1 情况综述 2015 年 12 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监

Size: px

Start display at page:

Download "1 情况综述 2015 年 12 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监"

纸斯邓
7 years ago
Views:

1 2015 年 12 月陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心目录 1 情况综述安全事件分析木马僵尸网络事件分析飞客蠕虫病毒事件分析网页篡改事件分析网站后门事件分析安全事件处置情况安全预警信息本月重要安全漏洞信息通报本月活跃网络病毒情况本月恶意代码捕获和传播情况本月钓鱼网站统计情况本月重要漏洞修补信息业界动态习近平就共同构建网络空间命运共同体提出 5 点主张 CNCERT 参加东盟地区 2015 年度应急演练工业和信息化部扎实稳步推进基础电信企业网络与信息安全责任考核工作 FBI 高层承认在调查工作中使用零日漏洞日本提升市级政府网络防护能力... 26

2 1 情况综述 2015 年 12 月, 全省公共互联网网络安全状况整体评价为良本月, 我省互联网基础设施运行平稳, 全省范围内未发生造成重大影响的基础设施运行安全事件, 未发生网络安全方面重大事件通过国家计算机网络应急技术处理协调中心陕西分中心 ( 以下简称陕西互联网应急中心 SNCERT) 监测及电信运营企业安全厂商安全通报成员单位报送, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数为 23,304 个, 较上个月减少 52.01%, 占全国总数的 1.54%; 木马僵尸控制服务器 ( 控制端 )IP 数为 41 个, 较上个月增加 %, 占全国总数的 1.05%; 省内被篡改网页的网站数为 86 个, 较上个月减少 23.89%, 占全国总数的 1.23%; 省内被植入后门网站数为 46 个, 较上个月减少 53.57%, 占全国总数的 0.93%; 省内感染飞客蠕虫的主机 IP 数为 15,602 个, 较上个月减少 5.65%, 占全国总数的 2.06%; 省内移动互联网恶意程序感染用户数 624,997 个, 较上个月增加 23.40%, 占全国总数的 8.5% 2 安全事件分析 2.1 木马僵尸网络事件分析 2015 年 12 月,CNCERT/CC 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区 1,508,898 个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 11.6%) 江苏省 ( 约占 11.2%) 山东省 ( 约占 8.8%), 分布情况如图 1 所示第 2 页

图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2015 年 1 月 -2015 年 12 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2015 年 12 月, 陕西省有 23,304 个 IP

3 图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2015 年 1 月年 12 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2015 年 12 月, 陕西省有 23,304 个 IP 地址对应的主机被境内外黑客通过木马或僵尸程序控制, 约占全国总数的 1.54%, 居全国第 21 位 ; 有 41 个 IP 地址对应的主机被用作木马和僵尸程序控制主机与境外进行通信, 约占全国总数的 1.05%, 居全国第 17 位 2.2 飞客蠕虫病毒事件分析 2015 年 12 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽第 3 页

样监测, 发现境内感染飞客蠕虫的主机 IP 地址共 756,347 个事件高发的三个省份分别为广东 ( 约占 24.2%) 浙江 ( 约占 8.3%) 和江苏 ( 约占 7.5%); 其中陕西省 15,602 个 IP 地址, 约占全国总数的 2.06%, 排名第 15 位其分布情况如图 3 所示图 3: 境内感染飞客蠕虫的主机 IP 按地区分布图 2.

4 样监测, 发现境内感染飞客蠕虫的主机 IP 地址共 756,347 个事件高发的三个省份分别为广东 ( 约占 24.2%) 浙江 ( 约占 8.3%) 和江苏 ( 约占 7.5%); 其中陕西省 15,602 个 IP 地址, 约占全国总数的 2.06%, 排名第 15 位其分布情况如图 3 所示图 3: 境内感染飞客蠕虫的主机 IP 按地区分布图 2.3 网页篡改事件分析 2015 年 12 月,CNCERT/CC 监测发现中国大陆地区被篡改网站 6,981 个, 其中境内被篡改政府网站 (.gov) 数量为 145 个被篡改网站分布情况如图 4 所示, 最多的地区分别为北京市 ( 约占 20.1%) 广东省 ( 约占 19.1%) 和河南省 ( 约占 11.8%) 图 4: 境内被篡改网站按地区分布第 4 页

5 所示 2015 年 1 月 -2015 年 12 月境内被篡改网站数量按月度统计如图图 5: 境内被篡改网站数量月度统计 2015 年 12 月, 陕西省内被篡改网站数量为 86 个, 全国排名第 13 位, 约占全国总数的 1.23% 2.

