中国互联网网络安全报告

中国互联网网络安全报告(2008年上半年)•来源于:国家计算机网络应急技术处理协调中心(英文简称CNCERT/CC或CNCERT)•网络安全总体状况分析•网页篡改事件•木马和僵尸网络•安全漏洞•网络仿冒事件情况分析•恶意代码捕获及分析情况•网络安全形势严峻的原因一.网络安全总体状况分析网络安全总体状况分析•网络攻击的频次、种类和复杂性均比往年大幅增加，遭入侵和受控计算机数量巨大，潜在威胁和攻击力继续增长•各种网络安全事件数量与2007年上半年同期相比有较为显著的增加•垃圾邮件事件和网页恶意代码事件增长较快，网页恶意代码同比增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长，同比增长分别23.7%和38%，其中涉及国内政府机构和重要信息系统部门的网页篡改事件、涉及国内外商业机构的网络仿冒事件是2008年上半年事件监测和处置的重点。二.网页篡改事件•网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势•现象：2008年上半年我国大陆地区被篡改的.gov.cn网站数量比往年同期增加41%，占被篡改网站总数的比例达到7%，而gov.cn域名仅占.cn域名总数的2.3%•TIP:7%vs2.3%,平均算下来每个政府网站会被篡改3次•原因：政府网站整体安全水平较低，往往是黑客攻击的重要目标•政府网站易被篡改的主要原因是网站整体安全性差，缺乏必要的经常性维护，某些政府网站被篡改后长期无人过问，还有些网站虽然在接到报告后能够恢复，但并没有根除安全隐患，从而遭到多次篡改。三.木马和僵尸网络•我国大陆地区感染木马和僵尸网络的主机数量巨大•木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制程序•僵尸网络是指由黑客通过控制服务器间接并集中控制的僵尸程序感染计算机群。僵尸程序一般是由攻击者专门编写的类似木马的控制程序，通过网络病毒等多种方式传播出去。由于受控计算机数目很大，攻击者可利用僵尸网络实施信息窃取、垃圾邮件、网络仿冒、拒绝服务攻击等各种恶意活动，成为当前互联网安全的最大威胁•比较来看，木马和僵尸网络虽然在控制方式和攻击的针对性、灵活性以及规模上有所区别，但是两者都是非常有效的远程监听和控制手段，尤其是在失窃密方面对国家安全造成了严重危害，因此国家互联网应急中心(CNCERT)对此两类事件进行了重点监测•国家互联网应急中心(CNCERT)在2008年上半年抽样监测到，境内外控制者利用木马控制端对主机进行控制的事件中，木马控制端IP地址总数为280068个，被控制端IP地址总数为1485868个•2008年上半年，国家互联网应急中心(CNCERT)通过技术手段发现并跟踪的僵尸网络中，基于IRC协议的僵尸网络所用控制端口的分布情况如下图所示。其中，端口6667、1863和8080等是僵尸网络最常用的控制端口。•原因：造成木马和僵尸网络产生和扩散的一大途径是恶意代码的肆虐传播，其中，与网络游戏相关的恶意代码，恶意代码下载器及灰鸽子家族系列的恶意程序最为突出，对终端用户的威胁也更大四.安全漏洞•信息系统软件的安全漏洞仍是各种安全威胁的主要根源，但层出不穷的应用软件安全漏洞的威胁也越来越大•国家互联网应急中心(CNCERT)对于漏洞发布予以高度重视，2008年上半年共整理发布与我国用户密切相关的漏洞公告40个，其中对大规模SQLInjection事件的处理收效显著•什么是SQLInjection？五.互联网业务流量监测分析•根据国家互联网应急中心(CNCERT)在2008年上半年对互联网业务流量的抽样统计，在TCP协议中，占用带宽最多的网络应用有四类：Web浏览、P2P下载、电子邮件和即时聊天工具。•小部分漏洞直接威胁到互联网基础设施的运行安全，大部分漏洞则严重威胁广大互联网用户的信息系统，如：Realplay播放器漏洞、联众世界漏洞、暴风影音漏洞等。•UDP协议中当前最占用带宽的是各类P2P软件下载端口，迅雷、eMule、BT等P2P软件占用较大带宽。六.网络仿冒事件情况分析•2008年上半年国家互联网应急中心(CNCERT)共接到网络仿冒事件报告645件，成功处理了237件。被仿冒的网站大都是国外的著名金融交易机构。•被仿冒次数居前5名的网站：eBay(美国网上交易站点)120hsbc(汇丰银行)118Paypal(美国网上支付站点)82wachovia(美联银行)19yahoo(美国门户网站)14七.恶意代码捕获及分析情况•国家互联网应急中心(CNCERT)从2006年开始陆续在全国部署Matrix蜜网系统。•通过对Matrix系统捕获的恶意代码样本分析，可以掌握目前我国互联网上主动式恶意代码的传播和利用情况。•2008年1月到6月，共捕获恶意代码样本总数899607次，平均每天捕获4942次•下图给出了每日的样本捕获趋势•2008年1月1日至6月30日期间，蜜网捕获的恶意代码样本中捕获次数位于前十位的恶意代码如下表所示：•分布式蜜网捕获次数前十名的恶意代码八.网络安全形势严峻的原因•当前网络安全形势严峻的原因主要有以下几个：•一是由于近年来中国互联网持续快速发展，我国网民数量、宽带用户数量、.cn域名数量都已经跃居全球第一位，而我国网络安全基础设施建设、民众的网络安全意识培养还跟不上互联网发展的步伐，庞大的用户群、信息系统群加之粗放式网络安全管理埋下了安全隐患；•二是随着技术的不断提高，攻击工具日益专业化、易用化，攻击方法也越来越复杂、隐蔽，防护难度较大；•三是互联网业务与现实社会中诸如货币、交易、讯息交互等活动不断融合，为网络世界的虚拟要素附加了实际价值，越来越多的承载这类业务的信息系统成为黑客攻击的目标