市重点网站运行安全分析报告

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业上海市重点网站运行安全分析报告（2013年三季度）上海市网络与信息安全应急管理事务中心二○一三年十月一、本季度信息安全态势综述（一）城域网总体信息安全状况三季度城域网未发生大规模或高危害的网络与信息安全事件。我中心通过采样监测分析发现，影响本市城域网、重要信息系统和重点网站安全的主要威胁来自于漏洞攻击和网络扫描类事件，占所有网络与信息安全事件总量的99.56%。具体来看，病毒蠕虫、拒绝服务攻击、漏洞攻击等事件量较上季度均显著降低；网络扫描类事件量较上季度有所上升，采样监测情况如下表所示（单位：次）。b5E2RGbCAP病毒蠕虫拒绝服务漏洞攻击网络扫描被控主机上季度37本季度1185665本季度监测到拒绝服务事件量较上季度下降明显，主要事件类型仍为“ICMP_固定源IP的PING_FLOOD攻击”ICMP_固定源IP的PING_FLOOD攻击同一源对一个目的的大量ICMP碎片数据包，可能造成拒绝服务。ICMP_固定源IP的PING_FLOOD攻击同一源对一个目的的大量ICMP碎片数据包，可能造成拒绝服务。ICMP（InternetControlMessageProtocol，Internet控制信息协议）是Internet控制信息协议，用于在主机和网关之间消息控制和差错报告。ICMP使用IP数据报，但消息由TCP/IP软件处理，对于应用程序使用者是不可见的。ICMP_Smurf_拒绝服务攻击应答及网络探测Smurf是一种简单但有效的拒绝服务攻击技术，它利用了ICMP。ICMP的功能之一是与主机联系，通过发送一个“回应请求”（echorequest）信息包查看主机是否有回应。最普通的ping程序就使用了这个功能。Smurf是用一个窃取的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个主机网络，这就导致所有主机所响应的那台主机并不是实际发送该信息包的那台主机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的主机网络就会在不知情的情况下进行攻击。漏洞攻击事件量也较上季度有所下降，事件类型与上季度基本一致，主要为“UDP_目的端口为0”UDP_目的端口为UDP_目的端口为0事件访问UDP的0端口导致该事件的产生，这是一个不正常的访问，暗示着非授权的网络访问或探测活动。网络扫描事件量较上季度有所上升，事件类型与上季度基本一致，主要为“ICMP_PING_事件”以及“ICMP_PING_回答事件”ICMP_PING_事件和ICMP_PING_ICMP_PING_事件和ICMP_PING_回答事件ICMP使用IP数据报，但消息由TCP/IP软件处理，对于应用程序使用者是不可见的。Ping是ICMP协议中的一类，用于查询主机是否在网上。Ping命令可以获得主机的地址等信息，是一切网络行为的开始。总体上看，本市城域网、重要信息系统和重点网站运行安全状况基本平稳，各类网络与信息安全威胁基本可控。（二）国内外重大信息安全事件动态三季度国内外发生了多起影响较大的信息安全事件，各单位应予以关注，针对性地做好信息安全防范工作。1．国际知名的服务器Nginx被曝存在缓冲区溢出漏洞，目前利用该漏洞进行网络攻击的恶意程序已经在互联网上出现。使用Nginx服务器的互联网平台将面临用户信息被盗、商业机密泄露等危险。5PCzVD7HxA2．7月，免费网络通话软件Viber遭到黑客攻击。一个自称为“叙利亚电子军团”(SyrianElectronicArmy)的黑客组织宣布，他们入侵了Viber的支持页面，并获得了一些用户的详细信息。同时Viber在苹果AppStore应用商店内的帐户也遭到攻击。jLBHrnAILg3．7月，湖南临武政府网和陕西咸阳城管局官方网站分别遭黑客攻击，网站页面被恶意篡改。4．9月，微软官方通告称，IE浏览器爆出最新0day高危漏洞，该漏洞可导致IE浏览器被“挂马”攻击，微软称该漏洞影响目前所有版本IE，并已经产生相关攻击事件，目前微软已经推出FIXIT临时方案。xHAQX74J0X5．9月，湖北省公安县人口和计划生育局官方网网遭到了黑客攻击,网站的右侧“访问统计”一栏下方被植入涉黄网页链接。LDAYtRyKfE二、本市重点网站运行安全情况（一）网站运行安全状况评估分布本季度部分单位网站进行了调整，共计监测全市204个重点网站，总体运行安全状况较好，其中运行安全状况Ⅰ级有138家，占68%，较上个季度上升8%，运行安全状况Ⅳ级有9家，占4%，较上个季度下降7%，具体情况如下图所示。