【连载】2016年中国网络空间安全年报(十一)
2016年中国网络空间安全年报
安恒信息作为本次大会网络安保工作的主要技术支撑单位,历经360日会战,投入309名技术骨干,对峰会核心信息系统及杭州市涉峰会重要信息系统进行了检查和防护,主要包括峰会线上系统、涉峰会线下支撑系统、涉峰会专项检查行动和省市两级重点保卫系统四大块内容。
8.2.1 涉峰会线上系统
本次G20杭州峰会网络安保工作重点保障的互联网系统如下:
- G20杭州峰会官方网站群
- 峰会指定网络媒体与视频直播网站
根据峰会期间对全部保障对象的网络流量及访问数据进行统计,来自境内外的正常访问与攻击流量均主要集中于峰会官方网站群与峰会网络媒体网站。
本次线上网络安全保障工作,安恒信息主要对以下4个与会议相关的重点信息系统进行定点不间断安全监测与防护:
网站名称 | 网站域名 |
|---|---|
G20杭州峰会官方网站 | www.g20.org |
G20杭州峰会新闻中心 | www.g20chn.com |
B20杭州峰会注册平台 | www.b20-china.org |
G20杭州峰会注册平台 | delegate.2016g20.org |
▲ 表8-3 G20保障网站列表
▲ 图8-1 G20官网总体安全态势可视化
8.2.1.1 会议期间接受来自全球各地的上亿次访问
自正式启动峰会网络安保措施开始,到9月5日晚峰会顺利闭幕,G20杭州峰会官方网站群境外访问总量为26,736,636次,访问来源分布于219个国家地区,对国内网络访问流量进行统计,我国各省访问总数为448,536,640次。无论是公众层面亦或是媒体层面,英、美、日、德、加等大国均对本次峰会保持持续性的高度关注;同属金砖四国的新兴发展中国家,巴西与印度对G20杭州峰会信息的公众关注程度更高,而俄罗斯媒体相较其公众对峰会的兴趣显然要大得多。
▲ 图8-2 境外访问来源分布图
同时,几乎全球所有国家与地区,都对本次峰会官网及相关媒体网站均有访问与数据爬取、采集等行为,这充分说明本次峰会相关的互联网系统是帮助世界了解本次峰会内容、理解其重要意义的重要窗口。
▲ 图8-3 国内访问来源分布图
本次峰会举办地浙江的官网访问请求远远超过其它省份,成为我国最关注本次峰会的省份,临近的华东诸省对峰会官网的关注度也明显较高。另外,针对各省进行网络访问请求统计,来自于省会城市的网络访问请求相对集中,这与其省内地市的政治、经济发展程度直接相关。
8.2.1.2 检测并防御近百万次境外攻击
峰会期间,G20杭州峰会官方网站群遭受网络攻击相对集中,本节对其攻击来源的地域分布进行统计和分析。
G20杭州峰会官方网站群遭受境外攻击总量为250,579次,攻击来源分布于境外185个国家和地区,境外攻击源分布情况如下图所示:
▲ 图8-4 境外攻击来源分布图
峰会官方网站群遭受境内攻击总量为563,160次,攻击来源分布于我国境内大部分省份,来自于我国云南省一台受控服务器在短时间内爆发式进行了大线程、高密度的攻击行为,被及时阻断。境内攻击源分省攻击次数分布情况如下图所示:
▲ 图8-5 国内攻击来源分布图
自正式启动峰会网络安保措施开始,到9月5日晚峰会顺利闭幕,峰会官网系统检测并成功防御来自境内外的攻击813,789次。根据风暴中心大数据系统对峰会官网的网站服务器访问日志、流量数据日志、安全设备防护日志等进行统计排序,峰会期间攻击者所采用的攻击手段,按使用频率统计排名top10及其攻击高峰期如下表所示:
序号 | 峰会期间攻击类型 | 攻击次数 | 攻击高峰期时段 |
|---|---|---|---|
1 | 爬虫 | 225082 | 20:00-22:00 |
2 | 扫描工具 | 39291 | 10:00-12:00 |
3 | 协议违规 | 34659 | 08:00-10:00 |
4 | 文件限制 | 16165 | 10:00-12:00 |
5 | SQL注入攻击 | 13050 | 08:00-10:00 |
6 | 服务器信息泄露 | 5317 | 18:00-20:00 |
7 | 缺失报头 | 2448 | 17:00-19:00 |
8 | 漏洞防护 | 905 | 15:00-19:00 |
9 | 跨站脚本攻击 | 727 | 08:00-10:00 |
10 | 针对IE8的跨站攻击 | 342 | 21:00-00:00 |
▲ 表8-4 攻击方式频数及高峰期统计表
根据对攻击数据的深入分析,发现不同类型的攻击方法与其攻击高峰期时段呈现显著模式:
