當前��,網絡安全威脅日益突出��,網絡安全風險不斷向政治、經濟��、文化���、社會、生態(tài)���、國防等領域傳導滲透�,各國加強網絡安全監(jiān)管��,持續(xù)出臺網絡安全政策法規(guī)。2018年�,在中央網絡安全和信息化委員會(原“中央網絡安全和信息化領導小組”)的統(tǒng)一領導下,我國進一步加強網絡安全和信息化管理工作�,各行業(yè)主管部門協(xié)同推進網絡安全治理。國家互聯網應急中心(以下簡稱“CNCERT”)持續(xù)加強我國互聯網網絡安全監(jiān)測�,開展我國互聯網宏觀網絡安全態(tài)勢評估,網絡安全事件監(jiān)測��、協(xié)調處置和預警通報工作��,取得了顯著成效�。CNCERT依托我國宏觀安全監(jiān)測數據,結合網絡安全威脅治理實踐成果�,在本報告中重點對2018年我國互聯網網絡安全狀況進行了分析和總結,并對2019年的網絡安全趨勢進行預測���。
以下是該報告全文���,敬請閱讀。
一�、2018年我國互聯網網絡安全狀況
2018年,我國進一步健全網絡安全法律體系���,完善網絡安全管理體制機制���,持續(xù)加強公共互聯網網絡安全監(jiān)測和治理�,構建互聯網發(fā)展安全基礎��,構筑網民安全上網環(huán)境�,特別是在黨政機關和重要行業(yè)方面�,網絡安全應急響應能力不斷提升,惡意程序感染��、網頁篡改��、網站后門等傳統(tǒng)的安全問題得到有效控制�。全年未發(fā)生大規(guī)模病毒爆發(fā)、大規(guī)模網絡癱瘓的重大事件��,但關鍵信息基礎設施���、云平臺等面臨的安全風險仍較為突出���,APT攻擊、數據泄露�、分布式拒絕服務攻擊(以下簡稱“DDoS攻擊”)等問題也較為嚴重。
(一)我國網絡安全法律法規(guī)政策保障體系逐步健全
自我國《網絡安全法》于2017年6月1日正式實施以來�,我國網絡安全相關法律法規(guī)及配套制度逐步健全�,逐漸形成綜合法律���、監(jiān)管規(guī)定�、行業(yè)與技術標準的綜合化��、規(guī)范化體系���,我國網絡安全工作法律保障體系不斷完善�,網絡安全執(zhí)法力度持續(xù)加強��。2018年�,全國人大常委會發(fā)布《十三屆全國人大常委會立法規(guī)劃》,包含個人信息保護���、數據安全�、密碼等方面�。黨中央、國務院各部門相繼發(fā)力�,網絡安全方面法規(guī)、規(guī)章���、司法解釋等陸續(xù)發(fā)布或實施�。《網絡安全等級保護條例》已向社會公開征求意見���,《公安機關互聯網安全監(jiān)督檢查規(guī)定》��、《關于加強跨境金融網絡與信息服務管理的通知》�、《區(qū)塊鏈信息服務管理規(guī)定》���、《關于加強政府網站域名管理的通知》等加強網絡安全執(zhí)法或強化相關領域網絡安全的文件發(fā)布��。
(二)我國互聯網網絡安全威脅治理取得新成效
我國互聯網網絡安全環(huán)境經過多年的持續(xù)治理效果顯著,網絡安全環(huán)境得到明顯改善�。特別是黨中央加強了對網絡安全和信息化工作的統(tǒng)一領導,黨政機關和重要行業(yè)加強網絡安全防護措施�,針對黨政機關和重要行業(yè)的木馬僵尸惡意程序、網站安全���、安全漏洞等傳統(tǒng)網絡安全事件大幅減少���。2018年,CNCERT協(xié)調處置網絡安全事件約10.6萬起���,其中網頁仿冒事件最多�,其次是安全漏洞、惡意程序��、網頁篡改�、網站后門、DDoS攻擊等事件���。