當前，網絡安全威脅日益突出，網絡安全風險不斷向政治、經濟、文化、社會、生態、國防等領域傳導滲透，各國加強網絡安全監管，持續出臺網絡安全政策法規。2018年，在中央網絡安全和信息化委員會（原“中央網絡安全和信息化領導小組”）的統一領導下，我國進一步加強網絡安全和信息化管理工作，各行業主管部門協同推進網絡安全治理。國家互聯網應急中心（以下簡稱“CNCERT”）持續加強我國互聯網網絡安全監測，開展我國互聯網宏觀網絡安全態勢評估，網絡安全事件監測、協調處置和預警通報工作，取得了顯著成效。

CNCERT依托我國宏觀安全監測數據，結合網絡安全威脅治理實踐成果，在本報告中重點對2018年我國互聯網網絡安全狀況進行了分析和總結，并對2019年的網絡安全趨勢進行預測。

以下是該報告全文，敬請閱讀。

一、2018年我國互聯網網絡安全狀況


2018年，我國進一步健全網絡安全法律體系，完善網絡安全管理體制機制，持續加強公共互聯網網絡安全監測和治理，構建互聯網發展安全基礎，構筑網民安全上網環境，特別是在黨政機關和重要行業方面，網絡安全應急響應能力不斷提升，惡意程序感染、網頁篡改、網站后門等傳統的安全問題得到有效控制。全年未發生大規模病毒爆發、大規模網絡癱瘓的重大事件，但關鍵信息基礎設施、云平臺等面臨的安全風險仍較為突出，APT攻擊、數據泄露、分布式拒絕服務攻擊（以下簡稱“DDoS攻擊”）等問題也較為嚴重。

（一）我國網絡安全法律法規政策保障體系逐步健全

自我國《網絡安全法》于2017年6月1日正式實施以來，我國網絡安全相關法律法規及配套制度逐步健全，逐漸形成綜合法律、監管規定、行業與技術標準的綜合化、規范化體系，我國網絡安全工作法律保障體系不斷完善，網絡安全執法力度持續加強。2018年，全國人大常委會發布《十三屆全國人大常委會立法規劃》，包含個人信息保護、數據安全、密碼等方面。黨中央、國務院各部門相繼發力，網絡安全方面法規、規章、司法解釋等陸續發布或實施?！毒W絡安全等級保護條例》已向社會公開征求意見，《公安機關互聯網安全監督檢查規定》、《關于加強跨境金融網絡與信息服務管理的通知》、《區塊鏈信息服務管理規定》、《關于加強政府網站域名管理的通知》等加強網絡安全執法或強化相關領域網絡安全的文件發布。

（二）我國互聯網網絡安全威脅治理取得新成效

我國互聯網網絡安全環境經過多年的持續治理效果顯著，網絡安全環境得到明顯改善。特別是黨中央加強了對網絡安全和信息化工作的統一領導，黨政機關和重要行業加強網絡安全防護措施，針對黨政機關和重要行業的木馬僵尸惡意程序、網站安全、安全漏洞等傳統網絡安全事件大幅減少。2018年，CNCERT協調處置網絡安全事件約10.6萬起，其中網頁仿冒事件最多，其次是安全漏洞、惡意程序、網頁篡改、網站后門、DDoS攻擊等事件。CNCERT持續組織開展計算機惡意程序常態化打擊工作，2018年成功關閉772個控制規模較大的僵尸網絡，成功切斷了黑客對境內約390萬臺感染主機的控制。據抽樣監測，在政府網站安全方面，遭植入后門的我國政府網站數量平均減少了46.5%，遭篡改網站數量平均減少了16.4%，顯示我國政府網站的安全情況有所好轉。在主管部門指導下，CNCERT聯合基礎電信企業、云服務商等持續開展DDoS攻擊資源專項治理工作，從源頭上遏制了DDoS攻擊行為，有效降低了來自我國境內的攻擊流量。據CNCERT抽樣監測，2018年境內發起DDoS攻擊的活躍控制端數量同比下降46%、被控端數量同比下降37%；境內反射服務器、跨域偽造流量來源路由器、本地偽造流量來源路由器等可利用的攻擊資源消亡速度加快、新增率降低。根據外部報告，我國境內僵尸網絡控制端數量在全球的排名從前三名降至第十名 ，DDoS活躍反射源下降了60% ①。

