2016 年 3 月第 3 周 (2016 年 3 月 7 日 年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个 辽宁省被篡改网站数量为 33 家, 全国排名 13 位

2016 年 3 月第 2 期 信息安全态势周报 辽宁省信息安全与软件测评认证中心

2016 年 3 月第 3 周 (2016 年 3 月 7 日 -2016 年 3 月 13 日 ) 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个 辽宁省被篡改网站数量为 33 家, 全国排名 13 位 辽宁省政府机构有 3 家网站被篡改, 全国排名 8 位 本周共收集 整理信息安全漏洞 119 个, 其中高危漏洞 68 个 中危漏洞 46 个 低危漏洞 5 个 漏洞平均分值为 7.07 分 本周收录的漏洞中, 涉及 0day 漏洞 8 个 ( 占 7%) 本周,Apache Jetspeed 以及 ISC BIND 等广泛应用的 WEB DNS 系统软件存在高危漏洞, 可对域名解析系统以及大量的 Web 服务器构成拒绝服务或远程控制安全风险, 同时本周也是微软例行的安全补丁周, 用户需要及时更新补丁 本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1214 个, 与上周 (1945 个 ) 环比下降 38% 本周境内感染网络病毒的主机数量约 80.4 万个, 其中包括境内被木马或被僵尸程序控制的主机约 54.9 万以及境内感染飞客 (conficker) 蠕虫的主机约 25.5 万 二〇一六年三月十八日

目录 1. 安全态势... 1 1.1 本周网站安全概况... 1 2. 漏洞通报... 2 2.1 漏洞概括... 2 2.1.1 漏洞数量... 2 2.1.2 漏洞产生原因... 3 2.1.3 漏洞引发的威胁... 3 2.2 漏洞预警... 4 2.2.1 Roundup 信息泄露漏洞... 4 2.2.2 Django 'django.utils.http.is_safe_url() 安全绕过漏洞... 4 2.2.3 Drupal 跨站脚本漏洞 (CNVD-2016-01562)... 5 2.2.4 ATutor 跨站脚本漏洞... 5 3. 病毒通报... 6 3.1 网络病毒概况... 6 3.2 本周网络病毒预警... 7 4. 安全资讯... 8 4.1 用好大数据须有大智慧... 8 4.2 大数据能帮我干什么? 代表建议中的数据应用... 11 4.3 张德江谈全国人大常委会今后一年主要任务 : 将制定网络安全法等法案... 13

1. 安全态势 1.1 本周网站安全概况 本周安全指数为中 本周监测发现境内被篡改网站数量为 4018 个 ; 境内被植入后门的网站数量为 1767 个 ; 针对境内网站的仿冒页面数量为 4043 个 全国排名 13 位 辽宁省有 3 家政府机构网站被篡改, 全国排名 8 位本周境内被篡改政府网站 (GOV 类 ) 数量为 69 个 ( 约占境内 1.7%), 较上周环比上升了 21.1%; 境内被植入后门的政府网站 (GOV 类 ) 数量为 81 个 ( 约占境内 4.6%), 较上周环比上升了 26.6%; 针对境内网站的仿冒页面涉及域名 3491 个,IP 地址 1094 个, 平均每个 IP 地址承载了约 4 个仿冒页面 第 1 页 / 共 13 页咨询热线 :024-23447407/08/11/12

2. 漏洞通报 2.1 漏洞概括 本周漏洞趋势图 本周信息安全漏洞威胁整体评价级别为高 本周中威漏洞 46 个 高威漏洞 67 个, 仅 3 月 11 日一天就爆发了 32 个高威漏洞, 而中危漏洞主要集中于 3 月 8 日和 3 月 10 日 本周三 四是是漏洞最活跃的阶段 2.1.1 漏洞数量 本周, 收录了 119 个漏洞 其中应用程序漏洞 88 个, 操作系统漏洞 16 个, 网络设备漏洞 10 个,Web 应用漏洞 4 个, 安全产品漏洞 1 个 第 2 页 / 共 13 页咨询热线 :024-23447407/08/11/12

2.1.2 漏洞产生原因 因设计错误产生的漏洞 108 个, 占 92% 因输入验证错误产生漏 洞 8 个, 占 7% 2.1.3 漏洞引发的威胁 漏洞引发的管理员访问权限获取 72 个, 占 61% 漏洞引发的未 授权信息泄露 23 个, 占 20% 第 3 页 / 共 13 页咨询热线 :024-23447407/08/11/12

