wangxinbaodi
长按识别二维码,关注“网信宝坻”
当前,网络安全威胁日益突出,网络安全风险不断向政治、经济、文化、社会、生态、国防等领域传导渗透,各国加强网络安全监管,持续出台网络安全政策法规。2018年,在中心网络安全和信息化委员会(原“中心网络安全和信息化领导小组”)的统一领导下,我国进一步加强网络安全和信息化管理事情,各行业主管部门协同推进网络安全管理。国家互联网应急中央(以下简称“CNCERT”)持续加强我国互联网网络安全监测,开展我国互联网宏不雅观网络安全态势评估,网络安全事宜监测、折衷处置和预警通报事情,取得了显著成效。CNCERT依托我国宏不雅观安全监测数据,结合网络安全威胁管理实践成果,在本报告中重点对2018年我国互联网网络安全状况进行了剖析和总结,并对2019年的网络安全趋势进行预测。
以下是该报告全文,敬请阅读。如需***该报告,请点击结尾处“阅读原文”***。
一、2018年我国互联网网络安全状况
2018年,我国进一步健全网络安全法律体系,完善网络安全管理系统编制机制,持续加强公共互联网网络安全监测和管理,构建互联网发展安全根本,构筑网民安全上网环境,特殊是在党政机关和主要行业方面,网络安全应急相应能力不断提升,恶意程序传染、网页修改、网站后门等传统的安全问题得到有效掌握。整年未发生大规模病毒爆发、大规模网络瘫痪的重大事宜,但关键信息根本举动步伐、云平台等面临的安全风险仍较为突出,APT攻击、数据透露、分布式谢绝做事攻击(以下简称“DDoS攻击”)等问题也较为严重。
(一)我国网络安全法律法规政策保障体系逐步健全
自我国《网络安全法》于2017年6月1日正式履行以来,我国网络安全干系法律法规及配套制度逐步健全,逐渐形成综合法律、监管规定、行业与技能标准的综合化、规范化体系,我国网络安全事情法律保障体系不断完善,网络安全司法力度持续加强。2018年,全国人大常委会发布《十三届全国人大常委会立法规划》,包含个人信息保护、数据安全、密码等方面。党中心、***各部门相继发力,网络安全方面法规、规章、法律阐明等陆续发布或履行。《网络安全等级保护条例》已向社会公开搜聚见地,《公安机关互联网安全监督检讨规定》、《关于加强跨境金融网络与信息做事管理的关照》、《区块链信息做事管理规定》、《关于加强政府网站域名管理的关照》等加强网络安全司法或强化干系领域网络安全的文件发布。
(二)我国互联网网络安全威胁管理取得新成效
我国互联网网络安全环境经由多年的持续管理效果显著,网络安全环境得到明显改进。特殊是党中心加强了对网络安全和信息化事情的统一领导,党政机关和主要行业加强网络安全防护方法,针对党政机关和主要行业的木马僵尸恶意程序、网站安全、安全漏洞等传统网络安全事宜大幅减少。2018年,CNCERT折衷处置网络安全事宜约10.6万起,个中网页仿冒事宜最多,其次是安全漏洞、恶意程序、网页修改、网站后门、DDoS攻击等事宜。CNCERT持续组织开展打算机恶意程序常态化打击事情,2018年成功关闭772个掌握规模较大的僵尸网络,成功割断了黑客对境内约390万台传染主机的掌握。据抽样监测,在政府网站安全方面,遭植入后门的我国政府网站数量均匀减少了46.5%,遭修改网站数量均匀减少了16.4%,显示我国政府网站的安全情形有所好转。在主管部门辅导下,CNCERT联合根本电信企业、云做事商等持续开展DDoS攻击资源专项管理事情,从源头上遏制了DDoS攻击行为,有效降落了来自我国境内的攻击流量。据CNCERT抽样监测,2018年境内发起DDoS攻击的生动掌握端数量同比低落46%、被控端数量同比低落37%;境内反射做事器、跨域假造流量来源路由器、本地假造流量来源路由器等可利用的攻击资源消亡速率加快、新增率降落。根据外部报告,我国境内僵尸网络掌握端数量在环球的排名从前三名降至第十名 ,DDoS生动反射源低落了60% ①。
(三)打单软件对主要行业关键信息根本举动步伐威胁加剧
