各单位、部门:
为进一步加强校园网络安全管理,保障校园网络安全,现将8月份网络与信息系统安全通报如下:
一、本月整体安全情况
(一)漏洞发现情况
本月通过网站监测、人工挖掘以及安全专项检查测试共发现漏洞64个,其中紧急高危19个,中危漏洞45个,低危漏洞0个,紧急高危占比:29%。漏洞具体统计情况见下图。
注:
紧急高危漏洞:是指可远程利用并能直接获取系统权限(服务器端权限、客户端权限)或者能够导致严重级别的信息泄漏(泄漏大量用户信息或学校机密信息)的漏洞,包括但不仅限于:命令注入、远程命令执行、上传获取WebShell、SQL注入、缓冲区溢出、绕过认证直接访问管理后台、核心业务非授权访问、核心业务后台弱密码等。
中危漏洞:是指能直接盗取用户身份信息或者能够导致普通级别的信息泄漏的漏洞,包括但不限于目录浏览、客户端明文密码存储等。
低危漏洞:是指能够导致轻微信息泄露的安全漏洞,包括但不仅限于web页面错误、堆栈信息泄露、JSONHijacking、CSRF、路径信息泄露、SVN信息泄露、phpinfo等。
(二)漏洞通报情况
我校8月份所有漏洞通报均在规定时间内完成处理,未造成网络安全事件。
漏洞通报的来源包括:江苏省教育网信办、上级公安机关、教育SRC、交大平台等。具体情况如下:
漏洞通报来源 |
网站 |
漏洞类型 |
修复状态 |
部门 |
江苏省教育网信办 |
无通报 |
上级公安机关 |
无通报 |
教育SRC |
hr.njtech.edu.cn |
越权下载 |
已修复 |
新利18官方下载 部 |
交大平台 |
swjggc.njtech.edu.cn |
越权下载 |
已修复 |
学报编辑部 |
交大平台 |
skb.njtech.edu.cn |
越权下载 |
已修复 |
学报编辑部 |
交大平台 |
zrb.njtech.edu.cn |
越权下载 |
已修复 |
学报编辑部 |
二、安全情况分析
(一)漏洞类型分析
本月共发现漏洞64个。其中存储型XSS 1个,反射型XSS 2个,未授权访问1个,弱口令4个,注入攻击1个,信息泄露6个,文件上传3个,暗链1个,目录浏览20个,其他类漏洞19个。漏洞分类占比如下图:
(二)漏洞修复情况
2020年8月共发现漏洞64个,均按时进行了处理。其中按时修复漏洞的有59个;因为漏洞无法修复,通过关停系统避免漏洞造成次生危害的漏洞有5个。
三、安全威胁风险和防范
安全威胁风险 |
防范措施建议 |
网站开放注册功能,无法做到有效防御 |
系统软件厂商需要对软件功能经进行排查风险,在软件上线前和功能调整后,做好上线检测工作。 |
出现过高危漏洞的网站服务器通常都存在黑客留存的后门 |
服务器和软件系统维护人员,需要制定计划,定期对服务器进行shell和木马查杀,并更新修复系统补丁漏洞。 |
端口弱口令无法做到覆盖 |
系统管理人员及时定期修改操作系统的密码。数据库密码必须具备一定复杂性。密码中包含字符类型不少于3种类型,密码长度不少于8位。 |
四、网信安全每月小结
本月我校信息系统漏洞总数量较多,因各部门响应处理及时,未造成网络安全事件。网信安全是一个常态化工作,需各部门保持警惕状态,积极配合,分工明确,高效处理,才能将威胁控制。各单位各部门须建立定期巡查的安全工作机制,对软件系统厂家提出网信安全要求,规范流程操作,养成良好的信息化应用习惯。
网络与信息系统安全联系电话:58139275,83172363。
信息服务部
2020年9月4日