2019-2020年上半年我国互联网网络安全态势研究报告.docx

2019-2020年上半年我国互联网网络安全态势研究报告目录一、 2019 年上半年我国互联网网络安全监测数据分析 . - 1 - （一）恶意程序 . - 1 - 1. 计算机恶意程序捕获情况 . - 1 - 2. 计算机恶意程序用户感染情况 . - 3 - 3. 移动互联网恶意程序 . - 4 - 4. 联网智能设备恶意程序 . - 5 - （二）安全漏洞 . - 6 - 1. 安全漏洞收录情况 . - 6 - 2. 联网智能设备安全漏洞 . - 7 - （三）拒绝服务攻击 . - 7 - （四）网站安全 . - 8 - 1. 网页仿冒 . - 8 - 2. 网站后门 . - 8 - 3. 网页篡改 . - 9 - （五）云平台安全 . - 10 - （六）工业互联网安全 . - 11 - 1. 工业网络产品安全检测情况 . - 11 - 2. 联网工业设备和工业云平台暴露情况 . - 12 - 3. 重点行业安全情况 . - 13 - （七）互联网金融安全 . - 13 - 1. 互联网金融网站安全情况 . - 14 - 2. 互联网金融 APP 安全情况 . - 14 - 二、 2019 年上半年我国互联网网络安全状况特点 . - 15 - （一）个人信息和重要数据泄露风险严峻 . - 15 - （二）多个高危漏洞曝出给我国网络安全造成严重安全隐患 . - 16 - （三）针对我国重要网站的 DDoS 攻击事件高发 . - 17 - （四）利用钓鱼邮件发起有针对性的攻击频发 . - 17 - 三、 2019 年上半年网络安全威胁治理工作开展情况 . - 18 - （一）我国网络安全治理的顶层设计逐步完善 . - 18 - （二）移动 APP 违规收集个人信息治理专项 . - 19 - （三）互联网网站安全整治专项 . - 20 - （四） DDoS 攻击团伙治理工作 . - 21 - 为维护我国网络空间的安全，保障互联网健康有序的发展， 2019 年上半年，我国持续推进网络安全法律法规体系建设，完善网络安全管理体制机制，不断加强互联网网络安全监测和治理，构建互联网发展安全基础，构筑网民安全上网环境。 2019 年上半年，我国基础网络运行总体平稳，未发生较大规模以上网络安全事件。但数据泄露事件及风险、有组织的分布式拒绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发，多个高危漏洞被曝出，我国网络空间仍面临诸多风险与挑战。一、 2019 年上半年我国互联网网络安全监测数据分析国家互联网应急中心（以下简称 “ CNC ERT” ）从恶意程序、漏洞隐患、移动互联网安全、网站安全以及云平台安全、工业系统安全、互联网金融安全等方面，对我国互联网网络安全环境开展宏观监测。数据显示，与 2018 年上半年数据比较， 2019 年上半年我国境内通用型 “ 零日 ” 漏洞收录数量，涉及关键信息基础设施的事件型漏洞通报数量，遭篡改、植入后门、仿冒网站数量等有所上升，其他各类监测数据有所降低或基本持平。（一）恶意程序 1. 计算机恶意程序捕获情况 2019 年上半年， CNCERT 新增捕获计算机恶意程序样本数量约 3,200 万个，与 2018 年上半年基本持平，计算机恶意程序传播次数日均达约 998 万次。按照计算机恶意程序传播来源统计，位于境外的 IP 地址主要是来自美国、日本和菲律宾等国家和地区， 2019 年上半年计算机恶意代码传播源位于境外分布情况如图 1 所示。位于境内的 IP 地址主要是位于广东省、北京市和浙江省等。按照受恶意程序攻击的 IP 统计，我国境内受计算机恶意程序攻击的 IP 地址约 3,762 万个，约占我国活跃 IP 地址总数的 12.4%，这些受攻击的 IP 地址主要集中在江苏省、广东省、浙江省等地区， 2019 年上半年我国境内受计算机恶意程序攻击的 IP 分布情况如图 2 所示。图 1 2019 年上半年计算机恶意代码传播源位于境外分布情况图 2 2019 年上半年我国受计算机恶意代码攻击的 IP 分布情况 2. 计算机恶意程序用户感染情况据 CNCERT 抽样监测， 2019 年上半年，我国境内感染计算机恶意程序的主机数量约 240 万台，相较 2018 年上半年同比下降 9.7%。位于境外的约 3.9 万个计算机恶意程序控制服务器控制了我国境内约 210 万台主机，就控制服务器所属国家来看，位于美国、日本和拉脱维亚的控制服务器数量分列前三位，分别是约 9,494 个、 5,535 个和 2,350 个；就所控制我国境内主机数量来看，位于美国、法国和英国的控制服务器控制规模分列前三位，分别控制了我国境内约 150 万、 22 万和 16 万台主机。从我国境内感染计算机恶意程序主机数量按地区分布来看，主要分布在广东省（占我国境内感染数量的 13.3%）、河南省（占 11.0%）、山东省（占 7.0%）等省份，但从我国境内各地区感染计算机恶意程序主机数量所占本地区活跃 IP 地址数量比例来看，河南省、云南省和河北省分列前三位，如图 3 所示。