海南省网络安全通报（2017年第9期）

一、我省本月网络安全总体情况

9月，海南省发生网页篡改安全事件7起；被境外控制的木马僵尸受控主机数量为10985个，较上月16171个有所减少，列全国第23位；木马僵尸控制服务器数量为15个，比上月增加13个。每日互联网流量最高值为770G，最低值100G，未发现流量异常情况。我省重要信息系统部门或网站被攻击数量未见明显改善，部分政府网站或系统存被攻击痕迹或被植入后门的现象依然存在，需引起政府和重要信息系统部门高度重视。

二、本月网络安全工作动态

1.互联网网络安全信息通报工作动态

国家计算机网络应急技术处理协调中心海南分中心（简称海南互联网应急中心），由海南省通信管理局授权，负责收集、汇总、分析和发布本省互联网网络安全信息工作。

9月，海南互联网应急中心共接收各基础运营企业、增值运营企业、网络安全企业等信息通报工作成员单位提供的网络安全月度信息汇总表7份。各运营企业相关网络安全责任人应密切关注本单位运营网络的安全情况，积极做好网络安全事件信息报送工作。

2.开展木马僵尸感染主机清理工作

9月，海南互联网应急中心共向各运营企业下发了767条感染僵尸木马的IP数据，41条僵尸木马病毒控制端IP数据，457条感染蠕虫病毒的IP数据；网站漏洞数据8条。各企业积极配合并进行了处置。海南互联网应急中心针对各企业反馈涉事单位建立了重点单位监测表，进行每日监测，对监测发现的感染情况及时进行通报,并建立联系人机制，提高处置效率。

3.手机病毒处理工作

9月，海南互联网应急中心协调运营企业处置手机病毒181条。运营企业通过短信提醒、免费客户服务热线、网上营业厅或门户网站公告等方式，及时向用户推送手机病毒感染信息和病毒查杀方法及工具，帮助用户了解手机病毒危害及引导用户清除手机病毒，并在手机病毒处置过程中特别注意保护用户隐私。同时，将手机病毒处置结果、用户投诉等情况通报我中心。

4.自主发现网络安全事件处置情况

海南互联网应急中心通过国家中心系统平台，自主监测发现并处理了一些被植入后门和被篡改网页的网络安全事件，经过验证后向相关单位报送网络安全通报，并协助处理。

三、本月安全要闻回顾

1、工信部发布《公共互联网网络安全威胁监测与处置办法》

中国网9月15日消息 记者9月14日从工信部获悉，工信部制定印发《公共互联网网络安全威胁监测与处置办法》，对公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件监测处置，并建立网络安全威胁信息共享平台，集成合力维护网络安全。

    工信部提出，公共互联网网络安全威胁既包括被用于实施网络攻击的恶意ＩＰ地址、恶意域名、恶意电子信息、恶意程序等，也包括网络服务和产品中存在的安全隐患以及网络安全事件。这些一旦被发现认定，将采取停止服务、屏蔽、清除、通报等措施。

    工信部提出建立网络安全威胁信息共享平台，统一汇集、存储、分析、通报、发布网络安全威胁信息，制定相关接口规范，与相关单位网络安全监测平台实现对接。

    工信部网络安全管理局局长赵志国表示，工信部将完善危险监测处置、数据保护、新技术、新业务安全评估等政策，最大限度消除安全隐患，制止攻击行为，避免危害发生。《公共互联网网络安全威胁监测与处置办法》自2018年1月1日起实施。

2、土耳其计划出台国家网络安全新战略

新华网９月１３日消息 土耳其交通、航运和信息部部长艾哈迈德•阿尔斯兰日前表示，政府正在计划出台新的国家网络安全战略和行动计划。

    据当地媒体１２日报道，阿尔斯兰说，此举旨在应对当今来自国内外的网络安全威胁、打击网络犯罪、防范黑客攻击。该计划包括５个战略目标、４１项行动主题和１６７个具体步骤。土耳其官方网络安全机构网络安全委员会已召开４次会议，为这项战略计划的起草酝酿做准备。

    据介绍，土耳其成立了国家计算机紧急情况应对中心，以协调国有和私营企业在打击网络犯罪领域的合作，共同采取行动。未来政府将公布新的有关法规，强制企业聘请全职的网络安全专家应对可能的网络威胁，未能采取相关网络防范措施的企业可能将面临政府罚款。

    土耳其还将成立一个封闭的虚拟网络，确保国家机构内部数据信息传输交换的安全。土耳其信息和通信技术委员会将在国家网络安全工作中发挥更加积极有效的作用。政府还将成立一个由1000名专业人士组成的专家团队来开展国家网络安全工作。

