當(dāng)前��,網(wǎng)絡(luò)安全威脅日益突出��,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷向政治、經(jīng)濟(jì)�、文化、社會(huì)�、生態(tài)、國(guó)防等領(lǐng)域傳導(dǎo)滲透�,各國(guó)加強(qiáng)網(wǎng)絡(luò)安全監(jiān)管,持續(xù)出臺(tái)網(wǎng)絡(luò)安全政策法規(guī)。2018年�����,在中央網(wǎng)絡(luò)安全和信息化委員會(huì)(原“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”)的統(tǒng)一領(lǐng)導(dǎo)下�����,我國(guó)進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全和信息化管理工作�����,各行業(yè)主管部門協(xié)同推進(jìn)網(wǎng)絡(luò)安全治理�。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(以下簡(jiǎn)稱“CNCERT”)持續(xù)加強(qiáng)我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè),開(kāi)展我國(guó)互聯(lián)網(wǎng)宏觀網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估�,網(wǎng)絡(luò)安全事件監(jiān)測(cè)、協(xié)調(diào)處置和預(yù)警通報(bào)工作�����,取得了顯著成效��。CNCERT依托我國(guó)宏觀安全監(jiān)測(cè)數(shù)據(jù)�,結(jié)合網(wǎng)絡(luò)安全威脅治理實(shí)踐成果,在本報(bào)告中重點(diǎn)對(duì)2018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況進(jìn)行了分析和總結(jié)�,并對(duì)2019年的網(wǎng)絡(luò)安全趨勢(shì)進(jìn)行預(yù)測(cè)��。
以下是該報(bào)告全文,敬請(qǐng)閱讀�����。
一�����、2018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況
2018年�,我國(guó)進(jìn)一步健全網(wǎng)絡(luò)安全法律體系,完善網(wǎng)絡(luò)安全管理體制機(jī)制��,持續(xù)加強(qiáng)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)和治理��,構(gòu)建互聯(lián)網(wǎng)發(fā)展安全基礎(chǔ)�,構(gòu)筑網(wǎng)民安全上網(wǎng)環(huán)境,特別是在黨政機(jī)關(guān)和重要行業(yè)方面�����,網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力不斷提升�,惡意程序感染、網(wǎng)頁(yè)篡改��、網(wǎng)站后門等傳統(tǒng)的安全問(wèn)題得到有效控制。全年未發(fā)生大規(guī)模病毒爆發(fā)��、大規(guī)模網(wǎng)絡(luò)癱瘓的重大事件�,但關(guān)鍵信息基礎(chǔ)設(shè)施、云平臺(tái)等面臨的安全風(fēng)險(xiǎn)仍較為突出�,APT攻擊、數(shù)據(jù)泄露�、分布式拒絕服務(wù)攻擊(以下簡(jiǎn)稱“DDoS攻擊”)等問(wèn)題也較為嚴(yán)重。
(一)我國(guó)網(wǎng)絡(luò)安全法律法規(guī)政策保障體系逐步健全
自我國(guó)《網(wǎng)絡(luò)安全法》于2017年6月1日正式實(shí)施以來(lái)�����,我國(guó)網(wǎng)絡(luò)安全相關(guān)法律法規(guī)及配套制度逐步健全��,逐漸形成綜合法律�、監(jiān)管規(guī)定、行業(yè)與技術(shù)標(biāo)準(zhǔn)的綜合化�、規(guī)范化體系,我國(guó)網(wǎng)絡(luò)安全工作法律保障體系不斷完善��,網(wǎng)絡(luò)安全執(zhí)法力度持續(xù)加強(qiáng)�����。2018年��,全國(guó)人大常委會(huì)發(fā)布《十三屆全國(guó)人大常委會(huì)立法規(guī)劃》,包含個(gè)人信息保護(hù)��、數(shù)據(jù)安全�、密碼等方面�����。黨中央�、國(guó)務(wù)院各部門相繼發(fā)力,網(wǎng)絡(luò)安全方面法規(guī)��、規(guī)章�����、司法解釋等陸續(xù)發(fā)布或?qū)嵤?。《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》已向社會(huì)公開(kāi)征求意見(jiàn)�����,《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》�����、《關(guān)于加強(qiáng)跨境金融網(wǎng)絡(luò)與信息服務(wù)管理的通知》、《區(qū)塊鏈信息服務(wù)管理規(guī)定》��、《關(guān)于加強(qiáng)政府網(wǎng)站域名管理的通知》等加強(qiáng)網(wǎng)絡(luò)安全執(zhí)法或強(qiáng)化相關(guān)領(lǐng)域網(wǎng)絡(luò)安全的文件發(fā)布��。
(二)我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理取得新成效