2018年打单软件攻击事宜频发,变种数量不断攀升,给个人用户和企业用户带来严重丢失。2018年,CNCERT捕获打单软件近14万个,整年总体呈现增长趋势,特殊不才半年,伴随“打单软件即做事”家当的兴起,生动打单软件数量呈现快速增长势头,且更新频率和威胁广度都大幅度增加,例如打单软件GandCrab整年涌现了约19个版本,一贯快速更新迭代。打单软件传播手段多样,利用影响范围广的漏洞进行快速传播是当前紧张办法之一,例如打单软件Lucky通过综合利用弱口令漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等进行快速攻击传播。2018年,主要行业关键信息根本举动步伐逐渐成为打单软件的重点攻击目标,个中,政府、医疗、教诲、研究机构、制造业等是受到打单软件攻击较严重行业。例如GlobeImposter、GandCrab等打单软件变种攻击了我国多家医疗机构,导致医院信息系统运行受到严重影响。
(四)越来越多的APT攻击行为被表露
2018年,环球专业网络安全机构发布了各种高等威胁研究报告478份,同比增长了约3.6倍,个中我国12个研究机构发布报告80份,这些报告涉及已被确认的APT攻击组织包括APT28、Lazarus、Group 123、海莲花、MuddyWater等53个,攻击目标紧张分布在中东、亚太、美洲和欧洲地区,总体呈现出地缘政治紧密干系的特性,受攻击的领域紧张包括军队国防、政府、金融、外交和能源等。值得把稳的是,医疗、传媒、电信等国家做事性行业领域也正面临越来越多的APT攻击风险。②APT攻击组织采取的攻击手腕紧张以鱼叉邮件攻击、水坑攻击、网络流量挟制或中间人攻击等,其频繁利用公开或开源的攻击框架和工具,并综合利用多种技能以实现攻击,或规避与历史攻击手腕的重合。
(五)云平台成为发生网络攻击的重灾区
根据CNCERT监测数据,虽然海内主流云平台利用的IP地址数量仅占我国境内全部IP地址数量的7.7%,但云平台已成为发生网络攻击的重灾区,在各种型网络安全事宜数量中,云平台上的DDoS攻击次数、被植入后门的网站数量、被修改网站数量均占比超过50%。同时,海内主流云平台上承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的53.7%,木马和僵尸网络恶意程序掌握端IP地址数量占境内全部恶意程序掌握端IP地址数量的59%,表明攻击者常常利用云平台来发起网络攻击。剖析缘故原由,云平台成为网络攻击的主要目标是由于大量系统支配到云上,涉及国计民生、企业运营的数据和用户个人信息,成为攻击者攫取经济利益的目标。从云平台上发出的攻击增多是由于云做事利用存在便捷性、可靠性、低本钱、高带宽和高性能等特性,且云网络流量的繁芜性有利于攻击者隐蔽真实身份,攻击者更多的利用云平台设备作为跳板机或掌握端发起网络攻击。此外,云平台用户对其支配在云平台上系统的网络安全防护重视不敷,导致其系统可能面临更大的网络安全风险。因此,云做事商和云用户都应加大对网络安全的重视和投入,分工协作提升网络安全戒备能力。云做事商应供应根本性的网络安全防护方法并保障云平台安全运行,全面提高云平台的安全性和可控性。云用户对支配在云平台上的系统承担主体任务,需全面落实系统的网络安全防护哀求。
(六)谢绝做事攻击频次低落但峰值流量持续攀升
DDoS攻击是难以戒备的网络攻击手段之一,攻击手段和强度不断更新,并逐步形成了“DDoS即做事”的互联网玄色家当做事,普遍用于行业恶意竞争、敲诈打单等网络犯罪。得益于我国网络空间环境管理取得的有效成果,经由对DDoS攻击资源的专项管理,我国境内谢绝做事攻击频次总体呈现低落趋势。根据第三方剖析报告,2018年我国境内整年DDoS攻击次数同比低落超过20%,特殊是反射攻击较去年减少了80% 。③CNCERT抽样监测创造,2018年我国境内峰值流量超过Tbps级的DDoS攻击次数较往年增加较多,达68起。个中,2018年12月浙江省某IP地址遭DDoS攻击的峰值流量达1.27Tbps。
(七)针对工业掌握系统的定向性攻击趋势明显
