2.云晓春-国家计算机网络应急技术处理协调中心副主任兼总工程师

1、,国家互联网应急中心,2012年9月,2012年1-6月网络安全态势,媒体,通信 教育,金融,工业 娱乐,社会生产效率和人民生活 水平，促进了经济社会的 发展。,2012年上半年互联网网络安全基本态势 2012年上半年，在政府相关 部门、互联网服务企业、网 络安全企业和网民的共同努 力下，我国互联网网络安全 状况总体平稳。 作为国家关键基础设施和 新的生产、生活工具，互 联网的发展极大地促进了 信息流通和共享，提高了,基础网络安全,安全漏洞 据国家信 息安全 漏洞共 享平台 （CNVD）收录的漏洞统计，2012年 上半年发现涉及电信运营企业网络 设备（如路由器、交换机等）的漏 洞74个，其中高危漏洞39个。发现,域名解析系统零日漏洞11个, 其中 Bind 9漏洞6个。 基础网络运行总体平稳，互联网骨干网各项监测指标正常，未发生较大以上网络安 全事件。但针对域名系统发生的网络安全事件仍然十分频繁。电信运营企业的网络 设备存在的安全隐患不容忽视。 网游私服网站争斗导致多省域名解析流量异常 2012年2月7日13时起至次日凌晨，我国国际出入口以及多省的DNS流量出 现异常激增，全网DNS流

2、量峰值达到90Gbps。受该攻击影响，全国多个省 及国际出入口的DNS流量激增，个别省份用户使用互联网受到一定影响。 该DDoS攻击表现出规模大、持续时间长、具有一定组织性等特点。经查， 事件由游戏私服推广网站之间的争斗引起，攻击者的目标是游戏私服推广 网站。,网络攻击 2012年上半年每天发生的分布式拒 绝服务攻击（DDoS）事件中，平均 约有2.4%的事件涉及到域名系统或 服务的安全，这与2011年的7%相比 虽有大幅降低，但比例仍然较高。,5596,4796,3280,3201,3358,3164,337,288,318,228,212,333,0,1000,2000,3000,5000 4000,6000,1月,2月,3月,4月,5月,6月,境内被篡改网站数量月度统计 2011年1月-2011年6月,境内网站,政府网站,1888,1853,2035,1957,1900,1566,143,170,257,233,201,155,0,500,1000,2000 1500,2500,1月,2月,3月,4月,5月,6月,境内被篡改网站数量月度统计 2012年1月-2012年6月,境内网

3、站,政府网站,网站篡改 事件,重要联网信息系统安全（一） 政府网站篡改类安全事件显著减少，但被暗中植入后门呈增长态势。,2012年上半年中国大陆有近1.1万个网站被黑客篡改，较2011年同期 大幅下降52.13%。其中被篡改的政府网站为686个，比2011年同期下 降35.59%。,版权所有者 青海省科技厅 河南省商务厅外经处 湖南省招标投标监管局 陕西省新闻出版局 宁夏自治区公路管理局 安徽省人民政府教育督导团办公室 广西壮族自治区公安厅 陕西省粮食局 贵州省审计厅 宁夏回族自治区人民代表大会常务委员会 安徽省人口与计划生育委员会,网站域名 www.bidding.hunan.gov.c n ,时间 2012-6-6 2012-5-29 2012-5-28 2012-5-3 2012-4-21 2012-4-16 2012-3-31 2012-3-30 2012-2-10 2012-2-2 2012-2-1,重要联网信息系统安全（一） 2012年上半年部分被篡改重要网站列表,安 徽 省 交 通 厅 河 南 商 务 厅 外 经 处,新 疆 水 利 局 国 广 有 东

4、资 省 产 广 监 州 督 市 管 人 理 民 委 政 员 府,重要联网信息系统安全（一） 2012年上半年部分被篡改网站实例,网站后门 事件,2012年上半年境内有2.8万余个网站被黑客植入后门，其中政府网站 有1673个。境外有近1.3万个IP通过植入后门对境内近1.6万个网站实 施远程控制，其中美国有3535个IP（占27.30%）控制着境内4889个 网站，位居第一。,COM,64%,GOV,7%,EDU ORG 4% 3% NET 7%,其他 15%,境内网站被植入后门的网站数量按类型分布 2012年1月-2012年6月,重要联网信息系统安全（一） 政府网站篡改类安全事件显著减少，但被暗中植入后门呈增长态势。,3500,3982,4711,5164,5260,6064,305,381,434,453,453,441,0,1000,2000,3000,7000 6000 5000 4000,1月,2月,3月,4月,5月,6月,境内被植入后门网站月度统计 2012年1月-2012年6月,重要联网信息系统安全（二）,金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标, 网络违法犯

5、罪行为的趋利化特征明显，大型电子商务、金融机构、第三方在线,支付网站成为网络钓鱼的主要对象。, 2012年上半年，CNCERT监测到针对境内网站的仿冒页面总数有7795个；仿冒 境内网站的服务器IP有97.32%位于境外，其中美国和中国香港居前两位，分别 承载了5711个和1072个仿冒页面。,重要信息系统的安全隐患日益暴露, 2012年上半年，共处置涉及国内政府和重要信息系统部门、电信行业、教育机 构漏洞事件近500起。其中，4月-6月间，互联网上出现了大量针对“Apache StrutsXwork”的远程代执行漏洞，影响数十家银行业单位网站。, 2012年5月，发现一种全新的计算机恶意程序“火焰”，其主要针对中东地区， 主要功能是窃取信息。虽然我国感染数量较少，但继“震网”、“Duqu”之后， 此类有组织、有资金支持并有明确方向性的恶意程序再次出现，必须引起我国 重要信息系统运行部门的高度重视。,工具的流传,CNCERT/CNVD 通过 查找 应 用软件特征，集中对政府和 重要信息系统行业（电信、 证券、银行、保险、电力等） 网站进行了测试，发现并处 置 超 过 150 家 单 位