我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境經(jīng)過(guò)多年的持續(xù)治理效果顯著��,網(wǎng)絡(luò)安全環(huán)境得到明顯改善�。特別是黨中央加強(qiáng)了對(duì)網(wǎng)絡(luò)安全和信息化工作的統(tǒng)一領(lǐng)導(dǎo),黨政機(jī)關(guān)和重要行業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施�,針對(duì)黨政機(jī)關(guān)和重要行業(yè)的木馬僵尸惡意程序、網(wǎng)站安全��、安全漏洞等傳統(tǒng)網(wǎng)絡(luò)安全事件大幅減少�。2018年,CNCERT協(xié)調(diào)處置網(wǎng)絡(luò)安全事件約10.6萬(wàn)起��,其中網(wǎng)頁(yè)仿冒事件最多�,其次是安全漏洞、惡意程序�����、網(wǎng)頁(yè)篡改��、網(wǎng)站后門�、DDoS攻擊等事件�����。CNCERT持續(xù)組織開(kāi)展計(jì)算機(jī)惡意程序常態(tài)化打擊工作�����,2018年成功關(guān)閉772個(gè)控制規(guī)模較大的僵尸網(wǎng)絡(luò),成功切斷了黑客對(duì)境內(nèi)約390萬(wàn)臺(tái)感染主機(jī)的控制��。據(jù)抽樣監(jiān)測(cè)��,在政府網(wǎng)站安全方面�����,遭植入后門的我國(guó)政府網(wǎng)站數(shù)量平均減少了46.5%�����,遭篡改網(wǎng)站數(shù)量平均減少了16.4%��,顯示我國(guó)政府網(wǎng)站的安全情況有所好轉(zhuǎn)�����。在主管部門指導(dǎo)下,CNCERT聯(lián)合基礎(chǔ)電信企業(yè)�����、云服務(wù)商等持續(xù)開(kāi)展DDoS攻擊資源專項(xiàng)治理工作�����,從源頭上遏制了DDoS攻擊行為�����,有效降低了來(lái)自我國(guó)境內(nèi)的攻擊流量��。據(jù)CNCERT抽樣監(jiān)測(cè)�,2018年境內(nèi)發(fā)起DDoS攻擊的活躍控制端數(shù)量同比下降46%、被控端數(shù)量同比下降37%�����;境內(nèi)反射服務(wù)器�����、跨域偽造流量來(lái)源路由器�����、本地偽造流量來(lái)源路由器等可利用的攻擊資源消亡速度加快、新增率降低��。根據(jù)外部報(bào)告�����,我國(guó)境內(nèi)僵尸網(wǎng)絡(luò)控制端數(shù)量在全球的排名從前三名降至第十名 �,DDoS活躍反射源下降了60% ①。
(三)勒索軟件對(duì)重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施威脅加劇
2018年勒索軟件攻擊事件頻發(fā)�����,變種數(shù)量不斷攀升��,給個(gè)人用戶和企業(yè)用戶帶來(lái)嚴(yán)重?fù)p失�����。2018年��,CNCERT捕獲勒索軟件近14萬(wàn)個(gè)�,全年總體呈現(xiàn)增長(zhǎng)趨勢(shì)�����,特別在下半年,伴隨“勒索軟件即服務(wù)”產(chǎn)業(yè)的興起��,活躍勒索軟件數(shù)量呈現(xiàn)快速增長(zhǎng)勢(shì)頭�,且更新頻率和威脅廣度都大幅度增加,例如勒索軟件GandCrab全年出現(xiàn)了約19個(gè)版本�����,一直快速更新迭代�。勒索軟件傳播手段多樣,利用影響范圍廣的漏洞進(jìn)行快速傳播是當(dāng)前主要方式之一�����,例如勒索軟件Lucky通過(guò)綜合利用弱口令漏洞�、Window SMB漏洞、Apache Struts 2漏洞�、JBoss漏洞、Weblogic漏洞等進(jìn)行快速攻擊傳播�����。2018年,重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點(diǎn)攻擊目標(biāo)�,其中,政府��、醫(yī)療��、教育�����、研究機(jī)構(gòu)��、制造業(yè)等是受到勒索軟件攻擊較嚴(yán)重行業(yè)��。例如GlobeImposter�、GandCrab等勒索軟件變種攻擊了我國(guó)多家醫(yī)療機(jī)構(gòu),導(dǎo)致醫(yī)院信息系統(tǒng)運(yùn)行受到嚴(yán)重影響�。
(四)越來(lái)越多的APT攻擊行為被披露
2018年��,全球?qū)I(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布了各類高級(jí)威脅研究報(bào)告478份�,同比增長(zhǎng)了約3.6倍,其中我國(guó)12個(gè)研究機(jī)構(gòu)發(fā)布報(bào)告80份��,這些報(bào)告涉及已被確認(rèn)的APT攻擊組織包括APT28�、Lazarus、Group 123、海蓮花�����、MuddyWater等53個(gè)��,攻擊目標(biāo)主要分布在中東�、亞太、美洲和歐洲地區(qū)�����,總體呈現(xiàn)出地緣政治緊密相關(guān)的特性��,受攻擊的領(lǐng)域主要包括軍隊(duì)國(guó)防�����、政府�、金融、外交和能源等�����。值得注意的是�����,醫(yī)療、傳媒�、電信等國(guó)家服務(wù)性行業(yè)領(lǐng)域也正面臨越來(lái)越多的APT攻擊風(fēng)險(xiǎn)。② APT攻擊組織采用的攻擊手法主要以魚(yú)叉郵件攻擊�����、水坑攻擊�、網(wǎng)絡(luò)流量劫持或中間人攻擊等,其頻繁利用公開(kāi)或開(kāi)源的攻擊框架和工具�����,并綜合利用多種技術(shù)以實(shí)現(xiàn)攻擊�����,或規(guī)避與歷史攻擊手法的重合�����。
(五)云平臺(tái)成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)
