信便函[2007]266号 国家税务总局信息中心关于税务系统首期网络与信息安全防护体系2007年6月份运行情况的通报

国家税务总局信息中心关于税务系统首期网络与信息安全防护体系2007年6月份运行情况的通报

信便函[2007]266号      2007-09-05

各省、自治区、直辖市和计划单列市国家税务局、地方税务局：

　　根据各单位2007年6月上报的首期安全防护体系运行情况报表统计，本月安全防护体系整体运行稳定，系统内没有发生重大网络安全事件。现将运行情况通报如下：

　　一、安全体系运行情况

　　税务系统首期安全防护体系配备防火墙设备在线使用637台，不在线2台；入侵检测系统设备在线使用575台，不在线0台；瑞星杀毒软件运行稳定，总局总控制中心能够有效管理的省级系统中心有58个，都已升级到最新版本；漏洞扫描系统使用正常。

　　二、安全体系防护情况分析

　　（一）防火墙事件分析

　　本月针对联想防火墙日志进行统计分析，共发生攻击事件15513次，扫描事件5155次，入侵事件0次。与5月相比，攻击事件增加260%，扫描降低450%，入侵事件降低200%，总体报警事件比上月有所减低。攻击、入侵、扫描较多事件大部分是由一些正常使用的系统和北信源桌面安全防护产品扫描在线设备运行的正常访问事件；同时有部分ICMP攻击Large Packet（ping大包）和端口扫描。

　　（二）病毒疫情分析

　　根据各地上报数据统计，本月共查杀病毒5219359个，较上月数量有所增加，病毒爆发情况依然严重，其中主要感染病毒为蠕虫，主要病毒类型有：（1）Worm.Pabug及其变种，该病毒主要通过MP3（或者U盘）进行传播，由于现在使用MP3（U盘）交换歌曲和电影文件的用户非常多，使得该病毒传播极广。（2）Worm.Nimaya（熊猫烧香）及其变种，该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为"熊猫烧香".同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒可通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪，无法正常使用；（3）Trojan.DL.IeFrame及其变种，该病毒利用windows系统漏洞下载木马病毒，该脚本会到指定网站下载真正的远程控制木马服务器端在你机器上运行，就可以远程操作你的电脑。

　　（三）入侵事件分析

　　通过入侵检测系统的审计报表分析，本月共有11455048条安全威胁事件报警，与去年6月份相比报警数量有所减少。其中报警数量较多的事件主要有：BACKDOOR TCP Ports、DECODE SNMP GET和DECODE HTTP GET，分析如下：

　　BACKDOOR TCP Ports事件，木马或后门程序通常会利用某些固定的TCP端口进行网络通讯，这些端口一般不会被正常软件所使用，利用入侵检测系统对这些端口的数据通讯进行检查可发现此类事件。针对此类事件存在两种情况：一种是处于内网的源主机感染了木马或被植入了后门程序，此种情况要对源主机上的重要数据进行备份，然后使用杀毒软件或专杀工具对源主机进行木马和后门程序的清除工作。另一种情况是部分软件会被动态分配一些TCP端口，导致该事件的误报，此种情况可以通过调整入侵检测策略中的"不检测以下地址"或"只检测以下地址"的选项来限定告警范围。

　　DECODE SNMP Get事件，检查通过SNMP协议远程读取SNMP变量的情况。大量的SNMP报警应和使用北信源的桌面管理系统有关，没有实际网络安全影响。

　　DECODE HTTP GET事件，当通过WEB浏览器进行网站访问时使用HTTP协议的get命令读取页面、图片等内容的具体数据。当用户访问不安全网站时将会把此网站的恶意代码通过get命令下载到本地，并可能形成攻击。DECODE HTTP GET事件为低级事件，正常的网站浏览也会造成此事件的报警，误警较多。

　　（四）漏洞情况分析

　　根据漏洞扫描结果表明，本月共发现有282台主机存在安全漏洞，其中高风险漏洞有106个，中风险漏洞55个，低风险漏洞289个，经研判，目前已完成了1个高风险漏洞的修补工作。与上月相比，本月扫描主机数量增加，但发现的漏洞数大量减少，但部分单位对存在高风险漏洞计算机没有及时处理。多数进行了漏洞扫描的单位所扫描的结果都是高风险漏洞零存在的情况，系统漏洞的修补情况呈现良好的趋势。

　　附件一：6月安全体系运行情况表（略）

　　附件二：6月安全体系防护情况表（略）

　　附件三：6月安全体系问题反馈情况表（略）