网络安全

2017年11月西藏自治区互联网网络安全月报

发布时间: 2017-12-20 12:51:57    浏览次数: 183

    一、  11月我区网络安全基本态势

2017年11月,西藏网络运行总体平稳,互联网骨干网各项监测指标正常,未出现造成较大影响的基础网络运行故障,未发生较大以上网络安全事件。2017年11月,根据西藏分中心流监测分析系统对西藏电信、移动、联通三个公司的省际出口流量监测结果,发现全网流量基本正常,无异常流量。

二、      我区网络流量监测情况

(一) 全网流量

2017年11月,我区全网流量峰值为420Gbps,峰值出现时间为11月18日22:00,每日22:00至00:00流量较高;全网流量谷值为59Gbps,谷值出现时间为11月1日06:15,每日06:00至08:00流量较低;全网平均流量为211.13Gbps;全网流量按传输协议分析,TCP占72.44%,UDP占27.44%;全网流量抽样如图1所示。



图1:全网流量抽样图

    (二) 跨地域流量

    2017年11月,从外省流入我区的总流量为173127.54Tb,最多的省份分别为陕西(37918.13 Tb,约占21.90%)、甘肃(29337.19

Tb,约占16.95%)和四川(20370.43 Tb,约占11.77%);除甘肃和四川外,云南和青海涉藏两省流入我区流量分别为7667.93

Tb(约占4.43%)和253.42 Tb(约占0.00%),海南是外省流入我区流量最少的省。流量分布情况如图2所示。

 


图2:流入我区的流量地区分布图

 (三) 应用协议分析

2017年11月,全区全网流量最高的TCP和UDP端口及相应的应用协议分布如表1和表2所示。

端口号

排名

百分比

主要业务种类


端口号

排名

百分比

主要业务种类

80

1

84.57%

网页服务

1863

1

30.01%

MSN服务

443

2

10.27%

安全服务

1864

2

12.89%

未知

1935

3

0.77%

未知

12345

3

7.72%

未知

8080

4

0.66%

网页服务

8000

4

5.42%

聊天服务

4466

5

0.22%

未知

1865

5

4.09%

未知

110

6

0.22%

未知

5041

6

2.56%

未知

8410

7

0.19%

未知

1024

7

2.21%

未知

809

8

0.18%

未知

8080

8

1.96%

网页服务

4443

9

0.17%

MSN服务

16285

9

1.95%

未知

1443

10

0.16%

未知

54321

10

1.72%

未知

表1:TCP协议端口TOP10分布表             表2:UDP协议TOP10端口分布表

三、      网络安全事件分析

(一) 木马僵尸活动情况

2017年11月,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)对木马僵尸的活动状况进行了抽样监测,发现境内63.76万个IP地址对应的主机被木马或僵尸程序秘密控制,事件高发的三个省份分别为广东(约占11.75%)、河南(约占10.15%)和浙江(约占8.87%),其分布情况如图3所示;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址有2484个,事件高发的三个省份分别为广东(约占21.38%)、北京(约占17.15%)和江苏(约占11.19%),其分布情况如图4所示:

 

 

图3:境内木马或僵尸程序受控主机地区分布

 


图4: 境内木马或僵尸程序控制服务器IP按地区分布

我区被境内木马、僵尸控制的IP数量为910个,较2017年10月份上升2.82%;我区被利用作为木马或僵尸程序控制服务器对应的IP数量为1个。

(二) 飞客”蠕虫病毒事件

2017年11月,CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测,发现境内感染“飞客”蠕虫的主机IP 地址共36.65万个。事件高发的三个省份分别为广东(约占28.35%)、浙江(约占7.43%)和江苏(约占6.78%),其分布情况如图5所示:

         

图5:境内感染飞客蠕虫的主机IP按地区分布

我区感染飞客蠕虫病毒主机IP数量424个,较2017年10月份上升47.74%

(三) 网页篡改事件

2017年11月,CNCERT/CC对网页篡改事件进行了抽样监测,发现境内被篡改的网站共2368个。事件高发的三个省份分别为广东(约占31.67%)、北京(约占16.26%)和河南(约占10.43%),其分布情况如图6所示;境内被篡改网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占2.47%)、.NET(约占7.09%)和.GOV(约占3.21%),其情况如图7所示。

