國家計算機網絡應急技術處理協調中心：2018年我國互聯網網絡安全態勢綜述（37頁）.pdf

《國家計算機網絡應急技術處理協調中心：2018年我國互聯網網絡安全態勢綜述（37頁）.pdf》由會員分享，可在線閱讀，更多相關《國家計算機網絡應急技術處理協調中心：2018年我國互聯網網絡安全態勢綜述（37頁）.pdf（37頁珍藏版）》請在三個皮匠報告上搜索。

1、 2018 年我國互聯網網絡安全態勢綜述 國家計算機網絡應急技術處理協調中心 2019 年 4 月 1 目 錄 一、2018 年我國互聯網網絡安全狀況 . 1 （一）我國網絡安全法律法規政策保障體系逐步健全 . 2 （二）我國互聯網網絡安全威脅治理取得新成效 . 2 （三）勒索軟件對重要行業關鍵信息基礎設施威脅加劇 . 3 （四）越來越多的 APT 攻擊行為被披露 . 4 （五）云平臺成為發生網絡攻擊的重災區 . 5 （六）拒絕服務攻擊頻次下降但峰值流量持續攀升 . 6 （七）針對工業控制系統的定向性攻擊趨勢明顯 . 6 （八）虛假和仿冒移動應用增多且成為網絡詐騙新渠道 . 7 （九）數據安全

2、問題引起前所未有的關注 . 8 二、2019 年網絡安全趨勢預測 . 9 （一）有特殊目的針對性更強的網絡攻擊越來越多 . 9 （二）國家關鍵信息基礎設施保護受到普遍關注 . 9 （三）個人信息和重要數據泄露危害更加嚴重 . 10 （四）5G、IPv6 等新技術廣泛應用帶來的安全問題值得關注 . 10 附錄：2018 年我國互聯網網絡安全監測數據分析 . 12 一、惡意程序 . 12 （一）計算機惡意程序捕獲情況 . 12 （二）計算機惡意程序用戶感染情況 . 13 （三）移動互聯網惡意程序 . 15 （四）聯網智能設備惡意程序 . 17 二、安全漏洞 . 18 （一）安全漏洞收錄情況 . 1

3、8 （二）聯網智能設備安全漏洞 . 21 三、拒絕服務攻擊 . 22 （一）攻擊資源情況 . 22 （二）攻擊團伙情況 . 22 2 四、網站安全 . 23 （一）網頁仿冒 . 24 （二）網站后門 . 25 （三）網頁篡改 . 27 五、工業互聯網安全 . 28 （一）工業網絡產品安全檢測情況 . 28 (二) 聯網工業設備和工業云平臺暴露情況 . 29 (三) 重點行業遠程巡檢情況 . 30 六、互聯網金融安全 . 31 （一）互聯網金融網站安全情況 . 32 （二）互聯網金融 APP 安全情況 . 32 （三）區塊鏈系統安全情況 . 33 1 當前，網絡安全威脅日益突出，網絡安全風險不斷

4、向政 治、經濟、文化、社會、生態、國防等領域傳導滲透，各國 加強網絡安全監管，持續出臺網絡安全政策法規。2018 年， 在中央網絡安全和信息化委員會（原“中央網絡安全和信息 化領導小組” ）的統一領導下，我國進一步加強網絡安全和 信息化管理工作，各行業主管部門協同推進網絡安全治理。 國家互聯網應急中心（以下簡稱“CNCERT” ）持續加強我國 互聯網網絡安全監測，開展我國互聯網宏觀網絡安全態勢評 估，網絡安全事件監測、協調處臵和預警通報工作，取得了 顯著成效。CNCERT 依托我國宏觀安全監測數據，結合網絡安 全威脅治理實踐成果，在本報告中重點對 2018 年我國互聯 網網絡安全狀況進行了分析

5、和總結，并對 2019 年的網絡安 全趨勢進行預測。 一、2018 年我國互聯網網絡安全狀況 2018 年，我國進一步健全網絡安全法律體系，完善網絡 安全管理體制機制，持續加強公共互聯網網絡安全監測和治 理，構建互聯網發展安全基礎，構筑網民安全上網環境，特 別是在黨政機關和重要行業方面，網絡安全應急響應能力不 斷提升，惡意程序感染、網頁篡改、網站后門等傳統的安全 問題得到有效控制。全年未發生大規模病毒爆發、大規模網 絡癱瘓的重大事件，但關鍵信息基礎設施、云平臺等面臨的 安全風險仍較為突出，APT 攻擊、數據泄露、分布式拒絕服 2 務攻擊（以下簡稱“DDoS 攻擊” ）等問題也較為嚴重。 （一）