（三）勒索軟件對重要行業關鍵信息基礎設施威脅加劇

2018年勒索軟件攻擊事件頻發，變種數量不斷攀升，給個人用戶和企業用戶帶來嚴重損失。2018年，CNCERT捕獲勒索軟件近14萬個，全年總體呈現增長趨勢，特別在下半年，伴隨“勒索軟件即服務”產業的興起，活躍勒索軟件數量呈現快速增長勢頭，且更新頻率和威脅廣度都大幅度增加，例如勒索軟件GandCrab全年出現了約19個版本，一直快速更新迭代。勒索軟件傳播手段多樣，利用影響范圍廣的漏洞進行快速傳播是當前主要方式之一，例如勒索軟件Lucky通過綜合利用弱口令漏洞、Window SMB漏洞、Apache Struts 2漏洞、JBoss漏洞、Weblogic漏洞等進行快速攻擊傳播。2018年，重要行業關鍵信息基礎設施逐漸成為勒索軟件的重點攻擊目標，其中，政府、醫療、教育、研究機構、制造業等是受到勒索軟件攻擊較嚴重行業。例如GlobeImposter、GandCrab等勒索軟件變種攻擊了我國多家醫療機構，導致醫院信息系統運行受到嚴重影響。

（四）越來越多的APT攻擊行為被披露

2018年，全球專業網絡安全機構發布了各類高級威脅研究報告478份，同比增長了約3.6倍，其中我國12個研究機構發布報告80份，這些報告涉及已被確認的APT攻擊組織包括APT28、Lazarus、Group 123、海蓮花、MuddyWater等53個，攻擊目標主要分布在中東、亞太、美洲和歐洲地區，總體呈現出地緣政治緊密相關的特性，受攻擊的領域主要包括國防、政府、金融、外交和能源等。值得注意的是，醫療、傳媒、電信等國家服務性行業領域也正面臨越來越多的APT攻擊風險。② APT攻擊組織采用的攻擊手法主要以魚叉郵件攻擊、水坑攻擊、網絡流量劫持或中間人攻擊等，其頻繁利用公開或開源的攻擊框架和工具，并綜合利用多種技術以實現攻擊，或規避與歷史攻擊手法的重合。

（五）云平臺成為發生網絡攻擊的重災區

根據CNCERT監測數據，雖然國內主流云平臺使用的IP地址數量僅占我國境內全部IP地址數量的7.7%，但云平臺已成為發生網絡攻擊的重災區，在各類型網絡安全事件數量中，云平臺上的DDoS攻擊次數、被植入后門的網站數量、被篡改網站數量均占比超過50%。同時，國內主流云平臺上承載的惡意程序種類數量占境內互聯網上承載的惡意程序種類數量的53.7%，木馬和僵尸網絡惡意程序控制端IP地址數量占境內全部惡意程序控制端IP地址數量的59%，表明攻擊者經常利用云平臺來發起網絡攻擊。分析原因，云平臺成為網絡攻擊的重要目標是因為大量系統部署到云上，涉及國計民生、企業運營的數據和用戶個人信息，成為攻擊者攫取經濟利益的目標。從云平臺上發出的攻擊增多是因為云服務使用存在便捷性、可靠性、低成本、高帶寬和高性能等特性，且云網絡流量的復雜性有利于攻擊者隱藏真實身份，攻擊者更多的利用云平臺設備作為跳板機或控制端發起網絡攻擊。此外，云平臺用戶對其部署在云平臺上系統的網絡安全防護重視不足，導致其系統可能面臨更大的網絡安全風險。因此，云服務商和云用戶都應加大對網絡安全的重視和投入，分工協作提升網絡安全防范能力。云服務商應提供基礎性的網絡安全防護措施并保障云平臺安全運行，全面提高云平臺的安全性和可控性。云用戶對部署在云平臺上的系統承擔主體責任，需全面落實系統的網絡安全防護要求。

（六）拒絕服務攻擊頻次下降但峰值流量持續攀升

DDoS攻擊是難以防范的網絡攻擊手段之一，攻擊手段和強度不斷更新，并逐步形成了“DDoS即服務”的互聯網黑色產業服務，普遍用于行業惡意競爭、敲詐勒索等網絡犯罪。得益于我國網絡空間環境治理取得的有效成果，經過對DDoS攻擊資源的專項治理，我國境內拒絕服務攻擊頻次總體呈現下降趨勢。根據第三方分析報告，2018年我國境內全年DDoS攻擊次數同比下降超過20%，特別是反射攻擊較去年減少了80% 。③CNCERT抽樣監測發現，2018年我國境內峰值流量超過Tbps級的DDoS攻擊次數較往年增加較多，達68起。其中，2018年12月浙江省某IP地址遭DDoS攻擊的峰值流量達1.27Tbps。