根據(jù)CNCERT監(jiān)測(cè)數(shù)據(jù)�����,雖然國(guó)內(nèi)主流云平臺(tái)使用的IP地址數(shù)量?jī)H占我國(guó)境內(nèi)全部IP地址數(shù)量的7.7%�,但云平臺(tái)已成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),在各類型網(wǎng)絡(luò)安全事件數(shù)量中�,云平臺(tái)上的DDoS攻擊次數(shù)、被植入后門的網(wǎng)站數(shù)量�����、被篡改網(wǎng)站數(shù)量均占比超過(guò)50%�����。同時(shí)��,國(guó)內(nèi)主流云平臺(tái)上承載的惡意程序種類數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的53.7%��,木馬和僵尸網(wǎng)絡(luò)惡意程序控制端IP地址數(shù)量占境內(nèi)全部惡意程序控制端IP地址數(shù)量的59%�,表明攻擊者經(jīng)常利用云平臺(tái)來(lái)發(fā)起網(wǎng)絡(luò)攻擊。分析原因��,云平臺(tái)成為網(wǎng)絡(luò)攻擊的重要目標(biāo)是因?yàn)榇罅肯到y(tǒng)部署到云上�,涉及國(guó)計(jì)民生、企業(yè)運(yùn)營(yíng)的數(shù)據(jù)和用戶個(gè)人信息�,成為攻擊者攫取經(jīng)濟(jì)利益的目標(biāo)。從云平臺(tái)上發(fā)出的攻擊增多是因?yàn)樵品?wù)使用存在便捷性�、可靠性��、低成本�、高帶寬和高性能等特性�����,且云網(wǎng)絡(luò)流量的復(fù)雜性有利于攻擊者隱藏真實(shí)身份��,攻擊者更多的利用云平臺(tái)設(shè)備作為跳板機(jī)或控制端發(fā)起網(wǎng)絡(luò)攻擊�。此外,云平臺(tái)用戶對(duì)其部署在云平臺(tái)上系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)重視不足�,導(dǎo)致其系統(tǒng)可能面臨更大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此�����,云服務(wù)商和云用戶都應(yīng)加大對(duì)網(wǎng)絡(luò)安全的重視和投入�����,分工協(xié)作提升網(wǎng)絡(luò)安全防范能力�����。云服務(wù)商應(yīng)提供基礎(chǔ)性的網(wǎng)絡(luò)安全防護(hù)措施并保障云平臺(tái)安全運(yùn)行�,全面提高云平臺(tái)的安全性和可控性。云用戶對(duì)部署在云平臺(tái)上的系統(tǒng)承擔(dān)主體責(zé)任�����,需全面落實(shí)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)要求�����。
(六)拒絕服務(wù)攻擊頻次下降但峰值流量持續(xù)攀升
DDoS攻擊是難以防范的網(wǎng)絡(luò)攻擊手段之一�,攻擊手段和強(qiáng)度不斷更新,并逐步形成了“DDoS即服務(wù)”的互聯(lián)網(wǎng)黑色產(chǎn)業(yè)服務(wù)�,普遍用于行業(yè)惡意競(jìng)爭(zhēng)、敲詐勒索等網(wǎng)絡(luò)犯罪�。得益于我國(guó)網(wǎng)絡(luò)空間環(huán)境治理取得的有效成果,經(jīng)過(guò)對(duì)DDoS攻擊資源的專項(xiàng)治理�����,我國(guó)境內(nèi)拒絕服務(wù)攻擊頻次總體呈現(xiàn)下降趨勢(shì)����。根據(jù)第三方分析報(bào)告,2018年我國(guó)境內(nèi)全年DDoS攻擊次數(shù)同比下降超過(guò)20%�,特別是反射攻擊較去年減少了80% 。③CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)����,2018年我國(guó)境內(nèi)峰值流量超過(guò)Tbps級(jí)的DDoS攻擊次數(shù)較往年增加較多�����,達(dá)68起�����。其中����,2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達(dá)1.27Tbps�����。
(七)針對(duì)工業(yè)控制系統(tǒng)的定向性攻擊趨勢(shì)明顯
2018年�,針對(duì)特定工業(yè)系統(tǒng)的攻擊越來(lái)越多,并多與傳統(tǒng)攻擊手段結(jié)合�,針對(duì)國(guó)家工業(yè)控制系統(tǒng)的攻擊日益呈現(xiàn)出定向性特點(diǎn)。惡意軟件Trisis利用施耐德Triconex安全儀表控制系統(tǒng)零日漏洞�,攻擊了中東某石油天然氣工廠,致其工廠停運(yùn)����。分析發(fā)現(xiàn)����,Trisis完整的文件庫(kù)通過(guò)五種不同的編程語(yǔ)言構(gòu)建�,因其定向性的特點(diǎn)�����,僅能在其攻擊的同款工業(yè)設(shè)備上測(cè)試才能完全了解該惡意軟件�����。2018年中期����,惡意軟件GreyEnergy被捕獲,主要針對(duì)運(yùn)行數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)軟件和服務(wù)器的工業(yè)控制系統(tǒng)工作站�,具有模塊化架構(gòu),功能可進(jìn)一步擴(kuò)展�����,可進(jìn)行后門訪問(wèn)�、竊取文件、抓取屏幕截圖�����、記錄敲擊鍵和竊取憑據(jù)等操作。2018年�,CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn),我國(guó)境內(nèi)聯(lián)網(wǎng)工業(yè)設(shè)備�、系統(tǒng)、平臺(tái)等遭受惡意嗅探����、網(wǎng)絡(luò)攻擊的次數(shù)顯著提高,雖未發(fā)生重大安全事件�����,但需提高警惕����,引起重視。
