高校安全风险分析及应急 ... -...
TRANSCRIPT
高校安全风险分析及应急工作实践
国家互联网应急中心 何世平
提纲
高校安全风险分析及应急工作实践
高校安全风险统计
行业领域对比
应急工作实践
2
一、从漏洞看风险
高校安全风险分析及应急工作实践建议
3
高校安全风险统计
行业领域对比
应急工作实践
一、从漏洞看风险——2016年高校漏洞风险统计
800
900784
897
• 截至11月28日,CNCERT主办的CNVD漏洞库向教育行业单位通报漏洞事件4496起,其中,下半年数量较多。8月起,教育行业漏洞事件(以及其他安全事件)处置机制由教育部科技司统一协调。
4
0
100
200
300
400
500
600
700
800
1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月
68 68
215 240
524471
185
551493
赛尔网络(CERNET)41%
教育部科技司59%
漏洞事件按月统计(来源:CNVD) 漏洞事件处置方统计(来源:CNVD)
一、从漏洞看风险——漏洞风险按类型统计
SQL注入 弱口令 XSS 文件上传 信息泄露 非授权访问 软硬件漏洞 其他漏洞
2297 661 20 155 443 113 286 521
• 从漏洞风险类型统计看,以常见WEB漏洞为主,较多的是SQL注入、弱口令、信息泄露、通用软硬件漏洞。
5
漏洞事件按风险技术类型统计(来源:CNVD)
一、从漏洞看风险——漏洞风险按类型统计
• 按地域分布,前五位分别是四川、北京、江苏、湖北、山东。
省份 数量
四川 358
北京 327
江苏 298
湖北 257
245
山西 93
重庆 86
黑龙江 80
福建 77
甘肃 65
6
山东 245
广东 202
辽宁 189
河北 178
上海 172
陕西 155
湖南 151
江西 134
浙江 133
河南 124
安徽 123
吉林 95
甘肃 65
天津 61
广西 51
新疆 48
贵州 45
云南 43
海南 26
内蒙古 19
青海 12
宁夏 8
西藏 5
一、从漏洞看风险——高校抽样案例
• 根据高校进行了抽样(未排序),特定高校涉及的风险数量如下表所示。
高校案例 数量
北京大学 24
电子科技大学 19
东北大学 25
东北师范大学 37
日期 漏洞名称
2016/2/1 上海交通大学分站SQL注入漏洞
2016/2/14 上海交通大学海外教育学院管理平台弱口令漏洞
2016/8/31 上海交通大学图书馆存在多个漏洞
2016/8/31 上海交通大学图书馆思源探索系统存在java反序列化命令执行漏洞
2016/9/8 上海交通大学继续教育学院存在SQL注入漏洞
7
东北师范大学 37
华南农业大学 39
厦门大学 33
山西财经大学 34
上海交通大学 19
四川大学 50
武汉大学 33
浙江大学 32
清华大学 21
南京大学 24
2016/10/12 上海交通大学农业部都市农业(南方)重点实验室存在SQL注入漏洞
2016/10/13 上海交通大学存在activeMQ未授权访问漏洞
2016/10/13 上海交通大学南洋学堂编辑器存在弱口令漏洞
2016/10/13 上海交通大学网络教育课程存在SQL注入漏洞
2016/10/13 上海交通大学网络课程存在SQL注入漏洞
2016/10/18 上海交通大学学生事务管理系统存在弱口令和远程命令执行漏洞
2016/10/20 上海交通大学数学科学学院存在SQL注入漏洞
2016/11/4 上海交通大学某无线路由存在弱口令漏洞
2016/11/7 上海交通大学安泰经济与管理学院存在weblogic SSRF漏洞
2016/11/7 上海交通大学某路由器存在弱口令漏洞
2016/11/9 上海交通大学闵行校区复杂物理研究中心存在SQL注入漏洞
2016/11/9 上海交通大学凝聚态物理研究所存在SQL注入漏洞
