報告概述
安全值行業(yè)報告是基于威脅情報數(shù)據(jù)�����,利用大數(shù)據(jù)的分析方法對行業(yè)整體安全狀態(tài)進(jìn)行評價和分析�,本次對全國204家三甲醫(yī)院進(jìn)行數(shù)據(jù)采集����,并進(jìn)行安全評價和量化風(fēng)險分析,包括業(yè)務(wù)安全���、隱私安全�、應(yīng)用安全、主機(jī)安全���、網(wǎng)絡(luò)安全�����、環(huán)境安全6個維度。
通過安全值對第一季度的數(shù)據(jù)分析發(fā)現(xiàn):
根據(jù)2016-5-31安全值數(shù)據(jù)�����,重點醫(yī)院的安全值為861�����,整體評價為 “一般”����,共204家,其中101家(49%)評價為“良好”��;97家(48%)評價為“一般”�;6家(4%)評價為“較差”��。
過去3個月內(nèi)共發(fā)現(xiàn)101家醫(yī)院(48%)存在僵尸網(wǎng)絡(luò)風(fēng)險����。對2016-3-8至2016-6-8(近3個月)的數(shù)據(jù)進(jìn)行詳細(xì)分析����,發(fā)現(xiàn)70家醫(yī)院76個IP資產(chǎn)被曝僵尸網(wǎng)絡(luò),2405次僵尸網(wǎng)絡(luò)報警�。其中近3個月告警次數(shù)最多的IP告警次數(shù)為726次,超過50次告警的IP數(shù)為11個����。其中5個為疑似共享IP資產(chǎn),存在高風(fēng)險����。
一. 行業(yè)總體概況
根據(jù)2016-6-8安全值數(shù)據(jù),重點醫(yī)院的安全值為861�����,整體評價為 “一般”�����,共204家三甲醫(yī)院,其中101家(49%)評價為“良好”����;97家(48%)評價為“一般”;6家(3%)評價為“較差”�。
| 評價 | 得分范圍 | 數(shù)量 | 占比 |
| 良好 | 901-1000 | 101 | 49% |
| 一般 | 601-900 | 97 | 48% |
| 較差 | 400-600 | 6 | 3% |
1.1. 總體安全值分布
從安全值的分布情況來看,其中116家三甲醫(yī)院得分高于或等于平均值861�,88家得分低于平均值,最低分?jǐn)?shù)為515分���。
1.2. 互聯(lián)網(wǎng)資產(chǎn)統(tǒng)計
安全值對互聯(lián)網(wǎng)資產(chǎn)進(jìn)行分析統(tǒng)計�,包括各機(jī)構(gòu)注冊的域名���、面向互聯(lián)網(wǎng)開放的主機(jī)服務(wù)(不僅限于Web服務(wù)的網(wǎng)站)和公網(wǎng)IP地址。
本次采集的數(shù)據(jù)中域名共有213個��,公網(wǎng)主機(jī)1490個�����,公網(wǎng)IP地址877個��,平均每個機(jī)構(gòu)有13個互聯(lián)網(wǎng)資產(chǎn)。
二. 風(fēng)險分布及量化評估
2.1. 風(fēng)險量化評估
根據(jù)業(yè)內(nèi)的信息安全風(fēng)險管理最佳實踐�����,結(jié)合風(fēng)險等級���、影響范圍����、頻率����、數(shù)量、時間各方面要素建立量化風(fēng)險的計算模型��,對整體情況的6個風(fēng)險域(業(yè)務(wù)安全��、應(yīng)用安全����、隱私安全、主機(jī)安全�、網(wǎng)絡(luò)安全和環(huán)境安全)進(jìn)行量化評價。
2.2. 存在風(fēng)險的機(jī)構(gòu)數(shù)量
| | 總數(shù) | 業(yè)務(wù)
安全 | 應(yīng)用
安全 | 隱私
安全 | 主機(jī)
安全 | 網(wǎng)絡(luò)
安全 | 環(huán)境
安全 |
| 機(jī)構(gòu)數(shù)量 | 204 | 65 | 28 | 137 | 110 | 30 | 0 |
應(yīng)用安全和主機(jī)安全較為嚴(yán)重�,有137家醫(yī)院存在隱私安全風(fēng)險,110家存在主機(jī)安全問題,報告第4章對僵尸網(wǎng)絡(luò)風(fēng)險進(jìn)行了詳細(xì)分析��。
三. 風(fēng)險指標(biāo)分析
安全值整體基于12個風(fēng)險指標(biāo)支撐6個維度的安全評價����,分別對各項風(fēng)險指標(biāo)影響的機(jī)構(gòu)數(shù)量進(jìn)行統(tǒng)計便于找出較集中的問題。
四. “僵尸網(wǎng)絡(luò)”風(fēng)險詳細(xì)分析
指標(biāo)說明:反映出網(wǎng)絡(luò)內(nèi)的服務(wù)器或者終端已經(jīng)被植入木馬���、后門��,被非法控制成為“肉雞”���,對外發(fā)起了掃描或者攻擊的行為。
過去12個月內(nèi)共發(fā)現(xiàn)101家醫(yī)院(49%)存在僵尸網(wǎng)絡(luò)風(fēng)險����。對2016-3-8至2016-6-8(近3個月)的數(shù)據(jù)進(jìn)行詳細(xì)分析,發(fā)現(xiàn)70家醫(yī)院76個IP資產(chǎn)被曝僵尸網(wǎng)絡(luò)����,2405次僵尸網(wǎng)絡(luò)報警����。
| 類型 | C&C攻擊 | 混合攻擊 | Nginx攻擊 | SQL注入攻擊 | 暴力破解攻擊 |
