1 情况综述 2015 年 3 月, 我省互联网络总体运行情况良好, 未发生较大以上网络安全事件根据监测分析,2015 年 3 月, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数为 23,562 个, 较上个月减少 40.90%, 占全国总数的 2.56%; 木马僵尸控制服务器 (

Size: px

Start display at page:

Download "1 情况综述 2015 年 3 月, 我省互联网络总体运行情况良好, 未发生较大以上网络安全事件根据监测分析,2015 年 3 月, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数为 23,562 个, 较上个月减少 40.90%, 占全国总数的 2.56%; 木马僵尸控制服务器 ("

烜聊卓
7 years ago
Views:

1 陕西省互联网网络安全情况月报 2015 年 3 月 ( 第 W003 期 ) 总第 15 期陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心本期目录 1 情况综述安全事件分析木马僵尸网络事件分析飞客蠕虫病毒事件分析网页篡改事件分析网站后门事件分析安全事件处置情况安全预警信息本月重要安全漏洞信息通报本月活跃网络病毒情况本月恶意代码捕获和传播情况本月钓鱼网站统计情况本月重要漏洞修补信息业界动态 CNCERT/CC 圆满完成 2015 年 APCERT 应急演练省委网信办召开网信工作座谈会陕西互联网应急中心举行安全信息通报成员单位授牌仪式上海加快完善信息安全保障体系推动地方立法日本多网站遭黑客攻击现疑似极端组织旗标识英国政府公布网络安全学徒计划... 19

2 1 情况综述 2015 年 3 月, 我省互联网络总体运行情况良好, 未发生较大以上网络安全事件根据监测分析,2015 年 3 月, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数为 23,562 个, 较上个月减少 40.90%, 占全国总数的 2.56%; 木马僵尸控制服务器 ( 控制端 )IP 数为 28 个, 较上个月增加 12.00%, 占全国总数的 0.55%; 省内被篡改网页的网站数为 94 个, 较上个月减少 6.93%, 占全国总数的 1.06%; 省内被植入后门网站数为 51 个, 较上个月增加 %, 占全国总数的 0.99%; 省内感染飞客蠕虫的主机 IP 数为 6,357 个, 较上个月增加 22.75%, 占全国总数的 1.63% 2 安全事件分析 2.1 木马僵尸网络事件分析 2015 年 3 月,CNCERT/CC 对木马僵尸的活动状况进行了抽样监测, 发现中国大陆地区 920,064 个 IP 地址对应的主机被木马或僵尸程序秘密控制事件高发的三个省份分别为广东省 ( 约占 16.8%) 浙江省 ( 约占 10.2%) 江苏省 ( 约占 8.2%), 其分布情况如图 1 所示第 1 页

图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2014 年 4 月 -2015 年 3 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2015 年 3 月, 陕西省有 23,562

3 图 1: 中国大陆地区木马或僵尸程序受控主机地区分布图 2014 年 4 月年 3 月境内木马或僵尸程序受控主机 IP 数量月度统计情况如图 2 所示图 2: 中国大陆地区木马或僵尸程序受控主机 IP 数量月度统计 2015 年 3 月, 陕西省有 23,562 个 IP 地址对应的主机被境外黑客通过木马或僵尸程序控制, 约占全国总数的 2.56%, 居全国第 14 位 ; 有 28 个 IP 地址对应的主机被用作木马和僵尸程序控制主机与境外进行通信, 约占全国总数的 0.55%, 居全国第 24 位 2.2 飞客蠕虫病毒事件分析第 2 页

4 2015 年 3 月,CNCERT/CC 对飞客蠕虫的活动状况进行了抽样监测, 发现境内感染飞客蠕虫的主机 IP 地址共 389,388 个事件高发的三个省份分别为广东 ( 约占 25.6%) 浙江 ( 约占 8.8%) 和江苏 ( 约占 7.8%); 其中陕西省 6,357 个 IP 地址, 约占全国总数的 1.63%, 排名第 20 位其分布情况如图 3 所示图 3: 中国大陆地区感染飞客蠕虫的主机 IP 按地区分布图 2.3 网页篡改事件分析 2015 年 3 月,CNCERT/CC 监测发现中国大陆地区被篡改网站 8,857 个, 其中境内被篡改政府网站 (.gov) 数量为 295 个被篡改网站分布情况如图 4 所示, 最多的地区分别为北京市 ( 约占 20.5 %) 江苏省 ( 约占 14.3%) 和广东省 ( 约占 9.9%) 第 3 页