5 5 所示 2015 年 1 月年 12 月境内被篡改网站数量按月度统计如图图 5: 境内被篡改网站数量月度统计 2015 年 12 月, 陕西省内被篡改网站数量为 86 个, 全国排名第 13 位, 约占全国总数的 1.23% 2.4 网站后门事件分析 2015 年 12 月,CNCERT/CC 监测发现中国大陆地区网站被植入后门数量 4,898 个网站被植入后门分布情况如图 6 所示, 最多的地区分别为北京 ( 约占 21.2%) 广东 ( 约占 19.7%) 和江苏 ( 约占 10.5%) 图 6: 境内网站被植入后门按地区分布第 5 页

6 2015 年 12 月, 陕西省境内监测发现网站被植入后门数量 46 个, 约占全国总数的 0.93%, 全国排名第 16 名 3 安全事件处置情况 2015 年 12 月, 陕西互联网应急中心共协调处理各类网络安全事件 8,290 起, 其中僵尸木马受控事件 5212 起, 僵尸木马控制事件 16 起, 飞客病毒事件 3000 起, 网站安全事件 62 起 ; 其中重要信息系统网页篡改事件 26 起,Java 反序列化漏洞 11 起,SQL 注入漏洞 11 起, 弱口令漏洞 4 起, 命令执行漏洞 2 起, 信息泄露漏洞 2 起, 未授权访问漏洞 4 起, 文件上传漏洞 1 起陕西互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 4 安全预警信息 4.1 本月重要安全漏洞信息通报 2015 年 12 月,CNCERT/CC 收到的来自国家信息安全漏洞共享平台 (CNVD) 报告的漏洞数量 690 个, 其中高危漏洞 335 个中危漏洞 334 个低危漏洞 21 个, 其中 0day 漏洞 93 个, 可远程攻击漏洞 627 个 2015 年 1 月 12 月 CNVD 收录漏洞按月统计情况分布如图 7 所示第 6 页

7 图 7: CNVD 收录漏洞按月统计情况 2015 年 12 月 CNVD 收录漏洞按类型统计情况分布如图 8 所示图 8: CNVD 收录漏洞按类型统计情况 2015 年 12 月, 国家信息安全漏洞共享平台 (CNVD) 收录漏洞的补丁总数 596 个, 其中高危漏洞补丁 300 个中危漏洞补丁 276 个低危漏洞补丁 20 个 ( 一 ) 关于 Java 反序列化漏洞跟踪和威胁风险普查的有关情况通报近期, 国家信息安全漏洞共享平台 (CNVD) 对 Apache Commons Components InvokerTransformer 反序列化任意代码执行漏洞 ( 编号 :CNVD , 又称 java 反序列化漏洞 ) 进行了跟踪和第 7 页

8 威胁风险普查该漏洞影响多款应用广泛的 Web 容器软件远程攻击者利用漏洞可在目标系统上执行任意代码, 危害较大的可以取得网站服务器控制权相关情况如下 : 一漏洞情况分析 Apache Commons 包含了多个开源工具的工具集, 用于解决编程经常遇到的问题, 减少重复劳动由于 Apache CommonsCollections 组件的 Deserialize 功能存在的设计漏洞, CommonsCollections 组件中对于集合的操作存在可以进行反射调用的方法, 且该方法在相关对象反序列化时并未进行任何校验, 远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含 Java 'InvokerTransformer.class' 序列化数据的应用服务器, 在目标服务器当前权限环境下执行任意代码 CNVD 对该漏洞的综合评级为高危二漏洞影响范围 Apache Commons 工具集广泛应用于 JAVA 技术平台, WebLogic WebSphere JBoss Jenkins 等 Web 容器应用都大量调用了 Commons 工具集, 通过远程代码执行可对上述应用发起远程攻击截至 12 月初,CNCERT 对互联网上应用上述四类 Web 应用的分布情况和受漏洞影响进行了探测, 分别探得全球有台主机使用 Jboss 软件, 有 9572 台主机使用 weblogic 软件, 有台主机使用 jenkins 软件, 有台主机使用 websphere 软件根据对境内主机 IP 的测试情况,Jboss Weblogic Jenkins 受到漏洞第 8 页

9 影响的未修复比例分别是 13.9% 50.4% 33.4%; 从绝对数量看, Weblogic 受到影响的数量最多三漏洞修复建议用户可参考如下厂商提供的安全公告获取修复方案 : 近期,CNCERT 已处置数十起涉及政府部门重要信息系统行业单位的 Java 反序列化通用漏洞案例 CNCERT 将继续跟踪事件后续情况, 做好国内用户受影响情况的监测和预警工作同时, 请国内相关单位做好信息系统应用情况排查工作, 如需技术支援, 请联系 CNCERT 电子邮箱: cncert@cert.org.cn, 联系电话 : ( 二 ) 关于 Kerberos 网络认证协议存在认证绕过漏洞的安全公告近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 Kerberos 网络认证协议存在认证绕过漏洞 (CNVD ) 攻击者利用漏洞可借助 krbtgt 密码绕过身份验证系统, 获取管理员访问权限, 进而执行一系列管理员操作一漏洞情况分析 Kerberos 是美国麻省理工学院 (MIT) 开发的一套网络认证协议, 采用客户端 / 服务器结构, 且客户端和服务器端均可对对方进行身份认证 ( 即双重验证 ) 以下是对 Kerberos 工作方式的分析 : 1 密钥来源于用户密码; 2 密钥存储在内存中; 第 9 页

