為維護(hù)我國網(wǎng)絡(luò)空間的安全，保障互聯(lián)網(wǎng)健康有序的發(fā)展，2019年上半年，我國持續(xù)推進(jìn)網(wǎng)絡(luò)安全法律法規(guī)體系建設(shè)，完善網(wǎng)絡(luò)安全管理體制機(jī)制，不斷加強(qiáng)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測和治理，構(gòu)建互聯(lián)網(wǎng)發(fā)展安全基礎(chǔ)，構(gòu)筑網(wǎng)民安全上網(wǎng)環(huán)境。2019年上半年，我國基礎(chǔ)網(wǎng)絡(luò)運(yùn)行總體平穩(wěn)，未發(fā)生較大規(guī)模以上網(wǎng)絡(luò)安全事件。但數(shù)據(jù)泄露事件及風(fēng)險(xiǎn)、有組織的分布式拒絕服務(wù)攻擊干擾我國重要網(wǎng)站正常運(yùn)行、魚叉釣魚郵件攻擊事件頻發(fā)，多個(gè)高危漏洞被曝出，我國網(wǎng)絡(luò)空間仍面臨諸多風(fēng)險(xiǎn)與挑戰(zhàn)。

一、2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析

國家互聯(lián)網(wǎng)應(yīng)急中心(以下簡稱“CNCERT”)從惡意程序、漏洞隱患、移動互聯(lián)網(wǎng)安全、網(wǎng)站安全以及云平臺安全、工業(yè)系統(tǒng)安全、互聯(lián)網(wǎng)金融安全等方面，對我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全環(huán)境開展宏觀監(jiān)測。數(shù)據(jù)顯示，與2018年上半年數(shù)據(jù)比較，2019年上半年我國境內(nèi)通用型“零日”漏洞①收錄數(shù)量，涉及關(guān)鍵信息基礎(chǔ)設(shè)施的事件型漏洞通報(bào)數(shù)量，遭篡改、植入后門、仿冒網(wǎng)站數(shù)量等有所上升，其他各類監(jiān)測數(shù)據(jù)有所降低或基本持平。

(一)惡意程序

1. 計(jì)算機(jī)惡意程序捕獲情況

2019年上半年，CNCERT新增捕獲計(jì)算機(jī)惡意程序樣本數(shù)量約3,200萬個(gè)，與2018年上半年基本持平，計(jì)算機(jī)惡意程序傳播次數(shù)日均達(dá)約998萬次。按照計(jì)算機(jī)惡意程序傳播來源統(tǒng)計(jì)，位于境外的IP地址主要是來自美國、日本和菲律賓等國家和地區(qū)，2019年上半年計(jì)算機(jī)惡意代碼傳播源位于境外分布情況如圖1所示。位于境內(nèi)的IP地址主要是位于廣東省、北京市和浙江省等。按照受惡意程序攻擊的IP統(tǒng)計(jì)，我國境內(nèi)受計(jì)算機(jī)惡意程序攻擊的IP地址約3,762萬個(gè)，約占我國活躍IP地址總數(shù)的12.4%，這些受攻擊的IP地址主要集中在江蘇省、廣東省、浙江省等地區(qū)，2019年上半年我國境內(nèi)受計(jì)算機(jī)惡意程序攻擊的IP分布情況如圖2所示。

 

 

2. 計(jì)算機(jī)惡意程序用戶感染情況

據(jù)CNCERT抽樣監(jiān)測，2019年上半年，我國境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約240萬臺，相較2018年上半年同比下降9.7%。位于境外的約3.9萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器控制了我國境內(nèi)約210萬臺主機(jī)，就控制服務(wù)器所屬國家來看，位于美國、日本和拉脫維亞的控制服務(wù)器數(shù)量分列前三位，分別是約9,494個(gè)、5,535個(gè)和2,350個(gè);就所控制我國境內(nèi)主機(jī)數(shù)量來看，位于美國、法國和英國的控制服務(wù)器控制規(guī)模分列前三位，分別控制了我國境內(nèi)約150萬、22萬和16萬臺主機(jī)。

從我國境內(nèi)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量按地區(qū)分布來看，主要分布在廣東省(占我國境內(nèi)感染數(shù)量的13.3%)、河南省(占11.0%)、山東省(占7.0%)等省份，但從我國境內(nèi)各地區(qū)感染計(jì)算機(jī)惡意程序主機(jī)數(shù)量所占本地區(qū)活躍IP地址數(shù)量比例來看，河南省、云南省和河北省分列前三位，如圖3所示。在監(jiān)測發(fā)現(xiàn)的因感染計(jì)算機(jī)惡意程序而形成的僵尸網(wǎng)絡(luò)中，規(guī)模在100臺主機(jī)以上的僵尸網(wǎng)絡(luò)數(shù)量達(dá)1,842個(gè)，規(guī)模在10萬臺以上的僵尸網(wǎng)絡(luò)數(shù)量達(dá)21個(gè)，如圖4所示。為有效控制計(jì)算機(jī)惡意程序感染主機(jī)引發(fā)的危害，2019年上半年，CNCERT組織基礎(chǔ)電信企業(yè)、域名服務(wù)機(jī)構(gòu)等成功關(guān)閉714個(gè)控制規(guī)模較大的僵尸網(wǎng)絡(luò)。

