国际网络安全分析报告书.docx

1、2008年度 中国网络安全分析报告 国家信息安全工程技术研究中心 网络安全中心 2008年12月30日 目 录 一、网络安全简析 4 1.1、国际网络安全简析 4 1.2、国内网络安全简析 9 1.3、全球网络安全十大威胁 10 二、国内网络安全现状 14 2.1、政府网络安全 16 2.2、企业网络安全 19 2.3、个人网络安全 28 2.4、十大网络安全威胁 30 三、国内计算机病毒现状 38 3.1、2008年十大流行病毒 39 3.2、计算机病毒疫情统计 46 3.3、病毒产业的互联网化 49 3.4、病毒互联网化造成的后果 54 四、

2、国内黑客攻击事件总结 61 4.1、2008年度国内被黑统计 61 4.2、黑客攻击手法分析 62 4.3、2009年黑客趋势预测 70 五、结束语 71 5.1、2009年十大网络安全威胁 71 5.2、2009年网络“云安全” 77 六、附录 82 一、网络安全简析 1.1、国际网络安全简析 1、全球网络安全分析 从1988年世界上第一个蠕虫病毒感染了10%的网络用户开始，时值今日恶意软件问题的规模已大幅增长。现在的因特网攻击讲究组织化且专门以窃取消费者和企业的信息资源为主。目前，由于越来越多的组织在电子邮件网关设置保护，使得网页成为网上罪犯用来感染计算机的首

3、要途径。于是，网上罪犯开始在无辜的网站植入恶意代码。这种全球范围的犯罪活动规模惊人，每4.5秒便会发现一个新的被感染网页，然后同样的事在一年365天里重复上演。除此之外，全球网络安全威胁分析机构每一天都收到将近20,000个新的可疑代码样本。 在2008年，我们见证了恶意软件不再只是微软的问题而已。网上罪犯却已开始将魔爪伸向其它操作系统(如Apple Macintosh)和脆弱的跨平台软件，而且这样的攻击趋势应该会延续至2009年。有鉴于此，企业仍然不能松懈，务必对他们的事业展开全面的防护，不能只保护电子邮件和网页网关。企业应当对网络、台式计算机、笔记本电脑和移动设备建立广泛的防护，才能抵挡

4、由地下罪犯所发出的大量威胁。 1）网页威胁 在最近几年，网站取代电子邮件系统，成为网上罪犯的主要攻击媒介。藉由缺少防护的合法网站的漏洞，黑客能够将恶意代码植入网站，稍后再趁机感染每一个网站访问者。许多著名企业的网站在2008年都曾经沦为这种攻击的受害者，无论企业大小都可能成为被攻击目标。在这种态势之下，强调全面实施正确的网络安全的重要性不言而喻。 就攻击手段而言，SQL注入攻击是2008年新闻头条的常客。这类攻击利用网站安全弱点然后在执行网站的数据库中植入恶意代码(脚本代码标签)，从而掷出恶意指令感染网站数据库。同时，黑客们已经发展出自动化的工具，利用如Google等搜索引擎来找出可能存

5、在弱点的网站，然后将代码植入其服务器中。而据调查显示，全世界散播恶意软件的网站中，有将近四分之三来自美国、中国和俄罗斯。另外，据研究表明，使用匿名代理服务器很可能增大受到恶意软件感染的机会。 2）电子邮件威胁 近年来，全球互联网监测显示经由电子邮件附件散播的威胁数量已有所减少。在过去12个月内基于网页的威胁有成为恶意软件重心的倾向，2008年里每714封邮件便有1封带有恶意附件。这是因为由垃圾制造者发动的若干次大型恶意软件攻击在本年度占据了很大比例。这段期间声名大噪的攻击事件包括Invo-Zip木马程序冒充FedEx和UPS等公司寄出包裹投递失败通知、Agent-HNY木马程序寄出垃圾邮件

6、伪装成Apple iPhone计算机游戏Penguin Panic，以及EncPk-CZ木马程序佯装成Microsoft安全补丁。 而在利用恶意邮件附件的同时，网上罪犯仍不断在电子邮件中嵌入恶意链接，并且发出新式且即时的攻击，专门以好奇的用户为猎物。 3）恶意软件 网上罪犯在2008年最常用来非法敛财的方法是利用伪装的防病毒软件，也称为恐吓性软件(scare ware)或欺诈软件(rogue ware)。这类攻击利用用户对IT安全的恐惧，让他们误以为计算机发生问题，其实计算机一切安好。通常，恐吓性软件会以弹出式广告或冒充下载程序的形式置入在网站上。仅在其中一个垃圾邮件捕捉陷阱里，每天就可

