CERNET发布2011年度安全年报：服务器安全由于各个信息系统应用层漏洞的大量存在而问题重要基础信息服务系统重新成为黑客重点攻击目标，搜索引擎排名优化成为黑客地下经济产业的支柱产业。

　　2011年教育网整体运行平稳，无全网范围的重大安全事件发生。随着用户安全意识和安全软件技能水平的提升，整个互联网的安全有了很大的改善，但是黑客们的攻击方式也在不断完善，整体安全形式依然不容乐观。2011年互联网网络与信息安全总体呈现以下特征：个人系统的安全防护能力得到较大提升；服务器的安全则由于各个信息系统应用层漏洞（如SQL注入、跨站漏洞等）的大量存在而导致问题重重；基础信息服务系统（如大型网站、邮件系统等）重新成为黑客重点攻击的目标，这些大型信息系统中所存储的用户隐私信息成为黑客垂涎的“香饽饽”；搜索引擎排名优化（SEO）及贩卖用户隐私成为黑客地下经济产业中的支柱产业。

　　教育网安全攻击态势分析

　　CCERT2011全年通过各种途径（如投诉邮件、投诉电话、监控系统等）收到各类安全投诉事件达5947件，通过对各类安全投诉事件的分析，我们总结出七个特征。

　　垃圾邮件投诉

　　垃圾邮件的投诉依然高居榜首，这说明发送垃圾邮件这种低成本的网络攻击手段依然是不法商人广告营销方式的首选。

　　端口扫描

　　从投诉事件中被扫描的端口来看，针对TCP22端口（SSH服务端口）进行扫描的次数最多，其次是TCP80端口（Web服务端口），这说明针对SSH服务的口令暴力破解攻击和通过Web服务端口进行的应用层攻击（如SQL注入等）受黑客的青睐。

　　网页挂马

　　随着服务器及用户端安全防护措施的增强，网站挂马的攻击成功率较以前大大降低。由于获取不到足够的利益，攻击者转变了攻击思路，很多被控服务器不再用来做挂马服务器，而是被用来做更赚钱的SEO（搜索引擎优化）工具。网页挂马攻击有针对性地在某些特定的页面（甚至是特定时段的特定页面）上挂马，以减少挂马页面被检出的几率。攻击者在多媒体音视频文件（如Flash、AVI、MP4等）中进行挂马。由于多媒体文件多数需要专业的解码软件，所以大多数自动检测系统及某些杀毒软件对这类被挂马的多媒体文件检出率并不高。

　　系统攻击

　　从事后对被入侵系统的分析发现，有高达70％以上的网站服务器因为Web应用层存在漏洞（SQL注入漏洞、上传文件限制不严格等）而被利用，而系统程序存在漏洞而导致的入侵比例大大降低。存在应用层漏洞的Web网站很多都是使用开源的内容管理系统搭建的，这些内容管理系统或多或少存在安全问题，网站的管理者也未在二次开发时修补。另外一些学校专有的Web在线应用系统（如论文在线提交系统、在线投稿系统等）存在的漏洞导致网站被入侵。

　　网络欺诈

　　教育网内出现的钓鱼网站主要都是仿冒国外的在线银行或者是在线购物支付系统，未发现直接仿冒国内银行网站的案例，这可能是为了有效规避法律制裁的一种表现。

　　DDoS攻击

　　DDoS攻击在教育网内时有发生，而且攻击流量的规模呈大型化的趋势（多数时候可达上G的攻击流量）。攻击方法依然以syn flood为主，有时也夹杂一些碎片攻击和CC攻击。在2011年处理的几起较大规模的DDoS攻击中，教育网内被攻击的服务器都不是攻击者原本要攻击的目标，而是被第一受攻击者进行恶意域名转嫁造成的。

　　病毒

　　随着国内国外各防病毒软件的免费化进程的推进，用户端安装正版的杀毒软件的比例大增，用户的整体感染率大大降低。为了应对反病毒软件的查杀，木马病毒采用更底层的自我保护机制，如2011年新发现的Mebromi木马病毒，用户一旦感染该病毒后无论是重装系统、格式化硬盘，甚至换掉硬盘都无法彻底清除，需要经过专业的人使用专业的工具才可能清除，对于这类病毒的最好的防范办法就是不给其感染的机会。在病毒传播方面，木马更多的是采用伪装进行传播，它们会把自己伪装成各种色情图片、游戏外挂程序、破解程序、热点视频文件等引诱用户下载运行，并且会在下载前以各种理由要求用户关闭杀毒软件再进行操作，有些用户出于好奇或者特殊的目地就会关闭杀毒软件并下载运行程序而被感染。