网络安全检查情况通报4篇网络安全检查情况通报 互联网网络安全信息通报2012年第12期(总第130期) 主办: 工业和信息化部通信保障局承办: 国家互联网应急中心(CNCERT) 下面是小编为大家整理的网络安全检查情况通报4篇,供大家参考。
篇一:网络安全检查情况通报
联网网络安全信息通报 2012 年第 12 期( 总第 130 期)主办:
工业和信息化部通信保障局 承办:
国家互联网应急中心( CNCERT)
2012 年 6 月 7 日
关于一种新的恶意程序“火焰”的情况通报
5 月 28 日 计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序“Worm.Win32.Flame” 。
CNCERT对此高度重视, 紧急组织中国反网络病毒联盟( ANVA)
成员单位报送“Flame” ( 中文名为“火焰” )
的样本和感染数量等信息。
5 月29 日 , CNCERT 迅速获得有关样本, 并立即开始对样本进行深入分析。
截至目 前分析, 该恶意程序的主要功能是窃取信息, 具有一定的传播性, 其感染的系统主要位于中东地区。
另据赛门铁克安全响应团队分析, 其他目 标可能还包括俄罗斯、 奥地利、 匈牙利和中国香港。
现将有关情况通报如下:
一、 背景情况 5 月 28 日 计算机安全公司卡巴斯基实验室宣布,发现一种破坏力极大的全新计算机恶意程序。
该实验室最早在一些联合国下属机构( ITU)
计算机中发现该恶意程序的踪迹, 当时, 该组织
发现来自中东地区的敏感文件莫名其妙的丢失。
随后, 匈牙利的两家反病毒实验室和伊朗的反计算机病毒机构也宣布发现了该恶意程序。
此后, 多家媒体报道:“最近一款名为 Flame 的病毒在中东多国爆发, 其主要目 的是收集情报。
虽然这种病毒是在最近才被发现的,不过很多专家认为它可能已经存在了 5 年之久,包括伊朗、巴勒斯坦地区、 叙利亚、 黎巴嫩、 沙特和埃及在内的 1000 至 5000台电脑都已感染了这种病毒” 。
同时, 也有报道称“中国不在其攻击范围内, 目 前已检测到国内感染该病毒的少量电脑, 疑似用户不慎通过 U 盘将 Flame 携带入境” 。
二、 国内捕获和传播情况 根据 ANVA 成员单位向 CNCERT 报送的情况, 目 前我国感染该恶意程序的数量较少。
具体情况如下:
安天捕获 20 个样本文件, 尚无法给出国内感染数量的有效统计; 江民监测发现该恶意程序出现了 15 种变种, 各变种平均感染数量为 2 台计算机; 瑞星捕获到有关样本文件, 监测发现国内感染数量几近为零; 奇虎捕获到有关样本文件, 尚未提供监测发现的感染数量。
三、 国外有关机构的样本分析情况 1、 卡巴斯基的分析情况 卡巴斯基实验室的研究显示, 这一恶意程序呈现木马病毒和蠕虫病毒的部分特征, 能收集受感染计算机内的信息、 远程修改
计算机设置、 打开计算机话筒以录制附近的交谈内容、 接入蓝牙通信系统、 获取电脑截屏和窃取互联网聊天记录等。
病毒还可利用 Windows 操作系统漏洞侵入, 可借助局域网络和 USB 接口等传播。
病毒编写者借助北美、 欧洲和亚洲等地区大约 80 个服务器操控病毒。
卡巴斯基首席安全专家亚历山大·戈斯捷夫表示,由于“Flame”病毒体积较大, 且编写方式非常复杂, 因此可能需花上数年时间, 才能完全了解该病毒的全部情况。
他同时表示, 当初分析“震网”病毒用了半年时间, 而“Flame”的复杂程度比“震网”高出 20 倍, 要全面了解“Flame”可能得花上 10 年时间。
2、 伊朗应急响应组织的分析情况 5 月 28 日 ,伊朗应急响应组织 ( Iranian CERTCC)官网上称,该恶意程序是一个能够为不同的攻击目 标提供接收和安装各种模块的平台。
根据捕获的样本, 其文件命名规则、 传播方法、 复杂性、 精确的定位及强大的功能, 似乎与“Stuxnet”和“Duqu”有着密切的关系。
分析结果也暗示了最近伊朗发生的大规模数据丢失可能与感染了该病毒有关。
Iranian CERTCC 认为“Flame”的工作机制及传播特点包括:( 1)
通过可移动介质传播;( 2)