图6:境内被篡改网站按地区分布

图7:境内被篡改网站按类型分布

11月份,监测发现我区被篡改的网站数量为0个。

(四) 网站后门事件

2017年11月,CNCERT/CC对网站后门事件进行了抽样监测,发现境内网站后门事件共2504个,事件高发的三个省份分别为广东(约占35.10%)、北京(约占19.57%)和河南(约占8.71%),其分布情况如图8所示;境内被植入后门网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占50.92%)、. NET(约占5.27%)和. GOV(约占3.67%),其情况如图9所示。

    

图8:境内被植入后门网站按地区分布

    图9:境内被植入后门网站按类型分布

11月份,监测发现我区被植入后门的网站数量为1个。

二、      业界新闻速递

(一) 黑客侵入航企网站窃取个人信息出售获利150万

近日,浙江省温州市公安局网安支队、苍南县公安局网警大队破获一起特大黑客攻击窃取国内航空公司网站信息案件。

温州市公安局10日对外发布了上述消息。警方共抓获黑客林某等犯罪嫌疑人20名,缴获航空票务类公民信息30多万条和大量账号密码信息。

据介绍,案件涉及东方航空、中国国际航空、海南航空、首都航空、深圳航空、昆明航空等50多家民用航空类公司网站。这些网站被黑客非法侵入,造成大量公民个人信息被泄露。

今年7月,温州市公安机关网安部门在侦办一起利用机票退改签实施网络诈骗案件中,发现犯罪嫌疑人林某有非法侵入各大民航网站,窃取公民机票出行信息犯罪嫌疑。

经2个多月的侦查,温州、苍南警方摸清犯罪人员结构后,侦查人员于10月30日、31日分别在广东广州、海南三亚成功抓获犯罪嫌疑人谢某、林某、王某等20人,缴获公民个人信息30多万条以及登录各大涉案网站的大量账号、密码。

警方进一步调查查明,自2016年下半年以来,犯罪嫌疑人林某等人利用各航空类公司网站的漏洞,多次非法侵入50多家网站获取最新公民航空机票票务信息,以每条5元的价格出售非法获利达150多万元。犯罪嫌疑人黎某等17人通过购买这些信息实施机票退改签方法实施网络诈骗,作案100多起,骗取金额达1000多万元。

(二) 首届全球网络安全产业创新论坛在沪召开

11月7日下午,在工业和信息化部、上海市政府指导下,由上海市经济和信息化委员会、上海社会科学院联合主办的首届“全球网络安全产业创新论坛”在上海新锦江大酒店召开。中国互联网发展基金会理事长马利、上海社会科学院党委书记于信汇、上海市经济信息化委总工程师张英、中国信息通信研究院副院长王志勤出席会议并致辞。

张英总工程师在致辞中指出,打造面向未来的智慧城市是上海建设卓越的全球城市,改善城市发展环境、促进城市功能提升、提高公共服务水平的重要举措。在智慧城市建设过程中,互联网已经成为驱动产业创新变革的先导力量,随着“互联网行动”的全面推进和两化深度融合,物理世界和网络空间相关交织,给城市运行和安全管理带来新威胁和新挑战。与此同时,金融服务移动普惠、智慧政务云数联动、工业制造智能物联等,为网络安全保障服务高端化和网络安全产业创新提供了难得的发展机遇。

 

网络安全产业已经成为保障国家网络安全的核心产业,《网络安全法》明确要求省、自治区、直辖市人民政府加大网络安全投入,扶持重点网络安全技术产业和项目。大力推进网络安全产业创新是经济和信息化部门落实网络安全国家战略的重要着力点。上海是我国信息产业的重要地区,在国产操作系统、中间件、数据库等基础产品,行业软件和国产密码应用方面具有比较优势,为大力发展网络安全产业提供了基础产业支撑。

据介绍,上海将按照十九大报告中提出的促进云计算、大数据和人工智能与实体经济融合发展总体要求,在科创中心建设的统筹布局下,加快推进网络空间安全产业创新工程,大力培育和发展网络信息安全服务“四新”经济,建设工业互联网、工业控制系统安全等研发转化平台,筹建网络安全产业创新研究院,加快重点领域关键网络设备和专用网络安全产品的国产化替代,着力夯实保障国家网络安全和城市运行的技术产业支撑。