- 爬虫类攻击:集中于晚间20:00-22:00,为国内内容类网络爬虫活跃高峰期,同时也是海外(主要是美国)的早间媒体网络爬虫活跃高峰期;
- 针对性攻击:针对性并具备真实威胁性攻击如网络漏洞扫描、协议违规、SQL注入与跨站脚本攻击等,攻击时间集中于上午8点至12点,属我国时区内正常工作时间,这与掌握的该时段攻击来源分布一致,绝大多数来自于境内地址,此类针对性攻击者显著位于我国境内;
- 峰会官网受到的常规渗透型攻击总量相对较少,具有明显意图与准确攻击URL的攻击行为集中于网络安保时期前半段,有组织攻击者显然在经过前期的失败攻击尝试后改变攻击思路,转向DDOS类资源耗尽型攻击行为。
- 攻击者针对峰会官网发起的、以瘫痪峰会互联网服务为目的的分布式拒绝服务攻击(DDOS),并未包含在上表内,但对防护对象的服务质量也带来较大挑战。
8.2.2 涉峰会线下支撑系统
8.2.2.1 主场馆设施巡检保障
在峰会举办期间,安恒信息保障团队对这次G20峰会的举办场馆,杭州国际博览中心及新闻中心进行了现场的安全保障,主要针对杭州国际博览中心及新闻中心的网络攻击事件进行应急、防护及巡检,包括无线网络、LED显示屏、新闻中心网络等。在9月1日至9月6日期间,对每天对场馆LED、弱电井进行巡检,排除安全隐患。同时安排技术人员在新闻中心进行7*24小时安全值守,对出现的网络问题及时进行排查和分析,确保相关信息系统的稳定运行。
8.2.2.2 涉峰会入住酒店系统上万漏洞的检测与修复
为了保障各国嘉宾的入住信息及个人信息的数据安全,保障嘉宾所使用酒店网络过程中个人隐私不被泄漏;保障嘉宾所在酒店的自身网络安全,避免遭受黑客攻击。安恒信息针对重要嘉宾入住的57家酒店内网进行了三次安全检查,主要包括酒店业务网络和互联网的隔离情况,排查酒店客房网、办公网、业务网络内的服务器、PC机、网络设备等系统及应用漏洞、弱口令等。对酒店对外提供的门户网站系统,进行渗透测试,排查被黑客攻破的可能性。对部门酒店大堂、过道等存在查询终端的系统进行安全排查,避免攻击者通过此路径渗透酒店内网。
在7月20日至8月6日对这57家酒店进行的第一次安全大检查中,安恒专家团队共发现了14490个安全漏洞,主要涉及系统漏洞、弱口令漏洞和Web漏洞。安恒专家团队提出了有效的整改方案和技术措施,协助酒店对漏洞进行修复,在随后进行的两次复查中,发现酒店漏洞数明显减少。
8.2.3 涉峰会专项检查行动
8.2.3.1 重保系统安全检查保障
根据监管机构对开展保障G20重要信息系统安全检查的指示精神和工作部署,由相关机构牵头组成专门检查组,于2016年6月30日至8月12日对17个单位的28个重保信息系统开展网络信息安全检查。检查的信息系统类型主要分为两类:一类为实现特定功能的核心业务信息系统,如电力、医院、机场等。主要以保障信息系统业务连续性、可用性、安全性作为重点网络安全保卫工作。另一类为提供互联网信息发布服务的网站系统,如省政府网站、公安厅网站、浙江在线、新浪网等。除了保障信息系统业务连续性、可用性、安全性之外,发布内容合法性更是重中之重的保卫工作。
检查组在尽可能不影响重保单位生产、办公的前提下,对重保单位的重保信息系统的机房物理安全、网络安全、主机安全、应用安全、数据安全和管理安全开展安全检查。检查组对发现的安全漏洞和隐患及时与信息系统运营使用单位沟通、确认,并提出了有效的整改方案和措施,帮助信息系统运营使用单位落实整改工作。
8.2.3.2 市内重点网站大量后门检测与加固
峰会前期国外敌对势力开始频繁地对我国网络发动攻击,针对频繁发生的反共黑客事件,受相关部门要求委托,针对重点网站开展了“网站后门专项检查行动”工作。网站后门专项检查工作于8月2日开始,到8月26日基本结束,期间安恒公司共安排50余人次现场协助西湖、滨江、上城、下城、江干、下沙、拱墅及富阳、临安区公安分局对各辖区内的136个重点网站进行了WEBSHELL 专项检查。本次专项检查活动最终共发现有36个网站存在后门,比较严重的有ASP 、JSP 、PHP木马、图片木马等,还有一部分网站存在入侵痕迹。在安恒专家的协助下,这些重点网站单位进行了整改加固,消除了网站存在的安全隐患,最终反共黑客在会议期间未能成功入侵杭州的站点。
▲ 图8-6 杭州市webshell专项检查统计
8.2.3.3 关键工控系统检测发现五处安全隐患
G20期间,受相关部门委托对浙江省内多个关键工控系统进行全面检查,保障G20期间工控安全。工业信息系统网络包含了传统的信息网络,同时也包含DCS和PLC等工控系统网络,工业控制系统对系统设备的可用性、实时性、可控性等特性要求很高,检查规范要求度极高。
