2019年中国互联网网络安全报告出炉

2020-04-01孙友添

计算机与网络 2020年20期

孙友添

近日，国家互联网应急中心公布了《2019年中国互联网网络安全报告》（以下简称《报告》）。其中，2019年全年捕获计算机恶意程序样本数量超过6 200万个，日均传播次数达824万余次，涉及计算机恶意程序家族66万余个。

据悉，按照传播来源统计，位于境外的主要来自美国、俄罗斯和加拿大等国家和地区。其中，美国占53.5 %。而按照目标IP地址统计，我国境内受计算机恶意程序攻击的IP地址约6 762万个，占我国IP地址总数的18.3 %，主要集中在山东省、江苏省和浙江省等，分别占8.8 %、8.4 %和8.1 %。

在木马和僵尸程序方面，我国境内木马或僵尸程序受控主机IP地址数量占比按地域统计，占比排名前3位的为广东省、江苏省和浙江省。在感染计算机恶意程序而形成的僵尸网络中，规模在100台主机以上的僵尸网络数量达5 612个，规模在10万台主机以上的僵尸网络数量达39个。

2019年网络安全状况综述

2019年，在我国相关部门持续开展的网络安全威胁治理下，分布式拒绝服务攻击（以下简称DDoS攻击）、高级持续性威胁攻击（APT攻击）、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰色产业链（以下简称黑灰产）和工业控制系统安全威胁总体下降，但呈现出许多新的特点，带来新的风险与挑战。

一、党政机关、关键信息基础设施等重要单位防护能力显著增强，但DDoS攻击呈现高发频发态势，攻击组织性和目的性更加凸显

1.可被利用实施DDoS攻击的我国境内攻击资源稳定性持续降低，数量逐年递减，但攻击资源迁往境外，处置难度提高

與2018年相比，我国境内控制端、反射服务器等资源按月变化速度加快、消亡率明显上升、新增率降低、可被利用的资源活跃时间和数量明显减少———每月可被利用的我国境内活跃控制端IP地址数量同比减少15.0 %、活跃反射服务器同比减少34.0 %。在治理行动的持续高压下，DDoS攻击资源大量向境外迁移，DDoS攻击的控制端数量和来自境外的反射攻击流量的占比均超过90.0 %。攻击我国目标的大规模DDoS攻击事件中，来自境外的流量占比超过50.0%。

2.针对党政机关、关键信息基础设施等重要单位发动攻击的组织性、目的性更加明显，同时重要单位的防护能力也显著加强

2019年，我国党政机关、关键信息基础设施运营单位的信息系统频繁遭受DDoS攻击，大部分单位通过部署防护设备或购买云防护服务等措施加强自身防护能力。CNCERT/CC跟踪发现的某黑客组织2019年对我国300余个政府网站发起了1 000余次DDoS攻击，在初期其攻击可导致80.0 %以上的攻击目标网站正常服务受到不同程度影响，但后期其攻击已无法对攻击目标网站带来实质伤害，说明被攻击单位的防护能力已得到大幅提升。

3. DDoS攻击依然呈现高发频发态势，仍有大量物联网设备被入侵控制后用于发动DDoS攻击

我国发生攻击流量峰值超过10 Gbit/s的大流量攻击事件日均约220起，同比增加40.0 %。由于我国加大对Mirai、Gafgyt等物联网僵尸网络控制端的治理力度，2019年物联网僵尸网络控制端消亡速度加快、活跃时间普遍较短，难以形成较大的控制规模，Mirai、Gafgyt等恶意程序控制端IP地址日均活跃数量呈现下降态势，单个IP地址活跃时间在3天以下的占比超过60.0 %，因此，物联网设备参与DDoS攻击活跃度在2019年后期也呈下降走势。尽管如此，在监测发现的僵尸网络控制端中，物联网僵尸网络控制端数量占比仍超过54.0 %，其参与发起的DDoS攻击的次数占比也超过50.0 %。未来将有更多的物联网设备接入网络，如果其安全性不能提高，必然会给网络安全的防御和治理带来更多困难。

二、APT攻击监测与应急处置力度加大，钓鱼邮件防范意识继续提升，但APT攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗

1.投递高诱惑性钓鱼邮件是大部分APT组织常用技术手段，我国重要行业部门对钓鱼邮件防范意识不断提高

2019年，CNCERT/CC监测到重要党政机关部门遭受钓鱼邮件攻击数量达56万多次，月均4.6万余次，其中携带漏洞利用恶意代码的Office文档成为主要载荷，主要利用的漏洞包括CVE-2017-8570和CVE-2017-11882等。