7、以侦测到约5000封这类电子邮件。 经由U盘来传输恶意软件的比例也在增加。同时，2008年的恶意软件比从前更喜欢利用社交网络来散播。8月时，Facebook坦承有多达1800名用户的用户文档已遭到秘密安装的木马程序窜改。除了找寻操作系统和浏览器弱点来下手以外，黑客同时也在其它普遍使用的程序和工具(例如Adobe Flash和PDF)中寻找安全漏洞。研究发现，恶意软件总共有44种不同的语言，其中英语系国家占据24.5%，汉语则占据11.6%。 4）垃圾邮件 垃圾邮件仍然是企业的严重问题，研究发现所有企业邮件中竟有97%是垃圾邮件。全球的垃圾邮件捕捉陷阱每天可以接收到成千上万的新邮件。200

8、8年，有240个国家送出垃圾邮件。美国的垃圾邮件问题确有稍微缓和，但仍以17.5%的垃圾邮件转发份额位居全球之首。大部份这类垃圾邮件来自计算机被僵尸网络控制的不知情的家庭用户。 电子邮件并不是垃圾邮件唯一的传输途径。网络博客因邀请访客留言也沦为散布工具，一般是利用自动化的僵尸网络搜索有弱点的网页。而在2008年里，垃圾制造者证明他们勇于尝试各种新方法来散播他们的广告信件和恶意软件。社交网络，例如Facebook和Twitter，渐渐成为他们经常使用的媒介途径。 5）Mac用户威胁加深 相较于Windows用户的处境，Apple的恶意软件问题还算轻微。但是，自从2007年年底在Mac OS

9、X上出现了第一个带有敛财目的的恶意软件以后，黑客们已多次尝试感染Mac计算机。 2008年2月，新问世的Flash型木马程序Troj/Gida-B专门恐吓用户，促其购买伪造的安全软件。这个恐吓性软件所使用的中毒网页广告在Mac和Windows计算机上同样有效。于2008年6月发现的OSX/Hovdy-A 木马程序，也有能力感染Mac OSX计算机并且企图窃取密码、开启防火墙并停用安全设定。 就目前情势而言，针对Mac计算机的恶意软件将继续出现，而用户应该继续遵循安全使用计算机的最佳使用方式，例如执行防病毒产品和保持最新的安全补丁。 6）攻击蔓延至无线设备 虽然iPhone上已发现简单的

10、恶意软件，但尚未成为明显的攻击目标。然而，Apple的手机电子邮件应用程序和其Safari网页浏览器已发现安全性缺失，而该公司也因为上述缺失的补丁仅供执行Mac OSX的计算机使用而忽略手机部份招来非议。 同样地，使用Google Android操作系统的移动电话T-Mobile G1也可能遭受试探性攻击，移动电话用户本身若习惯新增第三方应用程序却疏于防范，其装置受感染的风险会更大。 7）数据泄密 数据泄密是2008年常见的头条新闻。2008年8月，美国政府控告11人涉及一场黑客行动，窃取超过4000万份信用卡和借方卡卡号。在另一起事件中，英国内政部已证实，含有约130,000位已判有罪

11、的罪犯未加密个人资料的U盘已经遗失。 专家建议控制用户对待信息的方式。个人用户必须停止任何有风险的行为，例如传送未加密的信息到U盘之中。而公司机构应当扩大他们的反恶意软件基础建设，以便控制信息的使用，保证作业有效进行，并确保符合法规要求。 8）国家支持的网络犯罪 各国之间互相刺探情况以获取政治、商业和军事利益，因此我们不应该天真的以为他们不会利用计算机和因特网来助长情报刺探。 2008年有更多怀疑是国家支持的网络犯罪报告。尽管要证明某国认可某次攻击行动难如登天，但2009年仍会有更多人主张各国透过因特网互相攻击和刺探。 9）遏止行动与法律面向 国际间各个计算机犯罪权责单位共同打击网

12、络犯罪，在过去一年中有更多涉及情节重大的计算机犯罪且非法获取报酬的罪犯被逮捕并处以重刑。例如：2008年1月，三个男人精心设计了一场电子邮件诈骗，窃取逾1200万美元，由纽约法院裁定有罪。2008年3月，中国法庭对于利用木马程序窃取网络银行账号信息的四人处以6年半至8年不等的有期徒刑。2008年9月，疑涉及信用卡资料盗窃的一群歹徒，据称从Calgary一家公司窃取180万加币(约169万美元)，已遭加拿大警方逮捕。 10）美国是2008年最多恶意软件的国家 安全公司Sophos近日发布2008年年度安全报告称，2008年期间，来自美国的恶意软件和恶意网页数量已超过了中国，居全球首位。相较于

