文/鄭先偉

2014年上半年教育網(wǎng)安全運(yùn)行匯總

文/鄭先偉

高校網(wǎng)站安全形勢(shì)不容樂(lè)觀

2014年上半年教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)生影響整個(gè)網(wǎng)絡(luò)運(yùn)行的安全事件，不過(guò)整體網(wǎng)絡(luò)的安全形勢(shì)依然不容樂(lè)觀。從上半年監(jiān)測(cè)到的各類安全事件來(lái)看，針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊數(shù)量正在增多，而利用基礎(chǔ)網(wǎng)絡(luò)設(shè)施發(fā)起的攻擊數(shù)量也在增多。網(wǎng)站安全依然是各大院校的安全薄弱點(diǎn)，除二級(jí)院系的主頁(yè)外，各類校內(nèi)業(yè)務(wù)系統(tǒng)也正在頻繁地被攻擊。

安全投訴事件統(tǒng)計(jì)及攻擊態(tài)勢(shì)分析

2014年上半年CCERT受理的安全投訴事件數(shù)量整體呈下降趨勢(shì)，但是網(wǎng)站攻擊類的安全事件數(shù)量呈上升趨勢(shì)。

以下是各類安全投訴事件特征分析：

垃圾郵件投訴——垃圾郵件的投訴數(shù)量依然是最多的，不過(guò)數(shù)量和在整體事件中的占比呈繼續(xù)下降的趨勢(shì)。垃圾郵件數(shù)量減少一方面得益于郵件服務(wù)器端更嚴(yán)格地控制，另一方面也是因?yàn)橐恍┬碌膫鞑シ绞剑ㄈ缥⒉?、微信等）的出現(xiàn)使得垃圾郵件的廣告效應(yīng)大不如前。

圖1 2014年上半年安全投訴事件統(tǒng)計(jì)

端口掃描——端口掃描的目標(biāo)端口依然以SSH服務(wù)的22端口居多，其次是80端口。不過(guò)值得注意的是一些基礎(chǔ)網(wǎng)絡(luò)服務(wù)的端口正在成為新的掃描重點(diǎn)，如DNS服務(wù)的UDP 53端口，NTP服務(wù)的UDP 123端口等。

網(wǎng)站漏洞——今年年初我們開(kāi)始跟一些第三方的安全平臺(tái)合作，所以相關(guān)的網(wǎng)站漏洞的投訴事件增多。這些網(wǎng)站中存在的安全漏洞主要包括SQL注入、XSS跨站腳本攻擊漏洞、權(quán)限控制錯(cuò)誤導(dǎo)致的越權(quán)訪問(wèn)或是任意文件的上傳和下載、網(wǎng)站存在弱口令用戶等。其中SQL注入漏洞是存在數(shù)量最多的漏洞，其次是權(quán)限控制漏洞，存在弱口令的網(wǎng)站數(shù)量也不少。隨著各種SQL注入攻擊工具的自動(dòng)化程度的進(jìn)一步提升，原本相對(duì)復(fù)雜的攻擊過(guò)程變得只需一兩條命令就能完成，而無(wú)需攻擊者了解任何數(shù)據(jù)庫(kù)的原理。攻擊的簡(jiǎn)單化和成功率高極大地提升了一些初學(xué)者參與攻擊的興趣。動(dòng)態(tài)網(wǎng)站由于需要跟數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)交互，或多或少的都會(huì)存在注入點(diǎn)（除非完全嚴(yán)格按照規(guī)范開(kāi)發(fā)的），只是有些安全性差的注入點(diǎn)到處都是，而安全性較好的注入點(diǎn)隱藏得比較深，但是由于有了自動(dòng)測(cè)試工具，這類隱藏的注入點(diǎn)也很容易被掃出來(lái)。所以要完全杜絕SQL注入攻擊只有兩種方法，一種是放棄使用動(dòng)態(tài)頁(yè)面，另一種則要求整個(gè)網(wǎng)站的開(kāi)發(fā)過(guò)程中完全遵照安全開(kāi)發(fā)標(biāo)準(zhǔn)來(lái)開(kāi)發(fā)。

系統(tǒng)攻擊——2014年上半年，教育網(wǎng)內(nèi)的系統(tǒng)攻擊事件呈上升趨勢(shì)，容易被入侵的依然是各類服務(wù)器系統(tǒng)，尤其是Web服務(wù)器。在被入侵的服務(wù)器中，利用Web 80端口入侵的最多，其次是SSH的22端口。前者多數(shù)利用了Web應(yīng)用程序中的漏洞，而后者則是依靠猜測(cè)用戶弱密碼來(lái)進(jìn)行攻擊，并且會(huì)在攻擊成功后使用有后門的SSH服務(wù)替換原有的服務(wù)，從而達(dá)到竊取更多密碼的目地。從上半年我們收到的系統(tǒng)入侵案例來(lái)看，學(xué)校的一些專有業(yè)務(wù)系統(tǒng)（如教務(wù)系統(tǒng)、在線選課系統(tǒng)、資產(chǎn)管理系統(tǒng)、項(xiàng)目管理系統(tǒng)等）被攻擊的風(fēng)險(xiǎn)正在增大，這些系統(tǒng)中包含了大量學(xué)生及教工的身份信息，這些信息很多已經(jīng)被攻擊者竊取。