作为2017全球城市信息化论坛的分论坛之一,本次论坛汇聚了国内外网络安全领域重量级学者、网络安全产业行业精英、国内外知名智库研究人员以及政府部门负责同志共300余人,共商网络安全产业创新发展科学路径,为促进国内外网络安全产业的创新合作和我国网信事业健康发展贡献智慧和力量。

会上,中国工程院院士沈昌祥、中国工程院院士倪光南和德国国家科学工程院院士克里斯托夫•梅内尔分别围绕可信计算的安全、安全可控的信息技术体系和大数据安全作主旨演讲。卡巴斯基、中国网安集团、微软、阅安信息、观安信息等企业分享了各自在网络安全领域的创新实践。来自上海社会科学院、上海交通大学、上海市经济和信息化委员会以及相关网络安全企业的代表就智能时代的网络安全产业创新机遇与路径展开交流。

此外,由上海经济和信息化委员会指导,上海众人网络安全技术有限公司联合上海信息安全行业协会以及重要研究机构和企业发起成立的“上海赛博网络安全产业创新研究院”正式揭牌。提升政府治理能力大数据应用技术国家工程实验室发布了“大数据应用技术国家工程实验室开放基金”。《2017全球网络安全企业竞争力》、《2018全球十大IT发展趋势》、《2017网络安全产业白皮书》等研究报告在会上同期发布。

(三) 乌克兰将实施网络安全法

11月14日消息乌克兰总统波罗申科近日签署《关于保障乌克兰网络安全的基本原则法》(以下简称《网络安全法》),该法律将于正式公布之日起六个月后生效。

乌克兰总统网站发布的消息称,乌克兰最高拉达(议会)10月5日通过了《网络安全法》,该法律将建立起乌国家网络安全的基本体系,通过对国有、私营部门以及公民社会采取组织行政和技术措施,将政治、社会、经济和信息关系进行整合。

《网络安全法》是为确保个人、公民、社会和国家的切身利益,维护网络空间中的乌克兰国家利益,保障国家机关、企业、机构、组织、个人的权利和责任,为保障协调上述类别开展活动的基本原则等提供法律和组织基础。另外,该法律还对网络安全领域的一些基本术语进行了定义,例如“网络安全”“网络攻击”“网络威胁”“网络间谍行为”“网络恐怖主义”等。

乌克兰《网络安全法》还定义了网络防御的主要对象,包括通讯系统和关键基础设施、国家网络安全保障原则以及国家网络安全体系。根据该法律,乌克兰总统将负责协调乌克兰国家安全与国防委员会管理网络安全问题。该法律允许在国家主导下与私营部门和公民社会密切合作,采取综合措施,为乌克兰关键基础设施提供网络防御保障。

据报道,该法律是在乌克兰国家安全战略的要求下提出的,法律的制定采取了北约和欧盟专家的一系列建议。

今年6月,全球范围内爆发的勒索病毒对乌克兰造成了较大影响。乌克兰政府机关,多家石油、能源、通讯、制药等领域公司的电脑遭到病毒攻击。乌总统波罗申科8月颁布总统令,批准了乌国家安全与国防委员会关于加强国家网络安全的决定,法令指示必须加强对乌克兰重要系统的保护。

(四) 马来西亚通信与网络运营供应商 4600 万用户敏感记录在线泄露

研究人员近期发现马来西亚通信与网络运营供应商的大量数据在线泄露,超过 4600 万移动用户的敏感记录于暗网出售,其泄露数据包括用户姓名、预付费和后付费电话号码、地址、客户详细信息,以及 SIM 卡数据。

调查显示,暗网中所出售的数据还包括马来西亚医务委员会(MMC)、马来西亚医学协会(MMA)和马来西亚牙科协会(MDA)等超过八万条受损记录。此外,据马来西亚在线新闻网站 Lowyat.net 透露,这是网站第一次就数据泄露事件进行详细报道,其马来西亚约 3200 万人口,这意味着泄露的数据可能属于具有多个手机号码的用户,也可能是国外游客,亦或访问本国老人的境外人群。

目前,研究人员尚不清楚这些大量数据是如何被泄露并于暗网出售,也不了解暗网对于这些数据的单条售价是多少。据称,用户数据可能已被地下论坛发布,也可能已被成功交易。不过,研究人员已将所有从暗网收集到的被盗数据样本移交至马来西亚通信与多媒体委员会(MCMC)。随后,他们将继续展开深入调查。


附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006