360-全球關鍵信息基礎設施網絡安全狀況分析報告2017-2018.1-58頁（58頁）.pdf

1、 全球關鍵信息基礎設施網絡安全 狀況分析報告（2017） 360 威脅情報中心 2018.1.12 目 錄 導導 語語 . 1 第一章第一章 各國對關鍵信息基礎設施的界定各國對關鍵信息基礎設施的界定 . 2 一、 中國 . 2 二、 美國 . 3 三、 俄羅斯 . 3 四、 德國 . 4 五、 英國 . 4 六、 五國對比 . 5 第二章第二章 關鍵信息基礎設施面臨的安全威脅關鍵信息基礎設施面臨的安全威脅 . 7 一、 綜述 . 7 二、 金融 . 9 （一） SWIFT 攻擊 . 9 （二） ATM 機與 POS 機攻擊 . 11 （三） 信息泄露 . 12 （四） 惡意軟件 . 14 （五

2、） 網絡詐騙 . 16 （六） DNS 劫持 . 17 （七） DDOS 攻擊 . 18 （八） 勒索軟件 . 18 （九） 其他網絡攻擊 . 18 （十） 內鬼 . 20 三、 能源 . 20 （一） 信息泄露 . 21 （二） 破壞性攻擊 . 21 （三） 擾亂性攻擊 . 22 （四） 智能電網風險 . 22 四、 通信 . 23 （一） 斷網威脅 . 23 （二） 信息泄露 . 24 五、 工業系統 . 25 （一） 黑客攻擊 . 26 （二） 安全漏洞 . 27 六、 教育 . 28 （一） 信息泄露 . 28 （二） 網站篡改 . 29 （三） DDOS 攻擊 . 32 七、 交通

3、. 32 （一） 民航（航空） . 33 （二） 鐵路 . 36 （三） 智能汽車 . 37 （四） 海事 . 39 八、 醫療衛生 . 41 （一） 信息泄露 . 41 （二） 設備漏洞 . 45 （三） 惡意程序 . 46 第三章第三章 針對關鍵信息基礎設施的針對關鍵信息基礎設施的 APTAPT 攻擊攻擊 . 47 一、 針對能源系統的破壞 . 47 （一） Patchwork 事件 . 48 （二） 全球企業依然面臨 APT32（海蓮花）間諜組織的威脅 . 48 （三） 越南黑客組織 APT32 瞄準亞洲國家，成為威脅領域 “最先進” 網絡犯罪團伙之 一 48 二、 針對金融系統的犯罪

4、. 49 （一） FIN7 的攻擊再次遭受重創 . 49 （二） ATM 機盜竊事件 . 51 （三） BlueNoroff/Lazarus：銀行劫案的演變 . 53 1 導 語 關鍵基礎設施的網絡安全威脅已成為全球各個國家網絡空 間最為關注的課題之一。 各個國家紛紛出臺保護關鍵信息基礎設 施的政策和戰略，通過研究美國、德國、英國、俄羅斯以及中國 的相關政策， 可以發現不同國家對關鍵信息基礎設施的理解和界 定，各不相同，但重點保護、全力保障關鍵信息基礎設施安全的 目標是一致的。通過大量公開資料及報道，我們發現全球關鍵信 息基礎設施已經或正在遭遇大量來外部、內部的網絡攻擊，或者 因存在管理漏洞等

5、問題而埋下諸多潛在隱患。本報告以金融、能 源、通信、工業系統、教育、交通、醫療衛生等關鍵領域為例， 給出這些關鍵信息基礎設施遭遇安全攻擊的實際案例， 并簡要分 析， 以期對我國關鍵信息基礎設施防御與保護工作提供借鑒參考。 2 第一章 各國對關鍵信息基礎設施的界定 關鍵信息基礎設施關系國計民生， 也是各國網絡安全保障的 首要目標。不過，世界各國的經濟發展水平不同，網絡狀況、網 絡經濟發展程度存在差異， 因此各國對關鍵信息基礎設施的定義 和界定也存在很大的不同，側重保護的重點領域也不盡相同。例 如美國政府規定了 16 類關鍵基礎設施， 從民用領域到軍事領域， 涵蓋非常廣泛。 而德國在聯邦政府層面劃