2018年,针对特定工业系统的攻击越来越多,并多与传统攻击手段结合,针对国家工业掌握系统的攻击日益呈现出定向性特点。恶意软件Trisis利用施耐德Triconex安全仪表掌握系统零日漏洞,攻击了中东某石油天然气工厂,致其工厂停运。剖析创造,Trisis完全的文件库通过五种不同的编程措辞构建,因其定向性的特点,仅能在其攻击的同款工业设备上测试才能完备理解该恶意软件。2018年中期,恶意软件GreyEnergy被捕获,紧张针对运行数据采集与监视掌握系统(SCADA)软件和做事器的工业掌握系统事情站,具有模块化架构,功能可进一步扩展,可进行后门访问、盗取文件、抓取屏幕截图、记录敲击键和盗取凭据等操作。2018年,CNCERT抽样监测创造,我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数显著提高,虽未发生重大安全事宜,但需提高当心,引起重视。
(八)虚假和仿冒移动运用增多且成为网络诱骗新渠道
近年来,随着互联网与经济、生活的深度捆绑交织,通过互联网对网民履行远程非打仗式诱骗手段不断翻新,先后涌现了“网络投资”、“网络交友”、“网购返利”等新型网络诱骗手段。随着我国移动互联网技能的快速发展和运用遍及,2018年通过移动运用履行网络诱骗的事宜尤为突出,如大量虚假的“贷款APP”并无真实贷款业务,仅用于诱骗分子骗取用户的隐私信息和钱财。CNCERT抽样监测创造,在此类虚假的“贷款APP”上提交姓名、***照片、个人资产证明、银行账户、地址等个人隐私信息的用户超过150万人,大量受害用户向诱骗分子支付了上万元的所谓“包管费”、“手续费”用度,经济利益受到本色危害。此外,CNCERT还创造,具有与正版软件相似图标或名字的仿冒APP数量呈上升趋势。2018年,CNCERT通过自主监测和投诉举报办法共捕获新增金融行业移动互联网仿冒APP 样本838个,同比增长了近3.5倍,达近年新高。这些仿冒APP常日采取“蹭热度”的办法来传播和诱惑用户***并安装,可能会造成用户通讯录和短信内容等个人隐私信息透露,或在未经用户许可的情形下私自***恶意软件,造成恶意扣费等危害。
(九)数据安全问题引起前所未有的关注
2018年3月,Facebook公司被爆出大规模数据透露,且这些透露的数据被恶意利用,引起国内外普遍关注。2018年,我国也发生了包括十几亿条快递公司的用户信息、2.4亿条某连锁酒店入住信息、900万条某网站用户数据信息、某求职网站用户个人求职简历等数据透露事宜,这些透露数据包含了大量的个人隐私信息,如姓名、地址、***号、***号、联系电话、家庭成员等,给我国网和颜悦色身安全、财产安全带来了安全隐患。2018年5月25日,欧盟颁布实行史上最严的个人数据保护条例《通用数据保护条例》(GDPR),掀起了国内外的广泛谈论,该法案重点保护的是自然人的“个人数据”,例如姓名、地址、电子邮件地址、电话号码、生日、银行账户、汽车牌照、IP地址以及cookies等。根据定义,该法案监管网络个人数据的行为,包括所有形式的网络追踪。GDPR履行三天后,Facebook和谷歌等美国企业成为GDPR法案下第一批被告,这不仅给业界敲响了警钟,也督匆匆更多企业投入精力保护数据安全尤其是个人隐私数据安全。
二、2019年网络安全趋势预测
结合2018年我国网络安全状况,以及5G、IPv6、区块链等新技能的发展和运用,CNCERT预测2019年网络安全趋势紧张如下:
(一)有分外目的针对性更强的网络攻击越来越多
目前,网络攻击者发起网络攻击的针对性越来越强,有分外目的的攻击行动频发。近年来,有攻击团伙长期以我国政府部门、奇迹单位、科研院所的网站为紧张目标履行网页修改,境外攻击团伙持续对我政府部门网站履行DDoS攻击。网络安全事宜与社会活动紧密结合趋势明显,网络攻击事宜高发。
(二)国家关键信息根本举动步伐保护受到普遍关注
作为事关国家安全、社会稳定和经济发展的计策资源,国家关键信息根本举动步伐保护的事情尤为主要。当前,运用广泛的根本软硬件安全漏洞不断被表露、具有分外目的的黑客组织不断对我国关键信息根本举动步伐履行网络攻击,我国关键信息根本举动步伐面临的安全风险不断加大。2018年,APT攻击活动持续生动,我国多个主要行业遭受攻击。随着关键信息根本举动步伐承载的信息代价越来越大,针对国家关键信息根本举动步伐的网络攻击将会愈演愈烈。