所示图 4: 境内被篡改网站按地区分布 2014 年 4 月 -2015 年 3 月境内被篡改网站数量按月度统计如图 5 图 5: 境内被篡改网站数量月度统计 2015 年 3 月, 陕西省内被篡改网站数量为 94 个, 全国排名第 14 位, 约占全国总数的 1.06% 2.

5 所示图 4: 境内被篡改网站按地区分布 2014 年 4 月年 3 月境内被篡改网站数量按月度统计如图 5 图 5: 境内被篡改网站数量月度统计 2015 年 3 月, 陕西省内被篡改网站数量为 94 个, 全国排名第 14 位, 约占全国总数的 1.06% 2.4 网站后门事件分析 2015 年 3 月,CNCERT/CC 监测发现中国大陆地区网站被植入后门数量 5,142 个网站被植入后门分布情况如图 6 所示, 最多的地区分别为北京市 ( 约占 16.0%) 浙江省 ( 约占 10.4%) 和山东省 ( 约占 9.9%) 第 4 页

6 图 6: 境内网站被植入后门按地区分布 2015 年 3 月, 陕西省境内监测发现网站被植入后门数量 51 个, 约占全国总数的 0.99%, 全国排名第 15 名 3 安全事件处置情况 2015 年 3 月, 陕西互联网应急中心共协调处理各类网络安全事件起, 其中僵尸木马受控事件起, 僵尸木马控制事件 12 起, 飞客病毒事件 5451 起, 网站安全事件 75 起 ; 其中重要信息系统网页篡改事件 12 起,SQL 注入漏洞 45 起, 远程命令执行漏洞 5 起, 弱口令漏洞 6 起, 程序逻辑漏洞 1 起, 源码泄露漏洞 4 起及权限绕过漏洞 2 起陕西互联网应急中心及时向用户作了情况通报并指导用户进行系统恢复, 使事件在最快时间内得到处理, 消除了不良影响 4 安全预警信息 4.1 本月重要安全漏洞信息通报 2015 年 3 月,CNCERT/CC 收到的来自国家信息安全漏洞共享平台 (CNVD) 报告的漏洞数量 661 个, 其中高危漏洞 210 个中危漏洞 398 个低危漏洞 53 个, 其中 0day 漏洞 163 个 2014 年 4 月年 3 月 CNVD 收录漏洞按月统计情况分布如图 7 所示第 5 页

图 7: CNVD 收录漏洞按月统计情况 2015 年 3 月, 国家信息安全漏洞共享平台 (CNVD) 收录漏洞的补丁总数 497 个, 其中高危漏洞补丁 157 个中危漏洞补丁 291 个低危漏洞补丁 49 个 ( 一 )Cisco IOS Service Discovery Gateway 拒绝服务漏洞 Cisco IOS 是一款流行的 Internet 操作系统 Cisco IOS

7 图 7: CNVD 收录漏洞按月统计情况 2015 年 3 月, 国家信息安全漏洞共享平台 (CNVD) 收录漏洞的补丁总数 497 个, 其中高危漏洞补丁 157 个中危漏洞补丁 291 个低危漏洞补丁 49 个 ( 一 )Cisco IOS Service Discovery Gateway 拒绝服务漏洞 Cisco IOS 是一款流行的 Internet 操作系统 Cisco IOS Service Discovery Gateway 存在安全漏洞, 允许远程攻击者利用漏洞通过特制的 mdns UDP 报文进行拒绝服务攻击该漏洞影响产品为 Cisco IOS XE 3.9.xS XE 3.10.xS(<3.10.4S) XE 3.11.xS(<3.11.3S) XE 3.12.xS(<3.12.2S) 3.13.xS(<3.13.1S), 属高危漏洞,CNVD-ID 为 CNVD ,CVE- ID 为 CVE 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : 第 6 页

