我国互联网网络安全态势综述.docx

我国互联网网络安全态势综述.docx

《我国互联网网络安全态势综述.docx》由会员分享，可在线阅读，更多相关《我国互联网网络安全态势综述.docx（18页珍藏版）》请在冰豆网上搜索。

我国互联网网络安全态势综述

2015年我国互联网网络安全态势综述

国家计算机网络应急技术处理协调中心

2016年4月

前言..........................................................................................................................1

一、基础网络和关键基础设施...................................................................................3

（一）基础通信网络安全防护水平进一步提升..................................................3

（二）我国域名系统抗拒绝服务攻击能力显着提升..........................................3

（三）工业互联网面临的网络安全威胁加剧.....................................................4

（四）针对我国重要信息系统的高强度有组织攻击威胁形势严峻...................4

二、公共互联网..........................................................................................................5

（一）公共互联网网络安全环境.........................................................................5

1.木马和僵尸网络........................................................................................5

2.个人信息泄露............................................................................................7

3.移动互联网恶意程序................................................................................8

4.拒绝服务攻击..........................................................................................11

5.安全漏洞..................................................................................................11

6.网页仿冒..................................................................................................14

7.网页篡改..................................................................................................16

（二）公共互联网网络安全合作.......................................................................16

1.互联网网络安全威胁治理行动...............................................................17

2.安全漏洞披露和处臵规范.......................................................................18

3.网络安全国际合作..................................................................................18

三、2016年值得关注的热点问题.............................................................................19

（一）将有更多APT攻击事件被曝光..............................................................19