（七）針對工業控制系統的定向性攻擊趨勢明顯

2018年，針對特定工業系統的攻擊越來越多，并多與傳統攻擊手段結合，針對國家工業控制系統的攻擊日益呈現出定向性特點。惡意軟件Trisis利用施耐德Triconex安全儀表控制系統零日漏洞，攻擊了中東某石油天然氣工廠，致其工廠停運。分析發現，Trisis完整的文件庫通過五種不同的編程語言構建，因其定向性的特點，僅能在其攻擊的同款工業設備上測試才能完全了解該惡意軟件。2018年中期，惡意軟件GreyEnergy被捕獲，主要針對運行數據采集與監視控制系統（SCADA）軟件和服務器的工業控制系統工作站，具有模塊化架構，功能可進一步擴展，可進行后門訪問、竊取文件、抓取屏幕截圖、記錄敲擊鍵和竊取憑據等操作。2018年，CNCERT抽樣監測發現，我國境內聯網工業設備、系統、平臺等遭受惡意嗅探、網絡攻擊的次數顯著提高，雖未發生重大安全事件，但需提高警惕，引起重視。

（八）虛假和仿冒移動應用增多且成為網絡詐騙新渠道

近年來，隨著互聯網與經濟、生活的深度捆綁交織，通過互聯網對網民實施遠程非接觸式詐騙手段不斷翻新，先后出現了“網絡投資”、“網絡交友”、“網購返利”等新型網絡詐騙手段。隨著我國移動互聯網技術的快速發展和應用普及，2018年通過移動應用實施網絡詐騙的事件尤為突出，如大量虛假的“貸款APP”并無真實貸款業務，僅用于詐騙分子騙取用戶的隱私信息和錢財。CNCERT抽樣監測發現，在此類虛假的“貸款APP”上提交姓名、身份證照片、個人資產證明、銀行賬戶、地址等個人隱私信息的用戶超過150萬人，大量受害用戶向詐騙分子支付了上萬元的所謂“擔保費”、“手續費”費用，經濟利益受到實質損害。此外，CNCERT還發現，具有與正版軟件相似圖標或名字的仿冒APP數量呈上升趨勢。2018年，CNCERT通過自主監測和投訴舉報方式共捕獲新增金融行業移動互聯網仿冒APP 樣本838個，同比增長了近3.5倍，達近年新高。這些仿冒APP通常采用“蹭熱度”的方式來傳播和誘惑用戶下載并安裝，可能會造成用戶通訊錄和短信內容等個人隱私信息泄露，或在未經用戶允許的情況下私自下載惡意軟件，造成惡意扣費等危害。

（九）數據安全問題引起前所未有的關注

2018年3月，Facebook公司被爆出大規模數據泄露，且這些泄露的數據被惡意利用，引起國內外普遍關注。2018年，我國也發生了包括十幾億條快遞公司的用戶信息、2.4億條某連鎖酒店入住信息、900萬條某網站用戶數據信息、某求職網站用戶個人求職簡歷等數據泄露事件，這些泄露數據包含了大量的個人隱私信息，如姓名、地址、銀行卡號、身份證號、聯系電話、家庭成員等，給我國網民人身安全、財產安全帶來了安全隱患。2018年5月25日，歐盟頒布執行史上最嚴的個人數據保護條例《通用數據保護條例》（GDPR），掀起了國內外的廣泛討論，該法案重點保護的是自然人的“個人數據”，例如姓名、地址、電子郵件地址、電話號碼、生日、銀行賬戶、汽車牌照、IP地址以及cookies等。根據定義，該法案監管收集個人數據的行為，包括所有形式的網絡追蹤。GDPR實施三天后，Facebook和谷歌等美國企業成為GDPR法案下第一批被告，這不僅給業界敲響了警鐘，也督促更多企業投入精力保護數據安全尤其是個人隱私數據安全。


二、2019年網絡安全趨勢預測


結合2018年我國網絡安全狀況，以及5G、IPv6、區塊鏈等新技術的發展和應用，CNCERT預測2019年網絡安全趨勢主要如下：

（一）有特殊目的針對性更強的網絡攻擊越來越多

目前，網絡攻擊者發起網絡攻擊的針對性越來越強，有特殊目的的攻擊行動頻發。近年來，有攻擊團伙長期以我國政府部門、事業單位、科研院所的網站為主要目標實施網頁篡改，境外攻擊團伙持續對我政府部門網站實施DDoS攻擊。網絡安全事件與社會活動緊密結合趨勢明顯，網絡攻擊事件高發。

