网络安全

2017年6月西藏自治区互联网网络安全月报

发布时间: 2017-08-01 11:42:45    浏览次数: 40

一、6月我区网络安全基本态势

    2017年6月,西藏网络运行总体平稳,互联网骨干网各项监测指标正常,未出现造成较大影响的基础网络运行故障,未发生较大以上网络安全事件。2017年6月,根据西藏分中心流监测分析系统对西藏电信、移动、联通三个公司的省际出口流量监测结果,发现全网流量基本正常,无异常流量。

二、我区网络流量监测情况

(一) 全网流量

    2017年6月,我区全网流量峰值为382Gbps,峰值出现时间为6月25日22:25,每日22:00至00:00流量较高;全网流量谷值为62Gbps,谷值出现时间为6月19日6:15,每日6:00至7:30流量较低;全网平均流量为219.05 Gbps;全网流量按传输协议分析,TCP占67.96%,UDP占31.95%;全网流量抽样如图1所示。

        

     图1:全网流量抽样图

(二) 跨地域流量

   2017年6月,从外省流入我区的总流量为165634.67Tb,最多的省份分别为陕西(25970.63Tb,约占15.68%)、甘肃(25413.75Tb,约占15.34%)和四川(17861.73Tb,约占10.78%);除甘肃和四川外,云南和青海涉藏两省流入我区流量分别为9881.29Tb(约占5.97%)和211.15Tb(约占0.13%),海南是外省流入我区流量最少的省。流量分布情况如图2所示。

图2:流入我区的流量地区分布图

(三) 应用协议分析

2017年6月,全区全网流量最高的TCP和UDP端口及相应的应用协议分布如表1和表2所示。

端口号

排名

百分比

主要业务种类

端口号

排名

百分比

主要业务种类

80

1

87.58%

网页服务

123

1

27.09%

网络时间服务

443

2

6.35%

安全服务

1863

2

20.49%

未知

1935

3

0.91%

未知

1864

3

11.18%

未知

8080

4

0.68%

未知

12345

4

6.73%

未知

9010

5

0.46%

未知

8000

5

3.42%

MSN服务

8088

6

0.43%

未知

1865

6

2.54%

未知

1443

7

0.41%

SQL服务

5041

7

2.47%

聊天服务

4466

8

0.29%

未知

7273

8

2.35%

未知

1863

9

0.18%

未知

54321

9

1.81%

未知

54321

10

0.17%

未知

1024

10

1.32%

未知

表1:TCP协议端口TOP10分布表             表2:UDP协议TOP10端口分布表

三、网络安全事件分析

(一) 木马僵尸活动情况

    2017年6月,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)对木马僵尸的活动状况进行了抽样监测,发现境内482.7万个IP地址对应的主机被木马或僵尸程序秘密控制,事件高发的三个省份分别为广东(约占15.14%)、浙江(约占7.06%)和江苏(约占7.02%),其分布情况如图3所示;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址有49018个,事件高发的三个省份分别为江苏(约占12.68%)、山东(约占11.98%)和浙江(约占8.59%),其分布情况如图4所示:

 

 

图3:境内木马或僵尸程序受控主机地区分布

 

图4: 境内木马或僵尸程序控制服务器IP按地区分布

    我区被境内木马、僵尸控制的IP数量为5154个;我区被利用作为木马或僵尸程序控制服务器对应的IP数量为25个。

(二)“飞客”蠕虫病毒事件

    2017年6月,CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测,发现境内感染“飞客”蠕虫的主机IP 地址共49.25万个。事件高发的三个省份分别为广东(约占28.03%)、江苏(约占13.85%)和北京(约占6.08%),其分布情况如图5所示:

       

图5:境内感染飞客蠕虫的主机IP按地区分布

    我区感染飞客蠕虫病毒主机IP数量380个,较2017年5月份下降0.5%。

(三)网页篡改事件

    2017年6月,CNCERT/CC对网页篡改事件进行了抽样监测,发现境内被篡改的网站共3669个。事件高发的三个省份分别为广东(约占24.31%)、河南(约占16.11%)和北京(约占15.92%),其分布情况如图6所示;境内被篡改网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占73.13%)、.NET(约占5.86%)和.GOV(约占3.19%),其情况如图7所示。

 

图6:境内被篡改网站按地区分布

图7:境内被篡改网站按类型分布

    6月份,我区被篡改的网站数量为0个。

(四)网站后门事件

    2017年6月,CNCERT/CC对网站后门事件进行了抽样监测,发现境内网站后门事件共4226个,事件高发的三个省份分别为广东(约占28.23%)、北京(约占17.39%)和河南(约占8.28%),其分布情况如图8所示;境内被植入后门网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占55.28%)、.NET(约占6.77%)和.GOV(约占5.04%),其情况如图9所示。

    

图8:境内被植入后门网站按地区分布

    图9:境内被植入后门网站按类型分布

    6月份,我区未发现被植入后门的网站。

四、业界新闻速递

(一)U盘病毒“替身”大量交叉感染 打印店电脑成病毒传染扩散载体

    6月3日消息,360互联网安全中心发布病毒警报称,一款名为“替身”的U盘病毒正在全国范围内大量交叉感染,各地打印店的电脑成为病毒传染扩散的载体。时值毕业季,学生群体打印毕业论文等资料时极易遭到此类病毒攻击。

    360反病毒工程师谭合力介绍说,“替身”病毒具有很强的迷惑性,会把U盘里的文件资料隐藏起来,并创建与被隐藏资料相同名称的快捷方式作为“替身”。如果受害者在使用电脑时双击打开快捷方式,U盘里的病毒就会被激活运行,感染它所连接的电脑,从而实现在不同电脑间快速交叉传播。