2.2 漏洞预警 2.2.1 Roundup 信息泄露漏洞 发布时间 2016-03-8 更新时间 2016-03-8 漏洞编号 CNVD-ID CNVD-2016-01473 CVE ID CVE-2014-6276 危害级别 影响产品 漏洞描述 中 Roundup Roundup Roundup 是一套命令行 Web 和电子邮件问题跟踪系统 该 系统提供 Bug 跟踪 客户帮助台和问题管理等功能 Roundup 中存在信息泄露漏洞 攻击者可利用该漏洞获取其他 用户的敏感信息 解决方案 http://www.debian.org/security/2016/dsa-3502 2.2.2 Django 'django.utils.http.is_safe_url() 安全绕过漏洞 发布时间 2016-03-08 更新时间 2016-03-08 漏洞编号 CNVD-ID CNVD-2016-01466 CVE ID CVE-2016-2512 危害级别 中 影响产品 Django Django <1.9.3 Django Django <1.8.10 漏洞描述 Django 是 Django 软件基金会的一套基于 Python 语言的开源 Web 应用框架 该框架包括面向对象的映射器 视图系统 模板系统等 Django 1.9.3 之前版本和 1.8.10 之前版本中存在 安全漏洞, 该漏洞源于程序未能正确处理特定的 URL 攻击者 第 4 页 / 共 13 页咨询热线 :024-23447407/08/11/12

可借助特制的重定向利用该漏洞重定向到受限制的站点或执 行任意脚本代码 解决方案 https://www.djangoproject.com/weblog/2016/mar/01/securityreleases/ 2.2.3 Drupal 跨站脚本漏洞 (CNVD-2016-01562) 发布时间 2016-03-10 更新时间 2016-03-11 漏洞编号 CNVD-ID CNVD-2016-01562 BUGTRAQ ID 83333 危害级别 影响产品 漏洞描述 中 Drupal Drupal Drupal 是 Drupal 社区所维护的一套用 PHP 语言开发的免费 开源的内容管理系统 Drupal 存在跨站脚本漏洞, 允许攻 击者利用该漏洞窃取基于 cookie 的身份验证凭证, 在受影响 程序上下文中执行任意脚本代码 解决方案 https://www.drupal.org/ 2.2.4 ATutor 跨站脚本漏洞 发布时间 2016-03-10 更新时间 2016-03-11 漏洞编号 CNVD-ID CNVD-2016-01551 CVE ID CVE-2016-7711 危害级别 中 影响产品 ATutor Atutor <=2.2 漏洞描述 ATutor 是 ATutor 团队开发的一套开源的基于 Web 的学习内容 管理系统 (LCMS) 该系统包括教学内容管理 论坛 聊天室 等模块 ATutor 2.2 及之前版本中存在跨站脚本漏洞, 该漏洞 第 5 页 / 共 13 页咨询热线 :024-23447407/08/11/12

源于 popuphelp.php 脚本未能充分过滤 h GET 参数 允许 攻击者利用该漏洞注入任意 Web 脚本或 HTML 解决方案 解决方案 http://www.atutor.ca/ http://www.fiyo.org/ 3. 病毒通报 3.1 网络病毒概况 本周境内感染网络病毒的主机数量约 80.4 万个, 其中包括境内被木马或被僵尸程序控制的主机约 54.9 万以及境内感染飞客 (conficker) 蠕虫的主机约 25. 5 万 木马或僵尸程序受控主机在我国大陆的分布情况如图所示, 其中红色区域是木马和僵尸程序感染量最多的地区 辽宁省排名第一约 6.6 万个 ( 约占中国大陆总感染量的 12.1%) 浙江省排名第二约 6.5 万个 ( 约占中国大陆总感染量的 11.9%) 江苏省排名第三约 5.2 万个 ( 约占中国大陆总感染量的 9.5%) 第 6 页 / 共 13 页咨询热线 :024-23447407/08/11/12

3.2 本周网络病毒预警 放马站点是网络病毒传播的源头 本周, 监测发现的放马站点共涉及域名 154 个, 涉及 IP 地址 425 个 在 154 个域名中, 有约 39.6% 为境外注册, 且顶级域为.com 的约占 67.5%; 在 425 个 IP 中, 有约 9.4% 位于境外 根据对放马 URL 的分析发现, 大部分放马站点是通过域名访问, 而通过 IP 直接访问的涉及 4 个 IP 注 : 数据来源 CNCERT 国家互联网应急中心和 CNVD 国家信息安全漏洞共享平台 第 7 页 / 共 13 页咨询热线 :024-23447407/08/11/12

