各镇、街道，区委、区政府各部、委、办、局，各区级机关、人民团体、直属事业单位、区级公司：

2016年第三季度本区电子政务网络与信息安全状况保持平稳，全区未发生有影响的重大信息安全案（事）件。

一、互联网网络与信息安全预警

当前互联网环境中出现的新型病毒及漏洞提示：

1、Microsoft产品安全漏洞

据微软9月13日发布的安全公告，共含9项更新，修复了 MicrosoftWindows、Internet Explorer、Edge、Office、Office Services、Web Apps和Exchange中存在的50个安全漏洞。其中，7项远程代码更新的综合评级为最高级“严 重”级别，利用上述漏洞，攻击者可提升权限，远程执行任意代码。CNVD提醒广大Microsoft用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。目前，厂商已经发布了漏洞的修补程序。参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2016-07580 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07579 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07578 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07577 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07576 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07575 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07574 http://www.cnvd.org.cn/flaw/show/CNVD-2016-07573

2、微信曝远程任意代码执行漏洞

近日，360手机卫士阿尔法团队（AlphaTeam）独家发现微信远程任意代码执行漏洞，将其命名为badkernel。通过此漏洞攻击者可获取微信的完全控制权，危及用户朋友圈、好友信息、聊天记录甚至是微信钱包，可使上亿微信用户受到影响，危害巨大。目前，阿尔法团队的相关研究人员已经将此漏洞报告送至腾讯应急响应中心并提供了修复建议。安全专家提醒用户，在耐心等待更新的同时请谨遵三个不要：不要随意扫描二维码，不要随意点击朋友圈链接，不要随意点击微信群内的链接，以防微信被远程控制。

二、本区电子政务重要网络与信息系统安全情况

（一）本区主要网络与信息安全漏洞发现情况

三季度本区网络与信息安全漏洞主要集中在SQL注入、跨站脚本和脆弱的JavaScript库这三种类型上。

1、SQL注入

Web应用程序通常在后端使用数据库，与数据库交互，查询数据库的标准语言是SQL（各大数据库供应商都有不同版本）。Web应用程序通常会获取用户输入（取自HTTP请求），将它并入SQL查询中，然后发送到后端数据库，接着应用程序便处理查询结果，并向用户显示结果。

如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入SQL查询中时，就将查询的原始语法更改掉。例如，如果应用程序使用用户输入（如用户名和密码）来查询帐户的数据库表以认证用户，而攻击者能够将恶意数据注入查询的用户名及密码部分，查询便可能更改成完全不同的数据复制查询，可能修改数据库的查询，或在数据库服务器上运行Shell命令的查询。

2、跨站脚本

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定Web站点交互时假冒这位用户。攻击者诱惑合法用户点击攻击者生成的链接，用户点击该链接时，便会生成对于Web站点的请求，其中的参数值含有恶意的JavaScript代码。如果Web站点将这个参数值嵌入在相应的HTML页面中（这正是站点问题的本质所在），恶意代码便会在用户浏览器中运行。

3、脆弱的JavaScript库

JavaScript一种直译式脚本语言，是一种动态类型、弱类型、基于原型的语言，内置支持类型。它的解释器被称为JavaScript引擎，为浏览器的一部分，广泛用于客户端的脚本语言，最早是在HTML（标准通用标记语言下的一个应用）网页上使用，用来给HTML网页增加动态功能。

在WEB应用程序中，使用了脆弱的JavaScript库，这个版本的JavaScript库存在的漏洞可能会导致大规模攻击、浅层渗透、隐私信息的泄漏等问题。

（二）本区互联网网站区域安全检测情况

本季度重点对本区党政机关、事业单位和国有企业等68家单位的170个互联网网站开展了远程及人工渗透安全检测工作，共发现高、中、低安全漏洞1045处（7月份发现282处，8月份发现298处，9月份发现465处），其中15家单位的互联网网站存在高危漏洞139处，占检测网站安全漏洞总数的13.3%，涉及的网站高危漏洞类型主要为SQL注入、跨站点脚本编制和脆弱的JavaScript库。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（三）本区政务外网区域安全检测情况

本季度重点对本区电子政务核心机房内政务外网核心应用服务器开展了实地安全检测工作，涵盖25家单位的224台服务器，共发现高、中、低安全漏洞6010处（7月份发现1849处，8月份发现1877处，9月份发现2284处），其中10家单位的应用服务器存在高危漏洞360处（9家区级部门应用服务器存在高危漏洞359处,1家街镇的应用服务器存在高危漏洞1处），占检测服务器安全漏洞总数的5.99%，涉及的服务器高危漏洞类型主要为数据库补丁未更新和中间件版本较低。针对上述情况，区网安办已及时通知并督促相关单位及负责人开展后续整改工作，要求立即消除安全隐患。

（四）三季度本区电子政务网络与信息安全工作大事记

相关肌酐为贯彻落实中央关于“加快构建关键信息基础设施安全保障体系”，“全面加强网络安全检查，摸清家底，认清风险，找出漏洞，通报结果，督促整改”的重要指示精神，根据中央网信办及上海市委网信办“关于开展关键信息基础设施网络安全检查工作”的部署要求，区网安办紧密结合本区自身实际，认真制定青浦区关键信息基础设施网络安全检查实施方案，积极监督指导各相关部门排摸自查、整改落实，扎实推进检查工作。在各相关单位的共同努力下，顺利完成全区（除市级条线统一填报）4家党政机关及4家企业的共8个关键信息基础设施数据汇总上报工作，为市级检查做好充分准备。

三、相关工作建议

结合本季度重点工作开展情况及安全检测情况，工作建议如下：一是各相关单位按照中央网信办及上海市委网信办“关于开展关键信息基础设施网络安全检查工作”的部署要求，认真实施安全自查及相应整改，随时应对将于第四季度开展的市级检查；二是各单位继续加强网络与信息安全防范，做好安全漏洞的梳理排查，及时修复安全漏洞，谨防网站页面或服务器被攻击篡改；三是为加强市民网络安全意识，提高各领域、各行业相关从业人员网络安全技能水平，维护网络安全，规范网络秩序，希望各单位大力支持协助、积极组织参与即将在11月初举办的“2016年青浦区信息安全活动周”系列活动，共筑网络安全防线，努力打造可靠稳定健康的网络安全环境。

青浦区网络与信息安全协调小组办公室

2016年10月17日