| 次數(shù) | 565 | 63 | 22 | 13 | 33 |
| 類型 | TCP半鏈接攻擊 | 掃描嗅探 | 訪問后門 | 上傳木馬 | 其它攻擊 |
| 次數(shù) | 648 | 724 | 51 | 100 | 1885 |
其中近3個月告警次數(shù)最多的IP告警次數(shù)為726次,超過50次告警的IP數(shù)為11個。其中5個(標(biāo)記為黃色底色)為疑似共享IP資產(chǎn)(*)����,存在高風(fēng)險。
| IP資產(chǎn) | 開始時間 | 結(jié)束時間 | 告警次數(shù) |
| 42.***.***.78 | 3/29/16 00:00 | 6/7/16 00:00 | 726 |
| 114.**.***.211 | 4/24/16 00:00 | 6/8/16 12:29 | 315 |
| 124.***.**.133 | 5/1/16 00:00 | 6/8/16 14:12 | 208 |
| 58.**.***.216 | 5/2/16 00:00 | 5/29/16 00:00 | 132 |
| 220.***.***.123 | 4/29/16 21:07 | 6/8/16 13:10 | 109 |
| 103.***.***.133 | 3/14/16 00:00 | 6/8/16 00:00 | 87 |
| 221.***.***.6 | 3/9/16 00:00 | 6/7/16 00:00 | 75 |
| 61.***.***.3 | 3/9/16 00:00 | 6/7/16 00:00 | 75 |
| 219.***.***.21 | 5/27/16 08:05 | 6/6/16 10:40 | 58 |
| 219.***.***.34 | 5/28/16 00:40 | 6/6/16 11:15 | 54 |
| 58.**.**.202 | 5/27/16 07:50 | 6/1/16 13:00 | 54 |
注:
共享IP資產(chǎn):共享IP資產(chǎn)為多家不同機(jī)構(gòu)的域名共用同一個IP資產(chǎn)����。一般是委托第三方管理網(wǎng)站或者租賃虛擬網(wǎng)站等時會使用共享IP資產(chǎn)。
針對上述5個共享IP資產(chǎn)近一個月被域名劫持個數(shù)為:
| IP資產(chǎn) | 近一個月被域名解析個數(shù) |
| 42.***3.***.78 | 10個域名 |
| 58.**.***.216 | 81個域名 |
| 220.***.***.123 | 8個域名 |
| 220.***.***.123 | 6個域名 |
| 103.***.***.133 | 60個域名 |
搜集了2016年3月8日到2016年6月8日攻擊數(shù)據(jù)���,其中5月27日到6月1日非法外連行為最多�����。
從24小時的分布情況來看���,僵尸網(wǎng)絡(luò)行為主要集中在00:00-00:59。
處置建議:
1.針對共享IP資產(chǎn)����,盡量不要使用。因為共享IP資產(chǎn)引起的攻擊行為會影響該企業(yè)的聲譽�;
2. 行業(yè)機(jī)構(gòu)應(yīng)該加強(qiáng)網(wǎng)絡(luò)行為的監(jiān)控能力,結(jié)合內(nèi)外部的數(shù)據(jù)對IP網(wǎng)絡(luò)進(jìn)行排查�,對照日志排查被入侵的主機(jī)�,及時清楚木馬后門�����,對服務(wù)器和辦公網(wǎng)絡(luò)出口的外連行為進(jìn)行審計����;
3. 建議加強(qiáng)終端安全管理要求,根據(jù)實際情況不熟上網(wǎng)行為管理進(jìn)行控制���。
風(fēng)險指標(biāo)說明
安全值根據(jù)外部大數(shù)據(jù)和威脅情報數(shù)據(jù)進(jìn)行挖掘���,建立并持續(xù)更新指標(biāo)體系,當(dāng)前由12項安全風(fēng)險指標(biāo)支撐安全評價和分析�。
- 域名劫持:域名解析異常,部分用戶數(shù)據(jù)可能被非法劫持����;
- 域名被封:域名被判定為不可信任的域名,部分用戶可能無法訪問�;
- 郵箱被封:郵件地址被認(rèn)為垃圾郵件域,發(fā)出的郵件可能被認(rèn)為垃圾郵件����;
- IP被封:IP被判定為惡意地址,可能影響網(wǎng)絡(luò)正常通訊�����;
- 漏洞披露:在互聯(lián)網(wǎng)安全社區(qū)上披露了系統(tǒng)的安全漏洞�����;
- Web攻擊:在線Web系統(tǒng)遭受了黑客的Web攻擊或掃描�;
- 域名信息泄露:域名未做隱私保護(hù),域名管理員可能會遭受釣魚攻擊���;
- 帳號信息泄露:企業(yè)的員工帳號在第三方數(shù)據(jù)庫中被泄露����,可能包括密碼等敏感信息�����;
- 惡意代碼:信息系統(tǒng)上發(fā)現(xiàn)后門���、病毒�����、木馬等惡意代碼��;
- 僵尸網(wǎng)絡(luò):網(wǎng)絡(luò)內(nèi)的主機(jī)可能已經(jīng)被入侵��,并植入木馬���、后門程序�;
- 異常流量:在線系統(tǒng)或網(wǎng)絡(luò)遭受DDOS拒絕服務(wù)攻擊�����;
- 公有云風(fēng)險:您正在與惡意網(wǎng)站共用同一個云服務(wù)資源�。
附表:重點醫(yī)院采樣名單
