综合风险报表

时间范围 ：2025-01-01至2025-01-31

生成时间 ：     2025-02-11 10:04:37

业务系统域名/IP ：     全部

用户终端IP ：     全部

1 安全风险概况

1.1 整体安全

时间范围 ：2025-01-01至2025-01-31 防护前 ：差

综合网络安全态势

防护后 ：优

防护后综合网络安全态势

开启深信服防火墙策略后 ，整体网络状况得到提升 ，网络安全态势评级为 ：优 如果未开启策略 ，将遭受如下攻击 ：

1.2 历史攻击趋势

—量—   

攻击总数 ：防火墙检测到攻击者对防护区域发起的所有攻击行为 ；攻击数越多 ，说明网络环境遭受信息收集或攻击 的次数越多 ，网络环境越不安全

攻击事件 ：通过对多维攻击日志进行处理 ，结合攻击链分析技术 ，提炼出最关键的安全事件 ；攻击事件数越多 ，说 明针对性攻击的次数越多 ，被防护区域的业务系统或主机被渗透的可能性越大 ，网络安全风险越高

攻击趋势图

攻击数增加 ，说明外部网络安全环境变差 ；攻击事件数增加 ，说明业务系统被针对性攻击越频繁 ；漏洞数增加 ，说明业务系统 的整体脆弱性越高 ，被渗透的可能性越大

1.3 漏洞安全

没有符合条件的数据。

各业务风险分布

攻击事件

通过对多维攻击日志进行处理 ，结合攻击链分析技术 ，提炼出最关键的安全事件

● 已被入侵（业务系统被攻击者攻陷 ，已被挂马或篡改）

● 僵尸受控（终端/服务器已被攻击者远程控制沦为“ 肉鸡 ” ）

● 尝试入侵（攻击者对业务系统发起的针对性攻击 ，但并未有数据证明已被攻击者攻陷 ）

全网攻击源

以下是对服务器进行攻击次数最多的攻击源 ，建议将这些IP加入深信服防火墙黑名单进行封堵 ，配置方法 ：安全运营>黑白名单 >黑名单>永久封锁名单

海外攻击源

以下是对服务器进行攻击次数最多的海外攻击源 ，建议将这些IP加入深信服防火墙黑名单进行封堵 ，配置方法 ：安全运营>黑白 名单>黑名单>永久封锁名单

建议 ：下载主机安全监测清除工具 ，对受感染的主机进行僵尸病毒监测和清除（工具下载地址 ： http://sec.sangfor.com.cn/apt ）

潜在恶意文件

云端沙盒分析平台监测到0day漏洞利用的恶意文件如下 ：

恶意网址

云端沙盒分析平台监测到0day漏洞利用的恶意网址如下 ：

1.6 总体安全加固建议

1、请按照防火墙管理系统的“安全运营->安全运营中心”建议进行处理和修复

2、对发现的漏洞 ，请参考防火墙 ，安全运营>业务安全>实时漏洞分析>查看完整报表 ，找到对应的漏洞解决方案 ，进行修复

3、建议把以上攻击源IP加入黑名单 ，拦截其访问攻击 ，配置 ：安全运营>黑白名单>黑名单>永久封锁名单

4 、其它解决方案请查看各业务、用户风险详情的“安全加固”章节

4 风险评估说明&危害说明

4.1 风险评估说明

业务风险是通过对防护区域内服务器的所有入侵风险日志进行综合关联分析得到的 ，其中严重等级共分为已被入侵、曾被 攻击、曾被收集信息、存在漏洞 ；用户风险是通过对防护区域内主机的所有僵尸网络相关风险日志进行综合关联分析得到的 ， 其中威胁等级共分为已被感染、感染可能性高、感染可能性中、感染可能性低 ；综合风险等级是通过综合分析业务安全风险和 用户安全风险得到 ；具体评级规则如下 ：

当整体网络状况评级为 差 ：

● 业务系统至少一个服务器严重等级评级为 严重 (已被入侵);或者僵尸主机至少一个主机严重威胁为 严重 (已被感染) 当整体网络状况评级为 中 ：

● 业务系统至少一个服务器严重等级评级为 高危 (曾被攻击);或者僵尸主机至少一个主机严重威胁为 高危 (感染可能性 ：高)

● 业务系统至少一个服务器严重等级评级为 中危 (曾被收集信息) ;或者僵尸主机至少一个主机严重威胁为 中危 (感染可能性 ： 中)

