各镇、街道，区委、区政府各部、委、办、局，各区级机关、人民团体、直属事业单位、区级公司：

2017年第一季度本区电子政务网络与信息安全状况保持平稳，全区未发生有影响的重大信息安全案（事）件。

一、互联网网络与信息安全预警

当前互联网环境中出现的新型病毒及漏洞提示：

1、Apache Struts2存在S2-045远程代码执行漏洞。

Apache Struts是一款用于创建企业级Java Web应用的开源框架，该产品被披露存在S2-045远程代码执行漏洞，攻击者可利用漏洞直接取得网站服务器控制权，上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序，用户应及时下载补丁更新，避免引发漏洞相关的网络安全事件。

2、大华科技11款摄像头产品被曝预留了后门，可远程获取管理员账户密码。

近期，浙江一家安全摄像头/DVR制造商大华科技（Dahua Technology）针对旗下的不少产品推送了固件升级补丁，补丁是为了修复某些型号中的“严重漏洞”。但实际上，在这家公司发布补丁之前，就已经有安全专家指出，这个所谓的“严重漏洞”其实是厂商预留的一个后门。大华科技已经在官网上公布了受漏洞影响的设备，用户应该检查自己的设备型号是否在其列，并下载相应设备固件完成更新。

二、本区电子政务重要网络与信息系统安全情况

（一）本区主要网络与信息安全漏洞发现情况

一季度本区网络与信息安全漏洞主要集中在跨站脚本、Microsoft IIS目录枚举和脆弱的JavaScript库这三种类型上。

1、跨站脚本

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定Web站点交互时假冒这位用户。攻击者诱惑合法用户点击攻击者生成的链接，用户点击该链接时，便会生成对于Web站点的请求，其中的参数值含有恶意的JavaScript代码。如果Web站点将这个参数值嵌入在相应的HTML页面中（这正是站点问题的本质所在），恶意代码便会在用户浏览器中运行。

2、Microsoft IIS 目录枚举

Internet Information Services（IIS，互联网信息服务）是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。

Microsoft IIS在现实上存在文件枚举漏洞，攻击者可利用此漏洞枚举网络服务器根目录中的文件。主要是用“～”字符猜解、遍历服务器中的文件名，或对IIS服务器中的.Net Framework进行拒绝服务攻击。

3、脆弱的JavaScript库

JavaScript一种直译式脚本语言，是一种动态、内置支持、弱类型及基于原型的语言。它的解释器被称为JavaScript引擎，为浏览器的一部分，广泛用于客户端的脚本语言，最早是在HTML（标准通用标记语言下的一个应用）网页上使用，用来给HTML网页增加动态功能。

使用了脆弱的JavaScript库，在某些条件下会变得极其危险。比如指向一个老旧的jQuery跨站脚本bug，这将允许攻击者借机注入恶意脚本。

（二）本区互联网网站区域安全检测情况

本季度重点对本区党政机关、事业单位和国有企业等68家单位的181个互联网网站开展了远程及人工渗透安全检测工作，共发现高、中、低安全漏洞1425处（1月份发现552处，2月份发现488处，3月份发现385处），其中5家单位的互联网网站存在高危漏洞21处，占检测网站安全漏洞总数的1.47%，涉及的网站高危漏洞类型主要为跨站脚本、Microsoft IIS目录枚举和脆弱的Javascript库。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（三）本区政务外网区域安全检测情况

本季度重点对本区电子政务核心机房内政务外网核心应用服务器开展了实地安全检测工作，涵盖32家单位的249台服务器，共发现高、中、低安全漏洞6297处（1月份发现1592处，2月份发现2375处，3月份发现2330处），其中11家区级部门和1个镇的应用服务器存在高危漏洞共计878处，占检测服务器安全漏洞总数的13.94%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（四）一季度本区电子政务网络与信息安全工作大事记

根据上海市委网信办的统一部署要求，有力保障2017年全国“两会”期间（3月2日——3月17日）电子政务核心网络与信息系统可靠稳定高效运行，青浦区网安办立足于自身实际，以防病毒、防攻击、防泄密、反窃密的“三防一反”为重点，积极增强各项安全防范措施，有力提升安全防护能力。1）实施安全加固措施。积极实施电子政务核心网络与信息系统（包括网络设备、服务器及信息系统）的安全加固措施：关闭在线网络设备及服务器无用端口、服务；更新安装服务器操作系统和应用软件补丁；升级服务器杀毒软件病毒库并进行全面查杀毒操作；根据具体应用情况设置相应的本地安全策略等；2）优化综合防护体系。依据当前电子政务应用发展状况，有效优化改进青浦区政府网站及政务外网中以网络防火墙、入侵检测、流量控制、安全审计、防病毒软件及网管软件等软硬件相结合构建的纵深式综合安全防护体系；3）完善监测预警体系。进一步完善并深入应用全区统一的监测预警平台，通过自动化的技术手段分别从物理层、网络层、应用层三个方面对核心网络与信息系统进行7×24小时全天候监测预警，实时掌握核心网络与信息系统运行状况，以便快速作出应对措施，有力提高应用服务保障水平；4）加强帐号密码管理。检查清理网络与信息系统中使用的帐号、密码，同时主动更改各种密码（尤其为具有信息发布权限帐号的密码）并妥善保管各自帐号、密码；5）严格上网信息发布。严格执行信息发布审核制度，单位内各级领导对上网信息仔细审查、认真把关，确保信息合法、适时、真实、准确、完整。从而，有效保障2017年全国“两会”期间电子政务核心网络与信息系统安全，未出现一起网络与信息安全事件。

三、相关工作建议

结合本季度远程、实地、人工渗透安全检测及重点工作开展情况，工作建议如下：一是各单位按照中央网信办及上海市委网信办“关于开展2017年上海市关键信息基础设施网络安全检查工作”的部署要求，认真组织实施自查及上报工作。二是各单位继续加强网络与信息安全防范，做好安全漏洞的梳理排查，及时修复安全漏洞，谨防网站页面或服务器被攻击篡改；三是各单位加强网络与信息安全业务培训，利用和创造机会扩展信息化专管员的知识面，增加主动性、减少盲目性，确保本单位、本系统所属网络与信息系统的安全工作优质开展。

青浦区网络与信息安全协调小组办公室

2017年4月12日