各网站安全运行等级可参见本报告附录I部分。Zzz6ZB2Ltk（二）安全事件和风险情况本季度未在各重点网站发现网页篡改、信息泄露、网站挂马、域名劫持、断开链接类的网络与信息安全事件。本季度在各重点网站上共监测到122次安全风险，其中高危风险8种47次，中危风险4种41次，低危风险13种34次，共影响67家网站运行安全（38家发现高危，15家发现中危，14家发现低危）。主要风险发生情况如下表所示：dvzfvkwMI1等级风险名称影响网站数量影响网站占比总风险数占比高危跨站点脚本编制3014.71%24.59%存储型跨站点脚本编制104.90%8.20%中危启用了不安全的HTTP方法136.37%10.66%通过框架钓鱼115.39%9.02%链接注入（便于跨站请求伪造）94.41%7.38%目录列表83.92%6.56%低危发现压缩目录83.92%6.56%启用了TRACE和TRACKHTTP方法83.92%6.56%启用了MicrosoftASP.NET调试52.45%4.10%多供应商%20脚本源代码泄露31.47%2.46%发现Web应用程序源代码泄露模式20.98%1.64%本季度高危风险排前两位的是“跨站点脚本编制”、“存储型跨站点脚本编制”，与上季度相同，但影响网站数量比上季度分别下降了5.77%和0.34%。从本季度情况上看，仍约有七分之一的重点网站受高危风险“跨站点脚本编制”的影响，望各重点单位引起重视，重点排查，消除风险。rqyn14ZNXI（三）本季度主要安全风险处置方法1．跨站脚本编制/存储型跨站脚本编制一般处置方法在之前几个季度报告中已经有所建议及说明。本季度根据反馈情况发现，较多的企事业单位存在的跨站脚本编制漏洞是由于TRACE/TRACK方法没有关闭造成的。对于这种情况的跨站脚本编制漏洞，建议关闭服务器上的TRACE/TRACK方法。针对Apache，可以借助mod_rewrite模块来禁止HTTPTrace请求；针对MicrosoftIIS，可以使用URLScan工具禁用HTTPTrace请求，或者只开放满足站点需求和策略的方式。EmxvxOtOco2．启用了不安全的HTTP方法一般情况下，我们建议关闭服务器的WebDav，因为开启WevDav后，会启用一些不安全的http方法，例如DELET、COPY、MOVE、SEARCH、LOCK和UNLOCK等。对于IIS服务器环境，可以使用URLSCAN工具进行配置；对于Tomcat环境，修改web.xml文件中的代码也可以达到禁用WebDav的效果。假如已经禁用DELET、COPY、MOVE等方法，检测仍然发现“启用了不安全的HTTP方法”漏洞，建议关闭OPTIONS方法。SixE2yXPq5（四）其他风险防范提示本季度，以下风险对主流操作系统和常用应用程序影响比较严重，请各单位加强防范：1．Windows远程过程调用漏洞漏洞编号为CNNVD--206，WindowsXPSP2和SP3，WindowsServer2003SP2，WindowsVistaSP2，Wind-owsServer2008SP2和R2SP1，Windows7SP1，Windows8，WindowsServer2012，WindowsRT版本中存在安全漏洞，修复措施：。6ewMyirQFL2．ApacheGeronimoRMIClassloader安全绕过漏洞漏洞编号为CNNVD--039，IBMWASCommunityEdition版本和产品中使用的ApacheGeronimo3.0.1之前的3.x版本的JMXRemoting功能中存在漏洞。修复措施：。kavU42VRUs3．AdobeColdFusion安全绕过漏洞漏洞编号为CNNVD--208，AdobeColdFusionU-pdate11之前的10版本中存在安全漏洞。修复措施：。y6v3ALoS894．AdobeFlashPlayer缓冲区溢出漏洞漏洞编号为CNNVD--204，基于Windows平台上的AdobeFlashPlayer11.7.700.224及之前的版本和11.8.800.94之前的11.8.x版本，基于MacOSX平台上的AdobeFlashPlayer11.7.700.225及之前的版本和11.8.800.94之前的11.8.x版本,基于Linux平台上的AdobeFlashPl-ayer91及之前的版本，基于Android2.x和3.x版本平台上的AdobeFlashPlayer3及之前的版本，基于Android4.x版本平台上的AdobeFlashPl-ayer9及之前的版本中存在漏洞，修复措施：。