（二）云平台和大数据的安全防护能力将是关注重点....................................20

（三）行业合作和国际合作需求继续加强.......................................................20

（四）物联网智能设备将面临更多网络安全威胁............................................21

（五）精准网络诈骗和敲诈勒索行为将更加猖獗............................................21

前言

2015年，党中央、国务院加大了对网络安全的重视，我

国网络空间法制化进程不断加快，网络安全人才培养机制逐步

完善，围绕网络安全的活动蓬勃发展。

我国新《国家安全法》

正式颁布，明确提出国家建设网络与信息安全保障体系；《刑

法修正案（九）》表决通过，加大打击网络犯罪力度；《反恐怖

主义法》正式通过，规定了电信业务经营者、互联网服务提供

者在反恐中应承担的义务；《网络安全法（草案）》向社会各界

公开征求意见；高校设立网络空间安全一级学科，加快网络空

间安全高层次人才培养；政府部门或行业组织围绕网络安全举

办的会议、赛事、宣传活动等丰富多样。

2015年是我国“十二五”规划收官之年，我国实现了半

数中国人接入互联网，网民规模达亿，手机网民规模达

亿，域名总数为3102万个1。

2015年，我国陆续出台了“互

联网＋”行动计划、“宽带中国2015专项行动”等，加快建设

网络强国。

我国不断完善网络安全保障措施，网络安全防护水

平进一步提升。

然而，层出不穷的网络安全问题仍然难以避免。

基础网络设备、域名系统、工业互联网等我国基础网络和关键

基础设施依然面临着较大安全风险，网络安全事件多有发生。

木马和僵尸网络、移动互联网恶意程序、拒绝服务攻击、安全

1数据来自《第37次中国互联网络发展状况统计报告》。

1

漏洞、网页仿冒、网页篡改等网络安全事件表现出了新的特点：

利用分布式拒绝服务攻击（以下简称“DDoS攻击”）和网页

篡改获得经济利益现象普遍；个人信息泄露引发的精准网络诈

骗和勒索事件增多；智能终端的漏洞风险增大；移动互联网恶

意程序的传播渠道转移到网盘或广告平台等网站。

国家互联网应急中心（以下简称“CNCERT”）在对我国

互联网宏观安全态势监测的基础上，着重分析和总结2015年

我国互联网网络安全状况，并预测2016年网络安全热点问题。

2

一、基础网络和关键基础设施

（一）基础通信网络安全防护水平进一步提升

基础电信企业逐年加大网络安全投入，加强通信网络安全

防护工作的体系、制度和手段建设，推动相关工作系统化、规

范化和常态化。

2015年，工业和信息化部以网络安全管理、

技术防护、用户个人电子信息和数据安全保护、应急工作、网

络安全问题整改等为检查重点，对电信和互联网行业落实网络

安全防护工作进行抽查。

根据抽查结果，各基础电信企业符合

性测评平均得分均达到90分以上，风险评估检查发现的单个

网络或系统的安全漏洞数量较2014年下降%。

（二）我国域名系统抗拒绝服务攻击能力显着提升

CNCERT监测发现，2015年针对我国域名系统的DDoS

攻击流量进一步增大。

4月，我国某重要新闻网站的域名服务

器多次遭受DDoS攻击，峰值流量达8Gbit/s，经分析发现此

次攻击主要为利用NTP协议2和UPnP协议3进行的反射攻击，

主要攻击源均来自境外；8月，我国顶级域名系统先后遭受2

次大流量DDoS攻击，峰值流量超过10Gbit/s。

2015年发生的

多起针对重要域名系统的DDoS攻击均未对相关系统的域名

解析服务造成严重影响，反映出我国重要域名系统普遍加强了

2NTP协议，即网络时间协议（NetworkTimeProtocol）

3UPnP协议，即通用即插即用（UniversalPlugandPlay）协议

3

安全防护措施，抗DDoS攻击能力显着提升。

（三）工业互联网面临的网络安全威胁加剧

新一代信息技术与制造业深度融合，工业互联网成为推动

制造业向智能化发展的重要支撑。

近年来，国内外已发生多起

针对工业控制系统的网络攻击，攻击手段也更加专业化、组织

化和精确化。

2015年，国家信息安全漏洞共享平台（以下简

称“CNVD”）共收录工控漏洞125个，发现多个国内外工控

厂商的多款产品普遍存在缓冲区溢出、缺乏访问控制机制、弱

口令、目录遍历等漏洞风险，可被攻击者利用实现远程访问。

据监测，2015年境外有千余个IP地址对我国大量使用的某款

工控系统进行渗透扫描，有数百个IP地址对我国互联网上暴

露的工控设备进行过访问。

2015年12月，因遭到网络攻击，

乌克兰境内近三分之一的地区发生断电事故。

据分析，此次网

络攻击利用了一款名为“黑暗力量”的恶意程序，获得了对发

电系统的远程控制能力，导致电力系统长时间停电。

此次事件

的发生，再次对我国提出警示，我国工业互联网也可能面临着

严峻的网络安全威胁。

（四）针对我国重要信息系统的高强度有组织攻击威胁形势严

峻

据监测，2015年我国境内有近5000个IP地址感染了窃

4

密木马，存在失泄密和运行安全风险。

针对我国实施的APT4攻

击事件也在不断曝光，例如境外“海莲花”黑客组织多年以来

针对我国海事机构实施APT攻击；国内安全企业发现了一起

名为APT-TOCS的长期针对我国政府机构的攻击事件。

2015

年7月发生的HackingTeam公司信息泄露事件，揭露了部分

国家相关机构雇佣专业公司对我国重要信息系统目标实施网

络攻击的情况。

二、公共互联网

（一）公共互联网网络安全环境

2015年，根据CNCERT自主监测数据，我国公共互联网

网络安全状况总体平稳，位于境内的木马和僵尸网络控制端数