13、其它国家，在美国的网站上有更多的恶意软件，而且美国的计算机亦转发了更多的垃圾邮件。最好的证明就是，当美国一家网络公司被控告与垃圾邮件制造者和黑客狼狈为奸，并因此在11月中断网络联机以后，垃圾邮件的数量以惊人的幅度下降了75%。 在2007年，有逾50%的网页型恶意软件来自中国的主机。然而，在2008年美国已抢走这个排名。 ² 最大宗的恶意软件威胁-针对网页的数据注入 (SQL Injection) 攻击以及恫吓软件数量大增。 ² 新的网页感染-Sophos每4.5 秒即发现新的被感染网页(发现速度比2007年快了三倍)。 ² 恶意邮件附件-2008年底的数量比年初多出5倍。 ² 美国

14、的主机含有最多的网页恶意软件(37 %)，超越2007年中国的名次。 ² 美国的计算机转寄最多的垃圾邮件(17.5 %)。 ² 认为网络犯罪有国家支持的主张渐多，其中中国、朝鲜、俄罗斯和格鲁吉亚被指控透过网络进行情报刺探和攻击。 以下是2008年十大恶意软件所在国： 1. 美国 37.0% 2. 中国 (含香港) 27.7% 3. 俄罗斯 9.1% 4. 德国 2.3% 5. 韩国 2.1% 6. 乌克兰 1.8% 7. 英国 1.7% 8. 土耳其 1.5% 9. 捷克 1.3% 10. 泰国 1.2% 总结： 根据调查研究，我们预计未来的网络安全态势将主要体现

15、于：恶意攻击的多样性和数量会继续增加，数据泄密，被入侵的PC，不安全的网页，恶意电子邮件，身份窃盗等几个方面。 计算机用户保护和控制计算机所面临的挑战不会中断。但无论如何，若管理得当，便没有不能克服的问题。健全的安全习惯、最新的防护和积极接收信息将有助于在未来一年里保护企业及个人网络。另外，对于新的不明恶意软件威胁的前瞻性侦测永远是最重要的，而细心保护计算机的用户能大幅降低风险。 1.2、国内网络安全简析 根据公安部十一局举办2008年度全国信息网络安全状况暨计算机病毒疫情调查显示，我国信息网络安全事件发生比例继前3年连续增长后，今年略有下降，信息网络安全事件发生比例为62.7%，同比下

16、降了3％；计算机病毒感染率为85.5％，同比减少了6％，说明我国互联网安全状况有所好转。但多次发生网络安全事件的比例为50％，多次感染病毒的比例为66.8％，说明我国互联网用户的网络安全意识仍比较薄弱,对发生网络安全事件未给予足够重视。在发生安全事件的类型中，感染计算机病毒、蠕虫和木马程序依然十分突出，占72％，其次是网络攻击和端口扫描（27％）、网页篡改（23％）和垃圾邮件（22％）。攻击或病毒传播源来自内部人员的比例同比增加了21％；涉及外部人员的同比减少了18％，说明联网单位对外部网络攻击防范的意识有所增强，但单位内部的网络安全管理工作还不到位。网络（系统）管理员通过技术监测主动发现网络

17、安全事件的占66.28%，同比增加了13％，说明网络（系统）管理员安全技术水平有所提高；而通过安全产品发现的比例同比减少了8％，原因是目前计算机病毒、木马等绕过安全产品的发现、查杀甚至破坏安全产品的能力增强了。未修补网络安全漏洞仍然是导致安全事件的最主要原因（54.63%）,同比上升了5％。21%的被调查单位建立了安全组织，同比上升了7％，说明各单位对网络安全越来越重视。 2007年5月至2008年9月奥运结束，全国没有爆发大范围计算机病毒疫情。网络用户密码被盗同比增加了4.5％；病毒通过移动存储介质传播的比例下降了14%，说明用户防范移动存储介质传播病毒的意识有所增强；但通过网络浏览下载感

18、染病毒的比例却大幅增加了44%，主要原因是互联网站被大量“挂马”，这已成为病毒木马传播的主要方式。公安机关提醒网络用户，应加强网络安全防范技术措施，及时打补丁消除安全漏洞，警惕网站“挂马”。 针对网站“挂马”猖獗、计算机病毒肆虐等情况，为确保奥运期间互联网信息安全，公安机关网监部门奥运期间在全国开展了集中打击网络攻击破坏活动，破获了“制作贩卖‘大小姐’木马”等系列重大案件，有力震慑了贩卖计算机病毒木马犯罪团伙，为奥运期间信息网络安全运行创造了良好的条件。 1.3、全球网络安全十大威胁 美国安全培训与研究机构SANS在二月份发布的一份报告中列出了2008年的十大网络安全威胁。位列其中的有袭