M2ub6vSTnP5．ApacheOFBizNestedExpression远程代码执行漏洞漏洞编号为CNNVD--476，ApacheOFBiz10.04.01至10.04.05版本，11.04.01至11.04.02版本及12.04.01版本受到影响，修复措施：。0YujCfmUCw6．AdobeReader和Acrobat内存损坏漏洞漏洞编号为CNNVD--479，AdobeReader和Acr-obat9.5.5之前的9.x版本，10.1.7之前的10.x版本，及11.0.03之前的11.x版本中存在漏洞，修复措施：。eUts8ZQVRd四、响应处置情况三季度我中心共发出网络与信息安全风险预警提示67份，市政府机管局、交通安全信息网、中国华谊（集团）公司、化学工业区管理委员会等单位及时对提示的风险进行了验证和排查，积极采取技术处置手段消除安全隐患，确保了相应网站的安全稳定运行。sQsAEJkW5T（如您对网站运行安全保障服务有何意见建议，或需要提供协助。欢迎发送邮件至，或致电进行咨询）附录I：重点网站运行安全状况等级GMsIasNXkA运行安全状况Ⅰ级中国上海门户网站（市政府办公厅）市发展改革委市经济信息化委市教委市科委市公安局（浦东分局）市纪委市民政局市财政局市人力资源社会保障局市建设交通委市规划和国土资源局市水务局（市海洋局）市文广影视管理局市人口计生委市审计局市政府外办市国资委市地税局市工商局市绿化市容局市住房保障和房屋管理局市政府合作交流办市政府侨办市口岸办市政府新闻办市人民政府发展研究中心市食品药品监管局市社团局市公务员局市政协办公厅市检察院市邮政局市档案局上海海事局市地震局上海海关上海干部在线学习城（上海干部在线学习城服务中心）上海政法综治网（中共上海市委政法委员会）市经信委系统党建网（中共上海市经济和信息化工作委员会）国家土地督察上海局中国致公党上海市委员会上海纠风在线（上海市纠正行业不正之风办公室）市总工会团市委上海市妇女联合会办公室上海市慈善基金会上海市红十字会市精神文明建设委员会上海市互联网违法与违规信息举报中心市爱国卫生运动委员会上海市科学技术协会上海临港产业区管理委员会上海市黄浦江两岸开发工作领导小组办公室上海综合保税区管理委员会（综管委门户网站）上海综合保税区管理委员会（上海综合保税区统计报表网上申报系统）上海综合保税区管理委员会上海长兴岛开发建设管理委员会办公室上海国际旅游度假区管理委员会市国家保密局市密码管理局市国家税务局上海机关党建网（中共上海市市级机关工作委员会）上海市地方志办公室上海住房公积金（上海市公积金管理中心）上海外国投资促进平台（市商委）上海市文化市场行政执法（上海市文化市场行政执法总队）上海渔业船舶管理信息网（上海渔港监督局）上海公路网（上海市路政局）上海商业网（上海市商务发展研究中心）市政府征兵办上海地震科普网站（市地震局宣教中心）上海出入境边防检查总站浦东新区政府普陀区政府闵行区政府奉贤区政府黄浦区政府闸北区政府嘉定区政府崇明县政府静安区政府虹口区政府金山区政府徐汇区政府杨浦区政府松江区政府长宁区政府宝山区政府宝山区政府（政府信息公开）宝山区政府（网上信访）宝山区政府（网上办事）宝山区政府（工程领域项目信息公开）青浦区政府中国人民银行上海分行上海证交所上海期货交易所上海黄金交易所上海浦东发展银行上海农村商业银行中国人寿保险股分有限公司上海分公司申银万国证券股份有限公司海通证券股份有限公司国泰君安证券股份有限公司上海解放日报报业集团文新传媒门户网站(上海文汇新民报业集团)上海文广影视集团(上海文汇新民报业集团)上海日报网站(上海文汇新民报业集团)东方早报官网(上海文汇新民报业集团)新民网(上海文汇新民报业集团)中国电信股份有限公司上海分公司中国移动通信集团上海有限公司中国联通有限公司上海分公司东方有线网络有限公司上海市数字证书认证中心有限公司上海公共交通卡股份公司东方网股份公司上海青年公益门户网站（上海城市青年网络有限公司）上海资信有限公司上海医药（集团）有限公司上海建工（集团）总公司市教育考试院上海交大同济大学中科院上海分院上海申通地铁集团有限公司中交上海航道局有限公司上海浦东威立雅自来水有限公司华东电网有限公司上海电力股份有限公司上海市电力公司中国石化上海石油化工股份有限公司中国石油化工股份有限公司上海高桥分公司上海机场（集团）有限公司中国东方航空股份有限公司中国东方航空股份有限公司上海汽车集团股份有限公司上海宝钢集团公司运行安全状况Ⅱ级市公安局（派出所网上工作站）市公安局（“网上办事”平台）市公安局（部门网站）市司法局市环保局市卫生局市统计局市政府机管局市金融办上海虹桥商务区管理委员会上海市信息服务业行业协会上海