通过局域网传播;( 3)
通过网络嗅探, 检测网络资源和收集脆弱的密码列表 ; ( 4)
扫描受感染的系统的磁盘寻找特定的目 录和内容;( 5)当用户某些特定的进程或窗口处于活跃状态时,创建一系列的屏幕捕捉器;( 6)
使用受感染系统连接的麦克风来记录环境声音;( 7)
转移保存的数据到控制服务器;( 8)
控制服务器使用了 10
多个域名; ( 9)
通过 SSH 和 Https 协议与控制服务器建立安全的连接;( 10)
绕过数十家知名的防病毒、 反病毒和其他安全软件;( 11)能够 在 Windows XP、 Vista 和 Windows 7 操作系统中传播;( 12)
能够感染大型的局域网。
3、 CrySyS Lab 的分析情况 布达佩斯大学加密与系统安全实验室( CrySyS Lab)
的研究人员认为该恶意程序是一种目 标性攻击的重要部分,且构成相当复杂, 它含有大量组件, 其中部分文件也很大。
CrySyS Lab 判断Flame 可能已活跃了 5 到 8 年, 或者更长时间。
分析人员从技术分析结果佐证该恶意程序可能是由某国的政府机构研发,可能与网络战争活动有关。
据 CrySyS Lab 研究人员研究发现,“Flame”与 2011 年 11 月 发现的“Duqu”有很多差异,
主要有以下几个特点:
一是“Flame”使用压缩和加密技术来编码文件。
具体情况是,其使用了 5 种不同的加密方法( 或一些变体), 3 种不同的压缩技术和至少 5 种不同的文件格式,并且使用了专门的代码注入技术。
二是“Flame”将搜集的信息以 SQLite 数据库这种高度结构化的格式存储在受感染的系统上。三是编写“Flame”的部分代码是使用 Lua 脚本语言编写的,而 Lua 是一种几乎只有电子游戏程序员才使用的编程语言。
4、 赛门铁克的分析情况 赛门铁克安全响应团队分析, 该恶意程序已经非常谨慎地运作了至少两年时间。
它不但能够窃取文件, 对用户台式机进行截
屏, 通过 USB 驱动传播, 禁用安全厂商的安全产品, 并可能利用微软 Windows 系统的已知或已修补的漏洞等作为条件, 进而在某个网络中传播。
赛门铁克判断, 与“Stuxnet”及“Duqu”类似,该恶意程序非一人所为, 而是有一个有组织、 有资金支持并有明确方向性的网络犯罪团体所编写。
5、 微软的分析情况 微软也着手调查该恶意程序的传播情况,其分析发现“Flame”利用了微软一个较早的加密算法所存在的漏洞为代码签名,使其看起来像来自微软, 从而能够绕过很多杀毒软件。
微软采取了以下措施来消除此风险, 首先, 发布安全公告, 告知客户如何屏蔽这些未授权证书; 其次, 发布了一个补丁( KB2718704)
自动为客户执行屏蔽功能; 最后, 终端服务器的授权服务将不再发布允许代码被签名的证书。
不过, 微软称绝大部分用户并不受“Flame”的威胁, 其主要是针对政府、 军队、 教育、 科研等机构的计算机系统。
CNCERT将紧密关注事态形势。
各单位如发现有关攻击活动,请与CNCERT联系。联系方式:010-82991000
cncert@cert.org.cn。
( 此页无正文)
报:
工业和信息化部通信保障局抄:
工业和信息化部信息中心送:
中国电信、 中国移动、 中国联通、 其它互联网网络安全信息通报工作成员单位
篇二:网络安全检查情况通报
信息安全通报管理制度第一条
为规范信息技术中心的网络信息安全管理工作,及时做好相应的安全防范措施,降低学校信息安全事件发生的概率,减少信息安全事件带来的损失和影响。
提高中心工作人员的安全预警、防范和应急水平,结合中心实际情况,制定本制度。
第二条
适用范围
(一)适用于处理信息技术中心收到的来自教育部、市教委、网信办等单位下发的网络信息安全隐患的通报事宜。
(二)全校范围内的二级部门网络信息安全信息的通报,适合本制度。
第三条
网络安全事件定义
(一)网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
(二)信息系统网络受到黑客攻击,数据被恶意篡改、交互式栏目里发表有煽动分裂国家、破坏国家统一和民族团结、推翻社会主义制度;煽动抗拒、破坏宪法和国家法律、行政法规的实施;捏造或者歪曲事实,故意散布谣言,扰乱
