网络安全

2017年12月西藏自治区互联网网络安全月报

发布时间: 2018-01-18 16:12:32    浏览次数: 88

  一、 12月我区网络安全基本态势

2017年12月,我区网络运行总体平稳,互联网骨干网各项监测指标正常,未出现造成较大影响的基础网络运行故障,未发生较大及以上网络安全事件;根据西藏分中心流监测分析系统对西藏电信、移动、联通三个公司的省际出口流量监测结果,发现全网流量基本正常,无异常流量。

二、 我区网络流量监测情况

(一) 全网流量

2017年12月,我区全网流量峰值为453Gbps,峰值出现时间为12月16日22:41,每日20:00至00:00流量较高;全网流量谷值为56Gbps,谷值出现时间为12月31日06:05,每日04:00至08:00流量较低;全网平均流量为243.31Gbps;全网流量按传输协议分析,TCP占73.25%,UDP占26.62%;全网流量抽样如图1所示。


图1:全网流量抽样图

    (二) 跨地域流量

2017年12月,从外省流入我区的总流量为204927.58Tb,最多的三个省份分别为甘肃(42896.25Tb,约占20.93%)、陕西(38371.22Tb,约占18.72%)和四川(25683.65Tb,约占12.53%);除甘肃和四川外,云南和青海涉藏两省流入我区流量分别为8587.07Tb(约占4.19%)和190.88Tb(约占0.09%),海南是外省流入我区流量最少的省,流量分布情况如图2所示。

图2:流入我区的流量按地区分布图

  (三) 应用协议分析

   2017年12月,全区全网流量最高的TCP和UDP端口及相应的应用协议分布如表1和表2所示。

        表1:TCP协议端口TOP10分布表                 表2:UDP协议端口TOP10分布表

端口号

排名

百分比

主要业务种类


端口号

排名

百分比

主要业务种类

80

1

85.10%

网页服务

1863

1

31.92%

MSN服务

443

2

9.94%

安全服务

1864

2

11.07%

未知

8080

3

0.64%

网页服务

12345

3

7.55%

未知

1935

4

0.45%

未知

8000

4

5.47%

聊天服务

809

5

0.42%

未知

1865

5

2.78%

未知

4443

6

0.22%

MSN服务

5041

6

2.37%

未知

9912

7

0.21%

未知

8080

7

2.35%

网页服务

4466

8

0.20%

未知

16285

8

2.34%

未知

8410

9

0.18%

未知

123

9

2.29%

未知

1443

10

0.15%

未知

1024

10

2.07%

未知

    三、 网络安全事件分析

    (一) 木马僵尸活动情况

2017年12月,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)对木马僵尸的活动状况进行了抽样监测,发现境内43.64万个IP地址对应的主机被木马或僵尸程序秘密控制,事件高发的三个省份分别为浙江(约占16.21%)、河南(约占9.11%)和广东(约占8.39%),其分布情况如图3所示;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址有2140个,事件高发的三个省份分别为广东(约占20.61%)、北京(约占12.29%)和河南(约占8.60%),其分布情况如图4所示。


图3:境内木马或僵尸程序受控主机按地区分布图

 


图4: 境内木马或僵尸程序控制服务器按地区分布图


         我区被木马或僵尸程序秘密控制对应的IP地址共有530个,较2017年11月份下降41.76%;事件高发的三个地区分别为拉萨(约占49.25%)、日喀则(约占15.28%)和昌都(约占13.58%),其分布情况如图5所示;我区被利用作为木马或僵尸程序控制服务器对应的IP数量为5个。


5:区内被木马、僵尸控制的主机按地市分布图

     (二) DDoS攻击事件

2017年12月,CNCERT/CC对DDoS攻击事件进行了监测,发现区内被控制端利用,向攻击目标发起DDoS攻击的肉鸡共276个。事件高发的三个地区分别为拉萨(约占95.29%)、林芝(约占1.45%)和山南(约占1.09%),其分布情况如图6所示。