10 3 使用 RC4 加密算法的密钥没有进行加盐处理,NTLM 哈希值即为 RC4 密钥 ; 4 KDC( 密钥分配中心 ) 使用的密钥来源于 krbtgt 用户密码, 尽管该账户已被禁用, 并且从未被使用 ; 5 krbtgt 用户密码很少更改 ( 只有当域功能级别改变时才有可能会更改 ), 且更改后的旧密码仍然可用 ; 6 TGT 票据使用 krbtgt 密钥进行加密,PAC 数据使用 krbtgt 密钥进行进行签名, 并且系统很少会验证 PAC 数据 ; 7 Kerberos 在用户登录 20 分钟后才会验证用户账户基于以上原因, 攻击者可借助 krbtgt 密码绕过身份验证系统, 获取管理员访问权限, 进而执行一系列管理员操作 ( 如创建用户, 下载文件等 ), 还可以根据密码为用户创建响应的密钥 CNVD 对该漏洞的综合评级为中危二漏洞影响范围漏洞影响 Kerberos 所有版本 Kerberos 协议是 Winodws 操作系统下的网络认证协议由于国内大量用户使用 Windows 系统, 该漏洞影响用户范围广泛三漏洞处置情况和修复建议鉴于其自身的协议原理, 厂商暂未能提供完善的漏洞修复方案相关的临时防护建议如下 : 使用微软的 Credential Guard 程序阻止证书存储在内存中 ; 关注并保护特权帐户, 以防攻击者创建账户, 进而攻击 Windows 操作系第 10 页

11 统附 : 参考链接 : ( 三 ) 关于多款 APP 应用受到 libupnp 函数库缓冲区溢出漏洞影响的有关情况通报近日, 国外安全研究机构披露了多款 APP 应用受到 Universal Plug N Play 协议 ( 以下简称 UPnP ) libupnp 函数库缓冲区溢出漏洞影响该漏洞之前已被国家信息安全漏洞共享平台 (CNVD) 收录, 编号 CNVD , 对应 CVE CNCERT 第一时间对相关情况进行了解和分析, 具体通报如下 : 一漏洞情况分析 libupnp 是 UPnP 设备可移植的 SDK, 提供了 API 和开源代码, 用于实现媒体播放 (DLAN) 或 NAT 地址转换 (UPnP IGD) 智能手机上的应用程序可利用这些功能播放媒体文件, 或利用用户的家庭网络连接到其他的设备该漏洞存在于 libupnp 库处理简单服务发现协议 (SSDP) 包过程中, 此协议是 UPnP 标准的部分, 在处理进程中会出现堆栈溢出, 并且需要 UDP 1900 端口打开综合利用漏洞, 攻击者可利用特制包造成缓冲区溢出, 导致设备死机, 进一步可在受影响设备上执行任意代码, 控制用户手机 CNVD 对该漏洞的综合评级为高危二漏洞影响范围第 11 页

12 漏洞影响 Portable UPnP SDK (libupnp) 1.x 版本, 据国外安全研究机构趋势科技的统计数据,2015 年 12 月以前发现有 547 款应用使用较低版本的 libupnp 函数库, 其中包括应用较广 QQ 音乐对国内用户影响较为广泛目前已确认受该漏洞影响的应用信息详见附表一三漏洞处置情况和修复建议厂商已在 2012 年 12 月份发布了漏洞的官方修复程序, 由于很多应用封装的 SDK 使用的旧版本 libupnp, 导致应用存在漏洞 CNCERT 提醒使用到第三方库的厂商, 及时在产品开发环境中升级到最新版本, 避免旧版本出现安全问题 libupnp 官方网站为 ( 四 ) 关于安卓平台窃取用户短信和通讯录的恶意程序处置的情况通报 2015 年, 国家互联网应急中心 ( 以下简称 CNCERT ) 通过自主监测方式, 及腾讯公司安天公司等中国反网络病毒联盟成员单位共享方式, 累计发现一系列具有窃取用户短信和通讯录的安卓平台恶意程序 716 款该系列恶意程序私自读取用户的短信通讯录信息, 并通过邮件发送到黑客指定的恶意邮箱 CNCERT 第一时间对该系列恶意程序所使用的邮箱等进行处置, 有效控制了恶意程序的影响范围现将具体情况通报如下 : 一恶意程序机理分析情况第 12 页