6、我國網絡安全法律法規政策保障體系逐步健全 自我國網絡安全法于 2017 年 6 月 1 日正式實施以 來，我國網絡安全相關法律法規及配套制度逐步健全，逐漸 形成綜合法律、監管規定、行業與技術標準的綜合化、規范 化體系，我國網絡安全工作法律保障體系不斷完善，網絡安 全執法力度持續加強。2018 年，全國人大常委會發布十三 屆全國人大常委會立法規劃 ，包含個人信息保護、數據安 全、密碼等方面。黨中央、國務院各部門相繼發力，網絡安 全方面法規、規章、司法解釋等陸續發布或實施。 網絡安 全等級保護條例已向社會公開征求意見， 公安機關互聯 網安全監督檢查規定 、 關于加強跨境金融網絡與信息服務 管理的通

7、知 、 區塊鏈信息服務管理規定 、 關于加強政府 網站域名管理的通知等加強網絡安全執法或強化相關領域 網絡安全的文件發布。 （二）我國互聯網網絡安全威脅治理取得新成效 我國互聯網網絡安全環境經過多年的持續治理效果顯 著，網絡安全環境得到明顯改善。特別是黨中央加強了對網 絡安全和信息化工作的統一領導，黨政機關和重要行業加強 網絡安全防護措施，針對黨政機關和重要行業的木馬僵尸惡 意程序、 網站安全、 安全漏洞等傳統網絡安全事件大幅減少。 2018 年，CNCERT 協調處臵網絡安全事件約 10.6 萬起，其中 3 網頁仿冒事件最多， 其次是安全漏洞、 惡意程序、 網頁篡改、 網站后門、DDoS 攻

8、擊等事件。CNCERT 持續組織開展計算機 惡意程序常態化打擊工作， 2018 年成功關閉 772 個控制規模 較大的僵尸網絡，成功切斷了黑客對境內約 390 萬臺感染主 機的控制。據抽樣監測，在政府網站安全方面，遭植入后門 的我國政府網站數量平均減少了 46.5%，遭篡改網站數量平 均減少了 16.4%，顯示我國政府網站的安全情況有所好轉。 在主管部門指導下，CNCERT 聯合基礎電信企業、云服務商等 持續開展DDoS攻擊資源專項治理工作， 從源頭上遏制了DDoS 攻擊行為，有效降低了來自我國境內的攻擊流量。據 CNCERT 抽樣監測，2018 年境內發起 DDoS 攻擊的活躍控制端數量同

9、比下降 46%、被控端數量同比下降 37%；境內反射服務器、 跨域偽造流量來源路由器、本地偽造流量來源路由器等可利 用的攻擊資源消亡速度加快、 新增率降低 。 根據外部報告， 我國境內僵尸網絡控制端數量在全球的排名從前三名降至 第十名 ，DDoS 活躍反射源下降了 60%。 （三）勒索軟件對重要行業關鍵信息基礎設施威脅加劇 2018 年勒索軟件攻擊事件頻發，變種數量不斷攀升，給 個人用戶和企業用戶帶來嚴重損失。2018 年，CNCERT 捕獲 勒索軟件近 14 萬個，全年總體呈現增長趨勢，特別在下半 CNCERT 發布的2018 年我國 DDoS 攻擊資源分析報告 相關數據來源于卡巴斯基公司D

10、DoS Attacks in Q4 2018 相關數據來源于中國電信云堤、綠盟科技聯合發布的2018DDoS 攻擊態勢報告 4 年，伴隨“勒索軟件即服務”產業的興起，活躍勒索軟件數 量呈現快速增長勢頭，且更新頻率和威脅廣度都大幅度增加， 例如勒索軟件 GandCrab 全年出現了約 19 個版本，一直快速 更新迭代。勒索軟件傳播手段多樣，利用影響范圍廣的漏洞 進行快速傳播是當前主要方式之一，例如勒索軟件 Lucky 通 過綜合利用弱口令漏洞、Window SMB 漏洞、Apache Struts 2 漏洞、 JBoss 漏洞、 Weblogic 漏洞等進行快速攻擊傳播。 2018 年，重要行業