图6:区内肉鸡按地市分布图

监测发现被攻击者利用发起反射攻击的反射服务器共24个,事件高发的三个地区分别为日喀则(约占58.33%)、昌都(约占16.67%)和拉萨(约占12.50%),其分布情况如图7所示。


7:区内反射服务器按地市分布图

(三) 飞客”蠕虫病毒事件

2017年12月,CNCERT/CC对“飞客”蠕虫的活动状况进行了抽样监测,发现境内感染“飞客”蠕虫的主机IP 地址共31.69万个。事件高发的三个省份分别为广东(约占29.30%)、浙江(约占7.40%)和江苏(约占6.45%),其分布情况如图8所示。

      

                                   图8:境内感染飞客蠕虫的主机按地区分布图

我区感染飞客蠕虫病毒主机IP数量414个,较2017年11月份下降2.36%,事件高发的三个地区分别为拉萨(约占74.88%)、日喀则(约占10.14%)、阿里(约占4.59%),其中昌都与阿里并列第三,其分布情况如图9所示。

                     图9:区内感染飞客蠕虫的主机按地市分布图

    (四) 网页篡改事件

2017年12月,CNCERT/CC对网页篡改事件进行了抽样监测,发现境内被篡改的网站共4130个。事件高发的三个省份分别为广东(约占41.77%)、北京(约占13.10%)和河南(约占9.71%),其分布情况如图10所示;境内被篡改网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占66.05%)、.NET(约占8.57%)和.ORG(约占1.94%),其情况如图11所示。


图10:境内被篡改网站按地区分布图

图11:境内被篡改网站按类型分布图

12月份,我区未发现被篡改的网站。

(五) 网站后门事件

2017年12月,CNCERT/CC对网站后门事件进行了抽样监测,发现境内网站后门事件共3029个,事件高发的三个省份分别为广东(约占36.48%)、北京(约占15.62%)和河南(约占8.98%),其分布情况如图12所示;境内被植入后门网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占51.70%)、. NET(约占4.13%)和. GOV(约占2.54%),其情况如图13所示。

  

图12:境内被植入后门网站按地区分布图


    图13:境内被植入后门网站按类型分布图

12月份,监测发现我区被植入后门的网站数量为2个。

四、      业界新闻速递

(一)  工信部明确公共互联网网络安全突发事件分级预警、应急

工信部已印发《公共互联网网络安全突发事件应急预案》,明确了事件分级、监测预警、应急处置、预防与应急准备、保障措施等内容。预案自印发之日起实施。

工信部根据社会影响范围和危害程度,将公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。其中,全国范围大量互联网用户无法正常上网,.CN国家顶级域名系统解析效率大幅下降,1亿以上互联网用户信息泄露,网络病毒在全国范围大面积爆发,其他造成或可能造成特别重大危害或影响的网络安全事件为特别重大网络安全事件。

工信部要求基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业通过多种途径监测和收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估。认为可能发生特别重大或重大突发事件的,应当立即报告。

与此同时,工信部建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,将公共互联网网络突发事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色标示。面向社会发布预警信息有网站、短信、微信等多种形式。

(二)  《西藏自治区电话用户真实身份信息登记管理办法》于1月1日起施行

经西藏自治区人民政府审议通过的《西藏自治区电话用户真实身份信息登记管理办法》将于2018年1月1日起正式实施,标志着西藏自治区电话用户实名登记工作步入新轨道。

《办法》共21条,明确了西藏电话用户真实身份信息登记的范围、程序、要求、信息保护以及电话用户、电信业务经营者及其代理商违反本办法应当承担的法律责任等。

2012年实施的《西藏自治区电话用户真实身份登记管理办法》中提出的“对电话用户实行真实身份登记”,是西藏自治区首创的社会管理措施。

《办法》的颁布实施,是适应当前社会发展和管理的需要,加强新形势下网络与信息安全、提升社会综合治理能力的重要抓手,对维护我区社会稳定和长治久安具有重要的现实意义。同时,《办法》也为有效防范、精准打击电信网络新型违法犯罪,维护网络信息安全,维护广大电信用户及电信业务经营者的合法权益,促进西藏信息通信行业健康发展提供了有力的法律保障。