13 该系列恶意程序通过伪装成相片资料违章查询成绩单等正常应用程序, 通过伪基站或者手机肉鸡以短信方式进行传播, 短信内容都带有恶意程序的下载地址, 如 : XXX, 老同学好久没联系了我上传了些相片在微盘, 有空的时候下载保存到手机打开激活就看看 XXX, 我发了一条图片彩信给你, 点击链接收取该系列恶意程序都具有如下恶意行为 : 1) 私自读取用户的短信通讯录信息, 并通过邮件发送到指定邮箱, 泄露用户隐私 ; 2) 后台私自向指定号码发送短信, 消耗用户资费 ; 3) 私自拦截屏蔽删除短信, 并根据短信指令执行相应的操作, 进行远程控制 ; 4) 启动后会隐藏自身图标, 诱骗用户激活设备管理器以保护自身不被卸载二影响范围 CNCERT 对该恶意程序的控制邮箱进行取证分析, 涉及网易邮箱新浪邮箱和中国移动 139 邮箱等 293 个恶意邮箱账户, 累计接收包含短信和通讯录等用户信息的邮件封三处置措施 CNCERT 分析确认该恶意程序的影响范围后, 立即启动针对该恶意程序的处置工作协调网易公司新浪公司及中国移动公司对恶第 13 页

14 意程序所用于接收用户信息的 293 个恶意邮箱账户进行关停处理, 切断了黑客窃取用户信息的途径 CNCERT 将继续跟踪事件后续情况, 做好国内用户受影响情况的监测和预警工作同时, 请国内相关单位做好信息系统应用情况排查工作, 如需技术支援, 请联系 CNCERT 电子邮箱: 联系电话 : ( 五 )Cacti SQL 注入漏洞 (CNVD ) Cacti 是 Cacti 集团的一套开源的网络流量监测和分析工具该工具通过 snmpget 来获取数据, 使用 RRDtool 绘画图形进行分析, 并提供数据和用户管理功能 Cacti 0.8.8f 以前版本存在 SQL 注入漏洞允许远程攻击者通过 graphphp 属性行动中的 rra_id 参数执行任意 SQL 命令该漏洞影响产品为 Cacti<=0.8.8f, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : ( 六 )Citrix Systems Command Center SQL 注入漏洞 Citrix Systems Command Center 是美国思杰系统 (Citrix Systems) 公司的一套 Citrix 产品的集中管理软件该软件可通过单一控制台配置或监控系统健康状况, 并提供设备发现设备日志审计和设备性能监控等功能 Citrix Systems Command Center 中存在 SQL 注入漏洞, 该漏洞源于程序在构造 SQL 查询语句之前未充分过滤用户第 14 页

15 提交的输入攻击者可利用该漏洞控制应用程序, 访问或修改数据, 或利用底层数据库中潜在的漏洞该漏洞影响产品为 Citrix command center, 属高危漏洞, CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : ( 七 )EMC RSA SecurID Web Agent 本地身份验证绕过漏洞 EMC RSA SecurID Web Agent 是美国易安信 (EMC) 公司的一套跨平台基于 Web 的用于拦截远程用户接入或用户组本地请求, 并将其引导到 RSA 认证管理服务器进行身份验证的解决方案 EMC RSA SecurID Web Agent 8.0 之前版本中存在本地身份验证绕过漏洞攻击者可利用该漏洞绕过身份验证机制, 执行未授权操作该漏洞影响的产品为 EMC RSA SecurID Web Agent <8.0, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复此安全问题, 详情请关注厂商主页 : ( 八 )HP StoreOnce Backup System 任意代码执行漏洞 HP StoreOnce Backup System 是一套基于磁盘的备份系统 HP StoreOnce Backup System 中存在安全漏洞, 允许远程攻击者利用漏洞提交特殊的请求执行任意代码该漏洞影响产品为 HP StoreOnce Backup System, 属高危漏洞, CNVD-ID 为 CNVD ,CVE-ID 为 CVE 第 15 页