安全资讯 2016 年 2 月第 4 期 4. 安全资讯 4.1 用好大数据须有大智慧 拥有大数据是时代特征, 解读大数据是时代任务, 应用大数据是时代机遇 大数据作为一个时代 一项技术 一个挑战 一种文化, 正在走进并深刻影响我们的生活 党的十八届五中全会提出, 实施国家大数据战略 实施国家大数据战略, 必须理性认识大数据, 准确把握其带来的机遇, 科学应对其带来的挑战, 用大智慧实现大数据的大价值 理性认识大数据信息技术革命与经济社会活动的交融催生了大数据 大数据是经济社会 现实世界 管理决策的片断记录, 蕴含着碎片化信息 随着分析技术与计算技术的突破, 解读这些碎片化信息成为可能, 这是大数据成为一项新的高新技术 一类新的科研范式 一种新的决策方式乃至一种文化的原由 大数据是指数量特别巨大 种类繁多 增长极快 价值稀疏的复杂数据, 简而言之, 是 大而复杂 的数据集 作为信息资产, 大数据的价值需要运用全新的处理思维和解译技术来实现 大数据具有大价值 在日常生活中, 大数据的价值主要体现在 : 提供社会科学的方法论, 实现基于数据的决策, 助推管理革命 ; 形成科学研究的新范式, 支持基于数据的科学发现, 减少对精确模型与假设的依赖, 使过去不能解决的问题变得可能解决 ; 形成高新科技的新领域, 推动互联网 物联网 云计算等行业深入发展, 形成大数据产业 ; 成为社会进步的新引擎, 深刻改变人类的思维 生产和生活方式, 推动社会变革和进步 大数据的价值主要通过大数据技术来实现 大数据技术是基础性信息技术, 它刻画了新一代信息技术中机器与机器 机器与人之间信息交换的内容特征, 构成了现代信息技术的基本信息处理模式 因此, 大数据从信息载体这一底层捕捉到了信息化的共性基础 未来发展与普适技术 这说明, 大数据热潮的来临是一种必然, 大数据技术不会是过眼云烟 科学理解大数据的 大 数据的积累是一个从量变到质变的过程 当数据积累不够多时, 没有人能读懂这些 碎片 背后的故事 但随着数据的积累, 特 第 8 页 / 共 13 页咨询热线 :024-23447407/08/11/12

安全资讯 2016 年 2 月第 4 期 别是超过某个临界值后, 这些 碎片 整体所呈现的规律就会在一定程度上被显现出来 可以认为, 这一从量变到质变的临界值是区分数据 大 与 不大 的标准 所以, 大数据的 大 是相对的, 是与所关注的问题相关的 只有这样理解, 才能避免产生大数据能解决所有问题的误读 科学理解大数据的 复杂 由于具有海量性 快变性 异构性和分布性等复杂特性, 大数据技术是一项不断发展的技术, 并非已经成熟 这当然并不妨碍运用现有大数据技术从现实的各种大数据中获得价值, 但我们必须清楚 : 大数据的价值实现是无止境的, 大数据理论 技术和产业将相伴而行 这是大数据发展的基本形态 准确把握大机遇大数据必将引领未来生活新变化 孕育社会发展新思路 开辟国家治理新途径 重塑国际战略新格局 实施国家大数据战略, 是对大数据意义 价值与作用的深刻认识与准确把握 那么, 大数据到底能给我们带来什么机遇? 目前来看, 大数据至少能在管理创新 产业发展 科学发现 学科发展四个领域为我们带来前所未有的机遇 管理创新机遇 管理和决策问题通常是难以建模的 如今, 基于大数据和大数据技术, 人们可以使用极为丰富的数据资源对经济社会发展进行实时分析, 并帮助政府更好地对社会和经济运行作出反应 大数据技术可以帮助我们实现梦寐以求的科学决策, 实现科学决策具体化, 从而推动管理理念 方式与方法的革命 在实践中, 运用大数据对国家政策进行预评估已成为可能 产业发展机遇 大数据是解决众多国家重大现实问题的共性基础, 能够为产业发展升级提供帮助 特别是大数据技术的底层性使得它很容易与其他行业 技术嫁接, 从而形成以数据为资产 以现代信息基础设施为基础 以数据价值挖掘为创新要素的大数据产业 大数据可以为大众创业 万众创新提供绝好平台 应用好大数据这一基础性战略资源, 可以推动传统产业改造升级, 培育经济发展新引擎和国际竞争新优势 科学发现机遇 数据收集 处理与分析能力的提升, 将显著拓展人们对客观世界洞察的深度和程序化探究问题的广度 随着数据积累和计算能力的提升, 直接从大数据中获取知识成为可能 这种基于大数据分析的探究方式弥补了过去单纯依赖模型和假设解决问题方法论的不足, 形成了一种新的科学研究范式 : 基于 第 9 页 / 共 13 页咨询热线 :024-23447407/08/11/12