11、關鍵信息基礎設施逐漸成為勒索軟件的重點攻 擊目標，其中，政府、醫療、教育、研究機構、制造業等是 受到勒索軟件攻擊較嚴重行業。例如 GlobeImposter、 GandCrab 等勒索軟件變種攻擊了我國多家醫療機構， 導致醫 院信息系統運行受到嚴重影響。 （四）越來越多的 APT 攻擊行為被披露 2018 年， 全球專業網絡安全機構發布了各類高級威脅研 究報告 478 份，同比增長了約 3.6 倍，其中我國 12 個研究 機構發布報告 80 份，這些報告涉及已被確認的 APT 攻擊組 織包括 APT28、Lazarus、Group 123、海蓮花、MuddyWater 等 53 個，攻擊目標主

12、要分布在中東、亞太、美洲和歐洲地 區，總體呈現出地緣政治緊密相關的特性，受攻擊的領域主 要包括軍隊國防、政府、金融、外交和能源等。值得注意的 是，醫療、傳媒、電信等國家服務性行業領域也正面臨越來 5 越多的 APT 攻擊風險。 APT 攻擊組織采用的攻擊手法主要以 魚叉郵件攻擊、水坑攻擊、網絡流量劫持或中間人攻擊等， 其頻繁利用公開或開源的攻擊框架和工具，并綜合利用多種 技術以實現攻擊，或規避與歷史攻擊手法的重合。 （五）云平臺成為發生網絡攻擊的重災區 根據 CNCERT 監測數據，雖然國內主流云平臺使用的 IP 地址數量僅占我國境內全部 IP 地址數量的 7.7%，但云平臺 已成為發生網絡攻

13、擊的重災區，在各類型網絡安全事件數量 中，云平臺上的 DDoS 攻擊次數、被植入后門的網站數量、 被篡改網站數量均占比超過 50%。同時，國內主流云平臺上 承載的惡意程序種類數量占境內互聯網上承載的惡意程序 種類數量的 53.7%， 木馬和僵尸網絡惡意程序控制端 IP 地址 數量占境內全部惡意程序控制端 IP 地址數量的 59%， 表明攻 擊者經常利用云平臺來發起網絡攻擊。分析原因，云平臺成 為網絡攻擊的重要目標是因為大量系統部署到云上，涉及國 計民生、企業運營的數據和用戶個人信息，成為攻擊者攫取 經濟利益的目標。從云平臺上發出的攻擊增多是因為云服務 使用存在便捷性、 可靠性、 低成本、 高帶

14、寬和高性能等特性， 且云網絡流量的復雜性有利于攻擊者隱藏真實身份，攻擊者 更多的利用云平臺設備作為跳板機或控制端發起網絡攻擊。 此外，云平臺用戶對其部署在云平臺上系統的網絡安全防護 相關信息來源于 360 威脅情報中心全球高級持續性威脅(APT)2018 年報告 。 6 重視不足， 導致其系統可能面臨更大的網絡安全風險。 因此， 云服務商和云用戶都應加大對網絡安全的重視和投入，分工 協作提升網絡安全防范能力。云服務商應提供基礎性的網絡 安全防護措施并保障云平臺安全運行，全面提高云平臺的安 全性和可控性。云用戶對部署在云平臺上的系統承擔主體責 任，需全面落實系統的網絡安全防護要求。 （六）拒絕服

15、務攻擊頻次下降但峰值流量持續攀升 DDoS 攻擊是難以防范的網絡攻擊手段之一， 攻擊手段和 強度不斷更新，并逐步形成了“DDoS 即服務”的互聯網黑色 產業服務，普遍用于行業惡意競爭、敲詐勒索等網絡犯罪。 得益于我國網絡空間環境治理取得的有效成果， 經過對 DDoS 攻擊資源的專項治理，我國境內拒絕服務攻擊頻次總體呈現 下降趨勢。 根據第三方分析報告， 2018 年我國境內全年 DDoS 攻擊次數同比下降超過 20%，特別是反射攻擊較去年減少了 80% 。CNCERT 抽樣監測發現，2018 年我國境內峰值流量超 過 Tbps 級的 DDoS 攻擊次數較往年增加較多，達 68 起。其 中，20

16、18 年 12 月浙江省某 IP 地址遭 DDoS 攻擊的峰值流量 達 1.27Tbps。 （七）針對工業控制系統的定向性攻擊趨勢明顯 2018 年，針對特定工業系統的攻擊越來越多，并多與傳 相關數據來源于中國電信云堤、綠盟科技公司聯合發布的2018DDoS 攻擊態勢報告和阿里云2018 年 DDoS 攻擊全態勢：戰勝第一波攻擊成“抗 D” 關鍵 。 7 統攻擊手段結合，針對國家工業控制系統的攻擊日益呈現出 定向性特點。惡意軟件 Trisis 利用施耐德 Triconex 安全儀 表控制系統零日漏洞，攻擊了中東某石油天然氣工廠，致其 工廠停運。分析發現，Trisis 完整的文件庫通過五種不同的