（二）國家關鍵信息基礎設施保護受到普遍關注

作為事關國家安全、社會穩定和經濟發展的戰略資源，國家關鍵信息基礎設施保護的工作尤為重要。當前，應用廣泛的基礎軟硬件安全漏洞不斷被披露、具有特殊目的的黑客組織不斷對我國關鍵信息基礎設施實施網絡攻擊，我國關鍵信息基礎設施面臨的安全風險不斷加大。2018年，APT攻擊活動持續活躍，我國多個重要行業遭受攻擊。隨著關鍵信息基礎設施承載的信息價值越來越大，針對國家關鍵信息基礎設施的網絡攻擊將會愈演愈烈。

（三）個人信息和重要數據泄露危害更加嚴重

2018年Facebook信息泄露事件讓我們重新審視個人信息和重要數據的泄露可能引發的危害，信息泄露不僅侵犯網民個人利益，甚至可能對國家政治安全造成影響。2018年我國境內發生了多起個人信息和重要數據泄露事件，犯罪分子利用大數據等技術手段，整合獲得的各類數據，可形成對用戶的多維度精準畫像，所產生的危害將更為嚴重。

（四）5G、IPv6等新技術廣泛應用帶來的安全問題值得關注

目前，我國5G、IPv6規模部署和試用工作逐步推進，關于5G、IPv6自身的安全問題以及衍生的安全問題值得關注。5G技術的應用代表著增強的移動寬帶、海量的機器通信以及超高可靠低時延的通信，與IPv6技術應用共同發展，將真正實現讓萬物互聯，互聯網上承載的信息將更為豐富，物聯網將大規模發展。但重要數據泄露、物聯網設備安全問題目前尚未得到有效解決，物聯網設備被大規模利用發起網絡攻擊的問題也將更加突出。同時，區塊鏈技術也受到國內外廣泛關注并快速應用，從數字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯網等多個領域延伸。隨著區塊鏈應用的范圍和深度逐漸擴大，數字貨幣被盜、智能合約、錢包和挖礦軟件漏洞等安全問題將會更加凸顯。

附錄：2018年我國互聯網網絡安全監測數據分析


一、惡意程序


（一）計算機惡意程序捕獲情況

2018年，CNCERT全年捕獲計算機惡意程序樣本數量超過1億個，涉及計算機惡意程序家族51萬余個，較2017年增加8,132個。全年計算機惡意程序傳播次數 日均達500萬余次。按照計算機惡意程序傳播來源統計，位于境外的主要是來自美國、加拿大和俄羅斯等國家和地區，來自境外的具體分布如圖1所示。位于境內的主要是位于陜西省、浙江省和河南省等省份。按照受惡意程序攻擊的IP統計，我國境內受計算機惡意程序攻擊的IP地址約5,946萬個，約占我國IP總數的17.5%，這些受攻擊的IP地址主要集中在江蘇省、山東省、浙江省、廣東省等地區，2018年我國受計算機惡意程序攻擊的IP分布情況如圖2所示。

（二）計算機惡意程序用戶感染情況

據CNCERT抽樣監測，2018年，我國境內感染計算機惡意程序的主機數量約655萬臺，同比下降47.8%，如圖3所示。位于境外的約4.9萬個計算機惡意程序控制服務器控制了我國境內約526萬臺主機，就控制服務器所屬國家來看，位于美國、日本和德國的控制服務器數量分列前三位，分別是約14,752個、6,551個和2,166個；就所控制我國境內主機數量來看，位于美國、中國香港和法國的控制服務器控制規模分列前三位，分別控制了我國境內約334萬、48萬和33萬臺主機。

我國境內感染計算機惡意程序主機數量地區分布來看，主要分布在廣東?。ㄕ嘉覈硟雀腥緮盗康?0.9%）、江蘇?。ㄕ?.9%）、浙江?。ㄕ?.4%）等省份，但從我國境內各地區感染計算機惡意程序主機數量所占本地區活躍IP地址數量比例來看，河南省、江蘇省和廣西壯族自治區分列前三位，如圖4所示。在監測發現的因感染計算機惡意程序而形成的僵尸網絡中，規模在100臺主機以上的僵尸網絡數量達3,710個，規模在10萬臺以上的僵尸網絡數量達36個，如圖5所示。為有效控制計算機惡意程序感染主機引發的危害，2018年，CNCERT組織基礎電信企業、域名服務機構等成功關閉772個控制規模較大的僵尸網絡。根據第三方統計報告，位于我國境內的僵尸網絡控制端數量在全球的排名情況以及在全球控制端總數量的占比均呈現下降趨勢④。