8 urityadvisory/cisco-sa mdns ( 二 )IBM DB2 Universal Database DAS 缓冲区溢出漏洞 IBM DB2 是美国 IBM 公司的一套关系型数据库管理系统该系统的执行环境主要有 UNIX Linux IBM i z/os 以及 Windows 服务器版本 IBM DB2 中存在缓冲区溢出漏洞, 该漏洞源于程序未能对用户提交的输入执行正确的边界检查攻击者可利用该漏洞在受影响服务上下文中执行任意代码, 控制受影响计算机, 也可能造成拒绝服务该漏洞影响产品为 IBM DB2, 属高危漏洞,CNVD-ID 为 CNVD 目前厂商已经发布了升级补丁修复此安全问题, 补丁获取链接 : 1.ibm.com/support/docview.wss?uid=swg ( 三 )AnyMacro 邮件系统存在任意用户密码修改漏洞 AnyMacro 是专业的邮件统一消息领域的产品与解决方案提供商 AnyMacro 邮件系统辞存在安全漏洞, 由于用户密码找回功能未能正确进行校验允许攻击者利用此漏洞任意更改用户密码该漏洞影响产品为 AnyMacro, 属高危漏洞,CNVD-ID 为 CNVD 第 7 页

9 ( 四 )phpmoadmin 任意命令执行漏洞 phpmoadmin 是一个 MongoDB 的 GUI 管理工具 phpmoadmin 存在任意命令执行漏洞, 允许远程攻击者通过在对象参数中的外壳元字符执行任意命令该漏洞影响产品为 PHPMoAdmin 1.1.2, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前没有详细的解决方案 : ( 五 )Ubuntu Vivid logrotation 脚本本地权限提升漏洞 Ubuntu Vivid 是一个基于 linux 的发行版本 Ubuntu Vivid Ubuntu Upstart 中的 logrotation 脚本 (/etc/cron.daily/upstart) 存在安全漏洞, 允许本地攻击者利用漏洞提升权限执行命令该漏洞影响产品为 Ubuntu Upstart < ubuntu9 及 Ubuntu Vivid 15.04, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 目前厂商已经发布了升级补丁以修复这个安全问题, 请到厂商的主页下载 : ( 六 ) 多个 Siemens SPC 控制器产品拒绝服务漏洞 Siemens SPC 控制器是西门子公司的控制器设备 Siemens SPC controllers SPC4000, SPC5000 和 SPC6000 存在安全漏洞, 允许攻击者利用漏洞提交报文进行拒绝服务攻击第 8 页

10 该漏洞影响产品为 Siemens SPC4000/SPC5000/SPC6000 <3.6.0, 属高危漏洞,CNVD-ID 为 CNVD ,CVE-ID 为 CVE 用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞 : der/siemens_security_advisory_ssa pdf ( 七 )GNOME librest 'rest_proxy_call_get_url()' 内存破坏漏洞 GNOME librest 是 GNOME 项目的一个 RESTful( 软件架构风格 ) Web 服务帮助库 GNOME librest 中存在内存损坏漏洞攻击者可利用该漏洞在应用程序上下文中执行任意代码, 也可能造成拒绝服务该漏洞影响产品为 GNOME librest 0.7.x, 属高危漏洞,CNVD- ID 为 CNVD 目前厂商已经发布了升级补丁以修复此安全问题, 补丁获取链接 : 本月活跃网络病毒情况活跃网络病毒 TOP5 病毒名称 Trojan.Win32.Crypmodadv.a ( 木马病毒 ) Worm.Win32.FakeFolder.v ( 蠕虫病毒 ) Trojan.Heur.JP.avW( 木马病毒 ) 病毒特点病毒运行后, 自我复制至 C 盘目录下, 监听用户的操作信息, 开启共享功能, 完成后自我删除电脑一单中毒, 用户将面临隐私信息泄露, 网络账密被窃等风险病毒运行后, 自我复制至系统目录, 创建 c:\documents and settings\administrator\ 开始菜单\ 程序 \ 启动 \ 安全卫士.lnk, 实现开机启动, 在系统中添加启动项 c:\windows\system32\ppsap.exe, 以此伪装成安全卫士及 PPS 加速器, 躲避安全软件查杀此外病毒还会向浏览器收藏夹内强行植入推广链接, 并强制打开黑客指定网店, 为该网店刷取流量电脑一旦中毒, 用户将遭遇恶意推广, 甚至被恶意引导在网上消费, 进而遭受经济损失病毒运行后, 启动宿主进程, 注入代码, 修改 EIP 执行自己的代码, 使用户认为是正常的进程, 并躲避杀毒软件查杀中毒第 9 页

