CNCERT2018年我国互联网网络安全态势报告2019437页

2018年我国互联网网络安全态势综述国家计算机网络应急技术处理协调中心2019年4月1目录一、2018年我国互联网网络安全状况...................................1（一）我国网络安全法律法规政策保障体系逐步健全................2（二）我国互联网网络安全威胁治理取得新成效....................2（三）勒索软件对重要行业关键信息基础设施威胁加剧..............3（四）越来越多的APT攻击行为被披露............................4（五）云平台成为发生网络攻击的重灾区..........................5（六）拒绝服务攻击频次下降但峰值流量持续攀升..................6（七）针对工业控制系统的定向性攻击趋势明显....................6（八）虚假和仿冒移动应用增多且成为网络诈骗新渠道..............7（九）数据安全问题引起前所未有的关注..........................8二、2019年网络安全趋势预测.........................................9（一）有特殊目的针对性更强的网络攻击越来越多..................9（二）国家关键信息基础设施保护受到普遍关注....................9（三）个人信息和重要数据泄露危害更加严重.....................10（四）5G、IPv6等新技术广泛应用带来的安全问题值得关注.........10附录：2018年我国互联网网络安全监测数据分析........................12一、恶意程序.................................................12（一）计算机恶意程序捕获情况............................12（二）计算机恶意程序用户感染情况........................13（三）移动互联网恶意程序................................15（四）联网智能设备恶意程序..............................17二、安全漏洞.................................................18（一）安全漏洞收录情况..................................18（二）联网智能设备安全漏洞..............................21三、拒绝服务攻击.............................................22（一）攻击资源情况......................................22（二）攻击团伙情况......................................222四、网站安全.................................................23（一）网页仿冒..........................................24（二）网站后门..........................................25（三）网页篡改..........................................27五、工业互联网安全...........................................28（一）工业网络产品安全检测情况..........................28(二)联网工业设备和工业云平台暴露情况...................29(三)重点行业远程巡检情况...............................30六、互联网金融安全...........................................31（一）互联网金融网站安全情况............................32（二）互联网金融APP安全情况............................32（三）区块链系统安全情况................................331当前，网络安全威胁日益突出，网络安全风险不断向政治、经济、文化、社会、生态、国防等领域传导渗透，各国加强网络安全监管，持续出台网络安全政策法规。2018年，在中央网络安全和信息化委员会（原“中央网络安全和信息化领导小组”）的统一领导下，我国进一步加强网络安全和信息化管理工作，各行业主管部门协同推进网络安全治理。国家互联网应急中心（以下简称“CNCERT”）持续加强我国互联网网络安全监测，开展我国互联网宏观网络安全态势评估，网络安全事件监测、协调处臵和预警通报工作，取得了显著成效。CNCERT依托我国宏观安全监测数据，结合网络安全威胁治理实践成果，在本报告中重点对2018年我国互联网网络安全状况进行了分析和总结，并对2019年的网络安全趋势进行预测。一、2018年我国互联网网络安全状况2018年，我国进一步健全网络安全法律体系，完善网络安全管理体制机制，持续加强公共互联网网络安全监测和治理，构建互联网发展安全基础，构筑网民安全上网环境，特别是在党政机关和重要行业方面，网络安全应急响应能力不断提升，恶意程序感染、网页篡改、网站后门等传统的安全问题得到有效控制。全年未发生大规模病毒爆发、大规模网络瘫痪的重大事件，但关键信息基础设施、云平台等面临的安全风险仍较为突出，APT攻击、数据泄露、分布式拒绝服2务攻击（以下简称“DDoS攻击”）等问题也较为严重。