(八)虛假和仿冒移動(dòng)應(yīng)用增多且成為網(wǎng)絡(luò)詐騙新渠道
近年來(lái)�����,隨著互聯(lián)網(wǎng)與經(jīng)濟(jì)�、生活的深度捆綁交織,通過(guò)互聯(lián)網(wǎng)對(duì)網(wǎng)民實(shí)施遠(yuǎn)程非接觸式詐騙手段不斷翻新,先后出現(xiàn)了“網(wǎng)絡(luò)投資”����、“網(wǎng)絡(luò)交友”、“網(wǎng)購(gòu)返利”等新型網(wǎng)絡(luò)詐騙手段�。隨著我國(guó)移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和應(yīng)用普及,2018年通過(guò)移動(dòng)應(yīng)用實(shí)施網(wǎng)絡(luò)詐騙的事件尤為突出�,如大量虛假的“貸款A(yù)PP”并無(wú)真實(shí)貸款業(yè)務(wù),僅用于詐騙分子騙取用戶的隱私信息和錢財(cái)�。CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)����,在此類虛假的“貸款A(yù)PP”上提交姓名、身份證照片�����、個(gè)人資產(chǎn)證明�����、銀行賬戶�����、地址等個(gè)人隱私信息的用戶超過(guò)150萬(wàn)人,大量受害用戶向詐騙分子支付了上萬(wàn)元的所謂“擔(dān)保費(fèi)”�、“手續(xù)費(fèi)”費(fèi)用,經(jīng)濟(jì)利益受到實(shí)質(zhì)損害�。此外,CNCERT還發(fā)現(xiàn)�,具有與正版軟件相似圖標(biāo)或名字的仿冒APP數(shù)量呈上升趨勢(shì)。2018年�����,CNCERT通過(guò)自主監(jiān)測(cè)和投訴舉報(bào)方式共捕獲新增金融行業(yè)移動(dòng)互聯(lián)網(wǎng)仿冒APP 樣本838個(gè)�����,同比增長(zhǎng)了近3.5倍�����,達(dá)近年新高�。這些仿冒APP通常采用“蹭熱度”的方式來(lái)傳播和誘惑用戶下載并安裝,可能會(huì)造成用戶通訊錄和短信內(nèi)容等個(gè)人隱私信息泄露�,或在未經(jīng)用戶允許的情況下私自下載惡意軟件,造成惡意扣費(fèi)等危害����。
(九)數(shù)據(jù)安全問(wèn)題引起前所未有的關(guān)注
2018年3月�����,F(xiàn)acebook公司被爆出大規(guī)模數(shù)據(jù)泄露�����,且這些泄露的數(shù)據(jù)被惡意利用�����,引起國(guó)內(nèi)外普遍關(guān)注�����。2018年,我國(guó)也發(fā)生了包括十幾億條快遞公司的用戶信息����、2.4億條某連鎖酒店入住信息、900萬(wàn)條某網(wǎng)站用戶數(shù)據(jù)信息�、某求職網(wǎng)站用戶個(gè)人求職簡(jiǎn)歷等數(shù)據(jù)泄露事件,這些泄露數(shù)據(jù)包含了大量的個(gè)人隱私信息�,如姓名、地址�、銀行卡號(hào)、身份證號(hào)、聯(lián)系電話�、家庭成員等,給我國(guó)網(wǎng)民人身安全�����、財(cái)產(chǎn)安全帶來(lái)了安全隱患�。2018年5月25日,歐盟頒布執(zhí)行史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)條例《通用數(shù)據(jù)保護(hù)條例》(GDPR)����,掀起了國(guó)內(nèi)外的廣泛討論,該法案重點(diǎn)保護(hù)的是自然人的“個(gè)人數(shù)據(jù)”�����,例如姓名����、地址、電子郵件地址�����、電話號(hào)碼�����、生日、銀行賬戶����、汽車牌照、IP地址以及cookies等�。根據(jù)定義,該法案監(jiān)管收集個(gè)人數(shù)據(jù)的行為�,包括所有形式的網(wǎng)絡(luò)追蹤。GDPR實(shí)施三天后�,F(xiàn)acebook和谷歌等美國(guó)企業(yè)成為GDPR法案下第一批被告,這不僅給業(yè)界敲響了警鐘�����,也督促更多企業(yè)投入精力保護(hù)數(shù)據(jù)安全尤其是個(gè)人隱私數(shù)據(jù)安全����。
二����、2019年網(wǎng)絡(luò)安全趨勢(shì)預(yù)測(cè)
結(jié)合2018年我國(guó)網(wǎng)絡(luò)安全狀況,以及5G����、IPv6����、區(qū)塊鏈等新技術(shù)的發(fā)展和應(yīng)用�����,CNCERT預(yù)測(cè)2019年網(wǎng)絡(luò)安全趨勢(shì)主要如下:
(一)有特殊目的針對(duì)性更強(qiáng)的網(wǎng)絡(luò)攻擊越來(lái)越多
目前����,網(wǎng)絡(luò)攻擊者發(fā)起網(wǎng)絡(luò)攻擊的針對(duì)性越來(lái)越強(qiáng),有特殊目的的攻擊行動(dòng)頻發(fā)�。近年來(lái),有攻擊團(tuán)伙長(zhǎng)期以我國(guó)政府部門����、事業(yè)單位、科研院所的網(wǎng)站為主要目標(biāo)實(shí)施網(wǎng)頁(yè)篡改����,境外攻擊團(tuán)伙持續(xù)對(duì)我政府部門網(wǎng)站實(shí)施DDoS攻擊。網(wǎng)絡(luò)安全事件與社會(huì)活動(dòng)緊密結(jié)合趨勢(shì)明顯�����,網(wǎng)絡(luò)攻擊事件高發(fā)。