16 用户可参考如下厂商提供的安全补丁以修复该漏洞 : 本月活跃网络病毒情况活跃网络病毒 TOP5 病毒名称 Trojan.Win32.Generic.18F B061D( 木马病毒 ) Win32.Drop.DDos.es( 传染型病毒 ) Trojan.Win32.Mnless.dyr ( 木马病毒 ) Worm.Win32.ECode.fw( 蠕虫病毒 ) Trojan.PSW.QQPass!47FC ( 木马病毒 ) 病毒特点病病毒运行后将删除源文件, 释放病毒文件并启动 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\iexplore.exe 此外, 病毒还将劫持浏览器, 访问十余个游戏网站, 并后台连接黑客指定地址, 静默下载其他恶意程序电脑一旦中毒, 用户将面临网络账密被盗等风险病毒运行后释放病毒 dll 到 TEMP 目录, 然后复制到系统目录, 加载病毒 dll, 创建病毒服务实现开机自启动, 后台连接黑客指定地址, 接收黑客指令, 盗取隐私信息, 下载其他病毒用户电脑一旦中毒, 将成为黑客实施 DDoS 攻击的工具病毒运行后自我隐藏, 修改注册表, 设置自身为开机自启动, 后台连接黑客指定地址下载其他恶意程序电脑一旦中毒, 用户将面临网络账密泄漏, 网银被盗等风险病毒运行后自我复制到其他目录, 创建文件 c:\documents and Settings.exe 等, 伪装成文件夹, 并自我隐藏窃取 qq 软件的敏感信息及重要文件, 修改文件夹权限使用户无法删除, 电脑一旦中毒用户将面临隐私信息泄露, 网络账密被盗等风险病毒以免费在线刷 Q 币为名引诱用户下载并运行, 运行后出现 QQ 在线刷 Q 币的窗口, 当用户输入 QQ 账号和密码, 点击确定后, 病毒从后台将 QQ 帐号和密码发送到此外, 病毒还含有作者的银行账户, 引诱用户充钱使用表 1: 活跃网络病毒 TOP5 4.3 本月恶意代码捕获和传播情况以下表 2 为中国反病毒联盟 (ANVA) 近期监测发布的散布恶意代码的 URL, 登陆这些 URL, 会弹出下载指令, 如点击下载, 将使用户主机感染恶意程序第 16 页

17 表 2: 恶意 URL 列表 4.4 本月钓鱼网站统计情况本月钓鱼网站 Top5:( 注意 : 以下网址或带有病毒, 请不要点击 ) 序号钓鱼类型钓鱼 URL 危害 1 假冒 Facebook 类假冒支付类假冒中国移动类假冒手机购物类 5 假冒腾讯类骗取用户账号及密码信息骗取用户账号密码及个人隐私骗取用户手机号及服务密码信息骗取用户账号及个人信息骗取用户账号及密码 4.5 本月重要漏洞修补信息 ( 一 )IBM OpenPages GRC Platform SQL 注入漏洞的补丁第 17 页

18 IBM OpenPages GRC Platform 是美国 IBM 公司的一套用于管理企业风险和合规性挑战的治理风险和合规性平台该平台提供一组涵盖风险和合规性领域 ( 包括操作风险策略和合规性财务控制管理的等 ) 的核心服务和功能组件 IBM OpenPages GRC Platform 7.1 版本和 7.0 版本存在 SQL 注入漏洞远程攻击者可利用该漏洞执行任意 SQL 命令目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 二 )VMware vrealize Orchestrator 任意命令执行漏洞的补丁 VMware vrealize Orchestrator 是一套用于与 VMware vcloud Suite 组件集成, 调整和扩展服务交付和运营管理的 IT 流程自动化引擎 VMware vrealize Orchestrator 6.x, vcenter Orchestrator 5.x, vrealize Operations6.x,vCenter Operations 5.x,vCenter Application Discovery Manager 7.x 存在任意命令执行漏洞允许远程攻击者通过精心编制序列化 Java 对象执行任意命令目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : html ( 三 )Xen 拒绝服务漏洞 (CNVD ) 的补丁 Xen 是一款开源的虚拟机监视器产品 Xen 存在安全漏洞, 允许本地攻击者可利用该漏洞进行拒绝服务目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞第 18 页

19 补丁链接 : ( 四 )Joomla! 任意代码执行漏洞的补丁 Joomla! 是美国 Open Source Matters 团队开发的一套开源的内容管理系统 (CMS) 该系统提供 RSS 馈送网站搜索等功能 Joomla! 中存在安全漏洞远程攻击者可借助 HTTP User-Agent 头利用该漏洞实施 PHP 对象注入攻击, 执行任意 PHP 代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 五 )Huawei VCN500 SQL 注入漏洞的补丁 Huawei VCN500 是中国华为公司的一款一体化智能视频监控产品 Huawei VCN500 存在 SQL 注入漏洞, 允许远程攻击者利用漏洞提交特制的 SQL 查询, 操作或获取数据库数据目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 六 )Cisco Small Business RV 路由器信息泄露漏洞的补丁 Cisco Small Business RV 系列路由器可提供虚拟专用网络技术远程 Cisco Small Business RV 路由器 4.x SA500 安全设备版本随机数生成器未能有效的熵, 可使远程攻击者通过握手密钥交换数据的计算, 确定 TLS 密钥对目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞第 19 页