2.攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透

2019年，我国持续遭受来自“方程式组织”“APT28”“蔓灵花”“海莲花”“黑店”“白金”等30余个APT组织的网络窃密攻击，国家网络空间安全受到严重威胁。境外APT组织不仅攻击我国党政机关、国防军工和科研院所，还进一步向“一带一路”、基础行业、物联网以及供应链等领域扩展延伸，电信、外交、能源、商务、金融、军工和海洋等领域成为境外APT组织重点攻击对象。

3.APT攻击在我国重大活动和敏感时期更为猖獗频繁

境外APT组织习惯使用当下热点时事或与攻击目标工作相关的内容作为邮件主题，特别是瞄准我国重要攻击目标，持续反复进行渗透和横向扩展攻击，并在我国重大活动和敏感时期异常活跃。

三、重大安全漏洞应对能力不断强化，但事件型漏洞和高危零日漏洞数量上升，信息系统面临的漏洞威胁形势更加严峻

1.我国漏洞信息共享与通报处置工作持续加强

2019年，国家信息安全漏洞共享平台（CNVD）联合国内产品厂商、网络安全企业、科研机构和个人白帽子等相关力量，共同完成对约3.2万起漏洞事件的验证、通报和处置工作，同比上涨56.0 %。

2.漏洞数量和影响范围仍然大幅增加

一是披露的通用软硬件漏洞数量持续增长，且影响面大、范围广。2019年，CNVD新收录通用软硬件漏洞数量创下历史新高，达16 193个，同比增长14.0 %。

位于我国境内的RDP（IP地址）规模就高达193.0万余个，其中大约有34.9万个受此漏洞影响。此外，移动互联网行业安全漏洞数量持续增长，2019年，CNVD共收录移动互联网行业漏洞1 324个，较2018年同期1 165个增加了13.6 %，智能终端蓝牙通信协议、智能终端操作系统、App客户端应用程序和物联网设备等均被曝光存在安全漏洞。

二是2019年我国事件型漏洞数量大幅上升。CNVD接收的事件型漏洞数量约14.1万条，首次突破10万条，较2018年同比大幅增长227 %。

三是高危零日漏洞占比增大。近5年来，零日漏洞（指CNVD收录该漏洞时还未公布补丁）收录数量持续走高，年均增长率达47.5 %。2019年收录的零日漏洞数量继续增长，占总收录漏洞数量的35.2 %，同比增长6.0 %。

四、数據风险监测与预警防护能力提升，但数据安全防护意识依然薄弱，大规模数据泄露事件频发

1.数据安全保护力度继续加强

2019年，CNCERT/CC加强监测发现、协调处置，全年累计发现我国重要数据泄露风险与事件3 000余起，支撑中央网信办重点对其中400余起存储有重要数据或大量公民个人信息数据的事件进行了应急处置。MongoDB，ElasticSearch，SQL Server，MySQL，Redis等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露，成为2019年数据泄露风险与事件的突出特点。

2. App违法违规收集使用个人信息治理持续推进

截至2019年12月底，共受理网民有效举报信息1.2万余条，核验问题App 2 300余款；组织四部门推荐的14家专家技术评估机构对1 000余款常用重点App进行了深度评估，发现大量强制授权、过度索权和超范围收集个人信息问题，对于问题严重且不及时整改的依法予以公开曝光或下架处理。

3.涉及公民个人信息的数据库数据安全事件频发

2019年针对数据库的密码暴力破解攻击次数日均超过百亿次，数据泄露、非法售卖等事件层出不穷，数据安全与个人隐私面临严重挑战。科技公司、电商平台等信息技术服务行业，银行、保险等金融行业以及医疗卫生、交通运输和教育求职等重要行业涉及公民个人信息的数据库数据安全事件频发。

此外，部分不法分子已将数据非法交易转移至暗网，暗网已成为数据非法交易的重要渠道，涉及银行、证券和网贷等金融行业数据非法售卖事件最多占比达34.3 %，党政机关、教育、各主流电商平台等行业数据被非法售卖的事件也时有发生。

五、恶意程序增量首次下降，但“灰色”应用程序大量出现，针对重要行业安全威胁更加明显

1.移动互联网恶意程序增量首次出现下降，高危恶意程序的生存空间正在压缩，下架恶意程序数量连续6年下降

2019年，新增移动互联网恶意程序279万余个，同比减少1.4 %。根据14年来的监测统计，移动互联网恶意程序新增数量在经历快速增长期、爆发式增长期后，现已进入缓速增长期，并在2019年新增数量首次出现下降趋势。

