2016 年 3 月第 3 周 (2016 年 3 月 7 日年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个辽宁省被篡改网站数量为 33 家, 全国排名 13 位

Size: px

Start display at page:

Download "2016 年 3 月第 3 周 (2016 年 3 月 7 日年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个辽宁省被篡改网站数量为 33 家, 全国排名 13 位"

靴闵毕
7 years ago
Views:

1 2016 年 3 月第 2 期信息安全态势周报辽宁省信息安全与软件测评认证中心

2 2016 年 3 月第 3 周 (2016 年 3 月 7 日年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个辽宁省被篡改网站数量为 33 家, 全国排名 13 位辽宁省政府机构有 3 家网站被篡改, 全国排名 8 位本周共收集整理信息安全漏洞 119 个, 其中高危漏洞 68 个中危漏洞 46 个低危漏洞 5 个漏洞平均分值为 7.07 分本周收录的漏洞中, 涉及 0day 漏洞 8 个 ( 占 7%) 本周,Apache Jetspeed 以及 ISC BIND 等广泛应用的 WEB DNS 系统软件存在高危漏洞, 可对域名解析系统以及大量的 Web 服务器构成拒绝服务或远程控制安全风险, 同时本周也是微软例行的安全补丁周, 用户需要及时更新补丁本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1214 个, 与上周 (1945 个 ) 环比下降 38% 本周境内感染网络病毒的主机数量约 80.4 万个, 其中包括境内被木马或被僵尸程序控制的主机约 54.9 万以及境内感染飞客 (conficker) 蠕虫的主机约 25.5 万二〇一六年三月十八日

3 目录 1. 安全态势本周网站安全概况漏洞通报漏洞概括漏洞数量漏洞产生原因漏洞引发的威胁漏洞预警 Roundup 信息泄露漏洞 Django 'django.utils.http.is_safe_url() 安全绕过漏洞 Drupal 跨站脚本漏洞 (CNVD ) ATutor 跨站脚本漏洞病毒通报网络病毒概况本周网络病毒预警安全资讯用好大数据须有大智慧大数据能帮我干什么? 代表建议中的数据应用张德江谈全国人大常委会今后一年主要任务 : 将制定网络安全法等法案... 13

1. 安全态势 1.1 本周网站安全概况本周安全指数为中本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个全国排名 13 位辽宁省有 3 家政府机构网站被篡改, 全国排名 8 位本周境内被篡改政府网站 (GOV 类 ) 数量为 69 个 ( 约占境内 1.

4 1. 安全态势 1.1 本周网站安全概况本周安全指数为中本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个全国排名 13 位辽宁省有 3 家政府机构网站被篡改, 全国排名 8 位本周境内被篡改政府网站 (GOV 类 ) 数量为 69 个 ( 约占境内 1.7%), 较上周环比上升了 21.1%; 境内被植入后门的政府网站 (GOV 类 ) 数量为 81 个 ( 约占境内 4.6%), 较上周环比上升了 26.6%; 针对境内网站的仿冒页面涉及域名 3491 个,IP 地址 1094 个, 平均每个 IP 地址承载了约 4 个仿冒页面第 1 页 / 共 13 页咨询热线 : /08/11/12

5 2. 漏洞通报 2.1 漏洞概括本周漏洞趋势图本周信息安全漏洞威胁整体评价级别为高本周中威漏洞 46 个高威漏洞 67 个, 仅 3 月 11 日一天就爆发了 32 个高威漏洞, 而中危漏洞主要集中于 3 月 8 日和 3 月 10 日本周三四是是漏洞最活跃的阶段漏洞数量本周, 收录了 119 个漏洞其中应用程序漏洞 88 个, 操作系统漏洞 16 个, 网络设备漏洞 10 个,Web 应用漏洞 4 个, 安全产品漏洞 1 个第 2 页 / 共 13 页咨询热线 : /08/11/12

2.1.2 漏洞产生原因因设计错误产生的漏洞 108 个, 占 92% 因输入验证错误产生漏洞 8 个, 占 7% 2.1.3 漏洞引发的威胁

6 2.1.2 漏洞产生原因因设计错误产生的漏洞 108 个, 占 92% 因输入验证错误产生漏洞 8 个, 占 7% 漏洞引发的威胁漏洞引发的管理员访问权限获取 72 个, 占 61% 漏洞引发的未授权信息泄露 23 个, 占 20% 第 3 页 / 共 13 页咨询热线 : /08/11/12