19、击互联网浏览器数量的增多、Botnet (僵尸网络)的泛滥以及更加先进的网络间谍技术。 1、网络浏览器威胁 针对网络浏览器，尤其是Flash和QuickTime这样的插件程序的袭击被列为最大威胁。这些浏览器插件之所以成为黑客袭击的目标，原因在于它们分布范围广泛，而且不能随着浏览器的更新而自动更新，这使其非常容易受到攻击。 2、黑客工具增多 另外，网络罪犯提高了其攻击手段，他们会自动搜索网络上存在的可利用的漏洞。网络黑客工具MPack为10%到25%的成功的黑客攻击提供了帮助。袭击者还成功地将恶意代码或软件放到用户信任的网站上，这使得很多著名的防病毒工具也变得收效甚微。 3、僵尸网络泛

20、滥 数量越来越多、技术越来越成熟的BotNet位列榜单第二位。2007年1月通过邮件传播的 Storm Trojan病毒在发布一周后就感染了大量电脑。Storm和即将出现的Nugache都通过加密的对等网络运行，这意味着中心服务器无法关闭这种病毒，因而botnet的传播也很难被阻止。 4、网络间谍技术 2007年最大的安全新闻之一就是中国和其它一些国家通过间谍软件窃取美国大量资料数据。在2008年，尽管安全监管措施将加强，但是这种情况仍然不可避免，目标增多以及间谍技术的更加成熟使得这种袭击更容易取得成功。这些间谍软件主要针对的是高价值的目标。其袭击经常是通过向个人发送信息的方式来实现的。

21、袭击者会在发给个人用户的邮件中加入一个附件，用户打开此附件后微软Office或其它软件的漏洞就完全暴露出来。 5、内部袭击者的威胁 无赖雇员和合伙人一直令企业的安全管理者非常担心，而到2008年，这一威胁将会上升，因为企业内部系统的联系越来越紧密，而且数据的价值也越来越高。过去一年，安全公司已经采取了一些防止数据泄漏的措施，这表明他们已经开始就企业用户的这一担忧做出相应的回应。 6、先进的身份信息窃取病毒 现在有一种病毒可以潜伏在电脑上三到五个月，这段时间病毒将搜集用户密码、银行账号、浏览历史和使用频率较高的电子邮件等信息。在得到足够的数据之后，黑客就开始进行敲诈勒索，或者再进行进一

22、步的信息窃取。 Symantec于星期一公布的木马程序Trojan.Silentbanker就是这样一种病毒。这种木马程序可以在个人进行银行账户转账时改变用户输入的转入账号，并悄无声息地将钱转入黑客自己的账户。 7、Storm和Nugache等恶意病毒 恶意病毒不仅越来越危险，而且其自我保护能力也越来越强。恶意病毒对抗杀毒软件的能力越来越强，而且其行踪更为诡秘。它总是将自己的恶意本性隐藏起来，以便进行更为有效的攻击。 8、网络程序的漏洞 在2007年之前，很少有黑客会利用网络程序的漏洞进行攻击，因为别的攻击点更容易得到经济利益或高价值信息。不过，有越来越多的希望得到经济利益的黑客开始利

23、用网络程序上的漏洞来潜入重要的组织机构进行窃密活动。上周就爆发了一次利用SQL漏洞进行攻击的事件。专家预计，2008年这种攻击会越来越多。 9、以重大事件为诱饵的混合型攻击 黑客可能会利用注有煽动性标题的信息来诱使用户打开恶意邮件。其中一个例子就是，去年10月份，S用户收到了一封假冒的联邦贸易委员会的邮件，邮件打开后用户电脑就被安装了恶意程序。 10、移动设备遭到攻击的可能性增大 现在有越来越多的人采用USB标准进行连接，并使用了更多存储设备和电脑外围产品，这使得消费者的电子设备成为黑客攻击的目标。甚至有人会去买一件存储设备拿回家，然后将其感染病毒之后再退回给卖家。很多商家都有购买一周

24、或两周内无条件退货的承诺。更糟糕的是，很多商家会现场对退回来的存储设备产品进行检测，发现其可用后再放到货架上。尽管此类攻击并不会像木马程序那样危害无穷，但是由于这种攻击便于开展，因此它很可能会给普通的用户带来更多的危害。 除了USB移动设备受到攻击可能性增大以外，移动电话的遭受攻击的可能性也令人尤为担忧，尤其是iPhone手机、即将上市的Google Android手机以及VoIPT系统所面临的威胁。完全开放的移动平台会带来不可预见的安全威胁，开放的研发平台同时为黑客提供了广阔的空间。苹果CEO乔布斯可能会在近期发布苹果iPhone手机的软件升级服务，其主要关注的就是如何使iPhone手机变

25、得更加安全。 二、国内网络安全现状 据NISEC网络安全中心不完全统计，自2008年1月1日起，截止2008年12月30日，中国网站被篡改的数量达58430个。其中政府类网站有8642个；CN域名为11494个，企业类网站为36068个；教育/培训类被黑网站有6781个。 图 2008年中国被篡改网站 在2008年，几乎每个中国网站都遭受到不同程度的黑客攻击，攻击手法多种多样。其中以上海、北京、广州三地为被攻击网站最严重地区。 网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。统计显示，2008年全年我国大陆地区被篡改的 网站数量比2007年全年增加63%，占