（三）移動互聯網惡意程序

目前，隨著移動互聯網技術快速發展，我國移動互聯網網民數量突破8.17億（占我國網民總數量的98.6%）⑤，金融服務、生活服務、支付業務等全面向移動互聯網應用遷移。但竊取用戶信息、發送垃圾信息、推送廣告和欺詐信息等危害移動互聯網正常運行的惡意行為在不斷侵犯廣大移動用戶的合法利益。2018年，CNCERT通過自主捕獲和廠商交換獲得移動互聯網惡意程序數量283萬余個，同比增長11.7%，盡管近三年來增長速度有所放緩，但仍保持高速增長趨勢，如圖6所示。通過對惡意程序的惡意行為統計發現，排名前三的分別為流氓行為類、資費消耗類和信息竊取類 ，占比分別為45.8%、24.3%和14.9%，如圖7所示。為有效防范移動互聯網惡意程序的危害，嚴格控制移動互聯網惡意程序傳播途徑，連續6年以來，CNCERT聯合應用商店、云平臺等服務平臺持續加強對移動互聯網惡意程序的發現和下架力度，以保障移動互聯網健康有序發展。2018年，CNCERT累計協調國內314家提供移動應用程序下載服務的平臺，下架3517個移動互聯網惡意程序。

（四）聯網智能設備惡意程序

據CNCERT監測發現，目前活躍在智能聯網設備上的惡意程序家族主要包括Ddosf、Dofloo、Gafgyt、MrBlack、Persirai、Sotdas、Tsunami、Triddy、Mirai、Moose、Teaper、Satori、StolenBots、VPN-Filter等。這些惡意程序及其變種產生的主要危害包括用戶信息和設備數據泄露、硬件設備遭控制和破壞、被用于DDoS攻擊或其他惡意攻擊行為、攻擊路由器等網絡設備竊取用戶上網數據等。CNCERT抽樣監測發現，2018年，聯網智能設備惡意程序控制服務器IP地址約2.3萬個，位于境外的IP地址占比約87.5%；被控聯網智能設備IP地址約446.8萬個，位于境內的IP地址占比約34.6%，其中山東、浙江、河南、江蘇等地被控聯網智能設備IP地址數量均超過10萬個；控制聯網智能設備且控制規模在1,000臺以上的僵尸網絡有363個，其中，控制規模在1萬臺以上的僵尸網絡19個，5萬臺以上的8個，如表1所示。

二、安全漏洞


（一）安全漏洞收錄情況

2014年以來，國家信息安全漏洞共享平臺（CNVD） 收錄安全漏洞數量年平均增長率為15.0%，其中，2018年收錄安全漏洞數量同比減少了11.0%，共計14,201個，高危漏洞收錄數量為4,898個（占34.5%），同比減少12.8%，但近年來“零日”漏洞 收錄數量持續走高，2018年收錄的安全漏洞數量中，“零日”漏洞收錄數量占比37.9%，高達5,381個，同比增長39.6%，如圖8所示。安全漏洞主要涵蓋Google、Microsoft、IBM、Oracle、Cisco、Foxit、Apple、Adobe等廠商產品，如表2所示。按影響對象分類統計，收錄漏洞中應用程序漏洞占57.8%，Web應用漏洞占18.7%，操作系統漏洞占10.6%，網絡設備（如路由器、交換機等）漏洞占9.5%，安全產品（如防火墻、入侵檢測系統等）漏洞占2.4%，數據庫漏洞占1.0%，如圖9所示。

2018年，CNVD繼續推進移動互聯網、電信行業、工業控制系統和電子政務4類子漏洞庫的建設工作，分別新增收錄安全漏洞數量1,150個（占全年收錄數量的8.1%）、720個（占5.1%）、461個（占3.2%）和171個（占1.2%），如圖10所示。其中工業控制系統子漏洞庫收錄數量持續攀升，較2017年增長了22.6%。CNVD全年通報涉及政府機構、重要信息系統等關鍵信息基礎設施安全漏洞事件約2.1萬起，同比下降23.6%。



2018年，應用廣泛的軟硬件漏洞被披露，修復難度很大，給我國網絡安全帶來嚴峻挑戰，包括計算機中央處理器（CPU）芯片爆出Meltdown漏洞 和Spectre漏洞 ，影響了1995年以后生產的所有Intel、AMD、ARM等CPU芯片，同時影響了各主流云服務平臺及Windows、Linux、MacOS、Android等主流操作系統。隨后，Oracle Weblogic server、Cisco Smart Install等在我國使用廣泛的軟件產品也相繼爆出存在嚴重安全漏洞。

