曾炜佶 邓坚 国家计算机网络应急技术处理协调中心江西分中心 南昌市 330000

0 前言

当今世界，以互联网技术为代表的信息技术日新月异，对国际政治、经济、文化、社会等领域发展产生了深远影响。互联网已经融入了社会生活的方方面面，极大的影响了国家发展进程。党中央提出网络强国战略思想，将其作为我国发展的重要方向，其中网络安全是网络强国战略思想的重要一环，习近平总书记在中央网络安全和信息化领导小组第一次会议上指出“没有网络安全就没有国家安全”。网络安全是国家发展的基础保障，是人民群众美好生活的重要保证。

近年来，在互联网不断发展的同时，网络安全问题也日益突出。一方面，面向云计算、大数据、工业互联网、物联网等新的网络业态、应用模式，网络安全的外延极大拓展；另一方面，随着骨干网络建设不断推进，移动互联网应用不断渗透，传统的用户个人信息安全、拒绝服务攻击、僵尸网络等威胁仍然严峻。网络空间的安全对抗仍然任重道远。

1 江西省互联网网络安全现状

2017年是我国继续深化网络安全和信息化国家战略的重要一年。江西省的互联网也得到较大发展，相比2016年，固定互联网宽带用户数增长11.89%，移动网用户增长38.59%，骨干网流量增长34.12%，备案网站增长20.82%。与此同时，江西省网络安全态势也有了一定变化，主要体现如下：

1.1 网页篡改和网站漏洞数量增长趋势明显

全省各级党政机关、重点行业、大型企业等单位的门户网站及重要信息系统共发生网页篡改数量为568个，同比增长25.39%。网站漏洞数量为570个，同比增长25.83%。漏洞事件中，以传统WEB安全漏洞为主，如SQL注入、弱口令、远程代码执行等。漏洞的主要特点为攻击难度较低且危害大，入侵者利用简单的攻击工具即可实施攻击。

图1 2013年～2017年江西省被篡改网站数量统计

1.2 僵木蠕威胁仍然存在

全省木马和僵尸程序受控主机的数量同比下降21.68%，控制端的主机数量同比上升25.15%。从数据上表明，僵木蠕受控主机数量虽然下降，但是绝对数量还是较大，且控制主机数量有上升趋势，说明抵御僵木蠕的任务依然艰巨，需要继续加大打击力度，减少木马、僵尸网络控制端、被控端的数量，净化网络环境。

图2 2013年～2017年江西省木马和僵尸受控主机IP地址数量统计

1.3 信息泄露问题仍不容忽视

传统的高危漏洞依然占据主导地位，如SQL注入、跨站脚本、目录遍历、弱口令、远程代码执行、设计缺陷等，这些漏洞的存在均可能导致敏感信息泄露。虽然网站管理者对数据保护的重视程度日益提升，但在网站数据和个人信息利益价值凸显的背景下，信息泄露事件仍频繁发生，尤其在教育机构中，教师和学生的个人隐私信息泄露比较严重，一旦被非法分子利用，容易造成严重后果。此外，移动互联网中隐私窃取恶意程序也是造成用户信息泄露的一个主要威胁。因此，防止信息泄露、保护个人隐私是值得社会各界高度重视的安全问题。

1.4 移动互联网流氓行为类程序占比最大

2017年监测发现的移动互联网恶意程序事件中流氓行为占比最大，其次分别为恶意扣费、资费消耗。移动互联网恶意程序涉及窃取用户隐私、诈骗用户钱财、窃取用户费用，已经成为了地下黑客产业链的重要一环，需要引起重视。

图3 移动互联网恶意程序数量类型分布

1.5 政府部门的网站安全态势依然比较严峻

政府部门的网站关注度比较高，易成为黑客攻击的对象。2017年的政府网站安全事件数量同比增加35.56%，形势不容乐观。从趋势来看，省级、市级政府网站的网络安全事件呈现减少或平稳的状态，县处级及以下单位网站的政府网络安全事件呈上升趋势。从安全事件的占比来看，省级和市级政府部门的网站安全事件相对较少，反映省级和市级政府部门对安全比较重视。相比之下，县级及以下的政府部门的网站安全事件相对较多，安全状况较差。

