2014年上半年教育網安全運行匯總

文/鄭先偉

2014年上半年教育網安全運行匯總

文/鄭先偉

高校網站安全形勢不容樂觀

2014年上半年教育網整體運行平穩，未發生影響整個網絡運行的安全事件，不過整體網絡的安全形勢依然不容樂觀。從上半年監測到的各類安全事件來看，針對網絡基礎設施的攻擊數量正在增多，而利用基礎網絡設施發起的攻擊數量也在增多。網站安全依然是各大院校的安全薄弱點，除二級院系的主頁外，各類校內業務系統也正在頻繁地被攻擊。

安全投訴事件統計及攻擊態勢分析

2014年上半年CCERT受理的安全投訴事件數量整體呈下降趨勢，但是網站攻擊類的安全事件數量呈上升趨勢。

以下是各類安全投訴事件特征分析：

垃圾郵件投訴——垃圾郵件的投訴數量依然是最多的，不過數量和在整體事件中的占比呈繼續下降的趨勢。垃圾郵件數量減少一方面得益于郵件服務器端更嚴格地控制，另一方面也是因為一些新的傳播方式（如微博、微信等）的出現使得垃圾郵件的廣告效應大不如前。

圖1 2014年上半年安全投訴事件統計

端口掃描——端口掃描的目標端口依然以SSH服務的22端口居多，其次是80端口。不過值得注意的是一些基礎網絡服務的端口正在成為新的掃描重點，如DNS服務的UDP 53端口，NTP服務的UDP 123端口等。

網站漏洞——今年年初我們開始跟一些第三方的安全平臺合作，所以相關的網站漏洞的投訴事件增多。這些網站中存在的安全漏洞主要包括SQL注入、XSS跨站腳本攻擊漏洞、權限控制錯誤導致的越權訪問或是任意文件的上傳和下載、網站存在弱口令用戶等。其中SQL注入漏洞是存在數量最多的漏洞，其次是權限控制漏洞，存在弱口令的網站數量也不少。隨著各種SQL注入攻擊工具的自動化程度的進一步提升，原本相對復雜的攻擊過程變得只需一兩條命令就能完成，而無需攻擊者了解任何數據庫的原理。攻擊的簡單化和成功率高極大地提升了一些初學者參與攻擊的興趣。動態網站由于需要跟數據庫進行數據交互，或多或少的都會存在注入點（除非完全嚴格按照規范開發的），只是有些安全性差的注入點到處都是，而安全性較好的注入點隱藏得比較深，但是由于有了自動測試工具，這類隱藏的注入點也很容易被掃出來。所以要完全杜絕SQL注入攻擊只有兩種方法，一種是放棄使用動態頁面，另一種則要求整個網站的開發過程中完全遵照安全開發標準來開發。

系統攻擊——2014年上半年，教育網內的系統攻擊事件呈上升趨勢，容易被入侵的依然是各類服務器系統，尤其是Web服務器。在被入侵的服務器中，利用Web 80端口入侵的最多，其次是SSH的22端口。前者多數利用了Web應用程序中的漏洞，而后者則是依靠猜測用戶弱密碼來進行攻擊，并且會在攻擊成功后使用有后門的SSH服務替換原有的服務，從而達到竊取更多密碼的目地。從上半年我們收到的系統入侵案例來看，學校的一些專有業務系統（如教務系統、在線選課系統、資產管理系統、項目管理系統等）被攻擊的風險正在增大，這些系統中包含了大量學生及教工的身份信息，這些信息很多已經被攻擊者竊取。

釣魚網站——網絡欺詐依然是以仿冒國外的在線銀行和購物網站的居多，仿冒國內購物網站和銀行的數量較少。國內被仿冒更多的是一些熱門活動的中獎網站或是六合彩網站。

拒絕服務攻擊——拒絕服務攻擊在今年上半年有抬頭趨勢，其中DNS和NTP放大攻擊呈爆發趨勢。在2014年2至3月期間，我們檢測到教育網多起NTP放大攻擊，涉及的攻擊源包括各類NTP專用服務器以及一些開放了NTP服務的網絡設備。NTP放大攻擊利用了NTP服務的查詢漏洞，能將攻擊流量放大到一百倍，要想防范這類攻擊，需要對NTP服務器重新配置，關閉不必要的查詢功能。除NTP放大攻擊外，在隨后的4月開始，我們又檢測到多起利用DNS服務的放大攻擊。通過分析發現這類攻擊主要利用了DNS服務器的遞歸查詢功能來攻擊。要防止自己的DNS被用來做放大攻擊只需在權威解析服務器上關閉遞歸查詢功能或是在遞歸查詢服務器上限制提供的遞歸查詢服務的地址范圍就可以了。需要特別說明的是，如果您的DNS服務器上既提供權威解析又提供遞歸查詢服務的話，僅僅通過限制遞歸查詢的服務范圍是無法阻擋這類攻擊的，因為雖然限制了遞歸查詢的來源地址范圍，由于權威解析無法限制抵制范圍，攻擊者依然可以利用DNS緩存里的數據發動攻擊。這類提供雙服務的DNS服務器要想杜絕放大攻擊，需要安裝其他的安全插件（具體什么插件取決于你所使用的DNS軟件）來防范。我們建議是權威解析功能和遞歸查詢功能最好分開。

