网络安全

2018年3月西藏自治区互联网网络安全月报

发布时间: 2018-04-23 10:56:19    浏览次数: 181

 一、 3月我区网络安全综述

    2018年3月,我区网络运行总体平稳,互联网骨干网各项监测指标正常,未出现造成较大影响的基础网络运行故障,未发生较大及以上网络安全事件。

   本月,我区全网流量峰值为2211.84Gbps,全网流量谷值为258.63Gbps,全网平均流量为1006.25Gb

ps;全网流量按传输协议分析,TCP占75.44%,UDP占24.45%;从外省流入我区的总流量为379150.09Tb;全网流量基本正常,无异常流量。

    利用现有系统监测,发现境内42.40万个IP地址对应的主机被木马或僵尸程序秘密控制,涉及我区IP地址数量共846个;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址有2259个,涉及我区IP地址数量为10个;发现境内感染“飞客”蠕虫的主机IP 地址共32.67万个,我区感染主机IP地址数量为382个;对DDoS攻击事件监测,发现区内被控制端利用,向攻击目标发起DDoS攻击的肉鸡共7400个,发现被攻击者利用发起反射攻击的反射服务器共3340个,反射攻击发起伪造流量来源路由器共6个;发现境内被篡改网页2559个,我区未发现;发现境内被植入后门的网站2858个,我区为1个;发现境内仿冒网页3791个,我区为7个,本月针对我区重要政府网站仿冒事件显著增多。

二、我区网络流量监测情况

(一) 全网流量

2018年3月,我区全网流量峰值为2211.84Gbps,峰值出现时间为3月31日22:30,每日20:00至00:00流量较高;全网流量谷值为258.63Gbps,谷值出现时间为3月1日07:00,每日04:00至08:00流量较低;全网平均流量为1006.25Gbps;全网流量按传输协议分析,TCP占75.44%,UDP占24.45%;全网流量抽样如图1所示。      

                                                              

 

图1 全网流量抽样图

     (二) 国内跨地域流量

2018年3月,从外省流入我区的总流量为379150.09Tb,同比增长158.25%,环比增长52.16%,2018年1-3月从外省流入我区总流量变化趋势如图2所示;最多的三个省份分别为广东(43340.91Tb,约占11.43%)、四川(41248.41Tb,约占10.88%)和北京(29242.69Tb,约占7.71%);除四川外,甘肃、云南和青海涉藏三省流入我区流量分别为19568.98Tb(约占5.16%)、14548.32(约占3.84%)和2974.84Tb(约占0.78%),宁夏是外省流入我区流量最少的省,流量分布情况如图3所示。

图2 2018年1-3月从外省流入我区流量趋势图

图3 流入我区的流量按地区分布图

    (三) 应用协议分析

2018年3月,全区全网流量最高的TCP和UDP端口及相应的应用协议分布如表1和表2所示。

 表1:TCP协议端口TOP10分布            表2:UDP协议端口TOP10分布表

端口号

排名

百分比

主要业务种类

端口号

排名

百分比

主要业务种类

80

1

86.85%

HTTP服务

1863

1

47.82%

MSN服务

443

2

10.19%

HTTPS服务

1864

2

9.53%

未知

8080

3

0.42%

HTTP服务

12345

3

8.66%

Cube World

1935

4

0.33%

RTMP

8000

4

4.30%

HTTP服务

1863

5

0.25%

MSN服务

1024

5

2.86%

未知

809

6

0.18%

未知

2152

6

2.69%

未知

8088

7

0.18%

未知

5041

7

2.26%

未知

4466

8

0.18%

未知

8080

8

2.21%

HTTP服务

4443

9

0.15%

未知

16285

9

2.20%

未知

8410

10

0.13%

未知

54321

10

1.78%

未知

 二、 网络安全事件监测情况

 (一) 木马和僵尸网络监测情况

2018年3月,监测发现境内共42.40万个IP地址对应的主机被木马或僵尸程序秘密控制,事件高发的三个省份分别为浙江(约占15.08%)、河南(约占12.64%)和广东(约占10.15%),其分布情况如图4所示;发现境内被利用作为木马或僵尸程序控制服务器对应的IP地址共2259个,事件高发的三个省份分别为广东(约占22.09%)、北京(约占17.88%)和浙江(约占11.60%),其分布情况如图5所示。

图4 境内木马或僵尸程序受控主机按地区分布图

           

图5 境内木马或僵尸程序控制服务器按地区分布图

本月,我区木马或僵尸程序受控主机IP地址数量为846个,同比增长38.46%,环比增长208.76%,约占全国总数的0.20%,全国排名第31位,事件高发的三个地市分别为拉萨(约占55.60%)、日喀则(约占15.21%)和昌都(约占7.66%),其分布情况如图6所示;2018年1-3月我区木马或僵尸程序受控主机IP地址数量变化趋势如图7所示。我区木马或僵尸程序控制服务器IP数量为10个,同比增长900.00%,环比增长42.86%,约占全国总数的0.44%,全国排名第26位;2018年1-3月我区木马或僵尸程序控制服务器IP数量变化趋势如图8所示。