CNCERT持續(xù)組織開展計算機惡意程序常態(tài)化打擊工作�,2018年成功關閉772個控制規(guī)模較大的僵尸網絡�,成功切斷了黑客對境內約390萬臺感染主機的控制。據抽樣監(jiān)測��,在政府網站安全方面���,遭植入后門的我國政府網站數量平均減少了46.5%�,遭篡改網站數量平均減少了16.4%�,顯示我國政府網站的安全情況有所好轉。在主管部門指導下���,CNCERT聯合基礎電信企業(yè)���、云服務商等持續(xù)開展DDoS攻擊資源專項治理工作,從源頭上遏制了DDoS攻擊行為,有效降低了來自我國境內的攻擊流量���。據CNCERT抽樣監(jiān)測���,2018年境內發(fā)起DDoS攻擊的活躍控制端數量同比下降46%、被控端數量同比下降37%���;境內反射服務器���、跨域偽造流量來源路由器、本地偽造流量來源路由器等可利用的攻擊資源消亡速度加快�、新增率降低。根據外部報告���,我國境內僵尸網絡控制端數量在全球的排名從前三名降至第十名 ,DDoS活躍反射源下降了60% ①��。
(三)勒索軟件對重要行業(yè)關鍵信息基礎設施威脅加劇
2018年勒索軟件攻擊事件頻發(fā)���,變種數量不斷攀升�,給個人用戶和企業(yè)用戶帶來嚴重損失���。2018年�,CNCERT捕獲勒索軟件近14萬個,全年總體呈現增長趨勢��,特別在下半年��,伴隨“勒索軟件即服務”產業(yè)的興起���,活躍勒索軟件數量呈現快速增長勢頭��,且更新頻率和威脅廣度都大幅度增加�,例如勒索軟件GandCrab全年出現了約19個版本���,一直快速更新迭代���。勒索軟件傳播手段多樣,利用影響范圍廣的漏洞進行快速傳播是當前主要方式之一��,例如勒索軟件Lucky通過綜合利用弱口令漏洞��、Window SMB漏洞�、Apache Struts 2漏洞、JBoss漏洞��、Weblogic漏洞等進行快速攻擊傳播。2018年�,重要行業(yè)關鍵信息基礎設施逐漸成為勒索軟件的重點攻擊目標,其中��,政府���、醫(yī)療��、教育���、研究機構、制造業(yè)等是受到勒索軟件攻擊較嚴重行業(yè)��。例如GlobeImposter���、GandCrab等勒索軟件變種攻擊了我國多家醫(yī)療機構�,導致醫(yī)院信息系統(tǒng)運行受到嚴重影響�。
(四)越來越多的APT攻擊行為被披露
2018年,全球專業(yè)網絡安全機構發(fā)布了各類高級威脅研究報告478份��,同比增長了約3.6倍���,其中我國12個研究機構發(fā)布報告80份,這些報告涉及已被確認的APT攻擊組織包括APT28、Lazarus��、Group 123��、海蓮花�、MuddyWater等53個,攻擊目標主要分布在中東���、亞太���、美洲和歐洲地區(qū),總體呈現出地緣政治緊密相關的特性�,受攻擊的領域主要包括軍隊國防、政府���、金融�、外交和能源等�。值得注意的是,醫(yī)療�、傳媒、電信等國家服務性行業(yè)領域也正面臨越來越多的APT攻擊風險��。② APT攻擊組織采用的攻擊手法主要以魚叉郵件攻擊��、水坑攻擊、網絡流量劫持或中間人攻擊等�,其頻繁利用公開或開源的攻擊框架和工具,并綜合利用多種技術以實現攻擊��,或規(guī)避與歷史攻擊手法的重合���。
(五)云平臺成為發(fā)生網絡攻擊的重災區(qū)