(二)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)受到普遍關(guān)注
作為事關(guān)國(guó)家安全�、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的戰(zhàn)略資源,國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的工作尤為重要�。當(dāng)前,應(yīng)用廣泛的基礎(chǔ)軟硬件安全漏洞不斷被披露����、具有特殊目的的黑客組織不斷對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施網(wǎng)絡(luò)攻擊,我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全風(fēng)險(xiǎn)不斷加大�。2018年,APT攻擊活動(dòng)持續(xù)活躍�,我國(guó)多個(gè)重要行業(yè)遭受攻擊。隨著關(guān)鍵信息基礎(chǔ)設(shè)施承載的信息價(jià)值越來(lái)越大�,針對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊將會(huì)愈演愈烈。
(三)個(gè)人信息和重要數(shù)據(jù)泄露危害更加嚴(yán)重
2018年Facebook信息泄露事件讓我們重新審視個(gè)人信息和重要數(shù)據(jù)的泄露可能引發(fā)的危害�,信息泄露不僅侵犯網(wǎng)民個(gè)人利益,甚至可能對(duì)國(guó)家政治安全造成影響�����。2018年我國(guó)境內(nèi)發(fā)生了多起個(gè)人信息和重要數(shù)據(jù)泄露事件����,犯罪分子利用大數(shù)據(jù)等技術(shù)手段�����,整合獲得的各類數(shù)據(jù),可形成對(duì)用戶的多維度精準(zhǔn)畫(huà)像�,所產(chǎn)生的危害將更為嚴(yán)重。
(四)5G�����、IPv6等新技術(shù)廣泛應(yīng)用帶來(lái)的安全問(wèn)題值得關(guān)注
目前�,我國(guó)5G、IPv6規(guī)模部署和試用工作逐步推進(jìn)����,關(guān)于5G、IPv6自身的安全問(wèn)題以及衍生的安全問(wèn)題值得關(guān)注����。5G技術(shù)的應(yīng)用代表著增強(qiáng)的移動(dòng)寬帶、海量的機(jī)器通信以及超高可靠低時(shí)延的通信�����,與IPv6技術(shù)應(yīng)用共同發(fā)展�,將真正實(shí)現(xiàn)讓萬(wàn)物互聯(lián),互聯(lián)網(wǎng)上承載的信息將更為豐富�����,物聯(lián)網(wǎng)將大規(guī)模發(fā)展�����。但重要數(shù)據(jù)泄露、物聯(lián)網(wǎng)設(shè)備安全問(wèn)題目前尚未得到有效解決�,物聯(lián)網(wǎng)設(shè)備被大規(guī)模利用發(fā)起網(wǎng)絡(luò)攻擊的問(wèn)題也將更加突出。同時(shí)��,區(qū)塊鏈技術(shù)也受到國(guó)內(nèi)外廣泛關(guān)注并快速應(yīng)用�����,從數(shù)字貨幣到智能合約�����,并逐步向文化娛樂(lè)�、社會(huì)管理、物聯(lián)網(wǎng)等多個(gè)領(lǐng)域延伸��。隨著區(qū)塊鏈應(yīng)用的范圍和深度逐漸擴(kuò)大�����,數(shù)字貨幣被盜�����、智能合約�、錢包和挖礦軟件漏洞等安全問(wèn)題將會(huì)更加凸顯。
附錄:2018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析
一�、惡意程序
(一)計(jì)算機(jī)惡意程序捕獲情況
2018年,CNCERT全年捕獲計(jì)算機(jī)惡意程序樣本數(shù)量超過(guò)1億個(gè)��,涉及計(jì)算機(jī)惡意程序家族51萬(wàn)余個(gè)�,較2017年增加8,132個(gè)。全年計(jì)算機(jī)惡意程序傳播次數(shù) 日均達(dá)500萬(wàn)余次�����。按照計(jì)算機(jī)惡意程序傳播來(lái)源統(tǒng)計(jì)�,位于境外的主要是來(lái)自美國(guó)、加拿大和俄羅斯等國(guó)家和地區(qū)�,來(lái)自境外的具體分布如圖1所示。位于境內(nèi)的主要是位于陜西省��、浙江省和河南省等省份�����。按照受惡意程序攻擊的IP統(tǒng)計(jì),我國(guó)境內(nèi)受計(jì)算機(jī)惡意程序攻擊的IP地址約5,946萬(wàn)個(gè)�����,約占我國(guó)IP總數(shù)的17.5%��,這些受攻擊的IP地址主要集中在江蘇省�����、山東省��、浙江省��、廣東省等地區(qū)�,2018年我國(guó)受計(jì)算機(jī)惡意程序攻擊的IP分布情況如圖2所示。
圖1 2018年計(jì)算機(jī)惡意代碼傳播源位于境外分布情況
圖2 2018年我國(guó)受計(jì)算機(jī)惡意代碼攻擊的IP分布情況
(二)計(jì)算機(jī)惡意程序用戶感染情況
據(jù)CNCERT抽樣監(jiān)測(cè)��,2018年��,我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約655萬(wàn)臺(tái)�,同比下降47.8%,如圖3所示�����。位于境外的約4.9萬(wàn)個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器控制了我國(guó)境內(nèi)約526萬(wàn)臺(tái)主機(jī),就控制服務(wù)器所屬國(guó)家來(lái)看�,位于美國(guó)、日本和德國(guó)的控制服務(wù)器數(shù)量分列前三位�����,分別是約14,752個(gè)��、6,551個(gè)和2,166個(gè)�����;就所控制我國(guó)境內(nèi)主機(jī)數(shù)量來(lái)看��,位于美國(guó)��、中國(guó)香港和法國(guó)的控制服務(wù)器控制規(guī)模分列前三位��,分別控制了我國(guó)境內(nèi)約334萬(wàn)��、48萬(wàn)和33萬(wàn)臺(tái)主機(jī)�。