 

           

图6 区内木马或僵尸程序受控主机按地市分布图

图7 2018年1-3月我区木马或僵尸程序受控主机数量变化趋势如图

图8 2018年1-3月我区木马或僵尸程序控制服务器数量变化趋势如图

    (二) 飞客”蠕虫监测事件

2018年3月,监测发现境内感染“飞客”蠕虫的主机IP 地址共32.67万个,事件高发的三个省份分别为广东(约占30.92%)、浙江(约占7.35%)和江苏(约占5.86%),其分布情况如图9所示。

图9 境内感染“飞客”蠕虫的主机按地区分布图

本月,我区感染飞客”蠕虫主机IP地址数量为382个,同比增长4.09%,环比增长39.93%,约占全国总数的0.12%,全国排名第31位,事件高发的三个地市分别为拉萨(约占72.25%)、日喀则(约占8.38%)和阿里(约占6.54%),其分布情况如图10所示; 2018年1-3月我区感染“飞客”蠕虫主机IP地址数量变化趋势如图11所示。

          

图10 区内感染“飞客”蠕虫的主机按地市分布图

图11 2018年1-3月我区感染“飞客”蠕虫主机数量变化趋势图

    (三) DDoS攻击事件

2018年3月,监测发现境内被控制端利用,向攻击目标发起DDoS攻击的肉鸡共7.81万个,我区为7400个,事件高发的三个地市分别为拉萨(约占52.62%)、日喀则(各约占26.72%)和山南(约占7.95%),其分布情况如图12所示。监测发现境内被攻击者利用发起反射攻击的反射服务器IP地址共203.54万个,我区为3340个,事件高发的三个地市分别为拉萨(约占49.22%)、山南(各约占17.31%)和日喀则(约占13.41%),其分布情况如图13所示;利用反射服务器发起的反射攻击按类型分布统计,三个类型分别为SSDP(约占93.26%)、Memcached(约占6.37%)和NTP(约占0.36%),其情况如图14所示。监测发现区内反射攻击发起伪造流量来源路由器数量为6个,均属拉萨。

 

        图12区内肉鸡按地市分布图

 

      图13区内反射服务器按地市分布图

   

          图14区内反射服务器按类型分布图

 

(四) 站安全监测情况


   1.网页篡改情况

2018年3月,监测发现境内被篡改的网站共2559个,事件高发的三个省份分别为广东(约占38.80%)、北京(约占15.36%)和浙江(约占8.32%),其分布情况如图15所示;境内被篡改网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占68.35%)、.NET(约占7.62%)和.ORG(约占1.84%),其情况如图16所示。

             

         图15 境内被篡改网站按地区分布图

          

           图16 境内被篡改网站按类型分布图

本月,我区未发现被篡改的网页。

    2.网站后门事件

2018年3月,监测发现境内网站后门事件共2858个,事件高发的三个省份分别为广东(约占34.71%)、北京(约占15.96%)和河南(约占10.50%),其分布情况如图17所示;境内被植入后门网站数量按类型分布统计,事件高发的三个类型分别为.COM(约占60.92%)、.NET(约占5.70%)和.GOV(约占2.55%),其情况如图18所示。

               图17境内被植入后门网站按地区分布图

                 图18 境内被植入后门网站按类型分布图

本月,我区发现被植入后门的网站为1个。

   3.网页仿冒事件

2018年3月,监测发现境内网页仿冒事件共3791个,我区为7个,本月针对我区重要政府网站仿冒事件显著增多

    三、 业界新闻速递

(一)  党和国家机构改革优化网络安全和信息化委员会办公室职责

近日,中共中央印发了《深化党和国家机构改革方案》(以下简称“《方案》”),并发出通知,要求各地区各部门结合实际认真贯彻执行。

《方案》称,优化中央网络安全和信息化委员会办公室职责。为维护国家网络空间安全和利益,将国家计算机网络与信息安全管理中心由工业和信息化部管理调整为由中央网络安全和信息化委员会办公室管理。

工业和信息化部仍负责协调电信网、互联网、专用通信网的建设,组织、指导通信行业技术创新和技术进步,对国家计算机网络与信息安全管理中心基础设施建设、技术创新提供保障,在各省(自治区、直辖市)设置的通信管理局管理体制、主要职责、人员编制维持不变。

(二)  国家网络安全产业园区建设领导小组召开第一次会议

2018年3月20日,国家网络安全产业园区建设领导小组召开第一次会议,工业和信息化部党组成员、副部长陈肇雄出席会议并主持,北京市委常委、副市长阴和俊出席会议。

会议听取了国家网络安全产业园区建设推进工作进展情况汇报,审议通过了相关文件,研究部署了下一步工作。

陈肇雄指出,网络安全能力是国家安全能力的重要组成部分,强有力的网络安全保障,离不开坚实的网络安全产业支撑。他强调,要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的十九大和十九届二中、三中全会精神,按照工业和信息化部党组和北京市委市政府的统一部署,持续深化园区建设部市协作,充分发挥市场作用,加快落实园区建设各项任务,积极推动形成多方参与的良好局面,助力我国网络安全产业做大做强。