17、 編程語言構建，因其定向性的特點，僅能在其攻擊的同款工 業設備上測試才能完全了解該惡意軟件。2018 年中期，惡意 軟件 GreyEnergy 被捕獲，主要針對運行數據采集與監視控 制系統（SCADA）軟件和服務器的工業控制系統工作站，具 有模塊化架構，功能可進一步擴展，可進行后門訪問、竊取 文件、抓取屏幕截圖、記錄敲擊鍵和竊取憑據等操作。2018 年，CNCERT 抽樣監測發現，我國境內聯網工業設備、系統、 平臺等遭受惡意嗅探、網絡攻擊的次數顯著提高，雖未發生 重大安全事件，但需提高警惕，引起重視。 （八）虛假和仿冒移動應用增多且成為網絡詐騙新渠道 近年來，隨著互聯網與經濟、生活的深度捆綁交

18、織，通 過互聯網對網民實施遠程非接觸式詐騙手段不斷翻新，先后 出現了“網絡投資” 、 “網絡交友” 、 “網購返利”等新型網絡 詐騙手段。隨著我國移動互聯網技術的快速發展和應用普及， 2018 年通過移動應用實施網絡詐騙的事件尤為突出， 如大量 虛假的“貸款 APP”并無真實貸款業務，僅用于詐騙分子騙 取用戶的隱私信息和錢財。CNCERT 抽樣監測發現，在此類虛 假的“貸款 APP”上提交姓名、 身份證照片、 個人資產證明、 8 銀行賬戶、地址等個人隱私信息的用戶超過 150 萬人，大量 受害用戶向詐騙分子支付了上萬元的所謂“擔保費” 、 “手續 費”費用，經濟利益受到實質損害。此外，CNCE

19、RT 還發現， 具有與正版軟件相似圖標或名字的仿冒 APP 數量呈上升趨勢。 2018 年，CNCERT 通過自主監測和投訴舉報方式共捕獲新增 金融行業移動互聯網仿冒 APP 樣本 838 個，同比增長了近 3.5 倍，達近年新高。這些仿冒 APP 通常采用“蹭熱度”的 方式來傳播和誘惑用戶下載并安裝，可能會造成用戶通訊錄 和短信內容等個人隱私信息泄露，或在未經用戶允許的情況 下私自下載惡意軟件，造成惡意扣費等危害。 （九）數據安全問題引起前所未有的關注 2018 年 3 月，Facebook 公司被爆出大規模數據泄露， 且這些泄露的數據被惡意利用，引起國內外普遍關注。2018 年，我國也發生

20、了包括十幾億條快遞公司的用戶信息、2.4 億條某連鎖酒店入住信息、900 萬條某網站用戶數據信息、 某求職網站用戶個人求職簡歷等數據泄露事件，這些泄露數 據包含了大量的個人隱私信息，如姓名、地址、銀行卡號、 身份證號、聯系電話、家庭成員等，給我國網民人身安全、 財產安全帶來了安全隱患。2018 年 5 月 25 日，歐盟頒布執 行史上最嚴的個人數據保護條例通用數據保護條例 仿冒應用（App） ，是指凡是未經正版軟件公司授權，只要 APP 的圖標、程序名稱、包名或代碼與正版軟件 相似，均可以判定為仿冒應用。 9 （GDPR） ，掀起了國內外的廣泛討論，該法案重點保護的是 自然人的“個人數據” ，

21、例如姓名、地址、電子郵件地址、 電話號碼、 生日、 銀行賬戶、 汽車牌照、 IP 地址以及 cookies 等。根據定義，該法案監管收集個人數據的行為，包括所有 形式的網絡追蹤。GDPR 實施三天后，Facebook 和谷歌等美 國企業成為 GDPR 法案下第一批被告，這不僅給業界敲響了 警鐘，也督促更多企業投入精力保護數據安全尤其是個人隱 私數據安全。 二、2019 年網絡安全趨勢預測 結合 2018 年我國網絡安全狀況，以及 5G、IPv6、區塊 鏈等新技術的發展和應用，CNCERT 預測 2019 年網絡安全趨 勢主要如下： （一）有特殊目的針對性更強的網絡攻擊越來越多 目前，網絡攻擊者

