2014年上半年教育网整体运行平稳,未发生影响整个网络运行的安全事件,不过整体网络的安全形势依然不容乐观。从上半年监测到的各类安全事件来看,针对网络基础设施的攻击数量正在增多,而利用基础网络设施发起的攻击数量也在增多。网站安全依然是各大院校的安全薄弱点,除二级院系的主页外,各类校内业务系统也正在频繁地被攻击。
安全投诉事件统计及攻击态势分析
2014年上半年CCERT受理的安全投诉事件数量整体呈下降趋势,但是网站攻击类的安全事件数量呈上升趋势。
以下是各类安全投诉事件特征分析:
垃圾邮件投诉——垃圾邮件的投诉数量依然是最多的,不过数量和在整体事件中的占比呈继续下降的趋势。垃圾邮件数量减少一方面得益于邮件服务器端更严格地控制,另一方面也是因为一些新的传播方式(如微博、微信等)的出现使得垃圾邮件的广告效应大不如前。
端口扫描——端口扫描的目标端口依然以SSH服务的22端口居多,其次是80端口。不过值得注意的是一些基础网络服务的端口正在成为新的扫描重点,如DNS服务的UDP 53端口,NTP服务的UDP 123端口等。
图1 2014 年上半年安全投诉事件统计
网站漏洞——今年年初我们开始跟一些第三方的安全平台合作,所以相关的网站漏洞的投诉事件增多。这些网站中存在的安全漏洞主要包括SQL注入、XSS跨站脚本攻击漏洞、权限控制错误导致的越权访问或是任意文件的上传和下载、网站存在弱口令用户等。其中SQL注入漏洞是存在数量最多的漏洞,其次是权限控制漏洞,存在弱口令的网站数量也不少。随着各种SQL注入攻击工具的自动化程度的进一步提升,原本相对复杂的攻击过程变得只需一两条命令就能完成,而无需攻击者了解任何数据库的原理。攻击的简单化和成功率高极大地提升了一些初学者参与攻击的兴趣。动态网站由于需要跟数据库进行数据交互,或多或少的都会存在注入点(除非完全严格按照规范开发的),只是有些安全性差的注入点到处都是,而安全性较好的注入点隐藏得比较深,但是由于有了自动测试工具,这类隐藏的注入点也很容易被扫出来。所以要完全杜绝SQL注入攻击只有两种方法,一种是放弃使用动态页面,另一种则要求整个网站的开发过程中完全遵照安全开发标准来开发。
系统攻击——2014年上半年,教育网内的系统攻击事件呈上升趋势,容易被入侵的依然是各类服务器系统,尤其是Web服务器。在被入侵的服务器中,利用Web 80端口入侵的最多,其次是SSH的22端口。前者多数利用了Web应用程序中的漏洞,而后者则是依靠猜测用户弱密码来进行攻击,并且会在攻击成功后使用有后门的SSH服务替换原有的服务,从而达到窃取更多密码的目地。从上半年我们收到的系统入侵案例来看,学校的一些专有业务系统(如教务系统、在线选课系统、资产管理系统、项目管理系统等)被攻击的风险正在增大,这些系统中包含了大量学生及教工的身份信息,这些信息很多已经被攻击者窃取。
钓鱼网站——网络欺诈依然是以仿冒国外的在线银行和购物网站的居多,仿冒国内购物网站和银行的数量较少。国内被仿冒更多的是一些热门活动的中奖网站或是六合彩网站。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。