    阿尔斯兰说，交通、航运和信息部计划在今年内举行一次网络安全演练，测试并评估土耳其应对国内网络安全威胁的防范能力，明年将开展针对国际网络威胁的演练和测试。

    为提高公众对网络安全的意识，土耳其政府还准备建立一个公众互动平台，提供有关网络安全的在线模拟训练。

附：本月报送和监测的数据导读

附1：网络安全信息报送情况

9月，海南互联网应急中心处理及或向本地区各信息通报工作


成员单位报送的网络安全事件共1466起。各类事件信息详细分类统


计分别如表1和表2所示。（注：此统计全包括海南互联网应急中心


通报数据，另包括企业自查数据）

附2：木马僵尸监测数据分析

1、木马僵尸受控主机的数量和分布

2017年9月，监测发现我国大陆地区1051278个IP地址对应的主机被其他国家或地区通过木马程序秘密控制，与上月的1685365个相比减少了37.6%，其分布情况如图1所示。其中，海南省10985个（占全国1.04％），全国排名第23位。

2、木马僵尸控制服务器的数量和分布

2017年9月，监测发现我国大陆地区2416个IP地址对应的主机被利用作为木马控制服务器，与上月的2901个相比减少了16.7%，其分布情况如图2所示。其中，海南省15个（占全国0.62％），全国排名第24位。

3、境外木马控制服务器的数量和分布

2017年9月，秘密控制我国大陆计算机的境外木马控制服务器IP有5560个，与上月的7042个相比减少了21%，主要来自美国、俄罗斯等国家，具体分布如图3所示。

4、木马僵尸网络规模分布

在发现的僵尸网络中，规模大于5000的僵尸网络有33个，规模在100－1000的有330个，规模在1000－5000的有85个，分布情况如图4所示。

附3、境内被植入后门的网站按地区分布

2017年9月，监测发现我国大陆地区2825个网站被植入后门程序，其分布情况如图5所示。其中，海南省8个（占全国0.28％），排全国第27位。

附4、网页篡改监测数据分析

2017年9月，我国大陆地区被篡改网站 5494个，与上月的6109个相比稍有回落；其中，海南省7个（占全国0.13％），排名第25位。具体分布如图6所示。

附5：恶意代码数据分析

2017年9月，恶意代码捕获与分析系统监测得到的放马站点统计。

附6：重要漏洞与重要事件处置公告

2017年9月，CNVD整理和发布以下重要安全漏洞信息。同时提


醒用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。


（更多漏洞信息，请关注CNVD官方网站：www.cnvd.org.cn）

关于蓝牙(Bluetooth)协议存在多个漏



洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了蓝牙(Bluetooth)协议存在的8个安全漏洞。由于漏洞涉及到基础协议，影响到Android、iOS、Windows以及Linux系统设备甚至使用短距离无线通信技术的物联网设备，相关设备范围十分广泛。综合利用上述漏洞，攻击者还可以控制设备，突破访问企业数据和网络，向横向相邻的设备传播恶意软件，极有可能导致大规模蠕虫的跨网攻击。

一、漏洞情况分析

物联网安全研究公司Armis Labs披露了一个新的攻击方法，搭载主流移动、桌面、IoT操作系统包括Android、iOS、Windows、Linux系统的设备均受其影响。攻击者是通过蓝牙(Bluetooth)协议远程不经过任何传统网络介质发起攻击，因此被命名为“BlueBorne”。Armis Labs还披露与BlueBorne相关的8个漏洞，其中的4个高危漏洞详情如下：

二、漏洞影响范围

1、Android设备：

Android手机，平板终端以及相关可穿戴设备

2、IOS设备：

iPhone, iPad, iPod在iOS 9.3.5及以下版本，AppleTV 7.2.2及以下版本均受RCE(远程代码执行漏洞)影响。iOS 10未受到漏洞影响。

3、Windows设备：

Windows Vista以来的所有Windows版本

4、基于Linux操作系统的相关设备：

所有运行BlueZ的Linux设备都受到信息泄漏漏洞的影响（CVE-2017-1000250）。所有内核版本从3.3-rc1(2011年10月发布)开始的Linux系统设备都受到远程代码执行漏洞的影响(CVE-2017-1000251)。

三、防护建议

1、Google和Apple厂商已经修复了相关漏洞：

①升级iOS版本至9.3.5以上

②升级Android版本至6.0以上

2、微软已在今年7月11日发布安全更新，并在9月12日发布了相应的通知，建议Windows用户查看更新信息：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628

临时防护建议：

不能及时升级设备的建议暂时关闭蓝牙开关。