根據CNCERT監(jiān)測數據�,雖然國內主流云平臺使用的IP地址數量僅占我國境內全部IP地址數量的7.7%�,但云平臺已成為發(fā)生網絡攻擊的重災區(qū),在各類型網絡安全事件數量中���,云平臺上的DDoS攻擊次數���、被植入后門的網站數量、被篡改網站數量均占比超過50%��。同時��,國內主流云平臺上承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的53.7%��,木馬和僵尸網絡惡意程序控制端IP地址數量占境內全部惡意程序控制端IP地址數量的59%���,表明攻擊者經常利用云平臺來發(fā)起網絡攻擊�。分析原因��,云平臺成為網絡攻擊的重要目標是因為大量系統(tǒng)部署到云上��,涉及國計民生��、企業(yè)運營的數據和用戶個人信息��,成為攻擊者攫取經濟利益的目標��。從云平臺上發(fā)出的攻擊增多是因為云服務使用存在便捷性���、可靠性�、低成本��、高帶寬和高性能等特性�,且云網絡流量的復雜性有利于攻擊者隱藏真實身份,攻擊者更多的利用云平臺設備作為跳板機或控制端發(fā)起網絡攻擊���。此外��,云平臺用戶對其部署在云平臺上系統(tǒng)的網絡安全防護重視不足���,導致其系統(tǒng)可能面臨更大的網絡安全風險���。因此,云服務商和云用戶都應加大對網絡安全的重視和投入���,分工協(xié)作提升網絡安全防范能力�。云服務商應提供基礎性的網絡安全防護措施并保障云平臺安全運行�,全面提高云平臺的安全性和可控性。云用戶對部署在云平臺上的系統(tǒng)承擔主體責任���,需全面落實系統(tǒng)的網絡安全防護要求��。
(六)拒絕服務攻擊頻次下降但峰值流量持續(xù)攀升
DDoS攻擊是難以防范的網絡攻擊手段之一�,攻擊手段和強度不斷更新���,并逐步形成了“DDoS即服務”的互聯網黑色產業(yè)服務�,普遍用于行業(yè)惡意競爭�、敲詐勒索等網絡犯罪。得益于我國網絡空間環(huán)境治理取得的有效成果���,經過對DDoS攻擊資源的專項治理���,我國境內拒絕服務攻擊頻次總體呈現下降趨勢�。根據第三方分析報告���,2018年我國境內全年DDoS攻擊次數同比下降超過20%,特別是反射攻擊較去年減少了80% ���。③CNCERT抽樣監(jiān)測發(fā)現�,2018年我國境內峰值流量超過Tbps級的DDoS攻擊次數較往年增加較多�,達68起。其中���,2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達1.27Tbps�。
(七)針對工業(yè)控制系統(tǒng)的定向性攻擊趨勢明顯
2018年���,針對特定工業(yè)系統(tǒng)的攻擊越來越多��,并多與傳統(tǒng)攻擊手段結合��,針對國家工業(yè)控制系統(tǒng)的攻擊日益呈現出定向性特點�。惡意軟件Trisis利用施耐德Triconex安全儀表控制系統(tǒng)零日漏洞��,攻擊了中東某石油天然氣工廠���,致其工廠停運���。分析發(fā)現��,Trisis完整的文件庫通過五種不同的編程語言構建���,因其定向性的特點,僅能在其攻擊的同款工業(yè)設備上測試才能完全了解該惡意軟件���。2018年中期�,惡意軟件GreyEnergy被捕獲��,主要針對運行數據采集與監(jiān)視控制系統(tǒng)(SCADA)軟件和服務器的工業(yè)控制系統(tǒng)工作站���,具有模塊化架構�,功能可進一步擴展��,可進行后門訪問��、竊取文件���、抓取屏幕截圖��、記錄敲擊鍵和竊取憑據等操作��。2018年���,CNCERT抽樣監(jiān)測發(fā)現���,我國境內聯網工業(yè)設備��、系統(tǒng)�、平臺等遭受惡意嗅探、網絡攻擊的次數顯著提高���,雖未發(fā)生重大安全事件��,但需提高警惕�,引起重視��。
(八)虛假和仿冒移動應用增多且成為網絡詐騙新渠道