阴和俊指出,要深刻领会习近平总书记“没有网络安全就没有国家安全”的重要论断,按照习近平总书记视察北京的重要讲话精神,从思想上提高对建设国家网络安全产业园区重要性的认识,坚持首都城市战略定位,加快推进网络安全产业高端集聚发展。他强调,要充分发挥北京市政策、资源、人才集聚的优势,创新体制机制,政府搭台,企业主导,优化产业发展环境,创新发展举措,将北京市打造成国内领先、世界一流的网络安全高端、高新、高价值产业集聚发展地。

工业和信息化部有关司局,北京市通信管理局,北京市经济和信息化委员会、海淀区政府、通州区政府、中关村管委会,国家计算机网络安全应急技术处理协调中心、中国信息通信研究院、国家工业信息安全发展研究中心、工业和信息化部网络安全产业发展中心有关负责人参加了会议。

(三)  Facebook最大规模资料外泄 5000万用户或“被助选”

美国总统特朗普在2016年大选时曾聘用一家数据分析公司,传媒揭发它从2014年起,违法收集社交网脸书网facebook(fb)上5000万名美国用户的数据,用来设计软件,预测和影响选民的大选投票取向,协助特朗普取胜。

该数据分析公司被指与俄罗斯有关连,已成“通俄门”特别检察官米勒的调查对象。外媒称,脸书网对这宗历来最大用户数据外泄事件早已知情,但未有采取补救措施。

报道称,事件主角是一家名为“剑桥分析”(Cambridge Analytica)的数据分析公司,早于2013年底,它已获得特朗普支持者、保守派金主默瑟投资,并获得后来成为白宫首席策略师的班农支持,尝试通过收集大数据及心理分析,操控美国选举结果。

 2014年美国中期选举前,公司开始与剑桥大学美籍俄裔心理学家科甘合作,通过后者设计的心理测验脸书应用程序,在脸书上收集用户数据。

剑桥学生报《Varsity》报道,科甘曾在香港大学攻读心理学博士,之后获聘为剑桥大学心理学讲师。科甘的程序名为“thisisyourdigitallife”,在脸书上宣称是“心理学家使用的研究用App”,以薄酬诱使用户进行性格及心理测验。

最终共有27万用户下载并使用此App,科甘藉此取得他们的住所及“按赞”内容等,同时利用fb系统漏洞,在接受测试者不知情下,取得他们朋友的信息,5000万名脸书用户的数据因此进入科甘和“剑桥分析”的数据库。

“剑桥分析”创办人之一的怀利向传媒揭发事件,表示公司利用收集所得的脸书网信息,根据有关用户的性格或政治取向建立数据模型,“从而锁定他们内心深处的恶魔”,具体做法包括向有关用户投放针对性的政治广告,从而左右他们的投票取向。

脸书网副总裁兼副法律总顾问格雷瓦尔上周发表声明,证实2015年已知道科甘违反平台政策,不当地将用户数据与“剑桥分析”分享,脸书网同时宣布关闭所有相关人士的账号。

“剑桥分析”将fb用户数据被窃归咎于科甘,并声称已经删除所得数据,而且从没使用来为特朗普助选。不过揭发事件的《纽约时报》及《观察家报》指出,“剑桥分析”还未删除这些数据。

英国国会媒体委员会批评脸书网误导国会,隐瞒用户在未经授权下遭盗用数据的风险,有议员要求脸书网创办人扎克伯格到国会接受质询。

(四)  韩国电信宣布在网络安全中应用区块链技术

韩国著名移动运营商韩国电信(KT)在周二宣布计划采用基于区块链安全解决方案的新型电信系统。该公司的一位首席研究人员Seo Young-il表示,被称为“未来互联网”的韩国电信数字基础设施项目将允许人们和企业使用他们自己的数据获得奖励,而不是像Google这样的门户运营商垄断私人数据的访问权。

融合技术研究所的区块链中心负责人在接受《韩国先驱报》采访时表示:“使用区块链技术,通过不可伪造的区块链网络传输数据可以抵御黑客的攻击,并且用户将基于信任互相传送他们自己的数据,无需依赖第三方OTT业务。”

韩国电信的最终目标是在未来几年利用区块链技术重建韩国的网络基础设施。韩国电信正准备在6月份推出区块链促进的数据漫游服务,并与美国Sprint和日本科技巨头Softbank等全球网络运营商合作。在金融科技方面,韩国电信已经将加密货币平台K-Coin纳入其移动优惠券服务。

据报道,Young-il还说:“区块链将是’第四次工业革命’中数字化的核心技术。”

 

附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006