7 2.2 漏洞预警 Roundup 信息泄露漏洞发布时间更新时间漏洞编号 CNVD-ID CNVD CVE ID CVE 危害级别影响产品漏洞描述中 Roundup Roundup Roundup 是一套命令行 Web 和电子邮件问题跟踪系统该系统提供 Bug 跟踪客户帮助台和问题管理等功能 Roundup 中存在信息泄露漏洞攻击者可利用该漏洞获取其他用户的敏感信息解决方案 Django 'django.utils.http.is_safe_url() 安全绕过漏洞发布时间更新时间漏洞编号 CNVD-ID CNVD CVE ID CVE 危害级别中影响产品 Django Django <1.9.3 Django Django < 漏洞描述 Django 是 Django 软件基金会的一套基于 Python 语言的开源 Web 应用框架该框架包括面向对象的映射器视图系统模板系统等 Django 之前版本和之前版本中存在安全漏洞, 该漏洞源于程序未能正确处理特定的 URL 攻击者第 4 页 / 共 13 页咨询热线 : /08/11/12

8 可借助特制的重定向利用该漏洞重定向到受限制的站点或执行任意脚本代码解决方案 Drupal 跨站脚本漏洞 (CNVD ) 发布时间更新时间漏洞编号 CNVD-ID CNVD BUGTRAQ ID 危害级别影响产品漏洞描述中 Drupal Drupal Drupal 是 Drupal 社区所维护的一套用 PHP 语言开发的免费开源的内容管理系统 Drupal 存在跨站脚本漏洞, 允许攻击者利用该漏洞窃取基于 cookie 的身份验证凭证, 在受影响程序上下文中执行任意脚本代码解决方案 ATutor 跨站脚本漏洞发布时间更新时间漏洞编号 CNVD-ID CNVD CVE ID CVE 危害级别中影响产品 ATutor Atutor <=2.2 漏洞描述 ATutor 是 ATutor 团队开发的一套开源的基于 Web 的学习内容管理系统 (LCMS) 该系统包括教学内容管理论坛聊天室等模块 ATutor 2.2 及之前版本中存在跨站脚本漏洞, 该漏洞第 5 页 / 共 13 页咨询热线 : /08/11/12

9 源于 popuphelp.php 脚本未能充分过滤 h GET 参数允许攻击者利用该漏洞注入任意 Web 脚本或 HTML 解决方案解决方案病毒通报 3.1 网络病毒概况本周境内感染网络病毒的主机数量约 80.4 万个, 其中包括境内被木马或被僵尸程序控制的主机约 54.9 万以及境内感染飞客 (conficker) 蠕虫的主机约万木马或僵尸程序受控主机在我国大陆的分布情况如图所示, 其中红色区域是木马和僵尸程序感染量最多的地区辽宁省排名第一约 6.6 万个 ( 约占中国大陆总感染量的 12.1%) 浙江省排名第二约 6.5 万个 ( 约占中国大陆总感染量的 11.9%) 江苏省排名第三约 5.2 万个 ( 约占中国大陆总感染量的 9.5%) 第 6 页 / 共 13 页咨询热线 : /08/11/12

10 3.2 本周网络病毒预警放马站点是网络病毒传播的源头本周, 监测发现的放马站点共涉及域名 154 个, 涉及 IP 地址 425 个在 154 个域名中, 有约 39.6% 为境外注册, 且顶级域为.com 的约占 67.5%; 在 425 个 IP 中, 有约 9.4% 位于境外根据对放马 URL 的分析发现, 大部分放马站点是通过域名访问, 而通过 IP 直接访问的涉及 4 个 IP 注 : 数据来源 CNCERT 国家互联网应急中心和 CNVD 国家信息安全漏洞共享平台第 7 页 / 共 13 页咨询热线 : /08/11/12