圖3 境內(nèi)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量變化
我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量地區(qū)分布來(lái)看�����,主要分布在廣東省(占我國(guó)境內(nèi)感染數(shù)量的10.9%)�、江蘇省(占9.9%)�、浙江省(占9.4%)等省份��,但從我國(guó)境內(nèi)各地區(qū)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量所占本地區(qū)活躍IP地址數(shù)量比例來(lái)看�,河南省、江蘇省和廣西壯族自治區(qū)分列前三位�,如圖4所示。在監(jiān)測(cè)發(fā)現(xiàn)的因感染計(jì)算機(jī)惡意程序而形成的僵尸網(wǎng)絡(luò)中�����,規(guī)模在100臺(tái)主機(jī)以上的僵尸網(wǎng)絡(luò)數(shù)量達(dá)3,710個(gè)��,規(guī)模在10萬(wàn)臺(tái)以上的僵尸網(wǎng)絡(luò)數(shù)量達(dá)36個(gè)�����,如圖5所示�����。為有效控制計(jì)算機(jī)惡意程序感染主機(jī)引發(fā)的危害,2018年��,CNCERT組織基礎(chǔ)電信企業(yè)��、域名服務(wù)機(jī)構(gòu)等成功關(guān)閉772個(gè)控制規(guī)模較大的僵尸網(wǎng)絡(luò)�����。根據(jù)第三方統(tǒng)計(jì)報(bào)告�,位于我國(guó)境內(nèi)的僵尸網(wǎng)絡(luò)控制端數(shù)量在全球的排名情況以及在全球控制端總數(shù)量的占比均呈現(xiàn)下降趨勢(shì)④�����。
圖4 我國(guó)各地區(qū)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量占本地區(qū)活躍IP地址數(shù)量比例
(三)移動(dòng)互聯(lián)網(wǎng)惡意程序
目前�����,隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)快速發(fā)展��,我國(guó)移動(dòng)互聯(lián)網(wǎng)網(wǎng)民數(shù)量突破8.17億(占我國(guó)網(wǎng)民總數(shù)量的98.6%)⑤��,金融服務(wù)�����、生活服務(wù)、支付業(yè)務(wù)等全面向移動(dòng)互聯(lián)網(wǎng)應(yīng)用遷移��。但竊取用戶信息��、發(fā)送垃圾信息��、推送廣告和欺詐信息等危害移動(dòng)互聯(lián)網(wǎng)正常運(yùn)行的惡意行為在不斷侵犯廣大移動(dòng)用戶的合法利益��。2018年�����,CNCERT通過(guò)自主捕獲和廠商交換獲得移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量283萬(wàn)余個(gè)�,同比增長(zhǎng)11.7%,盡管近三年來(lái)增長(zhǎng)速度有所放緩�,但仍保持高速增長(zhǎng)趨勢(shì),如圖6所示�。通過(guò)對(duì)惡意程序的惡意行為統(tǒng)計(jì)發(fā)現(xiàn),排名前三的分別為流氓行為類��、資費(fèi)消耗類和信息竊取類 ��,占比分別為45.8%�����、24.3%和14.9%,如圖7所示�。為有效防范移動(dòng)互聯(lián)網(wǎng)惡意程序的危害,嚴(yán)格控制移動(dòng)互聯(lián)網(wǎng)惡意程序傳播途徑��,連續(xù)6年以來(lái)�����,CNCERT聯(lián)合應(yīng)用商店��、云平臺(tái)等服務(wù)平臺(tái)持續(xù)加強(qiáng)對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序的發(fā)現(xiàn)和下架力度�,以保障移動(dòng)互聯(lián)網(wǎng)健康有序發(fā)展。2018年�,CNCERT累計(jì)協(xié)調(diào)國(guó)內(nèi)314家提供移動(dòng)應(yīng)用程序下載服務(wù)的平臺(tái)�����,下架3517個(gè)移動(dòng)互聯(lián)網(wǎng)惡意程序��。
圖6 2010年至2018年移動(dòng)互聯(lián)網(wǎng)惡意程序捕獲數(shù)量走勢(shì)
圖7 2018年移動(dòng)互聯(lián)網(wǎng)惡意程序數(shù)量按行為屬性統(tǒng)計(jì)
(四)聯(lián)網(wǎng)智能設(shè)備惡意程序
