2018中国网络安全现状研究报告.pdf

中国网络安全现状研究报告（2018 ）清华大学经济管理学院互联网发展与治理研究中心百度安全 2018 年 9 月本研究由清华大学经济管理学院互联网发展与治理研究中心主任陈煜波教授领导的研究团队与百度安全合作完成，特别感谢百度公司在数据、案例方面给予的大力支持，感谢国家自然科学基金（71532006，71325005）、国家万人计划青年拔尖人才项目以及教育部人文社会科学重点研究基地项目（16JJD630006 ）的资助。获取电子版请联系 cidgsem.tsinghua.edu 清华经管互联网发展与治理研究中心/ 百度 2018 版权所有 9/2018 目录 1 引言 . 1 2 中国重点网络安全议题 . 3 2.1 机构相关重点网络安全议题 . 3 2.2 个人相关重点网络安全议题 . 8 3 重点行业网络安全现状和发展方向 . 10 3.1 金融 . 10 3.1.1 现状 . 10 3.1.2 相关案例 . 11 3.1.3 发展方向 . 12 3.2 制造 . 13 3.2.1 现状 . 13 3.2.2 相关案例 . 13 3.2.3 发展方向 . 14 3.3 消费 . 15 3.3.1 现状 . 15 3.3.2 相关案例 . 15 3.3.3 发展方向 . 16 3.4 安防 . 17 3.4.1 现状 . 17 3.4.2 相关案例 . 17 3.4.3 发展方向 . 18 3.5 医疗 . 19 3.5.1 现状 . 19 3.5.2 相关案例 . 19 3.5.3 发展方向 . 20 3.6 汽车 . 20 3.6.1 现状 . 20 3.6.2 相关案例 . 21 3.6.3 发展方向 . 22 3.7 人工智能（AI ） . 23 3.7.1 现状 . 23 3.7.2 相关案例 . 23 3.7.3 发展方向 . 24 3.8 智能家居 . 25 3.8.1 现状 . 25 3.8.2 相关案列 . 26 3.8.3 发展方向 . 27 4 结语 . 27 1 1 引言近几年，随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展，围绕网络和数据的服务与应用呈现爆发式增长，丰富的应用场景下暴露出越来越多的网络安全风险和问题，并在全球范围内产生广泛而深远的影响，例如近几年频繁发生的勒索病毒攻击、跨国电信诈骗、数据泄露、网络暴力等事件，给各国的互联网发展与治理带来巨大的挑战。从概念上来看， “网络安全 ” 所涵盖的内容和范畴越来越大，从过去简单的上网和网络传输方面的安全问题扩展到整个 “ 网络空间 ” 的安全问题。国际电信联盟将网络安全定义为： “ 网络安全是集合工具、政策、安全概念、安全保障、指南、风险管理方法、行动、培训、实践案例、技术等内容的一整套安全管理体系，用于保护网络环境、组织以及用户的资产。组织和用户的资产包括连接的计算机设备、人员、基础设施、应用程序、网络服务、电信系统以及网络环境中传输和/ 或存储的信息 1 ” 。这个定义将网络安全视为一个生态系统，生态系统的良好运行需要来自技术、法律、政策、组织机构、技能、合作等多方面的保证，这一理念已经在许多国家得到认可和传播。国外近几年除了推动网络安全的立法和政策，也在推进网络安全的保险服务，保险行业需要对网络安全的概念和范畴进行更明确的限定，例如知名国际保险行业智库日内瓦协会(The Geneva Association) 将网络安全定义为“ 在使用信息通信技术过程中产生的危及数据和服务机密性、可用性和完整性的任何风险 2 ”。保险行业更加关注数据和服务的安全问题，在实际操作层面，保险公司会确定一系列网络安全事件，并及时更新事件类型和安全风险的场景。我国在 2017 年 6 月 1 日正式实施的中华人民共和国网络安全法中也对网络安全赋予了更加明确的定义， “ 网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、1参考国际电信联盟官方网站，itu.int/en/ITU-/studygroups/com17/Pages/cybersecurity.aspx 2The Geneva Association (2016), Ten Key Questions on Cyber Risk and Cyber Risk Insurance, The Geneva Association, Zurich. 