釣魚(yú)網(wǎng)站——網(wǎng)絡(luò)欺詐依然是以仿冒國(guó)外的在線銀行和購(gòu)物網(wǎng)站的居多，仿冒國(guó)內(nèi)購(gòu)物網(wǎng)站和銀行的數(shù)量較少。國(guó)內(nèi)被仿冒更多的是一些熱門活動(dòng)的中獎(jiǎng)網(wǎng)站或是六合彩網(wǎng)站。

拒絕服務(wù)攻擊——拒絕服務(wù)攻擊在今年上半年有抬頭趨勢(shì)，其中DNS和NTP放大攻擊呈爆發(fā)趨勢(shì)。在2014年2至3月期間，我們檢測(cè)到教育網(wǎng)多起NTP放大攻擊，涉及的攻擊源包括各類NTP專用服務(wù)器以及一些開(kāi)放了NTP服務(wù)的網(wǎng)絡(luò)設(shè)備。NTP放大攻擊利用了NTP服務(wù)的查詢漏洞，能將攻擊流量放大到一百倍，要想防范這類攻擊，需要對(duì)NTP服務(wù)器重新配置，關(guān)閉不必要的查詢功能。除NTP放大攻擊外，在隨后的4月開(kāi)始，我們又檢測(cè)到多起利用DNS服務(wù)的放大攻擊。通過(guò)分析發(fā)現(xiàn)這類攻擊主要利用了DNS服務(wù)器的遞歸查詢功能來(lái)攻擊。要防止自己的DNS被用來(lái)做放大攻擊只需在權(quán)威解析服務(wù)器上關(guān)閉遞歸查詢功能或是在遞歸查詢服務(wù)器上限制提供的遞歸查詢服務(wù)的地址范圍就可以了。需要特別說(shuō)明的是，如果您的DNS服務(wù)器上既提供權(quán)威解析又提供遞歸查詢服務(wù)的話，僅僅通過(guò)限制遞歸查詢的服務(wù)范圍是無(wú)法阻擋這類攻擊的，因?yàn)殡m然限制了遞歸查詢的來(lái)源地址范圍，由于權(quán)威解析無(wú)法限制抵制范圍，攻擊者依然可以利用DNS緩存里的數(shù)據(jù)發(fā)動(dòng)攻擊。這類提供雙服務(wù)的DNS服務(wù)器要想杜絕放大攻擊，需要安裝其他的安全插件（具體什么插件取決于你所使用的DNS軟件）來(lái)防范。我們建議是權(quán)威解析功能和遞歸查詢功能最好分開(kāi)。

上半年安全漏洞數(shù)據(jù)分析

2014年上半年新增安全漏洞3917個(gè)（數(shù)據(jù)來(lái)源CNVD漏洞庫(kù)），與2013年上半年的3823個(gè)基本持平。

漏洞影響的對(duì)象分布如圖2所示。

從上述數(shù)據(jù)我們可以看出，上半年新增的漏洞有如下特征：

圖2 2014年上半年新增安全漏洞

應(yīng)用程序漏洞數(shù)量占了整個(gè)漏洞的數(shù)量的一大半。這里面包括各類應(yīng)用程序、瀏覽器、辦公軟件等漏洞。上半年最值得關(guān)注的應(yīng)用軟件漏洞是OpenSSL的心臟滴血漏洞。

Web應(yīng)用漏洞已超過(guò)操作系統(tǒng)漏洞成為數(shù)量第二多的類型，且百分比從去年上半年的百分之十七增長(zhǎng)到了現(xiàn)在的百分之十九。上半年針對(duì)院校的專有系統(tǒng)（如：教務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、一卡通系統(tǒng)、招生系統(tǒng)、項(xiàng)目管理系統(tǒng)等）的漏洞曝出率繼續(xù)呈增長(zhǎng)趨勢(shì)。這些專有系統(tǒng)通常都有較長(zhǎng)的開(kāi)發(fā)周期，在開(kāi)發(fā)之初沒(méi)有有效的控制安全風(fēng)險(xiǎn)導(dǎo)致存在各類安全隱患，之前由于這些系統(tǒng)都是在相對(duì)獨(dú)立的環(huán)境中運(yùn)行，使得風(fēng)險(xiǎn)沒(méi)有被暴露出來(lái)，但隨著學(xué)校各業(yè)務(wù)系統(tǒng)的融合及一體化，這些潛在的漏洞也被暴露在網(wǎng)絡(luò)中，任何一個(gè)系統(tǒng)的漏洞都可能會(huì)影響到整個(gè)學(xué)校的業(yè)務(wù)流程。

