各镇、街道，区委、区政府各部、委、办、局，各区级机关、人民团体、直属事业单位、区级公司：

2016年第四季度本区电子政务网络与信息安全状况保持平稳，全区未发生有影响的重大信息安全案（事）件。

一、互联网网络与信息安全预警

当前互联网环境中出现的新型病毒及漏洞提示：

1、Microsoft产品安全漏洞

12月13日，微软公司发布了安全公告，共含12项更新，修复了Microsoft Windows、Internet Explorer、Edge、Office、Office Services、.NET Framework和Web Apps中存在的41个安全漏洞。其中，6项远程代码更新的综合评级为最高级“严重”级别，利用上述漏洞，攻击者可提升权限，远程执行任意代码。在此提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

2、Apache产品安全漏洞

近期，CNCERT监测发现Apache产品存在多个漏洞，攻击者可利用漏洞执行任意代码、绕过安全限制或发起拒绝服务攻击等。Apache Subversion是美国阿帕奇（Apache）软件基金会开发的一套开源版本控制系统；Apache Karaf是一个可以用于部署各种组件、应用程序的OSGi容器；Apache Hadoop是一套开源的分布式系统基础架构；Apache Tomcat是一个流行的开源JSP应用服务器程序；Apache OpenOffice是一款开源的办公软件套件。CNVD收录的相关漏洞包括：Apache Subversion 拒绝服务漏洞、Apache Karaf远程代码执行漏洞、Apache Hadoop任意命令执行漏洞、Apache Tomcat远程代码执行漏洞、Apache Tomcat拒绝服务漏洞（CNVD-2016-11592）、Apache Tomcat安全限制绕过漏洞（CNVD-2016-11591）、Apache OpenOffice非引用Windows搜索路径漏洞等。其中，“Apache Karaf远程代码执行漏洞、Apache Tomcat远程代码执行漏洞、Apache OpenOffice非引用Windows搜索路径漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序，用户应及时下载补丁更新，避免引发漏洞相关的网络安全事件。

二、本区电子政务重要网络与信息系统安全情况

（一）本区主要网络与信息安全漏洞发现情况

四季度本区网络与信息安全漏洞主要集中在SQL注入、跨站脚本、Microsoft IIS目录枚举和HTTP.sys远程执行代码这四种类型上。

1、SQL注入

Web应用程序通常在后端使用数据库，与数据库交互，查询数据库的标准语言是SQL（各大数据库供应商都有不同版本）。Web应用程序通常会获取用户输入（取自HTTP请求），将它并入SQL查询中，然后发送到后端数据库，接着应用程序便处理查询结果，并向用户显示结果。

如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入SQL查询中时，就将查询的原始语法更改掉。例如，如果应用程序使用用户输入（如用户名和密码）来查询帐户的数据库表以认证用户，而攻击者能够将恶意数据注入查询的用户名及密码部分，查询便可能更改成完全不同的数据复制查询，可能修改数据库的查询，或在数据库服务器上运行Shell命令的查询。

2、跨站脚本

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定Web站点交互时假冒这位用户。攻击者诱惑合法用户点击攻击者生成的链接，用户点击该链接时，便会生成对于Web站点的请求，其中的参数值含有恶意的JavaScript代码。如果Web站点将这个参数值嵌入在相应的HTML页面中（这正是站点问题的本质所在），恶意代码便会在用户浏览器中运行。

3、Microsoft IIS 目录枚举

Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS在现实上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。主要是用“～”字符猜解、遍历服务器中的文件名，或对IIS服务器中的.Net Framework进行拒绝服务攻击。

4、HTTP.sys 远程执行代码

远程执行代码漏洞存在于HTTP协议堆栈（HTTP.sys）中，当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。

（二）本区互联网网站区域安全检测情况

本季度重点对本区党政机关、事业单位和国有企业等68家单位的179个互联网网站开展了远程及人工渗透安全检测工作，共发现高、中、低安全漏洞1407处（10月份发现445处，11月份发现575处，12月份发现387），其中10家单位的互联网网站存在高危漏洞38处，占检测网站安全漏洞总数的2.7%，涉及的网站高危漏洞类型主要为SQL注入、跨站点脚本编制、Microsoft IIS目录枚举和HTTP.sys远程执行代码。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（三）本区政务外网区域安全检测情况

本季度重点对本区电子政务核心机房内政务外网核心应用服务器开展了实地安全检测工作，涵盖32家单位的291台服务器，共发现高、中、低安全漏洞4520处（10月份发现1207处，11月份发现1426处，12月份发现1887处），其中6家区级部门的应用服务器存在高危漏洞543处，占检测服务器安全漏洞总数的12.01%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（四）二季度本区电子政务网络与信息安全工作大事记

为深入贯彻落实上海市信息安全活动周的总体要求，进一步增强全民信息安全保障意识，提高全区信息安全防护能力，保障新一轮智慧城市建设，区网安办成功组织举办2016年青浦区信息安全活动周，紧密围绕“网络安全为人民，网络安全靠人民”的主题，充分调动各单位积极性及能动性，大力推动全民参与，组织开展了一系列形式多样、内容丰富多彩的活动，覆盖范围广泛，参与人数众多，取得良好成效，1）积极增强普通市民的信息安全保障意识。组织10多名工作人员前往吾悦商业广场人流集中的公共场所，当街设摊向市民发放《我身边的信息安全》、《关注智能手机安全》等宣传材料，现场宣传和解答与老百姓生活息息相关的信息安全知识，共发放材料800多册，提供咨询服务40多人次；2）有效提高各单位专管员的信息安全管理能力。一方面举办信息安全专题培训，邀请信息安全专家对各单位信息化专管员进行为期半天的专题培训，紧密围绕着网络空间安全势态及信息安全管理机制、技术防范等两方面，深入浅出地讲解近期国内各类重大网络信息安全事件的发生情况及内在缘由，并详细介绍了信息安全建设的注意事项、常见问题，有效提出了针对性解决思路，全区70家单位的70名信息化专管员参加培训；另一方面举办信息安全应急演练，组织实施针对青浦区电子政务核心基础环境设施、骨干网络及重要信息系统的应急实战演练，多家核心运维厂商及区内相关部门共20多人参加演练，有力提升突发事件应急处置能力；3）有力提升技术爱好人士的信息安全技能水平。围绕智能终端安全、病毒防护、操作系统安全、网络安全、应用安全等热点问题举办信息安全知识竞赛，分别采用网上竞赛和笔试竞赛两种方式考量信息安全爱好人士的信息安全普及知识和专业技能水平，共吸引了全区515人参加网上竞赛，同时全区13家单位、3名个人，总计215人报名参加笔试竞赛，最终网上竞赛决出一等奖10名、二等奖20名、三等奖35名，笔试竞赛决出一等奖5名、二等奖10名、三等奖15名，并评选出4家单位荣获优秀组织奖。

三、相关工作建议

结合本季度远程、实地、人工渗透安全检测及重点工作开展情况，工作建议如下：一是各相关单位应按照区网安办每月编制的网络与信息安全告知单，及时实施整改工作，落实修复措施，消除安全隐患，进一步提高相关信息系统安全水平；二是各单位继续加强网络与信息安全防范，做好安全漏洞的梳理排查，及时修复安全漏洞，谨防网站页面或服务器被攻击篡改；三是各单位进一步加强本单位、本系统所属网络与信息系统的安全监测工作，掌握网络与信息系统运行状况，以便快速作出应对措施。

青浦区网络与信息安全协调小组办公室

                                                2017年1月11日