2016/11/10 上海交通大学先进光子学材料和物理实验室存在SQL注入漏洞
2016/11/14 上海交通大学出版社存在权限绕过漏洞
一、从漏洞看风险——关键词频分析
关键词 数量学院 1996教务 229
实验(教学) 202招生 144图书馆 121就业 113办公 105研究生 95
• 从漏洞标题的关键词频分析,第一位为学院,主要涉及分站或学院子站;各高校建设较多也同时面临较高安全风险的是教务系统、实验(教学)平台、招生平台、图书馆、就业平台。
8
研究生 95校园 60学报 38资产 34本科 33财务 30科研 24考试 22录取 20一卡通 12论文 11出版社 7缴费 5
书馆、就业平台。
一、从漏洞看风险——关键词频浅析
• 关键词之教务系统:供应链安全
正方教务管理系统软件
湖州师范学院正方教务系统存在SQL注入漏洞
武汉轻工大学正方教务管理系统存在SQL注入漏洞
重庆三峡学院正方系统存在SQL注入漏洞
无锡太湖学院正方教务管理系统存在SQL注入漏洞
清元优软URP教务系统软件
四川大学URP教务系统存在任意文件下载漏洞
南京农业大学URP教务系统存在任意文件下载漏洞
厦门大学嘉庚学院URP教务系统存在任意文件下载漏洞
9
无锡太湖学院正方教务管理系统存在SQL注入漏洞
沈阳理工大学正方教务系统存在SQL注入漏洞
兰州交通大学正方教务系统存在SQL注入漏洞
太原理工大学URP教务系统存在任意文件下载漏洞
河北工程大学URP教务系统存在任意文件下载漏洞
金窗教务系统软件
电子科技大学成都学院教务系统SQL注入漏洞
洛阳师范学院教务系统SQL注入漏洞
西安航空学院教务系统SQL注入漏洞
西华师范大学教务系统SQL注入漏洞
四川音乐学院教务系统SQL注入漏洞
一、从漏洞看风险——关键词频浅析
• 关键词之一卡通、缴费:信息泄露
10
一、从漏洞看风险——关键词频浅析
• 关键词之数字化校园:基础设施运行安全
11
一、其他事件——网页篡改事件比例
• 2013-2016年,被篡改网站类型分布
2013年 2014年 2015年 2016年
商业类(.com) 67.20% 71.80% 72.30% 72.70%
政府类(.gov) 10.10% 4.80% 3.70% 2.69%60.00%
70.00%
80.00%
政府类(.gov) 10.10% 4.80% 3.70% 2.69%
网络组织类(.net) 6.40% 6.70% 6.60% 7.22%
非盈利组织类(.org) 1.90% 2.00% 2.00% 1.93%
教育机构类(.edu) 0.40% 0.20% 0.10% 0.03%
其它 14.00% 14.50% 15.30% 15.42%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
2013年 2014年 2015年 2016年
商业类(.com) 政府类(.gov) 网络组织类(.net)
时间 .com .net .gov .edu .org 其他
2013年 58.3% 7.0% 3.2% 2.0% 2.3% 27.2%
境内被植入后门网站数量按域名类型分布情况
一、其他事件——网站后门事件比例
2014年 57.7% 6.4% 3.8% 2.9% 2.5% 26.8%
2015年 57.2% 5.4% 4.7% 2.6% 2.4% 27.7%
2016年-至今 65.6% 5% 3.1% 2.1% 2.7% 21.5%
二、行业领域对比
高校安全风险分析及应急工作实践
高校安全风险统计
行业领域对比
应急工作实践
14
高校信息系统外围探测情况
高校样本 域名(含子域)数量 服务器IP数量
清华大学 1484 710
上海交通大学 959 356
东北师范大学 418 137
清华大学 数量及案例
15
IPV4/IPV6 687/23
CNAME/节点域名207/160
tuna.tsinghua.edu.cnsz.tsinghua.edu.cn
其他外域