20 补丁链接 : curityadvisory/cisco-sa dwvr ( 七 )Microsoft Windows DNS 内存错误引用漏洞的补丁 Microsoft Windows Server 是美国微软 (Microsoft) 公司发布的一系列服务器操作系统 DNS 是其中的一个域名解析服务器组件 Microsoft Windows Server 2008 SP2 和 R2 SP1,Server 2012 Gold 和 R2 域名系统 (DNS) 服务器存在内存错误引用漏洞由于程序未能正确分析请求远程攻击者可利用该漏洞在本地系统帐户的上下文中运行任意代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 5 业界动态 5.1 习近平就共同构建网络空间命运共同体提出 5 点主张以互联互通共享共治构建网络空间命运共同体为主题的第二届世界互联网大会 16 日在浙江乌镇开幕, 中共中央总书记中国国家主席习近平出席大会开幕式并发表讲话习近平就共同构建网络空间命运共同体提出 5 点主张习近平说, 网络空间是人类共同的活动空间, 网络空间前途命运应由世界各国共同掌握各国应该加强沟通扩大共识深化合作, 共同构建网络空间命运共同体对此, 习近平提出 5 点主张第 20 页

21 第一, 加快全球网络基础设施建设, 促进互联互通网络的本质在于互联, 信息的价值在于互通只有加强信息基础设施建设, 铺就信息畅通之路, 不断缩小不同国家地区人群间的信息鸿沟, 才能让信息资源充分涌流中国正在实施宽带中国战略, 预计到 2020 年, 中国宽带网络将基本覆盖所有农村, 打通网络基础设施最后一公里, 让更多人用上互联网中国愿同各方一道, 加大资金投入, 加强技术支持, 共同推动全球网络基础设施建设, 让更多发展中国家和人民共享互联网带来的发展机遇第二, 打造网上文化交流共享平台, 促进交流互鉴文化因交流而多彩, 文明因互鉴而丰富互联网是传播人类优秀文化弘扬正能量的重要载体中国愿通过互联网架设国际交流桥梁, 推动世界优秀文化交流互鉴, 推动各国人民情感交流心灵沟通我们愿同各国一道, 发挥互联网传播平台优势, 让各国人民了解中华优秀文化, 让中国人民了解各国优秀文化, 共同推动网络文化繁荣发展, 丰富人们精神世界, 促进人类文明进步第三, 推动网络经济创新发展, 促进共同繁荣当前, 世界经济复苏艰难曲折, 中国经济也面临着一定下行压力解决这些问题, 关键在于坚持创新驱动发展, 开拓发展新境界中国正在实施互联网 + 行动计划, 推进数字中国建设, 发展分享经济, 支持基于互联网的各类创新, 提高发展质量和效益中国互联网蓬勃发展, 为各国企业和创业者提供了广阔市场空间中国开放的大门永远不会关上, 利用外资的政策不会变, 对外商投资企业合法权益的保障不会变, 为第 21 页

22 各国企业在华投资兴业提供更好服务的方向不会变只要遵守中国法律, 我们热情欢迎各国企业和创业者在华投资兴业我们愿意同各国加强合作, 通过发展跨境电子商务建设信息经济示范区等, 促进世界范围内投资和贸易发展, 推动全球数字经济发展第四, 保障网络安全, 促进有序发展安全和发展是一体之两翼驱动之双轮安全是发展的保障, 发展是安全的目的网络安全是全球性挑战, 没有哪个国家能够置身事外独善其身, 维护网络安全是国际社会的共同责任各国应该携手努力, 共同遏制信息技术滥用, 反对网络监听和网络攻击, 反对网络空间军备竞赛中国愿同各国一道, 加强对话交流, 有效管控分歧, 推动制定各方普遍接受的网络空间国际规则, 制定网络空间国际反恐公约, 健全打击网络犯罪司法协助机制, 共同维护网络空间和平安全第五, 构建互联网治理体系, 促进公平正义国际网络空间治理, 应该坚持多边参与, 由大家商量着办, 发挥政府国际组织互联网企业技术社群民间机构公民个人等各个主体作用, 不搞单边主义, 不搞一方主导或由几方凑在一起说了算各国应该加强沟通交流, 完善网络空间对话协商机制, 研究制定全球互联网治理规则, 使全球互联网治理体系更加公正合理, 更加平衡地反映大多数国家意愿和利益举办世界互联网大会, 就是希望搭建全球互联网共享共治的平台, 共同推动互联网健康发展 5.2 CNCERT 参加东盟地区 2015 年度应急演练第 22 页