 

 

3. 移動互聯(lián)網(wǎng)惡意程序

2019年上半年，CNCERT通過自主捕獲和廠商交換獲得移動互聯(lián)網(wǎng)惡意程序數(shù)量103萬余個(gè)，同比減少27.2%。通過對惡意程序的惡意行為統(tǒng)計(jì)發(fā)現(xiàn)，排名前三的分別為資費(fèi)消耗類、流氓行為類和惡意扣費(fèi)類，占比分別為35.7%、27.1%和15.7%。為有效防范移動互聯(lián)網(wǎng)惡意程序的危害，嚴(yán)格控制移動互聯(lián)網(wǎng)惡意程序傳播途徑，連續(xù)7年以來，CNCERT聯(lián)合應(yīng)用商店、云平臺等服務(wù)平臺持續(xù)加強(qiáng)對移動互聯(lián)網(wǎng)惡意程序的發(fā)現(xiàn)和下架力度，以保障移動互聯(lián)網(wǎng)健康有序發(fā)展。2019年上半年，CNCERT累計(jì)協(xié)調(diào)國內(nèi)177家提供移動應(yīng)用程序下載服務(wù)的平臺，下架1,190個(gè)移動互聯(lián)網(wǎng)惡意程序。

近年來，新型網(wǎng)絡(luò)詐騙手法層出不窮，隨著移動互聯(lián)網(wǎng)和普惠金融的大力發(fā)展，出現(xiàn)了大量以移動端為入口騙取用戶個(gè)人隱私信息和賬戶資金的網(wǎng)絡(luò)詐騙活動。據(jù)CNCERT抽樣監(jiān)測，2019年上半年以來，我國以移動互聯(lián)網(wǎng)為載體的虛假貸款A(yù)PP或網(wǎng)站達(dá)1.5萬個(gè)，在此類虛假貸款A(yù)PP或網(wǎng)站上提交姓名、身份證照片、個(gè)人資產(chǎn)證明、銀行賬戶、地址等個(gè)人隱私信息的用戶數(shù)量超過90萬。大量受害用戶在詐騙平臺支付了上萬元的所謂“擔(dān)保費(fèi)”、“手續(xù)費(fèi)”費(fèi)用，經(jīng)濟(jì)利益受到實(shí)質(zhì)損害。

4. 聯(lián)網(wǎng)智能設(shè)備惡意程序

據(jù)CNCERT監(jiān)測發(fā)現(xiàn)，目前活躍在智能聯(lián)網(wǎng)設(shè)備上的惡意程序家族主要包括Mirai、Gafgyt、MrBlack、Tsunami、Reaper、Ddostf、Satori、TheMoon、StolenBots、VPNFilter、Cayosin等。這些惡意程序及其變種產(chǎn)生的主要危害包括用戶信息和設(shè)備數(shù)據(jù)泄露、硬件設(shè)備遭控制和破壞，被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網(wǎng)絡(luò)設(shè)備竊取用戶上網(wǎng)數(shù)據(jù)等。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2019年上半年，聯(lián)網(wǎng)智能設(shè)備惡意程序控制服務(wù)器IP地址約1.9萬個(gè)，同比上升11.2%;被控聯(lián)網(wǎng)智能設(shè)備IP地址約242萬個(gè)，其中位于我國境內(nèi)的IP地址近90萬個(gè)(占比37.1%)，同比下降12.9%;通過控制聯(lián)網(wǎng)智能設(shè)備發(fā)起DDoS攻擊次數(shù)日均約2,118起。

(二)安全漏洞

1. 安全漏洞收錄情況

2019年上半年，國家信息安全漏洞共享平臺(以下簡稱“CNVD”)收錄通用型安全漏洞5,859個(gè)，同比減少24.4%，其中高危漏洞收錄數(shù)量為2,055個(gè)(占35.1%)，同比減少21.2%，“零日”漏洞收錄數(shù)量為2,536個(gè)(占43.3%)，同比增長34.0%。安全漏洞主要涵蓋Google、Microsoft、Adobe、Cisco、IBM等廠商產(chǎn)品。按影響對象分類統(tǒng)計(jì)，收錄漏洞中應(yīng)用程序漏洞占56.2%，Web應(yīng)用漏洞占24.9%，操作系統(tǒng)漏洞占8.3%，網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)漏洞占7.6%，數(shù)據(jù)庫漏洞占1.8%，安全產(chǎn)品(如防火墻、入侵檢測系統(tǒng)等)漏洞占1.2%，如圖5所示。

 

 

