关于天融信


天融信2013年 “两会”安全保障监测工作报告

时间:2013-03-22 作者: 来源:
一、工作背景
 “全国人民代表大会”和“中国人民政治协商会议”(简称“两会”)于2013年3月在北京召开,此次“两会”是中国政府换届大会,在国内外引起高度重视。同时在“两会”前夕美国无端指责中国的“黑客论”以及美国部署网络攻击部队的舆论给“两会”网站安全保障工作提出了更为艰巨的任务。天融信公司作为国内最大的信息安全产品和服务综合提供商对此次网站安全保障工作高度重视,对其公司内的安全云服务中心提出了“两会”网站安全保障要求。天融信安全云服务中心于2013年3月1日至3月19日期间为全国13个地区的207家客户的1042个网站提供了7*24小时不间断的网站安全保障监测工作。

二、保障范围
本次“两会”网站安全保障监测工作的服务对象主要包括以下几类:
 
天融信安全云服务中心在本次“两会”网站安全保障监测工作中涉及的行业领域包括:政府、企业、教育、医疗卫生、金融、能源等行业。
 
三、工作内容
1.网站安全保障

首页篡改监测
天融信安全云服务中心对用户指定的网站首页面进行实时监控,对网站首页面的大小、页面元素等进行比对,及时发现页面被恶意篡改、删除等安全事件。当安全云服务中心发现网页篡改事件后,10分钟内向用户进行预警,告知详细的事件信息,并提供页面恢复方案建议,使用户能够迅速恢复页面,减小网页篡改事件给用户带来的不利影响。

网站安全检测服务
针对黑客利用网站安全漏洞,获取Web服务器控制权限,篡改客户网页内容或在页面中植入恶意代码及窃取企业内部重要数据资料等安全问题。天融信安全云服务中心采用多种Web应用漏洞检测平台,对客户网站可能存在的SQL注入漏洞、XSS跨站脚本、目录遍历、文件上传等安全隐患进行了检测。同时为保证服务质量,做到不误报、不漏报,安全云服务中心的安全专家还对客户网站存在的漏洞进行了手工验证分析,并对存在安全漏洞的网站进行了及时预警。

网页挂马监测
天融信安全云服务中心通过网站安全检测系统的木马检测特征库,对网站页面进行定时检测,基于静态特征匹配、异常状态检测等技术手段,判别网站页面是否存在被植入的木马程序。

2.人员保障
为了保证服务质量,及时发现客户网站系统存在的安全问题,做到不误报、不漏报,发现问题及时预警,在综合考虑监控人员的工作量的情况下,天融信安全云服务中心工作人员分为安全监控组和安全分析组,对客户网站采取7X24小时远程人工值守方式进行监控,具体安排如下:
·7X24小时实时监控工作由2名安全监控人员和2名安全分析人员共同完成;
·安全监控人员发现安全事件后先进行初步分析,并将初步分析结果发送给安全分析人员。分析人员验证后,将验证结果反馈给监控人员,并由监控人员发送预警。
·现场服务人员手机保持7X24小时开机状态并保持畅通,以便在紧急情况下可以随时进行现场应急响应工作。

四、数据分析
天融信安全云服务中心在本次“两会”网站安全保障监测工作期间;共监测到安全事件12902起,发送网站安全紧急高危预警报告61份。
 
天融信安全云服务中心在本次“两会”安全保障监测工作中发现的安全事件包括安全漏洞11322个、网站篡改事件713起、网站挂马事件541起、网络中断事件322起、敏感关键字事件4起。
 
天融信安全云服务中心在本次“两会”安全保障监测工作中发现的安全漏洞根据对网站造成的实际影响划分为:紧急、高危、中危、低危、信息类漏洞,各级别漏洞的分布情况如下图:
 
 
天融信安全云服务中心在本次“两会”安全保障监测工作中由于监测的网站主要集中在政府、教育行业,所以所发现的安全事件也比较集中在这两个行业中。

其中政府网站安全状况不容乐观,大量紧急安全漏洞并未修复如:SQL注入类漏洞、phpMyadmin软件源码漏洞、Apache Struts Xwork远程代码执行漏洞等,这些漏洞在被恶意攻击者利用后可对网站进行木马植入及页面篡改等操作,在此次安全事件分析中发现政府网站的页面篡改后并未出现涉及政治敏感内容,篡改内容大多为色情、电商钓鱼页面。

大部分高校主站安全状况良好,但由于高校二级域名归属各院系及其它行政单位所维护故造成高校二级域名网站存在比较严重的安全风险;个别高校二级域名网站内容已被篡改,篡改内容大多为色情、广告页面。大部分高校二级域名网站服务器并不在学校的信息中心机房,而是托管在廉价IDC或虚拟服务提供商中,故造成网络中断事件频发,对此类事件各高校信息中心也表示无法处理。