6、定了 9 類關鍵基礎設施， 和美國相比，德國更加聚焦民生領域，而且增加了傳媒與文化領 域。本章將主要就中國、美國、俄羅斯、德國、英國這 5 個國家 的政府部門對關鍵信息基礎設施界定異同進行比較。 以此來了解 世界各國在關鍵信息基礎設施保護方面的政策特點。 特別說明， 世界各國對于某些關鍵信息基礎設施的命名方法 和職能限定有一定區別，比如，同樣是應急響應部門，有的國家 稱之為應急服務，而有的國家則稱之為災害響應。出于橫向對比 方便的考慮，在本報告中，我們盡可能的對各國職能類似的基礎 設施采用相同的翻譯名稱。其中某些細微之處可能存在偏差。 一、 中國 中華人民共和國網絡安全法 中給出了關鍵信息基礎

7、設施 的大致范圍，可分為七類：公共通信和信息服務、能源、交通、 水利、金融、公共服務（水、電、食品、衛生） 、電子政務。 而 網絡空間安全戰略 中的規定的關鍵信息基礎設施包括： 1 張基礎網絡、11 個重要信息系統和 1 類重要互聯網應用系統， 共 13 項。 2017 年 7 月發布的關鍵信息基礎設施安全保護條例（征求 意見稿）在網絡安全法和國家網絡空間安全戰略的基礎 上，再次增加了環境保護，和國防科工、大型裝備、化工、食品 3 藥品等領域的基礎設施。 總結起來， 目前國內相關政策法規中圈定的關鍵信息基礎設 施共含 17 個領域，具體包括：1、提供公共通信，廣播電視傳輸 等服務的基礎信息網絡

8、；2、能源；3、金融；4、交通；5、教育； 6、科研；7、水利；8、工業制造；9、醫療衛生；10、社會保障； 11、公用事業；12、國家機關；13、重要互聯網應用系統；14、 國防科工；15、大型裝備；16、化學工業；17、食品藥品。 二、 美國 奧巴馬政府將以下 16 個領域納入為關鍵基礎設施保護對象。 并出臺一系列政府文件和總統行政指令加以優先保護。這 16 個 領域具體包括： 1、化學工業；2、商業設施、3、通信；4、關鍵制造；5、水 利；6、國防；7、應急響應部門；8、能源；9、金融；10、食品 和農業；11、政府部門；12、醫療衛生；13、信息技術；14、核 設施；15、交通運輸；1

9、6、供水及污水處理系統。 三、 俄羅斯 2009 年俄羅斯的信息安全政策文件中描述的關鍵部門，主 要指科技、國防、通信、司法、應急響應部門等。 2013 年的出臺的俄聯邦關鍵網絡基礎設施安全規定：對 入侵交通、市政等國家關鍵部門信息系統的黑客最高可處以 10 年監禁。 這事實上是將交通、 政府等納入國家關鍵網絡基礎設施。 另外，俄羅斯政治研究中心網絡安全問題專家奧列格杰米 多夫（Oleg Demidov）指出，俄羅斯的信息安全戰略更多強調在 內容層面的管控，非常重視互聯網信息傳播對傳統文化、公民德 道和價值觀帶來的影響，而在基礎設施層面，則幾乎沒有特別具 4 體的描述，只是概括性地表示保護關鍵