11 Trojan.DL.Win32.VBdl.b( 木马病毒 ) Worm.Win32.FakeFolder.c( 蠕虫病毒 ) 后, 病毒将盗取电脑中的网络账密, 届时, 用户将面临隐私信息泄露, 网银账号被盗等风险病毒运行后, 自我复制至 C:\WINDOWS\system\wincal.exe, 并设置自身为开机自启动病毒会后台连接黑客指定服务器, 下载其他病毒电脑一旦中毒, 用户将面临隐私信息泄露网银账密被盗等风险病毒运行后, 病毒在 C:\WINDOWS\system32 下创建 lbkxuwwmad 和 cfnaicqdme 两个文件夹, 分别拷贝自身为 explorer.exe,smss.exe, 随后启动这两个程序病毒还将在桌面创建钓鱼网站的快捷方式, 劫持杀毒软件进程, 并通过用户的 QQ 迅雷账号实现在我传播电脑一旦中毒, 用户将面临电脑运行缓慢网络资源被大量占用遭遇网络钓鱼诈骗等风险表 1: 活跃网络病毒 TOP5 4.3 本月恶意代码捕获和传播情况以下表 2 为中国反病毒联盟 (ANVA) 近期监测发布的散布恶意代码的 URL, 登陆这些 URL, 会弹出下载指令, 如点击下载, 将使用户主机感染恶意程序 exe 第 10 页

12 表 2: 恶意 URL 列表 4.4 本月钓鱼网站统计情况本月钓鱼网站 Top5:( 注意 : 以下网址或带有病毒, 请不要点击 ) 序号钓鱼类型钓鱼 URL 危害 1 假冒医药类假冒我是歌手类假冒工行及中移动类 4 假冒购物类 5 假冒谷歌邮箱及腾讯软件类 hares/ 表 3: 本月钓鱼网站 TOP5 4.5 本月重要漏洞修补信息骗取用户银行卡号密码及隐私虚假中奖信息, 诱骗用户汇款骗取用户账号密码及个人隐私骗取用户账号及密码骗取用户账号及密码 ( 一 )IBM Java SDK 远程信息泄露漏洞的补丁第 11 页

13 IBM SDK Java Technology 是美国 IBM 公司的一款 Java 标准开发工具包 (SDK) IBM Java SDK 存在远程信息泄露漏洞允许攻击者利用此漏洞在应用程序上下文中以更高权限执行任意代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : rity_update_february_2015 ( 二 )MyBB 存在未明漏洞的补丁 MyBB( 又名 MyBulletinBoard) 是 MyBB 团队开发的一套用 PHP 和 MySQL 开发的免费且基于 Web 的论坛软件该软件具有简单易用支持多国语言可扩展等特点 MyBB 之前版本中存在安全漏洞目前没有详细的漏洞描述目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : released-feature-update-security-maintenance-release/ ( 三 )EMC Secure Remote Services Virtual Edition 命令注入漏洞的补丁 EMC Secure Remote Services Virtual Edition(ESRS VE) 是美国易安信 (EMC) 公司的一套用于在 EMC 客户服务和终端用户的 EMC 产品及解决方案之间提供双向远程连接的远程服务虚拟版软件 EMC Secure Remote Services Virtual Edition 存在命令注入漏洞, 允第 12 页