pridns.qhfz.edu.cndns2.edu.cn
dns2.online.edu.cndnsua.edu.cnda.edu.cn
qiye.163.commxbiz1.qq.comexmail.qq.comvip.sojump.com
高校信息系统外围探测情况
上海交通大学 数量及案例
IPV4/IPV6 337/19
CNAME/节点域名60/36
svr.physics.sjtu.edu.cnlib.sjtu.edu.cn
16
其他外域
webdir.online.partner.lync.cnns.88.com
mailhz.qiye.163.commakuwo.cn
ns3.dnsv3.com2001:da8esolver.com2001:c.birdnet.cn
seserver.se.sjtu.himot.commail.sj.com
autodiscover.partner.outlook.cnma.edu.cn
高校信息系统外围探测情况
东北师范大学 数量及案例
IPV4/IPV6 417/1
CNAME/节点域名
219/32vhost.nenu.edu.cnweb.nenu.edu.cnWeb*.nenu.edu.cn
17
Web*.nenu.edu.cnboda.nenu.edu.cn
nginxadmin.nenu.edu.cn
其他外域
smtphm.qiye.163.com5#mxbiz1.qq.com
pophm.qiye.163.com10#mxbiz2.qq.com
国家部委网站系统外围信息探测情况
• 2015年9月底,CNCERT利用域名监测系统以及主动探测手段对上述信息系统进行了细致排查。本次抽查的51个部门平均管理有64个域名网站(按域名或IP去重,并去除三级子域)。2014年同期排查为45个域名网站。
单位名称 子域数量
商务部 466
民政部 452
18
民政部 452
人民日报社(人民网) 445
宣传部 304
农业部 211
中央纪委(监察部) 142
海关总署 101
财政部 85
国土资源部 79
工信部 78
国家部委网站检测总体情况
• 门户主站存在高危漏洞风险的情况较2014年(9个部门)持平,为7个。
年份 高危风险点 中危风险点 低危风险点
2013年(39个部门均值)
4.77 6.41 1.92(39个部门均值)
2014年(61个部门均植)
6.67 6.04 1.13
2015年(51个部门均值)
8.70 7.15 3.09
加权风险值(高危*10+中危
*4+低危*1)
2015年部门风险均值为118.7(修正值为104.9),上升13.8%
2014年部门风险值为92.2,上升23%2013年部门风险值为75.2
19
邮件系统专项测试——总体概况
• CNCERT对部委网站邮件系统进行了重点检测,通过以下两种方式进行,一是通过邮件系统应用识别,检查邮件系统软件漏洞;二是通过社会工程
学方式对暴破在互联网上的邮件系统用户账号进行碰撞攻击。
考查内容 总体结果
安宁邮件(15部门),占比29.4%;亿邮邮件(9部门),占比17.6%;
20
邮件系统版本统计
亿邮邮件(9部门),占比17.6%;盈世邮件(6部门),占比11.8%;
其他:敏讯邮件4部门,微软邮件3部门,网易邮箱2部门,三零盛安邮件2部门,其他品牌4部门,有6部门服
务器未暴露在互联网上或未找到
是否暴力破解尝试通过Web界面、POP3、SMTP端口可进行爆破的有38个
部门,占比74.5%
邮件系统WEB漏洞共有12个部门存在高危漏洞,占比23.5%共有11个部门存在中危漏洞,占比21.6%
社工库安全风险共有1170个部委邮件账号在互联网可见,其中14个部门
(共59个账号)存在社工风险
DNS系统普查
• CNCERT对国务院部委和中共中央直属机构的DNS权威服务器也进行了初步检测,主要对冗余性、是否开放递归服务、是否宣告软件版本以及是否存在域传送漏洞等情况进行检测。
考查内容 数量(按部门数量统计) 备注