26、被篡改网站总数的比例达到7%，而 域名仅占.cn 域名总数的2.3%，这说明网站遭受黑客攻击的可能性相对较高。并且从中国全面进入互联网时代以来，以针对时事政治的网站被黑或篡改事件多不胜数。 下面简单列举2008年度十大因时政事件被黑的网站： 1、2008年04月07日，旨在“反对西方媒体对华不实报道、发出中国人民自己声音”的民间网站anti-遭到不明黑客攻击，4月8日白天仍断断续续瘫痪数次； 2、2008年04月18日，因家乐福大股东涉嫌资助达赖集团，家乐福中文、英文网站连续被入侵、篡改首页及其他页面； 3、2008年04月17日，CNN网站在继家乐福网站被黑后，其首页及中文论坛相继被

27、篡改； 5、2008年05月25日，北京海淀艺术职业学校一段数名学生在上课时侮辱年迈地理老师的视频引起网友的热议和愤慨。随后该校主页被黑并被张贴抗议字幕； 6、2008年05月30日，在四川汶川大地震后，陕西地震信息网两次被黑客入侵，并发布虚假地震消息；5月31日至6月2日期间，广西地震局官方网站同样连续遭到“黑客”攻击； 7、2008年08月26日，一名黑客入侵清华大学网站，并捏造了一篇清华大学校长顾秉林接受采访的新闻报道，批评现行教育制度； 8、2008年09月12日，因“毒奶粉”事件闹得纷纷扬扬的三鹿集团官方网站首页被改为“三聚氰胺集团”。当月19日，三鹿网站再度被黑，并在其新闻

28、频道发布讽刺新闻； 9、2008年09月26日，继清华大学网站被黑事件一个月后，北京大学网站亦遭受同样待遇，黑客发布文章以当时北大校长许智宏的名义批评现行教育制度； 10、2008年12月01日，中央电视台网站CCTV的音乐频道继2008年09月25日被黑后，再次被一名自称“小波”的黑客侵入并修改页面，并留下挑衅的字语。 2.1、政府网络安全 在今年国内的被篡改网站统计中，以sinaritx及reDMin为首的国外黑客针对中国的网站群进行了大举入侵，仅仅半年时间，他们二人篡改中国网站的数量已超过5000家。 2008年5月1日，我国颁布施行《政府信息公开条例》，该《条例》的推行对政府

29、信息化建设提出了新的要求，同时也对电子政务信息系统的网络安全提出更高的要求。由于政府网站整体安全水平较低，往往是黑客攻击的重要目标，因此，作为政府对外形象的窗口、发布权威信息和与公众开放交流的平台，电子政务信息系统的网络安全管理是一个需要各级部门高度重视的问题。 国内现有各类型的网站数量已达150万，其中有超过60%的政府网站是构建在各类CMS(内容管理系统)平台之上，这些CMS系统的安全性对这些政府网站的安全运行就起着非常重要的作用。 随着信息化浪潮的推进，各政府不断加大投入，加快信息化工程建设，从而使政府信息网络发展迅速，并在现代化建设中发挥了重要作用。政府信息网络的发展，一方面必须确

30、保秘密信息的安全，特别是政府网络中的重要信息，涉及广泛，一旦出错，影响较大。因此，要切实加强网络的安全保密工作，确保国家秘密的安全。 加强组织领导，健全规章制度 政府信息网络安全保密工作是一项政策性强、技术性高的系统工程，任何一个环节上出现问题都有可能造成泄密。因此，必须建立起有效的组织领导体系，并有完善的规章制度做保证。各级政府部门可根据自身条件成立由政府分管领导任组长，办公室及有关部门负责人为成员的信息网络安全保密工作领导小组，各下级部门也应相应成立领导机构，形成主要领导亲自抓，分管领导具体抓，一级抓一级，层层抓落实的工作局面，确保每个环节都不出现漏洞。同时，坚持控制源头、积极防范的原

31、则，加强规章制度建设，制定符合自身网络特点、针对性强、可操作性强的保密、管理规章制度，出台相关管理制度，用规章制度规范行为，细化各个操作环节的管理和责任，使政府信息网络安全保密工作有章可循、有法可依。 强化基础工作，完善管理机制 政府信息网络安全保密工作是一项综合管理工作，要把对人的教育管理放在重要位置，明确职责，落实责任，实行规范管理。 一、配备专业技术管理人员，落实工作责任制，从技术上加强网络的保密防范，建立一支业务强、素质高、热爱保密工作的队伍，为安全保密工作打下坚实的基础。 二、加强对操作人员进行保密教育、政治思想教育和业务培训，提高保密意识。突出抓好网络安全保密教育，通过举办