(三)个人信息和主要数据透露危害更加严重
2018年Facebook信息透露事宜让我们重新核阅个人信息和主要数据的透露可能引发的危害,信息透露不仅陵犯网民个人利益,乃至可能对国家政治安全造成影响。2018年我国境内发生了多起个人信息和主要数据透露事宜,犯罪分子利用大数据等技能手段,整合得到的各种数据,可形成对用户的多维度精准画像,所产生的危害将更为严重。
(四)5G、IPv6等新技能广泛运用带来的安全问题值得关注
目前,我国5G、IPv6规模支配和试用事情逐步推进,关于5G、IPv6自身的安全问题以及衍生的安全问题值得关注。5G技能的运用代表着增强的移动宽带、海量的机器通信以及超高可靠低时延的通信,与IPv6技能运用共同发展,将真正实现让万物互联,互联网上承载的信息将更为丰富,物联网将大规模发展。但主要数据透露、物联网设备安全问题目前尚未得到有效办理,物联网设备被大规模利用发起网络攻击的问题也将更加突出。同时,区块链技能也受到国内外广泛关注并快速运用,从数字货币到智能合约,并逐步向文化娱乐、社会管理、物联网等多个领域延伸。随着区块链运用的范围和深度逐渐扩大,数字货币被盗、智能合约、钱包和挖矿软件漏洞等安全问题将会更加凸显。
附录:2018年我国互联网网络安全监测数据剖析
一、恶意程序
(一)打算机恶意程序捕获情形
2018年,CNCERT整年捕获打算机恶意程序样本数量超过1亿个,涉及打算机恶意程序家族51万余个,较2017年增加8,132个。整年打算机恶意程序传播次数 日均达500万余次。按照打算机恶意程序传播来源统计,位于境外的紧张是来自美国、加拿大和俄罗斯等国家和地区,来自境外的详细分布如图1所示。位于境内的紧张是位于陕西省、浙江省和河南省等省份。按照受恶意程序攻击的IP统计,我国境内受打算机恶意程序攻击的IP地址约5,946万个,约占我国IP总数的17.5%,这些受攻击的IP地址紧张集中在江苏省、山东省、浙江省、广东省等地区,2018年我国受打算机恶意程序攻击的IP分布情形如图2所示。
图1 2018年打算机恶意代码传播源位于境外分布情形
图2 2018年我国受打算机恶意代码攻击的IP分布情形
(二)打算机恶意程序用户传染情形
据CNCERT抽样监测,2018年,我国境内传染打算机恶意程序的主机数量约655万台,同比低落47.8%,如图3所示。位于境外的约4.9万个打算机恶意程序掌握做事器掌握了我国境内约526万台主机,就掌握做事器所属国家来看,位于美国、日本和德国的掌握做事器数量分列前三位,分别是约14,752个、6,551个和2,166个;就所掌握我国境内主机数量来看,位于美国、中国喷鼻香港和法国的掌握做事器掌握规模分列前三位,分别掌握了我国境内约334万、48万和33万台主机。
图3 境内传染打算机恶意程序主机数量变革
我国境内传染打算机恶意程序主机数量地区分布来看,紧张分布在广东省(占我国境内传染数量的10.9%)、江苏省(占9.9%)、浙江省(占9.4%)等省份,但从我国境内各地区传染打算机恶意程序主机数量所占本地区生动IP地址数量比例来看,河南省、江苏省和广西壮族自治区分列前三位,如图4所示。在监测创造的因传染打算机恶意程序而形成的僵尸网络中,规模在100台主机以上的僵尸网络数量达3,710个,规模在10万台以上的僵尸网络数量达36个,如图5所示。为有效掌握打算机恶意程序传染主机引发的危害,2018年,CNCERT组织根本电信企业、域名做事机构等成功关闭772个掌握规模较大的僵尸网络。根据第三方统计报告,位于我国境内的僵尸网络掌握端数量在环球的排名情形以及在环球掌握端总数量的占比均呈现低落趋势④。
图4 我国各地区传染打算机恶意程序主机数量占本地区生动IP地址数量比例
图5 2018年僵尸网络的规模分布
(三)移动互联网恶意程序