不符合冗余性 6,占比11.8%按有多台权威服务器、在不同运营
商网段统计
21
开放递归服务 19,占比37.2%
存在域传送漏洞 5,占比9.8% 请见2.2,有验证截图
暴露系统软件版本
16,占比31.4%查到的都已经在2.1表中体现,表中
版本列为空的代表未获取到版本信息(如修改、失效等)
自建或采用第三方服务
25,占比49%
在第三方服务中,只有北京万维通港、东方网景存在开放递归服务的配置缺陷,其余配置缺陷均出现在
自建服务器中。
网站风险——.GOV.CN泛解析
• 2015年,CNCERT从域名解析记录中获得910万.gov.cn域名(很多为泛域名情况,其中*.jinchuan.gov.cn有50余万),可解析得到地址的约为500万。
900万 域名总解析记录数
22
500万
400万
可解析到IP地址
解析IP在境外其中,192.151.149.75上有391万
网站监测——.GOV.CN域名劫持
• 根据去重域名,三级独立域名共计65702个,其中有子域名指向境外的独立域名1934个,占比例2.9%,其中有部分指向的是色情、博彩等页面。
23
NS记录A记录
政府部门行业特点总结
• 2014年
61个部门平均值92.2
• 2013年
39个部门平均值75.2
结论1:子站(子域网站)仍然是高危风险重点区域,内网安全隔离策略、基线风险点暴露仍然较为突出
• 2015年
51个部门平均值104.9
线风险点暴露仍然较为突出
• .gov.cn受到黑产组织关注
因素:黑客地下产业牟利、
境外黑客发起后门攻击
• 安全防护和主动安全需加强
案例:博彩页面存活时间长
常规Web漏洞防护不全面
自建系统运行不规范
结论2:安全运维未形成机制化和技术体系化,基本防护措施普及不到位,自建自维系统力量不强
24
政府部门行业特点总结
• .gov.cn服务器攻击价值DNS劫持、服务器驻留
案例: .gov.cn域名泛解析威胁
代理跳板、价值目标入口
结论3:.gov.cn的脆弱性是其在网络空间的存在价值之一,但更高级的攻击并不仅限于此
• 泛技术攻击风险邮件系统、内网、社会工程学
案例: 邮件系统、内网区域可被发起
“水坑”攻击;
外泄的个人信息构成外围风险;
结论4:政府网站安全本身不是网络空间的独立支点,社会工程学威胁将更多出现。
25
三、应急工作实践
高校安全风险分析及应急工作实践
高校安全风险统计
行业领域对比
应急工作实践
26
CNCERT简介
国家计算机网络应急技术处理协调中心
2002年成立,隶属于工业和信息化部领导下的国家级网络信息
安全机构,英文简称CNCERT/CC
31个省级分中心,具备全国性的互联网网络安全信息共享、技术协同
能力,建设有 跨网络、跨系统、跨地域的公共互联网网络
安全应急技术支撑体系
健全的境内外安全协作体系
境内
互联网通报与处置工作体系(400余单位)
境外
66个国家
中国互联网协会网安委员会
CNVD
中国互联网协会网安委员会
ANVA
中国互联网协会网安委员会
CCTGA
165个组织
境内-合作体系
国内合作体系
电信 联通移动
浪潮
证券
保险税务银行
新网数码
新网互联万网
华为天融信绿盟启明 东软 联想
百度
腾讯
厦 U电信 联通移动
科技
海关民航铁路电力
奇虎360
应用汇机锋网安卓网
网秦金山
瑞星微软 安天 任子行
教育CNNIC网易
度
新浪
长城 经贸
厦门易名
UC优视
收集 报送CNVD
漏洞库
2009年-2016年
境内—CNVD漏洞库
人才汇聚 民间资源 体系协作 支撑政府
3000+白帽子 第三方漏洞平台46家成员单位1000+厂商
50+通报/日
漏洞库
案例1 Apache Struts S2-032漏洞
Apache Struts 发布S2-032公告
专项工作结束,发布监测和处置
报告
CNVD启动监测和处置专项工作
