2021年网络与信息系统安全月报(3月)
各单位、部门:
为进一步加强校园网络安全管理,保障校园网络安全,现将3月份网络与信息系统安全通报如下:
一、本月整体安全情况
(一)漏洞发现情况
本月共发现漏洞54个。通过在校内网站监测、人工挖掘以及安全专项检查测试共发现漏洞52个,校外通报漏洞2个。其中紧急高危46个,中危漏洞8个,低危漏洞0个,紧急高危占比:85.1%。紧急、高危、中危、低危漏洞统计情况见下图。
注:
紧急高危漏洞是指可远程利用并能直接获取系统权限(服务器端权限、客户端权限)或者能够导致严
重级别的信息泄漏(泄漏大量用户信息或学校机密信息)的漏洞,包括但不仅限于:命令注入、远程命令
执行、上传获取WebShell、SQL注入、缓冲区溢出、绕过认证直接访问管理后台、核心业务非授权访问、核心业务后台弱密码等。
中危漏洞是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞,包括但不限于目录
浏览、客户端明文密码存储等。
低危漏洞是指能够导致轻微信息泄露的安全漏洞,包括但不仅限于web页面错误、堆栈信息泄露、
JSONHijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等。
(二)第三方漏洞通报
本月所有漏洞通报均在规定时间内完成处理,未造成网络安全事件。
(三)非法外链
本月查到多个系统及网站存在非法暗链外链,具体情况以OA文件发给各相关部门:
(四)渗透测试
本月共进行三个网站(系统)的渗透测试。渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
本次渗透测试共发现漏洞22起,其中高危紧急漏洞15起,包括
5起可获取服务器权限的漏洞,中危漏洞7起。
二、安全情况分析
(一)漏洞类型分析
本月共发现漏洞54个。其中SQL注入9个,文件上传5个,暗链外链18个,xss注入2个,文件下载2个,未授权访问5个,配置问题3个,信息泄露10个。漏洞分类占比如下图:
(二)漏洞修复情况本月共发现漏洞54个,均已全部修复。三、安全威胁风险与防范
(一)传统安全威胁风险与防范
安全威胁风险 |
防范措施建议 |
网站后台威胁严重 |
控制网站登录账号密码,制定网站后台测试计划。 |
网站暗链外链问题较多 |
加强扫描力度,定期清除过期的带有校外域名链接的新闻公告,重点排查网页中非本校域名链接。详见南工校信〔2020〕3号《关于加强我校网站中外部链接管理的通知》。 |
网站压缩文件可直接访问并下载 |
网站避免压缩文件,压缩文件控制权限,禁止下载。 |
四、网信安全每月小结
本月我院发现的网站暗链外链问题数量较多,因各部门响应处理及时,未造成网络安全事件。因我院网站暗链外链问题多次存在,请各单位(部门)网站管理员务必定期清查网站页面内容、网站链接及网站附件内容,进一步加强部门网站建设和管理,确保学院网络信息发布环境安全稳定。
信息中心
2021年4月2日
|