網(wǎng)絡(luò)設(shè)備的漏洞數(shù)量呈上升趨勢(shì)，這也印證了前面所說(shuō)的針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的攻擊數(shù)量呈增多趨勢(shì) 。由于網(wǎng)絡(luò)設(shè)備是用戶連接網(wǎng)絡(luò)的出口，控制了網(wǎng)絡(luò)設(shè)備實(shí)際上就相當(dāng)于控制所有使用這個(gè)設(shè)備上網(wǎng)的用戶。這里特別要提醒的就是那些即插即用的網(wǎng)絡(luò)設(shè)備，如辦公室里使用的小型路由器及個(gè)人使用的無(wú)線路由器，這些設(shè)備通常都使用統(tǒng)一的默認(rèn)配置，很容易被人攻擊利用。

下半年安全趨勢(shì)展望

信息竊取會(huì)繼續(xù)成為黑客攻擊的主要目標(biāo)，網(wǎng)站安全依然是各學(xué)校要面臨的主要安全問(wèn)題。針對(duì)學(xué)校專有系統(tǒng)的攻擊可能會(huì)成為未來(lái)一段時(shí)間的熱點(diǎn)，這些專有系統(tǒng)上用戶信息將是黑客攻擊竊取的目標(biāo)。另一方面，對(duì)學(xué)?；A(chǔ)網(wǎng)絡(luò)設(shè)備的滲透攻擊會(huì)增多，相關(guān)的攻擊可能導(dǎo)致更多的用戶信息被竊取。而用戶濫用無(wú)線設(shè)備也可能會(huì)帶來(lái)更多信息泄露風(fēng)險(xiǎn)。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

互聯(lián)網(wǎng)大會(huì)安全概念成焦點(diǎn) 移動(dòng)互聯(lián)安全受重視

作為一年一度的中國(guó)互聯(lián)網(wǎng)盛事，“創(chuàng)造無(wú)限機(jī)會(huì)打造新時(shí)代經(jīng)濟(jì)發(fā)展引擎”為主題的2014年中國(guó)互聯(lián)網(wǎng)大會(huì)8月26日在北京召開(kāi)，本次大會(huì)除了互聯(lián)網(wǎng)“大佬”云集外，身為管理部門的國(guó)家工信部也給予了高度重視，工信部部長(zhǎng)苗圩在為大會(huì)致辭時(shí)表示，信息通信技術(shù)與產(chǎn)業(yè)技術(shù)融合創(chuàng)新，以前所未有的廣度和深度推動(dòng)了生產(chǎn)方式、發(fā)展模式的深刻變化，但網(wǎng)絡(luò)與信息安全的問(wèn)題也日益突出，復(fù)雜性、危害性進(jìn)一步顯現(xiàn)，已經(jīng)成為事關(guān)國(guó)家的政治安全、經(jīng)濟(jì)安全、社會(huì)安全、文化安全和國(guó)防安全的重大問(wèn)題，引起了各方的廣泛關(guān)注。

國(guó)家信息安全加大監(jiān)管力度

苗圩在2014年中國(guó)互聯(lián)網(wǎng)大會(huì)上特別強(qiáng)調(diào)，習(xí)近平總書(shū)記講話曾提過(guò)“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有信息安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”。要從國(guó)際、國(guó)內(nèi)的大勢(shì)出發(fā)、總體布局、統(tǒng)籌各方、創(chuàng)新發(fā)展，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)的強(qiáng)國(guó)。

而在今年以來(lái)，工信部也在不斷加強(qiáng)國(guó)家信息安全方面的監(jiān)管力度，今年5月，中央國(guó)家機(jī)關(guān)政府采購(gòu)招標(biāo)通知顯示，要求采購(gòu)中“所有計(jì)算機(jī)類產(chǎn)品不允許安裝 Windows 8操作系統(tǒng)”。而到了8月，包括卡巴斯基和賽門鐵克在內(nèi)的所有國(guó)外安全廠商都被取消了采購(gòu)資質(zhì)，在今年殺毒軟件類產(chǎn)品采購(gòu)名單中，僅360、冠群金辰、江民科技、瑞星和金山五個(gè)國(guó)產(chǎn)品牌入選。

移動(dòng)互聯(lián)網(wǎng)安全更加受重視

隨著近些年智能手機(jī)的不斷普及網(wǎng)絡(luò)技術(shù)的逐步提升，隨之而產(chǎn)生的手機(jī)安全問(wèn)題也日益凸顯，目前主要的手機(jī)安全威脅主要有針對(duì)手機(jī)硬件的惡意程序、吸話費(fèi)吸流量惡意程序、騷擾及詐騙短信和電話、個(gè)人隱私竊取、銀行卡信息竊取等。而且移動(dòng)互聯(lián)網(wǎng)對(duì)各行業(yè)的滲透越來(lái)越高，包括金融、水利、電 力、政務(wù)等領(lǐng)域，再加上信息安全事件頻發(fā)，互聯(lián)網(wǎng)安全引起政府部門的高度重視。而隨著移動(dòng)互聯(lián)網(wǎng)與網(wǎng)民日常消費(fèi)生活更加緊密后，移動(dòng)支付和吸費(fèi)木馬等的威脅，成為了移動(dòng)互聯(lián)網(wǎng)中最大的安全隱患。

（來(lái)源：南方日?qǐng)?bào)）