11 安全资讯 2016 年 2 月第 4 期 4. 安全资讯 4.1 用好大数据须有大智慧拥有大数据是时代特征, 解读大数据是时代任务, 应用大数据是时代机遇大数据作为一个时代一项技术一个挑战一种文化, 正在走进并深刻影响我们的生活党的十八届五中全会提出, 实施国家大数据战略实施国家大数据战略, 必须理性认识大数据, 准确把握其带来的机遇, 科学应对其带来的挑战, 用大智慧实现大数据的大价值理性认识大数据信息技术革命与经济社会活动的交融催生了大数据大数据是经济社会现实世界管理决策的片断记录, 蕴含着碎片化信息随着分析技术与计算技术的突破, 解读这些碎片化信息成为可能, 这是大数据成为一项新的高新技术一类新的科研范式一种新的决策方式乃至一种文化的原由大数据是指数量特别巨大种类繁多增长极快价值稀疏的复杂数据, 简而言之, 是大而复杂的数据集作为信息资产, 大数据的价值需要运用全新的处理思维和解译技术来实现大数据具有大价值在日常生活中, 大数据的价值主要体现在 : 提供社会科学的方法论, 实现基于数据的决策, 助推管理革命 ; 形成科学研究的新范式, 支持基于数据的科学发现, 减少对精确模型与假设的依赖, 使过去不能解决的问题变得可能解决 ; 形成高新科技的新领域, 推动互联网物联网云计算等行业深入发展, 形成大数据产业 ; 成为社会进步的新引擎, 深刻改变人类的思维生产和生活方式, 推动社会变革和进步大数据的价值主要通过大数据技术来实现大数据技术是基础性信息技术, 它刻画了新一代信息技术中机器与机器机器与人之间信息交换的内容特征, 构成了现代信息技术的基本信息处理模式因此, 大数据从信息载体这一底层捕捉到了信息化的共性基础未来发展与普适技术这说明, 大数据热潮的来临是一种必然, 大数据技术不会是过眼云烟科学理解大数据的大数据的积累是一个从量变到质变的过程当数据积累不够多时, 没有人能读懂这些碎片背后的故事但随着数据的积累, 特第 8 页 / 共 13 页咨询热线 : /08/11/12

12 安全资讯 2016 年 2 月第 4 期别是超过某个临界值后, 这些碎片整体所呈现的规律就会在一定程度上被显现出来可以认为, 这一从量变到质变的临界值是区分数据大与不大的标准所以, 大数据的大是相对的, 是与所关注的问题相关的只有这样理解, 才能避免产生大数据能解决所有问题的误读科学理解大数据的复杂由于具有海量性快变性异构性和分布性等复杂特性, 大数据技术是一项不断发展的技术, 并非已经成熟这当然并不妨碍运用现有大数据技术从现实的各种大数据中获得价值, 但我们必须清楚 : 大数据的价值实现是无止境的, 大数据理论技术和产业将相伴而行这是大数据发展的基本形态准确把握大机遇大数据必将引领未来生活新变化孕育社会发展新思路开辟国家治理新途径重塑国际战略新格局实施国家大数据战略, 是对大数据意义价值与作用的深刻认识与准确把握那么, 大数据到底能给我们带来什么机遇? 目前来看, 大数据至少能在管理创新产业发展科学发现学科发展四个领域为我们带来前所未有的机遇管理创新机遇管理和决策问题通常是难以建模的如今, 基于大数据和大数据技术, 人们可以使用极为丰富的数据资源对经济社会发展进行实时分析, 并帮助政府更好地对社会和经济运行作出反应大数据技术可以帮助我们实现梦寐以求的科学决策, 实现科学决策具体化, 从而推动管理理念方式与方法的革命在实践中, 运用大数据对国家政策进行预评估已成为可能产业发展机遇大数据是解决众多国家重大现实问题的共性基础, 能够为产业发展升级提供帮助特别是大数据技术的底层性使得它很容易与其他行业技术嫁接, 从而形成以数据为资产以现代信息基础设施为基础以数据价值挖掘为创新要素的大数据产业大数据可以为大众创业万众创新提供绝好平台应用好大数据这一基础性战略资源, 可以推动传统产业改造升级, 培育经济发展新引擎和国际竞争新优势科学发现机遇数据收集处理与分析能力的提升, 将显著拓展人们对客观世界洞察的深度和程序化探究问题的广度随着数据积累和计算能力的提升, 直接从大数据中获取知识成为可能这种基于大数据分析的探究方式弥补了过去单纯依赖模型和假设解决问题方法论的不足, 形成了一种新的科学研究范式 : 基于第 9 页 / 共 13 页咨询热线 : /08/11/12

