中国互教材联网网络安全报告.pptVIP

中国互联网网络安全报告 (2008 年上半年) 来源于:国家计算机网络应急技术处理协调中心(英文简称CNCERT/CC 或CNCERT) 网络安全总体状况分析 网页篡改事件 木马和僵尸网络 安全漏洞 网络仿冒事件情况分析 恶意代码捕获及分析情况 网络安全形势严峻的原因 一.网络安全总体状况分析 网络安全总体状况分析 网络攻击的频次、种类和复杂性均比往年大幅增加，遭入侵和受控计算机数量巨大，潜在威胁和攻击力继续增长 各种网络安全事件数量与2007 年上半年同期相比有较为显著的增加 垃圾邮件事件和网页恶意代码事件增长较快，网页恶意代码同比增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长，同比增长分别23.7%和38%，其中涉及国内政府机构和重要信息系统部门的网页篡改事件、涉及国内外商业机构的网络仿冒事件是2008 年上半年事件监测和处置的重点。 二.网页篡改事件 网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势 现象：2008 年上半年我国大陆地区被篡改的.gov.cn 网站数量比往年同期增加41%，占被篡改网站总数的比例达到7%，而gov.cn 域名仅占.cn 域名总数的2.3% TIP:7% vs 2.3%,平均算下来每个政府网站会被篡改3次 原因：政府网站整体安全水平较低，往往是黑客攻击的重要目标 政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护，某些政府网站被篡改后长期无人过问，还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。 三.木马和僵尸网络 我国大陆地区感染木马和僵尸网络的主机数量巨大 木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序 僵尸网络是指由黑客通过控制服务器间接并集中控制的僵尸程序感染计算机群。僵尸程序一般是由攻击者专门编写的类似木马的控制程序，通过网络病毒等多种方式传播出去。由于受控计算机数目很大，攻击者可利用僵尸网络实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻击等各种恶意活动，成为当前互联网安全的最大威胁 比较来看，木马和僵尸网络虽然在控制方式和攻击的针对性、灵活性以及规模上有所区别，但是两者都是非常有效的远程监听和控制手段，尤其是在失窃密方面对国家安全造成了严重危害，因此国家互联网应急中心(CNCERT)对此两类事件进行了重点监测 国家互联网应急中心(CNCERT)在2008 年上半年抽样监测到，境内外控制者利用木马控制端对主机进行控制的事件中，木马控制端IP 地址总数为280068 个，被控制端IP 地址总数为1485868 个 2008 年上半年，国家互联网应急中心(CNCERT)通过技术手段发现并跟踪的僵尸网络中，基于IRC 协议的僵尸网络所用控制端口的分布情况如下图所示。其中，端口6667、1863 和8080 等是僵尸网络最常用的控制端口。 原因：造成木马和僵尸网络产生和扩散的一大途径是恶意代码的肆虐传播，其中，与网络游戏相关的恶意代码，恶意代码下载器及灰鸽子家族系列的恶意程序最为突出，对终端用户的威胁也更大 四.安全漏洞 信息系统软件的安全漏洞仍是各种安全威胁的主要根源，但层出不穷的应用软件安全漏洞的威胁也越来越大 国家互联网应急中心(CNCERT)对于漏洞发布予以高度重视，2008 年上半年共整理发布与我国用户密切相关的漏洞公告40 个，其中对大规模SQL Injection 事件的处理收效显著 什么是SQL Injection ？ 五.互联网业务流量监测分析 根据国家互联网应急中心(CNCERT)在2008 年上半年对互联网业务流量的抽样统计，在TCP 协议中，占用带宽最多的网络应用有四类：Web 浏览、P2P 下载、电子邮件和即时聊天工具。 小部分漏洞直接威胁到互联网基础设施的运行安全，大部分漏洞则严重威胁广大互联网用户的信息系统，如：Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。 UDP 协议中当前最占用带宽的是各类P2P 软件下载端口，迅雷、eMule、BT 等P2P 软件占用较大带宽。 六.网络仿冒事件情况分析 2008 年上半年国家互联网应急中心(CNCERT)共接到网络仿冒事件报告645 件，成功处理了237 件。被仿冒的网站大都是国外的著名金融交易机构。 被仿冒次数居前5名的网站： eBay (美国网上交易站点) 120 hsbc (汇丰银行) 118 Paypal (美国网上支付站点) 82 wachovia (美联银行) 19 yahoo (美国门户网站) 14 七.恶意代码捕获及分析情况 国家互联网应急中心(CNCERT)从2006 年开始陆续在全国部署Matrix 蜜网系统。 通过对Matrix 系统捕获的恶意代码样本分析，可以掌握目