2026 年 5 月 13 日,荷兰互联网清理基金会(Internet Cleanup Foundation)正式推出 SecurityBaseline.eu 平台,将过去十余年积累的 "基线安全" 监测方法论扩展至整个欧洲。该平台覆盖 32 个国家 / 地区(含欧盟、瑞士、挪威、冰岛、列支敦士登)的 67,000 个地方政府实体,监测约 200,000 个政府域名,每日生成 1,827 张安全态势地图。发布当日披露的三项核心发现,揭示了欧洲政府数字基础设施中普遍存在的系统性安全风险。
监测范围与方法
SecurityBaseline.eu 基于 Web Security Map 软件构建,采用 21 项安全指标对政府域名进行持续扫描。指标涵盖追踪 Cookie、管理界面暴露、邮件加密质量、DNSSEC、TLS 配置等维度,数据来源包括 internet.nl 和 Zonemaster 等成熟工具。监测对象以各级政府主域名及其子域为主,未涵盖大量 "项目域名"(如旅游推广、基建项目等),这意味着实际风险暴露面可能远超当前统计。
平台采用交通灯可视化系统:红色表示存在安全问题,橙色为预警状态,绿色表示无问题。任何单一指标异常即可导致区域标记为橙色或红色,体现了 "不存在相对安全" 的评估理念。
三大核心发现
非法追踪 Cookie:3,081 个政府网站的 GDPR 违规
监测发现 3,081 个欧洲政府网站在未获得用户明确同意的情况下部署追踪 Cookie,违反 GDPR 关于 "自由、具体、知情且明确同意" 的规定。追踪 Cookie 来源高度集中:YouTube 占 2,077 个,Google Ads 842 个,Facebook 293 个,TikTok 20 个。
各国差异显著:斯洛伐克(9.88%)、希腊(8.16%)、葡萄牙(7.63%)的政府网站追踪率最高;德国(0.59%)与法国(3.88%)形成鲜明对比。值得注意的是,约 30% 的 Cookie 同意横幅存在功能性缺陷,即使用户拒绝仍会泄露追踪数据。基金会指出,政府网站使用追踪技术本身缺乏正当性,且多数场景可通过隐私友好型技术替代。
phpMyAdmin 暴露:1,070 个数据库管理界面的公网可达风险
扫描识别出 1,070 个公开暴露的 phpMyAdmin 数据库管理界面,分布在 3,529 个域名上。法国以 513 个实例居首,波兰 499 个,匈牙利 368 个。许多域名共享同一面板,反映服务提供商的集中托管模式。
phpMyAdmin 作为功能强大的数据库管理工具,其公网暴露意味着攻击者可直接尝试访问政府数据库。2026 年 4 月,同类管理面板 cPanel 曾出现严重的身份验证绕过漏洞(CVE 未公开编号),此类事件凸显了管理界面隔离的重要性。更具讽刺意味的是,罗马尼亚和捷克的两处暴露实例位于本国计算机安全事件响应团队(CSIRT)的域名下。
基金会特别指出,尽管欧洲各国政府广泛依赖 phpMyAdmin 这一开源软件,却未在官方赞助商名单中提供任何财务支持,反映出对开源安全投入的普遍缺失。
邮件加密失效:99% 的政府邮件未达安全基线
邮件传输层安全(TLS)测试结果最为触目惊心:99% 的欧洲政府邮件加密配置不符合最新安全实践,仅荷兰(58% 合格率)和丹麦(44%)表现相对较好。测试基于荷兰国家网络安全中心(NCSC)2025 年 5 月发布的 TLS 指南,包含 18 项子指标。
邮件加密缺陷意味着政府通信存在被窃听、篡改的风险。然而,欧洲层面目前尚无统一的 TLS 标准,德国 BSI 和法国 ANSSI 发布的指南互不兼容,且缺乏便捷的在线测试工具,仅提供面向专业人员的命令行方案。
危害链分析
三项发现构成了从合规违规到数据泄露的完整风险链条:
隐私合规层面:非法追踪 Cookie 直接违反 GDPR,可能触发监管处罚并损害公众信任。政府作为数据处理的 "特殊主体",其违规行为具有示范效应。
访问控制层面:phpMyAdmin 暴露将数据库管理权限置于公网攻击面,一旦面板软件出现漏洞(如 SQL 注入、认证绕过),攻击者可能直接获取敏感政务数据。
通信安全层面:邮件加密失效使政府间、政府与公民间的通信内容易受中间人攻击,尤其在涉及个人身份信息(PII)和机密政务时风险更高。
系统性修复路径
针对上述问题,基金会建议从三个维度建立持续改进机制:
技术整改清单
- Cookie 审计:扫描所有政府域名,移除非必要追踪脚本,替换为隐私友好型分析方案
- 管理界面隔离:将 phpMyAdmin 等管理面板迁移至内网或 VPN 后访问,公网部署需配合 IP 白名单与多因素认证
- 邮件加密升级:参照 internet.nl 测试标准,禁用 TLS 1.0/1.1,启用 TLS 1.3,配置强加密套件
流程与治理
- 建立域名资产清单:当前监测仅覆盖主域名,需将 "项目域名" 纳入统一管理
- 制定欧洲统一 TLS 标准:推动 ENISA 协调各国指南,建立互操作的安全基线
- 开源投入机制:政府使用开源软件应建立相应的安全贡献预算,形成可持续的安全生态
监控与验证
- 持续监测:利用 SecurityBaseline.eu 等平台进行每日自动化扫描
- 变更请求流程:建立域名增删改查的标准化流程,确保新上线服务符合安全基线
- 透明度报告:定期公开安全态势数据,接受公众监督
结语
SecurityBaseline.eu 的发布将欧洲政府数字基础设施的安全状况首次置于系统性、可量化的审视之下。3,000 个追踪站点、1,000 个暴露的管理界面、99% 的邮件加密缺陷,这些数字并非孤立的技术问题,而是反映了数字化转型中安全投入、标准协调与开源生态支持的系统性滞后。
对于技术团队而言,立即行动的路径清晰可执行:审计 Cookie 配置、隔离管理界面、升级邮件 TLS。对于政策制定者,推动欧洲层面的安全标准统一、建立开源软件支持机制,将是提升整体安全韧性的关键。正如基金会所强调的,安全不是一次性修复,而是需要持续投入和流程建设的长期工程。
资料来源
- Internet Cleanup Foundation, "European governments: 3.000 tracking sites, 1.000 phpMyAdmins, and 99% poorly encrypted email", 2026-05-13, https://internetcleanup.foundation/2026/05/european-governments-3000-tracking-sites-1000-phpmyadmins-and-99pct-poorly-encrypted-email-introducing-securitybaseline-eu/
- SecurityBaseline.eu, https://securitybaseline.eu/
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。