1828处，8月份发现1778处，9月份发现1845处），其中17家区级部门和4个镇的应用服务器存在高危漏洞共计930处，占检测服务器安全漏洞总数的17.06%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（四）三季度本区电子政务网络与信息安全工作大事记

为深入贯彻落实中央网信办、市委网信办关于举办2017年国家网络安全宣传周的有关要求，青浦区网络与信息安全协调小组办公室根据区委网络安全和信息化领导小组办公室的总体工作安排，于2017年9月16日至9月24日组织举办了2017年青浦区网络安全宣传周。宣传周以“网络安全为人民、网络安全靠人民”为主题开展了一系列主题活动。

一是9月19日、21日在青湖社区、青浦毓秀学校进行网络安全宣传活动。以设摊宣传、现场咨询及专家讲座等形式，向社区居民、青少年学生普及《网络安全法》、网络安全风险及个人信息保护等方面的知识，活动现场气氛热烈，参与市民和青少年学生共计600余人，现场发放《信息安全漫画读本》、《网络安全手册》等网络安全宣传资料600余份。通过活动，旨在让市民明确在日常工作生活中，如何在法律框架内规范自己的网络行为，以及如何利用法律保护自己的网络合法权益，并提高对诸如短信诈骗、金融诈骗、个人信息泄露等方面的防范意识。二是9月22日组织举办了“2017年青浦区网络安全培训”。全区11个镇街道、委办局的信息化管理人员共65人参加专题培训。围绕当前网络安全形势及《网络安全法》实施以来的相关情况，特邀请国内知名网络安全公司的安全专家，结合一段时间以来的安全事件与案例，分别就《网络安全法》普法知识、个人信息保护等方面做了深入讲解。培训有效提升了我区信息化管理人员对网络安全法治的认知水平，增强了网络与信息安全防范的意识，理清了网络安全日常管理工作的逻辑。三是于9月18日——9月30日举办了“2017年青浦区网络安全普及知识网上竞赛”。竞赛共吸引了全区469名选手报名参赛，其中大部分为信息安全从业人员及信息安全爱好者。竞赛围绕《网络安全法》普法知识、智能终端安全、病毒防护、操作系统安全、网络安全、应用安全等热点问题进行竞赛，采用了网上竞赛的模式，通过专业、全面的竞赛内容考验参赛者对信息安全知识的掌握程度。希望通过本次网络安全普及知识网上竞赛活动发现和培养高标准、高技术的新时代信息安全人才，降低重要系统信息数据、商业秘密和个人信息等所面临的安全风险。四是9月24日成功组织实施了电子政务网络与信息安全应急演练，多家核心运维厂商及区内相关部门共20多人参加演练。通过演练，有效检验了政务外网及政府网站监控系统故障报警的及时性、准确性，也充分检验了相应应急处置预案的合理性、可行性，并使相关人员进一步明确了应急流程、熟悉了必要的应急操作，提高了各相关部门在突发事件应对过程中的协同配合能力。

 三、相关工作建议

结合本季度远程、实地、人工渗透安全检测及重点工作开展情况，工作建议如下：一是做好十九大期间的网络与信息安全保障工作。各单位对照本单位、本系统所属网络与信息系统，从安全管理制度、技术防范措施两个方面认真实施安全自查工作，同时配合公安网络执法检查对发现的安全隐患，立即落实整改；二是各单位应高度重视并不断加强网络与信息安全防范工作，做好安全漏洞的梳理排查，及时修复安全漏洞，定期检查并更新补丁；三是各单位应结合实际，充分考虑各种可能发生的突发事件，补充并优化相应处理措施，进一步完善本单位、本系统所属网络与信息系统安全应急预案。