在监测发现的因感染计算机恶意程序而形成的僵尸网络中，规模在 100 台主机以上的僵尸网络数量达 1,842 个，规模在 10 万台以上的僵尸网络数量达 21 个，如图 4 所示。为有效控制计算机恶意程序感染主机引发的危害， 2019 年上半年， CNCERT 组织基础电信企业、域名服务机构等成功关闭 714 个控制规模较大的僵尸网络。图 3 我国各地区感染计算机恶意程序主机数量占本地区活跃 IP 地址数量比例图 4 2019 年上半年僵尸网络的规模分布 3. 移动互联网恶意程序 2019 年上半年， CNCERT 通过自主捕获和厂商交换获得移动互联网恶意程序数量 103 万余个，同比减少 27.2%。通过对恶意程序的恶意行为统计发现，排名前三的分别为资费消耗类、流氓行为类和恶意扣费类，占比分别为 35.7%、 27.1% 和 15.7%。为有效防范移动互联网恶意程序的危害，严格控制移动互联网恶意程序传播途径，连续 7 年以来， CNCERT 联合应用商店、云平台等服务平台持续加强对移动互联网恶意程序的发现和下架力度，以保障移动互联网健康有序发展。2019 年上半年， CNCERT 累计协调国内 177 家提供移动应用程序下载服务的平台，下架 1,190 个移动互联网恶意程序。近年来，新型网络诈骗手法层出不穷，随着移动互联网和普惠金融的大力发展，出现了大量以移动端为入口骗取用户个人隐私信息和账户资金的网络诈骗活动。据 CNCERT 抽样监测， 2019 年上半年以来，我国以移动互联网为载体的虚假贷款 APP 或网站达 1.5 万个，在此类虚假贷款 APP 或网站上提交姓名、身份证照片、个人资产证明、银行账户、地址等个人隐私信息的用户数量超过 90 万。大量受害用户在诈骗平台支付了上万元的所谓 “ 担保费 ” 、 “ 手续费 ” 费用，经济利益受到实质损害。 4. 联网智能设备恶意程序据 CNCERT 监测发现，目前活跃在智能联网设备上的恶意程序家族主要包括 Mirai、 Gafgyt、 MrBlack、 Tsunami、 Reaper、 Ddostf、 Satori、 TheMoon、 StolenBots、 VPNFilter、 Cayosin 等。这些恶意程序及其变种产生的主要危害包括用户信息和设备数据泄露、硬件设备遭控制和破坏，被用于 DDoS 攻击或其他恶意攻击行为、攻击路由器等网络设备窃取用户上网数据等。 CNCERT 抽样监测发现， 2019 年上半年，联网智能设备恶意程序控制服务器 IP 地址约 1.9 万个，同比上升 11.2%；被控联网智能设备 IP 地址约 242 万个，其中位于我国境内的 IP 地址近 90 万个（占比 37.1%），同比下降 12.9 %；通过控制联网智能设备发起 DDoS 攻击次数日均约 2,118 起。（二）安全漏洞 1. 安全漏洞收录情况 2019 年上半年，国家信息安全漏洞共享平台（以下简称 “ CNV D” ）收录通用型安全漏洞 5,859 个，同比减少 24.4%，其中高危漏洞收录数量为 2,055 个（占 35.1%），同比减少 21.2%， “ 零日 ” 漏洞收录数量为 2,536 个（占 43.3%），同比增长 34.0%。安全漏洞主要涵盖 Google、 Microsoft、 Adobe、 Cisco、 IBM 等厂商产品。按影响对象分类统计，收录漏洞中应用程序漏洞占 56.2%， Web 应用漏洞占 24.9%，操作系统漏洞占 8.3%，网络设备（如路由器、交换机等）漏洞占 7.6%，数据库漏洞占 1.8%，安全产品（如防火墙、入侵检测系统等）漏洞占 1.2%，如图 5 所示。图 5 2019 年上半年 CNVD 收录漏洞按影响对象类型分类统计 - - 2019 年上半年， CN VD 继续推进移动互联网、电信行业、工业控制系统和电子政务 4 类子漏洞库的建设工作，分别新增收录安全漏洞数量 384 个（占收录数量的 6.6%）、 323 个（占 5.5%）、 158 个（占 2.7%）和 87 个（占 1.5%）。 2. 联网智能设备安全漏洞 2019 年上半年， CNVD 收录的安全漏洞中关于联网智能设备安全漏洞有 1,223 个，与 2018 年上半年基本持平。这些安全漏洞涉及的类型主要包括设备信息泄露、权限绕过、远程代码执行、弱口令等；涉及的设备类型主要包括家用路由器、网络摄像头等。（三）拒绝服务攻击 CNCERT 抽样监测发现， 2019 年上半年我国境内峰值超过 10Gbps 的大流量分布式拒绝服务攻击（以下简称 “ DDoS 攻击 ” ）事件数量平均每月约 4,300 起，同比增长 18%，并且仍然是超过 60%的 DDoS 攻击事件为僵尸网络控制发起。在 DDoS 攻击资源分析方面， 2019 年上半年， CNCERT 发现用于发起 DDoS 攻击的 C&C 控制服务器数量共 1,612 个，其中位于我国境内的有 144 个，约占总量的 8.9%，同比减少 13%，位于境外的控制端数量同比增长超过一倍；总肉鸡数量约 64 万个，同比下降 10%；反射攻击服务器约 617 万个，