22、發起網絡攻擊的針對性越來越強，有 特殊目的的攻擊行動頻發。近年來，有攻擊團伙長期以我國 政府部門、事業單位、科研院所的網站為主要目標實施網頁 篡改， 境外攻擊團伙持續對我政府部門網站實施 DDoS 攻擊。 網絡安全事件與社會活動緊密結合趨勢明顯，網絡攻擊事件 高發。 （二）國家關鍵信息基礎設施保護受到普遍關注 作為事關國家安全、社會穩定和經濟發展的戰略資源， 10 國家關鍵信息基礎設施保護的工作尤為重要。當前，應用廣 泛的基礎軟硬件安全漏洞不斷被披露、具有特殊目的的黑客 組織不斷對我國關鍵信息基礎設施實施網絡攻擊，我國關鍵 信息基礎設施面臨的安全風險不斷加大。2018 年，APT 攻擊 活動持

23、續活躍，我國多個重要行業遭受攻擊。隨著關鍵信息 基礎設施承載的信息價值越來越大，針對國家關鍵信息基礎 設施的網絡攻擊將會愈演愈烈。 （三）個人信息和重要數據泄露危害更加嚴重 2018 年 Facebook 信息泄露事件讓我們重新審視個人信 息和重要數據的泄露可能引發的危害，信息泄露不僅侵犯網 民個人利益，甚至可能對國家政治安全造成影響。2018 年我 國境內發生了多起個人信息和重要數據泄露事件，犯罪分子 利用大數據等技術手段，整合獲得的各類數據，可形成對用 戶的多維度精準畫像，所產生的危害將更為嚴重。 （四）5G、IPv6 等新技術廣泛應用帶來的安全問題值得 關注 目前，我國 5G、IPv6

24、規模部署和試用工作逐步推進， 關于 5G、IPv6 自身的安全問題以及衍生的安全問題值得關 注。5G 技術的應用代表著增強的移動寬帶、海量的機器通信 以及超高可靠低時延的通信，與 IPv6 技術應用共同發展， 將真正實現讓萬物互聯，互聯網上承載的信息將更為豐富， 物聯網將大規模發展。但重要數據泄露、物聯網設備安全問 11 題目前尚未得到有效解決，物聯網設備被大規模利用發起網 絡攻擊的問題也將更加突出。同時，區塊鏈技術也受到國內 外廣泛關注并快速應用，從數字貨幣到智能合約，并逐步向 文化娛樂、社會管理、物聯網等多個領域延伸。隨著區塊鏈 應用的范圍和深度逐漸擴大，數字貨幣被盜、智能合約、錢 包和挖

25、礦軟件漏洞等安全問題將會更加凸顯。 12 附錄：2018 年我國互聯網網絡安全監測數據分析 一、惡意程序 （一）計算機惡意程序捕獲情況 2018 年，CNCERT 全年捕獲計算機惡意程序樣本數量超 過 1 億個，涉及計算機惡意程序家族 51 萬余個，較 2017 年 增加 8,132 個。全年計算機惡意程序傳播次數 日均達 500 萬余次。按照計算機惡意程序傳播來源統計，位于境外的主 要是來自美國、加拿大和俄羅斯等國家和地區，來自境外的 具體分布如圖 1 所示。位于境內的主要是位于陜西省、浙江 省和河南省等省份。按照受惡意程序攻擊的 IP 統計，我國 境內受計算機惡意程序攻擊的 IP 地址約

26、5,946 萬個，約占 我國 IP 總數的 17.5%，這些受攻擊的 IP 地址主要集中在江 蘇省、山東省、浙江省、廣東省等地區，2018 年我國受計算 機惡意程序攻擊的 IP 分布情況如圖 2 所示。 計算機惡意程序傳播次數是指惡意程序下載站與下載端通信一次計數一次，累計數量不去重。 13 圖 1 2018 年計算機惡意代碼傳播源位于境外分布情況 圖 2 2018 年我國受計算機惡意代碼攻擊的 IP 分布情況 （二）計算機惡意程序用戶感染情況 據 CNCERT 抽樣監測，2018 年，我國境內感染計算機惡 意程序的主機數量約 655 萬臺，同比下降 47.8%，如圖 3 所 示。位于境外的約