金融行业网站在此次安全保障监测工作中网站接入数量不大,但在同一网站的多个页面中普遍存在Flash跨站脚本、DOM的跨站脚本等高危漏洞,这些漏洞可被攻击者利用形成钓鱼页面,给客户带来业务损失及不良声誉。

部分企业网站由于安全意识薄弱出现了后台管理路径、管理员账号等敏感歇息的泄露,这些信息可被攻击者直接利用从而完全控制网站。
由于能源行业所监测的网站数量较少故发生的安全事件量也较少,无法反映出能源行业整体安全状况。
 
天融信安全云服务中心在本次“两会”网站安全保障监测工作中发现的安全事件主要集中在北京、吉林、浙江等地区,发生安全事件的数量与该区域内网站接入数量成正比。
 
五、总结与建议
天融信安全云服务中心在公司大力支持下很好的完成了“两会”网站安全保障监测工作,在此感谢各部门的支持与帮助。同时在此次网站安全保障监测工作中客户的一些安全问题引起了我们注意,具体如下:
1.在发生的安全事件中,网站的安全漏洞数量巨大造成了不同程度的安全隐患,多年来日益积累的紧急和高危漏洞并没有得到及时的修复,给网站安全带来严重威胁。
2.部分网站在已被篡改、挂马的情况下,由于网站维护人员安全运维意识薄弱并没有及时发现,已经造成了严重的影响。
3.一些网站已经被不同恶意攻击者所控制,网站上的木马、篡改等安全事件并发出现,提高了清除与修复的难度。
4.未修复漏洞的网站已完全暴露在恶意攻击者的手中,成为了恶意攻击者的“盘中肉”,网站随时可以被篡改、被挂马。
5.网站前端虽已部署了安全防御设备,但由于持续性安全运维能力不足造成了安全策略更新不及时,使安全防御形同虚设。
6.一些网站已成为恶意攻击者的跳板可随时进入客户的办公内网,造成内部资料泄露、内网主机被控事件频发现象。
7.当前用户网络中发生的安全事件,往往是在已经造成严重影响时才能引起注意,例如:当蠕虫病毒爆发时,往往是在网络速度明显下降、受感染系统无法正常使用时才会被发现;当应用系统受到DDoS攻击时,往往是在网络堵塞、应用系统无法正常运行时才引起IT管理人员的注意;当网站页面被篡改或植入木马造成不良影响后才被通知相关维护人员。

针对以上问题天融信安全云服中心建议客户加强网站安全监测与安全运维水平,提高自身安全意识,加大信息安全保障能力。同时天融信安全云服务中心在面对恶意攻击者的嗅探、渗透、攻击等安全事件时可为客户提供基于网络安全设备的7X24小时实时监控服务,此服务可及时、准确的发现安全事件、定位事件攻击源,并提供安全事件分析及解决建议,在安全隐患被利用前,指导用户做好安全防护工作,降低用户面临的安全风险。

近年来,随着我国信息化程度的不断提高,信息安全保障体系的建设已经成为国家战略体系中的重要组成部分。

2012年7月17日,国务院正式对外发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号,意见中强调:“完善国家网络与信息安全基础设施,加强网络与信息安全专业骨干队伍和应急技术支撑队伍建设,提高风险隐患发现、监测预警和突发事件处置能力。”

2012年11月8日,中共中央总书记胡锦涛在十八大工作报告中明确要求“建设下一代信息基础设施,发展现代信息技术产业体系,健全信息安全保障体系,推进信息网络技术广泛运用。”,并将健全信息安全保障体系作为今后一个时期我国信息化建设的重点任务之一。

天融信作为国内领先的民族信息安全企业,也肩负着完善我国信息安全保障体系的使命。天融信安全云服务中心(前身为天融信安全运维中心)自2004年以来一直致力于为客户信息系统提供7X24小时实时监测服务,帮助客户及时发现、响应信息安全事件。天融信安全云服务中心在9年间承接过北京奥运会、上海世博会、广州亚运会及国家重要信息安全保障时期的网络安全监测工作,同时常年承担国家重要部委及重要信息系统的网络安全监测工作。

秉承“感知、融合、可信赖”的安全服务理念,天融信安全云服务中心将始终一如既往的为客户提供专业化的7X24小时实时监控服务产品,解决客户的后顾之忧。

北京天融信安全云服务中心
联系方式:80754175 
soc@topsec.com.cn
2013年3月