近年來�,隨著互聯網與經濟、生活的深度捆綁交織��,通過互聯網對網民實施遠程非接觸式詐騙手段不斷翻新,先后出現了“網絡投資”��、“網絡交友”���、“網購返利”等新型網絡詐騙手段�。隨著我國移動互聯網技術的快速發(fā)展和應用普及��,2018年通過移動應用實施網絡詐騙的事件尤為突出���,如大量虛假的“貸款APP”并無真實貸款業(yè)務���,僅用于詐騙分子騙取用戶的隱私信息和錢財。CNCERT抽樣監(jiān)測發(fā)現�,在此類虛假的“貸款APP”上提交姓名、身份證照片�、個人資產證明、銀行賬戶�、地址等個人隱私信息的用戶超過150萬人,大量受害用戶向詐騙分子支付了上萬元的所謂“擔保費”���、“手續(xù)費”費用���,經濟利益受到實質損害��。此外��,CNCERT還發(fā)現�,具有與正版軟件相似圖標或名字的仿冒APP數量呈上升趨勢��。2018年���,CNCERT通過自主監(jiān)測和投訴舉報方式共捕獲新增金融行業(yè)移動互聯網仿冒APP 樣本838個��,同比增長了近3.5倍���,達近年新高�。這些仿冒APP通常采用“蹭熱度”的方式來傳播和誘惑用戶下載并安裝,可能會造成用戶通訊錄和短信內容等個人隱私信息泄露���,或在未經用戶允許的情況下私自下載惡意軟件��,造成惡意扣費等危害���。
(九)數據安全問題引起前所未有的關注
2018年3月,Facebook公司被爆出大規(guī)模數據泄露���,且這些泄露的數據被惡意利用��,引起國內外普遍關注�。2018年,我國也發(fā)生了包括十幾億條快遞公司的用戶信息���、2.4億條某連鎖酒店入住信息���、900萬條某網站用戶數據信息、某求職網站用戶個人求職簡歷等數據泄露事件�,這些泄露數據包含了大量的個人隱私信息,如姓名�、地址、銀行卡號���、身份證號�、聯系電話��、家庭成員等���,給我國網民人身安全�、財產安全帶來了安全隱患��。2018年5月25日,歐盟頒布執(zhí)行史上最嚴的個人數據保護條例《通用數據保護條例》(GDPR)��,掀起了國內外的廣泛討論��,該法案重點保護的是自然人的“個人數據”��,例如姓名���、地址�、電子郵件地址���、電話號碼�、生日�、銀行賬戶、汽車牌照���、IP地址以及cookies等。根據定義���,該法案監(jiān)管收集個人數據的行為���,包括所有形式的網絡追蹤���。GDPR實施三天后,Facebook和谷歌等美國企業(yè)成為GDPR法案下第一批被告��,這不僅給業(yè)界敲響了警鐘�,也督促更多企業(yè)投入精力保護數據安全尤其是個人隱私數據安全。
二���、2019年網絡安全趨勢預測
結合2018年我國網絡安全狀況���,以及5G、IPv6�、區(qū)塊鏈等新技術的發(fā)展和應用,CNCERT預測2019年網絡安全趨勢主要如下:
(一)有特殊目的針對性更強的網絡攻擊越來越多
目前��,網絡攻擊者發(fā)起網絡攻擊的針對性越來越強���,有特殊目的的攻擊行動頻發(fā)�。近年來��,有攻擊團伙長期以我國政府部門��、事業(yè)單位�、科研院所的網站為主要目標實施網頁篡改��,境外攻擊團伙持續(xù)對我政府部門網站實施DDoS攻擊��。網絡安全事件與社會活動緊密結合趨勢明顯���,網絡攻擊事件高發(fā)。
(二)國家關鍵信息基礎設施保護受到普遍關注