10、信息基礎設施。 總結起來， 俄羅斯政府部門明確或隱含界定的關鍵信息基礎 設施有 7 類： 1、科技；2、國防；3、通信；4、司法；5、應急響應部門； 6、交通運輸；7、政府部門。 四、 德國 德國網絡空間戰略（2011 年）中指出，關鍵基礎設施是指各 類非常重要的公共物資或資源相關的組織或機構， 他們一旦遭到 攻擊或破壞，將導致供應緊缺或中斷，嚴重危害公共安全利益， 或者其他嚴重影響。 德國在聯邦層面把關鍵基礎設施定義為以下 9 種： 1、能源；2、信息技術與通信；3、交通；4、醫療衛生；5、 水利；6、食品；7、金融；8、政府部門；9、傳媒與文化。 五、 英國 2016 年英國公布的國家網絡

11、安全戰略 （2016-2021） 中對 CNI （關鍵國家基礎設施）做了界定，主要包括以下 5 個方面： 1、重要企業：已取得極大成功且在研發或知識產權具備很 強優勢的企業； 2、個人信息數據擁有者：不僅包括大規模數據的擁有者， 還包括一些弱勢群體信息數據的所有者； 3、高威脅目標：如媒體； 4、頂級數字經濟提供商：數字經濟的試金石； 5、保險、投資、監管、專業咨詢組織等：對改善網絡經濟領 5 域網絡安全狀況有影響的組織機構。 英國對關鍵國家基礎設施（CNI）的界定方法，打破了美國 一直以來按照行業特征和部門屬性劃分關鍵信息基礎設施的常 規，從數字經濟影響力、數據資源特性等維度，將英國關鍵基礎

12、 設施劃分為五類。特別值得注意的是，英國甚至把某些專業咨詢 組織或機構也納入 CNI 的范圍， 前提為其對整個經濟領域改善網 絡安全狀況有一定影響。 六、 五國對比 中國、美國、俄羅斯、德國、英國這 5 個國家基本上可以代 表歐美亞三大經濟體中，互聯網發展最為活躍的國家。下面我們 就從界定領域的角度來橫向對比一下這五個國家對于關鍵信息 基礎設施政策的異同。 首先， 如果不考慮某些領域的界定可能內涵十分豐富的問題， 單就各國界定的關鍵信息基礎設施數量來看： 美國最多， 16 類； 中國次之，13 類；接下來是德國 9 類，俄羅斯 7 類，英國 5 類。 國家國家 中國中國 美國美國 俄羅斯俄羅斯

13、 德國德國 英國英國 CIICII 類別類別數量數量 17 16 7 9 5 五國劃分的關鍵基礎設施（CII）類別數量 值得指出的是， 英國對關鍵信息基礎設施的定義方式與眾不 同，既不是某一類具體的企業或機構，也不是某一種具體的基礎 設施，而幾乎是完全抽象的、概念化的界定基礎設施。 除了英國以外，中、美、俄、德四國對于關鍵信息基礎設施 的界定方式比較接近。而從關鍵信息基礎設施的界定范圍看，中 國、美國和德國也極為接近。政府部門、通信和交通運輸最受關 6 注，同時被中、美、俄、德四國圈定。而中、美、德三個國家共 同圈定的領域有 7 個， 分別是政府部門、 通信、 交通運輸、 能源、 金融、水利、

14、醫療衛生。此外，中國、美國和俄羅斯均將國防系 統也圈定為關鍵信息基礎設施。 下表給出了中、美、俄、德四國界定的關鍵信息基礎設施對 比情況。由于英國的界定方式比較特殊，未在下表中列出。 基礎基礎設施設施 中國中國 美國美國 俄羅斯俄羅斯 德國德國 政府部門 通信 交通運輸 能源 金融 水利 醫療衛生 公用事業/服務 工業制造 科技/科研 食品、藥品和農業 應急響應 國防 教育 社會保障 重要互聯網應用 化學工業 商業設施 信息技術 核設施 司法 傳媒與文化 大型裝備 中美俄德四國界定的關鍵信息基礎設施對比 7 第二章 關鍵信息基礎設施面臨的安全威脅 本章將主要參照國際上劃分關鍵信息基礎設施的主流