27、 4.9 萬個計算機惡意程序控制服務器控制 了我國境內約 526 萬臺主機，就控制服務器所屬國家來看， 位于美國、日本和德國的控制服務器數量分列前三位，分別 是約 14,752 個、6,551 個和 2,166 個；就所控制我國境內主 機數量來看，位于美國、中國香港和法國的控制服務器控制 規模分列前三位，分別控制了我國境內約 334 萬、48 萬和 14 33 萬臺主機。 圖 3 境內感染計算機惡意程序主機數量變化 從我國境內感染計算機惡意程序主機數量地區分布來 看，主要分布在廣東?。ㄕ嘉覈硟雀腥緮盗康?10.9%） 、江 蘇?。ㄕ?9.9%） 、浙江?。ㄕ?9.4%）等省份，但從我國境內

28、各地區感染計算機惡意程序主機數量所占本地區活躍 IP 地 址數量比例來看，河南省、江蘇省和廣西壯族自治區分列前 三位，如圖 4 所示。在監測發現的因感染計算機惡意程序而 形成的僵尸網絡中，規模在 100 臺主機以上的僵尸網絡數量 達 3,710 個，規模在 10 萬臺以上的僵尸網絡數量達 36 個， 如圖 5 所示。為有效控制計算機惡意程序感染主機引發的危 害，2018 年，CNCERT 組織基礎電信企業、域名服務機構等 成功關閉 772 個控制規模較大的僵尸網絡。根據第三方統計 報告，位于我國境內的僵尸網絡控制端數量在全球的排名情 況以及在全球控制端總數量的占比均呈現下降趨勢 。 相關數據來

29、源于卡巴斯基全球 DDoS 攻擊趨勢報告（2015.Q1-2018.Q4） 。 15 圖 4 我國各地區感染計算機惡意程序主機數量占本地區活躍 IP 地址 數量比例 圖 5 2018 年僵尸網絡的規模分布 （三）移動互聯網惡意程序 目前，隨著移動互聯網技術快速發展，我國移動互聯網 網民數量突破 8.17 億（占我國網民總數量的 98.6%） ，金 相關數據來源于中國互聯網絡信息中心發布的第 43 次中國互聯網絡發展狀況統計報告 。 16 融服務、 生活服務、 支付業務等全面向移動互聯網應用遷移。 但竊取用戶信息、發送垃圾信息、推送廣告和欺詐信息等危 害移動互聯網正常運行的惡意行為在不斷侵犯廣大

30、移動用 戶的合法利益。2018 年，CNCERT 通過自主捕獲和廠商交換 獲得移動互聯網惡意程序數量283萬余個， 同比增長11.7%， 盡管近三年來增長速度有所放緩，但仍保持高速增長趨勢， 如圖 6 所示。通過對惡意程序的惡意行為統計發現，排名前 三的分別為流氓行為類、資費消耗類和信息竊取類 ，占比 分別為 45.8%、24.3%和 14.9%，如圖 7 所示。為有效防范移 動互聯網惡意程序的危害，嚴格控制移動互聯網惡意程序傳 播途徑，連續 6 年以來，CNCERT 聯合應用商店、云平臺等服 務平臺持續加強對移動互聯網惡意程序的發現和下架力度， 以保障移動互聯網健康有序發展。2018 年，C

31、NCERT 累計協 調國內 314 家提供移動應用程序下載服務的平臺， 下架 3517 個移動互聯網惡意程序。 分類依據為移動互聯網惡意程序描述格式 （標準編號：YD/T 2439-2012） 17 圖 6 2010 年至 2018 年移動互聯網惡意程序捕獲數量走勢 圖 7 2018 年移動互聯網惡意程序數量按行為屬性統計 （四）聯網智能設備惡意程序 據 CNCERT 監測發現，目前活躍在智能聯網設備上的惡 意程序家族主要包括 Ddosf、Dofloo、Gafgyt、MrBlack、 Persirai、 Sotdas、 Tsunami、 Triddy、 Mirai、 Moose、 Teaper

32、、 Satori、StolenBots、VPN-Filter 等。這些惡意程序及其變 種產生的主要危害包括用戶信息和設備數據泄露、硬件設備 18 遭控制和破壞、被用于 DDoS 攻擊或其他惡意攻擊行為、攻 擊路由器等網絡設備竊取用戶上網數據等。 CNCERT 抽樣監測 發現，2018 年，聯網智能設備惡意程序控制服務器 IP 地址 約 2.3 萬個，位于境外的 IP 地址占比約 87.5%；被控聯網智 能設備 IP 地址約 446.8 萬個，位于境內的 IP 地址占比約 34.6%，其中山東、浙江、河南、江蘇等地被控聯網智能設 備 IP 地址數量均超過 10 萬個；控制聯網智能設備且控制規 模