2019年上半年，CNVD繼續(xù)推進(jìn)移動互聯(lián)網(wǎng)、電信行業(yè)、工業(yè)控制系統(tǒng)和電子政務(wù)4類子漏洞庫的建設(shè)工作，分別新增收錄安全漏洞數(shù)量384個(gè)(占收錄數(shù)量的6.6%)、323個(gè)(占5.5%)、158個(gè)(占2.7%)和87個(gè)(占1.5%)。

2. 聯(lián)網(wǎng)智能設(shè)備安全漏洞

2019年上半年，CNVD收錄的安全漏洞中關(guān)于聯(lián)網(wǎng)智能設(shè)備安全漏洞有1,223個(gè)，與2018年上半年基本持平。這些安全漏洞涉及的類型主要包括設(shè)備信息泄露、權(quán)限繞過、遠(yuǎn)程代碼執(zhí)行、弱口令等;涉及的設(shè)備類型主要包括家用路由器、網(wǎng)絡(luò)攝像頭等。

(三)拒絕服務(wù)攻擊

CNCERT抽樣監(jiān)測發(fā)現(xiàn)，2019年上半年我國境內(nèi)峰值超過10Gbps的大流量分布式拒絕服務(wù)攻擊(以下簡稱“DDoS攻擊”)事件數(shù)量平均每月約4,300起，同比增長18%，并且仍然是超過60%的DDoS攻擊事件為僵尸網(wǎng)絡(luò)控制發(fā)起。在DDoS攻擊資源分析方面，2019年上半年，CNCERT發(fā)現(xiàn)用于發(fā)起DDoS攻擊的C&C控制服務(wù)器②數(shù)量共1,612個(gè)，其中位于我國境內(nèi)的有144個(gè)，約占總量的8.9%，同比減少13%，位于境外的控制端數(shù)量同比增長超過一倍;總?cè)怆u③數(shù)量約64萬個(gè)，同比下降10%;反射攻擊服務(wù)器約617萬個(gè)，同比下降33%;受攻擊目標(biāo)IP地址數(shù)量約5.7萬余個(gè)，這些攻擊目標(biāo)主要分布在xxx、博彩等互聯(lián)網(wǎng)地下黑產(chǎn)方面以及文化體育和娛樂領(lǐng)域。

(四)網(wǎng)站安全

1. 網(wǎng)頁仿冒

2019年上半年，CNCERT自主監(jiān)測發(fā)現(xiàn)約4.6萬個(gè)針對我國境內(nèi)網(wǎng)站的仿冒頁面。為有效防范網(wǎng)頁仿冒引發(fā)的危害，CNCERT重點(diǎn)針對金融行業(yè)、電信行業(yè)網(wǎng)上營業(yè)廳的仿冒頁面進(jìn)行處置，共協(xié)調(diào)處置仿冒頁面1.2萬余個(gè)，同比減少35.2%。對這些已協(xié)調(diào)處置的仿冒頁面分析來看，承載仿冒頁面IP地址歸屬情況與近幾年來的情況一樣，主要分布在美國和中國香港，如圖6所示。

 

 

2. 網(wǎng)站后門

2019年上半年，CNCERT監(jiān)測發(fā)現(xiàn)境內(nèi)外約1.4萬個(gè)IP地址對我國境內(nèi)約2.6萬個(gè)網(wǎng)站植入后門，同比增長約1.2倍。其中，約有1.3萬個(gè)(占全部IP地址總數(shù)的91.2%)境外IP地址對境內(nèi)約2.3萬個(gè)網(wǎng)站植入后門，位于美國的IP地址最多，其次是位于中國香港和新加坡的IP地址，如圖7所示。從控制我國境內(nèi)網(wǎng)站總數(shù)來看，位于中國香港的IP地址控制我國境內(nèi)網(wǎng)站數(shù)量最多，有6,984個(gè)，其次是位于美國和菲律賓的IP地址，分別控制了我國境內(nèi)4,816個(gè)和2,509個(gè)網(wǎng)站。

 

 

3. 網(wǎng)頁篡改

2019年上半年，CNCERT監(jiān)測發(fā)現(xiàn)并協(xié)調(diào)處置我國境內(nèi)遭篡改的網(wǎng)站有近4萬個(gè)，其中被篡改的政府網(wǎng)站有222個(gè)。從境內(nèi)被篡改網(wǎng)頁的頂級域名分布來看，“.com”、“.net”和“.org”占比分列前三位，如圖8所示。

 

 