14 许远程攻击者利用漏洞执行任意代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 四 )Apache Camel XPath 任意文件读取漏洞的补丁 Apache Camel 是 Apache 基金会下的一个开源项目, 它是一个基于规则路由和中介引擎, 提供企业集成模式的 Java 对象的实现, 通过应用程序接口 ( 或称为陈述式的 Java 领域特定语言 (DSL)) 来配置路由和中介的规则 Apache Camel XPath 处理非法 XML 字符串或 XML GenericFile 对象存在安全漏洞, 允许远程攻击者通过 XML 外部实体声明来读取任意文件目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : ( 五 )WordPress WPML 插件 SQL 注入漏洞的补丁 WordPress 是 WordPress 软件基金会的一套使用 PHP 语言开发的博客平台, 该平台支持在 PHP 和 MySQL 的服务器上架设个人博客网站 WPML 是其中的一个多语言插件 WordPress WPML 插件之前版本中存在 SQL 注入漏洞, 该漏洞源于 comments/feed URI 未能充分过滤 wp-link-ajax 操作中的 HTTP Referer 头远程攻击者可借助 lang 参数利用该漏洞执行任意 SQL 命令目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 第 13 页

15 ( 六 )OpenSSL 'EVP_DecodeUpdate' 拒绝服务漏洞的补丁 OpenSSL 是一种开放源码的 SSL 实现, 用来实现网络通信的高强度加密, 现在被广泛地用于各种网络应用程序中 OpenSSL 存在拒绝服务漏洞由于位于 base64-decoding 中 crypto/evp/encode.c 内的 EVP_DecodeUpdate 函数内的整数下溢远程攻击者通过构造的 base64 数据触发缓冲区溢出, 此漏洞可导致内存破坏及程序崩溃目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : h=d0666f289ac013094bbbf547bfbcd616199b7d2d ( 七 )PHP 堆缓冲区溢出漏洞的补丁 PHP 是一种通用开源脚本语言 PHP 及之前版本中的 enchant_broker_request_dict() 函数存在堆缓冲区溢出漏洞, 远程攻击者可利用此漏洞覆盖 4 个字节的堆缓冲区, 造成拒绝服务或执行任意代码目前, 供应商发布了安全公告及相关补丁信息, 修复了此漏洞补丁链接 : 5 业界动态 5.1 CNCERT/CC 圆满完成 2015 年 APCERT 应急演练 2015 年 3 月 18 日, 国家计算机网络应急技术处理协调中心 (CNCERT/CC) 参加了亚太计算机应急响应组织 (APCERT) 发起举办的 2015 年亚太地区网络安全应急演练, 圆满完成了各项演练任务第 14 页

16 2015 年 APCERT 演习的主题是超越传统来源的网络攻击演练的核心内容是, 通过与本地和国际间各计算机安全应急响应组织的协作, 有效阻止利用家庭路由器漏洞发起的针对政府的大规模网络攻击行为此次演练模拟的场景是,CERT 接收到政府网站投诉, 称其遭受到大规模网络攻击, 导致用户无法访问接到投诉后,CERT 立即展开分析, 发现由于某家庭路由器存在固件漏洞, 而用户在手动安装补丁的过程中, 误访问了攻击者预设的放马网站, 导致用户电脑感染恶意木马程序, 从而被恶意 IP 地址控制发起针对政府网站的攻击 CERT 组织立即向相应运营商和国际计算机应急响应组织发布预警信息和处置请求, 通知其处理恶意 IP 地址, 从而有效阻止了攻击行为本次演练旨在检验亚太地区的 CERT 组织协作应对网络攻击的能力, 共有来自 19 个经济体 ( 澳大利亚孟加拉国文莱中国中国台北中国香港印度印尼日本韩国老挝中国澳门马来西亚蒙古缅甸新加坡斯里兰卡泰国和越南 ) 的 25 个 CERT 团队参加了此次演习此次演练第四次邀请了伊斯兰计算机应急响应合作组织 (OIC-CERT) 成员 ( 埃及摩洛哥和突尼斯 ) 的 3 个 CERT 团队参加本次演练的事件响应由多个组织协作完成, 反映了 APCERT 各成员在网络安全事件响应方面的高度合作和事件分析处置能力 CNCERT/CC 积极参与了演练全过程, 并圆满完成了演练任务当前, 跨境网络安全和攻击事件持续增多, 需要各国共同应对, 进一步开展多形式多渠道多层次的网络安全国际交流与合作因此,CNCERT/CC 积极参加与网络安全相关的重要国际或区域性合作, 第 15 页

