上海市重点网站运行全分析报告.doc

上海市重点网站运行安全分析报告 （2014年一季度） 上海市网络与信息安全应急管理事务中心 二○一四年四月一、本市重点网站运行安全情况 （一）网站运行安全状况评估分布 本季度全市210个重点网站，总体运行安全状况较好，其中运行安全状况Ⅰ级有167家，占79.52%，与上季度基本持平，上升0.81%，运行安全状况Ⅳ级有2家，占0.95%，较上个季度下降1.03%，具体情况如下图所示。各网站安全运行等级可参见本报告附录I部分。 （二）网站运行安全状况趋势 我中心通过对全市各重点网站的持续检测分析发现，全市210个重点网站，运行安全状况逐季度好转，运行安全状况Ⅰ级的单位从2013年一季度的135家，上升到本季度的167家，上升23.7%，运行安全状况Ⅳ级的单位从2013年一季度的12家，大幅下降到本季度的2家，下降83.3%。近一年的网站安全运行趋势如下图（单位：个）： （三）安全事件和风险情况 本季度未在各重点网站发现网页篡改、信息泄露、网站挂马、域名劫持、断开链接类的网络与信息安全事件。本季度在各重点网站上共监测到64次安全风险，其中高危风险7种37次，中危风险4种9次，低危风险6种18次，共影响47家网站运行安全（31家发现高危，5家发现中危，11家发现低危）。主要风险发生分布情况如下图所示： 本季度高危风险排前两位的是“跨站点脚本编制”、“存储型跨站点脚本编制”，与上季度相同，但影响网站数量比上季度分别下降了0.51%和上升了0.89%。从本季度情况来看，仍约有八分之一的重点网站受高危风险“跨站点脚本编制”的影响，望各重点单位引起重视，重点排查，消除风险。 （四）本季度主要安全风险说明及解决方案 1．后台登录地址泄露 网站后台登录多用于网站管理人员进行网站的日常维护，但如果网站后台登录地址泄露，被黑客获取后，会严重的威胁网站整体的安全性，造成重大损失。 网站存在后台登录地址解决方案： (1)将后台登录地址隐藏，改为不易猜到的路径。 (2)配置好后台登录地址的访问权限，比如只允许某个IP或IP段的用户访问。 (3)网站检测出存在服务端统计信息文件应及时这些目录 2．多供应商 %20 脚本源代码泄露 Unify eWave ServletExec 是一个Java/Java Servlet 引擎插件，主要用于WEB服务器，例如：Microsoft IIS, Apache, Netscape Enterprise 服务器等等。当一个HTTP 请求中添加”%20”、”%2E”等字符时，ServletExec将返回JSP源代码文件。该漏洞将可能导致指定JSP文件的源代码泄露。 解决方案： (1)若未使用任何静态页面或图像，可以配置一个默认的servlet，并将“/”映射到这个默认的servlet。这样当收到一个未映射到某个servlet的URL时，这个默认的servlet就会被调用。在这种情况下，默认的servlet可以仅仅返回“未找到文件”。 (2)若使用了静态的页面或图像，仍然可以作上述的配置，但是需要让这个默认的servlet处理对合法的静态页面和图像的请求。 (3)将*.jsp+、*.jsp.和*.jsp\等映射到一个servlet，而该servlet只是返回“未找到文件”。对于*.jsp%00和*.jsp%20这样的情况，映射应以未经编码的形式输入。 二、市城域网网络安全威胁监测状况 （一）本季度监测状况综述 一季度城域网未发生大规模或高危害的网络与信息安全事件。我中心通过采样监测分析发现，对本市城域网、重要信息系统和重点网站发起的漏洞攻击和网络扫描事件，分别达到181,105,511次和5,372,374,946次，占到所有网络与信息安全事件总量的99.47%。各类安全事件的采样监测情况如下图所示（单位：次）。 本季度监测到拒绝服务事件，主要事件类型为“ICMP_固定源IP的PING_FLOOD攻击”以及“ICMP_PING_FLOOD分布洪流攻击”，占本季度拒绝服务事件总量的95.56%，未构成实质性的危害。 漏洞攻击事件类型主要为“UDP_目的端口为0”，该类事件占本季度漏洞扫描事件总量的99.04%。 网络扫描事件类型主要为“ICMP_PING_回答事件”以及“ICMP_PING_事件”，这两类事件占本季度漏洞扫描事件总量的97.46%。 （二）季度监测状况对比分析 经对比分析发现，病毒蠕虫类事件量较上季度有显著降低；拒绝服务攻击、漏洞攻击、网络扫描等事件量较上季度均有较大幅度上升，各类安全事件所占比例基本与上季度一致，对比分析结果如下表所示（单位：次）： 季度 事件 2013年第四季度 2014年第一季度 事件数量 百分比 事件数量 百分比 病毒蠕虫 23222 0.0006% 15716 0.0003%