（二）聯網智能設備安全漏洞

2018年，CNVD收錄的安全漏洞中關于聯網智能設備安全漏洞有2,244個，同比增長8.0%。這些安全漏洞涉及的類型主要包括設備信息泄露、權限繞過、遠程代碼執行、弱口令等；涉及的設備類型主要包括家用路由器、網絡攝像頭等。


三、拒絕服務攻擊


2018年，CNCERT抽樣監測發現我國境內峰值超過10Gbps的大流量分布式拒絕服務攻擊（DDoS攻擊）事件數量平均每月超過4,000起，超過60%的攻擊事件為僵尸網絡控制發起。僵尸網絡主要偏好發動TCP SYN FLOOD和UDP FLOOD攻擊，在線攻擊平臺主要偏好發送UDP Amplification FLOOD攻擊。

（一）攻擊資源情況

2018年，CNCERT對全年用于發起DDoS攻擊的攻擊資源進行了持續分析，發現用于發起DDoS攻擊的C&C控制服務器 數量共2,108臺，總肉雞 數量約144萬臺，反射攻擊服務器約197萬臺，受攻擊目標IP地址數量約9萬個，這些攻擊目標主要分布在色情、博彩等互聯網地下黑產方面以及文化體育和娛樂領域，此外還包括運營商IDC、金融、教育、政府機構等。

（二）攻擊團伙情況

2018年，CNCERT共監測發現利用僵尸網絡進行攻擊的DDoS攻擊團伙50個。從全年來看，與DDoS攻擊事件數量、C&C控制服務器數量一樣，攻擊團伙數量在2018年8月達到最高峰。其中，控制肉雞數量較大的較活躍攻擊團伙有16個，涉及C&C控制服務器有358個，攻擊目標有2.8萬個，如表3所示。為進一步分析這16個團伙的關系情況，通過對全年攻擊活動進行分析，發現不同攻擊團伙之間相互較為獨立，同一攻擊團伙的攻擊目標非常集中，不同攻擊團伙間的攻擊目標重合度較小。

四、網站安全


2018年，CNCERT加強了對網站攻擊資源的分析工作，發現絕大多數網站攻擊行為由少量的活躍攻擊資源 發起，對我國網站安全影響較大。根據這些攻擊資源之間的關聯關系，可將其劃分為不同的“攻擊團伙”所掌握。這些“攻擊團伙”不斷更換其掌握的大量攻擊資源，長期攻擊并控制著大量安全防護能力薄弱的網站。通過挖掘和研判“攻擊團伙”對受攻擊網站的具體操作行為，CNCERT發現這些攻擊多帶有黑帽SEO 、網頁篡改等典型黑產利益意圖，并使用流行的攻擊工具對網站開展批量化、長期化控制。隨著對網站面臨安全風險的深入分析，CNCERT掌握了大量的攻擊者特征及攻擊手法，能為我國做好網站安全管理提出更有針對性、更有效的防范建議。

（一）網頁仿冒

2018年，CNCERT自主監測發現約5.3萬個針對我國境內網站的仿冒頁面，頁面數量較2017年增長了7.2%。其中，仿冒政務類網站數量明顯上升，占比高達25.2%，經分析，這些仿冒頁面主要被用于短期內提高其域名的搜索引擎排名，從而快速轉化為經濟利益。為有效防范網頁仿冒引發的危害，CNCERT重點針對金融行業、電信行業網上營業廳的仿冒頁面進行處置，全年共協調處置仿冒頁面3.5萬余個。從承載仿冒頁面IP地址歸屬情況來看，絕大多數位于境外，主要分布在美國和中國香港，如圖11所示。

（二）網站后門

1. 我國境內被植入后門情況

2018年，CNCERT監測發現境內外約1.6萬個IP地址對我國境內約2.4萬個網站植入后門。近三年來，我國境內被植入后門的網站數量持續保持下降趨勢，2018年的數量較2017年下降了19.3%。其中，約有1.4萬個（占全部IP地址總數的90.9%）境外IP地址對境內約1.7萬個網站植入后門，位于美國的IP地址最多，占境外IP地址總數的23.2%，其次是位于中國香港和俄羅斯的IP地址，如圖12所示。從控制我國境內網站總數來看，位于中國香港的IP地址控制我國境內網站數量最多，有3,994個，其次是位于美國和俄羅斯的IP地址，分別控制了我國境內3,607個和2,011個網站。