2019年出现的移动互联网恶意程序主要集中在Android平台，根据《移动互联网恶意程序描述格式》（YD/T 2439-2012）行业标准对恶意程序的行为属性进行统计，具有流氓行为类、资费消耗类等低危恶意行为的App数量占69.3 %，具有远程控制类、恶意扣费类等高危恶意行为的App数量占10.6 %。

2019年共处理协调152个应用商店、86个广告平台、63个个人网站以及19个云平台共320个传播渠道，下架App总计3 057个，相较2014 - 2018年期间下架数量分别为3.9万余个、1.7万余个、0.9万余个、0.8万余个、3 578个，连续6年呈逐年下降趋势。

2.以移动互联网仿冒App为代表的“灰色”应用程序大量出现，主要针对金融、交通等重要行业的用户

六、黑产资源得到有效清理，但恶意注册、网络赌博、勒索病毒、挖矿病毒等依然活跃，高强度技术对抗更加激烈

1.网络黑产打击取得阶段性成果

每月活跃“黑卡”总数从约500万个逐步下降到约200万个，降幅超过60.0 %。2019年年底，用于浏览器主页劫持的恶意程序月新增数量由65款降至16款，降幅超过75 %；被植入赌博暗链的网站数量从1万余个大幅下降到不超过1 000个。公安机关在“净网2019”行动中，关掉各类黑产公司210余家，捣毁、关停买卖手机短信验证码或帮助网络账号恶意注册的网络接码平台40余个，抓获犯罪嫌疑人1.4万余名。

2.网络黑产活动专业化、自动化程度不断提升，技术对抗越发激烈

2019年监测到各类网络黑产攻击日均70万余次，电商网站、视频直播和棋牌游戏等行业成为网络黑产的主要攻击对象，攻防博弈持续演进。

3.勒索病毒、挖矿木马在黑产刺激下持续活跃

2019年，CNCERT/CC捕获勒索病毒73.1万余个，较2018年增长超过4倍，勒索病毒活跃程度持续居高不下。分析发现，勒索病毒攻击活动越发具有目标性，且以文件服务器、数据库等存有重要数据的服务器为首要目标，通常利用弱口令、高危漏洞和钓鱼邮件等作为攻击入侵的主要途径或方式。

七、工业控制系统网络安全在国家层面顶层设计进一步完善，但工业控制系统产品安全问题依然突出，新技术应用带来新安全隐患更加严峻

1.国家层面工业控制系统网络安全顶层设计不断完善，国家级工业控制系统网络安全监测和态势感知能力不断提升。

2.工业控制系统产品漏洞数量居高不下。

3.互联网侧暴露面持续扩大，新技术的应用给工业控制系统带来了新的安全隐患。

网络安全监测数据分析

一、恶意程序

1.计算机恶意程序用户感染情况

2019年，我国境内感染计算机恶意程序的主机数量为581.88万台，同比下降11.3 %。

位于境外的约5.6万个计算机恶意程序控制服务器控制了我国境内约552万台主机，就控制服务器所属国家和地区来看，位于美国、日本和中国香港地区的控制服务器数量分列前3位。

就所控制我国境内主机数量来看，位于美国、荷兰和法国的控制服务器控制规模分列前3位。

此外，根据CNCERT/CC抽样监测数据，针对IPv6网络的攻击情况也开始出现，2019年境外约3 000个IPv6地址的计算机恶意程序控制服务器控制了我国境内约4.0万台IPv6地址主机。

2019年我国境内木马或僵尸程序受控主机IP地址数量占比按地域统计，占比排名前3位的为广东省、江苏省和浙江省。

在感染计算机恶意程序而形成的僵尸网络中，规模在100台主机以上的僵尸网络数量达5 612个，规模在10万台主机以上的僵尸网络数量达39个。

2.移动互联网恶意程序捕获情况

2019年，CNCERT/CC通过自主捕获和厂商交换新增获得移动互联网恶意程序样本279万余个，同比减少1.4%，近5年来增速持续保持放缓，并首次出现增量下降。

通过对移动互联网恶意程序的恶意行为属性统计发现，排名前3位的仍然是流氓行为类、资费消耗类和信息窃取类，占比分别为36.1 %，33.2 %，11.6 %。

3.联网智能设备恶意程序捕获情况

2019年，CNCERT/CC捕获联网智能设备恶意程序样本约324.1万个，其中大部分属于Mirai家族和Gafgyt家族（占比86.1 %）。服务端传播源IP地址约2.78万个，其中绝大部分传播源IP地址位于境外（占比79.9 %），我国境内疑似受感染智能设备IP地址数量约203.8万个（同比上升31.8 %），主要位于浙江省、江苏省、山东省、辽宁省和河南省等，被控联网智能设备日均向1528个目标发起DDoS攻击。