秩序;破坏社会稳定的信息及损害国家声誉和稳定的谣言等。
(三)网络服务器及其他服务器被非法入侵,服务器上的数据被非法拷贝、修改、删除,发生泄密事件。
第四条
通报处置程序
(一)
信息技术中心网络信息安全联络人接收到网络信息安全通报后,第一时间向本部门领导做出汇报。
(二)同时,将通报内容转发给责任部门领导及责任部门系统联络人。
(三)责任部门根据通报内容在规定时间内实施信息系统整改并撰写整改报告,加盖公章后将纸质整改报告反馈给信息技术中心。
(四)信息技术中心网络信息安全联络人将整改报告上报主管单位。
第五条
网络信息安全通报内容
(一)安全通报文件;
(二)漏洞详情;
(三)整改建议;
(四)其他应当知晓的情况。
第六条
网络信息安全整改报告内容
(一)通报基本情况描述;
(二)针对通报漏洞所采取的整改措施;
(三)其他应当报告的情况。
第七条
加强网络安全信息审查工作,若发现数据被恶意更改,应立即停止服务并恢复正确内容,同时检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放数据服务。信息发布服务,必须落实责任人,实行先审后发,并具备相应的安全防范措施(如:日志留存、安全认证、实时监控、防黑客、防病毒等)。建立有效的网络防病毒工作机制,及时做好防病毒软件的升级,保证病毒库的及时更新。
第八条
学校信息技术中心实行节假日值班制度,开通值班电话,保证与上级主管部门、当地公安机关网警的热线联系。若发现异常应立即向应急小组及有关部门、上级领导报告。
第九条
加强突发事件的快速反应。运维小组具体负责相应的网络安全和信息安全工作,对突发的信息网络安全事件应做到:
(一)及时发现、及时报告,在发现后及时向应急小组及上一级领导报告;
(二)保护现场,立即与网络隔离,防止影响扩大;
(三)及时取证、分析、查找原因;
(四)消除有害信息,防止进一步传播,将事件的影响降到最低。
(五)在处置有害信息的过程中,任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。
第十条
加强网络用户的法律意识和网络安全意识教育,提高其安全意识和防范能力,净化网络环境。
第十一条
做好网络机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故,应立即组织人员自救,并报警。
第十二条
为加强网络安全信息共享和统一协调行动,按照“统一领导、归口负责”的原则,由信息技术中心负责网络安全事件通报工作的组织、指导和协调。
第十三条
安全事件通报可采取例行通报、紧急通报两种方式进行。例行通报为定期方式,适用于对网络安全信息的汇总分析。紧急通报为不定期方式,适用于对突发的网络安全事件或重大网络安全预警信息的发布,对具有紧急和有重要指导作用的网络安全事件应在当天内完成通报。
第十四条
在收到上级单位的网络安全事件通报或下级单位重大网络安全事件报告时,应立即对所收到的通报或报告的安全事件进行分析判断、汇总归纳整理,并根据所收到的内容对本级网络安全系统进行有针对性的整改通报。
第十五条
对一些涉及到保密内容的网络安全事件通报,应严格按照有关保密管理规定执行。
第十六条
本制度由学校信息技术中心负责解释并组织实施,自公布之日起执行。
篇三:网络安全检查情况通报
2021 网络安全监测预警和信息通报制度第一章
总则
第一条
为了切实加强网络安全保障工作,维护学校信息系统及网站安全,依据《中华人民共和国网络安全法》和上级有关落实党委(党组)网络安全责任制工作的要求,结合我校实际,制定本办法。
第二条
网络安全监测预警和信息通报工作应遵循“及时发现、科学认定、有效处置”的原则,通过建立监测预警和信息通报机制,对风险进行预警,做到“早发现、早报告、早处置”,防止和减少不良信息的传播,确保信息网络的畅通和安全。
第三条
本办法中所包含的监测预警和信息通报工作的内容指信息网络技术安全事件和安全隐患。
第四条
网络安全监测预警和信息通报工作由网络中心负责。
第二章
监测机制
第五条
