2019年我国互联网网络安全态势综述.pdf

2019 年我国互联网网络安全态势综述 国家计算机网络应急技术处理协调中心 2020 年 4 月 - 1 - 目 录 前言 . - 1 - 一、 2019 年我国互联网网络安全状况 . - 2 - （一）党政机关、关键信息基础设施等重要单位防护能力显著增强，但 DDoS攻击呈现高发频发态势，攻击组织性和目的性更加凸显。 . - 2 - 1.可被利用实施 DDoS 攻击的境内攻击资源稳定性持续降低，数量逐年递减，攻击资源迁往境外，处臵难度提高。 . - 2 - 2.针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显，同时重要单 位的防护能力也显著加强。 . - 3 - 3.DDoS 攻击依然呈现高发频发之势，仍有大量物联网设备被入侵控制后用于发动 DDoS攻击。 . - 3 - （二） APT攻击监测与应急处置力度加大，钓鱼邮件防范意识继续提升，但 APT攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗。 . - 4 - 1.投递高诱惑性钓鱼邮件是大部分 APT 组织常用技术手段，我国重要行业部门对钓鱼邮件防范意识不断提高。 . - 4 - 2.攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透。 . - 5 - 3.APT 攻击在我国重大活动和敏感时期更为猖獗频繁。 . - 5 - （三）重大安全漏洞应对能力不断强化，但事件型漏洞和高危零日漏洞数量上升，信息系统面临的漏洞威胁形势更加严峻。 . - 6 - 1.我国漏洞信息共享与通报处臵工作持续加强，漏洞应急工作开展卓有成效。 . - 6 - 2.漏洞数量和影响范围仍然大幅增加，漏洞消控工作依然任重而道远。 . - 7 - （四）数据风险监测与预警防护能力提升，但数据安全防护意识依然薄弱，大规模数据泄露事件频发。 . - 8 - 1.数据安全保护力度继续加强，及时处臵应对大量数据安全事件。 . - 8 - 2.App 违法违规收集使用个人信息治理持续推进，工作取得积极成效。 . - 8 - 3.涉及公民个人信息的数据库数据安全事件频发， 违法交易藏入“暗网”。 . - 9 - （五）恶意程序增量首次下降，但“灰色”应用程序大量出现，针对重要行业安全威胁更加明显。 . - 10 - 1.移动互联网恶意程序增量首次出现下降，高危恶意程序的生存空间正在压缩，下架恶意程序数量连续 6 年下降。 . - 10 - 2.以移动互联网仿冒 App 为代表的灰色应用大量出现，主要针对金融、交通、电信等重要行业的用户。 . - 11 - （六）黑产资源得到有效清理，但恶意注册、网络赌博、勒索病毒、挖矿病毒等依然活跃，高强度技术对抗更加激烈。 . - 12 - 1.网络黑产打击取得阶段性成果。 . - 12 - 2.网络黑产活动专业化、 自动化程度不断提升，技术对抗越发激烈。 . - 13 - 3.勒索病毒、挖矿木马在黑色产业刺激下持续活跃。 . - 13 - （七）工业控制系统网络安全在国家层面顶层设计进一步完善 ,但工业控制系统产品安全问题依然突出，新技术应用带来新安全隐患更加严峻。 . - 15 - 1.国家层面工业控制系统网络安全顶层设计不断完善 ,国家级工业控制系统网络安全监测和态势感知能力不断提升。 . - 15 - - 2 - 2.工业控制系统产品漏洞数量居高不下。 . - 15 - 3.互联网侧暴露面持续扩大，新技术的应用给工业控制系统带来了新的安全隐患。 - 16 - 二、 2020 年网络安全关注方向预测 . - 17 - （一）规模性、破坏性急剧上升成为有组织网络攻击新特点 . - 17 - （二 ）体系化协同防护将成关键信息基础设施网络安全保障新趋势 . - 18 - （三）政策法规与执法监管多管齐下为数据安全和个人信息保护提供新指引 . - 19 - （四）精准网络勒索集中转向中小型企事业单位成为网络黑产新动向 . - 19 - （五）远程协同热度突增引发新兴业态网络安全风险新思考 . - 20 - （六 ） 5G等新技术新应用大量涌现或面临网络安全新挑战 . - 21 - 三、 对策建议 . - 22 - （一）强化关键信息基础设施保护 . - 22 - （二）提升数据安全管理和个人 信息保护力度 . - 22 - （三）加快网络安全核心技术创新突破 . - 23 - （四）壮大网络安全技术产业规模和网络安全人才队伍 . - 23 - （五）扩大国内外网络安全合作 . - 24 - 结语 . - 24 - 附件： 2019 年我国互联网网络安全监测数据分析 . - 26 - （一）恶意程序 . - 26 - 1.计算机恶意程序捕获情况 . - 26 - 2.计算机恶意程序用户感染情况 . - 27 - 3.移动互联网恶意程序 . - 30 - 4.联网智能设备恶意程序 . - 32 - （二）安全漏洞 . - 32 - （三）拒绝服务攻击 . - 35 - 1.攻击资源活跃情况 . - 35 - 2.来自境外攻击情况 . - 35 - 3.攻击团伙监测及打击情况 . - 36 - （四）网站安全 . - 36 - 1.网页仿冒 . - 36 - 2.网站后门 . - 37 - 3.网页篡改 . - 38 - （五）云平台安全 . - 39 - （六）工业控制系统安全 . - 40 - 1.工业控制系统互联网侧暴露情况 . - 40 - 2.工业控制系统互联网侧威胁监测情况 . - 41 - 3.工业控制产品安全漏洞情况 . - 44 - - 1 - 前言 2019 年， 我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展， 网络安全风险融合叠加并快速演变。 互联网 技术应用 不断模糊物理世界和虚拟世界界限，对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大，网络空间威胁和风险日益增多。 比较突出的问题表现在 DDoS 攻击高发频发且攻击组织性与目的性更加 凸显； APT 攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗 ； 事件型漏洞和高危零日漏洞数量上升，信息系统面临的漏洞威胁形势更加严峻 ； 数据安全防护意识依然薄弱，大规模数据泄露事件 更加 频 发 ； “灰色”应用程序大量出现，针对重要行业安全威胁更加明显 ； 网络黑产活动专业化、自动化程度不断提升 ，技术对抗更加激烈； 工业控制系统产品安全问题依然突出，新技术应用带来新安全隐患更加严峻。 党的十八大以来，习近平总书记就网络安全和信息化工作提出了一系列新理念新思想新战略，系统阐述事关 网信事业发展的一系列重大理论和实践问题，形成了关于网络强国的重要思想 。 2019 年，我国网络安全顶层设计不断完善，中华人民共和国密码法 、 信息安全技术网络安全等级保护基本要求（网络安全等级保护 2.0）等多项网络安全相关法律法规、配套制度及有关标准陆续向社会发布。中央网信办、工业和信息化部、公安部等多部门开展了网站安全、 App 违法违规收集使用- 2 - 个人信息、电信和互联网行业提升网络数据安全保护能力、“净网 2019”等专项行动，切实维护了网络空间秩序，网络安全综合治理能力水平不断提升。 本报告以宏观安全监测数据为基础，结合各类安全威胁和事件信息 以及网络安全威胁治理实践成果 ，对 2019 年我国互联网网络安全状况进行了全面分析和总结，并对 2020 年网络安全趋势进行预测。 一、 2019 年我国互联网网络安全状况 2019年， 在 我国 相关部门持续开展 的 网络安全威胁治理 下 ， DDoS 攻击、 APT 攻击、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰产业、工业控制系统安全 威胁总体下降，但呈现出许多新的特点，带来新的 风险与挑战。 （一）党政机关、关键信息基础设施等重要单位防护能力显著 增 强，但 DDoS 攻击呈现高发频发态势，攻击组织性和目的性更加凸显 。 