17 这是 CNCERT/CC 连续十二年参加 APCERT 应急演练通过此次演练, CNCERT/CC 提高了对网络攻击事件的应对分析和处理能力, 加强了与亚太地区 CERT 组织的交流与协作 5.2 省委网信办召开网信工作座谈会 3 月 19 日, 省委网信办召开网信工作座谈会, 省委网信领导小组成员单位省委和省级国家机关有关部门信息化业务部门负责人, 各市宣传网信和信息化主管部门负责人参加了会议会议学习贯彻了中央和省委有关精神, 总结回顾了 2014 年全省网络安全和信息化工作, 对 2015 年全省网信工作进行了安排部署省网信办主任孙琳指出, 过去一年, 在省委和省委网信领导小组坚强领导下, 网信工作全省一盘棋的格局正在形成策划开展了网络名人丝路行从企业看信心等一系列主题宣传活动, 阅读点击量达 5.3 亿之多, 网上陕西声音进一步放大 ; 强化网络舆论引导, 稳妥处置敏感热点事件 ; 加大依法管网力度, 网络环境进一步净化 ; 加快推进信息化发展, 有力保障网络安全孙琳强调,2015 年陕西省网络安全和信息化工作, 将以建设网络强省为目标, 抓好发展和安全两件大事, 加强统筹规划和顶层设计, 积极编制信息化与工业化整合农业农村信息化电子商务网络安全和新媒体发展等十三五专项规划 ; 组织开展新媒体看陕西南水北调陕西贡献法治陕西建设十二五发展成就等主题宣传, 大力传播网上正能量 ; 坚持依法治网, 强化网络管理, 出台陕西省域内网站管理办法等制度法规, 落实身份管理分类管理记者第 16 页

18 证管理等制度, 开展打击网络敲诈和有偿删帖等专项整治行动 ; 抢抓机遇大力发展信息网络经济, 加快推进数字陕西 - 智慧城市网络基础设施等建设, 积极推进云计算大数据智能化等产业发展 ; 加强网络安全审查监管, 开展网络安全应急演练和行业网络安全技能竞赛, 坚定不移维护网络安全 ; 继续实施网络秦军建设工作, 大力加强网络队伍建设 5.3 陕西互联网应急中心举行安全信息通报成员单位授牌仪式 3 月 20 日上午, 陕西互联网应急中心举行了 2015 年度网络安全信息通报成员单位授牌仪式今年, 为加强网络安全资源共享, 形成合力, 为我省网络信息安全工作提供更有力保障, 陕西互联网应急中心积极与相关信息技术公司合作, 选取了杭州安恒信息技术有限公司北京瑞星信息技术有限公司西安瑞天信息安全技术有限公司北京神州绿盟科技有限公司西安四叶草信息技术有限公司深圳市深信服电子有限公司北京天融信科技有限公司西安分公司南京铱迅信息股份有限公司和北京知道创宇信息技术有限公司等 9 家企业作为信息通报成员单位, 以进一步完善我省网络安全信息通报支持体系仪式上, 陕西互联网应急中心主任尚凯莺同 9 家单位签署了合作框架协议, 明确了各单位在合作期内的权利与义务 9 家单位纷纷表示, 一定要发挥自身技术优势, 为应急中心提供更加全局更为及时的网络安全信息, 切实提高我省的网络安全预警研判和通报工作力度, 更好地支撑服务于我省网络安全保障工作第 17 页