网络中心通过 Zabbix 系统对全校网络环境进行实时监测,监测内容主要包含通信线路状态、网络设备运行状况、网络流量和网络基础服务等,发现异常情况,及时处理。
第六条
各单位按照“谁主管谁负责,谁运维谁负责,谁使用谁负责”的原则,由各单位网络安全员负责对本单位信息系统及网站开展日常安全检测。检测范围包括但不限于以下
内容:
(一)信息系统和网站有无异常情况; (二)账号密码管理是否规范,是否存在弱密码,重要业务系统是否定期更换管理账号的密码; (三)服务器重要数据是否定期进行备份; (四)是否定期对服务器操作系统、杀毒软件进行升级。
第三章
预警机制
第七条
网络安全预警信息来源以教育部、省教育厅等上级机关以及国内外安全组织发布的网络安全威胁信息为主。
第四章
信息通报机制 第八条
各二级单位网络安全员为本单位信息通报联络员,负责信息的上传与下达。网络安全员若发生变更,应及时将变更后的人员信息报送至网络中心备案。
第九条
信息通报内容的来源主要包括上级有关部门通报的和网络中心自主监测发现的安全问题。
第十条
网络中心通过“网络信息安全上报群”将安全通报发送给责任部门网络安全员,进行整改。
第十一条
信息通报实行 24 小时联络机制,各单位网络安全员应保持通讯畅通。发生安全事件或发现需要紧急处理的安全隐患时,网络中心可先电话通知,后通过“网络信息安全上报群”发送。
第十二条
发生网络安全事件的部门应当如实地报告事件
的有关信息,积极完成整改工作,不得瞒报、缓报。对出现瞒报、缓报、漏报和整改不力等失职情况,学校将予以通报批评。对造成严重不良后果的,将视情节追究相关领导和人员责任。
第十三条
各单位检测到本单位网站或信息系统存在安全隐患或发生安全事件时,应及时向网络中心报告,避免事态扩大。
第五章附则 第十四条
本办法自发布之日起执行。
第十五条
本制度由网络中心负责解释。
篇四:网络安全检查情况通报
17/09 I
监 管通报 『
Communi cation&I nformati on Technology 国家计算机网络应急技术处理协调中心四川分中心 关于四川省一般网络安全事件的通报 1 网络安全情况综述 (201 7年第5期 ) 2017年7,q一8,q,全国公共互联网网络整体上运行正 常 ,未出现造成严重后果的大规模网络安全事件;四川省 各基础 电信运营商网络运行基本正常,对省内各基础电信 运营企业网内影响较大的事件主要为木马僵尸类事件、网 站后门类事件、网页仿冒类事件等。
2 各种网络安全事件统计分析 2.1网站被攻击事件数据分析 2.1.1网站被篡 改数据 分析 2017年7H一8, q,通过抽样监测发现境内被篡改网站 总数为9150个,本省有326个被篡改网站。本周期被篡改 网站最多的分别是广东 (占40.7%)、河南 (占15.5%)和 北京 (占12.4%);其中本省占2.6%,排名10位。图1为境 内被篡改网站按地区分布。
图2为被篡改网站数量按类型分布 ,可以看出被篡改 网站中以.COM结尾的占绝大多数,占65%。
图3为2016年9月一2017年8月中国被篡改网站按月度统 计 。
2017年 7月 -8月 ,境 内.gov.cn网站被 篡 改的数 量 为 225个 ,约 占被 篡 改 网站 的2%,图4为本 周 期 内境 内 . gov.cn网站被篡改网站数量趋势。
图5为2016年9月一2017年8月境内被篡改. gov_Cn网站占 所有被篡改网站比例。
2.1.2网站后 门数据 分析 2017年7月一8月 ,通过监测发现境内地区被植入后门 网站总数为8393个 ,本省有361个网站被植入后门。本周 期被植入后门网站最多的分别是广东 (占28. 2%)、北京 (占15%)和河南 (占7. 7%);其中本省 占4.3%,排名第 6位。图6为境内地区被植入后门网站按地区分布。
图7为被植入后门网站数量按类型分布 ,可以看出被 20 植入后门网站中以.COM结尾的占比最高,约为54%。
图8为2016年9H一2017年8, q境内被植入后门网站按月 度统计。
图9为 向境 内网站植入后 门的境外IP地址按地 区分 2017年7月一8月 广 37 图1:境内被篡改网站按 地区分布 2017年7月一8月 图2:境内被篡改网站按 类型分布 201 6年9月一201 7年8月 图3:境 内被篡改网站数量 月度统计 ■■■■■■ 一
