附件上海重点网站运行安全分析报告2014年一季度.DOCVIP

3 上海市重点网站运行安全分析报告（2014年一季度）上海市网络与信息安全应急管理事务中心二○一四年四月PAGE \* MERGEFORMAT17 1 一、本市重点网站运行安全情况（一）网站运行安全状况评估分布本季度全市210个重点网站，总体运行安全状况较好，其中运行安全状况Ⅰ级有167家，占79.52%，与上季度基本持平，上升0.81%，运行安全状况Ⅳ级有2家，占0.95%，较上个季度下降1.03%，具体情况如下图所示。各网站安全运行等级可参见本报告附录I部分。（二）网站运行安全状况趋势我中心通过对全市各重点网站的持续检测分析发现，全市210个重点网站，运行安全状况逐季度好转，运行安全状况Ⅰ级的单位从2013年一季度的135家，上升到本季度的167家，上升23.7%，运行安全状况Ⅳ级的单位从2013年一季度的12家，大幅下降到本季度的2家，下降83.3%。近一年的网站安全运行趋势如下图（单位：个）：（三）安全事件和风险情况本季度未在各重点网站发现网页篡改、信息泄露、网站挂马、域名劫持、断开链接类的网络与信息安全事件。本季度在各重点网站上共监测到64次安全风险，其中高危风险7种37次，中危风险4种9次，低危风险6种18次，共影响47家网站运行安全（31家发现高危，5家发现中危，11家发现低危）。主要风险发生分布情况如下图所示：本季度高危风险排前两位的是“跨站点脚本编制”、“存储型跨站点脚本编制”，与上季度相同，但影响网站数量比上季度分别下降了0.51%和上升了0.89%。从本季度情况来看，仍约有八分之一的重点网站受高危风险“跨站点脚本编制”的影响，望各重点单位引起重视，重点排查，消除风险。（四）本季度主要安全风险说明及解决方案1．后台登录地址泄露网站后台登录多用于网站管理人员进行网站的日常维护，但如果网站后台登录地址泄露，被黑客获取后，会严重的威胁网站整体的安全性，造成重大损失。网站存在后台登录地址解决方案：(1)将后台登录地址隐藏，改为不易猜到的路径。(2)配置好后台登录地址的访问权限，比如只允许某个IP或IP段的用户访问。(3)网站检测出存在服务端统计信息文件应及时删除。(4)网站存在用于存放敏感的文件的目录，可以考虑将这些目录从网站目录中分离出来，或改为不易猜测的路径，并配置好访问权限。2．多供应商 %20 脚本源代码泄露Unify eWave ServletExec 是一个Java/Java Servlet 引擎插件，主要用于WEB服务器，例如：Microsoft IIS, Apache, Netscape Enterprise 服务器等等。当一个HTTP 请求中添加”%20”、”%2E”等字符时，ServletExec将返回JSP源代码文件。该漏洞将可能导致指定JSP文件的源代码泄露。解决方案：(1)若未使用任何静态页面或图像，可以配置一个默认的servlet，并将“/”映射到这个默认的servlet。这样当收到一个未映射到某个servlet的URL时，这个默认的servlet就会被调用。在这种情况下，默认的servlet可以仅仅返回“未找到文件”。(2)若使用了静态的页面或图像，仍然可以作上述的配置，但是需要让这个默认的servlet处理对合法的静态页面和图像的请求。(3)将*.jsp+、*.jsp.和*.jsp\等映射到一个servlet，而该servlet只是返回“未找到文件”。对于*.jsp%00和*.jsp%20这样的情况，映射应以未经编码的形式输入。二、市城域网网络安全威胁监测状况（一）本季度监测状况综述一季度城域网未发生大规模或高危害的网络与信息安全事件。我中心通过采样监测分析发现，对本市城域网、重要信息系统和重点网站发起的漏洞攻击和网络扫描事件，分别达到181,105,511次和5,372,374,946次，占到所有网络与信息安全事件总量的99.47%。各类安全事件的采样监测情况如下图所示（单位：次）。本季度监测到拒绝服务事件，主要事件类型为“ICMP_固定源IP的PING_FLOOD攻击” ICMP_固定源IP的PING_FLOOD攻击同一源对一个目的的大量ICMP碎片数据包，可能造成拒绝服务。ICMP（Internet Control Message Protocol，Internet控制信息协议）是Internet ICMP_固定源IP的PING_FLOOD攻击同一源对一个目的的大量ICMP碎片数据包，可能造成拒绝服务。ICMP（Internet Control Message Protocol，Internet控制信息协议）是Internet控制信息协议，用于在主机和网关之间消息控制和差错报告。ICMP使用IP数据报，但消息由TCP/IP软件处理，对于应用程序使用者是不可见的。 ICMP_