19 5.4 上海加快完善信息安全保障体系推动地方立法 3 月 5 日, 上海市智慧城市信息安全保障工作会议举行会议表示, 面对信息安全事件高发的新常态, 上海市将加快完善信息安全保障体系, 推动个人信息保护和关键信息基础设施防护等地方立法据分析, 目前上海的信息安全工作面临四方面挑战 : 一是中央对上海提出了建设具有全球影响力的科创中心的要求 ; 二是城市运行已高度依赖网络和信息系统, 信息安全事件高发将成为新常态 ; 三是移动互联网物联网大数据等新技术将使信息安全面临新情况 ; 四是市民对打击涉网犯罪保护个人信息安全等方面提出了更多新期待面对挑战, 上海将重点做好政府公共数据资源开放网上政务大厅信用报告在线查询等重点项目的安全保障, 加强基础网络重要网站和信息系统城市生命线系统及重要工控系统的梳理和检查此外, 上海市还将加快推动立法, 营造良好的社会环境 ; 并通过自主创新技术的转化应用吸引信息安全领军人物来沪发展等举措, 充分发挥各类市场主体对于保障信息安全的作用 5.5 日本多网站遭黑客攻击现疑似极端组织旗标识据日本媒体报道, 当地时间 11 日, 日本北海道留寿都村的留寿都度假村东京府中市的室内五人足球队府中运动员 FC 等日本全国多个企业和团体的官方主页遭到网络攻击, 网页内容被篡改, 出现疑似极端组织伊斯兰国旗帜的标识报道称, 此外, 福冈市的相关团体及兵库县西宫市的西宫观光协会等的主页也遭到相同篡改, 警方正展开调查第 18 页

20 警察厅的分析显示, 遭篡改的网站大多使用了被称为 Fancybox For WordPress 的管理软件该软件的旧版本曾被指出存在非管理者也能改写网页的缺陷, 有可能被用于不良目的警察厅呼吁升级到最新版本据留寿都度假村的运营商札幌市旅游公司加森观光介绍,8 日中午 12 点左右, 该公司职员发现海外合作机构等多个链接页面中出现类似伊斯兰国旗帜的图像, 上面写着被伊斯兰国网络攻击 5.6 英国政府公布网络安全学徒计划英国内阁大臣弗朗西斯莫德近日公布了一系列鼓励年轻人加入网络安全事业的举措按照英国的国家网络安全计划 (National Cyber Security Programme), 英国政府将与多方组织合作提供一定数量的学徒培训机会, 从而增加公务员队伍中网络专家的数量, 同时还将在继续教育和高等教育中设置网络安全培训课程英国政府在公务员快速通道学徒项目 (Civil Service Fast Track Apprenticeship Scheme) 中增加了网络安全培训, 并且在科技雇主合作平台 (Tech Partnership) 的支持下创建了网络安全培训框架科技雇主合作平台是一个由企业雇主搭建的网络平台, 致力于加速全球数字经济增长该平台的网络专家学徒培训计划旨在将年轻一代培养成网络入侵分析师, 并输送到网络安全运行岗位该培训计划首批招募工作有望于 2015 年秋季启动第 19 页

21 为鼓励继续教育学院和学校重视网络安全教育, 英国还推出了一些教育计划从 2016 年 9 月起, 网络安全知识技能将成为取得计算机及数字化相关的继续教育资格证书的关键考核因素, 这意味着 16~19 岁的学生如果选择此类专业将接受网络安全方面的基础知识教育此外, 从 2016 年起, 英国工程技术学会将网络安全列为学士学位课程的必要组成部分此前, 英国计算机协会已经将安全方面的课程列为获取计算机领域学位的必要学科第 20 页