西藏自治区通信管理局党组书记、局长冯文勇强调,要以《办法》颁布实施为契机,把《办法》的学习宣传和贯彻实施作为当前的一项重要工作抓紧抓好,认真组织区内电信企业做好电话用户真实身份信息登记各环节工作,在电话用户实名制工作已取得成绩的基础上,进一步加强组织领导,层层落实责任,不断强化新入网用户实名登记,强化各种方式的监督检查,夯实电话用户实名制管理基础,为西藏自治区社会稳定和长治久安、信息通信行业健康发展打下坚实基础。

(三)  日本拟设太空及网络部队 未来或向他国发动网络攻击

日本政府相关人士17日透露,政府已基本决定,在防卫省自卫队内新设统管太空及网络空间、电子战负责部队的拥有司令部功能的上级部队,并写入明年下半年修改的防卫力建设方针《防卫计划大纲》(防卫大纲)。预计此事将在近期召开的国家安全保障会议(NSC)四大臣会议上获得批准。

太空和网络被定位为继陆海空后的第4和第5“战场”,但与已拥有具司令部功能的专门组织的其他国家军队相比,日本已然落后。此举旨在加强应对安全保障方面的新课题。

三个自卫队均有统管现场部队的上级部队,海自有自卫舰队,空自有航空总队,陆自有陆上总队(计划明年3月新设)。据相关人士透露,本次新设的部队与上述部队级别相同,将整合太空、网络、电子战的各专业部队。司令将由将官级别担任,正式名称尚未确定。

关于宇宙空间,日本已向对退役的人造卫星及火箭零件、碎片之类太空垃圾进行监视等的美国战略军太空联合作战中心(JSpOC)派遣自卫官,目的是学习相关经验。日本设想将来除了监视太空垃圾,还力争与美国、欧洲一起在太空构筑监视态势,监控对他国卫星故意制造冲突的“杀手卫星”。

网络空间设想建立正在探讨的从约110人扩大到约千人规模的网络防卫队。法律上的讨论也必不可少,包括在日本“专守防卫”政策的框架中,自卫队能否向对象国家军事相关设施发动网络攻击等。

关于目的在于分析并妨碍对象国使用的雷达及无线通信电磁波频带的电子战,也力争构筑态势。海自的EP3电子战数据收集机等现有装备如何运用等将成课题。

(四)  东风日产加拿大遭黑客入侵 113万客户个人信息或已泄漏

日产(NISSAN),是日本的一家汽车制造商。该公司在本周四宣布,他们在本月11日发现自己似乎成为了数据泄露的受害者。

未经授权的黑客进入了公司的网络系统,旗下加拿大金融公司(Nissan Canada Finance,NCF)和英菲尼迪加拿大金融服务公司(Infiniti Financial Services Canada)的客户个人信息可能已经遭到了访问及窃取。

目前,该公司正在通过电子邮件通知客户关于这起事件。虽然目前还不清楚究竟有多少客户受到数据泄露的影响,但出于安全考虑,该公司已经与所有现有和以前的客户(大约113万人)进行了联系。

另外,根据日产目前的调查结果,黑客至少能够访问以下信息:

客户的姓名;家庭住址;车辆的品牌和型号;车辆识别号码(VIN);信用评分;贷款金额;每月应还款金额。

该公司强调,至少从目前来看,泄露的信息并不包括付款信息和联系方式,如电子邮箱地址和电话号码。另外,受影响的仅限于位于加拿大的客户。

公司还表示,客户隐私和数据安全对于日产来说是最为关键的,日产除了及时通知客户之外,还通过美国三大信用报告机构之一的TransUnion为所有客户提供12个月的免费信贷监控服务。

由于对数据泄露事件的调查仍在进行之中,黑客是否还访问了日产旗下其他公司以及除加拿大之外其他国家客户的个人信息还尚不得知。

目前,日产加拿大已经联系了加拿大的隐私监管机构、执法机构和数据安全专家,以帮助该公司迅速调查此事。


附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006