2026 年 5 月 13 日,Internet Cleanup Foundation 推出 SecurityBaseline.eu,把欧洲政府网站的基线安全放到公开地图上。
三组数字最刺眼:约 3000 个政府站点使用非法追踪 Cookie;1000 多个 phpMyAdmin 等数据库管理界面公网可达;99% 的政府邮件加密配置质量不佳。
这不是说欧洲政府邮件已经被破解,也不是说那些后台已经被入侵。它说明的是另一件更难看的事:政府要求企业合规、安全、保护隐私,自己却没有把基础运维长期管住。
SecurityBaseline.eu 到底测了什么
SecurityBaseline.eu 不是临时扫一遍漏洞榜。它来自荷兰 Basisbeveiliging,后者做基线安全监测已经十多年,并进入过政府政策实践。
这次是欧洲版。监测口径覆盖欧盟成员国及欧洲经济区相关国家等 32 个国家和地区,包括欧盟、瑞士、挪威、冰岛、列支敦士登,不包括英国。
| 项目 | 当前公开信息 |
|---|---|
| 覆盖对象 | 约 6.7 万个地方政府、20 万个政府域名 |
| 监测指标 | 21 项基线安全指标 |
| 地图更新 | 每日重建 1827 张地图 |
| 发布前动作 | 提前 3 个月向欧洲政府发送数万封邮件,给核查和整改时间 |
| 重要限制 | 20 万个域名不是全部,真实数量可能高得多 |
地图用红、橙、绿展示结果。红色表示至少一个指标存在问题,橙色是警告,绿色表示当前指标未发现问题。
这里要留一个边界:红色不等于整个国家网络安全失败。各国政府域名结构不同,地方项目站点归属也不同,测量结果会受清单完整度影响。
但这个限制不能把问题洗掉。即便只看当前覆盖,红橙色已经太多。更麻烦的是,原文提到真实政府域名数量可能是当前监测的十倍。很多旅游、住房、基建、节庆项目站点,不一定出现在官方清单里。
这张图已经够红了。它还没照到所有角落。
三类风险:隐私、暴露面、邮件信任
约 3000 个政府网站使用非法追踪 Cookie,刺中的是隐私。
政府网站不是内容平台。公民去查税、办证、申请福利,不该在无充分授权的情况下被第三方追踪技术带走行为数据。对普通用户来说,问题不是“我有没有点同意”,而是办事入口本身不该默认把人推入广告技术链条。
1000 多个数据库管理界面公网可达,刺中的是暴露面。
phpMyAdmin 这类工具本身不是原罪。问题在于管理入口直接暴露在公共互联网。有没有被攻破,目前不能下结论;但攻击面已经摆在那里。对安全团队来说,这类问题通常不该等到红队报告才发现,资产发现和访问控制本来就是日常卫生。
99% 政府邮件加密配置质量不佳,刺中的是信任链。
这不能写成“邮件内容已被破解”,也不能写成“欧洲政府邮件全部不安全”。准确说法是:邮件加密及相关配置质量差,可能带来降级、伪造、监听或投递保护不足等风险。
政务邮件经常承载通知、身份材料、申请进度和内部沟通。配置不佳不是页面上一个小红叉,而是信任链上一个长期松动的螺丝。
对两类读者,动作很具体。
| 读者 | 这件事意味着什么 | 可以立刻做什么 |
|---|---|---|
| 网络安全和公共数字治理读者 | 这是一份公开样本,能看见政府数字化的真实运维缺口 | 不只看国家排名,重点看指标、暴露面、整改节奏和误读边界 |
| 政府数字化、合规、基础设施运维从业者 | 这类公开监测迟早会变成外部压力 | 先盘点域名、后台入口、第三方脚本、邮件加密配置;采购和上线前把基线检查写进验收 |
受影响的不是抽象的“政府 IT 部门”。是每天依赖政务网站、邮件和在线服务的普通公民。
如果你是政务系统运维方,这类公开地图会改变工作优先级。过去可以拖到下一次改版、下一轮采购、下一次审计的问题,现在会变成可截图、可排名、可追问的红点。
这会带来现实成本。老系统要改,外包合同要补,遗留域名要认领,第三方脚本要清理。很多事不难,难在没人愿意长期负责。
红灯背后,是治理懒账
我不太买账“政府不懂技术”这个解释。它太省事,也太像把系统性问题甩给某几个 IT 人员。
真正的问题更硬:谁持续负责?谁有预算?谁能强制整改?谁因为红灯承担后果?
安全基线最怕一次性运动。上线前查一遍,采购时写一页要求,出事后开一次会,都不难。难的是十年如一日地盯域名、证书、邮件配置、后台暴露和第三方脚本。
Basisbeveiliging 的价值正在这里。它把安全从“项目验收”拉回“日常卫生”。
“天下熙熙,皆为利来。”放在公共部门也成立,只是这里的“利”不一定是钱,也可能是考核、省事、免责和可见政绩。
建一个新门户容易汇报。清理十年前的项目域名,很难写进漂亮材料。上线一个数字政府平台看得见;修 DNS、TLS、邮件策略和后台访问控制,通常没人鼓掌。
红灯不是偶然。它是激励设计的回声。
政府对企业讲合规,常用硬规则、罚款、审计、问责。轮到自己,很多地方就变成“建议整改”“逐步完善”“条件成熟后推进”。这套落差会损伤公共数字治理的信用。
企业当然该被监管。但监管者也得站在同一条基线上。
SecurityBaseline.eu 做对的一点,是没有直接把安全透明做成羞辱游戏。它提前 3 个月发出数万封邮件,给欧洲政府预先核查和整改时间,然后再公开地图。
公开会制造压力,也会制造误读。可没有公开,很多基础安全问题会继续躺在灰区里:没人认领,没人预算,没人负责,直到出事。
接下来该看三件事。
一是红点会不会消。不是一两天变绿,而是三个月、六个月后,问题是否持续下降。
二是责任会不会落到制度。有没有固定监测、明确责任人、整改期限和预算来源。
三是新项目会不会少欠账。如果新上线的政务网站还继续带着追踪脚本、暴露后台、邮件配置不合格,那就说明公开地图只制造了压力,没有改变激励。
这件事的分水岭不在地图颜色,而在政府是否愿意把基线安全当成公共基础设施的一部分。铁路要养护,桥梁要巡检,政务网站和邮件系统也一样。
政务上云之后,旧账不会自动消失。没人清,它就会换成红灯亮出来。