2014年上半年教育网整体运行平稳，未发生影响整个网络运行的安全事件，不过整体网络的安全形势依然不容乐观。从上半年监测到的各类安全事件来看，针对网络基础设施的攻击数量正在增多，而利用基础网络设施发起的攻击数量也在增多。网站安全依然是各大院校的安全薄弱点，除二级院系的主页外，各类校内业务系统也正在频繁地被攻击。

　　安全投诉事件统计及攻击态势分析

　　2014年上半年CCERT受理的安全投诉事件数量整体呈下降趋势，但是网站攻击类的安全事件数量呈上升趋势。

　　以下是各类安全投诉事件特征分析：

　　垃圾邮件投诉——垃圾邮件的投诉数量依然是最多的，不过数量和在整体事件中的占比呈继续下降的趋势。垃圾邮件数量减少一方面得益于邮件服务器端更严格地控制，另一方面也是因为一些新的传播方式（如微博、微信等）的出现使得垃圾邮件的广告效应大不如前。

　　端口扫描——端口扫描的目标端口依然以SSH服务的22端口居多，其次是80端口。不过值得注意的是一些基础网络服务的端口正在成为新的扫描重点，如DNS服务的UDP 53端口，NTP服务的UDP 123端口等。

图1 2014 年上半年安全投诉事件统计

　　网站漏洞——今年年初我们开始跟一些第三方的安全平台合作，所以相关的网站漏洞的投诉事件增多。这些网站中存在的安全漏洞主要包括SQL注入、XSS跨站脚本攻击漏洞、权限控制错误导致的越权访问或是任意文件的上传和下载、网站存在弱口令用户等。其中SQL注入漏洞是存在数量最多的漏洞，其次是权限控制漏洞，存在弱口令的网站数量也不少。随着各种SQL注入攻击工具的自动化程度的进一步提升，原本相对复杂的攻击过程变得只需一两条命令就能完成，而无需攻击者了解任何数据库的原理。攻击的简单化和成功率高极大地提升了一些初学者参与攻击的兴趣。动态网站由于需要跟数据库进行数据交互，或多或少的都会存在注入点（除非完全严格按照规范开发的），只是有些安全性差的注入点到处都是，而安全性较好的注入点隐藏得比较深，但是由于有了自动测试工具，这类隐藏的注入点也很容易被扫出来。所以要完全杜绝SQL注入攻击只有两种方法，一种是放弃使用动态页面，另一种则要求整个网站的开发过程中完全遵照安全开发标准来开发。

　　系统攻击——2014年上半年，教育网内的系统攻击事件呈上升趋势，容易被入侵的依然是各类服务器系统，尤其是Web服务器。在被入侵的服务器中，利用Web 80端口入侵的最多，其次是SSH的22端口。前者多数利用了Web应用程序中的漏洞，而后者则是依靠猜测用户弱密码来进行攻击，并且会在攻击成功后使用有后门的SSH服务替换原有的服务，从而达到窃取更多密码的目地。从上半年我们收到的系统入侵案例来看，学校的一些专有业务系统（如教务系统、在线选课系统、资产管理系统、项目管理系统等）被攻击的风险正在增大，这些系统中包含了大量学生及教工的身份信息，这些信息很多已经被攻击者窃取。

　　钓鱼网站——网络欺诈依然是以仿冒国外的在线银行和购物网站的居多，仿冒国内购物网站和银行的数量较少。国内被仿冒更多的是一些热门活动的中奖网站或是六合彩网站。