32、培训班，技术人员实际指导等措施，向网络操作人员介绍计算机网络的发展、网络的保密、泄密的主要途径、保密防范措施和对策等，使其认识到新时期保密问题的重要性和紧迫性，提高操作人员的保密意识和防范能力，形成一个横向到边、纵向到底的保密网络，确保不出现问题。 三、加强监督检查，狠抓落实。督促检查是发现薄弱环节、规范操作、促进工作落实的重要手段。主动配合保密管理部门按照相关保密制度和要求定期对政府网络进行检查，以便发现问题，及时解决。 规范管理程序，严格把好三关 一、把好信息上网审核关。明确要求与外网相连的计算机不得处理、存储涉密信息，在公众信息网上发布的信息，必须经过保密审查，由主管领导审批，切实

33、做到“上网信息不涉密，涉密信息不上网”。 二、把好计算机送修手续。对需要送修的计算机，严格履行送修手续，并经分管领导批准后方可送修，用以处理、保存涉密数据的计算机，必须经专业技术人员处理后方可送修。计算机及网络设备的搬迁或硬件的更换，必须由管理人员负责处理，不得私自进行。 三、把好磁盘处理关。对于废弃的曾经处理和保存过涉密信息的磁盘，指派专人销毁。因为存储介质中的信息，即使被擦除后有时仍会留下可读信息的痕迹。另外，在大多数的操作系统中，删除文件仅仅是删掉文件名，而原文还原封不动地保留在存储介质中，一旦被利用就会造成泄密。 加强技术装备，强化网络防范 搞好政府信息网络安全保密工作，不仅要

34、靠人的主观能动性，还要靠安全的“硬件”设施和手段，不断提高防范能力。 一、内网与外网采取物理隔离。地每台入网微机中都设有内网与外网的端口各一个，严禁同时使用，确保内网的安全。 二、提高操作系统安全性。操作系统的安全性直接影响到整个网络的安全，因此，要选用安全等级较高的、新版本的操作系统，并及时对其进行升级和打补丁，增强系统的健壮性；要充分使用操作系统本身所提供的安全保密措施，关闭各种不必要的服务及后台进程，提高系统的安全系数。 三、加强访问控制与审计跟踪。在服务器中安装防火墙，防止外网非法用户的侵入，明确内网用户对网络资源的访问权限，防止用户对网络资源的越权使用。充分利用系统的安全审计功

35、能，定期地审查何日、何时、何地访问了哪些内容、进行了哪些操作？及时从中发现问题、采取措施。 互联网网站的安全软肋在于中小型网站，政府网站和国内大型的门户网站在安全方面投入比较大，其预警和危机处理的能力比较强，抵抗黑客攻击的应对能力也比较强。而为数众多的中小型网站由于缺少专业技术人才与安全防范能力，对网站安全风险的预警能力和危机处理能力明显不足，往往也成为黑客大面积覆盖式攻击的主要目标。 我们希望有更多的互联网公司能关注电子政务应用平台安全防范问题，国内众多中小型网站的安全运行更需要政府相关部门协同CMS厂商、信息安全厂商、用户等多方的协同努力，才能真正提高国内网站应对安全风险的总体水平。在

36、互联网高速发展的今天，网络安全还是一个软肋，这就更需要我们提高防范意识，提升应对安全风险的能力。 2.2、企业网络安全 过去的2008年，企业信息化建设取得了快速的发展，企业网络环境变得越来越复杂。如何有效管理企业网络，实现企业信息安全需求是新形势下企业IT管理者急需解决的问题，而企业安全管理的重中之重又非终端莫属。随着大量的木马病毒、数据泄露以及应用安全隐患的出现，网络攻击的性质也发生了根本转变，追求经济利益成为攻击者的最终目标。在这些安全威胁的背后，企业网络安全正经受着前所未有的挑战。 2008年对于中国信息安全意义非凡，这一年我国成功举办了举世瞩目的奥运盛会，信息安全在奥运盛会中得

37、到了升华；同样是这一年病毒木马呈现井喷式增长趋势，据统计2008年互联网上共出现了1300多万种病毒，这无疑对用户的信息安全构成了巨大挑战;也同样是这一年，中国信息安全出现了许多新的名词，云安全、万兆、多核不断出现在用户的眼前。中国信息安全在2008年的经历如此丰富，这其中一定有许多记忆值得我们回味。 1、安全挑战无处不在 ·病毒/木马威胁加剧 2008年，病毒木马继承了07年快速增长的势头，据国内信息安全厂商瑞星11月份报告统计显示，2008年的前10个月，互联网上共出现新病毒9306985个，是去年同期的12.16倍，木马病毒和后门程序之和超过776万，占总体病毒的83.4%，病毒数