作為事關國家安全��、社會穩(wěn)定和經濟發(fā)展的戰(zhàn)略資源��,國家關鍵信息基礎設施保護的工作尤為重要�。當前,應用廣泛的基礎軟硬件安全漏洞不斷被披露�、具有特殊目的的黑客組織不斷對我國關鍵信息基礎設施實施網絡攻擊,我國關鍵信息基礎設施面臨的安全風險不斷加大���。2018年���,APT攻擊活動持續(xù)活躍,我國多個重要行業(yè)遭受攻擊��。隨著關鍵信息基礎設施承載的信息價值越來越大�,針對國家關鍵信息基礎設施的網絡攻擊將會愈演愈烈���。
(三)個人信息和重要數據泄露危害更加嚴重
2018年Facebook信息泄露事件讓我們重新審視個人信息和重要數據的泄露可能引發(fā)的危害��,信息泄露不僅侵犯網民個人利益��,甚至可能對國家政治安全造成影響���。2018年我國境內發(fā)生了多起個人信息和重要數據泄露事件���,犯罪分子利用大數據等技術手段,整合獲得的各類數據��,可形成對用戶的多維度精準畫像��,所產生的危害將更為嚴重��。
(四)5G���、IPv6等新技術廣泛應用帶來的安全問題值得關注
目前��,我國5G��、IPv6規(guī)模部署和試用工作逐步推進���,關于5G���、IPv6自身的安全問題以及衍生的安全問題值得關注。5G技術的應用代表著增強的移動寬帶��、海量的機器通信以及超高可靠低時延的通信��,與IPv6技術應用共同發(fā)展��,將真正實現讓萬物互聯�,互聯網上承載的信息將更為豐富,物聯網將大規(guī)模發(fā)展��。但重要數據泄露���、物聯網設備安全問題目前尚未得到有效解決�,物聯網設備被大規(guī)模利用發(fā)起網絡攻擊的問題也將更加突出�。同時,區(qū)塊鏈技術也受到國內外廣泛關注并快速應用��,從數字貨幣到智能合約���,并逐步向文化娛樂�、社會管理、物聯網等多個領域延伸��。隨著區(qū)塊鏈應用的范圍和深度逐漸擴大�,數字貨幣被盜���、智能合約�、錢包和挖礦軟件漏洞等安全問題將會更加凸顯�。
附錄:2018年我國互聯網網絡安全監(jiān)測數據分析
一、惡意程序
(一)計算機惡意程序捕獲情況
2018年�,CNCERT全年捕獲計算機惡意程序樣本數量超過1億個,涉及計算機惡意程序家族51萬余個�,較2017年增加8,132個。全年計算機惡意程序傳播次數 日均達500萬余次��。按照計算機惡意程序傳播來源統(tǒng)計���,位于境外的主要是來自美國��、加拿大和俄羅斯等國家和地區(qū)�,來自境外的具體分布如圖1所示���。位于境內的主要是位于陜西省���、浙江省和河南省等省份�。按照受惡意程序攻擊的IP統(tǒng)計���,我國境內受計算機惡意程序攻擊的IP地址約5,946萬個�,約占我國IP總數的17.5%�,這些受攻擊的IP地址主要集中在江蘇省、山東省���、浙江省���、廣東省等地區(qū),2018年我國受計算機惡意程序攻擊的IP分布情況如圖2所示��。
圖1 2018年計算機惡意代碼傳播源位于境外分布情況
圖2 2018年我國受計算機惡意代碼攻擊的IP分布情況
(二)計算機惡意程序用戶感染情況
據CNCERT抽樣監(jiān)測���,2018年��,我國境內感染計算機惡意程序的主機數量約655萬臺�,同比下降47.8%�,如圖3所示。位于境外的約4.9萬個計算機惡意程序控制服務器控制了我國境內約526萬臺主機�,就控制服務器所屬國家來看��,位于美國���、日本和德國的控制服務器數量分列前三位,分別是約14,752個���、6,551個和2,166個;就所控制我國境內主機數量來看���,位于美國�、中國香港和法國的控制服務器控制規(guī)模分列前三位��,分別控制了我國境內約334萬��、48萬和33萬臺主機�。
圖3 境內感染計算機惡意程序主機數量變化