目前,随着移动互联网技能快速发展,我国移动互联网网民数量打破8.17亿(占我国网民总数量的98.6%)⑤,金融做事、生活做事、支付业务等全面向移动互联网运用迁移。但盗取用户信息、发送垃圾信息、推送广告和敲诈信息等危害移动互联网正常运行的恶意行为在不断陵犯广大移动用户的合法利益。2018年,CNCERT通过自主捕获和厂商交流得到移动互联网恶意程序数量283万余个,同比增长11.7%,只管近三年来增长速率有所放缓,但仍保持高速增长趋势,如图6所示。通过对恶意程序的恶意行为统计创造,排名前三的分别为泼皮行为类、资费花费类和信息盗取类 ,占比分别为45.8%、24.3%和14.9%,如图7所示。为有效戒备移动互联网恶意程序的危害,严格掌握移动互联网恶意程序传播路子,连续6年以来,CNCERT联合运用商店、云平台等做事平台持续加强对移动互联网恶意程序的创造和下架力度,以保障移动互联网康健有序发展。2018年,CNCERT累计折衷海内314家供应移动运用程序***做事的平台,下架3517个移动互联网恶意程序。
图6 2010年至2018年移动互联网恶意程序捕获数量走势
图7 2018年移动互联网恶意程序数量按行为属性统计
(四)联网智能设备恶意程序
据CNCERT监测创造,目前生动在智能联网设备上的恶意程序家族紧张包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。这些恶意程序及其变种产生的紧张危害包括用户信息和设备数据透露、硬件设备遭掌握和毁坏、被用于DDoS攻击或其他恶意攻击行为、攻击路由器等网络设备盗取用户上网数据等。CNCERT抽样监测创造,2018年,联网智能设备恶意程序掌握做事器IP地址约2.3万个,位于境外的IP地址占比约87.5%;被控联网智能设备IP地址约446.8万个,位于境内的IP地址占比约34.6%,个中山东、浙江、河南、江苏等地被控联网智能设备IP地址数量均超过10万个;掌握联网智能设备且掌握规模在1,000台以上的僵尸网络有363个,个中,掌握规模在1万台以上的僵尸网络19个,5万台以上的8个,如表1所示。
表1 2018年联网智能设备僵尸网络掌握规模统计情形
二、安全漏洞
(一)安全漏洞收录情形
2014年以来,国家信息安全漏洞共享平台(CNVD) 收录安全漏洞数量年均匀增长率为15.0%,个中,2018年收录安全漏洞数量同比减少了11.0%,共计14,201个,高危漏洞收录数量为4,898个(占34.5%),同比减少12.8%,但近年来“零日”漏洞 收录数量持续走高,2018年收录的安全漏洞数量中,“零日”漏洞收录数量占比37.9%,高达5,381个,同比增长39.6%,如图8所示。安全漏洞紧张涵盖Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等厂商产品,如表2所示。按影响工具分类统计,收录漏洞中运用程序漏洞占57.8%,Web运用漏洞占18.7%,操作系统漏洞占10.6%,网络设备(如路由器、交流机等)漏洞占9.5%,安全产品(如防火墙、入侵检测系统等)漏洞占2.4%,数据库漏洞占1.0%,如图9所示。
图8 2013年至2018年CNVD收录安全漏洞数量比拟
表2 2018年CNVD收录漏洞涉及厂商情形统计
图9 2018年CNVD收录漏洞按影响工具类型分类统计
2018年,CNVD连续推进移动互联网、电信行业、工业掌握系统和电子政务4类子漏洞库的培植事情,分别新增收录安全漏洞数量1,150个(占整年收录数量的8.1%)、720个(占5.1%)、461个(占3.2%)和171个(占1.2%),如图10所示。个中工业掌握系统子漏洞库收录数量持续攀升,较2017年增长了22.6%。CNVD整年通报涉及政府机构、主要信息系统等关键信息根本举动步伐安全漏洞事宜约2.1万起,同比低落23.6%。
图10 2013年至2018年CNVD子漏洞库收录情形比拟
2018年,运用广泛的软硬件漏洞被表露,修复难度很大,给我国网络安全带来严厉寻衅,包括打算机中心处理器(CPU)芯片爆出Meltdown漏洞 和Spectre漏洞 ,影响了1995年往后生产的所有Intel、AMD、ARM等CPU芯片,同时影响了各主流云做事平台及Windows、Linux、MacOS、Android等主流操作系统。随后,Oracle Weblogic server、Cisco Smart Install等在我国利用广泛的软件产品也相继爆出存在严重安全漏洞。