33、在 1,000 臺以上的僵尸網絡有 363 個，其中，控制規模在 1 萬臺以上的僵尸網絡 19 個，5 萬臺以上的 8 個，如表 1 所 示。 表 1 2018 年聯網智能設備僵尸網絡控制規模統計情況 僵尸網絡控制規模僵尸網絡控制規模 僵尸網絡個數（按控僵尸網絡個數（按控 制端制端 IPIP 地址統計）地址統計） 僵尸網絡控制端僵尸網絡控制端 IPIP 地址地址地理位置分布地理位置分布 5 萬以上 8 位于我國境內 4 個、境外 4 個 1 萬至 5 萬 19 位于我國境內 1 個、境外 18 個 5 千至 1 萬 42 位于我國境內 1 個、境外 41 個 1 千至 5 千 294 位于我國

34、境內 2 個、境外 292 個 二、安全漏洞 （一）安全漏洞收錄情況 2014 年以來，國家信息安全漏洞共享平臺（CNVD） 11收 錄安全漏洞數量年平均增長率為 15.0%，其中，2018 年收錄 11國家信息安全漏洞共享平臺（China National Vulnerability Database，簡稱 CNVD）是由 CNCERT 于 2009 年發起建立的網絡安全漏洞信息共享知識庫。 19 安全漏洞數量同比減少了 11.0%，共計 14,201 個，高危漏洞 收錄數量為 4,898 個（占 34.5%） ，同比減少 12.8%，但近年 來“零日”漏洞 12收錄數量持續走高，2018

35、年收錄的安全漏 洞數量中，“零日” 漏洞收錄數量占比 37.9%， 高達 5,381 個， 同比增長 39.6%，如圖 8 所示。安全漏洞主要涵蓋 Google、 Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe 等 廠商產品，如表 2 所示。按影響對象分類統計，收錄漏洞中 應用程序漏洞占 57.8%，Web 應用漏洞占 18.7%，操作系統漏 洞占 10.6%， 網絡設備 （如路由器、 交換機等） 漏洞占 9.5%， 安全產品（如防火墻、入侵檢測系統等）漏洞占 2.4%，數據 庫漏洞占 1.0%，如圖 9 所示。 圖 8 2013 年至 2018 年

36、CNVD 收錄安全漏洞數量對比 12“零日”漏洞是指 CNVD 收錄該漏洞時還未公布補丁。 20 表 2 2018 年 CNVD 收錄漏洞涉及廠商情況統計 漏洞涉及廠商 漏洞數量 （單位：個） 占全年收錄數量百分比 環比 Google 693 4.9% -38.8% Microsoft 667 4.7% -1.0% IBM 564 4.0% -1.7% Oracle 481 3.4% -37.9% Cisco 422 3.0% -12.6% Foxit 369 2.6% / Apple 367 2.6% -15.2% Adobe 352 2.5% 0.6% WordPress 261 1.8%

37、 -27.5% Linux 193 1.4% -15.4% 其他 9,832 69.2% -5.5% 圖 9 2018 年 CNVD 收錄漏洞按影響對象類型分類統計 2018 年，CNVD 繼續推進移動互聯網、電信行業、工業 控制系統和電子政務 4 類子漏洞庫的建設工作，分別新增收 錄安全漏洞數量 1,150 個（占全年收錄數量的 8.1%） 、720 個（占 5.1%） 、461 個（占 3.2%）和 171 個（占 1.2%） ，如 圖 10 所示。 其中工業控制系統子漏洞庫收錄數量持續攀升， 較 2017 年增長了 22.6%。CNVD 全年通報涉及政府機構、重 要信息系統等關鍵信息基礎

38、設施安全漏洞事件約 2.1 萬起， 21 同比下降 23.6%。 圖 10 2013 年至 2018 年 CNVD 子漏洞庫收錄情況對比 2018 年， 應用廣泛的軟硬件漏洞被披露， 修復難度很大， 給我國網絡安全帶來嚴峻挑戰， 包括計算機中央處理器 （CPU） 芯片爆出 Meltdown 漏洞 13和 Spectre 漏洞14，影響了 1995 年 以后生產的所有 Intel、AMD、ARM 等 CPU 芯片，同時影響了 各主流云服務平臺及 Windows、Linux、MacOS、Android 等 主流操作系統。 隨后， Oracle Weblogic server、 Cisco Smar

