CCERT月报|将数据纳入安全管理首要目标
近期有人在暗网中叫卖大量12306网站的用户账号及身份信息,通过公开的信息查证这些被泄漏的信息均出自真实有效的账号,随后12306官方声明这些账号信息可能是通过一些其他的第三方途径(如各类抢票软件)泄漏的。用户隐私数据被窃取贩卖的事件近年来频繁出现,事后分析这些数据被泄漏的途径及原因也各不相同,但基本离不开管理不善、安全意识缺失这两大原因。同样的问题在高校的数据安全管理中也一样存在,很多时候我们做安全都是以业务系统为目标而忽略了数据本身,这样可能会导致安全策略存在短板。因为在信息化的大环境中,关键数据往往需要在多个业务系统间流转、协同与共享,在这些过程中任何一个环节出现了纰漏,都可能导致数据被非法窃取。因此建议学校后期在安全工作中,可将数据本身作为一种安全目标来制定安全策略,将安全管理贯彻到数据管理的整个生命周期中。
2018年12月网站类的安全事件有增加趋势。
近期没有新增特别需要关注的病毒和木马。
近期新增严重漏洞评述:
1.微软12月的例行安全公告共修补了39个安全漏洞,其中9个为严重等级,涉及的产品包括:Windows系统、IE浏览器、Office办公软件、Windows文本到语音转换程序、VBscript脚本引擎、WindowsDNS服务、ExchangeServer、.NET支持环境及Chakra脚本引擎。这些漏洞中有两个属于0day级别的漏洞,需要特别关注。分别是Windows内核权限提升漏洞(CVE-2018-8611)和.NET框架拒绝服务漏洞(CVE-2018-8517),前者是因为Windows内核未能正确处理内存中的对象导致的,攻击者如果使用普通权限的用户登录系统后利用该漏洞可获得管理员的权限,目前互联网上已经监测到利用该漏洞进行的攻击行为。后者则存在于.NET框架中,由于.NET在处理网络数据包时存在缺陷,如果攻击者通过网络向.NET服务发送特殊构造的网络包就可能触发该漏洞导致.NET服务异常并退出。目前该漏洞的细节已经在网络上被公布,但是还未发现相应的攻击行为。本次公告中其他严重等级的漏洞同样值得关注,建议用户尽快使用系统的自动更新功能进行安全更新。
2018年11~12月安全投诉事件统计
2.Adobe公司在2018年12月初发布了一个安全公告(APSB18-042),用于修补Flashplayer中的两个高危安全漏洞,其中有一个属于0day漏洞(CVE-2018-15982),攻击者可以制作恶意的Flash文件引诱用户点击,利用该漏洞攻击者可以在用户的系统中执行任意命令。在补丁发布之前,互联网上已经监测到镶嵌了该漏洞利用Flash的Word文档。目前厂商已经发布了更新用于修补相关漏洞,Windows的用户可以在Windows的自动更新中更新相关的程序,使用Chrome浏览器的用户可以使用浏览器的自动更新功能来获得相关Flashplayer插件的更新版本。而其他系统的Flashplayer用户则可能需要自己手动来完成相应版本的更新。公告的详细信息请参见:https://helpx.adobe.com/security/products/flash-player/apsb18-42.html。
3.ThinkPHP是一款免费开源的国产轻量级PHP开发框架,国内有不少网站是基于这个框架进行二次开发的。最近ThinkPHP官方发布了最新版本5.0.23及5.1.31,用来修补在之前版本中存在的一个安全漏洞。漏洞产生的原因是ThinkPHP在获取控制器名时未对用户提交的参数进行严格的过滤,在没有开启强制路由的情况下,攻击者可以通过输入‘\’字符的方式调用任意方法,从而实现远程代码执行。建议使用了ThinkPHP开发框架的管理员应该尽快更新自己所使用的ThinkPHP版本到最新。更新的更多信息可参见:https://blog.thinkphp.cn/869075。
安全提示
要把数据作为安全的目标,首先要制定出统一可行的分级数据保护安全策略,对数据进行分级分类并对每级每类数据设定最低防护要求(例如加密传输或加密存储等)。有了统一策略后我们就可以对业务系统内包含的数据(这个过程中可以引入数据资产的概念)进行分类,并对这些数据资产进行分级。之后严格按照策略的要求对这些数据资产进行保护,不管它是在存储过程还有流转过程,也不管它是在哪个业务系统里,进而达到对数据全方位的安全管理目标。
(作者单位为中国教育和科研计算机网应急响应组)
(
(来源:《中国教育网络》2019年1月刊)