安全资讯 2016 年 2 月第 4 期 数据的科学发现 运用新的范式, 一些过去不能解决或解决不好的问题现在变得可能解决 学科发展机遇 大数据时代, 数理科学与人文社会科学 管理科学等学科的深度交叉融合将彻底打破和革新学科领域, 统计学面临革命, 计算科学的内涵与外延将发生重大改变 一种融合统计 计算 信息与数学的数据科学正在形成 解读大数据是时代任务 的要求也将深刻改变和影响各门学科 这一改变势必对大学的学科设置和人才培养产生重大影响, 尤其将为大学培养国家创新发展急需的人才提供难得机遇 科学应对大挑战大数据为国家创新发展带来了大机遇, 但要真正实现大数据的大价值, 特别是将大数据转化为现实生产力, 还面临一系列挑战 科学基础的挑战 对大数据而言, 分析才能出价值, 关联才能出价值 传统用于分析关联数据的统计学方法以抽样数据为对象 以样本趋于无穷的极限分布为基础 ; 而大数据所处理的对象是自然数据, 既无明确的抽样机制, 也不大可能存在稳定的极限分布 这样, 传统分析数据的科学基础遭到动摇, 必须重建统计学基础 计算基础与逻辑基础 计算技术的挑战 大数据的核心技术除了依赖解译数据自身的方法论, 采取什么样的计算架构去存储, 采取什么样的计算模式去支持快速查询与处理, 采取什么样的程序语言和算法去完成计算 分析和挖掘, 这些都面临技术上的挑战, 必须革新计算模式和计算方法 真伪性判定的挑战 大数据具有大价值是无疑的, 但如果从大数据中产生结论 形成决策的方法论基础不坚实, 直接运用大数据结论就可能是不可靠的甚至是危险的, 难免让大数据变成 大忽悠 比如, 国外一家企业发明的通过媒体 电商数据预测一个城市发生流感的大数据技术, 近来就被科学家发现存在过分高估的情况, 其原因正在于分析模型的偏差与统计科学基础的缺失 所以, 真伪性判定仍然是我们面临的一个大挑战 科学应对这些挑战, 需要大智慧 当前从政府层面看, 应着力抓好以下 5 个方面 : 抓宏观规划与政策引导 国家大数据战略让我们明确了发展与运用大数据是国家意志, 是实施创新驱动发展战略的重大举措之一 这个战略应由一系列的规 第 10 页 / 共 13 页咨询热线 :024-23447407/08/11/12

安全资讯 2016 年 2 月第 4 期 划 政策 布局等构成 国家应在战略上特别是在促进数据资源开放和共享 重点行业先行 产业转型升级等方面统筹规划 出台政策 扎实推进 抓数据资源管理与国家数据资源库建设 在 人人都产生并希望拥有数据 人人都希望从数据中获益 的大背景下, 必须强化数据是国家资源的意识, 重视建立国家数据资源库 这样的建设, 首先应作为一项国家工程, 统一规划 ; 其次应切实解决分级 分层 分行业建设与管理体制问题 当前, 应特别注意大数据资源意识所诱发的行业数据保护以及数据资源流失与滥用问题, 切实将大数据资源用于服务人民 服务国家建设 抓行业引领与重点示范工程 实施国家大数据战略, 可从抓重点行业 重点工程入手 一些行业如电力 交通 金融服务 互联网 制造业等, 对国家经济发展影响巨大, 数据积累丰富, 并且有专属性 共享相对容易等特点 率先推动这些行业运用大数据加快发展, 有重要的带动性和示范性 另外, 作为整体布局, 在国家层面推动一批大数据应用工程也是重要和必要的 例如, 推进税务 财政 投资监管等大数据应用工程, 都可能产生意想不到的效果 抓共性基础与核心技术研发 投资大数据 应用大数据已是当下大众创业 万众创新的热情所在与价值选择 谁为这样的大众热情负责? 谁来保证各行各业大数据应用的健康可持续发展? 这无疑是国家责任 担负这一责任, 最重要的就是推动大数据科学基础的夯实和大数据关键技术的研发 我们不能再走 拿来主义 的老路, 不能没有规划而任其自由发展 国家应组织力量, 下大力气解决大数据应用的共性基础和关键技术突破 抓大数据人才队伍培养 推动大数据产业发展, 提升国家大数据运用能力, 人才是第一位的 懂数据 会分析 的复合型人才缺乏是当下国内外面临的共同困难 在这种情形下, 我国应发挥体制优势, 迅速动员各高校 研究机构快速设立一批适应各层次需求的大数据人才培养项目, 加快形成支撑国家大数据战略实施的强大科学研究与应用人才队伍 4.2 大数据能帮我干什么? 代表建议中的数据应用 新华社北京 3 月 12 日电题 : 大数据能帮我干什么? 代表建议中的数据应用 第 11 页 / 共 13 页咨询热线 :024-23447407/08/11/12