15、類別， 即從金融、能源、通信、工業系統、教育、交通、醫療衛生等七 個領域分析全球關鍵信息基礎設施面臨的安全威脅。 首先對全球 關鍵信息基礎設施發生的網絡安全事件進行綜述分析；其次，對 七大領域的網絡安全威脅分別加以介紹。 一、 綜述 根據 360 威脅情報中心對 2017 年全球關鍵信息基礎設施重 大網絡安全事件的公開信息監測數據分析， 在各類不同的關鍵信 息基礎設施中，金融、交通、能源等領域最容易遭受網絡攻擊， 其中金融 （33.1%） 、 醫療衛生 （12.7%） 、 交通 （9.9%） 、 工業 （6.3%） 等領域信息基礎設施發生的重大網絡安全事件最多， 具體見下圖。 注：本章收錄的各

16、種典型案例，主要來自于公開渠道收集的 各種資訊、新聞報道等，而并不代表全球關鍵基礎設施實際遭遇 攻擊的規模和頻率， 因為還有很多中小烈度的網絡攻擊沒有進入 我們的研究視野， 或者部分關鍵基礎設施遭受的攻擊事件沒有被 公開報道。 8 根據公開資料統計，全球信息基礎設施發生重大網絡安全事 件的類型主要有敏感信息泄露、系統破壞、金融資產盜竊等。 從共性上看，不同領域關鍵信息基礎設施一般都會遭遇敏感信 息泄露問題，例如金融、教育、交通、醫療衛生、能源等都發 生過許多重大信息泄露事件；同時，不同領域也呈現一定的特 點，例如金融領域的竊取金融資產的事件明顯偏多；通信、能 源領域的系統破壞事件較多，而教育行

17、業領域網站遭篡改的事 件明顯多于其他領域。 根據 360 威脅情報中心 2017 年的監測數據， 金融資產盜竊所 占比例最高，占 31.7%，其次是破壞型攻擊（24.6%） 、敏感信息 泄露 18.3%） ，三者之和約占總數的 3/4。具體見下圖。 此外， 一般認為發達國家的信息基礎設施比較發達， 且擁有更 多的信息系統直接連接在互聯網上， 理論上遭遇網絡攻擊的可能 性更高。但根據 360 威脅情報中心的監測數據，以英國、美國、 德國為代表的發達國家關鍵信息基礎設施發生的安全事件占比 與發展中國家基本持平， 分別占 48.6%和 51.4%。 這表明以中國、 印度、巴西、烏克蘭、波蘭、孟加拉、

18、越南等為代表的發展中國 家，同樣面臨著關鍵信息基礎設施被攻擊的極大可能性。盡管發 9 展中國家的信息基礎設施較薄弱， 接入互聯網的基礎設施也比較 少，但并不說明遭遇到的網絡攻擊因此而減少。同時，在綜合防 護能力，應急響應能力等方面，發展中國家也遠遠落后于發達國 家， 所以網絡安全問題對發展中國家的威脅比對發達國家來說更 加嚴重。 二、 金融 2016 和 2017 年，均堪稱是金融機構的網絡災害年。大量針 對金融機構的攻擊給全球各國的金融機構造成了巨大的財產損 失。 從攻擊者的攻擊特點及事發原因來看，在 2017 年，金融機 構主要面臨以下幾類高危風險：SWIFT 攻擊、ATM 攻擊、信息泄

19、露、惡意軟件、網絡詐騙、系統故障和 DNS 攻擊。 （一）SWIFT 攻擊 利用 SWIFT 系統(Society for Worldwide Interbank Financial Telecommunication，既指環球銀行金融電信協會， 也指該協會運營的世界級金融電文網絡） 存在的潛在安全漏洞發 動網絡攻擊或借此掩蓋罪行的事件。 就在 2016 年，還只有極少數人聽說過環球銀行金融電信協 會(SWIFT)。該組織的標準化信息格式，被采納為銀行間金融轉 賬的全球標準；相關軟件和消息網絡，驅動著今天大多數的國際 銀行轉賬，每年產生的金融消息超 50 億條。然而，這并不是大 多數人聽聞 S