(二)联网智能设备安全漏洞
2018年,CNVD收录的安全漏洞中关于联网智能设备安全漏洞有2,244个,同比增长8.0%。这些安全漏洞涉及的类型紧张包括设备信息透露、权限绕过、远程代码实行、弱口令等;涉及的设备类型紧张包括家用路由器、网络摄像头等。
三、谢绝做事攻击
2018年,CNCERT抽样监测创造我国境内峰值超过10Gbps的大流量分布式谢绝做事攻击(DDoS攻击)事宜数量均匀每月超过4,000起,超过60%的攻击事宜为僵尸网络掌握发起。僵尸网络紧张偏好发动TCP SYN FLOOD和UDP FLOOD攻击,在线攻击平台紧张偏好发送UDP Amplification FLOOD攻击。
(一)攻击资源情形
2018年,CNCERT对整年用于发起DDoS攻击的攻击资源进行了持续剖析,创造用于发起DDoS攻击的C&C掌握做事器 数量共2,108台,总肉鸡 数量约144万台,反射攻击做事器约197万台,受攻击目标IP地址数量约9万个,这些攻击目标紧张分布在色情、博彩等互联网地下黑产方面以及文化体育和娱乐领域,此外还包括运营商IDC、金融、教诲、政府机构等。
(二)攻击团伙情形
2018年,CNCERT共监测创造利用僵尸网络进行攻击的DDoS攻击团伙50个。从整年来看,与DDoS攻击事宜数量、C&C掌握做事器数量一样,攻击团伙数量在2018年8月达到最高峰。个中,掌握肉鸡数量较大的较生动攻击团伙有16个,涉及C&C掌握做事器有358个,攻击目标有2.8万个,如表3所示。为进一步剖析这16个团伙的关系情形,通过对整年攻击活动进行剖析,创造不同攻击团伙之间相互较为独立,同一攻击团伙的攻击目标非常集中,不同攻击团伙间的攻击目标重合度较小。
表3 2018年生动攻击团伙基本信息表
四、网站安全
2018年,CNCERT加强了对网站攻击资源的剖析事情,创造绝大多数网站攻击行为由少量的生动攻击资源 发起,对我国网站安全影响较大。根据这些攻击资源之间的关联关系,可将其划分为不同的“攻击团伙”所节制。这些“攻击团伙”不断改换其节制的大量攻击资源,长期攻击并掌握着大量安全防护能力薄弱的网站。通过挖掘和研判“攻击团伙”对受攻击网站的详细操作行为,CNCERT创造这些攻击多带有黑帽SEO 、网页修改等范例黑产利益意图,并利用盛行的攻击工具对网站开展批量化、长期化掌握。随着对网站面临安全风险的深入剖析,CNCERT节制了大量的攻击者特色及攻击手腕,能为我国做好网站安全管理提出更有针对性、更有效的戒备建议。
(一)网页仿冒
2018年,CNCERT自主监测创造约5.3万个针对我国境内网站的仿冒页面,页面数量较2017年增长了7.2%。个中,仿冒政务类网站数量明显上升,占比高达25.2%,经剖析,这些仿冒页面紧张被用于短期内提高其域名的搜索引擎排名,从而快速转化为经济利益。为有效戒备网页仿冒引发的危害,CNCERT重点针对金融行业、电信行业网上业务厅的仿冒页面进行处置,整年共折衷处置仿冒页面3.5万余个。从承载仿冒页面IP地址归属情形来看,绝大多数位于境外,紧张分布在美国和中国喷鼻香港,如图11所示。
图11 2018年承载仿冒页面IP地址和仿冒页面数量分布
(二)网站后门
1. 我国境内被植入后门情形
2018年,CNCERT监测创造境内外约1.6万个IP地址对我国境内约2.4万个网站植入后门。近三年来,我国境内被植入后门的网站数量持续保持低落趋势,2018年的数量较2017年低落了19.3%。个中,约有1.4万个(占全部IP地址总数的90.9%)境外IP地址对境内约1.7万个网站植入后门,位于美国的IP地址最多,占境外IP地址总数的23.2%,其次是位于中国喷鼻香港和俄罗斯的IP地址,如图12所示。从掌握我国境内网站总数来看,位于中国喷鼻香港的IP地址掌握我国境内网站数量最多,有3,994个,其次是位于美国和俄罗斯的IP地址,分别掌握了我国境内3,607个和2,011个网站。