    谭合力表示,与以往常见的U盘病毒不同的是,“替身”病毒更顽固,它会启动一个“守护”进程专门保护病毒。被病毒隐藏的U盘资料,尽管可以通过设置“显示隐藏文件”找到,但是病毒创建的快捷方式仍然会留在U盘里。谭合力提醒说,一定不能手动删除快捷方式,这样会导致U盘资料被病毒清空。如果发现病毒感染情况,应使用专业安全的查杀软件对U盘杀毒,可以彻底清除“替身”等U盘病毒,并修复被病毒感染破坏的文件。

(二)国家工业信息安全产业发展联盟成立 首批成员单位高达149家

    6月14日消息,国家工业信息安全产业发展联盟成立大会近日在京举行,标志着联盟的成立。

    国家工业信息安全产业发展联盟接受工业和信息化部业务指导。工业和信息化部部长苗圩担任联盟指导委员会主任,中国工程院院士邬贺铨担任联盟专家咨询委员会主任。国家工业信息安全发展研究中心是首届理事长单位,所长尹丽波担任联盟理事长。

    据悉,目前联盟首批成员单位已达149家,包括神华集团、中车集团、航空工业、中国兵装、中国电子信息产业集团等18家副理事长单位,中核集团、中船重工、中石化、中钢集团、中国烟草等45家理事单位。

    苗圩在成立大会上指出,随着新一代信息技术与制造技术加速融合,由于安全防护措施不足而引发的工业信息安全事件频繁发生,严重影响经济安全、国家安全与社会稳定。“工业和信息化部将坚持“积极防御、有效应对、自主发展、安全可控”原则,强化企业主体责任,加强行业监督指导,推动关键核心技术攻关和工业信息安全产业发展,努力提升工业信息安全保障能力。”

    苗圩表示,保障工业信息安全是一项具有战略意义的系统工程,需要多方参与、协同推进,并对联盟使命和任务提出明确要求。一是要通力合作,将联盟打造成为政府和产业界协同联动的平台;二是要融合发展,将联盟建设成为自动化、信息化与信息安全领域的跨界融合平台;三是要牵引带动,将联盟培育成为行业资源整合、对接、推广平台。苗圩最后表示,工业和信息化部将会同有关部门加强业务指导,支持联盟开展技术研发、标准化、试点示范、公共服务平台建设、国际交流合作等工作,促进形成政产学研用高效联动的发展格局。同时,希望各地主管部门积极支持联盟工作,共谋、共促、共享产业发展成果。

   国务院国有资产监督管理委员会副主任徐福顺在讲话中表示,中央企业是国民经济的重要支柱,希望联盟为央企做好工业信息安全保障支撑工作,在检测认证、评估咨询、人才培养等重点领域,为企业提供优质服务。国务院国资委将全力支持联盟的有关工作。

(三)中国台湾地区正式成立网络部队

    6月30日消息,中国台湾地区领导人蔡英文6月29日前往新北市新店营区出席参谋本部资通电军指挥部(资通电:信息、通讯、电子,以下简称网络部队)成立典礼。

    蔡英文致词时表示,就任以来,不断在强化网络空间防护的力量,目前也已经在行政院成立网络管理处,推动台湾地区第一部网络安全管理法。

    对于台湾地区在网络信息安全的力量上,蔡英文表示,绝对有足够的技术跟人力资源,可以建构完整的网络空间防护网,不过一直欠缺整合的作为和决心,以军方来说,信息、通讯和电子作战的相关任务,过去分散在信息电子作战指挥部、电讯发展室,以及各军种的部队。

    至于未来网络部队的角色,蔡英文表示,今天网络部队的成立典礼只是第一步,将会以网络攻防为核心,网络信息安全为基础,电磁发展为前瞻。

    蔡英文还当场下达三项任务:首先,要求积极整合,不仅整合军方信息、通讯和电子各个相关单位,必须与军方以外的其他部门密切配合,执行“机密”保护,以及关键基础设施防护等工作。

    第二,蔡英文要求,加强网络安全人才的培育,“人才的素质决定网络部队的战力,军方必须提高优质人才投入网络部队的诱因;在组织和管理上,取得纪律和弹性间的平衡,打造一个有助于创新的部队环境”。

    最后,蔡英文指示,要发挥领头的前导角色。网络部队的成立,是台湾地区政府整体网安政策的先锋,也要成为推动台湾地区产学发展的引擎。

   蔡英文表示,这三项任务她希望可以很快看到成效。

(四)共和党合作数据公司意外泄漏近2亿美国选民的个人资料

    6月20日消息,在共和党国家委员会签约的一家营销公司本月泄漏了超过1.98亿美国公民的政治数据。数据泄露包含大约61%的美国人大量个人信息。除了家庭地址,出生日期和电话号码之外,这些记录还包括政治团体采用的先进情绪分析来预测个人选民如何处理热门问题,如枪支所有权,干细胞研究和堕胎权,以及宗教信仰和种族。

    Deep Root Analytics是一个共和党的数据公司供应商,用于确定政治广告的受众群体。UpGuard网络风险分析师Chris Vickery上周在线发现了这些数据。超过1TB的存储在云服务器上,无需保护密码,任何人可以访问,这引起了重大的隐私问题,这对有恶意目的的人来说是有价值的。

    根据联邦选举委员会的报告,RNC支付了Deep Root Analytics 983,000美元,但其服务器包含来自各种其他保守方面的记录,其中包括数据信托(也称为GOP数据信托),共和党的主要投票者文件提供者。根据OpenSecrets.org的数据,Deep Root Analytics在2016年期间从RNC收到了670万美元,而其总裁Johnny DeStefano则担任特朗普的总统人事总监。

 

附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006