23 2015 年 10 月 28 日,CNCERT 参加了 2015 年度东盟地区网络安全应急演练, 圆满完成了各项演练任务本次演练共有来自 13 个国家 ( 东盟十国以及中国澳大利亚和日本 ) 的 15 个 CERT 组织参加此次演练围绕应急处置协作和入侵分析等设计了 6 个模拟场景各 CERT 组织按照自身事件处置流程, 对接收的投诉事件进行调查分析和应急处置, 完成恶意程序和攻击源分析, 以及事件的应急处置, 并提交详细的恶意程序分析报告和总结演练有效检验和提升各国 CERT 组织的网络安全事件处置和协同配合能力 5.3 工业和信息化部扎实稳步推进基础电信企业网络与信息安全责任考核工作为促进信息通信业健康有序发展, 维护国家网络与信息安全, 推动基础电信企业进一步健全网络与信息安全管理长效机制, 深入落实网络与信息安全责任,2012 年, 工业和信息化部和国资委联合下发了关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见, 将三家基础电信企业各省 ( 区市 ) 公司网络与信息安全责任落实情况纳入集团公司内部考核体系, 并于 2013 年正式启动省级基础电信企业网络与信息安全考核工作, 将组织保障制度建设技术手段建设监管配合等重点工作纳入考核考核工作开展以来, 工业和信息化部网络安全管理局 ( 简称网安局 ) 会同各通信管理局和三家基础电信企业, 扎实推进相关工作 : 一是统筹谋划周密部署不断总结考核工作经验, 将网络信息安全工第 23 页

24 作重点难点与考核工作有机结合, 年初明确考核工作思路, 制定下发考核要点, 细化任务进度和工作措施同时, 加强培训交流, 详细解读考核要求, 开展经验分享二是加强督查狠抓落实年中组织开展考核工作实地检查, 及时发现问题和薄弱环节, 明确整改要求和落实措施, 推动问题尽快解决三是规范打分, 务求实效年底制定评分模板, 量化细化考核指标, 确保打分客观准确, 真实反映基础电信企业网络信息安全工作落实情况, 务求考核要求落到实处不走过场 2015 年是开展考核工作的第三年, 为进一步优化完善考核机制巩固深化考核工作成效, 网安局开展了大量工作, 一是抓好上年度考核评分与整改落实工作为确保高效准确客观地反映一年来各省公司的工作成果, 研究建立了考核申诉与复核通报机制加强评分结果的分析和核验, 从制度上确保考核评分公开公正, 减少分歧和偏差同时, 要求企业按期将问题及时整改到位二是突出重点, 优化精简考核指标结合工作实际, 加大对专职机构设置网络信息安全技术手段建设新技术新业务安全评估电话用户实名登记等重点工作的考核力度, 进一步细化完善考核指标, 增加考核要求的针对性和可操作性三是强化考核工作宣贯部署和监督检查, 加大工作指导和督促力度, 确保各个环节工作力度不松懈考核要求不走样按照 2015 年安全责任考核整体工作安排, 今年 8 月至 10 月, 网安局会同相关通信管理局和三家企业集团公司对 13 个省 ( 区市 ) 基础电信企业相关工作落实情况开展了专项检查, 实现了三年内考核第 24 页

25 检查工作覆盖全国各省级基础电信企业从检查情况看, 网络与信息安全考核工作开展两年多来, 充分发挥了指挥棒的作用, 有力增强了基础电信企业网络信息安全工作意识, 整体提升了企业网络信息安全管理水平, 各企业网络信息安全管理工作已经实现了从要我做到我要做的转变特别是通过将考核与重点工作有机结合, 有效促进了网络与信息安全重点难点工作的落实 : 一是在信息安全管理方面, 各省级基础电信企业均已设立专职信息安全机构, 信息安全制度不断规范完善,IDC/ISP 移动上网日志留存等信息安全管理系统建设已基本完成全国覆盖, 新技术新业务安全评估工作机制和流程进一步健全完善, 工作已逐步铺开二是在网络安全管理方面, 网络安全防护工作进一步落实到位, 域名 IDC 等重点网络系统的网络安全技术手段建设以及移动互联网恶意程序监测处置平台木马和僵尸网络监测处置平台建设工作取得突破性进展三是在重要通信管理方面, 重要通信管理制度和工作机制进一步健全, 电话用户实名登记工作成效显著在取得成绩的同时, 通过检查也发现一些需进一步加强和改进的问题, 网安局已将有关情况向三家基础电信企业集团公司和全国各通信管理局进行了书面通报, 并对存在问题明确提出了整改要求, 要求企业进一步提高认识, 按期整改到位下一步, 网安局将继续发挥网络信息安全责任考核工作的抓手作用, 秉承创新务实的工作态度与狠抓落实的工作作风, 深入推进基础电信企业网络与信息安全责任落实 5.4 FBI 高层承认在调查工作中使用零日漏洞第 25 页