(五)云平臺安全

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，2019年上半年，發(fā)生在我國云平臺上的網(wǎng)絡(luò)安全事件或威脅情況相比2018年進(jìn)一步加劇。首先，發(fā)生在我國主流云平臺上的各類網(wǎng)絡(luò)安全事件數(shù)量占比仍然較高，其中云平臺上遭受DDoS攻擊次數(shù)占境內(nèi)目標(biāo)被攻擊次數(shù)的69.6%、被植入后門鏈接數(shù)量占境內(nèi)全部被植入后門鏈接數(shù)量的63.1%、被篡改網(wǎng)頁數(shù)量占境內(nèi)被篡改網(wǎng)頁數(shù)量的62.5%。其次，攻擊者經(jīng)常利用我國云平臺發(fā)起網(wǎng)絡(luò)攻擊，其中利用云平臺發(fā)起對我國境內(nèi)目標(biāo)的DDoS攻擊次數(shù)占監(jiān)測發(fā)現(xiàn)的DDoS攻擊總次數(shù)的78.8%、發(fā)起對境內(nèi)目標(biāo)DDoS攻擊的IP地址中來自我國境內(nèi)云平臺的IP地址占72.4%、承載的惡意程序種類數(shù)量占境內(nèi)互聯(lián)網(wǎng)上承載的惡意程序種類數(shù)量的71.2%、木馬和僵尸網(wǎng)絡(luò)惡意程序控制端IP地址數(shù)量占境內(nèi)全部惡意程序控制端IP地址數(shù)量的84.6%。另外，自2019年以來，CNCERT在持續(xù)開展的MongoDB、Elasticsearch等數(shù)據(jù)庫數(shù)據(jù)泄露風(fēng)險(xiǎn)應(yīng)急處置過程中，發(fā)現(xiàn)存在隱患的數(shù)據(jù)庫搭建在云服務(wù)商平臺上的數(shù)量占比超過40%。云服務(wù)商和云用戶應(yīng)加大對網(wǎng)絡(luò)安全的重視和投入，分工協(xié)作提升網(wǎng)絡(luò)安全防范能力。云服務(wù)商應(yīng)提供基礎(chǔ)性的網(wǎng)絡(luò)安全防護(hù)措施并保障云平臺安全運(yùn)行，全面提高云平臺的安全性和可控性，全面加強(qiáng)網(wǎng)絡(luò)安全事件監(jiān)測和處置能力。云用戶對部署在云平臺上的系統(tǒng)承擔(dān)主體責(zé)任，需全面落實(shí)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)要求。

(六)工業(yè)互聯(lián)網(wǎng)安全

1. 工業(yè)網(wǎng)絡(luò)產(chǎn)品安全檢測情況

電力安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要內(nèi)容之一，為調(diào)查我國電力二次設(shè)備的安全現(xiàn)狀，2019年上半年CNCERT繼續(xù)對國內(nèi)主流電力廠商的產(chǎn)品進(jìn)行安全摸底測試，電力設(shè)備供應(yīng)商在電網(wǎng)企業(yè)的引導(dǎo)下，已有一定安全意識，但設(shè)備整體網(wǎng)絡(luò)安全水平仍有待提高。截至目前，在涉及28個(gè)廠商、70余個(gè)型號的六大類產(chǎn)品(測控裝置、保護(hù)裝置、智能遠(yuǎn)動機(jī)、站控軟件、PMU、網(wǎng)絡(luò)安全態(tài)勢感知采集裝置，)中均發(fā)現(xiàn)了中、高危漏洞，可能產(chǎn)生的風(fēng)險(xiǎn)包括拒絕服務(wù)攻擊、遠(yuǎn)程命令執(zhí)行、信息泄露等。其中SISCO MMS協(xié)議④開發(fā)套件漏洞，幾乎影響到每一款支持MMS協(xié)議的電力裝置。

2. 聯(lián)網(wǎng)工業(yè)設(shè)備和工業(yè)云平臺暴露情況

2019年上半年，CNCERT進(jìn)一步加強(qiáng)了針對聯(lián)網(wǎng)工業(yè)設(shè)備和工業(yè)云平臺的網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)能力，累計(jì)監(jiān)測發(fā)現(xiàn)我國境內(nèi)暴露的聯(lián)網(wǎng)工業(yè)設(shè)備數(shù)量共計(jì)6,814個(gè)，包括可編程邏輯控制器、數(shù)據(jù)采集監(jiān)控服務(wù)器、串口服務(wù)器等，如圖9所示，涉及西門子、韋益可自控、羅克韋爾等37家國內(nèi)外知名廠商的50種設(shè)備類型。其中，存在高危漏洞隱患的設(shè)備占比約34%，這些設(shè)備的廠商、型號、版本、參數(shù)等信息長期遭惡意嗅探，僅在2019年上半年嗅探事件就高達(dá)5,151萬起。另外，CNCERT發(fā)現(xiàn)境內(nèi)具有一定用戶規(guī)模的大型工業(yè)云平臺40余家，業(yè)務(wù)涉及能源、金融、物流、智能制造、智慧城市、醫(yī)療健康等方面，并監(jiān)測到根云、航天云網(wǎng)、COSMOPlat、OneNET、OceanConnect等大型工業(yè)云平臺持續(xù)遭受漏洞利用、拒絕服務(wù)、暴力破解等網(wǎng)絡(luò)攻擊，工業(yè)云平臺已經(jīng)成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。

 

 

3. 重點(diǎn)行業(yè)安全情況

涉及國計(jì)民生的重點(diǎn)行業(yè)監(jiān)控管理系統(tǒng)因存在網(wǎng)絡(luò)配置疏漏等問題，可能會直接暴露在互聯(lián)網(wǎng)上，一旦遭受網(wǎng)絡(luò)攻擊，影響巨大。為評估重要行業(yè)聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)情況，2019年上半年CNCERT對水電和醫(yī)療健康兩個(gè)行業(yè)的聯(lián)網(wǎng)監(jiān)控或管理系統(tǒng)開展了網(wǎng)絡(luò)安全監(jiān)測與分析，發(fā)現(xiàn)水電行業(yè)暴露相關(guān)監(jiān)控管理系統(tǒng)139個(gè)，涉及生產(chǎn)管理和生產(chǎn)監(jiān)控2大類;醫(yī)療健康行業(yè)暴露相關(guān)數(shù)據(jù)管理系統(tǒng)709個(gè)，涉及醫(yī)學(xué)信息和基因檢測2大類，如圖10所示。同時(shí)，CNCERT監(jiān)測發(fā)現(xiàn)，在以上水電和健康醫(yī)療行業(yè)暴露的系統(tǒng)中，存在高危漏洞隱患的系統(tǒng)占比分別為25%和72%，且部分暴露的監(jiān)控或管理系統(tǒng)存在遭境外惡意嗅探、網(wǎng)絡(luò)攻擊情況。

 

 

(七)互聯(lián)網(wǎng)金融安全

為實(shí)現(xiàn)對我國互聯(lián)網(wǎng)金融平臺網(wǎng)絡(luò)安全總體態(tài)勢的宏觀監(jiān)測，CNCERT發(fā)揮技術(shù)優(yōu)勢，建設(shè)了國家互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)分析技術(shù)平臺網(wǎng)絡(luò)安全監(jiān)測功能，對我國互聯(lián)網(wǎng)金融相關(guān)網(wǎng)站、移動APP等的安全風(fēng)險(xiǎn)進(jìn)行監(jiān)測。

1. 互聯(lián)網(wǎng)金融網(wǎng)站安全情況

2019年上半年，CNCERT監(jiān)測發(fā)現(xiàn)互聯(lián)網(wǎng)金融網(wǎng)站的高危漏洞92個(gè)，其中SQL注入漏洞27個(gè)(占比29.3%);其次是遠(yuǎn)程代碼執(zhí)行漏洞20個(gè)(占比21.7%)和敏感信息泄漏漏洞16個(gè)(占比17.4%)，如圖11所示。近年來，隨著互聯(lián)網(wǎng)金融行業(yè)的發(fā)展，互聯(lián)網(wǎng)金融平臺運(yùn)營者的網(wǎng)絡(luò)安全意識有所提升，互聯(lián)網(wǎng)金融平臺的網(wǎng)絡(luò)安全防護(hù)能力有所加強(qiáng)，特別是規(guī)模較大的平臺，但仍有部分平臺安全防護(hù)能力不足，安全隱患較多。

 

 

2. 互聯(lián)網(wǎng)金融APP安全情況

在移動互聯(lián)網(wǎng)技術(shù)發(fā)展和應(yīng)用普及的背景下，用戶通過互聯(lián)網(wǎng)金融APP進(jìn)行投融資的活動愈加頻繁，絕大多數(shù)的互聯(lián)網(wǎng)金融平臺通過移動APP開展業(yè)務(wù)，且有部分平臺僅通過移動APP開展業(yè)務(wù)。2019年上半年，CNCERT對105款互聯(lián)網(wǎng)金融APP進(jìn)行檢測，發(fā)現(xiàn)安全漏洞505個(gè)，其中高危漏洞239個(gè)。在這些高危漏洞中，明文數(shù)據(jù)傳輸漏洞數(shù)量最多有59個(gè)(占高危漏洞數(shù)量的24.7%)，其次是網(wǎng)頁視圖(Webview)明文存儲密碼漏洞有58個(gè)(占24.3%)和源代碼反編譯漏洞有40個(gè)(占16.7%)，如圖12所示。這些安全漏洞可能威脅交易授權(quán)和數(shù)據(jù)保護(hù)，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，其中部分安全漏洞影響應(yīng)用程序的文件保護(hù)，不能有效阻止應(yīng)用程序被逆向或者反編譯，進(jìn)而使應(yīng)用暴露出多種安全風(fēng)險(xiǎn)。

 

 

二、2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況特點(diǎn)

(一)個(gè)人信息和重要數(shù)據(jù)泄露風(fēng)險(xiǎn)嚴(yán)峻

2019年初，在我國境內(nèi)大量使用的MongoDB、Elasticsearch數(shù)據(jù)庫相繼曝出存在嚴(yán)重安全漏洞，可能導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)，凸顯了我國數(shù)據(jù)安全問題嚴(yán)重。CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)互聯(lián)網(wǎng)上用于MongoDB數(shù)據(jù)庫服務(wù)的IP地址約2.5萬個(gè)，其中存在數(shù)據(jù)泄露風(fēng)險(xiǎn)的IP地址超過3,000個(gè)，涉及我國一些重要行業(yè)。Elasticsearch數(shù)據(jù)庫也曝出類似安全隱患。經(jīng)過分析，CNCERT發(fā)現(xiàn)這兩個(gè)數(shù)據(jù)庫均是在默認(rèn)情況下，無需權(quán)限驗(yàn)證即可通過默認(rèn)端口本地或遠(yuǎn)程訪問數(shù)據(jù)庫并進(jìn)行任意的增、刪、改、查等操作。在數(shù)據(jù)庫啟用連接公共互聯(lián)網(wǎng)前，用戶需做好相關(guān)安全設(shè)置以及數(shù)據(jù)庫訪問安全策略，才能有效避免數(shù)據(jù)泄露風(fēng)險(xiǎn)。

(二)多個(gè)高危漏洞曝出給我國網(wǎng)絡(luò)安全造成嚴(yán)重安全隱患

2019年以來，WinRAR壓縮包管理軟件、Microsoft遠(yuǎn)程桌面服務(wù)、Oracle WebLogic wls-9-async組件等曝出存在遠(yuǎn)程代碼執(zhí)行漏洞⑤，給我國網(wǎng)絡(luò)安全造成嚴(yán)重安全隱患。以O(shè)racle WebLogicwls-9-async組件存在反序列化遠(yuǎn)程命令執(zhí)行“零日”漏洞為例，該漏洞容易利用，攻擊者利用該漏洞可對目標(biāo)網(wǎng)站發(fā)起植入后門、網(wǎng)頁篡改等遠(yuǎn)程攻擊操作，對我國網(wǎng)絡(luò)安全構(gòu)成了較為嚴(yán)重的安全隱患。這些基礎(chǔ)軟件廣泛應(yīng)用在我國基礎(chǔ)應(yīng)用和通用軟硬件產(chǎn)品中，若未得到及時(shí)修復(fù)，容易遭批量利用，造成嚴(yán)重危害。同時(shí)，近年來“零日”漏洞收錄數(shù)量持續(xù)走高，在2019年上半年CNVD收錄的通用型安全漏洞數(shù)量中，“零日”漏洞收錄數(shù)量占比43.3%，同比增長34.0%，因這些漏洞在披露時(shí)尚未發(fā)布補(bǔ)丁或相應(yīng)的應(yīng)急策略，一旦被惡意利用，將可能產(chǎn)生嚴(yán)重安全威脅。針對安全漏洞可能產(chǎn)生的危害，CNVD持續(xù)加強(qiáng)對重大高危漏洞的應(yīng)急處置協(xié)調(diào)，2019年上半年通報(bào)安全漏洞事件萬余起。

(三)針對我國重要網(wǎng)站的DDoS攻擊事件高發(fā)

正像前期預(yù)測，2019年具有特殊目的針對性更強(qiáng)的網(wǎng)絡(luò)攻擊越來越多。2019年上半年，CNCERT監(jiān)測發(fā)現(xiàn)針對我國重要網(wǎng)站的CC攻擊事件高發(fā)。攻擊者利用公開代理服務(wù)器向目標(biāo)網(wǎng)站發(fā)起大量的訪問，訪問內(nèi)容包括不存在的頁面、網(wǎng)站大文件、動態(tài)頁面等，由此來繞過網(wǎng)站配置的CDN節(jié)點(diǎn)直接對網(wǎng)站源站進(jìn)行攻擊，達(dá)到了使用較少攻擊資源造成目標(biāo)網(wǎng)站訪問緩慢甚至癱瘓的目的。2019年上半年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)，針對我國境內(nèi)目標(biāo)的DDoS攻擊中，來自境外的DDoS攻擊方式以UDP Amplification FLOOD攻擊、TCP SYN FLOOD攻擊方式等為主，其中又以UDP Amplification FLOOD攻擊方式占比最高約75%。

(四)利用釣魚郵件發(fā)起有針對性的攻擊頻發(fā)

2019年上半年，CNCERT監(jiān)測發(fā)現(xiàn)惡意電子郵件數(shù)量超過5600萬封，涉及惡意郵件附件37萬余個(gè)，平均每個(gè)惡意電子郵件附件傳播次數(shù)約151次。釣魚郵件一般是攻擊者偽裝成同事、合作伙伴、朋友、家人等用戶信任的人，通過發(fā)送電子郵件的方式，誘使用戶回復(fù)郵件、點(diǎn)擊嵌入郵件正文的惡意鏈接或者打開郵件附件以植入木馬或間諜程序，進(jìn)而竊取用戶敏感數(shù)據(jù)、個(gè)人銀行賬戶和密碼等信息，或者在設(shè)備上執(zhí)行惡意代碼實(shí)施進(jìn)一步的網(wǎng)絡(luò)攻擊活動，因欺騙迷惑性很強(qiáng)，用戶稍不謹(jǐn)慎就很容易上當(dāng)。其中，對通過釣魚郵件竊取郵箱賬號密碼情況進(jìn)行分析，CNCERT監(jiān)測發(fā)現(xiàn)我國平均每月約數(shù)萬個(gè)電子郵箱賬號密碼被攻擊者竊取，攻擊者通過控制這些電子郵件對外發(fā)起攻擊。例如2019年初，某經(jīng)濟(jì)黑客組織利用我國數(shù)百個(gè)電子郵箱對其他國家的商業(yè)和金融機(jī)構(gòu)發(fā)起釣魚攻擊。

三、2019年上半年網(wǎng)絡(luò)安全威脅治理工作開展情況

2019年上半年，CNCERT協(xié)調(diào)處置網(wǎng)絡(luò)安全事件約4.9萬起，同比減少7.7%，其中安全漏洞事件最多，其次是惡意程序、網(wǎng)頁仿冒、網(wǎng)站后門、網(wǎng)頁篡改、DDoS攻擊等事件。此外，2019年以來，我國有關(guān)部門針對移動應(yīng)用違法違規(guī)收集使用個(gè)人信息、互聯(lián)網(wǎng)網(wǎng)站安全等開展專項(xiàng)治理工作，以規(guī)范市場秩序、維護(hù)我國網(wǎng)絡(luò)安全。

(一)我國網(wǎng)絡(luò)安全治理的頂層設(shè)計(jì)逐步完善

近年來，我國用戶個(gè)人信息和重要數(shù)據(jù)保護(hù)工作受到廣泛關(guān)注，我國正在抓緊推進(jìn)數(shù)據(jù)保護(hù)方面的規(guī)章制度、標(biāo)準(zhǔn)等的制定工作。2019年以來，國家互聯(lián)網(wǎng)信息辦公室會同各行業(yè)主管部門研究起草了《數(shù)據(jù)安全管理辦法(征求意見稿)》、《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》、《個(gè)人信息出境安全評估辦法(征求意見稿)》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定(征求意見稿)》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法(征求意見稿)》，并面向社會公開征求意見。此外，為規(guī)范網(wǎng)絡(luò)安全漏洞報(bào)告和信息發(fā)布等行為，保證網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)的漏洞得到及時(shí)修補(bǔ)，提高網(wǎng)絡(luò)安全防護(hù)水平，工業(yè)和信息化部會同有關(guān)部門起草了規(guī)范性文件《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》，正在向社會公開征求意見。

(二)移動APP違規(guī)收集個(gè)人信息治理專項(xiàng)

隨著移動互聯(lián)網(wǎng)技術(shù)的快速發(fā)展和應(yīng)用，移動互聯(lián)網(wǎng)終端應(yīng)用已成為互聯(lián)網(wǎng)用戶上網(wǎng)的首要入口和互聯(lián)網(wǎng)信息服務(wù)的主要形式。根據(jù)統(tǒng)計(jì)，我國境內(nèi)應(yīng)用商店數(shù)量已超過200家，上架應(yīng)用近500萬款，下載總量超過萬億次，發(fā)展勢頭迅猛。與此同時(shí)，移動APP強(qiáng)制授權(quán)、過度索權(quán)、超范圍收集個(gè)人信息的現(xiàn)象大量存在，違法違規(guī)使用個(gè)人信息的問題十分突出，廣大網(wǎng)民對此反應(yīng)強(qiáng)烈。CNCERT監(jiān)測分析發(fā)現(xiàn)，在目前下載量較大的千余款移動APP中，每款應(yīng)用平均申請25項(xiàng)權(quán)限，其中申請了與業(yè)務(wù)無關(guān)的撥打電話權(quán)限的APP數(shù)量占比超過30%;每款應(yīng)用平均收集20項(xiàng)個(gè)人信息和設(shè)備信息，包括社交、出行、招聘、辦公、影音等;大量APP存在探測其他APP或讀寫用戶設(shè)備文件等異常行為，對用戶的個(gè)人信息安全造成潛在安全威脅。為保障個(gè)人信息安全，維護(hù)廣大網(wǎng)民合法權(quán)益，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局決定，2019年在全國范圍組織開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理，組織開展移動應(yīng)用專項(xiàng)評估。專項(xiàng)治理工作啟動以來，多項(xiàng)成果文件向社會發(fā)布，包括《百款常用APP強(qiáng)制開啟權(quán)限情況通報(bào)》、《網(wǎng)絡(luò)安全實(shí)踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定辦法》等，有效指導(dǎo)APP運(yùn)營者加強(qiáng)個(gè)人信息保護(hù)，規(guī)范市場秩序。

(三)互聯(lián)網(wǎng)網(wǎng)站安全整治專項(xiàng)

2019年5月至12月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門聯(lián)合開展全國范圍的互聯(lián)網(wǎng)網(wǎng)絡(luò)安全專項(xiàng)整治工作。專項(xiàng)整治工作將對未備案或備案信息不準(zhǔn)確的網(wǎng)站進(jìn)行清理，對攻擊網(wǎng)站的違法犯罪行為進(jìn)行嚴(yán)厲打擊，對違法違規(guī)網(wǎng)站進(jìn)行處罰和公開曝光。此次專項(xiàng)整治的一大特點(diǎn)是將加大對未履行網(wǎng)絡(luò)安全義務(wù)、發(fā)生事件的網(wǎng)站運(yùn)營者的處罰力度，督促其切實(shí)落實(shí)安全防護(hù)責(zé)任，加強(qiáng)網(wǎng)站安全管理和維護(hù)。專項(xiàng)整治期間，中央網(wǎng)信辦將加強(qiáng)統(tǒng)籌協(xié)調(diào)，指導(dǎo)有關(guān)部門做好信息共享、協(xié)同配合，堅(jiān)持依法依規(guī)，堅(jiān)持防攝并舉，促使網(wǎng)站運(yùn)營者網(wǎng)絡(luò)安全意識和防護(hù)能力有效提升，實(shí)現(xiàn)網(wǎng)站安全形勢取得明顯改觀。截至2019年6月，互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動期間，共享網(wǎng)站安全事件511起，其中網(wǎng)頁篡改事件占比最高達(dá)89.2%。

(四)DDoS攻擊團(tuán)伙治理工作

2019年以來，CNCERT持續(xù)開展DDoS攻擊團(tuán)伙的追蹤和治理工作，截至目前，2018年活躍的較大規(guī)模DDoS攻擊團(tuán)伙⑥大部分已不再活躍，但有5個(gè)攻擊團(tuán)伙通過不斷變換資源持續(xù)活躍。其中最活躍的攻擊團(tuán)伙主要使用XorDDoS僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊，慣常使用包含特定字符串的惡意域名對僵尸網(wǎng)絡(luò)進(jìn)行控制，對游戲私服、xxx、賭博等相關(guān)的服務(wù)器發(fā)起攻擊。分析發(fā)現(xiàn)，惡意域名大多在境外域名注冊商注冊，并通過不斷變換控制端IP地址，持續(xù)活躍對外發(fā)起大量攻擊。 2019年上半年，我國迎來了5G商用牌照正式發(fā)放，我國互聯(lián)網(wǎng)的發(fā)展又進(jìn)入了一個(gè)新時(shí)期。5G技術(shù)將加速更多行業(yè)的數(shù)字化轉(zhuǎn)型，拓展大市場，帶來新機(jī)遇，有力支撐數(shù)字經(jīng)濟(jì)蓬勃發(fā)展。與此同時(shí)，也預(yù)示互聯(lián)網(wǎng)上承載的

信息將更為豐富，物聯(lián)網(wǎng)將大規(guī)模發(fā)展。但用戶個(gè)人信息和重要數(shù)據(jù)泄露風(fēng)險(xiǎn)嚴(yán)峻、有針對性的攻擊行動頻發(fā)等情況，嚴(yán)重威脅我國網(wǎng)絡(luò)空間安全。預(yù)計(jì)在2019年下半年，保護(hù)用戶個(gè)人信息和重要數(shù)據(jù)安全、有效治理和防范網(wǎng)絡(luò)攻擊、全面研究新技術(shù)新業(yè)務(wù)應(yīng)用帶來的安全風(fēng)險(xiǎn)等方面仍然是我們要重點(diǎn)關(guān)注的方向。

點(diǎn)擊下載《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》

報(bào)告中的腳注：

①“零日”漏洞是指CNVD收錄該漏洞時(shí)還未公布補(bǔ)丁。

②C&C控制服務(wù)器：全稱為Command and Control Server，即“命令及控制服務(wù)器”，目標(biāo)機(jī)器可以接收來自服務(wù)器的命令，從而達(dá)到服務(wù)器控制目標(biāo)機(jī)器的目的。

③ 肉雞：接收來自C&C控制服務(wù)器指令，對外發(fā)出大量流量的被控聯(lián)網(wǎng)設(shè)備。

④ 制造報(bào)文規(guī)范(MMS)協(xié)議是ISO 9506標(biāo)準(zhǔn)所定義的一套用于工業(yè)控制系統(tǒng)的通信協(xié)議，目的是為了規(guī)范工業(yè)領(lǐng)域具有通信能力的智能傳感器、智能電子設(shè)備、智能控制設(shè)備的通信行為，使系統(tǒng)集成變得簡單、方便。

⑤ 對應(yīng)的CNVD編號：WinRAR系列任意代碼執(zhí)行漏洞(CNVD-2019-04911、CNVD-2019-04912、CNVD-2019-04913與CNVD-2019-04910)，Microsoft遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2019-14264)，Oracle WebLogic wls9-async反序列化遠(yuǎn)程命令執(zhí)行漏洞(CNVD-C-2019-48814)。

⑥ CNCERT發(fā)布的《2018 年活躍DDoS攻擊團(tuán)伙分析報(bào)告》

標(biāo)簽： 網(wǎng)絡(luò)安全 數(shù)據(jù)泄露事件

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。