（一）我国网络安全法律法规政策保障体系逐步健全自我国《网络安全法》于2017年6月1日正式实施以来，我国网络安全相关法律法规及配套制度逐步健全，逐渐形成综合法律、监管规定、行业与技术标准的综合化、规范化体系，我国网络安全工作法律保障体系不断完善，网络安全执法力度持续加强。2018年，全国人大常委会发布《十三届全国人大常委会立法规划》，包含个人信息保护、数据安全、密码等方面。党中央、国务院各部门相继发力，网络安全方面法规、规章、司法解释等陆续发布或实施。《网络安全等级保护条例》已向社会公开征求意见，《公安机关互联网安全监督检查规定》、《关于加强跨境金融网络与信息服务管理的通知》、《区块链信息服务管理规定》、《关于加强政府网站域名管理的通知》等加强网络安全执法或强化相关领域网络安全的文件发布。（二）我国互联网网络安全威胁治理取得新成效我国互联网网络安全环境经过多年的持续治理效果显著，网络安全环境得到明显改善。特别是党中央加强了对网络安全和信息化工作的统一领导，党政机关和重要行业加强网络安全防护措施，针对党政机关和重要行业的木马僵尸恶意程序、网站安全、安全漏洞等传统网络安全事件大幅减少。2018年，CNCERT协调处臵网络安全事件约10.6万起，其中3网页仿冒事件最多，其次是安全漏洞、恶意程序、网页篡改、网站后门、DDoS攻击等事件。CNCERT持续组织开展计算机恶意程序常态化打击工作，2018年成功关闭772个控制规模较大的僵尸网络，成功切断了黑客对境内约390万台感染主机的控制。据抽样监测，在政府网站安全方面，遭植入后门的我国政府网站数量平均减少了46.5%，遭篡改网站数量平均减少了16.4%，显示我国政府网站的安全情况有所好转。在主管部门指导下，CNCERT联合基础电信企业、云服务商等持续开展DDoS攻击资源专项治理工作，从源头上遏制了DDoS攻击行为，有效降低了来自我国境内的攻击流量。据CNCERT抽样监测，2018年境内发起DDoS攻击的活跃控制端数量同比下降46%、被控端数量同比下降37%；境内反射服务器、跨域伪造流量来源路由器、本地伪造流量来源路由器等可利用的攻击资源消亡速度加快、新增率降低①。根据外部报告，我国境内僵尸网络控制端数量在全球的排名从前三名降至第十名②，DDoS活跃反射源下降了60%③。（三）勒索软件对重要行业关键信息基础设施威胁加剧2018年勒索软件攻击事件频发，变种数量不断攀升，给个人用户和企业用户带来严重损失。2018年，CNCERT捕获勒索软件近14万个，全年总体呈现增长趋势，特别在下半①CNCERT发布的《2018年我国DDoS攻击资源分析报告》②相关数据来源于卡巴斯基公司《DDoSAttacksinQ42018》③相关数据来源于中国电信云堤、绿盟科技联合发布的《2018DDoS攻击态势报告》4年，伴随“勒索软件即服务”产业的兴起，活跃勒索软件数量呈现快速增长势头，且更新频率和威胁广度都大幅度增加，例如勒索软件GandCrab全年出现了约19个版本，一直快速更新迭代。勒索软件传播手段多样，利用影响范围广的漏洞进行快速传播是当前主要方式之一，例如勒索软件Lucky通过综合利用弱口令漏洞、WindowSMB漏洞、ApacheStruts2漏洞、JBoss漏洞、Weblogic漏洞等进行快速攻击传播。2018年，重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标，其中，政府、医疗、教育、研究机构、制造业等是受到勒索软件攻击较严重行业。例如GlobeImposter、GandCrab等勒索软件变种攻击了我国多家医疗机构，导致医院信息系统运行受到严重影响。（四）越来越多的APT攻击行为被披露2018年，全球专业网络安全机构发布了各类高级威胁研究报告478份，同比增长了约3.6倍，其中我国12个研究机构发布报告80份，这些报告涉及已被确认的APT攻击组织包括APT28、Lazarus、Group123、海莲花、MuddyWater等53个，攻击目标主要分布在中东、亚太、美洲和欧洲地区，总体呈现出地缘政治紧密相关的特性，受攻击的领域主要包括军队国防、政府、金融、外交和能源等。值得注意的是，医疗、传媒、电信等国家服务性行业领域也正面临越来5越多的APT攻击风险。④APT攻击组织采用的攻击手法主要以鱼叉邮件攻击、水坑攻击、网络流量劫持或中间人攻击等，其频繁利用公开或开源的攻击框架和工具，并综合利用多种技术以实现攻击，或规避与历史攻击手法的重合。（五）云平台成为发生网络攻击的重灾区根据CNCERT监测数据，虽然国内主流云平台使用的IP地址数量仅占我国境内全部IP地址数量的7.7%，但云平台已成为发生网络攻击的重灾区，在各类型网络安全事件数量中，云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过50%。同时，国内主流云平台上承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的53.7%，木马和僵尸网络恶意程序控制端IP地址数量占境内全部恶意程序控制端IP地址数量的59%，表明攻击者经常利用云平台来发起网络攻击。分析原因，云平台成为网络攻击的重要目标是因为大量系统部署到云上，涉及国计民生、企业运营的数据和用户个人信息，成为攻击者攫取经济利益的目标。从云平台上发出的攻击增多是因为云服务使用存在便捷性、可靠性、低成本、高带宽和高性能等特性，且云网络流量的复杂性有利于攻击者隐藏真实身份，攻击者更多的利用云平台设备作为跳板机或控制端发起网络攻击。此外，云平台用户对其部署在云平台上系统的网络安全防护④相关信息来源于360威胁情报中心《全球高级持续性威胁(APT)2018年报告》。6重视不足，导致其系统可能面临更大的网络安全风险。因此，云服务商和云用户都应加大对网络安全的重视和投入，分工协作提升网络安全防范能力。云服务商应提供基础性的网络安全防护措施并保障云平台安全运行，全面提高云平台的安全性和可控性。云用户对部署在云平台上的系统承担主体责任，需全面落实系统的网络安全防护要求。（六）拒绝服务攻击频次下降但峰值流量持续攀升DDoS攻击是难以防范的网络攻击手段之一，攻击手