2. 網站后門“攻擊團伙”情況

2018年，CNCERT監測發現，攻擊活躍在 10 天以上的網站“攻擊團伙”有 777 個，全年活躍的“攻擊團伙”13 個，如圖所示?！肮魣F伙”中使用過的攻擊 IP地址數量大于 100個 的有 22 個，攻擊網站數量超過 100 個的“攻擊團伙”有 61 個。從“攻擊團伙”的攻擊活躍天數來看，少數攻擊團伙能夠保持持續活躍，如圖13所示。多數“攻擊團伙”的活躍天數較短，無法形成對被入侵網站服務器的持久化控制；少量值得關注的“攻擊團伙”具有長時間持續攻擊的特點，持續對其入侵的多個網站服務器實現長期控制。

（三）網頁篡改

2018年，CNCERT監測發現我國境內遭篡改的網站有7,049個，較2017年的約2萬個有大幅的下降，下降了64.9%，其中被篡改的政府網站有216個，較2017年的618個減少65.0%，如圖14所示。從網頁遭篡改的方式來看，被植入暗鏈的網站占全部被篡改網站的比例為56.9%，占比呈現持續縮小趨勢。從境內被篡改網頁的頂級域名分布來看，“.com”、“.net”和“.gov.cn”占比分列前三位，分別占總數的66.3%、7.7%和3.1%，占比分布情況與2017年無明顯變化。

五、工業互聯網安全


（一）工業網絡產品安全檢測情況

為貫徹《網絡安全法》并落實對網絡關鍵設備和網絡安全專用產品的安全管理規定，確保入網設備的網絡安全防護水平，安全入網檢測工作已得到關鍵信息基礎設施運營者的重視。CNCERT自主研發了工業互聯網安全測試平臺Acheron，在2017年獲得了ISAsecure權威認證 。2018年，CNCERT使用該平臺，對主流工控設備和網絡安全專用產品進行了安全入網抽檢，并對電力二次設備進行了專項安全測試。在所涉及35個國內外主流廠商的87個型號產品中共發現232個高危漏洞，可能產生的風險包括拒絕服務攻擊、遠程命令執行、信息泄露等，如圖15所示。利用這些漏洞，攻擊者可使工控設備宕機，甚至獲取設備控制權限，可能對其他工業網絡設備發起攻擊。CNCERT還分析發現，在電力設備測試中發現部分漏洞呈現同源性特征，經分析因大多數電力設備廠商在實現IEC 61850協議（電力系統最重要的通信協議之一）時都采用了美國SISCO公司的第三方開發套件，顯示了較嚴重的產品供應鏈安全風險。



（二）聯網工業設備和工業云平臺暴露情況

2018年，CNCERT不斷升級監測手段，擴大監測范圍，進一步加強了針對聯網工業設備和工業云平臺的網絡安全問題跟蹤，全年累計發現境外對我國暴露工業資產的惡意嗅探事件約4,451萬起，較2017年數量暴增約17倍；發現我國境內暴露的聯網工業設備數量共計6,020個，涉及西門子、韋益可自控、羅克韋爾等37家國內外知名廠商產品，如圖16所示，這些聯網設備的廠商、型號、版本、參數等信息遭惡意嗅探。另外，CNCERT發現具有一定規模的工業云平臺30多家，業務涉及能源、金融、物流、智能制造、智慧城市等方面，并監測發現根云、航天云網、COSMOPlat、OneNET、OceanConnect等大型工業云平臺持續遭受漏洞利用、拒絕服務、暴力破解等網絡攻擊，工業云平臺正逐漸成為網絡攻擊的重點目標。

（三）重點行業遠程巡檢情況

電力、石化等重點行業的生產監控管理系統因存在網絡配置疏漏等問題，可能會直接暴露在互聯網上，一旦遭受網絡攻擊，影響巨大。為評估重要行業聯網工業監控管理系統的網絡安全風險情況，2018年CNCERT對電力、城市公用工程、石油天然氣三個行業開展了遠程安全巡檢工作，發現電力行業暴露相關監控管理系統532個，涉及政府監管、電企管理、用電管理和云平臺4大類；城市公用工程行業暴露相關監控管理系統1,015個，涉及供水、供暖和燃氣3大類；石油天然氣行業暴露相關監控管理系統298個，涉及油氣開采、油氣運輸、油氣存儲、油品銷售、化工生產和政府監管6大類，如圖17所示。同時，CNCERT分析發現，電力、城市公用工程和石油天然氣三個行業的聯網監控管理系統均存在高危漏洞隱患，各自占監控管理系統的比例為10%、28%和35%，且部分暴露的監控管理系統存在遭境外惡意嗅探、網絡攻擊的情況。