據(jù)CNCERT監(jiān)測(cè)發(fā)現(xiàn)�,目前活躍在智能聯(lián)網(wǎng)設(shè)備上的惡意程序家族主要包括Ddosf、Dofloo�����、Gafgyt、MrBlack�、Persirai、Sotdas�����、Tsunami��、Triddy�、Mirai、Moose�����、Teaper�����、Satori��、StolenBots�����、VPN-Filter等。這些惡意程序及其變種產(chǎn)生的主要危害包括用戶信息和設(shè)備數(shù)據(jù)泄露��、硬件設(shè)備遭控制和破壞��、被用于DDoS攻擊或其他惡意攻擊行為�、攻擊路由器等網(wǎng)絡(luò)設(shè)備竊取用戶上網(wǎng)數(shù)據(jù)等。CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)�,2018年,聯(lián)網(wǎng)智能設(shè)備惡意程序控制服務(wù)器IP地址約2.3萬(wàn)個(gè)�,位于境外的IP地址占比約87.5%;被控聯(lián)網(wǎng)智能設(shè)備IP地址約446.8萬(wàn)個(gè)�����,位于境內(nèi)的IP地址占比約34.6%�����,其中山東�����、浙江��、河南�����、江蘇等地被控聯(lián)網(wǎng)智能設(shè)備IP地址數(shù)量均超過(guò)10萬(wàn)個(gè)�;控制聯(lián)網(wǎng)智能設(shè)備且控制規(guī)模在1,000臺(tái)以上的僵尸網(wǎng)絡(luò)有363個(gè),其中�,控制規(guī)模在1萬(wàn)臺(tái)以上的僵尸網(wǎng)絡(luò)19個(gè),5萬(wàn)臺(tái)以上的8個(gè)�,如表1所示。
表1 2018年聯(lián)網(wǎng)智能設(shè)備僵尸網(wǎng)絡(luò)控制規(guī)模統(tǒng)計(jì)情況
二��、安全漏洞
(一)安全漏洞收錄情況
2014年以來(lái)�,國(guó)家信息安全漏洞共享平臺(tái)(CNVD) 收錄安全漏洞數(shù)量年平均增長(zhǎng)率為15.0%,其中�����,2018年收錄安全漏洞數(shù)量同比減少了11.0%�,共計(jì)14,201個(gè),高危漏洞收錄數(shù)量為4,898個(gè)(占34.5%)�,同比減少12.8%,但近年來(lái)“零日”漏洞 收錄數(shù)量持續(xù)走高�����,2018年收錄的安全漏洞數(shù)量中�����,“零日”漏洞收錄數(shù)量占比37.9%,高達(dá)5,381個(gè)�����,同比增長(zhǎng)39.6%��,如圖8所示�。安全漏洞主要涵蓋Google、Microsoft��、IBM�����、Oracle�、Cisco、Foxit��、Apple��、Adobe等廠商產(chǎn)品��,如表2所示�。按影響對(duì)象分類統(tǒng)計(jì),收錄漏洞中應(yīng)用程序漏洞占57.8%�����,Web應(yīng)用漏洞占18.7%��,操作系統(tǒng)漏洞占10.6%��,網(wǎng)絡(luò)設(shè)備(如路由器�����、交換機(jī)等)漏洞占9.5%��,安全產(chǎn)品(如防火墻�、入侵檢測(cè)系統(tǒng)等)漏洞占2.4%,數(shù)據(jù)庫(kù)漏洞占1.0%��,如圖9所示�����。
圖8 2013年至2018年CNVD收錄安全漏洞數(shù)量對(duì)比
表2 2018年CNVD收錄漏洞涉及廠商情況統(tǒng)計(jì)
圖9 2018年CNVD收錄漏洞按影響對(duì)象類型分類統(tǒng)計(jì)
2018年��,CNVD繼續(xù)推進(jìn)移動(dòng)互聯(lián)網(wǎng)�����、電信行業(yè)、工業(yè)控制系統(tǒng)和電子政務(wù)4類子漏洞庫(kù)的建設(shè)工作�,分別新增收錄安全漏洞數(shù)量1,150個(gè)(占全年收錄數(shù)量的8.1%)、720個(gè)(占5.1%)�、461個(gè)(占3.2%)和171個(gè)(占1.2%),如圖10所示��。其中工業(yè)控制系統(tǒng)子漏洞庫(kù)收錄數(shù)量持續(xù)攀升�,較2017年增長(zhǎng)了22.6%。CNVD全年通報(bào)涉及政府機(jī)構(gòu)��、重要信息系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施安全漏洞事件約2.1萬(wàn)起�,同比下降23.6%。
2018年��,應(yīng)用廣泛的軟硬件漏洞被披露�����,修復(fù)難度很大�,給我國(guó)網(wǎng)絡(luò)安全帶來(lái)嚴(yán)峻挑戰(zhàn),包括計(jì)算機(jī)中央處理器(CPU)芯片爆出Meltdown漏洞 和Spectre漏洞 �,影響了1995年以后生產(chǎn)的所有Intel、AMD�����、ARM等CPU芯片��,同時(shí)影響了各主流云服務(wù)平臺(tái)及Windows�、Linux、MacOS�����、Android等主流操作系統(tǒng)�。隨后,Oracle Weblogic server��、Cisco Smart Install等在我國(guó)使用廣泛的軟件產(chǎn)品也相繼爆出存在嚴(yán)重安全漏洞��。
(二)聯(lián)網(wǎng)智能設(shè)備安全漏洞
2018年��,CNVD收錄的安全漏洞中關(guān)于聯(lián)網(wǎng)智能設(shè)備安全漏洞有2,244個(gè)�,同比增長(zhǎng)8.0%。這些安全漏洞涉及的類型主要包括設(shè)備信息泄露�、權(quán)限繞過(guò)、遠(yuǎn)程代碼執(zhí)行�����、弱口令等;涉及的設(shè)備類型主要包括家用路由器��、網(wǎng)絡(luò)攝像頭等�。
三、拒絕服務(wù)攻擊
2018年�����,CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)峰值超過(guò)10Gbps的大流量分布式拒絕服務(wù)攻擊(DDoS攻擊)事件數(shù)量平均每月超過(guò)4,000起�����,超過(guò)60%的攻擊事件為僵尸網(wǎng)絡(luò)控制發(fā)起�����。僵尸網(wǎng)絡(luò)主要偏好發(fā)動(dòng)TCP SYN FLOOD和UDP FLOOD攻擊�,在線攻擊平臺(tái)主要偏好發(fā)送UDP Amplification FLOOD攻擊。