工控检查小组的现场检查的重点在工控系统设备安全配置、运维安全措施、上位机病毒木马扫描、下位机固有漏洞扫描,管理安全措施的落实情况。检查人员不对工控系统任何设备直接做操作。检查主要用到的工具是安恒自主研发的工控检查工具箱,该工具箱支持10多种公开和非公开的工控协议(如:S7、Modbus、DNP3、BACnet等)。它除了能从流量中解析出并发现网络中威胁,还支持扫描功能,能通过扫描探测出上位机、下位机PLC、HIMI、交换机等设备的系统漏洞。
通过此次G20工控专项安全检查,安恒信息工控检查小组发现了以下工控安全问题:
- 上位机存在病毒木马,甚至在工控项目实施的前期就存在这样的安全隐患;
- 在检查杭州某水厂时,发现装有iFIX组态软件的win7操作系统中,数据库安装包所在目录的大量html文件都被植入了网页木马;
- 在杭州某燃气公司控制系统中发现存在后门账户,以及在工程师站发现安装了远程控制软件;
- 在萧山某水厂发现某滤池操作站的工控网络未进行物理隔离;
- 另外,发现市内一部分工控系统未进行定期升级、软件硬件陈旧漏洞较多等一系列问题。事后,安恒工控专家及时修复了这些漏洞,做到了工控安全事件零发生,有效保障了城市关键基础信息设施在峰会期间的顺利运行。
8.2.3.4 灯光秀系统一处可被远程控制漏洞检测并加固
为了顺利举办这次盛会,以及给世界亮相一个全新的杭州,钱江新城灯光秀系统是作为G20峰会的重点亮灯工程之一,为了确保在峰会期间安全、稳定的运行,安恒的专家们进行了2次深入的安全检测,发现了主控和节点之间的严重安全漏洞,可被黑客利用进行远程控制。安恒专家及时修复了该漏洞,确保了城市灯光秀在峰会期间的顺利进行。
8.2.3.5 市内四万网站漏洞检测与修复跟踪
为了保障G20峰会顺利召开,安恒受相关部门委托对杭州市内的备案网站以及其它在线网站进行了安全问题大检查,检查总数共计四万八千多个网站,由杭州市政务、企事业单位、个人网站等组成。
首先对全市网站进行了基础信息大普查工作,初步判定网站安全状态,并根据基础指纹信息对网站进行分类、批量扫描,大大提高了安全检查的效率和准确率。除此之外,采用了自动化验证、人工验证等手段,确保不放过任何一个漏洞,全方位分析网站安全状态。除了成熟的先知平台和分析扫描流程,本次安恒风暴中心采用了专业的安全分析团队对网站进行了核验,每天完成近1500个站点的分析,其中每一份报告都经过自动化生成、人工核验的方式发出,确保每个网站都有最精准的检查结果。
在本次网站检查中,共确认高中危漏洞4000多个,涉及近800个站点,其中高危漏洞主要为SQL注入漏洞、跨站脚本(XSS)漏洞、网站默认后台登录漏洞,占所有漏洞的80%。除此之外,本次检测出钓鱼站点2起,色情站点6起,其它被入侵站点30多个。在安恒专家团队的协助配合下,相关责任单位对这些站点漏洞进行了修复。同时安恒专家团队又对这些修复后的站点进行了多轮复查,避免了这些漏洞在峰会期间被黑客所利用。
▲ 图8-7 高中危漏洞数量TOP10
8.2.4 省市两级重点保卫系统
8.2.4.1 1500家重点网站监测并关闭多个问题站点
针对杭州市内1500多家重点保障网站进行了专项安全检查和全天候监测,自检查之日起,不断对这批重点保障网站进行周期性扫描和漏洞跟踪,确认站点无重大安全隐患,确保在峰会期间顺畅运行。同时,在峰会举行期间风暴中心的值班人员7*24小时轮流值守,每小时通过浙江省公安厅和杭州市公安局向公安部上报重保互联网系统的安全情况,截至9月5日晚,已上报近100起系统的互联网服务质量异常情况,经确认,有26个站点已关停。
8.2.4.2 重保对象实时监测并协助恢复运行
自9月1日起,安恒为此次保障的42个重保单位互联网应用站点重点做了全天候的安全监测,包括可用性监测以及篡改监测,并安排7*24小时的值班人员负责实时排查问题,确保站点在出现异常后及时恢复。
根据统计,9月2日至9月5日期间,风暴中心对42个站点共进行了16,868次篡改监测,累计告警事件16起,每起事件提供对应的取证截图供相关单位确认是否合法变更。
同时对这些重保单位的互联网应用站点进行了全天候的可用性监测,当重点保障的42个站点出现异常时,安恒风暴中心的7*24值班人员会在第一时间将告警信息确认后发送至相关的单位,并安排专门的值守人员进行分析,以核实站点当前的状态,9月1日至9月6日,风暴中心共告警服务异常状态29起,所有的异常状态均已由技术人员进行确认,保证站点运行正常。
未完待续
腾讯云开发者