39、t Install 等在我國使用廣泛的軟件產品也相繼爆出存在嚴重 安全漏洞。 （二）聯網智能設備安全漏洞 2018 年，CNVD 收錄的安全漏洞中關于聯網智能設備安 全漏洞有 2,244 個，同比增長 8.0%。這些安全漏洞涉及的類 13Meltdown 漏洞：CNVD-2018-00303 對應 CVE-2017-5754.該漏洞利用破壞了用戶程序和操作系統之間的基 本隔離，允許攻擊者未授權訪問其他程序和操作系統的內存，獲取其他程序和操作系統的敏感信息。 14Spectre 漏洞，CNVD-2018-00302 和 CNVD-2018-00304 對應 CVE-2017-5715 和 CVE

40、-2017-5753.該漏洞利用 破壞了不同應用程序之間的安全隔離，允許攻擊者借助于無措程序來獲取敏感信息。 22 型主要包括設備信息泄露、權限繞過、遠程代碼執行、弱口 令等； 涉及的設備類型主要包括家用路由器、 網絡攝像頭等。 三、拒絕服務攻擊 2018年， CNCERT抽樣監測發現我國境內峰值超過10Gbps 的大流量分布式拒絕服務攻擊（DDoS 攻擊）事件數量平均每 月超過4,000起， 超過60%的攻擊事件為僵尸網絡控制發起。 僵尸網絡主要偏好發動 TCP SYN FLOOD 和 UDP FLOOD 攻擊， 在線攻擊平臺主要偏好發送 UDP Amplification FLOOD 攻擊

41、。 （一）攻擊資源情況 2018 年，CNCERT 對全年用于發起 DDoS 攻擊的攻擊資源 進行了持續分析，發現用于發起 DDoS 攻擊的 C&C 控制服務 器 15數量共 2,108 臺，總肉雞16數量約 144 萬臺，反射攻擊服 務器約 197 萬臺，受攻擊目標 IP 地址數量約 9 萬個，這些 攻擊目標主要分布在色情、博彩等互聯網地下黑產方面以及 文化體育和娛樂領域， 此外還包括運營商 IDC、 金融、 教育、 政府機構等。 （二）攻擊團伙情況 17 2018 年，CNCERT 共監測發現利用僵尸網絡進行攻擊的 DDoS 攻擊團伙 50 個。從全年來看，與 DDoS 攻擊事件數量、 1

42、5C&C 控制服務器：全稱為 Command and Control Server，即“命令及控制服務器” ，目標機器可以接收來 自服務器的命令，從而達到服務器控制目標機器的目的。 16肉雞：接收來自 C&C 控制服務器指令，對外發出大量流量的被控互聯網設備。 17CNCERT 發布的2018 年活躍 DDoS 攻擊團伙分析報告 23 C&C 控制服務器數量一樣， 攻擊團伙數量在 2018 年 8 月達到 最高峰。其中，控制肉雞數量較大的較活躍攻擊團伙有 16 個，涉及 C&C 控制服務器有 358 個，攻擊目標有 2.8 萬個， 如表 3 所示。為進一步分析這 16 個團伙的關系情況，通過

43、對全年攻擊活動進行分析，發現不同攻擊團伙之間相互較為 獨立，同一攻擊團伙的攻擊目標非常集中，不同攻擊團伙間 的攻擊目標重合度較小。 表 3 2018 年活躍攻擊團伙基本信息表 團伙編號團伙編號 最早活躍時間最早活躍時間 （年月日）（年月日） 最近活躍時間最近活躍時間 （年月日）（年月日） 活躍月份活躍月份 （年月）（年月） C&CC&C 數量數量 （單位：個）（單位：個） 肉雞數量肉雞數量 （單位：個）（單位：個） 攻擊目標數目攻擊目標數目 （單位：個）（單位：個） G1 20180101 20181231 201812 283 571,016 21,324 G2 20180502 20181

44、230 201808 9 384 57 G3 20180308 20181104 201802 2 462 2 G4 20180101 20180731 201805 4 1,779 185 G5 20180721 20181222 201803 2 509 20 G6 20180606 20180925 201802 2 543 74 G7 20180531 20180801 201804 8 1,426 369 G8 20180723 20180911 201803 2 654 476 G9 20180511 20180712 201803 9 13,035 642 G10 20180708 20180905 201803 2 699 87 G11 20180303 20180515 201803 12 2,921 47 G12 20180707 20180902 201803 2 3,243 380 G13 20180614 20180827 201803 5 13,290 5,440 G14 20180109 20180225 201802 2 639 142 G15 20180907 20181027 201802 8 8