6、 网 站 的 Apache Struts Xwork远程代码 执行漏洞事件，避免这些重 要网站被黑客篡改、其网站 主机沦为肉鸡。,公共网络环境安全(三) Apache Struts Xwork 远程代码执行漏洞(CNVD-2012-09285)：漏洞早在,漏洞实例 行业单位,2010年就被公开，可导致网站主机被控，CNVD评分评级为最高分10.00， 高危。2012年4月起，互联网上出现了针对该漏洞的自动化利用工具，导致 针对该漏洞的安全事件大量出现。 涉及部门,国务院部委网站 导致攻击事 件激增 电信行业 证券行业 保险行业 金融行业,国家邮政局门户网站 商务部多个业务子站 发改委网上项目管理系统 工业和信息化部信息中心网站 中国移动集团所属多个业务网站及20余家 省公司网上营业厅网站 天元证券、华西证券、国元证券 银河证券、招商证券、中信建设期货 大众保险、阳光保险、富邦保险 长江财保、中国人寿财险、万邦保险 民生银行、中信银行、广发银行 兴业银行及多家地方商业银行,重要联网信息系统安全（二）,准备时 间长,目的 明确,存活 能力高,代码 复杂,利用 零日漏洞,4.可能利用微软 W

7、indows 系统的已知或已修补的漏洞 发动攻击，进而在某个网络 中大肆传播。,5. Flame 病毒是目前发现的 最为复杂的病毒之一。采用 模块化设计，结构复杂。其 模块文件大小超过6MB。包 含了大量加密数据、内嵌开 源软件代码（如 LUA 等）、 漏洞攻击代码、模块配置文 件、多种加密压缩算法，信 息盗取等多种模块。,1.据CNCERT现有分析结果， Flame病毒已经运作了至少两 年时间。也有专家研究称， Flame可能已活跃了5到8年， 或者更长时间。,2.感染范围主要是 中东地区，不但 能够窃取文件， 对用户系统进行 截屏，通过 USB 传播禁用安全厂 商的安全产品， 并可以在一定条 件下传播到其他 系统。,3.目前已经累计捕获,Flame 病毒主文件的 变种数6 个。,在“火焰”（Flame）”病毒漏洞攻击模,块中发现了“震网”病毒使用过的USB攻 击模块，震网病毒事件是发生在2010年针 对伊朗核设施的 APT攻击事件。,攻击 特点,“火焰”,被卡巴斯基实验室称为“有史以来最复杂的病毒”，也是目前发现 的最为复杂的攻击之一，它是一种后门木马并具有蠕虫的特征。,8,242

8、,331,4,568,687,2011上半年受控,端数量,2012上半年受控,端数量,11630822,10986493,9918338,11059670,7868954,5134467,6000000 4000000 2000000 0,12000000 10000000 8000000,1月,2月,3月,4月,5月,6月,2012年上半年共发现824万余个境内主机IP地址感染木 马或僵尸程序，已接近2011年全年近890万的数量。 木马或僵尸程序受控主机IP数量月度统计 2012年1月-2012年6月 14000000,受控端情况,公共网络环境安全（一） 木马和僵尸网络依然对网络安全构成直接威胁,端、4207 1个 -2012控 6端。对防止木马和僵尸网络的进一步恶化起到,受 年 月,境外木马或僵尸程序控制服务器IP按国家地区分布,2012年 月,了一定作用。,40000,24%,日本,17%,韩国 11%,中国台湾 8%,中国香港,6%,埃及 2%,2% 印度 3%,新加坡,1% 泰国,德国 1%,25%,32980,32919,37498,20000,25000,30000,3

9、5000,1月,2月,3月,4月,5月,6月,基础电信779万余业,公共网络环境安全（一） 木马和僵尸网络依然对网络安全构成直接威胁 2012年上半年 发现近20万个木 僵尸程序 端IP，较 其中 ， 国各分中心、 内主机数量为运营企个。 、非经营性互联单位及域名从 业机构，在全国范围内共开展了6次木马和僵尸网络专项打击,行动。成功处置境内外1024个规模较大的木马和僵尸网络控制 木马或僵尸程序控制服务期IP数量月度统计 2012年1月-2012年6月 38829 37084 36914 其它 美国,公共网络环境安全（二） 手机恶意程序日益泛滥引起社会关注 随着移动互联网智能终端的普及，手机恶意病毒事件频发，手机病毒数量 增长迅速； 2012年上半年CNCERT捕获移动互联网恶意程序4095个，已超过2011年全年 的半数。流氓行为类恶意程序数量最多，其次是远程控制、恶意扣费、窃 取隐私和系统破坏。,6249,4095,5000 4000 3000 2000,6000,7000,1000 0 52 2005年,67 2006年,110 2007年,208 2008年,416 2009年,1664 2010年,20

《2.云晓春-国家计算机网络应急技术处理协调中心副主任兼总工程师》由会员繁星分享，可在线阅读，更多相关《2.云晓春-国家计算机网络应急技术处理协调中心副主任兼总工程师》请在金锄头文库上搜索。