2 保密性、可用性的能力 ” ，其中网络数据的安全问题成为一项重要内容。在实际应用层面，我国也是从网络安全事件类型的角度出发，制定一系列政策、标准、条例、指南等对不同的网络安全问题进行防范、处置和应对。目前，不论是政府、企业还是相关行业协会等机构都在积极推动网络安全治理能力的提升和网络安全生态的完善，但在具体实践中也面临着诸多方面的挑战。政府层面，过去三年推动了一系列网络安全管理的法律法规、标准和政策的落地。2015 年 7 月 1 日，国家安全法公布施行，其中首次以法律形式提出“维护国家网络空间主权”，并明确提出国家建设网络与信息安全保障体系。2015 年 7 月 6 日，中国人民共和国网络安全法（草案）发布，于 2017 年 6 月 1 日正式实施。过去三年间先后提出或颁布了多个配套法律法规和规范性文件，包括网络空间国际合作战略、国家网络安全应急预案、网络产品和服务安全审查办法、网络关键设备和网络安全专用产品目录、公共互联网网络安全威胁监测与处置办法、公共互联网网络安全突发事件应急预案、个人信息和重要数据出境安全评估办法、关键信息基础设施安全保护条例等等。这些法律法规和政策的落地极大地促进了我国网络空间法制体系的建设和完善，在保护网络空间主权、防范公共互联网风险、规范企业网络服务和保护个人数据与隐私方面形成了良好的指导作用，不过还需要通过较长时期的实践检验，才能在整个网络安全生态中营造出有效的规制作用。企业层面，一方面企业正在积极提高自身网络安全防护能力和行业协作，例如 2015 年 6 月 19 日，国内 32 家单位在北京共同签署了中国互联网协会漏洞信息披露和处置自律公约，这是首次以行业自律的方式共同规范漏洞信息的接收、处置和发布的行为。就当前发展阶段来看，近几年来企业对自身网络安全防护能力越来越重视，特别是对数据资产保护的重要性有了很强的意识，但是不同行业企业的网络安全防护能力差异很大，特别是一些依靠新兴数字技术快速发展起来的小微企业、初创企业，由于资本和能力的限制，自身网络安全能力建设水平较低，存在很大的网络安全风险。另一方面，企业也积极加强对客户隐私数据的保护和合规使用，特 3 别是在欧盟的通用数据保护条例(The General Data Protection Regulation, GDPR ）和中华人民共和国网络安全法落地实施后，对个人数据和隐私的保护有了更加严格的要求，企业尤其是跨国企业针对客户数据的收集、存储、使用等方面建立了严格的规范和准则，但就实施初期来看数据滥用、数据泄露的问题依然突出。整体来说，当前我国的网络安全生态系统尚处于发展初期，相关技术、法律、政策、组织机构、技能、合作等内容正在逐步建立和完善，且处于快速发展的阶段。与其他国家相比，我国在过去十年经历了移动互联网和新兴数字技术的飞速发展，应用场景纷繁复杂，在诸多行业引发了深刻的数字化变革。在这样的背景下，我国面临的网络安全问题具有诸多独特性，下文将从机构和个人两个角度出发，梳理我国的重点网络安全议题，进而分析我国网络安全的整体现状，并对重点行业的网络安全现状和发展方向进行了详细的分析和阐述。 2 中国重点网络安全议题 2.1 机构相关重点网络安全议题本章从机构和个人两个角度梳理我国当前的网络安全重点议题及案例，机构主要包括政府和企业，目前围绕这些议题正在形成一个越来越完善的网络安全生态系统。（1）网站和系统安全 a. 恶意网页/ 恶意内容的情况从恶意程序的类别来看，目前恶意程序主要包括恶意木马和僵尸网络两大类。其中恶意木马包括远程控制木马、僵尸网络木马、流量劫持木马、下载者木马、窃密或盗号木马等，僵尸网络则包括 IRC 协议僵尸网络、HTTP 协议僵尸网络和其他协议僵尸网络。如图 1 所示，目前我国计算机感染恶意程序的前三种类型为：远程控制木马、僵尸网络木马和流量劫持木马。仅 2017 年，这三种恶意程序感染计算机超过 1000 万台 3 。 3 数据来源：2017 年我国互联网网络安全态势综述 4 在感染恶意程序而生成的僵尸网络中，规模在 100 台以上的僵尸网络数量达到 3143 台，中小型规模僵尸网络（5000 台以下）占比为 89.8% 。从网络安全治理角度来看，近三年以来位于我国境内的僵尸网络数量逐年保持稳步下降趋势 4 。图 1 2017 年我国计算机感染恶意程序类型及分布 b. 