26 据外媒报道, 日前,FIB 科学与技术部门行政助理 Amy Hess 承认,FBI 确实会偶尔在可能对社会存有威胁性的嫌疑人追踪中使用零日漏洞 FBI 的这种行为让很多人对自己的隐私和网络安全产生了担忧由于近期大型零售商科技公司及硬件开发商遭遇过重大的网络攻击, 所以 FBI 这种追踪方式有可能会致用户于危险境地 Hess 也意识到了这点, 不过她表示,FBI 一直有在在公众安全和隐私安全担忧之间寻找平衡点, 不过在一些情况下后者会被放在第二位另外, 她还补充道, 这种攻击方式并不是 FBI 常用的调查技术, 因为当一家科技公司更新了它们的软件之后, 那么这也就意味着其使用的攻击工具失效这显然是不可靠 5.5 日本提升市级政府网络防护能力日本读卖新闻网站日前发布消息称, 日本政府计划要求全国市级政府于 2016 年对互联网进行加固, 以抵御针对地方政府的网络攻击目前, 日本市级政府通过各自的服务器连接互联网并实施网络安全措施, 但部分地方政府的工作人员缺乏专业知识, 导致市级政府抵御网络攻击的能力参差不齐此外, 政府间无法进行充分的信息交换鉴于日本年金机构个人信息被盗个人编号卡系统的推出 ( 日本将从 2016 年 1 月开始正式实施个人编号卡制度 ) 等因素, 日本政府认为必须增强市级政府应对网络攻击的能力第 26 页

27 系统加固后, 日本 1741 个市级政府都将通过共享服务器访问互联网每 47 个县共享一个服务器, 这样将更容易监测网络攻击如果市级政府遭受网络攻击, 新系统能快速检测响应以防止系统遭到破坏新系统能有效地分析攻击者所采用的方法, 还能在市级政府间传递网络攻击信息日本政府还要求地方政府重建内部计算机网络结构, 以便将专网线路与互联网线路分开, 并期望借此提高市级政府运行个人编号卡系统的网络安全性地方政府将从 2017 年 7 月开始与个人编号卡系统合作, 开展个人信息的使用工作身份证号码姓名地址和其他个人信息将会通过地方政府的广域网进行传输第 27 页

28 术语解释 : 漏洞 : 指信息系统中的软硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风险恶意代码 : 是指在未经授权的情况下, 在信息系统中安装执行以达到不正当目的的程序僵尸网络 : 僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操作感染僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量垃圾邮件等拒绝服务攻击 : 指向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务网页篡改 : 指恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容恶意链接 ( 暗链 ): 也称为黑链, 被插入后将会被搜索引擎降权 ; 对网站访问者造成不良影响 ; 将会协助恶意网站 ( 可能为钓鱼网站反动网站赌博网站等 ) 提高搜索引擎排名, 也意味着能被篡改页面网络仿冒 : 指通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件即时聊天手机短信或页面虚假广告等方式发送声称来自于被仿冒机构的欺骗性信息, 诱骗用户访问钓鱼网站, 以获取用户个人私密信息 ( 如银行帐号和账户密码 ) 第 28 页

29 网页挂马 : 指通过破坏网页并植入恶意代码或链接, 致使用户计算机在访问页面时被植入恶意代码网站后门 : 指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 0Day: 指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息 APT 攻击 : 高级持续性威胁 (Advanced Persistent Threat, APT),APT 是黑客以窃取核心资料为目的, 针对客户所发动的网络攻击和侵袭行为这种行为往往经过长期的经营与策划, 并具备高度的隐蔽性 APT 的攻击手法, 在于隐匿自己, 针对特定对象, 长期有计划性和组织性地窃取数据, 这种发生在网络空间的偷窃资料搜集情报的行为, 就是一种网络间谍的行为域名劫持 : 是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败非授权访问 : 指没有访问权限的用户以非正当的手段访问数据信息非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 开获取信息系统访问权限路由劫持 : 路由劫持是通过欺骗方式更改路由信息, 以导致用户无法访问正确的目标, 或导致用户的访问流量绕行黑客设定的路径, 以达到不正常的目的第 29 页

30 关于我们 : 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是一个非政府盈利的网络安全技术协调组织, 主要任务是 : 按照积极预防及时发现快速响应力保恢复的方针, 开展中国互联网网络安全事件预防发现预警和协调处置等工作, 以维护中国公共互联网环境的安全保障基础信息网络上重要系统的运行国家计算机网络应急技术处理协调中心陕西分中心 ( 简称陕西互联网应急中心或 SNCERT) 作为国家互联网应急中心在陕的分支机构, 根据业务范围开展陕西省内互联网网络安全事件的预防发现预警和协调处置等工作, 并负责编制印发陕西省互联网网络安全情况通报的具体工作联系我们 : 联系人 : 戴小平李相阳电话 : 传真 : 网址 : 第 30 页

牢牢把握三个见实效的目标要求一论持续用力深化三严三实专题教育 1

牢牢把握三个见实效的目标要求一论持续用力深化三严三实专题教育 1 浙江大学党支部理论学习参考资料 2015 年第 12 期党委宣传部编 2015 年 12 月 21 日目录牢牢把握三个见实效的目标要求一论持续用力深化三严三实专题教育 1 2 抓好民主生活会这个关键动作二论持续用力深化三严三实专题教育 3 4 解决突出问题才有说服力三论持续用力深化三严三实专题教育 5 6 用发展成果检验教育成效四论持续用力深化三严三实专题教育