38、量呈现出了井喷式爆发。 是什么造成了病毒木马的J曲线增长?经济利益的驱使首当其冲;其次，病毒木马的机械化生产加速了新变种的产生;最后，大量出现的系统及第三方应用程序漏洞为病毒木马传播提供了更广泛的途径。 事实证明，借助病毒木马牟利的黑色产业链已经形成，作为企业IT管理者必须对新形势下的病毒木马威胁提高警惕。 ·安全漏洞频繁曝光 2008年安全漏洞被曝光的频率及数量比以往都要多。微软在2008年，史无前例的一年发布了两次紧急漏洞更新补丁。更为严重的是下载工具、浏览器、甚至杀毒软件也被曝出了严重的安全漏洞。 业界通常有这样一个估算方式，每1000行代码中大约有5-50个BUG。Windo

39、ws XP大约有4千万行代码，那么按此公式，XP至少含有120万个BUG。然而，随着越来越多的功能被添加到应用程序和操作系统中，软件在不断更新中变得更加复杂。因此，我们有理由相信，随着漏洞挖掘技术及漏洞提交机制的完善，将会有更多的安全漏洞将会公布于众。 与此同时，越来越的攻击正在利用未知漏洞在疯狂传播，“零日攻击”已经成为近几年最热门的话题。实现“主动-自动”的安全防御需求正在成为用户对安全企业更加严格的要求。 2008年上半年，十大安全漏洞：浏览器漏洞、Adobe Flash漏洞、ActiveX漏洞、SQL注入式攻击、Adobe Acrobat阅读器漏洞、CMS漏洞、Apple Quic

40、kTime漏洞、Web2.0元素(如Facebook应用、网络广告等)、Realplayer漏洞和DNS缓存漏洞等。 ·数据泄露 数据泄露在2008年真正成为企业头疼的问题。随着企业基于web的业务模式全面展开，越来越多的企业关键数据被互联网所承载。企业需要保证数据的高可用性，同时企业也不得不面临各种各样针对数据的安全威胁。根据国家计算机病毒应急处理中心的分析报告，2007年全国计算机病毒感染率已经高达91.5%，其中相当部分已经被黑客控制。Websense安全实验室最新报告也显示，29%的恶意攻击中包含数据窃取程序，这表明攻击者已经将窃取核心机密数据和信息作为其主要目标。2008年，利用

41、Web2.0技术，发动大面积中奖网络钓鱼攻击、网络诈骗和借助热点新闻事件所发起的攻击以及层出不穷的数据泄露事件成为企业关注的重点。 强调保护敏感数据的“数据中心”策略已成为业内热捧的发展趋势。同时我们看到，企业急需来对敏感数据进行定义并且采取相应的标记，掌控企业数据的动向。 ·Web安全不容忽视 随着互联网技术的快速发展，综合以上各个方面，基于web的安全威胁在2008年给信息安全构成了巨大挑战。 互联网用户飞速增长，基于Web方式的攻击成为黑客首选攻击方式。一方面，网站广告、流量带来的巨大利益诱惑促使新兴网站不断增多，而这些网站又通常都是缺乏严格管理和安全防护，这让黑客可以轻易的利用

42、XSS跨站脚本攻击、SQL注入、DNS投毒等方式对访问这些站点的用户进行攻击;另一方面，随着Web2.0网站的流行，让用户可以自己不断的更新现有内容、共享应用程序，并通过多种渠道进行即时通讯，这也为黑客在“知名”网站下进行恶意代码的传播提供了更好的伪装。 与此同时，大多数的用户并没有充分意识到当前Web安全威胁和风险对企业安全的巨大影响，有很多用户都在不知不觉中容忍着各种间谍软件、傀儡程序、键盘记录软件、广告软件在主机上运行，为企业带来巨大的安全风险和经济风险。 web安全事件的严重性，已经引起了各方的高度关注，如何防范web安全威胁是用户对信息安全厂商提出的新的课题。 2、需求加速

43、安全创新 现在，清楚了2008年信息安全面临的各种挑战，也清楚了企业的安全需求。作为信息安全防护的动力源，安全厂商是如何来应对挑战的?回顾热闹的2008年，我们发现了安全企业通过采用新的架构，融入新技术，为企业信息安全建设提供了更多的选择。用户的需求正在催化信息安全技术快速创新。 ·终端安全防护 终端是企业实现大部分业务操作的工具。不幸的是，电脑终端面对安全威胁显得越来越脆弱。调查显示70%的企业安全隐患来自于终端，这些安全威胁包括钓鱼攻击，垃圾邮件，病毒，蠕虫，Root工具包，按键记录程序和其它恶意软件。终端也已扩大了用户的安全考虑范畴，这使得安全威胁防不胜防。事实上，终端很可能就是企