安全漏洞根据国家信息安全漏洞共享平台（CNVD ）收录的漏洞统计结果来看，2015 年到 2017 年新增安全漏洞数据年均增长超过 20% ，呈现出较快增长的趋势 5 。这些安全漏洞的增长给个人和机构网络安全带来了较为严重的安全隐患。依据安全漏洞的影响，安全漏洞方面的网络安全问题可以分为：应用程序漏洞、 WEB 应用漏洞、操作系统漏洞、网络设备漏洞、安全产品漏洞和数据库漏洞；其中，网络设备包括路由器和交换机等，安全产品包括防火墙和入侵检测系统等。通过对安全漏洞影响类型的统计发现，排名前三的分别为应用程序漏洞、网络设备漏洞和 WEB 应用漏洞 6 。随着移动互联网的发展，安全漏洞也逐步开始从 PC 端向移动端转变。2013 年，我国移动端安全漏洞收录子库不到 300 个；2017 年，我国移动端安全漏洞收录子库4数据来源：国家计算机网络应急技术处理协调中心，2017 年我国互联网网络安全态势综述 5数据来源：cnvd/ 6数据来源：2018 年 CNVD 漏洞周报第 32 期cnvd/webinfo/show/4631 5 超过 2000 个。仅 2017 年，移动互联网子漏洞库收录数量比 2016 年增长幅度达到 105% 。此外，电信行业、电子政务和工业控制系统具有大幅度的上升。 c. 网站环境/ 安全机构网页环境主要包含面临三种恶意网页导致的安全隐患：网页仿冒、网站后门和网页篡改。根据国家互联网应急中心（CNCERT ）监测统计结果，三种恶意网页数量分别约为 4.9 万、5.5 万和 2.4 万，2017 年网页仿冒数量较 2016 年下降 72.5% ，境内 IP 地址对境内网站植入后门所占比例大幅下降，但网页篡改的数量增长 20% ，其中针对政府网页的篡改数量涨幅超过 30% 。从恶意网页的来源看，境外 IP 对境内网页的仿冒是网页仿冒的主要来源，占网页仿冒总数量的 88.2% ，其中主要来源地为中国香港和美国；在网站后门方面，境内 IP 对境内网站植入后门占比 52.7% ，对境内网站植入后门的境外 IP 前三个来源地为美国、中国香港和俄罗斯。图 2 2017 年恶意网址类型从恶意网页的内容看，我国恶意网页主要以博彩和违法色情为主，占恶意网页比例约为 90% （图 2 ）。根据百度安全发布的2017 年网址安全治理数据，虚假发布、恶意代码、虚假购物和网站被黑也是其他主要的恶意网站。这些恶意网站会导致网站存在下载恶意程序、网页挂马、网站被黑、恶意代码或漏洞被利用的风险。 6 d. 攻击风险针对机构的网络攻击行为中，针对网络数据中心（Internet Data Center ，以下简称 IDC ）的网络攻击尤其明显，常见的攻击类型主要包括 DDoS 攻击和黑产攻击。以 2017 年度 DDoS 攻击报告为例， 2017 年，我国 IDC 机房遭受攻击较为频繁，日均达到 1050 起攻击事件，其中 100Gbps 以下的攻击事件占比 90% （如图 3 所示）。图 3 DDoS 规模占比根据2017 年度 DDoS 攻击报告，游戏行业、互联网金融、电子商务是重点被攻击的行业，其中游戏是最容易被攻击的行业，短时间（30 分钟）内持续攻击占比 50%以上。在黑产攻击中，黑客通常会选择在企业发展的重要时间节点针对企业发起攻击，已达到勒索的目的。比如，当企业发布融资信息、发布新产品、大型促销活动时，通过对企业展开网络攻击获利。（2）关键基础设施安全关键基础设施的网络安全主要包含公众类、民生类和基础生产类关键基础设施的网络安全。关键基础设施的网络安全问题与政府、企事业单位以及公众的生产、生活息息相关，企业和政府的正常运转也需要关键基础设施的支撑。公众服务类基础设施网络安全包括政府部门、企事业单位和大型新闻门户的网站安全，这类关键基础设备直接关系到政府、企事业单位和社会治安的正常运行。民生类关键设施网络安全涉及金融企业和机构、电子政府系统以及其他公共服务类基础设施不受到恶意程序攻击、数据不泄露等。这类关键基础设施直接关系到人民的工作和生活，一 7 旦受到网络安全的威胁，会带来严重的影响。基础生产类关键设备的网络安全则涉及到能源、交通、电视广播以及数据中心等。（3）机构数据安全根据 Chief Risk Officers 论坛的定义，机构数据安全议题主要包括数据保密性、数据完整性和数据可获得性 7 。数据保密性主要涉及机密数据泄露的问题（通常也称为 “ 数据泄露 ” ），这也是机构数据安全最常见的网络安全事件。 