量保持下降趋势、主流移动应用商店安全状况明显好转，但个

人信息泄露、网络钓鱼等方面的安全事件数量呈上升趋势。

1.木马和僵尸网络

我国境内木马和僵尸网络控制端数量再次下降首次出现境

外木马和僵尸网络控制端数量多于境内的现象。

据抽样监测，2015年共发现万余个木马和僵尸网络

控制端，控制了我国境内1978万余台主机。

其中，位于我国

4APT（AdvancedPersistentThreat，高级持续性威胁）：

利用先进的攻击手段对特定目标进行长期持续性网络攻击的形式。

5

境内的控制端近万个，较2014年下降%，继续保持

下降趋势。

以上情况的出现主要与行业内相关单位近年来持续

开展木马和僵尸网络治理有关。

2015年，在工业和信息化部

指导下，按照《木马和僵尸网络监测与处臵机制》的有关规定，

CNCERT组织基础电信企业、域名服务机构等成功关闭678

个控制规模较大的僵尸网络，累计处臵690个恶意控制服务器

和恶意域名，成功切断黑客对154万余台感染主机的控制。

随

着我国境内持续开展木马和僵尸网络治理工作，大量木马和僵

尸网络控制端向境外迁移。

2015年抽样监测发现境外万余

个木马和僵尸网络控制端，较2014年大幅增长%，占全

部控制端数量的%，首次出现境外木马和僵尸网络控制端

多于境内的现象。

2012年-2015年木马和僵尸网络控制端总数

400000

350000

300000

250000

200000

150000

100000

50000

0

2012年2013年2014年2015年

6

2012年-2015年木马和僵尸网络控制端境内外数量变化情况

400000

300000

200000

100000

0

2012年2013年2014年2015年

境内境外

2.个人信息泄露

（1）个人信息泄露事件频发。

2015年我国发生多起危害严重的个人信息泄露事件。

例

如某应用商店用户信息泄露事件、约10万条应届高考考生信

息泄露事件、酒店入住信息泄露事件、某票务系统近600万用

户信息泄露事件等。

针对安卓平台的窃取用户短信、通讯录、

微信聊天记录等信息的恶意程序爆发。

安卓平台感染此类恶意

程序后，大量涉及个人隐私的信息被通过邮件发送到指定邮箱。

2015年，CNCERT抽样监测发现恶意程序转发的用户信息邮

件数量超过66万封。

CNCERT在判定此类恶意程序的恶意行

为后，立即协调处臵了涉及的URL、域名和邮箱，有效防止

影响范围进一步扩大。

此外，个人信息泄露事件频繁被媒体报

道，反映出社会对此类事件的关注度不断提升。

7

（2）个人信息泄露引发网络诈骗和勒索等“后遗症”。

2015年发生多起因网购订单信息泄露引发的退款诈骗事

件，犯罪分子利用遭泄露的收件地址和联系方式等用户购物信

息，向用户发送虚假退款操作信息，迷惑性很强，造成财产损

失。

由于许多网民习惯在不同网站使用相同账号密码，个人隐

私信息易被“撞库”5等黑客行为窃取，进而威胁到网民财产

安全。

2015年，CNCERT多次接到网民投诉苹果手机被锁遭

敲诈勒索事件。

据查，此类事件大多因用户个人隐私泄漏，攻

击者利用用户账户密码等信息结合苹果手机的防遗失功能，对

用户进行锁机勒索，勒索不成则远程删除用户手机数据，给用

户带来了严重损失。

3.移动互联网恶意程序

（1）移动互联网恶意程序数量仍大幅增长。

2015年，CNCERT通过自主捕获和厂商交换获得移动互

联网恶意程序数量近148万个，较2014年增长%，主要

针对安卓平台。

按恶意行为进行分类，排名前三位的恶意行为

分别是恶意扣费类、流氓行为类和远程控制类，占比分别为

%、%和%。

CNCERT发现移动互联网恶意程序

下载链接30万余条，同比增长%，涉及的传播源域名4万

5撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到

一系列可以登录的用户。

8

余个、IP地址近2万个，恶意程序传播次数达8384万余次，

较2014年增长了%。

2005年-2015年移动互联网恶意程序数量走势

1600000

1400000

1200000

1000000

800000

600000

400000

200000

0

526711020841616646249

162981

1477450

951059

702861

20052006200720082009201020112012201320142015

2015年移动互联网恶意程序按行为类型分布

诱骗欺诈

%

系统破坏

恶意传播

%

%

恶意扣费

%

隐私窃取

%

资费消耗

%

远程控制

%

流氓行为

%

（2）主流移动应用商店安全状况明显好转大量移动恶意程

序的传播渠道转移到网盘或广告平台等网站。

在工业和信息化部指导下，经过连续三年的治理，国内主

流应用商店积极落实安全责任，不断完善安全检测、安全审核、

社会监督举报、恶意程序下架等制度，积极参与处臵响应与反

馈，恶意APP下架数量连续保持下降趋势，2015年较2014

9

年下降了%。

2015年，CNCERT累计向302家应用商店、

云盘、网盘或广告宣传网站等平台通报恶意APP事件万

余起，要求对通报的恶意APP进行下架，全年下架率达%。

按各平台接到通报数量来看，排名前6的平台接到的通报次数

占全年总通报次数的%。

经确认发现，这6家主要是提供

云盘、网盘、广告宣传等业务的网站，反映出大量的恶意程序

传播源已发生转移。

（3）应用软件供应链安全问题凸现。

2015年先后曝出多起应用软件开发工具被植入恶意代码，

导致使用这些工具开发的应用软件出现安全问题的事件。

9月，

CNCERT监测发现，苹果开发工具Xcode被植入XcodeGhost