安全资讯 2016 年 2 月第 4 期 今年两会, 大数据 是 热词 记者梳理发现, 截至 12 日, 在中国人大网公开的代表建议中涉及 大数据 的有 140 条左右, 内容涵盖医疗 打拐 农业及安全等许多领域 帮助获救被拐儿童找到亲生父母拐卖儿童犯罪严重侵犯被拐卖儿童的人身权利, 践踏公序良俗 公安部自 2009 年建立全国打拐 DNA 信息库, 以方便被解救儿童比对找到亲生父母, 但目前信息比对效果有限 全国人大代表 中国移动浙江公司董事长郑杰建议, 完善全国统一的打拐 DNA 数据库 ; 积极引入大数据分析, 深入挖掘被拐儿童的案件特征 儿童行为特征等规律, 为打击犯罪提供新手段, 并让获救被拐儿童尽快找到亲生父母 重塑企业制造和管理大数据可为产品 服务和商业模式创新等提供有效支撑 但相较于消费和服务领域, 工业领域大数据对重塑企业制造和管理特别是智能制造的驱动作用尚未充分显现 全国人大代表 安徽省经信委主任牛弩韬建议, 加强顶层设计, 明确工业大数据应用的技术 标准 产业, 制定发展路径 ; 设立国家工业大数据发展专项基金 ; 实施试点示范项目, 探索大数据产业的新模式 新业态等等, 以加快工业大数据应用 让农机工业实现智能化农业生产精准化 智能化已成发展趋势, 农机工业需以信息化技术为先导, 通过农业装备的技术进步和产品创新, 实现智能控制 多机物联 精准作业 产品决策等 中国一拖集团有限公司董事长赵剡水等 6 名代表建议, 国家应制定智能农机大数据应用规划, 建立农机行业统一的信息管理平台, 实现我国农业和农机大数据的协同管理和综合利用 ; 加大对农机智能化技术发展和产品研发的政策支持等, 开展智能农机大数据应用 提升精准扶贫工作水平为解决一些地方扶贫开发中贫困人口底数不清 情况不明 针对性不强等问题, 基层对贫困户和贫困村进行了建档立卡 但基层往往以 小本本 方式记录, 珍贵的一手资料不仅分散, 信息还不完整 难以整合 第 12 页 / 共 13 页咨询热线 :024-23447407/08/11/12

安全资讯 2016 年 2 月第 4 期 全国人大代表 北京市科委主任闫傲霜建议, 以扶贫开发建档立卡工作为数据基础, 建立民政等多部门通用的扶贫工作信息平台 ; 将全国扶贫信息网络系统在一定程度上对社会开放, 以便于专业机构作数据分析, 以利于社会团体 企业等靶向帮扶, 提升精准扶贫工作水平 预防慢性病利用可穿戴式设备, 结合大数据分析, 进行连续性的医疗监测已成为可能 人们越来越希望提前知道自己身体潜在的隐患, 提前启动医疗处置, 避免形成慢性病 全国人大代表 杭州市第一人民医院肾内科主任王鸣建议, 对心脑血管疾病 糖尿病 恶性肿瘤 慢性呼吸系统疾病等常见多发慢性疾病, 采取系统监测统计分析, 构筑国家慢性病用户健康数据中心等, 利用大数据预防慢性病 4.3 张德江谈全国人大常委会今后一年主要任务 : 将制定网络安全法等法案 3 月 9 日下午 3 时, 第十二届全国人民代表大会第四次会议举行第二次全体会议, 听取全国人大常委会委员长张德江关于全国人民代表大会常务委员会工作的报告, 听取全国人大常委会副委员长李建国关于中华人民共和国慈善法草案的说明 张德江在报告中指出 : 将制定境外非政府组织管理法 网络安全法等法案 注 : 信息来源中央网信办官网 第 13 页 / 共 13 页咨询热线 :024-23447407/08/11/12