我國境內感染計算機惡意程序主機數量地區(qū)分布來看,主要分布在廣東?�。ㄕ嘉覈硟雀腥緮盗康?0.9%)��、江蘇?。ㄕ?.9%)、浙江?��。ㄕ?.4%)等省份��,但從我國境內各地區(qū)感染計算機惡意程序主機數量所占本地區(qū)活躍IP地址數量比例來看��,河南省�、江蘇省和廣西壯族自治區(qū)分列前三位,如圖4所示��。在監(jiān)測發(fā)現的因感染計算機惡意程序而形成的僵尸網絡中��,規(guī)模在100臺主機以上的僵尸網絡數量達3,710個���,規(guī)模在10萬臺以上的僵尸網絡數量達36個�,如圖5所示��。為有效控制計算機惡意程序感染主機引發(fā)的危害�,2018年,CNCERT組織基礎電信企業(yè)��、域名服務機構等成功關閉772個控制規(guī)模較大的僵尸網絡��。根據第三方統(tǒng)計報告��,位于我國境內的僵尸網絡控制端數量在全球的排名情況以及在全球控制端總數量的占比均呈現下降趨勢④��。
圖4 我國各地區(qū)感染計算機惡意程序主機數量占本地區(qū)活躍IP地址數量比例
(三)移動互聯網惡意程序
目前,隨著移動互聯網技術快速發(fā)展��,我國移動互聯網網民數量突破8.17億(占我國網民總數量的98.6%)⑤�,金融服務、生活服務��、支付業(yè)務等全面向移動互聯網應用遷移�。但竊取用戶信息、發(fā)送垃圾信息���、推送廣告和欺詐信息等危害移動互聯網正常運行的惡意行為在不斷侵犯廣大移動用戶的合法利益。2018年�,CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量283萬余個,同比增長11.7%�,盡管近三年來增長速度有所放緩,但仍保持高速增長趨勢��,如圖6所示���。通過對惡意程序的惡意行為統(tǒng)計發(fā)現��,排名前三的分別為流氓行為類�、資費消耗類和信息竊取類 �,占比分別為45.8%�、24.3%和14.9%�,如圖7所示。為有效防范移動互聯網惡意程序的危害���,嚴格控制移動互聯網惡意程序傳播途徑��,連續(xù)6年以來��,CNCERT聯合應用商店�、云平臺等服務平臺持續(xù)加強對移動互聯網惡意程序的發(fā)現和下架力度���,以保障移動互聯網健康有序發(fā)展���。2018年,CNCERT累計協(xié)調國內314家提供移動應用程序下載服務的平臺���,下架3517個移動互聯網惡意程序�。
圖6 2010年至2018年移動互聯網惡意程序捕獲數量走勢
圖7 2018年移動互聯網惡意程序數量按行為屬性統(tǒng)計
(四)聯網智能設備惡意程序
據CNCERT監(jiān)測發(fā)現��,目前活躍在智能聯網設備上的惡意程序家族主要包括Ddosf�、Dofloo、Gafgyt��、MrBlack、Persirai��、Sotdas���、Tsunami��、Triddy�、Mirai�、Moose、Teaper���、Satori��、StolenBots、VPN-Filter等���。這些惡意程序及其變種產生的主要危害包括用戶信息和設備數據泄露��、硬件設備遭控制和破壞���、被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網絡設備竊取用戶上網數據等���。CNCERT抽樣監(jiān)測發(fā)現��,2018年��,聯網智能設備惡意程序控制服務器IP地址約2.3萬個�,位于境外的IP地址占比約87.5%;被控聯網智能設備IP地址約446.8萬個��,位于境內的IP地址占比約34.6%��,其中山東���、浙江���、河南、江蘇等地被控聯網智能設備IP地址數量均超過10萬個��;控制聯網智能設備且控制規(guī)模在1,000臺以上的僵尸網絡有363個�,其中,控制規(guī)模在1萬臺以上的僵尸網絡19個��,5萬臺以上的8個��,如表1所示。