恶意代码，导致使用该工具开发的苹果APP被植入恶意代码。

国内数百款知名的APP均受到感染，这些恶意APP绕过苹果

AppStore安全审核机制供用户下载。

截至9月18日，全国受

感染用户达2140万。

10月，网上披露了“WormHole”漏洞，

该漏洞存在于国内某公司开发的一款公共开发套件中，影响集

成此套件的该公司系列APP及其它20余款APP。

CNCERT

及时完成了事件的样本分析、处臵和预警，要求涉事单位及时

修复相关APP并通知用户更新，有效遏制了恶意代码传播蔓

延势头。

10

4.拒绝服务攻击

DDoS攻击仍然是我国互联网面临的严重安全威胁之一

近年来，DDoS攻击的方式和手段不断发生变化。

自2014

年起，利用互联网传输协议的缺陷发起的反射型DDoS攻击日

趋频繁，增加了攻击防御和溯源的难度。

几乎不需要技术基础

即可使用的DDoS攻击服务平台在互联网上大量出现，DDoS

攻击以服务形式在互联网上公开叫卖，这些平台的出现极大地

降低了DDoS攻击技术门槛，使攻击者可以轻易发起大流量攻

击。

2015年前三季度，攻击流量在1Gbit/s以上的DDoS攻击

次数近38万次，日均攻击次数达到了1491次。

为遏制DDoS

攻击事件数量继续增长，减少DDoS攻击带来的危害，

CNCERT于2015年第四季度组织电信和互联网行业单位集中

开展了互联网网络安全威胁治理行动，日均DDoS攻击数量明

显下降。

5.安全漏洞

（1）网络安全高危漏洞频现网络设备安全漏洞风险依然较

大。

2015年，CNVD共收录安全漏洞8080个，较2014年减

少%。

其中，高危漏洞收录数量高达2909个，较2014年

增长%；可诱发零日攻击的漏洞1207个（即收录时厂商

11

未提供补丁），占%。

2015年曝出了JuniperNetworks

ScreenOS后门漏洞6、Java反序列化远程代码执行漏洞7、Redis

未授权执行漏洞8、远程代码执行漏洞9和GNUglibc

函数库缓冲区溢出漏洞10（又称为“Ghost”幽灵漏洞）等多个

涉及基础软件的高危漏洞。

基础软件广泛应用在我国基础应用

和通用软硬件产品中，若不及时修复，容易被批量利用，造成

严重危害。

从CNVD行业漏洞收录数量统计分析发现，电信

行业漏洞库收录漏洞数量为657个，其中网络设备（如路由器、

交换机等）漏洞占%，可见网络设备安全风险依然较大。

值得注意的是，如果骨干路由器等关键节点网络设备的漏洞被

攻击利用，可能导致网络设备或节点被操控、破坏网络稳定运

行、窃取用户信息、传播恶意代码、实施网络攻击等问题，需

引起高度重视。

2015年，CNVD共向基础电信企业通报2447

份漏洞风险通报，较2014年增长%；通报涉及的基础电

信企业门户网站及业务系统漏洞风险事件2530起，较2014

年增长%。

6编号CNVD-2015-08306、CNVD-2015-08307，CVE-2015-7756。

7编号CNVD-2015-07556。

8编号CNVD-2015-07557。

9编号CNVD-2015-02422，CVE-2015-1635。

10编号CNVD-2015-00719，CVE-2015-0235。

12

2011年-2015年CNVD漏洞收录情况

10000

8000

6000

4000

2000

0

2011年2012年2013年2014年2015年

收录总数高危

2015年CNVD收录漏洞按影响对象类型分布

操作系统漏洞

7%

安全产品漏洞

数据库漏洞

2%

2%

网络设备漏洞

13%

web应用漏洞

14%

应用程序漏洞

62%

（2）涉及重要行业和政府部门的高危漏洞事件持续增多修

复进度未跟上步伐。

政府机构和重要信息系统的网络系统上承载了大量有价

值的数据信息，广泛被漏洞挖掘者关注。

2015年，CNCERT

通报了涉及政府机构和重要信息系统部门的事件型漏洞近

万起，约是2014年的倍，继续保持快速增长态势。

然而，

部分通报漏洞未及时修补，为相关系统带来严重安全隐患。

CNCERT抽取2015年12月通报的安全漏洞事件进行修复验

13

证，发现政府部门网站系统漏洞隔月修复率仅为%，涉及

网络基础设施的漏洞隔月修复率为%，可见部分漏洞修复

不及时。

（3）智能联网设备暴露出的安全漏洞问题严重。

乘着“互联网＋”的新机遇，各行业与互联网深度融合，

智能联网设备也逐渐在各行业广泛使用，漏洞威胁也在逐步增

加。

2015年，CNVD共收录了739个移动互联网设备或软件

产品漏洞；通报了多款智能监控设备、路由器等存在被远程控

制高危风险漏洞的安全事件。

2015年初，政府机关和公共行

业广泛使用的某型号监控设备被曝存在高危漏洞，并已被利用

植入恶意代码，导致部分设备被远程控制并可对外发动网络攻

击。

CNCERT核查发现，我国主要厂商生产的同类型设备，

普遍存在类似安全问题，亟需进行大范围整改。

6.网页仿冒

网页仿冒事件数量暴涨。

CNCERT监测发现，2015年针对我国境内网站的仿冒页

面数量达18万余个，较2014年增长%。

其中，针对金融

支付的仿冒页面数量上升最快，较2014年增长倍；针对

娱乐节目中奖类的网页仿冒页面数量也较2014年增长1倍。

大量仿冒银行或基础电信企业积分兑换的仿冒网站链接由伪

14

基站发送。

2015年，CNCERT共处臵各类网络安全事件近

万起，其中网页仿冒事件数量位居第一，达万余起，同比

增长近倍。

由于我国加大了对网页仿冒的打击力度，大量

的网页仿冒站点迁移到境外。

在针对我国境内网站的仿冒站点

中，%位于境外，其中位于香港的IP地址承载的仿冒页面

最多，达6万余个。

2015年仿冒境内网