■■■■I
■■I 一
。
_I-I■l
■■■■I
■■■■■ 』 ■■I
一
■■■■■ ■■■- Ⅻ■■■-
■■l
㈨■■■■- 姗删姗洲眦
布,植入最多的国家是美国,占10.1%。
2.2恶意代码活动监测数据分析 2.2.1木马 或僵尸程 序受控主机分析 2017年7月一8月 ,经监测发现境内3097903个IP地址对 应的主机被木马或僵尸程序控制。
2016年9月一2017年 8月 ,境内被木马或僵尸程序控制的主机IP数量月度统计 如 图1O所示 。
2016年9月一2017年8月,境外被木马或僵尸程序控制的 主机IP数量月度统计如图11所示。
境内木马或僵尸程序受控主机的地区分布情况如图 12所示。其中,数量最多的地区分别是广东 (占12.6%)、 浙江 (占10. 4%)和江苏 (占8. 2%)。其中四川占 ,排 名第 10位 。
2016年9月一2017年8月境内被木马或僵尸程序控制的主 机IP中,中国电信用户所占比例较大,具体分布情况如图 13所示 。
境外木马或僵尸程序受控主机IP数量的国家或地区分 布情况如图14所示,其中数量最多的国家或地区分别是中 国台湾 (占境外10.1%)、埃及 (占境外4.9%)和越南 (占境外4.2%)。
2.2.2木马或僵尸程序 控制服务嚣分析 2017年7月一8月,境内木马或僵尸程序控制服务器IP有 5661个;境外木马或僵尸程序控制服务器IP有12930个。
2016年9月一2017年8月,境内木马或僵尸程序控制服务 2017年7月一8月 14000 12o0O lOo00 8O0o 6Ooo 4000 2Ooo O 300 ⋯ 一 19d 6·o% 215 0 2·3% 1. 8% 1.蝴0,0% + 政府网站 + 所 占比例 图5:境 内被篡改.gov.Cn网站 占所有被篡改网站 比例 广东 2017年7月一8月 北京 ED[J 3 ORG 3 图6:境 内被植 入后门网站按地区分布 2017年 7月一8月 河南 7.7% 江 苏 6.1 7 图7:境内被植入后门网站按类型分布 201 6年9月一201 7年8月 图8:境内被植入后门网站数量月度统计 2017年 7月一8月 40.7 2.2茗 围9:向境 内网站植入后 门的境~I,IP按地区分布 通信与信息技术2017年第5期 (总第229期) J
21
20 1
7/0g I
监 管通报 I
Communi cation&I nformati on Technol ogy 60o0000 500oOO0 4000000 3OOOO00 2000000 IOO0000 0 各 运 营 商 用 户 所 占 比 例 22 201 6年9月一201 7年8月 48270o7 2154276 63 95" ■ o2 一一 s88u工——一 lI¨I I I I - ● I lll 图10:境内木马或僵尸程序 受控主机IP数量月度统计 201 6年9月一201 7年8月 1398564 l 157725 1409439 8085 I1 ’I224 1:‘ 1n 一
一
1O 68"1 1
萌 ,9 ~ ~ 一
_
~
— — —
446l41 . 图1 1:境外木 马或僵尸程序 受控主机IP数量月度统计 2017年7月一8月 70.O% 一 60-0% r 50m ‘ 40.0% j 30_0% 20l 0粤§ 10- 0e 图12:境内木马或僵尸 程序 受控主机IP按地 区分布 201 6年 9月一201 7年 8月 山 东 7.7鬻 辽 宁 4.7茗 湖 北 4 .4 2017年7月一8月 中国台湾 6ooo0 5OooO 40000 30oo0 20o00 lOoo0 O 图14:境外木马或僵尸程序受控主机IP按国家或地区分布 201 6年9月一201 7年8月 4901S 16473 16206 1 3 8800 - 10030 。
一■ 一 . ● ■ ■ ■ ‘ ■ ■ 250oO 2Oo0O l5oo0 l0O0O 50o0 0 函 巫 ..