当整体网络状况评级为 良 ：

● 业务系统至少一个服务器严重等级评级为 低危 (存在漏洞);或者僵尸主机至少一个主机严重威胁为 低危 (感染可能性 ：低) 当整体网络状况评级为 优 ：

● 业务系统不存在漏洞且未遭受攻击 ；或者主机未检测到任何风险

4.2 危害说明

4.2.1 黑链

黑链是SEO(搜索引擎优化)手法中相当普遍的一种手段 ，笼统地说 ，它就是指一些人用非正常的手段获取的其它网站的反向 链接 ，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的WEBSHELL ，进而在被黑网站上链接自 己的网站 ，其性质与明链一致 ，都是属于为高效率提升排名 ，而使用的作弊手法。如果网站内容被纂改成包含如赌博、游戏、

色情等非法及不良信息 ，存在被监管部门通报的风险

攻击演示 ：http://sec.sangfor.com.cn/attacks/4.html

解决方案 ：

● 查看被植入黑链的页面的源代码 ，清除所有被纂改的内容

● 下载主机安全检测工具 ，对网站进行全面的黑链检测和清除（工具下载地址 ：http://sec.sangfor.com.cn/apt ）

4.2.2 WEBSHELL后门

在已知WEB系统漏洞情况下 ，攻击者利用系统漏洞将WEBSHELL页面成功植入到系统中 ，攻击者可能利用该后门执行非法 操作并长期控制WEB系统

攻击演示 ：http://sec.sangfor.com.cn/attacks/2.html

解决方案 ：

● 下载主机安全检测清除工具 ，对网站被植入的WEBSHELL进行检测和清除（工具下载地址 ：http://sec.sangfor.com.cn/apt )

● 开启应用层防火墙WEB应用防护策略 ，并将“检测攻击后操作>动作”配置为“拒绝”

4.2.3 WEBSHELL文件访问

在已知WEB系统漏洞情况下 ，攻击者利用系统漏洞将WEBSHELL页面成功植入到系统中 ，且已成功访问该webshell页面 ， 执行系统命令并长期操控系统

解决方案 ：

● 下载主机安全检测清除工具 ，对网站被植入的WEBSHELL进行检测和清除（工具下载地址 ：http://sec.sangfor.com.cn/apt )

● 开启应用层防火墙WEB应用防护策略 ，并将“检测攻击后操作>动作”配置为“拒绝”

4.2.4 僵尸受控

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被攻击者控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、 APT攻击等各种类型的攻击 ，以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的

攻击演示 ：http://sec.sangfor.com.cn/attacks/8.html

解决方案 ：

● 下载主机安全检测清除工具 ，对受感染的主机进行僵尸病毒检测和清除（工具下载地址 ：http://sec.sangfor.com.cn/apt ）

4.2.5 尝试入侵

以窃取核心资料为目的 ，针对客户所发动的网络攻击和侵袭行为 ，利用先进的攻击手段对特定目标进行长期持续性网络攻 击的攻击形式。 这种行为往往经过长期的经营与策划 ，并具备高度的隐蔽性。攻击手法在于隐匿自己 ，针对特定对象 ，长期、 有计划性和组织性地窃取数据 ，这种发生在数字空间的偷窃资料、搜集情报的行为 ，就是一种网络间谍的行为

● SQL注入 ：攻击者利用此漏洞盗取数据库中数据 ，导致WEB业务信息泄漏 ，危及数据库账户信息安全

● 口令暴力破解攻击 ：服务器开放了基于密码认证的服务 ，攻击者可以使用暴力破解工具对服务器进行暴力破解 ；一旦暴力破 解成功 ，可以通过服务器做任何操作

● 系统命令注入 ：攻击者利用此漏洞执行系统命令 ，获取系统的运行信息 ，新增系统用户 ，开启远程连接并控制WEB系统所在 主机

攻击演示 ：http://sec.sangfor.com.cn/attacks/1.html

解决方案 ：

● 开启应用层防火墙WEB应用防护策略 ，并将“检测攻击后操作>动作”配置为“拒绝”

● 开启应用层防火墙漏洞攻击防护策略 ，并将“检测攻击后操作>动作”配置为“拒绝”

4.2.6 服务器风险说明

● 攻击阶段示意图

● 危险等级说明

4.2.7 僵尸主机威胁说明

● 攻击阶段示意图

● 危险等级说明