六、互聯網金融安全


為實現對我國互聯網金融平臺網絡安全總體態勢的宏觀監測，CNCERT發揮技術優勢，建設了國家互聯網金融風險分析技術平臺網絡安全監測功能，對我國互聯網金融相關網站、移動APP等的安全風險進行監測。2018年，CNCERT支撐相關部門，就北京地區275家網貸機構運營的275個網貸平臺網站、192個移動APP進行網絡安全檢查，并對其提交的落實網絡安全工作的材料進行審核，以作為這些網貸機構能夠獲得網貸備案的必要條件。

（一）互聯網金融網站安全情況

2018年，CNCERT發現互聯網金融網站的高危漏洞1,700個，其中XSS跨站腳本類型漏洞占比最多有782個（占比46.0%）；其次是SQL注入漏洞476個（占比28.0%）和遠程代碼執行漏洞85個（占比5.0%），如圖18所示。近年來，隨著互聯網金融行業的發展，互聯網金融平臺運營者的網絡安全意識有所提升，互聯網金融平臺的網絡安全防護能力有所加強，特別是規模較大的平臺，但仍有部分平臺安全防護能力不足，安全隱患較多，CNCERT監測發現高?；ヂ摼W金融網站330個，其中部分平臺存在的高危漏洞數量超過10項。

（二）互聯網金融APP安全情況

在移動互聯網技術發展和應用普及的背景下，用戶通過互聯網金融APP進行投融資的活動愈加頻繁，絕大多數的互聯網金融平臺通過移動APP開展業務，且有部分平臺僅通過移動APP開展業務。2018年，CNCERT對430個互聯網金融APP進行檢測，發現安全漏洞1,005個，其中高危漏洞240個，明文數據傳輸漏洞數量最多有50個(占高危漏洞數量的20.8%)，其次是網頁視圖（Webview）明文存儲密碼漏洞有48個（占20.0%）和源代碼反編譯漏洞有31個（占12.9%），如圖19所示。這些安全漏洞可能威脅交易授權和數據保護，存在數據泄露風險，其中部分安全漏洞影響應用程序的文件保護，不能有效阻止應用程序被逆向或者反編譯，進而使應用暴露出多種安全風險。

（三）區塊鏈系統安全情況

伴隨互聯網金融的發展，攻擊者攻擊互聯網金融平臺牟利的手段不斷升級，并融合了金融業務特征，出現“互聯網+金融”式攻擊，尤其是在區塊鏈數字貨幣等業務領域表現得更為明顯。首先，區塊鏈系統往往自帶金融屬性，直接運行數字貨幣等資產；其次，區塊鏈相關代碼多為開源，容易暴露風險；第三，區塊鏈系統在對等網絡環境中運行，網絡中的節點防護能力有限；第四，用戶自行保管私鑰，一旦丟失或盜取無法找回；第五，相關業務平臺發展時間短，系統安全防護經驗和手段不完善、全面性和強度不足。2018年3月，虛擬數字貨幣交易平臺“幣安”遭攻擊。攻擊者盜取用戶在該平臺的交易接口密鑰，通過自動化交易大幅拉升“維爾幣（VIA）”的價格。攻擊者提前在幣安埋下VIA的高價賣單，利用其巨額漲幅獲取暴利。同時黑客通過散播攻擊的消息，導致短時間市場出現恐慌，市場價格大幅下跌，黑客也可在其他交易平臺通過瞬時做空的形式獲利；這種攻擊方式通過盜取用戶信息惡意操縱行情變化獲利，方式新穎，防范難度大。

報告中引用的第三方數據：

①③④相關數據來源于
卡巴斯基全球DDoS攻擊趨勢報告（2015.Q1-2018.Q4）
中國電信云堤、綠盟科技聯合發布的《2018DDoS攻擊態勢報告》
阿里云《2018年DDoS攻擊全態勢：戰勝第一波攻擊成“抗D” 關鍵》
②相關信息來源于
360威脅情報中心《全球高級持續性威脅(APT)2018年報告》
⑤相關數據來源于
中國互聯網絡信息中心發布的第43次《中國互聯網絡發展狀況統計報告》

(來源：國家互聯網應急中心CNCERT微信公眾號)