长江委网络与信息中心(长江档案馆) Network & Information Center ( Changjiang Archives ) , CWRC
长江委网络与信息中心(长江档案馆)
针对近期水利部安全通报采取的措施

作者:来源:时间:2018年07月04日

一、近期几起网络通报事件回顾

自2018年4月以来长江委收到水利部网络安全通报事件3起,分别涉及园区网飞客蠕虫病毒1起;局域网木马病毒1起;DMZ区针对邮件系统POP3端口攻击事件1起。虽然3起网络安全事件未对长江委网络和内部应用系统造成影响,但实际暴露我委缺乏网络安全监测预警手段,单机用户网络安全防范意识不强,网络安全管理制度不完善等弱点。

自收到网络安全通报事件以后,我委相当重视,组织相关部门及3家网络安全厂家一起座谈分析,协商网络安全应对措施。3家网络安全厂家分别在局域网和园区网核心区架设“态势感知”设备采取旁路的方式对我委互联网出口流量进行分析,深度检测了解并发现目前网络和信息系统存在的风险点。

通过15天左右的测试,3家网络安全设备厂家发现我委局域网存在的共性问题如下:

1)WEB特征攻击【中间件框架漏洞、WEB后门访问、远程命令注入】代表网站IP地址为***等

2)恶意文件【邮件木马】

3)C&C IP/URL【木马】 (远程命令和控制服务器,目标机器可以接收来自服务器的命令,从而达到服务器控制目标机器的目的。该方法常用于病毒木马控制被感染的机器。)

4)永恒之蓝、虚拟货币挖矿恶意病毒***网段,***等

5)明文传输-***平台

6)明文传输-***信息系统

7)针对通报的飞客蠕虫病毒和僵尸木马病毒事件平台把连接主机加入了黑名单中,由于攻击事件为动态ip攻击行为,此次针对通报的我委局域网地址未发现攻击源。

通过对上述攻击事件进行分析,主要发现局域网存在的关键问题和区域如下:

1)主要发现勒索病毒重灾区为***网段,该网段主要用于***系统,由于该网段与互联网逻辑隔离,所有终端机器无法到互联网升级系统补丁,一旦其中有一台单机感染永恒之蓝(勒索病毒变种)所有机器都有遭受攻击的风险。直至系统蓝屏无法正常使用;

2)其次是汉江集团发现来自长江委四台主机:***、***、***、***发起SMB远程命令执行(MS17-010)(SMB远程溢出攻击)-勒索病毒传播漏洞;

3)园区网***两台服务器感染货币挖矿恶意病毒,***、***两台服务器,占用大量互联网出口带宽。经发现后及时升级系统补丁,安装病毒专杀工具处理以后问题解决。

综上,经检查发现我委局域网、园区网网络环境健康状况堪忧,急需出台一系列管理制度和增加网络监测(安全态势感知)设备辅助监控网络运行状况,第一时间发现攻击行为进行有效阻断。

 

二、针对3起水利部网络安全通报事件我们采取了以下应对措施:

1、拟将园区网接入的家属区网络从长江委办公网络中分离出去,仅保留园区网委属单位接入并重新分配园区网IP地址,纳入长江委局域网统一管理范围。因为家属区网络用户很难有序管理,不能采取强硬措施对其接入行为加以管理。今后家属区网络不再接入长江委互联网出口,拟进行多家电信运营商比选协商后,由电信运营商接管该项业务。

2、继续联系多家网络安全设备厂家,协助提出局域网整改措施,目前除现有3家网络安全厂家态势感知设备测试完毕外,又联系增加了2家国内知名网络安全厂家进行测试。近期,尽快通过进行多家技术力量和整改方案比选,选择适合的网络安全设备作为后续安全保障措施。

3、针对邮件系统,我们已经联系了邮件维护厂家,准备在邮件系统现有的垃圾邮件网关基础上增加防病毒产品,确保邮件系统附件不传播带有病毒的附件。

 

(注:本文部分敏感信息进行了处理)


录入:张世雄    编辑:熊沈凡
当前位置: 事业发展>> 运行维护>> 运维工作动态
这个用来记录和显示点击数: