1/612010年网络安全状况综述1.1总体状况当前,互联网在我国政治、经济、文化以及社会生活中发挥着愈来愈重要的作用,作为国家关键基础设施和新的生产、生活工具,互联网的发展极大地促进了信息流通和共享,提高了社会生产效率和人民生活水平,促进了经济社会的发展。互联网的影响日益扩大、地位日益提升,维护网络安全工作的重要性日益突出。回顾2010年,在政府相关部门、互联网服务企业、网络安全企业和网民的共同努力下,我国互联网网络安全状况总体平稳,但互联网所面临的安全威胁呈现出一些新的特点和趋势。本综述将从基础网络安全、重要联网信息系统安全、公共网络环境安全和国际网络安全动向等方面分析归纳2010年的互联网网络安全态势。一、基础网络安全2010年,基础网络运行总体平稳。互联网骨干网各项监测指标正常,未发生重大网络安全事件。但不容忽视的是,域名系统仍然是互联网安全的薄弱环节。2010年1月12日,由于在境外注册的域名信息被篡改,百度网站发生近4小时的访问故障,引起网民广泛关注。9月10日,安徽电信公共域名服务器(DNS)遭受网络攻击,省内互联网用户上网受到一定影响。此外,2010年还多次发生针对新网、万网等域名注册服务机构的网络攻击事件,对域名注册和解析服务造成影响。二、重要联网信息系统安全(一)政府网站安全防护薄弱。据国家互联网应急中心监测,2010年中国大陆有近3.5万个网站被黑客篡改,数量较2009年下降21.5%,但其中被篡改的政府网站高达4635个,比2009年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。(二)金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标。网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼1的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和1网络钓鱼是通过构造与某一目标网站高度相似的页面(俗称钓鱼网站),并通常以垃圾邮件、即时聊天、2/6交易,窃取用户账号密码、造成用户经济损失。2010年,国家互联网应急中心共接收网络钓鱼事件举报1597件,较2009年增长33.1%;“中国反钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%。(三)工业控制系统安全面临严峻挑战。2010年9月,伊朗布什尔核电站遭到Stuxnet病毒攻击,导致核电设施推迟启用。Stuxnet病毒是一种蠕虫病毒,利用Windows系统漏洞和移动存储介质传播,专门攻击西门子工业控制系统。业界普遍认为,这是第一次从虚拟信息世界对现实物理世界的网络攻击。工业控制系统在我国应用十分广泛,工业控制系统安全值得高度关注。三、公共网络环境安全(一)木马和僵尸网络依然对网络安全构成直接威胁。2010年,由于扩大了监测范围2,国家互联网应急中心全年共发现近500万个境内主机IP地址感染了木马和僵尸程序,较2009年大幅增加。2010年,在工业和信息化部的指导下,国家互联网应急中心会同基础电信运营企业、域名从业机构持续开展木马和僵尸网络专项打击行动,成功处置境内外5384个规模较大的木马和僵尸网络控制端和恶意代码传播源。监测结果显示,相对2009年数据,远程控制类木马和僵尸网络的受控主机数量下降了25%,治理工作取得一定成效。然而,黑客也在不断提高技术对抗能力。根据工业和信息化部互联网网络安全信息通报成员单位报告,2010年截获的恶意代码样本数量特别是木马样本数量,较2009年明显增加,木马和僵尸网络治理工作任重道远。(二)手机恶意代码日益泛滥引起社会关注。随着移动互联网智能终端的普及,手机恶意代码开始出现并快速蔓延。不法分子利用手机恶意代码窃取用户隐私信息、恶意订购各类增值业务或发送大量垃圾短信,危害用户利益和网络安全。据“中国互联网协会反网络病毒联盟(ANVA)”的监测数据,2010年新截获手机恶意代码1600余个,累计感染智能终端800万部以上。其中,“毒媒”木马全年累计感染约200万多个用户手机,“手机骷髅”病毒累计感染83万余个用户手机。另外,从手机平台来看,Symbian平台是手机恶意程序感染的重点对象,约有69%的恶意程序针对该平台手机,其次分别是J2ME平台(27%)和Android平台(3%)。手机恶意代码增长速度快、传播范围广、造成危害大,移动互联网网络环境治理工作亟待加强。(三)软件漏洞是信息系统安全的重大隐患。网络设备、服务器系统、操作手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问钓鱼网站,以获取用户个人秘密信息(如银行帐号和帐户密码)。2CNCERT根据木马和僵尸网络的发展情况,不断调整监测范围,新增了下载者木马、窃密木马、盗号木马、流量劫持木马、部分新型远程控制木马等木马监测类型。3/6系统、数据库软件、应用软件乃至安全防护产品普遍存在安全漏洞,高危漏洞会带来严重的安全隐患。2010年,国家互联网应急中心发起成立的“国家信息安全漏洞共享平台(CNVD)”共收集整理信息安全漏洞3447个,其中高危漏洞649个(占18.8%)。典型的高危漏洞有:论坛建站软件Discuz!高危漏洞、MySQLyaSSL库证书解析远程溢出漏洞、MicrosoftIE对象重用远程攻击漏洞、MicrosoftWindows快捷方式‘LNK’文件自动执行漏洞、IBM公司LotusDomino/Notes群件平台密码散列泄露漏洞、工业自动化控制软件KingView6.5.3缓存区溢出漏洞等。CNVD2010年收集整理的漏洞中,应用程序漏洞占62%,操作系统漏洞占16%,WEB应用漏洞占9%,分列前3位。(四)DDoS攻击危害网络安全。2010年,分布式拒绝服务(DDoS)攻击呈现转嫁攻击3和大流量攻击的特点。2010年,某些政府网站的流量异常事件以及腾讯业务系统多次遭受攻击事件,都是缘于游戏私服4网站在遭到攻击后将其网站域名恶意指向上述系统所致。另一方面,DDoS攻击流量越来越大,如针对“456游戏”网站的攻击流量峰值甚至超过100Gbps,对公共互联网的安全运行造成较大冲击。由于攻击源多采用虚假源IP地址,对攻击行为的溯源和应急处置工作面临很大困难。(五)我国垃圾邮件治理成效显著。在互联网行业的共同努力下,过去一年中,源于中国的垃圾邮件数量呈稳步下降之势。据英国网络安全公司Sophos2010年第1季度监测报告显示,源于中国的垃圾邮件数量仅占全球垃圾邮件总量的1.9%,排名从2009年第4季度的第7位大幅下降至第15位;2010年后3个季度的Sophos报告显示,我国已不在全球垃圾邮件源发大国之列。(六)互联网应用层服务的市场监管和用户隐私保护工作亟待加强。2010年,发生了以“3Q大战”5为代表的多起终端安全软件与互联网应用服务之间的商业争端,以及终端安全软件之间的商业争端,反映出互联网应用层服务的市场竞争失序,用户隐私保护立法工作亟待加强,社会各界要求加强管理的呼声强烈。四、国际网络安全动向(一)网络安全事件的跨境化特点日益突出。2010年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵3转嫁攻击是指某些网站在受到攻击后,通过修改域名指向等方式,将攻击流量嫁祸给第三方网站从而危害第三方网站安全的行为。4游戏私服是指未经网络游戏制作商的法定许可,私自存在并运营的游戏服务器,其目的是向玩家收费而获利。5“3Q大战”是指,2011年11月两大互联网增值服务商——奇虎360公司和腾讯公司借安全名义发生争端,最终发展到各自在互联网终端软件采取互斥技术,导致双方大量用户使用受到影响。4/6尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。2010年国家互联网应急中心协调境外网络安全组织和域名机构处理多起针对境内的恶意扫描、网络钓鱼等网络安全事件,得到美国、韩国、澳大利亚等国应急组织和“国际反网络钓鱼联盟”等组织的配合。总体上看,跨境网络安全事件呈现快速增长趋势,国际网络安全合作需进一步加强。(二)发达国家政府普遍加强网络安全管理。美国政府出台《加强网络安全法案》等相关网络安全法律文件,推进网络安全立法;推出“完美公民”计划,拟建全美联网监控体系对抗网络犯罪。欧盟正式发布《欧洲数字化议程》五年规划,提出增强网络安全相关举措。瑞典政府拟设国家信息技术安全中心,以应对网络攻击及处理信息技术案件。日本政府批准制定“保护国民信息安全战略”,加大监管力度,构筑安全网络社会。新加坡信息通信发展管理局通过制定新准则、加强信息分析能力以及提高公民网络安全意识加强新加坡网络安全。澳大利亚启动国家计算机应急响应官方机构CERTAustralia,支持政府打击网络犯罪和网络恐怖主义威胁。部分发达国家加强网络攻防建设。继美军方成立网络司令部、白宫设立网络安全专员之后,美国国土安全部与国防部签署网络安全合作协议,还依托北约集团打造网络战联盟,并连续举行三次“网络风暴”演习。2010年11月,欧盟举行了由欧盟成员国和冰岛、挪威、瑞士3个非成员国参加的“欧洲2010网络”演练。1.2数据导读多年来,国家互联网应急中心对我国网络安全宏观状况进行了持续监测,以下是2010年抽样监测获得的主要数据分析结果。木马与僵尸网络监测2010年木马控制服务器IP总数为479626个,较2009年下降21.3%。其中,境内木马控制服务器IP数量为258623个,较2009年下降41.9%;境外木马控制服务器IP数量为221003个,较2009年增长34.1%。2010年木马受控主机IP总数为10317169个,较2009年大幅增长274.9%。其中,境内木马受控主机IP数量为4514312个,较2009年大幅增长1620.3%;境外木马受控主机IP数量为5802857个,较2009年增长133.1%。木马受控主机IP数量的大幅增长主要是由于自20105/6年6月起,国家互联网应急中心的监测范围新增了下载者木马、窃密木马、盗号木马、流量劫持木马、部分新型远程控制木马等。2010年僵尸网络控制服务器IP总数为13782个,较2009年下降39.6%。其中,境内僵尸网络控制服务器IP数量为7251个,较2009年增加72.9%;境外僵尸网络控制服务器IP数量为6531个,较2009年下降65.0%。2010年僵尸网络受控主机IP总数为5622023个,较2009年下降52.8%。其中,境内僵尸网络受控主机IP数量为470120个,较2009年下降43.9%;境外僵尸网络受控主机IP数量为5151903个,较2009年下降53.4%。“飞客”蠕虫监测仅12月一个月的监测就发现全球互联网已经有超过6000万个主机IP感染“飞客”蠕虫,其中,境内感染“飞客”蠕虫的主机IP有超过900万个。移动互联网安全监测在手机恶意代码的监测方面,全国感染“毒媒”的用户达200万余个,感染“手机骷髅”的用户达83万余个,感染“FC.MapUp.A”的用户达21万余个,感染“Boothelper.A”的用户达1431个。网站安全监测情况2010年境内被篡改网站数量为34845个,较2009年下降17.1%。2010年境内被篡改政府网站(gov.cn域名网站)数量为4635个,与2009年相比增加67.6%。2010年被篡改的政府网站占整个境内被篡改网站总数的13.30%。在国家互联网应急中心监测的政府网站列表中,2010年被篡改的政府网站比例达到10.3%,即全国有十分之一的政府