44、业安全防线最薄弱的环节。 07年11月赛门铁克宣布推出Symantec Endpoint Protection 11.0和Symantec Network Access Control 11.0，作为其Security 2.0计划中的重要一步。Symantec Endpoint Protection 11.0 将 Symantec AntiVirus 与高级威胁防御功能相结合，可以为终端设备提供可靠的恶意软件防护能力。如今赛门铁克最新的 Endpoint Protection 11.0 MR3在单代理、单控制台中无缝集成了基本安全技术，将准入控制与其他安全技术结合在一起，只需要简单授权即可为

45、终端提供所需的八大防护功能，而且有助于降低成本。 趋势科技通过OfficeScan、NVWE、Leakproof、TDA等产品和技术的组合也已形成一套完整终端安全解决方案。趋势科技表示，实现高效的企业终端安全防护需要考虑五方面因素：1.要实现集中式管理、分布式部署。2. 产品模块化;用户可以根据自身需求灵活选择模块，扩展性要好。3.兼容性;终端安全要和用户现有系统具有良好兼容性。4. 性能;终端在性能上是否能够保证正常工作效率。5.终端安全要能够和现有网络边界设备组成完整的防御体系，或者能够在一个统一的管理平台上协同工作。 用户的需求正在推动终端安全防护的快速发展，随着安全技术的飞速发展，

46、09年的终端安全防护市场的竞争将会更加激烈，除了不断完善的终端安全解决方案，统一便捷的集中管理平台将帮助企业实现更行之有效的企业终端安全管理。 ·安全网关革新 安全网关作为企业安全防护的第一道闸门，其安全性能直接决定了企业整体的安全状况。2008年随着多核技术的日臻完善，以及企业基于web的应用安全需求激增，安全网关不论在性能还是功能上都取得了新的突破。 截至到08年上半年，H3C的万兆以太网交换机累计销售23万台，万兆端口数量应用近20余万，事实证明万兆网络建设已渐成规模，万兆安全时代全面来临。 借助Cavium和RIM多核CPU，国内众多安全厂商纷纷推出了万兆网络安全产品，一时间万

47、兆防火墙、万兆UTM以及万兆IDS/IPS成为安全厂商在2008年的主打产品。 随着多核架构对性能的大幅度提升，解决用户应用安全成为安全网关在2008年的又一大特色。这主要体现在两大类型的安全产品上，应用安全网关和IPS(入侵防御系统)。在提升安全网关防护能力方面，业界呈现出两大趋势，一是传统信息安全巨头通过并购来加强其应用安全防护能力;另一方面是例如安启华、Hillstone等，规模不大，但真正从底层协议出发彻底优化，从技术上实现其安全网关的应用安全防护能力。于此同时，一些专业邮件服务器厂商如Mirapoint、梭子鱼也推出了邮件安全网关。 多核、万兆、应用安全已经成为安全网关在2008

48、年留给用户最深刻的印象，因此有理由相信2009年安全网关的性能以及其应用安全的防护能力将得到更广泛的提高。 ·数据安全防护 随着信息安全需求的扩大，数据安全防护在2008年已经引起了各方的高度关注。2007年公布的美国零售巨头TJX公司数据泄露事件，导致该公司9400多万用户账户受影响。这起事件至少导致在13个国家发生了大量的信用卡和借记卡诈骗案件，仅Visa卡用户的损失就超过6800万美元。2008年美国东海岸连锁超市(East Coast)的母公司Hannaford Bros.称，该超市的用户数据库系统遭到黑客入侵，造成400多万个银行卡帐户信息泄露，因此导致了1800起与银行卡有关的

49、欺诈事件。事实证明，数据泄露对企业和用户权益的破坏是巨大的。 据统计，超过52%的首席信息安全官认为数据泄漏是导致安全防护开销的首要原因;85%的安全负责人表示在过去的安全损失中，至少有一件设计数据丢失。 企业数据安全防护的需求，促使数据丢失防护(DLP)等数据安全产品得到了快速发展。强调保护敏感数据的“数据中心”策略最近已成为业内热捧的发展趋势。与此同时，专家指出通过数据分级策略可以有效的保护敏感数据的安全，企业需要规范敏感数据管理并且采取相应的标记。 数据丢失防护DLP解决方案能够直观的告诉IT管理者，我的机密信息存在何处?这些数据的使用情况怎样?如何最好的保护这些数据防止其丢失? 了解文档内容正式数据丢失防护DLP技术的核心。另外一些数据分级工具不仅提供加密，而且也提供DLP防护功能。 我们不难看出DLP，ERM和其它安全产品的一体化将会变得更加普遍，正如网关防护手段的整合一样，数据安全的一体化防护技术也会加速整合。今年早些时候，安全厂商进行了多次并购，赛门铁克、Cisco、Macfee以及EMC都参与到其中。可以预计未来的几年能整合更多防护功能的产品会越来越多的出现在我们的视野中。 ·反病毒木马 如今计算机病毒、木马以及各种恶意软件已经成为企业信息安全的最大威胁，快速出现的病毒数量以