墼 五 至 % + 电信 + 联通 十 移动 圈 13:境内木马或僵尸程序 受控主机lP按运营商用 户分布趋势 图15:境内木马或僵 尸程序控制服务器 IP数量 月度统计 201 6年9月一201 7年8月 图1 6:境外木马或 僵尸程序控制服 务器IP数 量月度统计 北京 2017年7月一8月 羞 浙江 19.9 图17:境 内木马或 僵尸程序控制服 务器 IP按 地区分布 海 l茗 建 4% 东 7% 一 M 一。
口日6 4 2 桃■■ 艏 一
■■●I l 1
■■■ 皿I - 丽I —I ~I ■■ 唧r O
Communicati on&Informati on Technol ogy 『
统 计数据 {
20 1了/0g 四川省电信行业统计数据 (201 7年8月 )
指标名称 单位 全省 一、 通信业务指标 固定 电话用户 万户 16O1.1 移动 电话用户 万户 7475.8 (固定)互联 网宽带接人用户 万户 2067.4 移动互联 网用户 万户 6842.O 二、通信能力指标 长途光缆线路长度 公里 61291.7 本地 网光缆线路长度 公里 2232372.6 固定长途 电话交换机容量 万路端 37. 4 指标名称 单位 全省 局 用交换机容量 (含接人网) 万 门 718.0 移动 电话 交换机容量 万户 16428.3 三、综合指标 电信 业务总量 (当月值) 亿元 101.3 电信业务收入 (自年初累计)
亿元 420.4 固定 资产投资完成额 (累计)
亿元 81_7 四、通信水平 移动 电话 普及率 % 91.1 固定 电话 普及 率 % 1 9 . 5 备注:电话普及率统计口径发生变化。统计人数由户籍人口数更改为常住人口数。
查 蓄 商 用 户 誓 201 6年9月一201 7年8月 雾一
, :
?_,
等 + 电信 + 联通 ⋯ 移动 1 ~118:境 内木 马或僵 尸程序控制服务器IP按运营商分布趋势 器IP数量月度统计如图15所示。
2016年9月一2017年8月,境外木马或僵尸程序控制服务 器IP数量月度统计如图16所示。
2017年7月一8月境内木马或僵尸程序控制服务器IP的地 区分布情况如图17所示 ,其中数量最多的地区分别是广东 (占20.6%)、北京 (占14.1%)和江苏 (占13. 7%)。其 中四川有占2.2%,排名11位。
2017年7月一8月 图19:境外木马或僵尸程序控制服务器 lP按国家和地 区分布 2016年9月一2017年8月境内木马或僵尸程序控制服务器 IP中,中国电信用户所占比例较大 ,具体分布情况如图 18所示 。
境外木马或僵尸程序控制服务器IP的国家或地区分布 情况如图19所示。其中数量最多的国家或地区分别是美国 (占境 外21.3%)、俄罗斯 (占境外8. 6%)和中国香港 (占境外3.8%)。
通信与信息技术2o1
7年第5期 (总第229期) 1
23
推荐访问:网络安全检查情况通报 安全检查 情况通报 网络