当前位置: 首页 > 信息化建设 > 信息安全 > 正文

信息安全

南京农业大学校园网络安全月报(第2期)

信息来源: 本站原创 发布日期: 2017-01-26 浏览次数:

1 校园网基本安全态势

   从网络总体流量来看,校园网12月流入量均值为1.72G,比上个月增长0.16G;流出量均值为0.62G,比上个月略微增长0.06G。IPV6总流量也有小幅增长。

   从安全防护设备监测情况看,12月中上旬校园网遭受的网络攻击量有明显上升趋势,其中Web应用方面信息泄露类型的攻击数量所占比重较大,网络活动方面可疑网络活动量较大。攻击源IP主要来自电信网络,阻断的高风险事件活动主要来自境外。

   安全漏洞检测结果表明,校园网站的主机高危漏洞数量高于Web高危漏洞数,Web高危漏洞主要以跨站脚本类漏洞、注入类漏洞为主,部分网站有高危SQL注入漏洞,一旦被恶意利用,可能造成篡改数据,甚至获取服务器控制权的后果。弱密码漏洞主要为服务器FTP账号使用了默认密码,少量数据库内置用户空密码和主机远程桌面弱密码。

2 校园网流量监测分析

2.1 网络流量监测统计

2.1.1 校园网出口总流量

Ø 流入流量

    2016年12月,全校网络流量流入峰值为3.20G,流入峰值出现时间为12月26日,流入均值为1.72G。

Ø 流出流量

    2016年12月,全校网络流量流出峰值为1.32G,流量峰值出现时间为12月13日,全校流量流出均值为643.33M(0.62G)。

2.1.2 校园网IPV6出口总流量图

 

Ø 流入流量

   2016年12月,IPV6出口总流量流入峰值为1.02G,流量峰值出现时间为12月10日,IPV6出口总流量流入均值为704.37M(0.69G)。

Ø 流出流量

   2016年12月,IPV6出口总流量流出峰值为673.74M(0.66G),流量峰值出现时间为1231日,IPV6出口总流量流出均值为259.85M(0.25G)。

2.1.3 校园网IPV6鹏博士(长宽)流量

 

Ø 流入流量

    2016年12月,IPV6鹏博士流量流入峰值为510.29M,流量峰值出现时间为1230日,IPV6鹏博士流量流入均值为151.29M。

Ø 流出流量

    2016年12月,IPV6鹏博士流量流出峰值为420.22M,流量峰值出现时间为1226日,IPV6鹏博士流量流出均值为135.69M。

2.1.4 校园网宿舍区出口路由流量

    12月宿舍区出口路由器下行流量均值为862.40M,上行流量均值为116.97M,比上月都有近三成下降幅度。在联通、电信、移动、教育网、长宽5个出口中,长宽的上行流量略大,电信的下行流量较大;从应用协议流量上看,依然是P2P类、下载工具类的应用协议上行流量较大,下行流量中P2P类流量较大。 

2.1.校园网教学区出口路由流量

    12月教学区出口路由下行流量均值为1009.96M,上行流量均值为385.92M,比上月均有大幅增长,上行流量增幅超过三倍,电信出口上、下行流量均较大;从应用协议流量来看,WEB应用类上行流量较大,P2P类下行流量较大。

2.2 服务器流量监测情况

2.2.1 IP用户流量占用

 

2016年12月份,从整体监测来看,位于流量占用前三位的分别为:校园网视频直播服务器,其流量占用比例为46.6%;主机192.168.20.221,其流量占用比例额为5.8%;教务处课程中心视频资源服务器,其流量占用比例为4%,其余出口地址流量占用相对较小。

2.2.2 应用协议流量占用

 

    RTMP协议流量占用比重为48.6%,对应流媒体音视频传输、FLASH视频应用;HTTP分片下载流量占用比重为7.3%,对应为多线程下载应用;HTTP协议流量占用比重为16.3%,TLS1协议流量占用比重为12.4%,主要对应及时消息传输类应用等;其余应用协议流量占用相对较少。

2.3 网络用户行为统计分析

    从热门应用排行统计看,12月除网站访问外,移动终端应用、IM即时通信、Web流媒体、邮件等网络应用的用户数较多。

网络应用类型用户数量统计表

序号

应用类型

使用用户数

对比上月

总用户数占比

1

访问网站

48142

81.93%

2

网络协议

47853

81.43%

3

移动终端应用

43522

74.06%

4

IM

43124

73.39%

5

Web流媒体

40154

68.33%

6

邮件

39258

66.81%

7

IM传文件

38405

65.36%

8

软件更新

29095

62.86%

9

P2P

36223

61.64%

10

下载工具

34819

59.25%

网络应用类型用户数量对比图

 校园网络安全威胁监控与分析

 3.1 WEB应用防护情况

2016年12月共检测Web可疑入侵攻击1093670次,其中高危攻击849次,占0.07%;中危攻击45394次,占4.15%。

 3.1.1 入侵攻击趋势分析

 

通过入侵趋势图可以发现, 12月中上旬攻击次数明显增多,13日的攻击峰值次数超过55000次。

3.1.2 入侵攻击类别分析

入侵攻击的类别主要有十大类:信息泄露、SQL注入、脚本执行、缓冲区溢出、XSS攻击、请求类型、脚本上传、扫描行为、脚本木马、命令执行。其中,信息泄露、SQL注入、脚本执行三类攻击数量相对较多。