表1 2018年聯網智能設備僵尸網絡控制規(guī)模統(tǒng)計情況
二��、安全漏洞
(一)安全漏洞收錄情況
2014年以來���,國家信息安全漏洞共享平臺(CNVD) 收錄安全漏洞數量年平均增長率為15.0%��,其中��,2018年收錄安全漏洞數量同比減少了11.0%���,共計14,201個,高危漏洞收錄數量為4,898個(占34.5%)�,同比減少12.8%,但近年來“零日”漏洞 收錄數量持續(xù)走高��,2018年收錄的安全漏洞數量中��,“零日”漏洞收錄數量占比37.9%��,高達5,381個�,同比增長39.6%��,如圖8所示��。安全漏洞主要涵蓋Google、Microsoft�、IBM、Oracle�、Cisco、Foxit�、Apple、Adobe等廠商產品���,如表2所示��。按影響對象分類統(tǒng)計��,收錄漏洞中應用程序漏洞占57.8%��,Web應用漏洞占18.7%��,操作系統(tǒng)漏洞占10.6%�,網絡設備(如路由器��、交換機等)漏洞占9.5%�,安全產品(如防火墻、入侵檢測系統(tǒng)等)漏洞占2.4%��,數據庫漏洞占1.0%�,如圖9所示���。
圖8 2013年至2018年CNVD收錄安全漏洞數量對比
表2 2018年CNVD收錄漏洞涉及廠商情況統(tǒng)計
圖9 2018年CNVD收錄漏洞按影響對象類型分類統(tǒng)計
2018年,CNVD繼續(xù)推進移動互聯網��、電信行業(yè)��、工業(yè)控制系統(tǒng)和電子政務4類子漏洞庫的建設工作��,分別新增收錄安全漏洞數量1,150個(占全年收錄數量的8.1%)��、720個(占5.1%)�、461個(占3.2%)和171個(占1.2%),如圖10所示�。其中工業(yè)控制系統(tǒng)子漏洞庫收錄數量持續(xù)攀升,較2017年增長了22.6%�。CNVD全年通報涉及政府機構、重要信息系統(tǒng)等關鍵信息基礎設施安全漏洞事件約2.1萬起��,同比下降23.6%�。
2018年,應用廣泛的軟硬件漏洞被披露�,修復難度很大,給我國網絡安全帶來嚴峻挑戰(zhàn)�,包括計算機中央處理器(CPU)芯片爆出Meltdown漏洞 和Spectre漏洞 �,影響了1995年以后生產的所有Intel、AMD、ARM等CPU芯片���,同時影響了各主流云服務平臺及Windows���、Linux、MacOS���、Android等主流操作系統(tǒng)�。隨后���,Oracle Weblogic server�、Cisco Smart Install等在我國使用廣泛的軟件產品也相繼爆出存在嚴重安全漏洞�。
(二)聯網智能設備安全漏洞
2018年,CNVD收錄的安全漏洞中關于聯網智能設備安全漏洞有2,244個�,同比增長8.0%。這些安全漏洞涉及的類型主要包括設備信息泄露��、權限繞過�、遠程代碼執(zhí)行、弱口令等�;涉及的設備類型主要包括家用路由器、網絡攝像頭等�。
三�、拒絕服務攻擊
2018年�,CNCERT抽樣監(jiān)測發(fā)現我國境內峰值超過10Gbps的大流量分布式拒絕服務攻擊(DDoS攻擊)事件數量平均每月超過4,000起,超過60%的攻擊事件為僵尸網絡控制發(fā)起���。僵尸網絡主要偏好發(fā)動TCP SYN FLOOD和UDP FLOOD攻擊���,在線攻擊平臺主要偏好發(fā)送UDP Amplification FLOOD攻擊。
(一)攻擊資源情況