20、WIFT 的原因所在。 2016 年，孟加拉央行和紐約聯邦儲蓄銀行便涉入一場凈值 1.01 億美元的網絡劫案其中大多數資金都未追回。若非其 10 中一筆交易出現拼寫錯誤引發質疑， 另外 8.5 億美元恐怕也會被 盜。隨后，對 SWIFT 網絡的攻擊此起彼伏，越南、厄瓜多爾、烏 克蘭都發生了此類事件， 不過大多數受影響銀行和國家都未公開 事件。 現在，攻擊者開始改變策略，從對用戶終端的攻擊，轉變到 對驅動銀行系統本身的應用和網絡的攻擊。直到最近，安置各種 SWIFT 組件的最佳實踐，都還是將它們都放到防火墻后面，但這 依然阻擋不了同區域內與其他工作負載的自由通信， 而且提供不 了第 4 層之上的

21、可見性與控制。 2017 年度，全球十余個國家的多家銀行機構使用的 SWIFT （銀行結算系統）陸續遭到網絡攻擊，此類系統正是全球金融生 態系統的基礎。 攻擊者能夠利用金融機構內部的惡意軟件操縱處 理跨境交易的應用程序， 之后可在全球任意金融機構處提取資金。 04/15/c_1120817020.htm 2017 年月日 ，黑客組織“影子中間人”日在推 特等社交媒體上爆料說，美國國家安全局曾入侵國際銀行系統， 以監控一些中東和拉丁美洲銀行之間的資金流動。 “影子中間人”發布的文件顯示， 美國國家安全局利用計算 機代碼入侵（環球銀行間金融通信協會）服務器，并 監控信息。 文件還曝光了多個入侵系統

22、的 計算機代碼和監控工具。 11 （二）ATM 機與 POS 機攻擊 作為一種典型的瘦終端產品， 銀行 ATM 機器在運維管理與升 級更新方面也普遍存在著諸多的安全隱患。2017 年就發生了多 起針對 ATM 機的重大網絡攻擊事件。 為了實施各種網絡犯罪活動， 攻擊者們傾向于采用成熟的貨 幣化網絡入侵手段。除了攻擊 SWIFT（銀行結算系統）之外，網 絡犯罪分子們還一直在積極利用 ATM 感染 （包括金融機構內部網 絡中的 ATM 設備） ，遠程銀行系統、PoS 終端網絡以及變更銀行 數據庫內余額數據等方法。 2017 年 2 月，34 歲土耳其黑客 Ercan Findikoglu 因盜竊

23、ATM 機被美國聯邦法院判處 8 年的徒刑。這名黑客帶領一支跨國 網絡犯罪團伙入侵 ATM 發卡機構，并偽造卡進行欺詐，2011 年 以來累計盜取 5500 萬美元。起訴書顯示，他于 2011 年至 2013 年間三次未經授權訪問發卡機構的 IT 網絡。2013 年 2 月，在第 三次攻擊中（也是最后一次攻擊） ，該團伙僅僅用了 10 個小時在 24 個不同國家提款 3.6 萬筆，共提取約 4000 萬美元。其中近 3000 筆共計 240 萬美元的提款發生在美國紐約市。 2017 年 3 月，趨勢科技發現了一種新的 POS 機惡意軟件， 并將其命名為 MajikPOS。2013 年 1 月底

24、，研究人員第一次發現 這款惡意軟件。其主要攻擊目標是北美和加拿大用戶。 2017年4 月， 一群黑客將目標瞄準了俄羅斯的至少8臺 ATM， 一夜之間就竊取了 80 萬美元。今年 2 月，黑客使用無文件病毒 成功攻擊了 140 家企業，包括銀行、電信和政府組織，范圍包 括美國、歐洲等地區，不過攻擊的細節沒有做過多披露。研究人 員稱，攻擊銀行時所用的是一種無文件的病毒，它能夠存在內存 12 中，而非像傳統惡意程序那樣駐足在硬盤中。這款被命名為 ATMitch 的惡意軟件之前在哈薩克斯坦和俄羅斯被發現，病毒通 過遠程管理模塊遠程安裝和執行的。 黑客可以通過 SSH 隧道部署 惡意軟件并發送指令給 A