2016 年 CRO 论坛将数据保密性事件分为两类 8 ：1 ）涉及本机构的数据泄露（例如财务数据，商业秘密或知识产权）；2 ）涉及第三方机构数据泄露的事件（例如客户的个人信息）。数据泄露可能导致不同类型的损失，包括数据和软件损失、事件响应成本、监管和法律辩护费用、罚款和处罚等。数据完整性主要是涉及损坏或加密自身或第三方数据的相关议题。数据完整性在实践中，主要有两种形式：1 ）由于软件错误而删除或损坏自己或第三方数据；2 ）由勒索软件入侵导致的自身或第三方数据被加密。数据可获得性是指数据托管机构能否把自身或第三方数据提供给其他相关机构和个人的议题。与机构被动数据泄露不一样，数据可获得性的问题是数据托管机构主动把关键或者敏感信息提供给其他机构和个人。尽管该过程中会对相关信息进行脱敏处理，但也会因为侵犯用户隐私给企业声誉带来损害。（4）物联网安全智能设备的网络安全所涉及的范围较广，与恶意程序和安全漏洞等网络安全议题存在较大重复的地方。一方面，恶意程序以及由此引发的变种会破坏智能设备、导致数据泄露、引发恶意攻击等；由于智能设备结构复杂、产品更新快、全天在线、感染后不易被发现，也更加容易遭到攻击。另一方面，智能设备由于与其他设备联系密切，无论是自身的安全漏洞还是与其连接设备的安全漏洞都容易被利用和攻击。 7资料来源Enhancing the Role of Insurance in Cyber Risk Management ，2017 8资料来源Emerging Risks Initiative Risk Radar Update ，2016 8 工业互联网安全的议题主要涉及针对工业控制系统和设备的恶意嗅探事件和工业控制系统及设备本身存在安全漏洞隐患。根据 CNCERT 和 CNVD 的数据统计，仅 2017 年有超过 200 万起境外 IP 对我国的工业互联网设备进行嗅探，而且目前我国有超过 200 个存在严重漏洞隐患的工业互联网设备。一旦这些漏洞隐患被黑客攻击或者利用，就会造成停产，敏感信息泄露等严重的经济和安全问题。（5）云安全随着越来越多的工作转移到云端，云计算已经成为应用、服务和基础设施交付主流，各类机构对云安全的担忧成为云计算进步的阻碍之一，因此需要为云计算设计专门的安全管理和控制解决方案，以防范数据泄露并促进云计算的发展。基础架构安全和持续保护是机构云安全的关键要素。对于用户而言，云安全的主要威胁是数据隐私侵犯、数据丢失、和保密违规。（6）人工智能（AI ）安全人工智能（AI ）将是下一次工业革命，各行各业都在积极拥抱 AI 。现在，越来越多的会议签到、人脸设别、智慧家居、智能音响、无人驾驶等 AI 应用正在逐渐渗透到我们的日常生活。遗憾的是，AI 不可避免的存在安全方面的局限性，在渗透到各行各业的同时，也将会带来很大的安全隐患。AI 的安全问题大概分为三方面：一是 AI 算法，AI 模型自身的安全问题；二是 AI 软件系统、框架、软件实现等附带的安全漏洞；三是 AI 技术被恶意利用，导致各种安全问题的加剧。 2.2 个人相关重点网络安全议题（1）个人数据与隐私保护相比机构网络安全的种类复杂和结果严重，与个人网络安全直接相关的议题是个人数据和隐私保护。随着大数据时代与信息经济的到来，数据的经济价值不断上升，网络攻击者开始通过多种渠道和方式获取个人敏感数据，进而造成数据泄露。一旦个人数据泄露发生，往往所涉及到的人数较多，且泄露的数据一般较为敏感。更为关键的是，近年来个人数据泄露的重大事件数量逐年升高，且在 2017 年泄露的数据总量创历史新高。 9 以 2017 年 3 月公布的一起数据泄露事件为例，攻击者通过入侵社交、游戏、视频直播和电子商务等多家互联网公司服务器，从中非法窃取并倒卖用户账号、密码、身份证信息、电话号码、物流地址等敏感公民个人信息，涉及数据量达到 50 亿条；更利用从窃取到的各类注册信息，复制用户银行卡，实施盗刷银行卡等违法犯罪活动。在当前个人用户越来越注重个人信息安全，并意识到个人数据和信息泄露随时都可能导致个人人身和财产损失的情况下，个人用户对用户网络安全特别是个人数据和隐私保护的要求也越来越高。（2）恶意程序针对个人恶意程序的议题，往往需要将恶意程序与网络黑产结合在一起讨论。网络黑产通过社交工具或者短信传播仿冒的钓鱼网站，引诱用户点击访问钓鱼网站，从而获取到用户的敏感信息。网络黑产通过虚假和欺诈等不良信息、挂马和恶意链接或者黑链和恶意劫持，伪