2016年4月,互联网上披露了Apache Struts 2 S2-032远程代码执行漏洞(CNVD-2016-02506,CVE-2016-3081 )的利用代码,远程攻击者利用漏洞可在开启动态方法调用功能的Apache Struts 2服务器上执行任意代码(高危,CVSS 2.0 Base Score 10.0)。
4月21日 5月7日
安全业界披露P.o.C
S2-032公告发布监测和处置
报告处置专项工作
已发现大规模检测或攻击情况
4月25日 4月27日 4月29日
S2-032监测和处置情况(1)
(数据来源:CNVD)
S2-032监测和处置情况(2)
行业领域 数量 百分比
政府部门 231 28.3%
教育机构 80 9.8%
金融行业 57 7.0%
保险行业 15 1.8%
S2-032受影响网站数量
.edu.cn网站抽样 受影响数量 百分比
S2-016(706个样本)
196 28%
S2-032与S2-016 .edu.cn网站抽样
保险行业 15 1.8%
证券行业 7 0.9%
能源行业 4 0.5%
交通行业 48 5.9%
电信运营商 59 7.2%
互联网企业 206 25.2%
其他企业 110 13.5%
总计 817 100.0%
(数据来源:WOOYUN)
(706个样本)
S2-032(706个样本)
29 4.1%
(数据来源:上海交通大学网络信息中心)
S2-032监测和处置情况(3)
行业领域 修复或防护百分比
政府部门 93.7%
教育机构 96.6%
金融行业 100.0%
保险行业 100.0%保险行业 100.0%
证券行业 100.0%
能源行业 100.0%
交通行业 96.7%
电信运营商 95.5%
互联网企业 94.3%
其他企业 93.1%
(数据来源:WOOYUN)
案例2—海康威视“黑天鹅”事件
• 超过23万台海康威视产品IP中,69.4%的联网设备存在弱口令或其他高危漏洞CNCERT监测发现,我国
大量监控设备受控
2015年2月,江苏省某厅下达《关于立即对全省海康威视监控设备进行全面清查和安全加固的通知》
海康威视监控存在严重安全隐患,部分设
高危漏洞CNCERT监测发现,我国48万多台设备被某类型木马控制,其中包括8473台海康威视监控设备
69.4%
备已经被境外IP地址控制
下跌
股价持续下跌
案例2——“海康威视事件”前后发生什么?
出现“海康威视产品存在安全风险危害国家
安全”传闻
向海康威视公司通报多起产
品漏洞
海康威视公司从售后渠道截获恶意样本情况,CNCERT
监测分析
2013年3月 2015年3月
互联网出现智能设备受控制的恶意样本情况
开展智能终端设备漏洞影响情况通报和处置工作
我国基础电信企业DNS服务器出现被大量受控智能终端攻击源攻击的情况
2014年初 2014年8月 2014年12月 2015年2月
开展高校网络安全应急工作的条件分析
教育行业
网络安全与
信息化领导
小组 高校资源
37
小组
国际口与教
育网骨干节
点
行业协会
工作组
防护架构模
式
高校资源
网络信息
安全专业
网络安全
测评
特定威胁
科研项
目资料
用户信
息保护
网站黑
链
远控威
胁
新技术
威胁
教育行业应急工作相关建议
乘 加建立与国家网信部门工作体系、国家应急保障体系的衔接,完善行业外合作机制,持续开展高校网络安全检查工作,针对重点威胁开展专项治理,组织
建立统一协调机制,健全安全运维的技术覆盖范围和标准体系,通过行业协作方式补齐单位个体短板,逐步建立教育网全网安全监测与保障技术体系
除
减
威胁开展专项治理,组织人才培养活动,建立教育行业安全技术队伍
减少不必要的业务出口以及不恰当的信息系统外围入口,适当采用社会化服务力量,对于关键基础设施、应用加速等采取集中防护
高校高校安全安全
38
建立安全考核责任制,督促各层级做好安全保障责任落实,建立高校供应链以及应急响应安全黑名单
CNCERT支撑教育行业安全保障与服务
CNCERT
网络安全应急协作
网络安全保障社会化服务
全网能力与教育行业能力同步
支撑开展行业监管\检查
网络安全培训与竞赛活动
