報告概述

安全值行業(yè)報告是基于威脅情報數(shù)據(jù)，利用大數(shù)據(jù)的分析方法對行業(yè)整體安全狀態(tài)進行評價和分析，本次對全國204家三甲醫(yī)院進行數(shù)據(jù)采集，并進行安全評價和量化風險分析，包括業(yè)務安全、隱私安全、應用安全、主機安全、網(wǎng)絡安全、環(huán)境安全6個維度。

通過安全值對第一季度的數(shù)據(jù)分析發(fā)現(xiàn)：

根據(jù)2016-5-31安全值數(shù)據(jù)，重點醫(yī)院的安全值為861，整體評價為 “一般”，共204家，其中101家(49%)評價為“良好”;97家(48%)評價為“一般”;6家(4%)評價為“較差”。

過去3個月內(nèi)共發(fā)現(xiàn)101家醫(yī)院(48%)存在僵尸網(wǎng)絡風險。對2016-3-8至2016-6-8(近3個月)的數(shù)據(jù)進行詳細分析，發(fā)現(xiàn)70家醫(yī)院76個IP資產(chǎn)被曝僵尸網(wǎng)絡，2405次僵尸網(wǎng)絡報警。其中近3個月告警次數(shù)最多的IP告警次數(shù)為726次，超過50次告警的IP數(shù)為11個。其中5個為疑似共享IP資產(chǎn)，存在高風險。

一、行業(yè)總體概況

根據(jù)2016-6-8安全值數(shù)據(jù)，重點醫(yī)院的安全值為861，整體評價為 “一般”，共204家三甲醫(yī)院，其中101家(49%)評價為“良好”;97家(48%)評價為“一般”;6家(3%)評價為“較差”。

1.1 總體安全值分布

從安全值的分布情況來看，其中116家三甲醫(yī)院得分高于或等于平均值861，88家得分低于平均值，最低分數(shù)為515分。

1.2 互聯(lián)網(wǎng)資產(chǎn)統(tǒng)計

安全值對互聯(lián)網(wǎng)資產(chǎn)進行分析統(tǒng)計，包括各機構注冊的域名、面向互聯(lián)網(wǎng)開放的主機服務(不僅限于Web服務的網(wǎng)站)和公網(wǎng)IP地址。

本次采集的數(shù)據(jù)中域名共有213個，公網(wǎng)主機1490個，公網(wǎng)IP地址877個，平均每個機構有13個互聯(lián)網(wǎng)資產(chǎn)。

二、風險分布及量化評估

2.1. 風險量化評估

根據(jù)業(yè)內(nèi)的信息安全風險管理最佳實踐，結合風險等級、影響范圍、頻率、數(shù)量、時間各方面要素建立量化風險的計算模型，對整體情況的6個風險域(業(yè)務安全、應用安全、隱私安全、主機安全、網(wǎng)絡安全和環(huán)境安全)進行量化評價。

2.2. 存在風險的機構數(shù)量

醫(yī)院行業(yè)存在風險的機構數(shù)量

應用安全和主機安全較為嚴重，有137家醫(yī)院存在隱私安全風險，110家存在主機安全問題，報告第4章對僵尸網(wǎng)絡風險進行了詳細分析。

三、風險指標分析

安全值整體基于12個風險指標支撐6個維度的安全評價，分別對各項風險指標影響的機構數(shù)量進行統(tǒng)計便于找出較集中的問題。

醫(yī)院風險指標分析

四、“僵尸網(wǎng)絡”風險詳細分析

指標說明：反映出網(wǎng)絡內(nèi)的服務器或者終端已經(jīng)被植入木馬、后門，被非法控制成為“肉雞”，對外發(fā)起了掃描或者攻擊的行為。

過去12個月內(nèi)共發(fā)現(xiàn)101家醫(yī)院(49%)存在僵尸網(wǎng)絡風險。對2016-3-8至2016-6-8(近3個月)的數(shù)據(jù)進行詳細分析，發(fā)現(xiàn)70家醫(yī)院76個IP資產(chǎn)被曝僵尸網(wǎng)絡，2405次僵尸網(wǎng)絡報警。

其中近3個月告警次數(shù)最多的IP告警次數(shù)為726次，超過50次告警的IP數(shù)為11個。其中5個(標記為黃色底色)為疑似共享IP資產(chǎn)(*)，存在高風險。

注：共享IP資產(chǎn)：共享IP資產(chǎn)為多家不同機構的域名共用同一個IP資產(chǎn)。一般是委托第三方管理網(wǎng)站或者租賃虛擬網(wǎng)站等時會使用共享IP資產(chǎn)。

針對上述5個共享IP資產(chǎn)近一個月被域名劫持個數(shù)為：

搜集了2016年3月8日到2016年6月8日攻擊數(shù)據(jù)，其中5月27日到6月1日非法外連行為最多。

從24小時的分布情況來看，僵尸網(wǎng)絡行為主要集中在00:00-00:59。

處置建議：

• 針對共享IP資產(chǎn)，盡量不要使用。因為共享IP資產(chǎn)引起的攻擊行為會影響該企業(yè)的聲譽;
• 行業(yè)機構應該加強網(wǎng)絡行為的監(jiān)控能力，結合內(nèi)外部的數(shù)據(jù)對IP網(wǎng)絡進行排查，對照日志排查被入侵的主機，及時清楚木馬后門，對服務器和辦公網(wǎng)絡出口的外連行為進行審計;
• 建議加強終端安全管理要求，根據(jù)實際情況不熟上網(wǎng)行為管理進行控制。

風險指標說明

安全值根據(jù)外部大數(shù)據(jù)和威脅情報數(shù)據(jù)進行挖掘，建立并持續(xù)更新指標體系，當前由12項安全風險指標支撐安全評價和分析。

• 域名劫持：域名解析異常，部分用戶數(shù)據(jù)可能被非法劫持;
• 域名被封：域名被判定為不可信任的域名，部分用戶可能無法訪問;
• 郵箱被封：郵件地址被認為垃圾郵件域，發(fā)出的郵件可能被認為垃圾郵件;
• IP被封：IP被判定為惡意地址，可能影響網(wǎng)絡正常通訊;
• 漏洞披露：在互聯(lián)網(wǎng)安全社區(qū)上披露了系統(tǒng)的安全漏洞;
• Web攻擊：在線Web系統(tǒng)遭受了黑客的Web攻擊或掃描;
• 域名信息泄露：域名未做隱私保護，域名管理員可能會遭受釣魚攻擊;
• 帳號信息泄露：企業(yè)的員工帳號在第三方數(shù)據(jù)庫中被泄露，可能包括密碼等敏感信息;
• 惡意代碼：信息系統(tǒng)上發(fā)現(xiàn)后門、病毒、木馬等惡意代碼;
• 僵尸網(wǎng)絡：網(wǎng)絡內(nèi)的主機可能已經(jīng)被入侵，并植入木馬、后門程序;
• 異常流量：在線系統(tǒng)或網(wǎng)絡遭受DDOS拒絕服務攻擊;
• 公有云風險：您正在與惡意網(wǎng)站共用同一個云服務資源。