(一)攻擊資源情況
2018年�����,CNCERT對(duì)全年用于發(fā)起DDoS攻擊的攻擊資源進(jìn)行了持續(xù)分析�,發(fā)現(xiàn)用于發(fā)起DDoS攻擊的C&C控制服務(wù)器 數(shù)量共2,108臺(tái),總?cè)怆u 數(shù)量約144萬(wàn)臺(tái)��,反射攻擊服務(wù)器約197萬(wàn)臺(tái),受攻擊目標(biāo)IP地址數(shù)量約9萬(wàn)個(gè)��,這些攻擊目標(biāo)主要分布在色情�、博彩等互聯(lián)網(wǎng)地下黑產(chǎn)方面以及文化體育和娛樂(lè)領(lǐng)域,此外還包括運(yùn)營(yíng)商IDC�、金融��、教育�����、政府機(jī)構(gòu)等�����。
(二)攻擊團(tuán)伙情況
2018年�����,CNCERT共監(jiān)測(cè)發(fā)現(xiàn)利用僵尸網(wǎng)絡(luò)進(jìn)行攻擊的DDoS攻擊團(tuán)伙50個(gè)�。從全年來(lái)看,與DDoS攻擊事件數(shù)量�����、C&C控制服務(wù)器數(shù)量一樣,攻擊團(tuán)伙數(shù)量在2018年8月達(dá)到最高峰��。其中�����,控制肉雞數(shù)量較大的較活躍攻擊團(tuán)伙有16個(gè)�,涉及C&C控制服務(wù)器有358個(gè),攻擊目標(biāo)有2.8萬(wàn)個(gè)�,如表3所示。為進(jìn)一步分析這16個(gè)團(tuán)伙的關(guān)系情況��,通過(guò)對(duì)全年攻擊活動(dòng)進(jìn)行分析��,發(fā)現(xiàn)不同攻擊團(tuán)伙之間相互較為獨(dú)立�,同一攻擊團(tuán)伙的攻擊目標(biāo)非常集中,不同攻擊團(tuán)伙間的攻擊目標(biāo)重合度較小��。
表3 2018年活躍攻擊團(tuán)伙基本信息表
四�����、網(wǎng)站安全
2018年�,CNCERT加強(qiáng)了對(duì)網(wǎng)站攻擊資源的分析工作,發(fā)現(xiàn)絕大多數(shù)網(wǎng)站攻擊行為由少量的活躍攻擊資源 發(fā)起,對(duì)我國(guó)網(wǎng)站安全影響較大��。根據(jù)這些攻擊資源之間的關(guān)聯(lián)關(guān)系�����,可將其劃分為不同的“攻擊團(tuán)伙”所掌握�。這些“攻擊團(tuán)伙”不斷更換其掌握的大量攻擊資源,長(zhǎng)期攻擊并控制著大量安全防護(hù)能力薄弱的網(wǎng)站�����。通過(guò)挖掘和研判“攻擊團(tuán)伙”對(duì)受攻擊網(wǎng)站的具體操作行為�����,CNCERT發(fā)現(xiàn)這些攻擊多帶有黑帽SEO �����、網(wǎng)頁(yè)篡改等典型黑產(chǎn)利益意圖�����,并使用流行的攻擊工具對(duì)網(wǎng)站開(kāi)展批量化��、長(zhǎng)期化控制�。隨著對(duì)網(wǎng)站面臨安全風(fēng)險(xiǎn)的深入分析,CNCERT掌握了大量的攻擊者特征及攻擊手法��,能為我國(guó)做好網(wǎng)站安全管理提出更有針對(duì)性�����、更有效的防范建議�����。
(一)網(wǎng)頁(yè)仿冒
2018年�,CNCERT自主監(jiān)測(cè)發(fā)現(xiàn)約5.3萬(wàn)個(gè)針對(duì)我國(guó)境內(nèi)網(wǎng)站的仿冒頁(yè)面,頁(yè)面數(shù)量較2017年增長(zhǎng)了7.2%��。其中�,仿冒政務(wù)類網(wǎng)站數(shù)量明顯上升,占比高達(dá)25.2%��,經(jīng)分析�����,這些仿冒頁(yè)面主要被用于短期內(nèi)提高其域名的搜索引擎排名�����,從而快速轉(zhuǎn)化為經(jīng)濟(jì)利益。為有效防范網(wǎng)頁(yè)仿冒引發(fā)的危害�����,CNCERT重點(diǎn)針對(duì)金融行業(yè)�����、電信行業(yè)網(wǎng)上營(yíng)業(yè)廳的仿冒頁(yè)面進(jìn)行處置�����,全年共協(xié)調(diào)處置仿冒頁(yè)面3.5萬(wàn)余個(gè)��。從承載仿冒頁(yè)面IP地址歸屬情況來(lái)看�,絕大多數(shù)位于境外�,主要分布在美國(guó)和中國(guó)香港,如圖11所示�����。
圖11 2018年承載仿冒頁(yè)面IP地址和仿冒頁(yè)面數(shù)量分布
(二)網(wǎng)站后門
1. 我國(guó)境內(nèi)被植入后門情況
2018年�����,CNCERT監(jiān)測(cè)發(fā)現(xiàn)境內(nèi)外約1.6萬(wàn)個(gè)IP地址對(duì)我國(guó)境內(nèi)約2.4萬(wàn)個(gè)網(wǎng)站植入后門。近三年來(lái)��,我國(guó)境內(nèi)被植入后門的網(wǎng)站數(shù)量持續(xù)保持下降趨勢(shì)�����,2018年的數(shù)量較2017年下降了19.3%�����。其中�����,約有1.4萬(wàn)個(gè)(占全部IP地址總數(shù)的90.9%)境外IP地址對(duì)境內(nèi)約1.7萬(wàn)個(gè)網(wǎng)站植入后門�,位于美國(guó)的IP地址最多,占境外IP地址總數(shù)的23.2%�����,其次是位于中國(guó)香港和俄羅斯的IP地址��,如圖12所示��。從控制我國(guó)境內(nèi)網(wǎng)站總數(shù)來(lái)看,位于中國(guó)香港的IP地址控制我國(guó)境內(nèi)網(wǎng)站數(shù)量最多�����,有3,994個(gè)�,其次是位于美國(guó)和俄羅斯的IP地址,分別控制了我國(guó)境內(nèi)3,607個(gè)和2,011個(gè)網(wǎng)站��。
公安備案號(hào):44030502000376