2018年���,CNCERT對全年用于發(fā)起DDoS攻擊的攻擊資源進行了持續(xù)分析�,發(fā)現用于發(fā)起DDoS攻擊的C&C控制服務器 數量共2,108臺�,總肉雞 數量約144萬臺,反射攻擊服務器約197萬臺�,受攻擊目標IP地址數量約9萬個,這些攻擊目標主要分布在色情���、博彩等互聯網地下黑產方面以及文化體育和娛樂領域�,此外還包括運營商IDC��、金融�、教育、政府機構等���。
(二)攻擊團伙情況
2018年��,CNCERT共監(jiān)測發(fā)現利用僵尸網絡進行攻擊的DDoS攻擊團伙50個�。從全年來看��,與DDoS攻擊事件數量���、C&C控制服務器數量一樣��,攻擊團伙數量在2018年8月達到最高峰��。其中��,控制肉雞數量較大的較活躍攻擊團伙有16個��,涉及C&C控制服務器有358個�,攻擊目標有2.8萬個���,如表3所示���。為進一步分析這16個團伙的關系情況,通過對全年攻擊活動進行分析�,發(fā)現不同攻擊團伙之間相互較為獨立��,同一攻擊團伙的攻擊目標非常集中��,不同攻擊團伙間的攻擊目標重合度較小�。
表3 2018年活躍攻擊團伙基本信息表
四�、網站安全
2018年,CNCERT加強了對網站攻擊資源的分析工作�,發(fā)現絕大多數網站攻擊行為由少量的活躍攻擊資源 發(fā)起,對我國網站安全影響較大��。根據這些攻擊資源之間的關聯關系��,可將其劃分為不同的“攻擊團伙”所掌握��。這些“攻擊團伙”不斷更換其掌握的大量攻擊資源�,長期攻擊并控制著大量安全防護能力薄弱的網站。通過挖掘和研判“攻擊團伙”對受攻擊網站的具體操作行為��,CNCERT發(fā)現這些攻擊多帶有黑帽SEO �、網頁篡改等典型黑產利益意圖,并使用流行的攻擊工具對網站開展批量化���、長期化控制�。隨著對網站面臨安全風險的深入分析,CNCERT掌握了大量的攻擊者特征及攻擊手法���,能為我國做好網站安全管理提出更有針對性�、更有效的防范建議���。
(一)網頁仿冒
2018年���,CNCERT自主監(jiān)測發(fā)現約5.3萬個針對我國境內網站的仿冒頁面��,頁面數量較2017年增長了7.2%��。其中�,仿冒政務類網站數量明顯上升,占比高達25.2%��,經分析�,這些仿冒頁面主要被用于短期內提高其域名的搜索引擎排名,從而快速轉化為經濟利益���。為有效防范網頁仿冒引發(fā)的危害��,CNCERT重點針對金融行業(yè)���、電信行業(yè)網上營業(yè)廳的仿冒頁面進行處置�,全年共協(xié)調處置仿冒頁面3.5萬余個��。從承載仿冒頁面IP地址歸屬情況來看��,絕大多數位于境外��,主要分布在美國和中國香港���,如圖11所示�。
圖11 2018年承載仿冒頁面IP地址和仿冒頁面數量分布
(二)網站后門
1. 我國境內被植入后門情況
2018年���,CNCERT監(jiān)測發(fā)現境內外約1.6萬個IP地址對我國境內約2.4萬個網站植入后門���。近三年來,我國境內被植入后門的網站數量持續(xù)保持下降趨勢�,2018年的數量較2017年下降了19.3%。其中���,約有1.4萬個(占全部IP地址總數的90.9%)境外IP地址對境內約1.7萬個網站植入后門�,位于美國的IP地址最多���,占境外IP地址總數的23.2%��,其次是位于中國香港和俄羅斯的IP地址�,如圖12所示。從控制我國境內網站總數來看��,位于中國香港的IP地址控制我國境內網站數量最多��,有3,994個�,其次是位于美國和俄羅斯的IP地址,分別控制了我國境內3,607個和2,011個網站�。
公安備案號:44030502000376