上半年安全漏洞數據分析

2014年上半年新增安全漏洞3917個（數據來源CNVD漏洞庫），與2013年上半年的3823個基本持平。

漏洞影響的對象分布如圖2所示。

從上述數據我們可以看出，上半年新增的漏洞有如下特征：

圖2 2014年上半年新增安全漏洞

應用程序漏洞數量占了整個漏洞的數量的一大半。這里面包括各類應用程序、瀏覽器、辦公軟件等漏洞。上半年最值得關注的應用軟件漏洞是OpenSSL的心臟滴血漏洞。

Web應用漏洞已超過操作系統漏洞成為數量第二多的類型，且百分比從去年上半年的百分之十七增長到了現在的百分之十九。上半年針對院校的專有系統（如：教務系統、財務系統、一卡通系統、招生系統、項目管理系統等）的漏洞曝出率繼續呈增長趨勢。這些專有系統通常都有較長的開發周期，在開發之初沒有有效的控制安全風險導致存在各類安全隱患，之前由于這些系統都是在相對獨立的環境中運行，使得風險沒有被暴露出來，但隨著學校各業務系統的融合及一體化，這些潛在的漏洞也被暴露在網絡中，任何一個系統的漏洞都可能會影響到整個學校的業務流程。

網絡設備的漏洞數量呈上升趨勢，這也印證了前面所說的針對網絡基礎設備的攻擊數量呈增多趨勢 。由于網絡設備是用戶連接網絡的出口，控制了網絡設備實際上就相當于控制所有使用這個設備上網的用戶。這里特別要提醒的就是那些即插即用的網絡設備，如辦公室里使用的小型路由器及個人使用的無線路由器，這些設備通常都使用統一的默認配置，很容易被人攻擊利用。

下半年安全趨勢展望

信息竊取會繼續成為黑客攻擊的主要目標，網站安全依然是各學校要面臨的主要安全問題。針對學校專有系統的攻擊可能會成為未來一段時間的熱點，這些專有系統上用戶信息將是黑客攻擊竊取的目標。另一方面，對學?；A網絡設備的滲透攻擊會增多，相關的攻擊可能導致更多的用戶信息被竊取。而用戶濫用無線設備也可能會帶來更多信息泄露風險。

（作者單位為中國教育和科研計算機網應急響應組）

互聯網大會安全概念成焦點 移動互聯安全受重視

作為一年一度的中國互聯網盛事，“創造無限機會打造新時代經濟發展引擎”為主題的2014年中國互聯網大會8月26日在北京召開，本次大會除了互聯網“大佬”云集外，身為管理部門的國家工信部也給予了高度重視，工信部部長苗圩在為大會致辭時表示，信息通信技術與產業技術融合創新，以前所未有的廣度和深度推動了生產方式、發展模式的深刻變化，但網絡與信息安全的問題也日益突出，復雜性、危害性進一步顯現，已經成為事關國家的政治安全、經濟安全、社會安全、文化安全和國防安全的重大問題，引起了各方的廣泛關注。

國家信息安全加大監管力度

苗圩在2014年中國互聯網大會上特別強調，習近平總書記講話曾提過“沒有網絡安全就沒有信息安全，沒有信息化就沒有現代化”。要從國際、國內的大勢出發、總體布局、統籌各方、創新發展，努力把我國建設成為網絡的強國。

而在今年以來，工信部也在不斷加強國家信息安全方面的監管力度，今年5月，中央國家機關政府采購招標通知顯示，要求采購中“所有計算機類產品不允許安裝 Windows 8操作系統”。而到了8月，包括卡巴斯基和賽門鐵克在內的所有國外安全廠商都被取消了采購資質，在今年殺毒軟件類產品采購名單中，僅360、冠群金辰、江民科技、瑞星和金山五個國產品牌入選。

移動互聯網安全更加受重視

隨著近些年智能手機的不斷普及網絡技術的逐步提升，隨之而產生的手機安全問題也日益凸顯，目前主要的手機安全威脅主要有針對手機硬件的惡意程序、吸話費吸流量惡意程序、騷擾及詐騙短信和電話、個人隱私竊取、銀行卡信息竊取等。而且移動互聯網對各行業的滲透越來越高，包括金融、水利、電 力、政務等領域，再加上信息安全事件頻發，互聯網安全引起政府部門的高度重視。而隨著移動互聯網與網民日常消費生活更加緊密后，移動支付和吸費木馬等的威脅，成為了移動互聯網中最大的安全隱患。

（來源：南方日報）