图12 2018年境外向我国境内网站植入后门IP地址所属国家或地区TOP10
2. 网站后门“攻击团伙”情形
2018年,CNCERT监测创造,攻击生动在 10 天以上的网站“攻击团伙”有 777 个,整年生动的“攻击团伙”13 个,如图所示。“攻击团伙”中利用过的攻击 IP地址数量大于 100个 的有 22 个,攻击网站数量超过 100 个的“攻击团伙”有 61 个。从“攻击团伙”的攻击生动天数来看,少数攻击团伙能够保持持续生动,如图13所示。多数“攻击团伙”的生动天数较短,无法形成对被入侵网站做事器的持久化掌握;少量值得关注的“攻击团伙”具有永劫光持续攻击的特点,持续对其入侵的多个网站做事器实现长期掌握。
图13 不同生动天数的“攻击团伙”数量统计
(三)网页修改
2018年,CNCERT监测创造我国境内遭修改的网站有7,049个,较2017年的约2万个有大幅的低落,低落了64.9%,个中被修改确当局网站有216个,较2017年的618个减少65.0%,如图14所示。从网页遭修改的办法来看,被植入暗链的网站占全部被修改网站的比例为56.9%,占比呈现持续缩小趋势。从境内被修改网页的顶级域名分布来看,“.com”、“.net”和“.gov.cn”占比分列前三位,分别占总数的66.3%、7.7%和3.1%,占比分布情形与2017年无明显变革。
图14 2013年至2018年我国境内被修改网站数量情形
五、工业互联网安全
(一)工业网络产品安全检测情形
为贯彻《网络安全法》并落实对网络关键设备和网络安全专用产品的安全管理规定,确保入网设备的网络安全防护水平,安全入网检测事情已得到关键信息根本举动步伐运营者的重视。CNCERT自主研发了工业互联网安全测试平台Acheron,在2017年得到了ISAsecure威信认证 。2018年,CNCERT利用该平台,对主流工控设备和网络安全专用产品进行了安全入网抽检,并对电力二次设备进行了专项安全测试。在所涉及35个国内外主流厂商的87个型号产品中共创造232个高危漏洞,可能产生的风险包括谢绝做事攻击、远程命令实行、信息透露等,如图15所示。利用这些漏洞,攻击者可使工控设备宕机,乃至获取设备掌握权限,可能对其他工业网络设备发起攻击。CNCERT还剖析创造,在电力设备测试中创造部分漏洞呈现同源性特色,经剖析因大多数电力设备厂商在实现IEC 61850协议(电力系统最主要的通信协议之一)时都采取了美国SISCO公司的第三方开拓套件,显示了较严重的产品供应链安全风险。
图15 2018年工业网络产品安全检测中创造的高危漏洞类型分布
(二)联网工业设备和工业云平台暴露情形
2018年,CNCERT不断升级监测手段,扩大监测范围,进一步加强了针对联网工业设备和工业云平台的网络安全问题跟踪,整年累计创造境外对我国暴露工业资产的恶意嗅探事宜约4,451万起,较2017年数量暴增约17倍;创造我国境内暴露的联网工业设备数量共计6,020个,涉及西门子、韦益可自控、罗克韦尔等37家国内外有名厂商产品,如图16所示,这些联网设备的厂商、型号、版本、参数等信息遭恶意嗅探。其余,CNCERT创造具有一定规模的工业云平台30多家,业务涉及能源、金融、物流、智能制造、聪慧城市等方面,并监测创造根云、航天云网、COSMOPlat、OneNET、OceanConnect等大型工业云平台持续遭受漏洞利用、谢绝做事、暴力破解等网络攻击,工业云平台正逐渐成为网络攻击的重点目标。
图16 2018年创造的联网工业设备厂商分布情形
(三)重点行业远程巡检情形
电力、石化等重点行业的生产监控管理系统因存在网络配置疏漏等问题,可能会直接暴露在互联网上,一旦遭受网络攻击,影响巨大。为评估主要行业联网工业监控管理系统的网络安全风险情形,2018年CNCERT对电力、城市公用工程、石油天然气三个行业开展了远程安全巡检事情,创造电力行业暴露干系监控管理系统532个,涉及政府监管、电企管理、用电管理和云平台4大类;城市公用工程行业暴露干系监控管理系统1,015个,涉及供水、供暖和燃气3大类;石油天然气行业暴露干系监控管理系统298个,涉及油气开采、油气运输、油气存储、油品发卖、化工生产和政府监管6大类,如图17所示。同时,CNCERT剖析创造,电力、城市公用工程和石油天然气三个行业的联网监控管理系统均存在高危漏洞隐患,各自占监控管理系统的比例为10%、28%和35%,且部分暴露的监控管理系统存在遭境外恶意嗅探、网络攻击的情形。