2 网络安全主要难点

2.1 个人信息安全威胁日益严重

随着互联网的不断发展，用户个人电子信息保护日益成为一个重要的网络安全议题。从江西省2017年发生的网络安全事件，以及全国影响较大的网络安全事件看，涉及用户个人电子信息的安全的网络安全事件大致可以分为如下两类：

一类是由于网站安全防护不到位，存在各种安全漏洞，被黑客入侵后进行“拖库”，导致网站保存的用户信息大批量泄漏。此外，黑客还可以使用“拖库”获取的数据，对其他网站进行“撞库”，获取进一步的用户数据。在云计算、大数据高速发展的背景下，这种情况还会不断扩大化。

图4 2013年～2017年江西省监测发现网站漏洞数量统计

另一类是通过移动互联网恶意程序，窃取用户通信录、短信（含银行、网购确认短信等）、互联网/帐号等信息，拦截交易提醒信息，从而达到窃取用户信息，骗取用户钱财的目的。

图5 江西省移动互联网感染恶意程序的用户数量月度统计

黑客窃取用户个人电子信息后，可以利用这些数据进行多种违法行为，包括：复制/盗刷用户银行卡、办理虚假身份的电话/银行卡、对用户及其相关者进行通讯信息诈骗等，极大的危害了用户个人信息安全。

为解决这些问题，需要互联网参与各方共同努力，强化网络系统的安全防护，防止网络系统被入侵、被破坏；加强对用户的安全宣传，提高用户对移动互联网恶意程序的防范意识，保护个人终端安全。

2.2 DDOS攻击威胁阴魂不散

分布式拒绝服务攻击（DDOS）是互联网上非常常见的攻击方式，2017年出现了几种新趋势：

一是物联网设备越来越多成为攻击源。物联网(Internet of Things，IoT)是继计算机、互联网之后出现的新型信息产业，其通过各种类型的IoT智能设备进行互联，提供更透彻的感知、更全面的互联互通和更深入的智能化服务。IoT智能设备通过软硬件结合手段，在传统硬件设备的基础上，加入联网模组,使得设备拥有联网和交互的“智能化”功能。大量IoT智能设备联入网络，在缺乏安全防护的情况下，无疑为黑客提供了大量可供控制的肉鸡，可用于组建僵尸网络，发动大流量DDOS攻击。较为可悲的是，国内很多物联网设备厂商对网络安全的意识仍然不到位，没有意识到自身存在保护设备安全的责任。比如笔者进行考察的某智能水表厂，对网络安全的认识仍然停留在网络运营商应防止黑客对其生产的智能水表进行保护的层面，没有意识到其生产的智能水表亦是一台接入网络的设备，应该存在相应的漏洞检测、补丁升级机制。从监测到的僵尸网络发展趋势看，Mirai、Iotroop等以物联网设备为基础的大型僵尸网络不断出现，极大的危害了网络的正常运行。

二是攻击方法复杂化。从应用层采取多个攻击向量联合攻击的攻击手法开始活跃，这种攻击方法可以使用较小的攻击流量，产生较大的攻击效果，并且较难检测、防御。另外，一些重大的安全漏洞也带来超大流量安全攻击的可能性。比如2018年2月至3月爆发的memcached反射DDOS攻击漏洞，流量放大倍数达到数万倍，互联网上存在大量存在漏洞的活跃主机（仅江西一省就监测发现1000余IP），使黑客只需要很少的代价就能发动很大流量的DDOS攻击（据CNCERT通报，监测到的峰值流量为1.94Tbps，远高于以往的DDOS攻击流量记录）。

2.3 网络安全漏洞层出不穷

从数量上看，漏洞数量不断增长，且有加速的趋势。2017年，各漏洞平台收录的网络安全漏洞数较2016年都有较大的增长，比如CVE增长71.00%、NVD增长129.34%、CNVD增长49.38%，且这种增长趋势在2018年仍在继续。

从对网络安全影响程度上看，重大漏洞安全事件仍时有发生。比如2017年4月The Shadow Brokers放出大量“方程式组织”使用的黑客工具，其中所使用的Windows安全漏洞直接被5月爆发的WannaCry勒索软件所使用；2018年初爆出的Intel熔断漏洞，更是对全球主流云服务厂商造成重大影响。