  入侵类别对比可见信息泄露攻击占89.78%、SQL注入占3.91%、脚本执行占2.24%,请求类型占2.19%,其余类别的攻击数量都小于1%。

 

信息泄露类攻击依然较为严重。信息泄露可通过多种攻击方式实现,常见为通过浏览器输入特定字符观察返回信息来探测服务器信息;危险性较大的有通过撞库攻击窃取网站、系统的用户名、密码,导致数据信息泄露;通过SQL注入漏洞攻击,直接获取到后台数据库中的信息,再利用脚本代码的注入,篡改数据库中的内容,继而呈现在网站中,如反动言论等,可产生严重恶劣政治影响;通过跨站脚本漏洞攻击,注入脚本文件、VBScript、ActiveX或Flash以欺骗用户,获取用户信息。

3.1.3 入侵攻击来源与目标分析

从攻击源IP分布看,大部分为电信IP,移动和教育网较少: 

序号

IP地址

地理位置

次数

1

218.26.15.106

山西省太原市 联通

104982

2

202.102.72.41

江苏省南京市 电信

82968

3

106.120.173.144

北京市 电信

24487

4

36.7.197.122

安徽省合肥市 电信

18261

5

120.210.173.160

安徽省合肥市 移动

16417

6

49.77.134.21

江苏省 电信

12110

7

49.95.13.126

江苏省南京市 电信

11954

8

49.77.129.41

江苏省 电信

11091

9

49.77.128.154

江苏省 电信

11083

10

117.90.111.142

江苏省镇江市 电信

10807

从攻击目标IP地址分布和攻击量情况看,攻击目标为内网服务器,最高攻击数量为695178次,最低为11426次,平均97687次。

   3.2  网络入侵防护

    3.2.1 攻击手段与类型分布  

时间(月)

拒绝服务攻击

获取权限攻击

信息收集行为

可疑网络活动

网络操作监控

总计

2016-12

59114

2015213

439165

5238332

11470256

19222080

12IPS共检测到攻击及可疑网络活动19222080次,其中获取权限攻击占9.33%、可疑网络活动占36.47%、信息收集行为占1.99%、拒绝服务攻击占0.2%,网络操作监控52%。

 

3.2.2 攻击阻断情况

 

12月共阻断拒绝服务攻击12964次、获取权限攻击276396次、信息收集行为59916次、网络可疑活动3995564次。

阻断最频繁的十类事件:

活动最频繁的十类事件: 

 阻断最频繁的十个事件的源IP地址均来自境外:

 

3.3 漏洞集中安全扫描情况

2016年12月底,天网公司协助信息中心对全校571个主机,域名 376 个进行了安全漏洞扫描检测,结果显示:主机高风险漏洞占 60.2% ,Web高风险漏洞占34% ,弱密码漏洞占 5.9% 。 

有高风险漏洞的主机数量占主机总数 38% ,高风险Web漏洞占Web漏洞总数 15.7% 。

 

 

 

 

3.3.1 主机风险分布

主机风险统计包括主机漏洞、Web漏洞和弱密码漏洞。

 

本次共扫描主机 571 个,其中: 

33.45%的主机较安全,其余均存在不同程度的风险 。 

3.3.2 域名风险分布

 

本次共扫描域名 376 个,其中: 

52.39%的域名较安全 ,其余均存在不同程度的风险 。 

      校园网络信息安全事件处置情况

     12月,360补天漏洞响应平台通报了我校Radware负载均衡系统弱密码漏洞和农业电气化与自动化学科综合训练中心网站SQL注入漏洞,信息中心网络运营部验证核实后及时通知相关单位整改修复。

网络信息安全要闻概览

12月7日,中美第三次打击网络犯罪及相关事项高级别联合对话在华盛顿举行,双方就推进打击网络犯罪、网络安全合作等达成广泛共识,提议2017年在中国举行第四次对话。

12月15日,国务院发布《“十三五”国家信息化规划》,提出了6大主攻方向:一是引领创新驱动,培育发展新动能;二是促进均衡协调,优化发展新格局;三是支撑绿色低碳,构建发展新模式;四是深化开放合作,拓展发展新空间;五是推动共建共享,释放发展新红利;六是防范安全风险,夯实发展新基石;部署了10大任务:构建现代信息技术和产业生态体系、建设泛在先进的信息基础设施体系、建立统一开放的大数据体系、构筑融合创新的信息经济体系、支持善治高效的国家治理体系构建、形成普惠便捷的信息惠民体系、打造网信军民深度融合发展体系、拓展网信企业全球化发展服务体系、完善网络空间治理体系和健全网络安全保障体系。

Coremail论客与360企业安全联合发布《2016中国企业邮箱安全性研究报告》,指出企业邮箱主要面临四大安全威胁:弱密码、OA钓鱼、垃圾邮件和病毒邮件。邮件已经成为安全威胁的载体和黑客发起渗透攻击的跳板。

工信部发布《移动智能终端应用软件预置和分发管理暂行规定》,要求生产企业和互联网信息服务提供者应确保除基本功能软件外的移动智能终端应用软件(APP)可卸载,并禁止私自收集用户信息。《规定》将于2017年7月1日起开始实施。