25、TM，從而獲取現金。 （三）信息泄露 金融信息的泄露往往伴隨著大量的用戶實名制信息的泄露， 同時也會嚴重威脅到用戶金融賬戶本身的安全。研究表明，金融 機構的數據已經成為黑產競相爭奪的重要資源。 2017 年 3 月 20 日，亞美尼亞國家安全局成功搗毀了一個犯 罪集團。根據初步數據，該犯罪集團成員以酒店與餐廳經營等借 口在 Armenia 3 貿易組織中進行注冊，并借此獲取終端收銀機。 在此之后，他們得以通過輸入銀行卡數據進行非現金交易，而不 再需要獲得持卡人及其銀行卡的詳細信息。 這個由俄羅斯與亞美 尼亞公民組建的網絡犯罪集團于 2016 年 8 月至 12 月期間利用 計算機技術從澳大利亞

26、多家銀行的客戶帳戶當中總計竊取得 8500 萬德拉姆資金。 2017 年 4 月，英國知名的發薪日貸款（Payday Loan）公司 Wonga確定其遭遇數據泄露， 并之后發表聲明通知客戶聯系銀行。 Wonga 在聲明中指出，黑客可能非法訪問了數十萬賬戶的個人信 息，關系到預計總計高達 27 萬客戶數量的個人信息。本次泄露 的信息可能包括：客戶姓名、電子郵箱、家庭住址、電話號碼、 銀行卡的后四位數、銀行卡賬號和銀行代碼。 13 2017 年 5 月，根據印度互聯網與社會中心（簡稱 CIS）的一 項調查結果， 此次經由 4 個印度政府門戶站點泄露的 Aadhaar 公 民身份信息總量或高達 1.

27、35 億條，除此之外，還有 1 億銀行帳 戶也不慎曝光。 83458.shtml?lx-oauth=true&fileName=null 2017 年 4 月份， 招商銀行遭客戶質疑信息泄露。 中國江西網 報道， 南昌市民楊先生因接了一個對方自稱是招商銀行客服人員 的電話，一天內就被騙走了 13 萬。電話交談中，對方準確的說 出楊先生的個人賬單信息、 流水記錄， 還告訴他要一筆欠款要還。 2017 年 5 月， 招商銀行被曝網銀出現嚴重漏洞， 個人信息可 被修改。有網友指出，當他登錄招商銀行專業版網銀，進入了修 改聯系信息頁面，彈出了“系統 LU 層異?！钡膶υ捒?，同時， 頁面顯示了他人的所有

28、詳細信息，包括“性別、電子郵箱、常住 地址、單位名稱、單位地址、單位郵編、單位電話，和部分打了 碼的銀行預留手機號”。 g.do?lx-oauth=true&code=WWW-7edc07f0-872e-49e8-9c30- ba4f1c0d7929&itemId=869197da-5dc8-4cdb-b726- f1cbd5e9dda6×tamp=1500946699168&nonce=01447292- 4830-4a29-83c0- 1b13e4d26a12&sessionId=118405&signature=15e4818fda5a0c0 af2dba4071edc11b8b1c99a82 2017 年 7 月，富國銀行意外地向一名前理財顧問發送了 1.4GB 包含 5 萬名高凈值客戶信息的數據。這名前理財顧問加 里辛德布蘭德（Gary Sinderbrand）正在對富國銀行一名員工 14 提起誹謗訴訟。 他原本會收到與本案相關的電子郵件和其他文件， 然而富國銀行卻將數萬客戶