图17 2018年创造的重点行业联网监控管理系统分类
六、互联网金融安全
为实现对我国互联网金融平台网络安全总体态势的宏不雅观监测,CNCERT发挥技能上风,培植了国家互联网金融风险剖析技能平台网络安全监测功能,对我国互联网金融干系网站、移动APP等的安全风险进行监测。2018年,CNCERT支撑干系部门,就北京地区275家网贷机构运营的275个网贷平台网站、192个移动APP进行网络安全检讨,并对其提交的落实网络安全事情的材料进行审核,以作为这些网贷机构能够得到网贷备案的必要条件。
(一)互联网金融网站安全情形
2018年,CNCERT创造互联网金融网站的高危漏洞1,700个,个中XSS跨站脚本类型漏洞占比最多有782个(占比46.0%);其次是SQL注入漏洞476个(占比28.0%)和远程代码实行漏洞85个(占比5.0%),如图18所示。近年来,随着互联网金融行业的发展,互联网金融平台运营者的网络安全意识有所提升,互联网金融平台的网络安全防护能力有所加强,特殊是规模较大的平台,但仍有部分平台安全防护能力不敷,安全隐患较多,CNCERT监测创造高危互联网金融网站330个,个中部分平台存在的高危漏洞数量超过10项。
图18 互联网金融网站高危漏洞分布情形
(二)互联网金融APP安全情形
在移动互联网技能发展和运用遍及的背景下,用户通过互联网金融APP进行投融资的活动愈加频繁,绝大多数的互联网金融平台通过移动APP开展业务,且有部分平台仅通过移动APP开展业务。2018年,CNCERT对430个互联网金融APP进行检测,创造安全漏洞1,005个,个中高危漏洞240个,明文数据传输漏洞数量最多有50个(占高危漏洞数量的20.8%),其次是网页视图(Webview)明文存储密码漏洞有48个(占20.0%)和源代码反编译漏洞有31个(占12.9%),如图19所示。这些安全漏洞可能威胁交易授权和数据保护,存在数据透露风险,个中部分安全漏洞影响运用程序的文件保护,不能有效阻挡运用程序被逆向或者反编译,进而使运用暴露出多种安全风险。
图19 互联网金融移动APP高危漏洞分布情形
(三)区块链系统安全情形
伴随互联网金融的发展,攻击者攻击互联网金融平台牟利的手段不断升级,并领悟了金融业务特色,涌现“互联网+金融”式攻击,尤其是在区块链数字货币等业务领域表现得更为明显。首先,区块链系统每每自带金融属性,直接运行数字货币等资产;其次,区块链干系代码多为开源,随意马虎暴露风险;第三,区块链系统在对等网络环境中运行,网络中的节点防护能力有限;第四,用户自行保管私钥,一旦丢失或盗取无法找回;第五,干系业务平台发展韶光短,系统安全防护履历和手段不完善、全面性和强度不敷。2018年3月,虚拟数字货币交易平台“币安”遭攻击。攻击者盗取用户在该平台的交易接口密钥,通过自动化交易大幅拉升“维尔币(VIA)”的价格。攻击者提前在币安埋下VIA的高价卖单,利用其巨额涨幅获取暴利。同时黑客通过分布攻击的,导致短韶光市场涌现惶恐,市场价格大幅下跌,黑客也可在其他交易平台通过瞬时做空的形式获利;这种攻击办法通过盗取用户信息恶意操纵行情变革获利,办法新颖,戒备难度大。
报告中引用的第三方数据:
①③④干系数据来源于
卡巴斯基环球DDoS攻击趋势报告(2015.Q1-2018.Q4)
中国电信云堤、绿盟科技联合发布的《2018DDoS攻击态势报告》
阿里云《2018年DDoS攻击全态势:降服第一波攻击成“抗D” 关键》
②干系信息来源于
360威胁情报中央《环球高等持续性威胁(APT)2018年报告》
⑤干系数据来源于
中国互联网络信息中央发布的第43次《中国互联网络发展状况统计报告》
来源:“国家互联网应急中央CNCERT”微信公号