13 安全资讯 2016 年 2 月第 4 期数据的科学发现运用新的范式, 一些过去不能解决或解决不好的问题现在变得可能解决学科发展机遇大数据时代, 数理科学与人文社会科学管理科学等学科的深度交叉融合将彻底打破和革新学科领域, 统计学面临革命, 计算科学的内涵与外延将发生重大改变一种融合统计计算信息与数学的数据科学正在形成解读大数据是时代任务的要求也将深刻改变和影响各门学科这一改变势必对大学的学科设置和人才培养产生重大影响, 尤其将为大学培养国家创新发展急需的人才提供难得机遇科学应对大挑战大数据为国家创新发展带来了大机遇, 但要真正实现大数据的大价值, 特别是将大数据转化为现实生产力, 还面临一系列挑战科学基础的挑战对大数据而言, 分析才能出价值, 关联才能出价值传统用于分析关联数据的统计学方法以抽样数据为对象以样本趋于无穷的极限分布为基础 ; 而大数据所处理的对象是自然数据, 既无明确的抽样机制, 也不大可能存在稳定的极限分布这样, 传统分析数据的科学基础遭到动摇, 必须重建统计学基础计算基础与逻辑基础计算技术的挑战大数据的核心技术除了依赖解译数据自身的方法论, 采取什么样的计算架构去存储, 采取什么样的计算模式去支持快速查询与处理, 采取什么样的程序语言和算法去完成计算分析和挖掘, 这些都面临技术上的挑战, 必须革新计算模式和计算方法真伪性判定的挑战大数据具有大价值是无疑的, 但如果从大数据中产生结论形成决策的方法论基础不坚实, 直接运用大数据结论就可能是不可靠的甚至是危险的, 难免让大数据变成大忽悠比如, 国外一家企业发明的通过媒体电商数据预测一个城市发生流感的大数据技术, 近来就被科学家发现存在过分高估的情况, 其原因正在于分析模型的偏差与统计科学基础的缺失所以, 真伪性判定仍然是我们面临的一个大挑战科学应对这些挑战, 需要大智慧当前从政府层面看, 应着力抓好以下 5 个方面 : 抓宏观规划与政策引导国家大数据战略让我们明确了发展与运用大数据是国家意志, 是实施创新驱动发展战略的重大举措之一这个战略应由一系列的规第 10 页 / 共 13 页咨询热线 : /08/11/12

14 安全资讯 2016 年 2 月第 4 期划政策布局等构成国家应在战略上特别是在促进数据资源开放和共享重点行业先行产业转型升级等方面统筹规划出台政策扎实推进抓数据资源管理与国家数据资源库建设在人人都产生并希望拥有数据人人都希望从数据中获益的大背景下, 必须强化数据是国家资源的意识, 重视建立国家数据资源库这样的建设, 首先应作为一项国家工程, 统一规划 ; 其次应切实解决分级分层分行业建设与管理体制问题当前, 应特别注意大数据资源意识所诱发的行业数据保护以及数据资源流失与滥用问题, 切实将大数据资源用于服务人民服务国家建设抓行业引领与重点示范工程实施国家大数据战略, 可从抓重点行业重点工程入手一些行业如电力交通金融服务互联网制造业等, 对国家经济发展影响巨大, 数据积累丰富, 并且有专属性共享相对容易等特点率先推动这些行业运用大数据加快发展, 有重要的带动性和示范性另外, 作为整体布局, 在国家层面推动一批大数据应用工程也是重要和必要的例如, 推进税务财政投资监管等大数据应用工程, 都可能产生意想不到的效果抓共性基础与核心技术研发投资大数据应用大数据已是当下大众创业万众创新的热情所在与价值选择谁为这样的大众热情负责? 谁来保证各行各业大数据应用的健康可持续发展? 这无疑是国家责任担负这一责任, 最重要的就是推动大数据科学基础的夯实和大数据关键技术的研发我们不能再走拿来主义的老路, 不能没有规划而任其自由发展国家应组织力量, 下大力气解决大数据应用的共性基础和关键技术突破抓大数据人才队伍培养推动大数据产业发展, 提升国家大数据运用能力, 人才是第一位的懂数据会分析的复合型人才缺乏是当下国内外面临的共同困难在这种情形下, 我国应发挥体制优势, 迅速动员各高校研究机构快速设立一批适应各层次需求的大数据人才培养项目, 加快形成支撑国家大数据战略实施的强大科学研究与应用人才队伍 4.2 大数据能帮我干什么? 代表建议中的数据应用新华社北京 3 月 12 日电题 : 大数据能帮我干什么? 代表建议中的数据应用第 11 页 / 共 13 页咨询热线 : /08/11/12

