广东网警发布“安网2016”第四期周报

“安网2016”网络安全专项治理行动开展第四周(2016年1月4日至2016年1月10日)，共扫描检测全省重点网站及重要信息系统83个，发现安全隐患73处，其中高危漏洞68个，占比93.2%;从风险类别看，信息泄露、XSS注入、SQL注入类漏洞是主要隐患类型，占比81.9%。教育、事业单位安全问题突出，占比91.6%。

一、教育类网站安全问题突出，44家教育类网站存安全风险

教育类网站为本周排查重点，此类网站被发现存在严重安全隐患。排查发现，省内至少有44家教育类网站存在安全风险，这些网站中包括广东省某大学、某市某职业技术学院、某市管理职业学校、某大学某学院、某艺术学校、某市文化技术学校等校园门户网站。

这些网站普遍存在SQL注入、XSS注入、代码执行、信息泄露等高危风险。攻击者可以利用漏洞直接对网站进行攻击，获取管理员权限，窃取隐私信息。例如：某市文化技术学校门户网站，该网站存在严重的SQL注入漏洞，攻击者可以利用该漏洞，获取网站权限，并通过工具注入得到数据库中考生信息。

二、某青年网站存在高危漏洞，70万条用户信息可被泄露

本周排查发现，省内某青年网站存在多个高危漏洞，利用这些高危漏洞可获取网站用户信息多达70万条，包含姓名、身份证号、联系方式、家庭住址等大量敏感信息，用户遍布全省各大学校、国有企业等1411家单位。

三、某交通单位网站存高危漏洞，大量公民信息有泄露风险

本周排查发现，某交通单位网站存在高危漏洞，导致数千万条公民个人隐私数据存在泄露风险。本次漏洞由弱口令和程序版本导致，建议相关单位立即更新和修改密码，落实安全责任，提高网络安全防护意识，规避数据泄露风险。

四、工作建议

通过本周的检测排查，发现教育、交通行业安全问题突出，可能对敏感文件、公民隐私、财产安全造成极大威胁。公安机关建议：一是定期组织对单位的系统进行全面技术扫描和渗透测试，及时修补安全漏洞，消除安全风险;二是养成良好的上网习惯，杜绝使用弱口令，避免在网站系统中使用重复密码，并定期修改;三是建立单位信息安全与信息化同步机制，在系统规划、建设、运维中同步落实信息安全保护措施，没有达到要求的信息系统和网站不得上线使用。