22 术语解释 : 漏洞 : 指信息系统中的软硬件或通信协议中存在缺陷或不适当的配置, 从而可使攻击者在未授权的情况下访问或破坏系统, 导致信息系统面临安全风险恶意代码 : 是指在未经授权的情况下, 在信息系统中安装执行以达到不正当目的的程序僵尸网络 : 僵尸网络是被黑客集中控制的计算机群, 其核心特点是黑客能够通过一对多的命令与控制信道操作感染僵尸程序的主机执行相同的恶意行为, 如可同时对某目标网站进行分布式拒绝服务攻击, 或发送大量垃圾邮件等拒绝服务攻击 : 指向某一目标信息系统发送密集的攻击包, 或执行特定攻击操作, 以期致使目标系统停止提供服务网页篡改 : 指恶意破坏或更改网页内容, 使网站无法正常工作或出现黑客插入的非正常网页内容恶意链接 ( 暗链 ): 也称为黑链, 被插入后将会被搜索引擎降权 ; 对网站访问者造成不良影响 ; 将会协助恶意网站 ( 可能为钓鱼网站反动网站赌博网站等 ) 提高搜索引擎排名, 也意味着能被篡改页面网络仿冒 : 指通过构造与某一目标网站高度相似的页面 ( 俗称钓鱼网站 ), 并通常以垃圾邮件即时聊天手机短信或页面虚假广告等方式发送声称来自于被仿冒机构的欺骗性信息, 诱骗用户访问钓鱼网站, 以获取用户个人私密信息 ( 如银行帐号和账户密码 ) 第 21 页

23 网页挂马 : 指通过破坏网页并植入恶意代码或链接, 致使用户计算机在访问页面时被植入恶意代码网站后门 : 指黑客在网站的特定目录中上传远程控制页面从而能够通过该页面秘密远程控制网站服务器的攻击事件 0Day: 指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息 APT 攻击 : 高级持续性威胁 (Advanced Persistent Threat, APT),APT 是黑客以窃取核心资料为目的, 针对客户所发动的网络攻击和侵袭行为这种行为往往经过长期的经营与策划, 并具备高度的隐蔽性 APT 的攻击手法, 在于隐匿自己, 针对特定对象, 长期有计划性和组织性地窃取数据, 这种发生在网络空间的偷窃资料搜集情报的行为, 就是一种网络间谍的行为域名劫持 : 是通过拦截域名解析请求或篡改域名服务器上的数据, 使得用户在访问相关域名时返回虚假 IP 地址或使用户的请求失败非授权访问 : 指没有访问权限的用户以非正当的手段访问数据信息非授权访问事件一般发生在存在漏洞的信息系统中, 黑客利用专门的漏洞利用程序 (Exploit) 开获取信息系统访问权限路由劫持 : 路由劫持是通过欺骗方式更改路由信息, 以导致用户无法访问正确的目标, 或导致用户的访问流量绕行黑客设定的路径, 以达到不正常的目的第 22 页

24 关于我们 : 国家互联网应急中心是国家计算机网络应急技术处理协调中心的简称 ( 英文为 CNCERT 或 CNCERT/CC), 成立于 1999 年 9 月, 是一个非政府盈利的网络安全技术协调组织, 主要任务是 : 按照积极预防及时发现快速响应力保恢复的方针, 开展中国互联网网络安全事件预防发现预警和协调处置等工作, 以维护中国公共互联网环境的安全保障基础信息网络上重要系统的运行国家计算机网络应急技术处理协调中心陕西分中心 ( 简称陕西互联网应急中心或 SNCERT) 作为国家互联网应急中心在陕的分支机构, 根据业务范围开展陕西省内互联网网络安全事件的预防发现预警和协调处置等工作, 并负责编制印发陕西省互联网网络安全情况通报的具体工作联系我们 : 联系人 : 戴小平李相阳电话 : 传真 : 网址 : 第 23 页

1 情况综述 2015 年 2 月, 我省互联网络总体运行情况良好, 未发生较大以上网络安全事件根据监测分析,2015 年 2 月, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数

1 情况综述 2015 年 2 月, 我省互联网络总体运行情况良好, 未发生较大以上网络安全事件根据监测分析,2015 年 2 月, 我省被境外通过木马僵尸程序控制的主机 ( 受控端 )IP 数陕西省互联网网络安全情况月报 2015 年 2 月 ( 第 W002 期 ) 总第 14 期陕西省通信管理局国家计算机网络应急技术处理协调中心陕西分中心本期目录 1 情况综述... 1 2 安全事件分析... 1 2.1 木马僵尸网络事件分析... 1 2.2 飞客蠕