2013年上半年教育网整体运行平稳，未发现影响严重的安全事件。2013年上半年教育网内各类攻击事件仍然时有发生，安全形势不容乐观。在各类攻击中针对学校网络和系统的主要是系统入侵及拒绝服务攻击。而针对普通用户的则更多的是网络钓鱼与欺诈攻击。

　　安全投诉事件统计及攻击态势分析

　　2013年上半年CCERT接受的安全投诉事件数量继续呈下降趋势，从整体上来看教育网中垃圾邮件和网页挂马的投诉数量继续下降，而系统入侵和网络欺诈的数量则呈上升趋势。

图1 2013 年上半年安全投诉事件统计

　　以下是各类安全投诉事件特征分析：

　　垃圾邮件投诉——垃圾邮件依然以广告邮件居多，其次是病毒发送的垃圾邮件。由于现在的邮件服务器大多数不允许匿名发送邮件，因此被用来发送垃圾邮件的账号都是合法的账号。这些账号有些是因为用户系统感染病毒导致邮箱账号被人控制，有些则是因为账号本身的密码太简单被黑客猜出后控制，还有一部分是被钓鱼网站或欺诈邮件骗去了账号密码。值得提醒的是那些密码简单或是容易被骗的用户往往是一些上了年纪且对电脑技术不是很熟的用户。

　　端口扫描——从投诉事件中被扫描的端口来看，居首位的依然是SSH服务的22端口，排在第二的是针对80端口的扫描，端口分布与以往变化不大。这些扫描多数是些自动攻击程序发起的。

　　网页挂马——由于网页挂马技术的单一以及相关浏览器和防病毒软件加强了对挂马攻击的防范，上半年教育网内检出的网页挂马服务器数量继续大幅减少。值得注意的是原有的挂马三级结构（挂马网页、攻击网页、木马程序分别被放在三台不同的服务器上）现在多数已经被合并到一台服务器上了，从上半年检出的情况看，很多网站是将挂马网页和攻击网页清除了，但是却仍然留有木马程序下载的链接。

　　系统攻击——2013年上半年，教育网内的系统攻击事件呈上升趋势，容易被入侵的依然是各类服务器系统，尤其是Web服务器。在被入侵的服务器中，通过Web80端口攻击的数量最多，其次是SSH的22端口。前者多数利用了Web应用程序中的漏洞，而后者则是依靠猜测用户弱密码来进行攻击。在针对80端口的攻击中，利用Web服务程序本身漏洞的数量有所上升（如利用Apache的Strtus漏洞）。而Web应用程序中存

　　在漏洞（如SQL注入、上传权限控制不严等）依然是利用率最高。上半年专有的应用系统（如邮件系统、教务系统等）被攻击的数量有所增加。

　　网络欺诈——网络欺诈投诉分为两种，一种是外部投诉教育网内的服务器上存在钓鱼欺诈网页，主要仿冒国外的银行或是在线支付系统，这通常是因为服务器被黑客控制所导致的，这类欺诈事件数量呈下降趋势。而另一种欺诈投诉则是攻击者伪造学校的应用系统来欺诈用户，这类投诉事件有上升趋势。其中被投诉最多的是伪造邮件系统及发送欺诈邮件。我们在跟踪处理几起欺诈邮件的过程中发现，这些欺诈网页能在学校的应用系统发生改变后及时更新，这说明这类攻击往往后面有专门的人或团队在进行维护更新。

　　DDos攻击——拒绝服务攻击在教育网内仍然时有发生，不过这类攻击的流量都不大，随着主干及出口带宽的增加，这类拒绝服务攻击对网络的影响有限，更多的时候是对被攻击的服务器本身影响较大。

　　病毒——木马病毒依然是为数最多的病毒，其次是蠕虫病毒。移动安卓系统的木马数量正在向传统木马的数量看齐。由于捆绑木马已经成为一些免费软件或是破解软件的主要经济来源，多数的木马病毒依靠捆绑在免费或是盗版破解软件中来进行传播，这点在移动系统软件上尤为突出，因此用户从网上下载软件已经成为了感染木马病毒的高风险操作。