15 安全资讯 2016 年 2 月第 4 期今年两会, 大数据是热词记者梳理发现, 截至 12 日, 在中国人大网公开的代表建议中涉及大数据的有 140 条左右, 内容涵盖医疗打拐农业及安全等许多领域帮助获救被拐儿童找到亲生父母拐卖儿童犯罪严重侵犯被拐卖儿童的人身权利, 践踏公序良俗公安部自 2009 年建立全国打拐 DNA 信息库, 以方便被解救儿童比对找到亲生父母, 但目前信息比对效果有限全国人大代表中国移动浙江公司董事长郑杰建议, 完善全国统一的打拐 DNA 数据库 ; 积极引入大数据分析, 深入挖掘被拐儿童的案件特征儿童行为特征等规律, 为打击犯罪提供新手段, 并让获救被拐儿童尽快找到亲生父母重塑企业制造和管理大数据可为产品服务和商业模式创新等提供有效支撑但相较于消费和服务领域, 工业领域大数据对重塑企业制造和管理特别是智能制造的驱动作用尚未充分显现全国人大代表安徽省经信委主任牛弩韬建议, 加强顶层设计, 明确工业大数据应用的技术标准产业, 制定发展路径 ; 设立国家工业大数据发展专项基金 ; 实施试点示范项目, 探索大数据产业的新模式新业态等等, 以加快工业大数据应用让农机工业实现智能化农业生产精准化智能化已成发展趋势, 农机工业需以信息化技术为先导, 通过农业装备的技术进步和产品创新, 实现智能控制多机物联精准作业产品决策等中国一拖集团有限公司董事长赵剡水等 6 名代表建议, 国家应制定智能农机大数据应用规划, 建立农机行业统一的信息管理平台, 实现我国农业和农机大数据的协同管理和综合利用 ; 加大对农机智能化技术发展和产品研发的政策支持等, 开展智能农机大数据应用提升精准扶贫工作水平为解决一些地方扶贫开发中贫困人口底数不清情况不明针对性不强等问题, 基层对贫困户和贫困村进行了建档立卡但基层往往以小本本方式记录, 珍贵的一手资料不仅分散, 信息还不完整难以整合第 12 页 / 共 13 页咨询热线 : /08/11/12

16 安全资讯 2016 年 2 月第 4 期全国人大代表北京市科委主任闫傲霜建议, 以扶贫开发建档立卡工作为数据基础, 建立民政等多部门通用的扶贫工作信息平台 ; 将全国扶贫信息网络系统在一定程度上对社会开放, 以便于专业机构作数据分析, 以利于社会团体企业等靶向帮扶, 提升精准扶贫工作水平预防慢性病利用可穿戴式设备, 结合大数据分析, 进行连续性的医疗监测已成为可能人们越来越希望提前知道自己身体潜在的隐患, 提前启动医疗处置, 避免形成慢性病全国人大代表杭州市第一人民医院肾内科主任王鸣建议, 对心脑血管疾病糖尿病恶性肿瘤慢性呼吸系统疾病等常见多发慢性疾病, 采取系统监测统计分析, 构筑国家慢性病用户健康数据中心等, 利用大数据预防慢性病 4.3 张德江谈全国人大常委会今后一年主要任务 : 将制定网络安全法等法案 3 月 9 日下午 3 时, 第十二届全国人民代表大会第四次会议举行第二次全体会议, 听取全国人大常委会委员长张德江关于全国人民代表大会常务委员会工作的报告, 听取全国人大常委会副委员长李建国关于中华人民共和国慈善法草案的说明张德江在报告中指出 : 将制定境外非政府组织管理法网络安全法等法案注 : 信息来源中央网信办官网第 13 页 / 共 13 页咨询热线 : /08/11/12

关于国家互联网应急中心 (CNCERT) 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 2002 年 9 月, 为非政府非盈利的网络安全技术中心, 是我国网络安全应急体系的核心协调机构 2003 年,CNCERT 在全

关于国家互联网应急中心 (CNCERT) 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文简称为 CNCERT 或 CNCERT/CC), 成立于 2002 年 9 月, 为非政府非盈利的网络安全技术中心, 是我国网络安全应急体系的核心协调机构 2003 年,CNCERT 在全优良中差危 CNCERT 互联网安全威胁报告 2016 年 3 月总第 63 期优良中差危摘要 : 本报告以 CNCERT 监测数据和通报成员单位报送数据作为主要依据, 对我国互联网面临的各类安全威胁进行总体态势分析, 并对重要预警信息和典型安全事件进行探讨 2016 年 3 月, 互联网网络安全状况整体评价为良主要数据如下 : 境内感染网络病毒的终端数为 271 万余个 ; 境内被篡改网站数量为

2016 年 3 月第 3 周 (2016 年 3 月 7 日 年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个 辽宁省被篡改网站数量为 33 家, 全国排名 13 位

2016 年 3 月第 3 周 (2016 年 3 月 7 日年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个辽宁省被篡改网站数量为 33 家, 全国排名 13 位