从攻击类型上看，新的漏洞威胁网络安全。从OWASP公布的2017年10大应用层威胁看，新增了XML外部实体（XXE）、不安全的反序列化、不足的日志记录和监控等类型的安全漏洞。由于互联网新技术的不断普及，开发模式的不断完善（比如DevOps、敏捷开发），在应用层的漏洞也日趋多样。

3 网络安全工作建议

3.1 推动《网络安全法》的落实

《中华人民共和国网络安全法》是我国网络安全领域的根本大法，对在我国境内建设、运营、维护和使用网络，及相应网络安全监督管理进行了规定。《网络安全法》从法律层面确立了关键信息基础设施保护制度、用户信息保护制度、网络安全监测预警与应急处置制度，对监管部门、网络运营者、用户个人的全力和义务进行了规定。为了保障《网络安全法》的权威，应当加强网络安全执法。从过去的网络安全数据看，仍有很多网络运营者不履行国家关于网络安全的要求，不加强自身的网络安全防护，不及时修补存在的安全漏洞，不报告网络安全事件，不配合开展网络安全处置。这就对有关执法部门提出了新的要求，需要全方位的推进《网络安全法》执法，通过执法落实企业主体责任，指导督促企业加强网络安全管理，投入物资、人力、技术，切实提升网络安全保障水平。

3.2 建设统一的安全防护体系

按照《网络安全法》第八条，“国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作”，工信部与公安部都有各自的网络安全防护体系。工信部主要依据为《通信网络安全防护管理办法》及其相关通信行业标准，主要面向电信和互联网行业提出安全防护需求。公安部主要依据为《信息安全等级保护管理办法》及相关配套文件、规范、标准，主要面向各类信息系统。两个体系在安全防护的基本方法上是一致的，都包括定级备案、符合性评测、风险评估、灾难备份等环节，但在具体技术标准上，由于侧重点不一而存在一定差异。按照《网络安全法》第二十三条，国家推动相关安全认证和安全结果互认，避免重复认证、检测。通过对工信部、公安部相关规范、标准进行融合，对相关认证机构、检测队伍进行互认，不断推进我国安全防护体系完善。

3.3 建立协同联动的网络安全治理体系

由于互联网全程全网的性质，网络安全管理不同于传统管理体系。一是涉及角色多。包括政府部门、网络运营者、网络安全技术支撑队伍、用户个人等。并且，某一方出现网络安全问题，也许对其自身没有明显影响，但是对于其他各方可能产生较大危害；二是涉及技术复杂。从攻击手法上说，有网页篡改、网站仿冒、拒绝服务攻击、漏洞后门等等，每年还会不断推陈出新。从攻击涉及的网络系统类型上说，有骨干网、支撑网、互联网应用等等；三是技术力量相对集中又相对分散。相对集中是指越向高层力量越强，越向基层力量越弱。相对分散是指政府部门、网络运营者、网络安全技术支撑队伍各自有各自的技术手段，相互功能互补，不能相互替代。

所以，网络安全管理不是某个部门、某个单位的事，需要从顶层开始设计，推进协同联动的网络安全管理体系，将各单位的网络安全技术手段对接起来，将各单位掌握的网络安全信息共享起来，将各单位的网络安全技术队伍交流起来，横向到边、纵向到底的建设一套完整的网络安全管理体系。

3.4 加大对网络安全热点的研究投入

互联网发展不断推陈出新，新的互联网技术不断涌现，同时也带来了新的网络安全问题。物联网、工业互联网、云计算、大数据、IPv6、5G、人工智能等技术的普及和应用无不在拓展网络安全的外延，提出新的安全防护需求。在这种情况下，需要组织相关高校、科研院所、网络安全企业加大对新技术新业务新应用的网络安全风险研究，培养网络安全人才队伍，研发新的网络安全技术工具，促进提高网络安全防护水平。

同时，对于传统互联网上的网络攻击、安全漏洞的研究分析也不能忽视，要继续加大对僵尸网络、恶意域名等黑客攻击资源的监测，防范大规模网络安全风险。