徐玉玉事件 政府官网存在的安全隐患不容忽视

　　公安机关调查发现，在徐玉玉案中，犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒，获取了网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息，而后将信息转卖出去。徐玉玉案被曝光之初，大家都在追问犯罪分子是如何获取学生信息的，许多人认为，一定是出现了“内鬼”，但警方的调查结果，则展示了另外一种可能。

　　“内鬼”被排除，涉事部门的压力轻了许多，但犯罪嫌疑人用木马攻击了网站这样的说法，同样值得推敲——一个省级高考网上报名系统，就这样被轻易攻破，这本身又说明了什么？这些年来，一发生个人信息泄露事件，总能听到网站遭受攻击之类的说辞，仿佛一切都是因为犯罪分子太狡猾，而有关方面不过是可怜的受害者，而一些重要的公共服务网站安全防护能力如何，以及是否已尽全力，则少有人过问。

　　攻击网站的不法分子作案要严惩，被攻击的网站管理方同样需要调查。2015年4月28日，一名网络安全专家当着媒体记者的面，打开了某知名医疗网站，在没有任何账号的情况下，仅在用户名处输入一串简单代码，并在密码栏随意键入几个字母之后，他便以超级管理员的身份进入了该医疗网站的系统后台。整个过程甚至不足1分钟，该医疗网站内所有的医生信息、患者姓名、性别、联系方式等核心数据均暴露在这位技术专家面前。事实上，许多政府服务性网站的漏洞都很低级，比如2014年曝出的四川省、石家庄市社保局等系统漏洞，均是由“弱口令”导致的。诸如111111、123456、888888等便于记忆的密码对社保系统来说安全系数太低，但是一些管理人员却并没有意识到这是一个重要的安全问题。那么，在徐玉玉事件中，山东省2016高考网上报名信息系统的安全防护是否到位？这是不容回避的问题。

　　有业内人士透露，目前国内的许多官方开设的便民服务网站，都是交给第三方公司来开发维护，而第三方开发公司重点考虑的是功能而不是安全。如果功能的实现和安全性有冲突，常常是以牺牲安全性为代价，保证功能。另外，为了赶工程期，一些公司并不会对系统进行充分的安全测试。许多企业网站常常会要求网络公司进行常规的安全测试，甚至是模拟黑客攻击，但政府部门开设的网站却很少这样做。

　　平时不把安全当回事，出事就以受害者自居，把责任推得一干二净，也没有人受到相应的惩罚，这样的局面不改变，只会导致恶性循环。2004年，雅虎公司一个外包员工偷盗了450万份个人信息，为此事件雅虎一共损失了100亿日元。说起来都是受害者，企业出了问题要付出高昂的代价，政府官网出了问题，又怎么能轻描淡写、不了了之？

　　回到徐玉玉事件，网络犯罪分子固然要严厉打击，但承载着大量公民个人信息的政府官网的安全问题，也应该受到高度重视。某种意义上，政府官网的安全措施不到位，对不法分子也是一种变相激励。