1.可被利用 实施 DDoS 攻击 的境内攻击资源稳定性持续降低，数量逐年递减，攻击资源迁往境外，处臵难度提高。 2019 年， 国家互联网应急中心（以下简称“ CNCERT”） 通过我国 DDoS 攻击资源月度分析报告 定期公布 DDoS 攻击资源（控制端、被控端、反射服务器、伪造流量来源路由器等）并协调各单位处臵。与 2018 年相比，境内控制端、 反射服务器 2019 年每月的报告可查看链接： cert/publish/main/68/index.html - 3 - 等资源按月变化速度加快、消亡 率明显上升、新增率 降低、可被利用的资源活跃时间和数量明显减少 每月可被利用 的境内 活跃 控制端 IP 地址数量 同比 减少 15.0%、活跃 反射服务器 同比 减少 34.0%。此外， CNCERT 持续跟踪 DDoS 攻击团伙情况，并配合公安部门治理取得了明显的效果。在治理行动的持续高压下， DDoS 攻击资源大量向境外迁移， DDoS 攻击的控制端数量和来自境外的反射攻击流量的占比均超过 90.0%。攻击我国目标的 大 规模 DDoS事件 中 ， 来自 境外 的 流量 占比超过 50.0%。 2.针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显，同时重要单位的防护能力也显著加强。 2019 年，我国党政机关、关键信息基础设施运营单位的信息系统频繁遭受 DDoS 攻击， 大部分单位 通过部署 防护设备或购买云防护服务等措施加强自身防护能力。 CNCERT 跟踪发现的某 黑客组织 2019 年 对我国 300 余家政府网站 发起了 1000 余次 DDoS 攻击 ，在初期其 攻击可 导致 80.0%以上的攻击目标 网站 正常服务受到 不同程度 影响 ， 但 后期 其 攻击 已 无法对攻击目标网站 带来实质伤害，说明 被攻击 单位的防护能力已得到大幅提升 。 3.DDoS 攻击依然呈现高发频发之势，仍有大量物联网设备被入侵控制后用于发动 DDoS 攻击。 我国发生攻击流量 峰值 超过 10Gbps 的大流量攻击事件日- 4 - 均约 220 起，同比 增加 40.0%；由于我国加大对 Mirai、 Gafgyt等物联网僵尸网络控制端的治理力度， 2019 年 物联网僵尸网络控制端消亡速度加快、活跃时间普遍较短，难以形成较大的控制规模， Mirai、 Gafgyt 等恶意程序控制端 IP 地址日均活跃数量呈现下降态势，单个 IP 地址活跃时间在 3 日以下的占比超过60.0%，因此， 物联网设备参与 DDoS 攻击活跃度在 2019 年后期也呈下降走势。尽管如此， 在监测发现的僵尸网络控制端中，物联网僵尸网络控制端数量占比仍超过 54.0%，其参与发起的DDoS 攻击的次数占比也超过 50.0%。未来将有更多的物联网设备接入网络，如果其安全性不 能提高，必然会给网络安全防御和治理带来更多困难。 （二） APT攻击监测与应急处置力度 加大 ，钓鱼邮件防范意识继续提升，但 APT攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗。 1.投递高诱惑性钓鱼邮件是大部分 APT 组织常用技术手段，我国重要行业部门对钓鱼邮件防范意识不断提高。 2019 年， CNCERT 监测到 重要党政机关部门遭受钓鱼邮件攻击数量达 50 多万次， 月均 4.6 万封 ，其中 携带 漏洞 利用 恶意代码 的 Office 文档成为主要 载荷，主要 利用 的漏洞包括CVE-2017-8570 和 CVE-2017-11882 等。 例如 “ 海莲花 ” 组织利用境外代理服务器为跳板，持续对我国党政机关和重要行业发起钓鱼邮件攻击，被攻击单位涉及数十个重要行业 、 近百个单- 5 - 位和数百个目标。 随着近年来 APT 攻击手段的不断披露和网络安全知识的宣传普及，我国重要行业部门对钓鱼邮件防范意识不断提高。比 对 钓鱼邮件攻击目标与最终被控目标，大约 90.0%以上的鱼叉钓鱼邮件 可以 被用户识别 发现 。 2.攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透。 2019 年，我国持续遭受来自 “方程式组织”、“ APT28” 、“ 蔓灵花 ” 、 “ 海莲花 ” 、 “ 黑店 ” 、 “ 白金 ” 等 30 余个 APT 组织的网络窃密攻击， 国家 网络空间安全 受到 严重威胁。境外 APT 组织不仅 攻击 我国 党政机关、国防军工和科研院所，还进一步向军民融合、 “ 一带一路 ” 、基础行业、物联网和供应链等领域扩展延伸 ， 通信、外交、能源、商务、金融、军工、海洋等领域成为境外 APT 组织重点攻击对象。 3.APT 攻击在我国重大活动和敏感时期更为猖獗频繁。 境外 APT组织习惯使用当下热点时事或与攻击目标工作相关的内容作为邮件主题，特别是瞄准我国重要攻击目标，持续反复进行渗透和横向扩展攻击，并在我国重大活动和敏感时期异常活跃。“蔓灵花”组织就重点围绕我国 2019 年全国“两会”、新中国成立 70 周年等重大活动，大幅扩充攻击窃密武器库，利用了数十个邮箱发送钓鱼邮件，攻击了近百个目标，向多台重要主机植入了攻击窃密武器，对我国党政机关、能源机构等重要信息系统实施大规模定向攻击。 - 6 - （三） 重大安全漏洞 应对 能力不断强化，但事件型漏洞和高危零日漏洞数量上升，信息系统面临的漏洞威胁形势更加严峻 。 1.我国漏洞信息共享与通报处臵工作持续加强，漏洞应急工作开展卓有成效。 2019 年，国家信息安全漏洞共享平台（ CNVD） 联合国内产品厂商、网络安全企业、科研机构、个人白帽子，共同完成对约 3.2 万起漏洞事件的验证、通报和处臵工作，同比上涨56.0%； 主要完成对微软操作系统远程桌面服务 （以下简称“ RDP系统”） 远程代码执行漏洞、 Weblogic WLS 组件反序列化零日漏洞、 ElasticSearch 数据库未授权访问漏洞等 38 起重大 风险 的应急响应，数量较上年上升 21%。 CNVD 联合各支撑单位积极应对上述漏洞威胁，开展技术分析研判、影响范围探测和安全公告发布等应急工作， 并 第一时间向涉事单位通报漏洞，协调相关方对漏洞及时进行修复和处臵。同时，及时公开发布 26 份影响范围广、需终端用户修复的重大安全漏洞通报，使社会公众及时了解漏洞危害，有效化解信息安全漏洞带来的网络安全威胁。 国家信息安全漏洞共享平台（ China National Vulnerability Database，简称 CNVD）是由 CNCERT 于 2009 年发起建立的网络安全漏洞信息共享知识库。 - 7 - 2.漏洞数量和影响范围仍然大幅增加，漏洞消控工作依然任重而道远。 一是 披 露的通用软硬件漏洞数量持续增长，且影响面大、范围广 。 2019 年 ， CNVD 新收录通用软硬件漏洞数量创下历史新高，达 16,193 个，同比增长 14.0%。这些漏洞影响范围从传统互联网到移动互联网，从操作系统、办公自动化系统（ OA）等软件到 VPN 设备、家用路由器等网络硬件设备，以及芯片、SIM 卡等底层硬件 ，广泛 影响我国基础软硬件安全及其上的应用安全 以微软 RDP 系统 远程代码执行漏洞为例，位于我国境内的 RDP 系统 （ IP 地址）规模就高达 193.0 万 个 ，其中大约有 34.9 万个 系统 （ IP 地址）受此漏洞影响。此外，移动互联网行业安全漏洞数量持续增长， 2019 年， CNVD 共收录移动互联网行业漏洞 1,324 个，较 2018 年同期 1,165 个增加了 13.7%，包括 智能终端蓝牙通信协议、智能终端操作系统、 App 客户端应用程序、物联网设备等均被曝光存在安全漏洞。 二是 2019 年我国事件型漏洞数量大幅上升。 CNVD 接收的事件型漏洞数量约 14.1 万条，首次突破 10 万条，较 2018 年同比大幅增长 227%。这些事件型漏洞涉及的信息系统大部分属于在线联网系统，一旦漏洞被公开或曝 光 ，如未及时修复，易遭不法分子利用进行窃取信息、植入后门、篡改网页等攻击操作，甚至成为地下黑产进行非法交易的 “ 货物 ” 。