二、安全漏洞

2019年，国家信息安全漏洞共享平台（CNVD）收录安全漏洞数量创下历史新高，收录安全漏洞数量同比增长了14.0 %，共计16 193个，2013年以来每年平均增长率为12.7 %。其中，高危漏洞收录数量为4 877个（占30.1 %），同比减少0.4 %，但零日漏洞收录数量持续走高，2019年收录的安全漏洞中，零日漏洞收录数量占比35.2 %，达5 706个，同比增长6.0%。

按影响对象类型分类统计，占比前3位的为应用程序漏洞（56.2 %）、Web应用漏洞（23.3 %）和操作系统漏洞（10.3 %）。

2019年，CNVD继续推进移动互联网、电信行业、工业控制系统和电子政务4类子漏洞库的建设工作，分别新增收录安全漏洞数量1214个（占全年收录数量的7.5%）、638个（占3.9%）、443个（占2.7 %）和131个（占0.8 %），其中移动互联网子漏洞库收录数量较2018年增长了4.2 %。CNVD全年通报涉及政府机构、重要信息系统等关键信息基础设施安全漏洞事件约2.9万起，同比大幅增长42.1 %。

三、DDOS攻击

1.来自境外的DDos攻击情况

2019年，CNCERT/CC持续监测分析来自境外的DDoS攻击流量发现，境外DDoS攻击流量超过10 Gbit/s的大流量攻击事件日均120余起。境外DDoS攻击的主要攻击方式是UDP Flood，TCP SYN Flood，Memcached Amplification，NTP Amplification，DNS Amplification，这5种DDoS攻击占比达到89 %。98 %的境外DDoS攻击的攻击时长小于30 min，攻击目标主要位于浙江省、广东省、江苏省、山东省和北京市等经济较为发达的地区。

四、网站安全

1.网页仿冒

2019年，监测发现约8.5万个针对我国境内网站的仿冒页面，页面数量较2018年增长了59.7 %。从承载仿冒页面的IP地址归属情况来看，绝大多数位于境外，主要分布在中国香港地区和美国。

2.网站后门

2019年，CNCERT/CC监测到我国境内外约4.5万个IP地址对我国境内约8.5万个网站植入后门，我国境内被植入后门的网站数量较2018年增长超过2.59倍。其中，约有4万个境外IP地址（占全部IP地址总数的90.9 %）对我国境内约8万个网站植入后门，位于美国的IP地址最多，占境外IP地址总数的33.5 %，其次是位于英国和中国香港地区的IP地址。

3.网页篡改

2019年，我国境内遭篡改的网站约有18.6万个，其中被篡改的政府网站有515个。从网页遭篡改的方式来看，被植入暗链的网站占全部被篡改网站的比例大幅下降，占比较小；从域名类型来看，2019年我国境内被篡改的网站中，代表商业机构的网站（.com）最多，占75.2 %，其次是網络组织类（.net）网站、非营利组织类（.org）网站，分别占4.7 %和1.2 %。

五、云平台安全

云平台作为控制端发起DDoS攻击的次数占我国境内控制端发起DDoS攻击次数的86.0 %，作为木马和僵尸网络恶意程序控制的被控端IP地址数量占我国境内全部被控端IP地址数量的89.3 %，承载的恶意程序种类数量占我国境内互联网上承载的恶意程序种类数量的81.0 %。

六、工业控制系统安全

1.工业控制系统互联网侧暴露情况

2019年，暴露在互联网上的工业设备7 325台，比2018年增加21.7 %。

涉及39家國内外知名厂商的可编程逻辑控制器、智能楼宇类设备和数据采集监控服务器等50种设备类型，且存在高危漏洞隐患的设备占比约35 %。医疗健康、电力、石油天然气、煤炭和城市轨道交通等重点行业暴露的联网监控管理系统2 249套，相比2018年增加了21.9 %，其中医疗健康行业709套、电力653套、石油天然气584套、煤炭203套和城市轨道交通100套，涉及的类型包括企业生产管理、企业经营管理、行业云平台和政府监督等。

2.工业控制系统互联网侧威胁监测情况

2019年，我国大型工业互联网云平台持续遭受来自境外的网络攻击，平均攻击次数达90次/日，较2018年提升了43 %。涉及Web应用攻击、命令注入攻击和漏洞利用攻击等，工业云平台承载着大量接入设备、业务系统，以及企业、个人信息和重要数据，使其成为网络攻击的重点目标。

2019年CNCERT/CC通过互联网监测和定位发现，关键信息基础设施行业有1 773台打印机连接在互联网上，其中工业领域相关的打印机有78台，涉及石油、电力、煤炭和制造等行业。